1. KONSOLIDOVANÉ PŘIPOMÍNKY K NÁVRHU KYBERNETICKÉHO ZÁKONA

Podobné dokumenty
NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Další postup v řešení. kybernetické bezpečnosti. v České republice

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

ZÁKON ze dne 23. července 2014 o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

Národní bezpečnostní úřad

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Zákon o kybernetické bezpečnosti

IDET AFCEA Květen 2015, Brno

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

181/2014 Sb. ZÁKON ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

Kybernetická bezpečnost

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Zkušenosti a výsledky určování KII a VIS

181/2014 Sb. ZÁKON ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

181/2014 Sb. ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ

Pravidla Českého telekomunikačního úřadu pro vedení konzultací s dotčenými subjekty na diskusním místě ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

HLAVA I ZÁKLADNÍ USTANOVENÍ. Čl. 1. Předmět úpravy

Federační politika eduid.cz

Parlament se usnesl na tomto zákoně České republiky:

ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ. 1 Předmět úpravy

Národní bezpečnostní úřad

( 88-91, 98, 99) Štefan Koreň odbor krizového řízení

215/2004 Sb. ZÁKON. ze dne 2. dubna o úpravě některých vztahů v oblasti veřejné podpory a o změně zákona o podpoře výzkumu a vývoje

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Zákon o kybernetické bezpečnosti na startovní čáře

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

215/2004 Sb. ZÁKON. ze dne 2. dubna o úpravě některých vztahů v oblasti veřejné podpory a o změně zákona o podpoře výzkumu a vývoje ČÁST PRVNÍ

Zásadní změny zákona o krizovém řízení

USNESENÍ z 25. schůze dne 10. února 2004

Zákon o kybernetické bezpečnosti

N á v r h ZÁKON. ze dne

Územní studie Regulační plán

215/2004 Sb. ZÁKON ČÁST PRVNÍ NĚKTERÉ VZTAHY V OBLASTI VEŘEJNÉ PODPORY

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Konsolidované úplné znění. S t a t u t u vládního zmocněnce pro zastupování České republiky před Soudním dvorem Evropské unie

Národní bezpečnostní úřad

Kybernetická bezpečnost

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Zákon o kybernetické bezpečnosti. Petr Nižnanský

ZÁKON ČÁST PRVNÍ NĚKTERÉ VZTAHY V OBLASTI VEŘEJNÉ PODPORY

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

300/2016 Sb. ZÁKON. ze dne 24. srpna o centrální evidenci účtů. Předmět a účel úpravy

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Ověření spolehlivosti fyzických osob

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Odbor obrany. 6 - zajišťuje činnosti umožňující přijetí regulačních opatření, při vyhlášení nouzového stavu nebo stavu nebezpečí

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

SBÍRKA ZÁKONŮ ČESKÁ REPUBLIKA

Co přináší novela zákona o léčivech? PharmDr. Alena Tomášková odbor farmacie

Novela stavebního zákona

Jaroslav Šmíd náměstek ředitele

SBÍRKA ZÁKONŮ. Ročník 2017 ČESKÁ REPUBLIKA. Částka 74 Rozeslána dne 14. července 2017 Cena Kč 75, O B S A H :

Správní právo dálkové studium. XIV. Živnostenský zákon živnostenské podnikání

Pravidla Českého telekomunikačního úřadu pro vedení konzultací na diskusním místě

HLAVA I ZÁKLADNÍ USTANOVENÍ. Čl. 1. Předmět úpravy

OBECNÉ ZÁSADY EVROPSKÉ CENTRÁLNÍ BANKY (EU)

Vládní návrh ZÁKON. ze dne..2018,

SMĚRNICE MĚSTA OTROKOVICE PRO ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK

340/2015 Sb. ZÁKON. ze dne 24. listopadu o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Roamingová politika. federace eduroam.cz

NAŘÍZENÍ VLÁDY ze dne 19. října 2009 o informačním systému výzkumu, experimentálního vývoje a inovací

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Návrh zákona o kybernetické bezpečnosti

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

VODÍTKA HODNOCENÍ DOPADŮ

Informační systémy veřejné správy (ISVS)

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Předpis č. 340/2015 Sb. Zákon o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv)

Č. j. MV /OBP-2015 Praha 5. října 2015 Počet listů: 5

Popis Vládního CERT České republiky

Parlament se usnesl na tomto zákoně České republiky:

V l á d n í n á v r h

Kybernetická bezpečnost resortu MV

S t a t u t Českého telekomunikačního úřadu

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

9. funkční období. (Navazuje na sněmovní tisk č. 135 ze 7. volebního období PS PČR) Lhůta pro projednání Senátem uplyne 6.

Smlouva o spolupráci. I. Smluvní strany

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Metodické doporučení MV k organizačně-technickému zabezpečení činnosti pověřence pro ochranu osobních údajů v podmínkách obcí

Transkript:

1. KONSOLIDOVANÉ PŘIPOMÍNKY K NÁVRHU KYBERNETICKÉHO ZÁKONA 1.1 Připomínky k definicím a formulacím 1.1.1 1, Předmět úpravy 1. odst. 2, nejsou orgány státní správy (případně orgány samosprávy) zahrnuty již v předešlé formulaci tzn. orgánů veřejné moci? 1.1.2 2, Vymezení pojmů 1. písm. a): Doplnit text "komunikačními systémy" - navrhované znění:" kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, komunikačními systémy a službami a sítěmi elektronických komunikací" 2. písm. b): Doplnit text ", fyzických": " Kybernetická bezpečnost je souhrn právních, organizačních, technických, fyzických a vzdělávacích opatření " 3. písm. b): doplnit formulaci o zajištění bezpečnosti informací v rámci tohoto prostoru 4. písm. b): text "bezvadného" nahradit textem "optimálního" 5. písm. c): definice kritické informační infrastruktury je nesrozumitelná a) nedává návod na to, jak poznat, zda něco je nebo není prvkem kritické infrastruktury elektronických komunikací b) prvky KI v odvětví "komunikační a informační systémy" definuje Nařízení vlády 432/2010 c) to jsou všechny prvky nebo pouze podmnožina? Pokud podmnožina, potom chybí upřesnění. Nebo se jedná o prvky kritické infrastruktury podle zákona č. 240/2000 Sb., které jsou současně IS nebo komunikačním systémem? d) Návrh nové formulace: " kritickou informační infrastrukturou prostředky informatizace a komunikace v oblasti kybernetické bezpečnosti ve všech odvětvích kritické infrastruktury a odvětví komunikační a informační systémy; tyto prostředky a jejich určující kritéria stanoví prováděcí právní předpis". Poznámka: kritická informační infrastruktura zahrnuje nejen odvětví komunikační a informační systémy, ale i informační a komunikační systémy (SCADA a jiné), které jsou podmínkou fungování energetiky, dopravy, bankovnictví a dalších odvětví. 6. písm. d): místo ".. dostupnosti informace" použít ".. dostupnosti informací" 7. písm. e): místo textu " významným informačním systémem informační systém spravovaný orgánem veřejné správy, použít text "významným informačním systémem informační systém veřejné správy" 8. písm. f): definice role správce je ukotvena v 365/2000 Sb. 2, písm. c), doporučuje se dle této definice doplnit text "a za informační systém odpovídá" 9. písm. f): za text "a u kterého narušení bezpečnosti informací" doplnit text "a dostupnosti poskytovaných služeb" nebo doplnit odkaz pod čarou 10. vložit písm. h) s textem "páteřní sítí vysokokapacitní datová cesta, která realizuje spojení mezi jednotlivými sítěmi." evidenční číslo z Previdu 1/12

1.1.3 4 1. nejsou zdůrazněny preventivní činnosti, proaktivita, monitoring. 1.1.4 5, Bezpečnostní opatření 1.1.5 6 1.1.6 7 1. odst.1: do textu "Bezpečnostním opatřením se rozumí souhrn úkonů a postupů" vložit text "a prostředků" 2. poskytovatelé připojení k internetu a provozovatelé páteřních infrastruktur nemají tuto povinnost zavést bezpečnostní opatření atd.? 1. odst.2: jedná se o nesystematický přehled organizačních opatření, měl by vycházet z ISO 27001 a respektovat dobrou praxi a) systém řízení bezpečnosti informací dle bodu a) v podstatě zahrnuje veškeré zbývající oblasti b) místo "hodnocení rizik "použít termín "řízení rizik" c) chybí opatření v rámci fyzické bezpečnosti, která také mají organizační charakter d) plán připravenosti na řešení kybernetických bezpečnostních incidentů dle ISO 27001 spadá do oblasti Plánů kontinuity e) bezpečnostní politiku umístit jako bod a) f) návrh znění bodu e): "stanovení bezpečnostních požadavků pro zadavatele a dodavatele akvizic, vývoje a údržby kritické informační infrastruktury a významných informačních systémů" g) navrhuje se zrušit bod j) tj. sloučení s bodem e) v nové formulaci (viz předchozí odrážka f) h) jiný návrh řešení písm. j): akvizice a vývoj nejsou organizační bezpečnostní opatření, v rámci těchto činností se opatření uplatňují. Navrhuji formulaci bezpečné postupy akvizice, vývoje a údržby kritické informační infrastruktury a významných informačních systémů. i) návrh znění bodu m): "provádění kontroly a auditu kritické informační infrastruktury a významných informačních systémů a" 2. odst.3: nekoncepční přehled technických opatření, a) místo "fyzická bezpečnost" se navrhuje použít termín "technické a mechanické prostředky zajištění fyzické bezpečnosti" b) návrh znění písm. b): "nástroj pro správu identit uživatelů, systémů, služeb a prostředků v rámci informačních systémů" c) místo "stanovení minimálních požadavků a pravidel pro používání kryptografických prostředků" použít termín "kryptografické prostředky" d) "stanovení minimálních požadavků a pravidel" se bude týkat zřejmě nejen kryptografických prostředků e) ve výčtu chybí nástroj na ochranu proti škodlivým programům f) do textu "nástroj pro detekci kybernetických bezpečnostních událostí" vložit text "a bezpečnostních incidentů" 1. písm. a): zrušit text "a formu", nebývá zvykem určovat formu dokumentace evidenční číslo z Previdu 2/12

1.1.7 8 1. odst. 3: Poznámka: Lze povinně detekovat to, na co je povinná osoba připravena, nebo co má uloženo zákonem sledovat. Obecně se to nedá 100% splnit a garantovat. Návrh na úpravu formulace: "vynaložit veškeré úsilí na detekování kybernetické bezpečnostní události". 2. odst. 3: za text "kybernetické bezpečnostní události" doplnit text "a vyhodnocovat kybernetické bezpečnostní incidenty" 1.1.8 9, Hlášení kybernetického bezpečnostního incidentu 1. odst. 1: Doplnit text "komunikačních systémech": "Povinné osoby uvedené v 3 písm. b) až e) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich informačních systémech, komunikačních systémech nebo službách a sítích elektronických komunikací; tím není dotčena informační povinnost podle jiného právního předpisu." 2. nejednoznačný výkladu pojmu národní CERT, který se vyskytuje v 9 a následně v několika dalších ustanoveních 3. povinné osoby dle 3 písm. a) nemusí nic hlásit? 4. chybí povinnost hlásit bezpečnostní události, je to tak záměrně? Analýza událostí je důležitá pro prevenci. 5. odst. 3: zde se slovo Úřad objevuje poprvé bez jakéhokoliv vysvětlení, návrh doplnit text "Národnímu bezpečnostnímu úřadu (dále jen" 6. není zřejmá forma hlášení kybernetického bezpečnostního incidentu 7. některé povinné subjekty již musí hlásit některé incidenty jiným orgánům, je třeba tuto oblast sjednotit 8. zatím nejsou jasné lhůty, bude je řešit vyhláška? 1.1.9 10 1.1.10 11 1. odst. 1: Jak bude Úřad evidence využívat, jak dlouho uchovávat údaje? 2. odst. 2, písm. c): údaje o původci kybernetického bezpečnostního incidentu nemusí být známé, na začátek doplnit text "dostupné" 1. Přesněji vymezit definici mlčenlivosti. 2. Není vhodné ustanovovat povinnost mlčenlivosti i pro soukromé subjekty. Navíc je toto v rozporu s potřebou rychlé reakce v případě kybernetického incidentu. 3. Je třeba umožnit povinným osobám informovat své zákazníky, subjekty údajů zpracovávaných ve významných informačních systémech atd. o incidentu. (mj. i s ohledem na možné změny legislativy EU v oblasti ochrany osobních údajů zavedení informační povinnosti o incidentu, při kterém došlo k prozrazení osobních údajů.) Pokud by bylo možné ustanovení 11 ve spojení s 10 odst. 1 písm. a) a b) vykládat tak, že povinnost mlčenlivosti se vztahuje i na mlčenlivost pracovníků povinné osoby o tom, že v nějakém systému k incidentu došlo a o jeho rozsahu, je třeba ho upravit. 4. odst. 1 a odst. 2: Mlčenlivost po skončení pracovněprávního vztahu se nevztahuje na zaměstnance povinných osob resp. pracoviště CERT? 5. odst. 1: návrh nového znění: "Osoby podílející se na řešení kybernetického bezpečnostního incidentu spojeného s kritickou informační infrastrukturou nebo s významným informačním systémem evidenční číslo z Previdu 3/12

1.1.11 13 1.1.12 14 1.1.13 15 1.1.14 16 1.1.15 17 jsou vázány povinností mlčenlivosti o údajích uvedených v 10 odstavci 1 a 2. Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu. Povinnost mlčenlivosti má každý, kdo se o údajích uvedených v 10 odstavci 1 a 2, dozví" 1. odst. 1: Doplnit text "komunikačních systémů". Návrh nového znění: "Protiopatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů, komunikačních systémů nebo služeb a sítí elektronických komunikací před negativním dopadem kybernetického bezpečnostního incidentu." 1. odst. 3: za text "internetových stránkách" doplnit text "s řízeným přístupem" 1. odst. 3: návrh nového znění: "Úřad vydá rozhodnutí k řešení kybernetického bezpečnostního incidentu a doručí je povinné osobě. Rozhodnutí je vykonatelné doručením. Nelze-li rozhodnutí doručit, je vykonatelné vyvěšením rozhodnutí (umožňuje-li to obsah rozhodnutí) nebo odkazu na rozhodnutí na úřední desce Úřadu. V odkazu na rozhodnutí je uvedeno, jak povinná osoba získá plný text rozhodnutí (např. na internetových stránkách s řízeným přístupem vládního CERTu)." 1. Pojem "ochranné" je mírně zavádějící, z podstaty věci jsou všechna protiopatření ochranného charakteru. Lepší by bylo např. "preventivní". 2. odst. 3: Doplnit text "komunikačních systémů". Návrh nového znění:"úřad vydá opatření obecné povahy, ve kterém povinným osobám uvedeným v 3 písm. c) až e) stanoví způsob zvýšení ochrany informačních systémů, komunikačních systémů nebo služeb a sítí elektronických komunikací a lhůtu k jeho provedení." 1. návrh nového znění: " Při vydání opatření obecné povahy postupuje Úřad podle správního řádu. Opatření obecné povahy nabývá účinnosti dnem zveřejnění opatření (umožňuje-li to obsah opatření) nebo odkazu na opatření na úřední desce Úřadu, a to před postupem podle 172 správního řádu. Současně se opatření obecné povahy zveřejní na internetových stránkách s řízeným přístupem vládního CERTu. 1.1.16 18 1. odst. 3: celý odstavec zrušit. Poznámka: Nevhodné zveřejnění kontaktních údajů spojených s kritickou informační infrastrukturou v nezabezpečeném informačním systému. 2. odst. 7: doplnit text "Úřad jednou ročně provede kontrolu evidence elektronických kontaktních údajů testovací zprávou podle prováděcího předpisu. Prováděcí právní předpis stanoví obsah každoroční testovací zprávy evidence elektronických kontaktních údajů a náležitosti, formu a lhůtu odpovědi na testovací zprávu." evidenční číslo z Previdu 4/12

1.1.17 19, Národní CERT 1.1.18 21 1. doporučuje se předřadit definici Vládního CERTu ( 23) před definici Národního CERTu v 19. 2. odst. 3, písm. d): místo textu "poskytuje" použít text " může poskytovat" Poznámka: Národní CERT by neměl být povinen poskytovat výše uvedené, možnost zneužití ze strany povinných osob 3. odst. 3, písm. g): opravit koncovku slova "zranitelnosti" do množného čísla 1. odst. 1, písm. b): doplnit slovo "odpovídající". 2. odst. 1, písm. e): doplnit na konec text "uvedené v 3 písm. a) a b)" 3. odst. 1, písm. g): nejasná formulace bezúhonnosti. 4. odst. 2: doplnit na konec text "uvedené v 3 písm. a) a b)" 1.1.19 23 1. písm. h): opravit koncovku slova "zranitelnosti" do množného čísla 2. písm. j): vložit za text "na internetových stránkách" text "s řízeným přístupem" 1.1.20 24 1. Nepřesná formulace. Mohlo by to vyznít, že se zákon vztahuje pouze na IS a KS zpravodajských služeb. 2. Návrh formulace: "Tento zákon se vztahuje na ty informační nebo komunikační systémy zpravodajských služeb, které splňují podmínky pro určení kritické informační infrastruktury, a to v rozsahu 14 a 18; ustanovení 5 se na tyto systémy použije přiměřeně a Úřad je podle jiného právního předpisu neurčuje" 1.1.21 25 1. odst. 1: doplnit text "komunikačních systémech": "Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech a komunikačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky." 2. odst. 1: v textu " dojít k porušení nebo ohrožení zájmu České republiky" je použit pojem "zájem České republiky", podle mého by tento zájem měl být buď definován ve vymezení pojmů, případně by mohl být uveden odkaz na právní úpravu (např. ústavní zákon o bezpečnosti, krizový zákon) 1.1.22 27 1. odst. 2, písm. c): místo Národního centra kybernetické bezpečnosti má zřejmě být vládního CERTu. 2. odst. 2, písm. d): doplnit text "a komunikačních": "vyhodnocuje údaje o kybernetických bezpečnostních událostech a kybernetických bezpečnostních incidentech, z kritické informační infrastruktury, z významných informačních systémů a dalších informačních a komunikačních systémů veřejné správy." 3. odst. 3: celý odstavec zrušit. evidenční číslo z Previdu 5/12

1.1.23 28, Kontrola 1.1.24 29 1.1.25 31, Sankce 1.1.26 33 1.1.27 34 1. odst. 1: zrušit poslední větu. 2. odst. 1: jak mají Úřad a MV rozdělené kompetence v oblasti kontroly? Jsou kompetence rozděleny dle 27 odst. 2 g) a odst. 3)?. 3. odst. 4: jaký je důvod vytknuti správců významných informačních systémů z kontrolní činnosti NBU do působnosti MVCR? 4. odst. 4: Existuje obava, že ve struktuře Ministerstva vnitra to zapadne a nikdo to nebude kontrolovat a vyžadovat. Navrhuje se, aby to zůstalo na NBÚ. 5. odst. 3, písm. c): vložit za pomlčku text "zavedení bezpečnostních opatření," 6. odst. 4: odstavec zrušit. Poznámka: Je neefektivní budovat kontrolní týmy ve dvou prvcích státní správy,nekoordinovaná kontrola z více míst byla kritizována na Workshopu CSIRT v prosinci 2012. Navrhuji upravit zákon č. 365/2000 Sb., o informačních systémech veřejné správy tak, že kontrolní činnost u informačních a komunikačních systémů kritické informační infrastruktury a u významných informačních systémů je prováděna Úřadem podle zákona o kybernetické bezpečnosti 1. odst. 2: návrh nové formulace: "Hrozí-li pro zjištěné nedostatky nebezpečí narušení bezpečnosti informací u prvku kritické informační infrastruktury nebo významného informačního systému, může kontrolní orgán zakázat povinné osobě používání tohoto prvku nebo systému anebo jeho části do doby, než bude zjištěný nedostatek odstraněn." 1. odst. 2: stanovené sankce jsou nízké a nemotivující 2. odst. 2: návrh formulace: na konec vložit text "Pokutu lze uložit i opakovaně. Úhrn uložených pokut nesmí přesáhnut částku 5 000 000 Kč". 1. odst. 1, písm. b): nepřesná formulace, umožňuje také výklad, že povinné osoby jsou povinné provádět protiopatření jen po dobu prvního roku od nabytí účinnosti zákona. 1. písm. d): nepřesná formulace, umožňuje také výklad, že povinné osoby jsou povinné provádět protiopatření jen po dobu prvního roku od nabytí účinnosti zákona. 1.2 Definice, obsah a výklad pojmů 1. Není definován pojem Úřad. 2. Vysvětlit souvislost pojmů CERT a národní CSIRT (použit na www.cybersecurity.cz) evidenční číslo z Previdu 6/12

1.2.1 Povinné osoby v oblasti kybernetické bezpečnosti, 3 1. Jak jsou definováni poskytovatelé služeb elektronických komunikací, je to ve smyslu zákona č. 127/2005 o elektronických komunikacích? 2. není definován termín "subjekt zajišťující sítě elektronických komunikaci spravující páteřní síť". Od identifikace příslušné povinné osoby se odvíjí další odpovědnosti a pravomoc. 3. Bylo by vhodné do přílohy taxativně vyjmenovat systémy a komunikační systémy kritické informační infrastruktury a významné informační systémy. Nebo alespoň jejich vlastníky. Dle této definice se zákon může teoreticky týkat jakékoliv sítě či systému nezávisle na tom, zda jsou veřejné, státní či soukromé. 4. Není jednoznačně určena vazba mezi výběrem/kategorizací povinných osob dle 3 a ustanoveními 7. 5. Chybí požadavky na povinné osoby (alespoň odkazem pokud jsou v jiném zákoně), na jejich odborné znalosti a bezpečnostní způsobilost. Podle tohoto zákona může být povinnou osobou kdokoliv (což je samo o sobě bezpečnostní riziko). 6. Poznámka: službou elektronických komunikací je služba obvykle poskytovaná za úplatu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací, včetně telekomunikačních služeb a přenosových služeb v sítích používaných pro rozhlasové a televizní vysílání a v sítích kabelové televize, s výjimkou služeb, které nabízejí obsah prostřednictvím sítí a služeb elektronických komunikací nebo vykonávají redakční dohled nad obsahem přenášeným sítěmi a poskytovaným službami elektronických komunikací; nezahrnuje služby informační společnosti, které nespočívají zcela nebo převážně v přenosu signálů po sítích elektronických komunikací. 1.2.2 Kybernetická bezpečnostní událost, 8 1. V 8 je nedostatečně definován pojem Kybernetická bezpečnostní událost a incident. Návrh formulace: Kybernetický bezpečnostní incident je událost s dopadem na služby nebo sítě elektronických komunikací a/nebo na informační systémy, která představuje narušení jejich bezpečnosti a pravidel definovaných k jejich ochraně, která je způsobilá ohrozit nebo poškodit zájem České republiky a jež je zařazena v seznamu typů kybernetických bezpečnostních událostí vydávaném formou vyhlášky NBÚ. Obdobně formulovat Kybernetickou bezpečnostní událost. 2. Měla by zde být uvedena alespoň základní klasifikace incidentů. Zda se jedná o zjištěnou zranitelnost, která nebyla zneužita ke kybernetickému útoku. Nebo zda se jedná již o uskutečněný kybernetický útok. Především by se měl vzít v úvahu i předpokládaný úmysl pachatele útoku, reálně možné nebo skutečné dopady kybernetického útoku. 3. Toto je zřejmě bez problémů u provozovatelů IS. V případě provozovatelů komunikací by toto znamenalo sledování a analýzu veškeré probíhající komunikace, což by mohlo být v rozporu se síťovou neutralitou a možní i zákonem o elektronických komunikacích. A bylo by toto poměrně hodně drahé. evidenční číslo z Previdu 7/12

1.2.3 Reaktivní protiopatření, 15 1. odst. 3: Nikde není stanoveno, jakého rozsahu (charakteru) mohou být tato opatření. Bude možné např. vypnout celý národní Internet, přerušit mobilní komunikaci, apod.? 2. odst. 3: Pokud bude nefunkční Internet, tak jak potom doručit rozhodnutí? Pomocí SMS? 3. Jak budou stanoveny termíny pro realizaci vydaných protiopatření reaktivních, ochranných? 1.2.4 Kontaktní údaje 18: 1. Údaje odpovídají tzv. referenčním, měly by se získávat ze základních registrů 2. odst. 3: FO nyní není pověřena jednat ve věcech upravených tímto zákonem. 3. odst. 7: Předávání se předpokládá prostřednictvím ISDS? 4. odst. 5: Jak dlouho Úřad a provozovatel národního CERTu kontaktní údaje eviduje a uchovává? 34 a 35: 5. písm. a): stanovit povinnost předávat pouze ty údaje, které neodpovídají referenčním v základních registrech 6. písm. a): text "oznamovat" nahradit textem "oznámit" 1.2.5 Analýza zranitelností Připomínka se týká 19 Národní CERT písm. g) a 23 Vládní CERT písm. h): 1. Analýza zranitelností se provádí jakým způsobem, u koho, v jakém rozsahu, jak často, čeho se týká, zda může CERT někoho pověřit? 1.2.6 Varování před hrozbou Připomínky se týkají 19 Národní CERT písm. j) a 23 Vládní CERT písm. j): 1. Text "vydává varování před hrozbou" nahradit textem "vydává předběžné protiopatření (varování před hrozbou)". 2. Varování se vydává pravidelně nebo dle aktuální potřeby? 1.2.7 Provozovatel Národního CERTu, 20 1. Vidíme velké bezpečnostní riziko, pokud bude tento systém provozován komerční firmou. Pokud má existovat takovýto systém, měl by rozhodně být zcela v rukou státní organizace, u níž nehrozí únik informací. 1.2.8 Stav kybernetického nebezpečí, 25 1. Chybí vysvětlení, k čemu vyhlášení má vést, a stanovení parametrů stavu nebezpečí, tj. např. co tento stav vlastně znamená resp. co se stane v důsledku jeho vyhlášení a jaké může mít dopady evidenční číslo z Previdu 8/12

2. Plánuje se v tomto kritickém stavu nějaká kooperace s armádou/mo?? 3. odst. 2, upřesnit formulaci "Rozhodnutí o vyhlášení stavu kybernetického nebezpečí vláda do 24 hodin schválí nebo zruší" (zřejmě se jedná o 24 hodin od podání návrhu ředitelem Úřadu). 1.2.9 Komise pro kybernetickou bezpečnost, 26 1. Nedostatečná definice Komise. 2. Doplnit odstavec s textem "Členem komise je vždy alespoň jeden zástupce provozovatele národního CERTu jmenovaný provozovatelem národního CERTu". 3. Není určena činnost resp. náplň práce Komise. 1.2.10 Národní centrum kybernetické bezpečnosti, ad 27, odst. 2c) 1. Není definována jeho činnost. 2. Pojem by měl být uveden i v 2 Vymezení pojmů. 1.2.11 Výkon státní správy, 27 1. odst. 2, písm. a): není jasné, jaká bezpečnostní opatření a čeho se týkají. Opatření se obvykle stanovují individuálně pro každý systém zejména na základě nějaké analýzy rizik pro ten konkrétní systém a jeho provozní podmínky 2. odst. 2, písm. d): v textu je nadbytečná čárka před textem "z kritické informační infrastruktury". 3. odst. 2, písm. f): není jasné, o jaké evidence se jedná. 4. odst. 2, písm. o): skutečně by měl Úřad zajišťovat výzkum a vývoj v oblasti kybernetické bezpečnosti? Návrh formulace: podporuje výzkum a vývoj v oblasti kybernetické bezpečnosti, navrhuje výzkumnou agendu v oblasti kybernetické bezpečnosti. 5. odst. 2, písm. g): nepřesná formulace, dá se vykládat jako překrývání kompetencí mezi Úřadem a ministerstvem vnitra. Návrh: v bodu g) doplnit odkaz na 28 a stávající odst. 3 přesunout do 28, kde bude jednoznačné rozdělené kompetencí v oblasti kontroly. 1.2.12 Nápravná opatření, 29 1.2.13 Sankce, 31 1. odst. 1: nedostatky jakého charakteru, jaké závažnosti? Nedostatky mohou být různé závažnosti, navíc některá rizika se akceptují, tj. nechávají se bez protiopatření, protože jejich realizace může být neúměrně nákladná. 2. odst. 2: je obtížné si představit zakázat používání prvku KI (resp. významného IS) v této oblasti na základě nějaké kontroly, protože se jedná bezpochyby o důležitý prvek, proto je součást KI. Stačí, aby někdo špatně posoudil nedostatky a prvek (systém) bude vyřazen. Výsledek může být katastrofičtější, než případný útok hackerů/teroristů. 1. Je třeba umožnit povinným osobám informovat své zákazníky, subjekty údajů zpracovávaných ve významných informačních systémech atd. o incidentu (mj. i s ohledem na možné změny legislativy EU v oblasti ochrany osobních údajů zavedení informační povinnosti o incidentu, při kterém došlo k prozrazení osobních údajů.). Pokud by bylo možné ustanovení 11 ve spojení s 10 odst. 1 písm. a) a b) vykládat tak, že povinnost mlčenlivosti se vztahuje i na mlčenlivost pracovníků povinné evidenční číslo z Previdu 9/12

osoby o tom, že v nějakém systému k incidentu došlo a o jeho rozsahu, je třeba ho upravit. 2. odst. 1: Opatření se mohou lišit dle místních podmínek a některá mohou být tak nákladná, že je povinná osoba nebude moci financovat. Jak se toto bude řešit? 1.2.14 Přechodná ustanovení ( 33 až 35) 1. Pokud je to z legislativního hlediska možné, měla by být lhůta pro zavedení bezpečnostních opatření podle 5 odvozována od vydání vyhlášky k provedení 7 Úřadem. Formulace uvedená v návrhu může znamenat, že při neočekávaných prodlevách s vydáním vyhlášky způsobených např. připomínkovým řízením mohou mít povinné osoby na zavedení nebo změny opatření podle specifikací v této vyhlášce pouze několik málo měsíců. Přitom zavedení některých opatření (např. podle 6 odst. 3 písm. e) nebo f)) může být technicky náročné a u některých organizací může vyžadovat vyhlášení veřejné soutěže. 2. Doporučuji zvážit urychlení účinnosti zákona nebo zkrácení některých přechodných období, zejména podle písmen b) a d) 33 až 35. Většina mechanismů definovaných v návrhu zákona bude podle uvedených lhůt funkční od 1. ledna 2016, tj. za tři roky (bez jednoho měsíce). Např. oba CERTy budou zřejmě v provozu o rok dříve, ale povinné osoby jim budou hlásit bezpečnostní incidenty na dobrovolné bázi. S ohledem na rostoucí závislost společnosti na elektronických komunikacích i rostoucí hrozby a současně na význam mechanismů definovaných v návrhu zákona je podle mne velmi žádoucí zkrátit toto dlouhé období. 1.2.15 Vazba na krizový zákon 1. Na krizový zákon (240/2000) se odvolává text v 27, odst. 2, písm. r) a q), přičemž současné znění tohoto zákona nezná pojem kybernetická bezpečnost. Uvažuje se o novelizaci krizového zákona? 2. Uvažuje se o novelizaci nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury resp. seznamu prvků kritické infrastruktury (odvětvová-průřezová kritéria)? 3. V návrhu zákona není příliš dobře provedeno provázání s platnou legislativou týkající se krizového řízení především zákon 240/2000 Sb. a s návaznou legislativou. Není ani příliš zohledněna kritická infrastruktura státu, nejenom v oblasti elektronických komunikací, ale kompletní kritická infrastruktura státu, protože v podstatě ve všech případech, pokud dojde ke kybernetickému bezpečnostnímu incidentu na informačních a řídicích systémech souvisejících kritickou infrastrukturou státu, může dojít k významnému omezení provozu kritické infrastruktury státu. Příklad: napadení řídicích systémů distribučních sítí elektřiny, vody, plynu, řídicí systémy dopravy, řídicí systémy významných zdrojů energie atd. 1.3 Připomínky obecného charakteru 1. Povinné osoby mají mnoho povinností (dokladování, předávání údajů, apod.) a žádná práva. evidenční číslo z Previdu 10/12

2. Není řešena vymahatelnost ze strany povinných osob po jejich klientech. 3. Nelze se opřít o jakýkoliv paragraf, pokud nějakého klienta povinná osoba např. odpojí od sítě. 4. Jak to bude s náhradou investovaných prostředků ze strany soukromých subjektů, pokud vydaná protiopatření budou nákladná? 5. Neexistuje přechodná lhůta pro nové subjekty, které budou podléhat zákonu, ale vzniknou až při jeho platnosti. 6. Návrh zákona nepostihuje pojem kybernetická bezpečnost. (kybernetická bezpečnost je souhrn právních, organizačních, technických, fyzických a vzdělávacích opatření namířených na zajištění nerušeného a bezvadného fungování kybernetického prostoru.) 7. Bylo by vhodné provést výrazně lepší vymezení pravomocí národního CERT 19 a vládního CERT 23. Především pod pojmem provádí analýzu zranitelností se může zahrnout téměř vše. Od sbírání informací a vyhodnocování informací, které získají CERTY v souladu s tímto zákonem a z veřejných zdrojů, tak až po aktivní provádění bezpečnostních testů (testů zranitelností) vůči všem informačním systémům ve státě. 8. Není vymezena úloha, role a práva úřadu, vládního CERT, národního CERT a Národní centra kybernetické bezpečnosti v případě vyšetřování kybernetických incidentů, včetně technického, organizačního a trestně právního řešení kybernetických incidentů. Definování spolupráce s orgány činnými v trestním řízení. Možnost a oprávnění vyžadování dalších dat, informací a spolupráce ze strany úřadu, vládního CERT, národního CERT a národní centra kybernetické bezpečnosti od povinných osob v oblasti kybernetické bezpečnosti a jiných subjektů pro zabezpečení výkonu státní správy a vlastních činnosti. Úhrada nákladů za vyžádaná data, informace a spolupráci povinným osobám. Myšleny jsou další data a informace, než jsou povinné osoby v oblasti kybernetické bezpečnosti se zákona o kybernetické bezpečnosti samy předávat, které jsou třeba pro upřesnění analýz (včetně analýz zranitelnosti) nebo vyšetřování kybernetických incidentů 9. Bylo by vhodné v 10 doplnit Úřadu povinnost vést evidenci povinných osob dle specifikace v 18. V této souvislosti je otázkou, zdali takový seznam nově definované kritické infrastruktury nebude tvořit citlivou nebo utajovanou informaci "V". Seznam by neměl být veřejný. 10. V návrhu zákona je poměrně velmi slabě ošetřena mezinárodní spolupráce. V oblasti kybernetické bezpečnosti je naprosto klíčová přímá, rychlá a zbytečnou byrokracií neomezovaná mezinárodní spolupráce mezi CERTY (bez ohledu o jakou úroveň CERTU se jedná). V návrhu zákona je v 27 odst. 2 e) a l) mezinárodní spolupráce zajištěna cestou úřadu v součinnosti s ministerstvem zahraničí. Úřad v součinnosti s ministerstvem zahraničí by měl oficiálně na mezinárodní úrovni domluvit rámcová pravidla a každodenní spolupráce by měla fungovat na horizontální úrovni mezi CERTY popř. Národními centry kybernetické bezpečnosti. 11. Z návrhu zákona není zřejmé, kdo bude koordinovat řešení kybernetických incidentů, které se současně týkají více povinných osob v oblasti kybernetické bezpečnosti, ale ve své podstatě mohou mít (nebo mají) vážný dopad na kritickou infrastrukturu státu nebo na významné informační systémy státní správy a/nebo i jiných subjektů. evidenční číslo z Previdu 11/12

12. V návrhu zákona nejsou nejlépe definované povinné osoby v 3 odst. c,d,e a v 2 odst. f, g z hlediska kybernetické bezpečnosti. Odpovědnou osobou by měl být ten subjekt, který informační systém a také řídicí systém využívá k zabezpečení jeho hlavní nebo významné podnikatelské činnosti nebo správní činnosti, bez ohledu, kdo je dodavatelem nebo smluvním správcem tohoto systému. Pokusíme se blíže vysvětlit na příkladu: významný provozovatel distribuční sítě elektrické energie využívá řídicí informační systém na řízení distribuční sítě, jehož napadení kybernetickým útokem může způsobit výpadek elektrické energie na významné části území ČR. Tato síť je zařazena do kritické infrastruktury státu. Tento řídicí informační systém se skládá z několika částí, kterou spravují různí smluvní dodavatelé tohoto významného provozovatele distribuční sítě elektrické energie, zpravidla bez komplexní znalosti celé problematiky distribuce elektrické energie a jejího zabezpečení. Oprávněnou osobou dle zákona o kybernetické bezpečnosti by měl být významný provozovatel distribuční sítě elektrické energie, nikoliv jednotliví správci částí řídicího informačního systému. 13. V současné době je na subjektivním rozhodnutí managementu společnosti, zdali společnost je ze zákona prvkem kritické infrastruktury. V některých případech by výklad parametrů měl být určen objektivně, rozhodnutím. (Případný soudní spor může mandatorně zařazené společnosti do prvků kritické infrastruktury potvrdit/vyvrátit správnost takového rozhodnutí.) evidenční číslo z Previdu 12/12

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář