Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Podobné dokumenty
Zákon o kybernetické bezpečnosti

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Jaroslav Šmíd náměstek ředitele

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy

Teze vyhlášky o určování provozovatelů základních služeb

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Evoluce kybernetické bezpečnosti z pohledu státu. Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Kybernetická bezpečnost

Zkušenosti a výsledky určování KII a VIS

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

IDET AFCEA Květen 2015, Brno

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Národní bezpečnostní úřad

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Ustanovení (čl., odst., Obsah písm., bod, této směrnice v platnost] přijmou a zveřejní a upravuje zajišťování bezpečnosti sítí

Synergie všeho Ěskoroě ISSS 2017

KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICE

Aktuální situace. Jaroslav Šmíd náměstek ředitele NBÚ

Další postup v řešení. kybernetické bezpečnosti. v České republice

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Kybernetická bezpečnost

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Národní bezpečnostní úřad

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby cloud computingu (Cloudová vyhláška)

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

INFORMACE O INSTITUTU ZÁKLADNÍ SLUŽBY. Shrnutí způsobu určení provozovatele základní služby a informačního systému základní služby

Řízení bezpečnosti. Ochrana kritické infrastruktury

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Zákon o kybernetické bezpečnosti. Petr Nižnanský

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti na startovní čáře

L 320/8 Úřední věstník Evropské unie

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Zásadní změny zákona o krizovém řízení

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

Kybernetická bezpečnost resortu MV

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

Územní energetická koncepce Zlínského kraje

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Kybernetická bezpečnost MV

ROZHODNUTÍ. s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 53 odst. 1, články 62 a 114 ve spojení s čl. 218 odst.

VODÍTKA HODNOCENÍ DOPADŮ

ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY (EU)

Kritická infrastruktura zdravotnictví -ano či ne?

Legislativní změny v oblasti chemických látek a směsí a prevence závažných havárií. MUDr. Marie Adámková

Jedná se o legislativně technickou úpravu vyplývající z potřeby doplnit do 2 nová písmena h) až m).

problematika ochrany kritické infrastruktury - po 11.září 2001 EKONOMIKA + BEZPEČNOST, úkolem státu je zajistit základní životní potřeby obyvatelstva

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY A JEJICH VLIV NA ROZVOJ ŽELEZNIČNÍ SÍTĚ V ČR

Z K B V P R O S T Ř E D Í

Alternativní paliva pro dopravu a pohony v ČR po roce 2020

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Problematika kritické infrastruktury

ZMĚNY LEGISLATIVY EU V OBLASTI DANĚ Z PŘIDANÉ HODNOTY

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

Zákon o kybernetické bezpečnosti

Tzv. euronovela energetického zákona. Mgr. Antonín Panák Energetický regulační úřad

N 111 / 10 / 02, N 112 / 10 / 02, N 113 / 10 / 02 a N 114 / 10 / 02

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Úřední věstník Evropské unie L 194. Právní předpisy. Legislativní akty. Svazek července České vydání. Obsah SMĚRNICE

Co přináší novela zákona o léčivech? PharmDr. Alena Tomášková odbor farmacie

BALÍČEK OPATŘENÍ K ENERGETICKÉ UNII PŘÍLOHA PLÁN VYTVÁŘENÍ ENERGETICKÉ UNIE

Zákon č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů

401/2010 Sb. VYHLÁŠKA. ze dne 20. prosince 2010

Obsah. O autorech... V Předmluva... VII Jednotlivé části publikace zpracovali...xv Seznam použitých zkratek... XVII

SBÍRKA ZÁKONŮ. Ročník 2017 ČESKÁ REPUBLIKA. Částka 74 Rozeslána dne 14. července 2017 Cena Kč 75, O B S A H :

Úřední věstník Evropské unie

Představení ERÚ a jeho činnost při uplatňování regulace v sektoru elektroenergetiky

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) č. /.. ze dne ,

EVROPSKÁ UNIE EVROPSKÝ PARLAMENT

METODICKÉ MATERIÁLY červenec 2015

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

Priority ERÚ v roce 2012

OBSAH. Přehled ustanovení zpracovaných jednotlivými autory... XI Seznam zkratek... XX Seznam předpisů citovaných v komentáři... XXX Předmluva...

Návrh NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

CS Jednotná v rozmanitosti CS A8-0288/206. Pozměňovací návrh. Miriam Dalli za skupinu S&D

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /... ze dne ,

Žádosti členských států o aktualizaci seznamu Společenství

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

PŘÍLOHA STANOVISKA AGENTURY EASA Č. 06/2012. NAŘÍZENÍ KOMISE (EU) č. /.. ze dne XXX,

PŘÍLOHA. Provádění strategie pro jednotný digitální trh

Transkript:

Adam Kučínský Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

o Prezentace má pouze informativní charakter. o Prezentace odráží stav problematiky k datu jejího vytvoření. o Prezentaci není možné šířit bez předchozího písemného souhlasu autora.

o Stanovit základní úroveň bezpečnostních opatření o Zlepšit detekci kybernetických bezpečnostních incidentů o Zavést hlášení kybernetických bezpečnostních incidentů o Zavést systém opatření k reakci na kybernetické bezpečnostní incidenty o Upravit činnost dohledových pracovišť o Cíle novely: o Transpozice Směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, (směrnice NIS) o Odstranění některých nedostatků současné úpravy

o Hlavní o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti ( ZKB ) o Vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti ( VKB ) o Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích ( VVIS ) o Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (dále také NKI ) o Vedlejší o Zákon č. 127/2005 Sb., o elektronických komunikacích ( ZEK ) o Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů

o 3 ZKB a) poskytovatelé služeb elektronických komunikací, a subjekt zajišťující sít elektronických komunikací, b) orgán nebo osoba zajišťující významnou síť c) správce IS KII d) správce KS KII e) správce VIS NÁRODNÍ CERT VLÁDNÍ CERT

o Zákon č. 127/2005 Sb., o elektronických komunikacích o 2 písm. f) ZEK zajišťováním sítě elektronických komunikací zřízení této sítě, její provozování, dohled nad ní nebo její zpřístupnění o 2 písm. n) ZEK službou elektronických komunikací služba obvykle poskytovaná za úplatu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací --> ISP o Určování neprobíhá osoby definovány zák. o el. komunikacích o Sféra Národního CERTu o Pouze povinnost hlásit kontaktní údaje o Změny se v souvislosti s novelou ZKB neplánují

o Významná síť ( 2 písm. g ZKB) o síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře o Určování neprobíhá povinný subjekt určen přímo definicí v ZKB o Sféra Národního CERTu o Povinnost hlásit kontaktní údaje o Povinnost detekovat kybernetické bezpečností události o Povinnost hlásit incidenty o Změny se v souvislosti s novelou ZKB neplánují

o Systémy důležité pro chod státu o Sféra Vládního CERTu o Určuje/navrhuje NBÚ o Pro určování KII jsou důležité: o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti >> definuje KII o Zákon č. 240/2000 Sb., krizový zákon >> stanoví proces určení KII o Nařízení vlády č. 432/2010 Sb. >> stanoví kritéria pro KII o Nejpřísnější regulace povinnost plnit celý ZKB: o Hlásí kontaktní údaje o Detekuje a hlásí incidenty o Povinnost zavést bezpečností opatření podle vyhlášky č. 316/2014 Sb. o Provádí ochranná a reaktivní opatření vydaná NBÚ

o KII určována NBÚ na základě naplnění určujících kritérií o 2 písmeno g) krizového zákona o narušení funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu o Průřezová kritéria - 1 nařízení vlády č. 432/2010 Sb. o Kritérium obětí o Kritérium ekonomické ztráty o Kritérium dopadu na veřejnost o Odvětvová kritéria příloha NV o energetika, finanční sektor, komunikační a informační systémy, veř. správa, o Změny se v souvislosti s novelou ZKB neplánují

o Definice dle 2 písm. d) ZKB: informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci o Pouze IS spravovaný orgánem veřejné moci (mimo obce) o Není KII o Identifikace konkrétních VIS závislá na vyhlášce o významných informačních systémech a jejich určujících kritériích o Oproti KII je mířeno směrem k zajištění působnosti OVM o Změny se v souvislosti s novelou ZKB neplánují

o VIS posouzené správcem na základě určujících kritérií o IS splňující určující oblastní a dopadová kritéria (vyhláška č. 317/2014) o splnění kritérií posuzuje sám správce hodnoceného IS o IS je určen jako VIS interním aktem o správce nahlásí NBÚ tuto skutečnost společně s kontaktními údaji o V současné době evidujeme 155 VIS u 58 správců o VIS přímo stanovené v příloze č. 1 VVIS o Původně 92 systémů u 36 správců, příloha průběžně novelizována o Zařazení do přílohy nemá konstitutivní charakter pro plnění povinností rozhodující je posouzení o Povinnosti o Hlásí kontaktní údaje, Detekuje a hlásí incidenty, zavádí bezp. opatření

o Směrnice stanovuje opatření pro bezpečnost sítí a informačních systémů v rámci Unie s cílem zlepšit fungování vnitřního trhu o Některé důvody přijetí směrnice: o IS a KS hrají zásadní roli a jsou nezbytné pro ekonomické a společenské činnosti (čl. 1 preambule) o Zvyšuje se rozsah, četnost a dopad bezpečnostních incidentů (čl. 2 pr.) o Stávající schopnosti nejsou v Unii dostačující (čl. 5 pr.) o Průběh přijetí směrnice o Návrh směrnice je na půdě Evropské unie řešen již od roku 2013 o Finální znění přijato 6. července 2016, publikace 19. července 2016 o Platnost od 8. srpna 2016

o Státy musí přijmout národní strategii pro bezpečnost sítí a informačních systémů o Státy musí určit vnitrostátní příslušné orgány pro oblast regulace, jednotná kontaktní místa a týmy CSIRT o Státy musí určit provozovatele základních služeb (PZS) o Stanoveno konkrétní datum - do 9. listopadu 2018 o Směrnice přímo definuje poskytovatele digitálních služeb (DSP) povinnost zapracovat do právního řádu o PZS s DSP budou muset přijmout a zavést bezpečnostní opatření a hlásit incidenty o Směrnice dále ustavuje síť skupin pro reakci na incidenty (CSIRT) a skupinu pro spolupráci na úrovni EU

o ČR musí přijmout úpravu do 21 měsíců od vstupu směrnice v platnost tedy nejpozději do května 2018 o Nutno novelizovat ZKB o březen 2016 svolána pracovní skupina pro transpozici NIS na úrovni jednotlivých resortů o duben 2016 - vytvořena pracovní skupina pro transpozici NIS na úrovni odborné veřejnosti o 18. července 2016 - návrh novely ZKB odeslán do MPŘ o 15. srpna 2016 - MPŘ ukončeno o Nyní probíhá vypořádání připomínek o Plán: 4. Q/2016 předložení transpozičních právních předpisů PS

o Směrnice zavádí dva druhy povinných subjektů I. Provozovatelé základních služeb (PZS) II. o Klíčové subjekty pro fungování společenských a ekonomických činností o Určováni členskými státy na základě stanovených kritérií o Kritéria rámcově stanovena směrnicí dopady a odvětví o Podobné KII jsou zde ale rozdíly (PZS orientovány na vnitřní trh x KII na bezpečnosti státu, kritéria KII plně nepokryjí kritéria pro PZS, ) o o o Poskytovatelé digitálních služeb (DSP) Regulováni nově Typově se jedná o vyhledávače, on-line tržiště, cloud computing Povinnosti jsou mírnější než u PZS - princip maximální harmonizace

o Základní služba = služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení činností v některém z těchto odvětví: 1. energetika 5. zdravotnictví 2. doprava 6. dodávky a rozvody pitné vody 3. bankovnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl o Informační systém základní služby = systém, na jehož fungování je závislé poskytování základní služby o provozovatel základní služby = orgán nebo osoba, která je odpovědná za poskytování základní služby a která je určena Národním bezpečnostním úřadem

o Pro to, aby byla služba považována za základní je nutné: o Aby její poskytování bylo závislé na sítích nebo informačních systémech o Narušení systému by mohlo mít významný dopad na zabezpečení klíčových společenských nebo ekonomických činností v některém z vyjmenovaných odvětví (viz dále) o Ke každému odvětví NIS uvádí dále pododvětví, kterých se týká o Pododvětví jsou definována prostřednictví již schválených odvětvových směrnic či nařízení o Směrnice nastavuje rozsah povinných subjektů poměrně široce o V prováděcí vyhlášce bude tento rozsah omezen dopadovými kritérii vyhláška zatím nevydána

o Směrnice NIS uvádí odvětví, ve kterých budou PZS určováni: 1. energetika 5. zdravotnictví 2. doprava 6. dodávky a rozvody pitné vody 3. bankovnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů + nad rámec směrnice přidán 8. chemický průmysl o Směrnice dále v čl. 6 stanoví okolnosti, které mají státy při určení zvážit (jde o obdobu průřezových kritérií u KII): a) počet uživatelů, kteří jsou závislí na službě b) závislost dalších odvětví na službě poskytované daným subjektem d) podíl daného subjektu na trhu e) zeměpisný rozsah oblasti, která by mohla být incidentem dotčena c) možný dopad incidentů f) důležitost subjektu, pokud jde o udržování dostatečné úrovně dané služby, s přihlédnutím k dostupnosti alternativ

o PZS budou určováni opatření obecné povahy vydaným NBÚ o Určující kritéria stanoví prováděcí vyhláška k ZKB o Vyhláška zatím není zpracována zveřejněny pouze teze vyhlášky o Odvětví budou kopírovat NIS, dopadová kritéria budou respektovat požadavky směrnice a zohledňovat národní podmínky o Pro určení bude nutné naplnit jak dopadová tak odvětvová kritéria o Na konkrétním nastavení kritérií bude spolupracováno s odborníky z veřejné i soukromé sféry o Kritéria je nutno nastavit tak, aby regulace pokryla pouze systémy nezbytné pro zajištění služeb (ne fakturační či marketing. systémy)

o Dopadová kritéria pro určování PZS by mohly vypadat následovně: a) omezení základní služby postihující více než 50 000 osob b) omezení či narušení jiné základní služby, nebo omezení či narušení provozu prvku kritické infrastruktury c) hospodářskou ztrátu vyšší než XXX % HDP d) nedostupnost služby, která není nahraditelná jinou službou e) oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1000 zraněných osob vyžadujících lékařské ošetření f) ohrožení veřejné bezpečnosti v minimálním rozsahu správního území obce s rozšířenou působností g) kompromitaci citlivých údajů o 200 000 osobách o Mnoho vitálních systémů již určeno jako KII nepředpokládáme výrazné množství PZS o V případě, že systém naplní kritéria pro PZS i KII určí se jako KII

o Pododvětví Elektřina o elektroenergetický podnik o provozovatel distribuční soustavy a provozovatel přenosové soustavy o Pododvětví Ropa o provozovatel ropovodů o provozovatelé zařízení na zpracování, rafinaci a úpravu ropy a skladovacích a přenosových zařízení o Pododvětví Zemní plyn o fyzická nebo právnická osoba, která provádí dodávky o provozovatel distribuční a přepravní soustavy o provozovatel skladovacího zařízení o provozovatel zařízení LNG o plynárenský podnik a provozovatel zařízení na rafinaci a úpravu plynu

o Pododvětví Letecká doprava o letečtí dopravci o letiště o řízení letového provozu o Pododvětví Železniční doprava o provozovatelé infrastruktury o železniční podniky o Pododvětví Vodní doprava o podniky vnitrozemské, námořní a pobřežní osobní a nákladní vodní dopravy o řídící orgány přístavů o Pododvětví Silniční doprava o silniční orgány a provozovatelé inteligentních dopravních systémů

o Bankovnictví o úvěrové instituce (podnik, jehož činnost spočívá v přijímání vkladů nebo jiných splatných peněžních prostředků od veřejnosti a poskytování úvěrů na vlastní účet) o Pododvětví Infrastruktura finančních trhů o provozovatelé obchodních systémů (regulovaný trh, mnohostranný obchodní systém nebo organizovaný obchodní systém) o ústřední protistrana (právnická osoba, která vstupuje mezi strany smluv uzavíraných na jednom či na několika finančních trzích, a stává se tak kupujícím pro každého prodávajícího a prodávajícím pro každého kupujícího)

o Poskytovatelé zdravotní péče o poskytovatel zdravotní péče = fyzická nebo právnická osoba nebo jiný subjekt, který zákonným způsobem poskytuje zdravotní péči na území členského státu

o Dodavatel a distributor vody určené k lidské spotřebě o vodou určenou k lidské spotřebě se rozumí: o veškerá voda, v původním stavu nebo po úpravě, určená k pití, vaření, přípravě potravin nebo k jiným účelům v domácnosti, bez ohledu na její původ či zda je dodávána z rozvodné sítě, ze zásobníků cisteren, v lahvích nebo kontejnerech; o veškerá voda používaná v potravinářských zařízeních k výrobě, zpracování, konzervaci nebo uvádění výrobků nebo látek určených k lidské spotřebě na trh

o Výměnné uzly internetu o Poskytovatelé služeb systému doménových jmen o Rejstříky internetových domén nejvyšší úrovně

o NIS stanovuje následující okruhy povinností pro PZS: o Přijmout technická a organizační opatření k řízení rizik o Přijmout opatření k předcházení incidentům narušujícím bezpečnost o Oznamovat incidenty včetně případných přeshraničních dopadů o Poskytovat národní regulační autoritě informace pro posouzení bezpečnosti včetně bezpečnostní politiky o Provádět nápravu zjištěných nedostatků o Povinnosti jsou stejné jako u KII - rozsah povinností bude stejný o KII má navíc povinnosti vyplývající z krizového zákona o PZS bude regulována jako samostatná kategorie - nebude zahrnuta pod krizový zákon

o Poskytovatel digitální služby poskytuje službu: o On-line tržiště - umožňuje on-line uzavírat kupní smlouvu nebo smlouvu o poskytnutí služeb prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, která využívá službu on-line tržiště o Internetového vyhledávače o Cloud computingu - umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet o Tyto definice vycházejí přímo ze směrnice o Regulace se netýká malých a mikro podniků

o 4 odst. 3 NZKB: zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě a informační systémy, které využívá v souvislosti se zajišťováním své služby o 8 odst. 2 NZKB: hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb o 16 odst. 2 písm. h) NZKB: oznamovat kontaktní údaje Nár. CERTu o Uplatňuje se princip maximální harmonizace povinnosti nad rámec NIS se neukládají, kontrola pouze při podezření neplnění požadavků o DSP tedy musí: o Přijmout vhodná a přiměřená technická a organizační opatření k řízení rizik o Přijatá opatření musí odpovídat míře existujícího rizika o Přijmout opatření k předcházení incidentů a incidenty oznamovat

o 3a: pokud DSP nemá zástupce v členském státu EU musí jej zřídit o 4 odst. 6: KII, VIS a PZS kteří jsou orgánem veřejné moci, jsou povinni si smluvně ošetřit vlastnictví dat a možnost jejich kontroly s poskytovatelem cloud comp. o 4a odst. 2: Pokud KII, VIS nebo PZS není provozovatelem svého systému, musí provozovatele informovat o tom, že IS/KS byl určen o 4a odst. 2: KII musí informovat své ISP o tom, že se tito ISP stávají významnou sítí o 12 odst. 3: Právo NBÚ informovat veřejnost o incidentu o 25: Změna sankcí za správní delikty a zavedení nových deliktů o Změna zákona o svobodném přístupu k informacím

o Mezinárodní spolupráce směrnice vytváří unijní kooperační struktury pro usnadnění výměny informací a osvědčených postupů (skupina pro spolupráci a síť CSIRT) o Národní struktury a rámce zavádí povinnost vytvořit příslušné orgány odpovědné za kybernetickou bezpečnost na vnitrostátní úrovni, zřídit týmy CSIRT a jednotné kontaktní místo -> v ČR již zavedeno o Bezpečnost sítí a informačních systémů zavádí povinnosti týkající se bezpečnosti sítí a informačních systémů, které musí povinné subjekty splňovat a které mohou být vymáhány příslušnými orgány -> v ČR již zavedeno

Směrnice NIS Národní strategie bezpečnosti sítí a informací Zavádí požadavky na bezpečnost a oznamování incidentů Ustavuje síť skupin pro reakci na incidenty (CSIRT) Povinnost zřídit vnitrostátní orgány, které budou mít bezpečnost sítí a IS v gesci Určit jednotné kontaktní místo v regulované oblasti Určení PZS Určení DSP Zákon o kybernetické bezpečnosti Národní strategie kybernetické bezpečnosti Povinnost zavést bezp. opatření a hlásit incidenty Zakotvil činnosti Vládního a Národního CERT NBÚ gestorem Kybernetické bezpečnosti NBÚ je kontaktním místem pro nár. i mezinár. spolupráci v oblasti KB Částečně zavedeno (KII) Nezavedeno

o Hlavní o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti ( ZKB ) o Probíhá novelizace 15. srpna skončilo MPŘ o Vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti ( VKB ) o Bude novelizována (pouze formální doplnění povinných osob) o Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích ( VVIS ) beze změny o Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (dále také NKI ) beze změny + Bude vydána nová vyhláška o poskytovatelích základních služeb (určovací kritéria) o Vedlejší o Zákon č. 127/2005 Sb., o elektronických komunikacích ( ZEK ) o Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů

o 3 NZKB a) poskytovatelé služeb elektronických komunikací, a subjekt zajišťující sít elektronických komunikací b) orgán nebo osoba zajišťující významnou síť c) Poskytovatel digitálních služeb d) správce IS KII e) správce KS KII f) správce VIS g) správce a provozovatel IS základní služby h) provozovatel základní služby NÁRODNÍ CERT VLÁDNÍ CERT

o Nahlášení kontaktních údajů ( 16 ZKB) o Všechny povinné osoby, nově i DSP a PZS o Hlášení kybernetických bezpečnostních incidentů ( 8 ZKB) o KII, VIS, významné sítě, nově i DSP a PZS o Zavedení bezpečnostních opatření (standardizace) ( 4 ZKB) o KII, VIS, nově i PZS, DSP pouze některá opatření o Činit opatření vydané NBÚ ( 11 ZKB) o KII, VIS, nově i PZS o Významné sítě a poskytovatelé služby el. komunikací pouze za stavu kybernetického nebezpečí, pouze reaktivní opatření

Děkuji za pozornost Adam Kučínský Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti nbu.cz govcert.cz

Blokové schéma k zákonu o kybernetické bezpečnosti: http://www.govcert.cz/cs/kii--vis/kii--vis/ Proces určování kritické informační infrastruktury: http://www.govcert.cz/cs/kii--vis/kriticka-informacni-infrastruktura/ Proces určování významných informačních systémů: http://www.govcert.cz/cs/kii--vis/vyznamne-informacni-systemy/ Pomůcka k auditu/kontrole bezpečnostních opatření podle zákona: http://www.govcert.cz/cs/kii--vis/dalsi-materialy-ke-stazeni/ Výkladový slovník kybernetické bezpečnosti - třetí vydání: http://www.govcert.cz/cs/informacni-servis/vykladovy-slovnik/ Návrh novely zákona o KB (vč. úplného znění): https://apps.odok.cz/veklepdetail?pid=albsabvh86o2 Směrnice NIS v ČJ (Úřední věstník EU, 19. 7. 2016, L194): http://eurlex.europa.eu/legal-content/cs/txt/pdf/?uri=oj:l:2016:194:full&from=en

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář