Zákon o kybernetické bezpečnosti na startovní čáře. Pavel Hejl

Podobné dokumenty
Zákon o kybernetické bezpečnosti na startovní čáře

3D tisk a paragrafy. Technologické centrum AV ČR 2. prosince 2015

Právní povaha virtuálních peněz. Pavel Hejl, advokát

Smluvní právo. Nové uzavírání smluv, na co vše si při podpisu smlouvy dát pozor 15. ledna 2014

Úvod. Účinky průmyslového vzoru. Uplatňování práv k průmyslovým vzorům u soudu: aktuální judikatura. Průmyslový vzor = "slabé" právo (?

Nový občanský zákoník & Internet. Business Tuesday 29. srpna 2013

Zákon o kybernetické bezpečnosti a související předpisy

IDET AFCEA Květen 2015, Brno

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Kybernetická bezpečnost

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Zákon o kybernetické bezpečnosti a související předpisy

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Další postup v řešení. kybernetické bezpečnosti. v České republice

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Národní bezpečnostní úřad

Kybernetická bezpečnost

Zkušenosti a výsledky určování KII a VIS

Zákon o kybernetické bezpečnosti. Petr Nižnanský

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

VODÍTKA HODNOCENÍ DOPADŮ

Národní bezpečnostní úřad

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

O2 a jeho komplexní řešení pro nařízení GDPR

Zákon o kybernetické bezpečnosti

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Dopady nepatrné změny insolvenčního zákona na uspokojení věřitelů

Zákon o kybernetické bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

VZNIK A BUDOVÁNÍ NCKS

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Prezentace na konferenci CIIA. Ochrana osobních údajů

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Jaroslav Šmíd náměstek ředitele

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Co se skrývá v datovém provozu?

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

GDPR evoluce v ochraně osobních údajů.

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Zákon o kybernetické bezpečnosti

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Kybernetická kriminalita a kybernetická bezpečnost. Václav Stupka

Obsah. Přehled autorů jednotlivých kapitol...

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Vzdělávání pro bezpečnostní systém státu

Národní bezpečnostní úřad

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Bludiště na cestě k přiměřenému zabezpečení zpracování osobních údajů

Návrh zákona o kybernetické bezpečnosti

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha,

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Z K B V P R O S T Ř E D Í

Kybernetická bezpečnost resortu MV

Kybernetické bezpečnostní incidenty a jejich hlášení

ANECT & SOCA ANECT Security Day

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Informace o zpracování osobních údajů smluvních partnerů

Taťána Jančárková NBÚ/NCKB

S GDPR nepřijde konec světa

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

VOJENSKÉ ZPRAVODAJSTVÍ Národní Centrum Kybernetických Sil NCKS. SecPublica 2016

Ochrana osobních údajů a AML obsah

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Výzvy legislativy týkající se IT ve VS

Lidský faktor nejen v kybernetické bezpečnosti

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Nástroje IT manažera

1. KONSOLIDOVANÉ PŘIPOMÍNKY K NÁVRHU KYBERNETICKÉHO ZÁKONA

Ochrana před následky kybernetických rizik

Kybernetická bezpečnost MV

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Transkript:

Zákon o kybernetické bezpečnosti na startovní čáře Pavel Hejl

81% velkých společností zažilo v roce 2013 bezpečnostní incident 2,2 4 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu v malé společnosti dvojnásobek ceny v roce 2012 58% velkých společností mělo bezpečnostní incident zaviněný zaměstnancem 31% Procento nejzávažnějších bezpečnostních incidentů způsobených lidskou chybou 10% Průměrná velikost IT rozpočtu věnovaná ve velkých firmách na zabezpečení (15% pro menší podniky) 21 40 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu ve velké společnosti 73% velkých společností se stalo obětí viru nebo škodlivého softwaru 1/5 Počet nejzávažnějších bezpečnostních incidentů způsobených úmyslným zneužitím zaměstnanci 16 Průměrný počet incidentů, které velké společnosti v roce 2013 řešily

Page 3 Zdroj: IBM X-Force Research & Development

Zákon o kybernetické bezpečnosti Cíl: zajištění vysoké úrovně síťové a informační bezpečnosti a řešení zásadních bezpečnostních incidentů

Zákon o kybernetické bezpečnosti Proč zrovna zákon? Varianty ochrany: Nulová IS nakládající s utajovanými informacemi Veřejné IS Kybernetický prostor + soukromá spolupráce SOUČASNÝ STAV Kybernetický prostor + regulátor Page 5

Zákon o kybernetické bezpečnosti Proč nový zákon? Objekt regulace Systematika a prostředky Kritická informační infrastruktura ZKB 1) Zavazuje odlišný okruh subjektů 2) Stav kybernetického nebezpečí 3) Specifické pojmy 4) Kompetence orgánů Krizový zákon 1) Obecně závazný 2) Krizový stav Page 6

Zákon o kybernetické bezpečnosti Vztah zákona a jiných právních předpisů Směrnice o EKI Návrh směrnice o kybernetické bezpečnosti Transponována ZEK ZISVS Krizový zákon Uplatní se paralelně Zákon o kybernetické bezpečnosti Pojmy Kritéria prvků KI Novela Subjekty, povinnosti ZOUI Nařízení o určení prvku kritické infrastruktury (KI) Prováděcí vyhlášky Page 7

Zákon o kybernetické bezpečnosti Timeline Page 8

Zákonná úprava Jakým způsobem má být kyberprostor zabezpečen?

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Page 10

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Zákon subjekty rozděluje do pěti kategorií 1. Poskytovatel služeb el. kom. / sítí el. kom. 2. Orgán/osoba zajišťující významnou síť 3. Správce informačního systému KII 4. Správce komunikačního systému KII 5. Správci významných IS Každé kategorii ukládá zákon různé povinnosti Méně exponované subjekty Více exponované subjekty Intenzita povinností se odvíjí od podílu dané kategorie na jejím významu pro kybernetickou bezpečnost Page 11

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Národní CERT? Vládní CERT Page 12

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření. Page 13

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření. Bezpečnostní opatření Organizační např. plánování, procesy, kontrola Technická např. kryptografie, oprávnění, fyzická bezpečnost Pouze pro správce významných IS a výše (3-5) 1 rok na adaptaci Specifikuje vyhláška NBÚ Page 14

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Evidence kybernetických bezpečnostních událostí Hlášení kybernetických bezpečnostních incidentů vyhodnocení hrozeb opatření Od osob zajišťujících významnou síť výše 1 rok na započetí s hlášením Opět specifikuje vyhláška NBÚ Page 15

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Reakce na vyřešený bezpečnostní incident či získané zkušenosti Forma Opatření obecné povahy Okamžitá reakce na výskyt bezpečnostního incidentu Forma Rozhodnutí Opatření obecné povahy Page 16

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí Page 17

Zákonná úprava Základní principy Ohrožení bezpečnosti nebo integrity informací, Zákon ukládá služeb nebo povinnosti sítí velkého osobám, rozsahu a které riziko ohrožení mají významný podíl na zájmů informační ČR infrastruktuře na území státu a stát s Nerozšiřuje kompetence orgánů, rozšiřuje pouze těmito osobami skrze zřízené instituce spolupracuje okruh subjektů povinných provádět opatření Kyberprostor Informace ČR na je úřední pak chráněn desce a v médiích pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí Page 18

Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce Page 19

Zákonná úprava Základní principy Kontrola plnění zákonných povinností u méně exponovaných subjektů pouze plnění povinností za stavu Zákon ukládá povinnosti osobám, kybernetického které mají nebezpečí významný podíl na informační infrastruktuře u více na exponovaných území státu, subjektů a stát v s těmito osobami skrze zřízené instituce plném rozsahu spolupracuje vč. aktualizace Přiměřené kontaktních údajů Kyberprostor rozsahu ČR je pak chráněn pomocí bezpečnostních zmocnění ke Nemusí být předem ohlašovány opatření, hlášení a preventivních a reaktivních opatření. kontrole Uložení povinnosti odstranit nedostatky i zákazu systém používat Zaveden nový Pokuta mimořádný do výše stav stav kybernetického nebezpečí 100.000 Kč Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce Page 20

Ke startovní čáře

Ke startovní čáře Co nás čeká a nemine Vyhodnocení prováděcích předpisů Od 1.1.2015 Všechny povinné subjekty: Předání příslušnému CERT kontaktních údajů 1 měsíc Subjekty 2-5: Monitoring kybernetických bezpečnostních incidentů 1 rok od určení Více exponované subjekty (3-5): Implementace bezpečnostních opatření 1 rok od určení Sledování vývoje Page 22

Ke startovní čáře Co nás čeká a nemine Běh na dlouhou trať Zákon jako první metodický stupeň integrované ochrany Vzdělání, přístup společností i společnosti A co připravovaná směrnice? Page 23

Nárůst poptávky po profesionálech z oboru zabezpečení počítačových systémů Stále zůstává lidský prvek Náklady a administrativní zátěž pro povinné subjekty Vliv na atraktivitu ČR pro ICT investory Riziko vysokých škod pro providery B2B služeb Příležitost pro dodavatele certifikovaných IS a bezpečných řešení obecně Zvýšení důvěryhodnosti českého online prostředí Naplnění účelu zákona ve státní sféře závisí na dalších faktorech

Ukázkové scénáře

Scénář č. 1 Napadení internetového providera Síť ISP poskytujícího služby v různých částech Prahy se stane na několik hodin nepřístupnou následkem DDOS útoku. Poskytovatel služeb elektronických komunikací dle 3/a ZKB Incident nenahlásí národnímu CERT V pořádku, není povinen Incident nahlásí národnímu CERT Na bázi dobrovolnosti Národní CERT není ke zpracování informace povinen, ale pravděpodobně incident vyhodnotí a v případě zájmu ISP mu poskytne pomoc Page 26

Scénář č. 2 Phishing Na řadu emailových adres v české doméně přijde email s podvrženým odkazem do online bankovnictví k získání čísla kreditní karty uživatele. Dva možné výklady: Není kybernetickou bezpečnostní událostí Opět přichází v úvahu dobrovolná spolupráce Zveřejnění informace v aktualitách CERT Je kybernetickou bezpečnostní událostí Povinnost evidence Může přerůst v incident Hlášení Vyhodnocení Reakce dle okolností Page 27

Scénář č. 2 Phishing Na řadu emailových adres v české doméně přijde z jedné konkrétní české IP adresy email s podvrženým odkazem do online bankovnictví k získání čísla kreditní karty uživatele. Pokud by se nejednalo o kybernetickou bezpečnostní událost či incident, stále jsou povinny řešit to orgány činné v trestním řízení Pokud se jedná o kybernetickou bezpečnostní událost či incident Reakce rozhodnutí NBÚ o odpojení IP adresy za běžného stavu nelze zacílit na méně exponované subjekty (privátní poskytovatele sítí) Nezbytnost a přiměřenost zásahu Rychlost řešení Page 28

Scénář č. 3 Heartbleed bug Dojde k exploitu bezpečnostní chyby, která je významem obdobná Heartbleed nebo Shellshock bugu. Při pokusu o zneužití bugu jsou povinné subjekty povinny hlásit to jako kybernetický bezpečnostní incident I bez toho NBÚ si může být chyby vědom a s ohledem na její závažnost může opatřením obecné povahy uložit povinnost aktualizovat komponentu na zabezpečenou Může být uloženo reaktivně i preventivně Page 29

Scénář č. 4 Březen 2013 V České republice se odehraje přímý útok na řadu zpravodajských serverů, bank a operátorů. Vládní CERT by z velkého množství informací posoudil, zda lze ochrany dosáhnout pouze spoluprací se subjekty významné a kritické informační infrastruktury Pokud by se ukázalo ukládání povinností i privátním poskytovatelům služeb a sítí jako nevyhnutelné, mohl by pak ředitel NBÚ vyhlásit stav kybernetického nebezpečí V něm vydávaná opatření by mohla ukládat povinnosti např. filtrování síťového provozu i odpojování sítí Pravděpodobná mezinárodní spolupráce CERT/CSIRT týmů Page 30

Děkuji za pozornost pavel.hejl@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. Page 31 twobirds.com

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář