Zkušenosti a výsledky určování KII a VIS

Podobné dokumenty
o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Zákon o kybernetické bezpečnosti a související předpisy

IDET AFCEA Květen 2015, Brno

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Zákon o kybernetické bezpečnosti a související předpisy

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Jaroslav Šmíd náměstek ředitele

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Další postup v řešení. kybernetické bezpečnosti. v České republice

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Zákon o kybernetické bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Kybernetická bezpečnost

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Kybernetická bezpečnost

Zásadní změny zákona o krizovém řízení

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Kybernetická bezpečnost resortu MV

ZÁKON ze dne 23. července 2014 o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Národní bezpečnostní úřad

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Kybernetická bezpečnost MV

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Zákon o kybernetické bezpečnosti na startovní čáře

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

Rozdílová tabulka návrhu předpisu České republiky s předpisem EU

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

181/2014 Sb. ZÁKON ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST

Evoluce kybernetické bezpečnosti z pohledu státu. Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory

DIGITAL CZECH REPUBLIC

Zákon o kybernetické bezpečnosti

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Zákon o kybernetické bezpečnosti na startovní čáře. Pavel Hejl

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

VODÍTKA HODNOCENÍ DOPADŮ

Synergie všeho Ěskoroě ISSS 2017

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

181/2014 Sb. ZÁKON ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Z K B V P R O S T Ř E D Í

Posuzování na základě rizika

Dopady GDPR a jejich vazby

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

SBÍRKA ZÁKONŮ. Ročník 2017 ČESKÁ REPUBLIKA. Částka 74 Rozeslána dne 14. července 2017 Cena Kč 75, O B S A H :

Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvků kritické infrastruktury

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Státní pokladna. Centrum sdílených služeb

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

NÁRODNÍ PROGRAM OCHRANY KRITICKÉ INFRASTRUKTURY IV.

GDPR evoluce v ochraně osobních údajů.

Související právní předpisy: Nařízení EMAS Vodní zákon

ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ. 1 Předmět úpravy

Bezpečnostní politika společnosti synlab czech s.r.o.

STATUT. Úvodní ustanovení 11. Základní ustanovení. Ill. Předmět činnosti

NEJEN STÁTNÍ CLOUD - egovernment Cloudu

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Zákon o kybernetické bezpečnosti

Teze vyhlášky o určování provozovatelů základních služeb

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

10. funkční období. Návrh zákona o službách vytvářejících důvěru pro elektronické transakce

Taťána Jančárková NBÚ/NCKB

Parlament se usnesl na tomto zákoně České republiky:

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Bohdan Lajčuk Mikulov

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Kybernetické bezpečnostní incidenty a jejich hlášení

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

MPO poř. č. 5. Název legislativního úkolu

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

INFORMACE O INSTITUTU ZÁKLADNÍ SLUŽBY. Shrnutí způsobu určení provozovatele základní služby a informačního systému základní služby

Národní bezpečnostní úřad

Legislativní změny v oblasti chemických látek a směsí a prevence závažných havárií. MUDr. Marie Adámková

Obecné nařízení o ochraně osobních údajů

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

AKTI T V I I V T I Y T Y E U E V V O BLA L ST S I T

ODŮVODNĚNÍ I. ZÁVĚREČNÁ ZPRÁVA Z HODNOCENÍ DOPADŮ REGULACE (RIA)

Transkript:

Zkušenosti a výsledky určování KII a VIS

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o stejně jako KI se týká veřejnoprávních i soukromoprávních subjektů o Pro určování KII jsou důležité: o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti >> definuje KII o Zákon č. 240/2000 Sb., krizový zákon >> stanoví proces určení KII o Nařízení vlády č. 432/2010 Sb. >> stanoví kritéria pro KII 2

o Subjekty se stanou KII až po určovacím procesu o ZKB na ně dřív může dopadat jen v rámci jiných povinných osob o NBÚ kontaktuje pravděpodobný subjekt KII o Subjekt provede ve spolupráci s NBÚ zhodnocení svých IS a KS, zda naplňují kritéria pro určení za KII o Předpokládá se úzká spolupráce mezi tímto subjektem a NBÚ o Pokud IS nebo KS splní kritéria, pak se určí jako KII 3

o Proces určování rozdílný podle povahy subjektů o Postup podle krizového zákona o Státní prvky: o Seznam navrhovaných prvků NBÚ předloží MV o Seznam následně projedná Výbor pro civilní a nouzové plánování a Bezpečnostní rada státu o Poté seznam předložen vládě ČR ke schválení o Soukromé prvky: o NBÚ určí prvky KII opatřením obecné povahy 4

o KII o VIS o Definována zákonem o KB a zákonem o krizovém řízení o Narušení takového systému by mohlo mít závažný dopad na fungování státu, život a zdraví obyvatel, ekonomiku nebo bezpečnost o KII musí plnit 100 % požadavků vyhlášky č. 316/2014 Sb. o Definovány pouze zákonem o KB o Narušení takového systému bude mít dopad na výkon působnosti orgánu veřejné moci o VIS musí plnit cca 60 % požadavků vyhlášky č. 316/2014 Sb. 5

o Určování prvků KII rozděleno do tří základních vln 1. vlna: Ministerstva a ústřední správní úřady o Ministerstva a ÚSÚ určeny jako KI o Jako KI určeno cca 80 státních prvků o Pravděpodobné naplnění kritérií pro KII o Ne všichni určení jako KI naplnili kritéria pro KII o Jednání využita i pro konzultace naplnění kritérií pro VIS 6

o 1. vlna: Ministerstva a ústřední správní úřady o 25. května 2015 vládou schváleno 45 prvků KII, které spravují organizační složky státu o Zahájena 2. vlna: zbývající část státní správy o 15. září 2015 předloženy ke schválení další prvky KII u organizačních složek státu o Stále probíhá o Příprava na určení dalších prvků KII o Probíhají další jednání 7

o 3. vlna: soukromý sektor o Jednání se společnostmi poskytujícími klíčové služby o Odvětví: energetika, bankovnictví, telekomunikace, o V srpnu 2015 vydáno 10 návrhů opatření obecné povahy určujících 17 prvků KII u 10 soukromoprávních subjektů o Datum nabytí účinnosti těchto OOP - 9. října 2015 o Příprava na určení dalších prvků: o Aktuálně připraveno k určení dalších 17 prvků KII u 6 správců o Dokončována jednání s dalšími 8 správci KII o Kontaktováni další potencionální správci KII 8

o Od účinnosti zákona dosud proběhlo ohledně určování KII přes 100 jednání se soukromými i státními subjekty o KII veřejný sektor o 45 prvků určeno o další prvky v procesu určení schválení cca do měsíce o KII soukromý sektor o 17 prvků u 10 správců určeno (OOP vydáno) o 17 prvků u 6 správců připraveno k určení (OOP připravováno) o Dokončována jednání s dalšími 8 potencionálními správci KII o Kontaktováni další potencionální správci KII 9

o Definice VIS dle 2 písm. d) ZKB: o informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci o Pouze IS spravovaný orgánem veřejné moci o Identifikace konkrétních VIS závislá na vyhlášce č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích o Obce z VIS vyjmuty 10

o Současný stav VIS: o V příloze č. 1 vyhlášky o VIS uvedeno 92 systémů o Do KII přeřazeno 22 systémů o Nově určeno 19 systémů jako VIS o Nyní NBÚ eviduje 89 VIS (nejde o konečný počet) o Předpoklad je, že by kritéria pro VIS mohly naplnit i některé univerzity o Finalizuje se určení VIS ve správě krajů o Seznam ve vyhlášce bude aktualizován 11

o Prozatím nebyl identifikován IS/KS jehož správcem je kraj a splňuje kritéria pro KII kraje budou mít spíše VIS o Kraje mají stejné kompetence a působnost využívají podobné informační systémy - systémy naplňují podobná kritéria Koordinovaný postup při posuzování a určování VIS o Spolupráce na úrovni Asociace krajů komise informatiky o Proběhlo několik jednání se zástupci krajů o NBÚ/NCKB poskytlo metodické materiály a podporu o Na tomto základě vytipovány systémy, které splňují kritéria pro VIS (systémy vybírány z ISoISVS) Navrženy IS k projednání na úrovni komise AKČR s návrhem, aby byly určeny jako VIS 12

o Nahlášení kontaktních údajů ( 16 ZKB) o Do 30 dnů od určení o Hlášení kybernetických bezpečnostních incidentů ( 8 ZKB) o Do jednoho roku od určení o Zavést bezpečnostní opatření (standardizace) ( 4 ZKB) o Do jednoho roku od určení o Činit opatření vydané NBÚ ( 11 ZKB) o V případě, že se tak stane 13

0. Proces určování prvků KII (oboustranné jednání) viz. schéma na www.govcert.cz 1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost státního dozoru (auditu) ze strany NBÚ kontrola souladu se zákonem o kybernetické bezpečnosti 14

1. Lhůta 30 dní pro nahlášení kontaktních údajů 2. Přechodné období 3. Možnost auditu/kontroly 15

o Správce KII a VIS se dopustí správního deliktu pokud a) v rozporu s 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, b) neohlásí kybernetický bezpečnostní incident podle 8 odst. 1 a 3, c) nesplní povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle 13 nebo 14, d) neoznámí kontaktní údaje nebo jejich změnu podle 16 odst. 2 písm. b) nebo e) nesplní některou z povinností uloženou nápravným opatřením podle 24. o Za správní delikt lze uložit pokutu do 100 000 Kč s výjimkou deliktu podle písmene d), kde hrozí sankce až 10 000 Kč. 16

o Kontrolu plnění povinností vykonává NBÚ o Kontrola bude spuštěna v závislosti na určení konkrétního prvku o Od 1. 1. 2016 kontroly u správců VIS uvedených ve vyhlášce o Ostatní VIS - rok od určení o Od 25. 5. 2016 kontroly u správců 45 prvků KII určených v první vlně o Prvky KII v soukromém sektoru rok od právní moci OOP 17

o Co bude kontrolováno? o Při výkonu kontroly Úřad zjišťuje, jak povinné osoby plní povinnosti stanovené ZKB, prováděcími právními předpisy, rozhodnutími a opatřeními obecné povahy vydanými Úřadem o Nebude stačit pouhé předložení dokumentace o Metodický dozor o Cílem zákona není represe jde o zajištění požadované úrovně zabezpečení důležitých systémů, nikoli o ukládání sankcí o Metodický dozor může provést kontrolu bez uložení případné sankce 18

o KII o VIS o Bílá místa krizového zákona o Zdravotnictví kritérium pro KI 2 500 lůžek žádná nemocnice není kritická o V odvětvových kritériích pro KI chybí chemický průmysl o Vyloučena velká města, i když spravují důležité systémy o Někteří správci důležitých informačních systémů nejsou orgánem veřejné moci o Určování do značné míry ovlivňuje přístup subjektů 19

o Zákon č. 106/1999 Sb., o svobodném přístupu k informacím o Transparentnost na úkor bezpečnosti? o Prolomení: o 9 - ochrana obchodního tajemství o 11, odst. 4 písm. f) - údaje vedené v evidenci incidentů podle zákona o kybernetické bezpečnosti o Krizový zákon 27 Zvláštní skutečnosti údaje z oblasti krizového řízení - případné zneužití by mohlo vést k znemožnění nebo omezení činnosti orgánu krizového řízení, ohrožení života, zdraví, majetku, životního prostředí nebo podnikatelského zájmu o Problém s použitím v praxi 20

o Zákon o veřejných zakázkách: o Problém vyloučení rizikových dodavatelů o Je třeba řídit rizika v průběhu celé zakázky o Co nejpřesněji vydefinovat požadavky v zadání o SLA (service-level agreement) 21

o Subjekty namítají, že systémům nehrozí výpadek (narušení dostupnosti), neboť jsou redundantní o Pokud se však jedná o redundanci v kyberprostoru (např. zálohování, záložní servery apod.) jedná se o již zavedené opatření podle standardizační vyhlášky o Nejedná se o skutečnost, která by vylučovala či snižovala kritičnost takových systémů o Při hodnocení dopadu někdy bývá řešena pouze dostupnost - je třeba hodnotit i důvěrnost a integritu 22

o Úprava vyhlášky o VIS určování nepříliš návodné o Úprava určujících kritérií pro KII o v současné době chybí chemický průmysl, nemocnice apod. o Spolupráce s EU NIS směrnice a její implementace o Rozšíření metodické pomoci o Navázání ZKB a ZVZ střet bezpečnostního a ochraně-hospodářského náhledu o Navázání ZKB a zák. o svobodném přístupu k informacím 23

www.nbu.cz www.govcert.cz 24

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář