Jarslav Šmíd Náměstek ředitele
2011 NBÚ ustanven jak gestr KB vznik Nárdníh centra kybernetické bezpečnsti 2012 2015 Nárdní strategie kybernetické bezpečnsti I. Zákn kybernetické bezpečnsti Nárdní strategie kybernetické bezpečnsti II. 2016 2017 Směrnice NIS Nvela zákna kybernetické bezpečnsti Vznik NÚKIB
kyberneticku bezpečnst chranu utajvaných infrmací v blasti infrmačních a kmunikačních systémů kryptgraficku chranu prvzvat Vládní CERT České republiky (GvCERT.CZ) splupráce s statními CERT A CSIRT příprava bezpečnstních standardů světa a pdpra vzdělávání,cvičení výzkum a vývj chrana utajvaných infrmací v blasti IS/KS kryptgrafická chrana kntaktní míst GALILEO - PRS
4
Výbr pr kyberneticku bezpečnst
Odbr infrmačních technlgií (prvz)
Aktuální stav určení kritické infrmační infrastruktury a významných infrmačních systémů Významné infrmační systémy (VIS) Značné mnžství subjektů przatím neurčil své VIS - spisvé služby, úřední desky a eknmické systémy. Zvažujeme, zda nevydat metdické dpručení aby tak učinili. Kritická infrmační infrastruktura (KII) Určvání KII dsud nesknčil. Určvání byl vzhledem k jiným úklům přerušen a bude k němu pět přistupen. Aktuálně je mžné říci, že je již určen cca 60 % - 70 % systémů splňující kritéria pr KII tj. mžný nárůst KII čekáváme v řádu nižších desítek (dhadem cca 40 systémů).
Aktuální stav určení kritické infrmační infrastruktury a významných infrmačních systémů Pčet správců kritické infrmační infrastruktury (KII) a významných infrmačních systémů (VIS) a infrmačních/kmunikačních systémů KII/VIS (stav k 10. 8. 2017) Typ systému Pčet systémů Pčet správců KII 112 46 VIS 169 62 Celkem 281 108
Pvinnými subjekty jsu především prvků kritické infrmační infrastruktury významných infrmačních systémů infrmačních systémů základní služby a pskytvatelé digitální služby ministerstva ústřední správní rgány kraje
Cyber Calitin, Lcked Shields, Cyber Eurpe CyberCzech 2015, CyberCzech 2016, CECSP 2016 : : Lcked Shields, Cybereurpe, Crisis management exercise, Strategic TTX
akademická sféra: Masarykva univerzita, Palackéh univerzita, světvá činnst diplmvé práce, výuka, stáže e-learning - prjekt Digitální stpa - vzdělávání zaměstnanců veřejné správy (splupráce IVS) Kncepce vzdělávání v kyberprstru s MŠMT a MPSV uživatel především administrace výzkumu vlastní krdinace výzkumu mezi státem, akademicku a sukrmu sféru
EU implementace směrnice NIS, Hriznt 2020, CSC, NATO Cyber Defence Cmmittee, OBSE CBMs, cnfidence building measures Úřad vlády České republiky, Ministerstv vnitra, Ministerstv zahraničních věcí, Ministerstv spravedlnsti, Ministerstv brany
USA FBI, DHS, Ministerstv brany, Micrsft, Cisc Jižní Krea zpravdajská kmunita Izrael MalMab, Natinal Cyber Bureau, CyberGym USA, Izrael, Brusel TAIEX (Ukrajina, balkánské země, Kazachstán, technická šklení pr partnery (středevrpská kyber platfrma) a budvání mezinárdních vazeb,
infrmacemi pr práci s analýza kybernetických hrzeb a útků prstřednictvím kntextualizace výměna infrmací s nárdními a mezinárdními partnery platfrma pr infrmvání veducích činitelů ve věci kybernetické bezpečnsti státu
Transpzice směrnice NIS v ČR Přijetí úpravy d 21 měsíců d vstupu směrnice v platnst - d května 2018 Nutná nvela již účinnéh zákna kybernetické bezpečnsti Příprava nvely březen 2016 - pčátek přípravných prací pracvní skupiny na úrvni resrtů a dbrné veřejnsti Legislativní prces 4. Q 2016 - schválen vládu 2. Q 2017 - schválen sněmvnu a senátem Platnst a účinnst účinnst transpziční nvely d 1. 8. 2017 Následuje příprava prváděcích právních předpisů
Zákn kybernetické bezpečnsti - změny v r. 2017 ZKB byl v r. 2017 nvelizván ve dvu liniích: Velká nvela - transpzice směrnice NIS Nvela účinná d 1. 8. 2017 (Nvela cestu zákna č. 205/2017 Sb.) Úpravy ZKB: nvé definice ( 2), nvé pvinné sby ( 3), Vznik Nárdníh úřadu pr kyberneticku a infrmační bezpečnst, změny správních deliktů ( 25) Malá nvela - změna nvelu zákna č. 365/2000 Sb., ISVS Nvela účinná d 1. 7. 2017 (Nvela cestu z. č. 104/2017) Úpravy ZKB: nvý pjem prvzvatel IS/KS ( 2 písm. g), ustanvení vlastnictví dat ( 6a), hlášení incidentů prvzvatelem ( 8/4), pravmc nařízení předání dat ( 15a), změny správních deliktů ( 25),
Struktura pvinných sb pdle ZKB - stav d 1. 8. 2017 3 ZKB a) pskytvatelé služeb elektrnických kmunikací, subjekt zajišťující sít elektrnických kmunikací b) rgán neb sba zajišťující významnu síť h) Pskytvatel digitálních služeb NÁRODNÍ CERT CZ.NIC c) správce a prvzvatel IS KII d) správce a prvzvatel KS KII e) správce a prvzvatel VIS f) prvzvatel základní služby g) správce a prvzvatel IS základní služby VLÁDNÍ CERT NÚKIB * mdře jsu vyznačeny změny Adam Kučínský, 2017
Prvzvatel infrmačníh / kmunikačníh systému Nvá pvinná sba v ZKB: zajišťuje funkčnst technických a prgramvých prstředků tvřících infrmační neb kmunikační systém = klíčvý ddavatel Identifikace: Správce může pvěřit jinéh prvzem KII/VIS, pkud t nevylučuje jiný zákn Odpvědnst za identifikaci prvzvatele má správce Způsb identifikace zákn nedefinuje lze dvdit ze smluvníh vztahu Správce infrmuje ddavatele, že se stává prvzvatelem Prvzvatel musí plnit ZKB v nezbytném rzsahu Pvinnsti Prvzvatel zavádí pvinnsti ze ZKB tam, kde je nemůže zavést správce a tam, kde t p něm správce vyžaduje Za tt prvzvateli náleží náhrada nákladů
Definice pdle zákna kybernetické bezpečnsti (ZKB) Základní služba = služba, jejíž pskytvání je závislé na sítích neb infrmačních systémech a jejíž narušení by mhl mít významný dpad na zabezpečení činnstí v některém z těcht dvětví: 1. energetika 5. zdravtnictví 2. dprava 6. vdní hspdářství 3. bankvnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl Infrmační systém základní služby = systém, na jehž fungvání je závislé pskytvání základní služby prvzvatel základní služby = rgán neb sba, která je dpvědná za pskytvání základní služby a která je určena NÚKIB Adam Kučínský, 2017
Prvzvatel základních služeb (PZS) - becně Kritéria stanví prváděcí vyhláška k ZKB PZS určí NÚKIB pdle dpadvých a dvětvvých kritérií NÚKIB Kritéria nastavena ve splupráci se sukrmu sféru a regulátry Pracvní skupina (13 pdskupin - celkem cca 100 dbrníků) Kritéria nastavena tak, aby regulace pkryla puze systémy nezbytné pr zajištění služeb (ne fakturační, marketingvé systémy ani např. bankmaty) Předpkládaná účinnst vyhlášky a začátek určvání - únr 2018 Adam Kučínský, 2017
Určvání prvzvatelů základních služeb (PZS) - kritéria 1. Definice ZKB Závislst na IS/KS (článek 5 dst. 2 NIS) Pskytuje službu ve vymezených dvětvích (přílha II. NIS) 2. Odvětvvá kritéria (3 úrvně) Druh služby Druh subjektu (přílha II. NIS) Speciální kritéria druhu subjektu (článek 6 dst. 2 NIS) 3. Dpadvá kritéria Dpad kybernetickéh bezpečnstní incidentu v infrmačním/kmunikačním systému (článek 6 NIS) Pr určení je třeba naplnit všechny tři pdmínky Adam Kučínský, 2017
Prvzvatel základních služeb (PZS) - dvětvvá kritéria Energetika Elektřina, plyn, rpa, teplárenství * Dprava Letecká, železniční, vdní, silniční Bankvnictví Infrastruktura finančních trhů Zdravtnictví + Specifická kritéria v jedntlivých dvětvích (minimální výkn, kapacita apd.) Vdní hspdářství Pitná vda, nakládání s dpadní vdu * Digitální infrastruktura Chemický průmysl * Adam Kučínský, 2017 * Přidán nad rámec pžadavků NIS
Prvzvatel základních služeb - dpadvá kritéria (ČR) I. Psuzuje se dpad incidentu v infrmačním/kmunikačním systému Incident v infrmačním/kmunikačním systémů muže způsbit: I. závažné mezení či narušení druhu služby pstihující více než, II. závažné mezení či narušení jiné základní služby, neb mezení či narušení prvzu prvku kritické infrastruktury, III. hspdářsku ztrátu vyšší než, Adam Kučínský, 2017
Prvzvatel základní služby - dpadvá kritéria (ČR) II. IV. nedstupnst definvanéh druhu služby pr více než, V. běti na živtech s mezní hdntu více než, VI. narušení veřejné bezpečnsti na významné části správníh území bce s rzšířenu půsbnstí, které by mhl vyžadvat prvedení záchranných a likvidačních prací základními a statními slžkami integrvanéh záchrannéh systému, neb VII. kmprmitaci citlivých údajů více než Adam Kučínský, 2017
* Částečně zaveden kritická infrmační infrastruktura ** Nezaveden Stav implementace směrnice NIS v ČR NIS Directive 2017 Nárdní strategie kybernetické bezpečnsti Stanvení bezpečnstních pžadavků na IS/KS Zřídit Cyber Incident Respnse Teams (CSIRT) Ustavit nárdní autritu v blasti KB Stanvit jedntné kntaktní místi pr blast KB ZKB 2015 2017 Nvela ZKB 1. 8. 2017 -> Určit PZS * Určit DSP **
Zaměření OKBP - regulace Hrubé dhady pčtu prvzvatelů základních služeb (PZS) a infrmačních systémů základních služeb (ISZS) v jedntlivých dvětvích a pddvětvích Odvětví/pddvětví PZS Je v dvětví určena KII? (pčet správců/systémů) Odhad pčtu PZS (nad rámec KII) Odhad pčtu systémů ISZS 1.1 energetika - elektřina ANO (6/27) 3 (některé subjekty budu zařazeny d KII) 10 1. 2 energetika - plyn ANO (2/4) 4-6 6-10 1. 3 energetika - rpa ANO (2/5) 3 3-6 1. 4 energetika - teplárenství NE 20 30 (některé subjekty budu zařazeny d KII) 30-60 2. 1 dprava - letecká ANO (1/1) 2 4-6 2. 2 dprava - silniční NE 2 4 2. 3 dprava - železniční ANO (1/1) 4 4-8 3. Bankvnictví ANO (3/6) 19 38 4. Infrastruktura finančních trhů NE 3-4 4-8 5. zdravtnictví NE 16 32-40 6. ddávky a rzvdy pitné vdy ANO (1/1) 20 (některé subjekty budu zařazeny d KII) 20 7. digitální infrastruktura NE 4-10 8-20 8. chemický průmysl NE 5 10 CELKEM - 105 121 PZS 173-260 ISZS
Návrh nvely vyhlášky kybernetické bezpečnsti Zveřejnění návrhu nvely vyhlášky kybernetické bezpečnsti (vyhl. č. 316/2014 Sb.) před samtným zařazením návrhu nvely vyhlášky d legislativníh prcesu. Záměr nespčívá v puhém zveřejnění návrhu nvé vyhlášky veřejnsti, ale zejména v příležitsti pr dbrnu veřejnst, která se může k tmut materiálu vyjádřit a vlivnit jeh finální pdbu. Základní cíle nvelizace vyhlášky kybernetické bezpečnsti: sulad se Směrnicí NIS a nvelu zákna kybernetické bezpečnsti, prava chyb v půvdní vyhlášce, zjedndušení a zlepšení půvdní vyhlášky, aktualizace bezpečnstních patření. Adam Kučínský, 2017
www.nukib.cz