Jaroslav Šmíd náměstek ředitele

Podobné dokumenty
Zákon o kybernetické bezpečnosti

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Evoluce kybernetické bezpečnosti z pohledu státu. Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Kybernetická bezpečnost

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

Zkušenosti a výsledky určování KII a VIS

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Zákon o kybernetické bezpečnosti a související předpisy

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Synergie všeho Ěskoroě ISSS 2017

Zákon o kybernetické bezpečnosti a související předpisy

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Zákon o kybernetické bezpečnosti

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

INFORMACE O INSTITUTU ZÁKLADNÍ SLUŽBY. Shrnutí způsobu určení provozovatele základní služby a informačního systému základní služby

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

IDET AFCEA Květen 2015, Brno

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

Přehled změn ke 12. květnu Položka Popis změny Zdůvodnění změny

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

VODÍTKA HODNOCENÍ DOPADŮ

Ministerstvo pro místní rozvoj České republiky oznamuje změny v 10. výzvě k předkládání žádostí o podporu. Integrovaný regionální operační program

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Kybernetická bezpečnost

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Teze vyhlášky o určování provozovatelů základních služeb

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Řízení bezpečnosti. Ochrana kritické infrastruktury

SBÍRKA ZÁKONŮ. Ročník 2017 ČESKÁ REPUBLIKA. Částka 74 Rozeslána dne 14. července 2017 Cena Kč 75, O B S A H :

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Zákon o kybernetické bezpečnosti

Další postup v řešení. kybernetické bezpečnosti. v České republice

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

Národní bezpečnostní úřad

Národní bezpečnostní úřad

Zákon o kybernetické bezpečnosti na startovní čáře

Ustanovení (čl., odst., Obsah písm., bod, této směrnice v platnost] přijmou a zveřejní a upravuje zajišťování bezpečnosti sítí

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICE

Specifické informační a komunikační systémy a infrastruktura II.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

10. VÝZVA IROP KYBERNETICKÁ BEZPEČNOST

Zásadní změny zákona o krizovém řízení

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby cloud computingu (Cloudová vyhláška)

Ministerstvo pro místní rozvoj České republiky vyhlašuje 26. výzvu k předkládání žádostí o podporu. Integrovaný regionální operační program

Kybernetické bezpečnostní incidenty a jejich hlášení

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ. 1 Předmět úpravy

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

181/2014 Sb. ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Aktuální situace. Jaroslav Šmíd náměstek ředitele NBÚ

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Ochrana osobních údajů nová legislativa

problematika ochrany kritické infrastruktury - po 11.září 2001 EKONOMIKA + BEZPEČNOST, úkolem státu je zajistit základní životní potřeby obyvatelstva

Specifické informační a komunikační systémy a infrastruktura II.

Specifické informační a komunikační systémy a infrastruktura II.

GDPR evoluce v ochraně osobních údajů.

Specifické informační a komunikační systémy a infrastruktura II.

Parlament se usnesl na tomto zákoně České republiky:

Aktuální situace čerpání v oblasti egovernmentu a kybernetické bezpečnosti v Integrovaném regionálním operačním programu 4. 4.

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

Jaroslav Šmíd Náměstek ředitele

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Z K B V P R O S T Ř E D Í

Ministerstvo pro místní rozvoj České republiky oznamuje změny ve 26. výzvě k předkládání žádostí o podporu. Integrovaný regionální operační program

Ministerstvo pro místní rozvoj České republiky oznamuje změny ve 26. výzvě k předkládání žádostí o podporu. Integrovaný regionální operační program

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Modul 2 - Koncepční a legislativní rámec pro oblast krizového řízení ve zdravotnictví

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Kritická infrastruktura zdravotnictví -ano či ne?

Ministerstvo pro místní rozvoj České republiky oznamuje změny ve 26. výzvě k předkládání žádostí o podporu. Integrovaný regionální operační program

elegislativa, esbírka, Národní digitální archiv

Rozdílová tabulka návrhu předpisu České republiky s předpisem EU

Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvků kritické infrastruktury

Nařízení je přímo aplikovatelné ve všech členských zemích. Nařízení je aplikováno kromě 28 členských zemí EU rovněž v Norsku, Islandu,

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

Legislativa upravující distribuci léčiv Alena Tomášková MZ ČR, ODBOR FARMACIE

elegislativa, esbírka, Národní digitální archiv

Transkript:

Jaroslav Šmíd náměstek ředitele

o Přijetí úpravy do 21 měsíců od vstupu směrnice v platnost do května 2018 o Nutná novela již účinného zákona o kybernetické bezpečnosti Příprava novely Březen 2016 počátek přípravných prací pracovní skupiny na úrovni resortů a odborné veřejnosti Legislativní proces 4.Q 2016 - schváleno vládou 2.Q 2017 schváleno sněmovnou a senátem Platnost a účinnost Účinnost transpoziční novely od 1. 8. 2017 Následují prováděcí právní předpisy

o ZKB byl v r. 2017 novelizován ve dvou liniích: o Velká novela transpozice směrnice NIS o Novela účinná od 1. 8. 2017 (Novela cestou zákona č. 205/2017 Sb.) o Úpravy ZKB: nové definice ( 2), nové povinné osoby ( 3), Vznik Národního úřadu pro kybernetickou a informační bezpečnost, změny správních deliktů ( 25) o Malá novela změna novelou zákona č. 365/2000 Sb., o ISVS o Novela účinná od 1. 7. 2017 (Novela cestou z. č. 104/2017) o Úpravy ZKB: nový pojem provozovatel IS/KS ( 2 písm. g), ustanovení o vlastnictví dat ( 6a), hlášení incidentů provozovatelem ( 8/4), pravomoc nařízení předání dat ( 15a), změny správních deliktů ( 25),

o Nové povinné osoby: o Provozovatel základní služby (PZS), informační systém základní služby (ISZS) o Systémy klíčové pro zajišťování některých hospodářských a ekonomických činností o Poskytovatel digitální služby (PDS) o Zajišťuje služby cloudu, internetového vyhledávače, e-commerce o Provozovatel informačního/komunikačního systému KII/VIS/PZS o zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém = klíčový dodavatel o Zařazen do povinných osob zavádí bezpečnostní opatření tam, kde je nemůže zavést správce o Důvod úpravy: problémy se zabezpečením dodavatelů,

o 3 ZKB a) poskytovatelé služeb elektronických komunikací, subjekt zajišťující sít elektronických komunikací b) orgán nebo osoba zajišťující významnou síť h) Poskytovatel digitálních služeb NÁRODNÍ CERT CZ.NIC c) správce a provozovatel IS KII d) správce a provozovatel KS KII e) správce a provozovatel VIS f) správce a provozovatel IS základní služby g) provozovatel základní služby VLÁDNÍ CERT NÚKIB * Tučně jsou vyznačeny změny Adam Kučínský, 2017

o Základní služba = služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení činností v některém z těchto odvětví: 1. energetika 5. zdravotnictví 2. doprava 6. vodní hospodářství 3. bankovnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl o Informační systém základní služby = systém, na jehož fungování je závislé poskytování základní služby oprovozovatel základní služby = orgán nebo osoba, která je odpovědná za poskytování základní služby a která je určena NÚKIB Adam Kučínský, 2017

o o o Kritéria stanoví prováděcí vyhláška k ZKB PZS určí NUKIB podle dopadových a odvětvových kritérií NÚKIB Dopadová a odvětvová kritéria o Odvětvová kritéria kopírují přílohu II. NIS (+ některá další přidána) o Dopadová kritéria respektují požadavky směrnice (čl. 6 NIS) a zohledňují národní podmínky o Kritéria nastavena ve spolupráci se soukromou sférou a regulátory o Pracovní skupina (13 podskupin celkem cca 100 odborníků) o Kritéria nastavena tak, aby regulace pokryla pouze systémy nezbytné pro zajištění služeb (ne fakturační, marketingové systémy ani např. bankomaty) o Předpokládaná účinnost vyhlášky a začátek určování únor 2018 Adam Kučínský, 2017

1. Definice ZKB Závislost na IS/KS (článek 5 odst. 2 NIS) Poskytuje službu ve vymezených odvětvích (příloha II. NIS) 2. Odvětvová kritéria (3 úrovně) Druh služby Druh subjektu (příloha II. NIS) Speciální kritéria druhu subjektu (článek 6 odst. 2 NIS) 3. Dopadová kritéria Dopad kybernetického bezpečnostní incidentu v informačním/komunikačním systému (článek 6 NIS) Pro určení je třeba naplnit všechny tři podmínky Adam Kučínský, 2017

Druh služby Výroba elektřiny o Odvětvová kritéria mají 3 úrovně o Je posuzováno zda, je naplní subjekt - organizace o Postupuje se od obecného ke speciálnímu Druh subjektu Výrobce elektřiny Speciální kritéria druhu subjektu Výrobna s celkovým instalovaným elektrickým výkonem nejméně 500 MW Odvětvová kritéria - Posuzuje se subjekt ÚROVEŇ ORGANIZACE o Dopadová kritéria je posuzováno, zda je naplní IS/KS Dopad kyber. bezp. incidentu Dopadová kritéria Dopadová kritéria Posuzuje se dopad KBI v systému subjektu ÚROVEŇ SYSTÉMU Určení PZS a IS ZS Subjekt naplnil odvětvová kritéria a posuzovaný systém dopadová kritéria Adam Kučínský, 2017

o Energetika o Elektřina, plyn, ropa, teplárenství * o Doprava o Letecká, železniční, vodní, silniční o Bankovnictví o Infrastruktura finančních trhů o Zdravotnictví o Vodní hospodářství o Pitná voda, nakládání s odpadní vodou * o Digitální infrastruktura o Chemický průmysl * + Specifická kritéria v jednotlivých odvětvích (minimální výkon, kapacita apod.) * Přidáno nad rámec požadavků NIS Adam Kučínský, 2017

o Posuzuje se dopad incidentu v informačním/komunikačním systému o Incident v informačním/komunikačním systémů muže způsobit: I. závažné omezení či narušení druhu služby postihující více než 25 000* nebo 50 000* nebo 500 000* osob, o Odpovídá dopadu dle článku 6 odst. 1 písm. a) NIS II. závažné omezení či narušení jiné základní služby, nebo omezení či narušení provozu prvku kritické infrastruktury, o Odpovídá dopadu dle článku 6 odst. 1 písm. b) NIS o Zároveň umožňuje určit provozovatele, který je důležitý pro jiný stát EU (čl. 5 odst. 4 NIS). III. hospodářskou ztrátu vyšší než 0,25 % HDP, o Odpovídá dopadu dle článku 6 odst. 1 písm. c), d) NIS * V závislosti na specificích jednotlivých odvětví Adam se Kučínský, tyto hodnoty 2017 liší

IV. nedostupnost definovaného druhu služby pro více než 1 600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů, o Odpovídá dopadu dle článku 6 odst. 1 písm. f) NIS V. oběti na životech s mezní hodnotou více než 100 nebo 200* mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření, VI. VII. V. Odpovídá dopadu dle článku 6 odst. 1 písm. c) NIS narušení veřejné bezpečnosti na významné části správního území obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací základními a ostatními složkami integrovaného záchranného systému, nebo o Odpovídá dopadu dle článku 6 odst. 1 písm. a), c), e) NIS kompromitaci citlivých údajů o více než 200 000 osobách o Odpovídá dopadu dle článku 6 odst. 1 písm. c) NIS * V závislosti na specificích jednotlivých odvětví se tyto hodnoty liší Adam Kučínský, 2017

o KII, VIS a PZS, kteří jsou orgánem veřejné moci, jsou povinni s poskytovatelem cloud computingu smluvně ošetřit vlastnictví dat a možnost jejich kontroly o Dále zákon stanoví povinné náležitosti smluv v této oblasti : a) respektování bezpečnostní politiky KII/VIS/PZS b) stanovení úrovně poskytovaných služeb, c) systém schvalování subdodavatelů služby cloud computingu, d) specifikace podmínek ukončení smlouvy z pohledu bezpečnosti, e) řízení kontinuity činností v souvislosti s poskytovanou službou, f) určení vlastníka uchovávaných dat, g) dohoda o důvěrnosti, h) stanovení úrovně ochrany dat z pohledu důvěrnosti, dostupnosti a integrity, i) pravidla zákaznického auditu j) povinnost informovat odběratele služeb o incidentech o Důvod: často velmi problematické smlouvy v oblasti IT ve státní správě

o Nová povinná osoba v ZKB: zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém = klíčový dodavatel o Identifikace: o Správce může pověřit jiného provozem KII/VIS, pokud to nevylučuje jiný zákon o Odpovědnost za identifikaci provozovatele má správce o Způsob identifikace zákon nedefinuje lze dovodit ze smluvního vztahu o Správce informuje dodavatele, že se stává provozovatelem o Provozovatel musí plnit ZKB v nezbytném rozsahu o Povinnosti o Provozovatel zavádí povinnosti ze ZKB tam, kde je nemůže zavést správce a tam, kde to po něm správce vyžaduje o Za toto provozovateli náleží náhrada nákladů

o Všechny povinné osoby vyjma poskytovatelů služeb el. komunikací musí hlásit incidenty, čímž není dotčena povinnost z GDPR, o Zavedena možnost přenést hlášení incidentu ze správce na provozovatele KII/VIS o Pokud Úřadu hlásí incident provozovatel, musí zároveň informovat správce o Zavedena možnost dobrovolného hlášení incidentů Vládnímu CERTu nebo Národnímu CERTu i pro jiné než povinné osoby o 12 odst. 3: Právo NÚKIB informovat veřejnost o incidentu o V případě že existuje veřejný zájem na tom aby byly zveřejněny informace o incidentu má Úřad právo informovat nebo dotčené osobě uložit aby tak učila sama o Krajní možnost omezená veřejným zájmem a konzultací s dotčeným subjektem

o Zavádí se pravomoc NÚKIB uložit v případě hrozícího incidentu provozovateli systému předat data, provozní údaje a informace spojené se IS/KS o Na návrh správce KII/VIS o Povinné náležitosti návrhu: odůvodnění, popis přechozích jednání mezi správcem a provozovatelem, možné následky nepředání dat, údajů a informací o Prolomení zákona o svobodném přístupu k informacím ( 10a ZKB) o Neposkytují se informace jejich zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření o Informace, které jsou vedené v evidenci incidentů o Je třeba stanovit co je informací, jejíž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti => klasifikace informací (podle vyhlášky č. 316/2014 Sb.)

o Zavedení nových přestupků, doplnění nových povinných osob o Změna výše sankcí za přestupky zvyšují se pokuty o Z 100 000 Kč na 1 000 000/5 000 000 Kč o Spodní hranice pokut nestanovena Povinnost Sankce Neplnění nápravných opatření, rozhodnutí, nepředání dat až 1 000 000 Nebude mít smluvně ošetřené vlastnictví, ničení a předání dat až 1 000 000 Nehlásí incidenty, neplnění rozhodnutí, až 1000 000 Nezavede bezpečnostní opatření až 5 000 000 Hlášení kontaktních údajů Až 10 000 Nepředá data, nezničí data/nespolupracuje při určování až 200 000

Směrnice NIS 2017 Národní strategie bezpečnosti sítí a informací Zavádí požadavky na bezpečnost a oznamování incidentů Ustavuje síť skupin pro reakci na incidenty (CSIRT) ZKB před novelou 2015-2017 ZKB po novele 2017 -> Povinnost zřídit vnitrostátní orgány, které budou mít bezpečnost sítí a IS v gesci Určit jednotné kontaktní místo v regulované oblasti Určení PZS * Určení PDS * Zavedeno částečně kritická informační infrastruktura ** Nezavedeno **

o Operační program: Integrovaný regionální operační program o Prioritní osa: Dobrá správa území a zefektivnění veřejných institucí o Specifický cíl - 3.2 : Zvyšování efektivity a transparentnosti veřejné správy prostřednictvím rozvoje využití a kvality systémů IKT. o Oprávnění žadatelé: Organizační složky státu, příspěvkové organizace organizačních složek státu, státní organizace a státní podniky. Kraje, organizace zřizované nebo zakládané kraji, obce (kromě Prahy a jejích částí), organizace zřizované nebo zakládané obcemi (kromě Prahy a jejích částí). o Ukončení příjmu žádostí o podporu: 22. 11. 2017

o Výzva se týká zvýšení odolnosti systémů kritické informační infrastruktury, tzv. významných informačních systémů a informačních systémů poskytovatelů základní služby veřejné správy proti kybernetickým hrozbám. Hlavní podporovanou aktivitou jsou technická opatření vedoucí k zabezpečení vyjmenovaných informačních systémů. Budou podporována opatření jako například fyzická bezpečnost (např. kamerové systémy, protipožární opatření apod.), nástroj pro ověřování identity uživatelů (správa uživatelských hesel), nástroj pro zaznamenávání činnosti kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby, jejich uživatelů a administrátorů. o Podrobnosti k Výzvě: https://www.strukturalni-fondy.cz/cs/microsites/irop/vyzvy/vyzva-c-10- Kyberneticka-bezpecnost

www.nukib.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář