Platební styk, směrnice NIS a zákon o kybernetické bezpečnosti

Podobné dokumenty
Jaroslav Šmíd Náměstek ředitele

Zákon o kybernetické bezpečnosti a jeho dopad na provozovatele telekomunikačních sítí. Adam Kučínský Odbor regulace

Regulace v oblasti kybernetické bezpečnosti aktuálně. Adam Kučínský oddělení regulace Odbor regulace auditu a podpory

Zpráva pro uživatele

Aktuální stav kybernetické bezpečnosti v České republice. Adam Kučínský Oddělení regulace Odbor regulace, auditu a podpory

Zákon o kybernetické bezpečnosti a jeho dopad na finanční instituce

Varování podle - použití a dopady. Adam Kučínský ředitel odbor regulace

Jaroslav Šmíd Náměstek ředitele

1. Státní fond rozvoje bydlení (dále jen Fond ) je právnickou osobou.

Zákon o kybernetické bezpečnosti

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. III ZE DNE

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Etržiště České pošty Centrum veřejných zakázek.

Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti. Ing. Tomáš Krejčí Odbor regulace, auditu a podpory

Veřejné zakázky v oblasti obrany nebo bezpečnosti Pohled Úřadu pro ochranu hospodářské soutěže (?)

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH ISPOP, SEPNO, HNVO a EnviHELP

Program prevence nehod a bezpečnosti letů

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT, metodik ICT. Plán práce 2015/2016

Fyzická bezpečnost z pohledu ochrany a odolnosti prvků kritické infrastruktury. Ing. Luboš Nečesal

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE č. 5 ŠKOLENÍ ZAMĚSTNANCŮ, ŽÁKŮ A DALŠÍCH OSOB O BEZPEČNOSTI A OCHRANĚ ZDRAVÍ PŘI PRÁCI (BOZP)

uzavřená podle 1746 odst. 2 občanského zákoníku níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami

PORADA ŘEDITELŮ MŠ/ZŠ

Obecné informace podle 26 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), o uskutečněných kontrolách za rok 2018

Metodická příručka Omezování tranzitní nákladní dopravy

Pracovní seminář Koncesní řízení na provozování Vak dobrá praxe

Stanovisko Rekonstrukce státu ke komplexnímu pozměňovacímu návrhu novely služebního zákona

Posuzování zdravotní způsobilosti k řízení motorových vozidel jako součásti výkonu práce

HVĚZDÁRNA A PLANETÁRIUM BRNO, příspěvková organizace

UNIVERZITA PARDUBICE. Směrnice č. 29/2005. Vnitřní kontrolní systém na Univerzitě Pardubice

Mateřská škola speciální, Praha 8, Štíbrova 1691

Tento projekt je spolufinancován. a státním rozpočtem

Zákon o zdravotních pojišťovnách

Technický dozor investora (TDI) na stavbu Rekonstrukce a revitalizace městského centra v Mnichovicích. Město Mnichovice

Níže uvedeného dne, měsíce a roku uzavřely smluvní strany:

Jaroslav Šmíd náměstek ředitele

Provozování a využívání výpočetní techniky a počítačové sítě Vysoké školy ekonomické v Praze

Výzva k podání nabídek

Zápis ze setkání koordinační skupiny Systém včasného varování před novými drogami EWS. 9. března 2012, 13:00 15:00 hod.

Výzva K PODÁNÍ NABÍDKY A K PROKÁZÁNÍ KVALIFIKACE VE ZJEDNODUŠENÉM PODLIMITNÍM ŘÍZENÍ DLE UST. 53 ZÁKONA Č. 134/2016 SB., O ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK

Ministerstvo vnitra České republiky vyhlašuje Výzvu k předkládání žádostí o finanční podporu v rámci Integrovaného operačního programu

Výzva k podání nabídky na veřejnou zakázku: Právní služby a poradenství pro Regionální radu regionu soudržnosti Jihovýchod

VÝZVA K PODÁNÍ NABÍDKY

Výzva K PODÁNÍ NABÍDKY A K PROKÁZÁNÍ KVALIFIKACE VE ZJEDNODUŠENÉM PODLIMITNÍM ŘÍZENÍ DLE UST. 53 ZÁKONA Č. 134/2016 SB., O ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK

Výzva k podání nabídek

USNESENÍ. Č. j.: ÚOHS-S339/2012/VZ-21769/2012/523/Krk Brno 20. prosince 2012

SMLOUVA O DÍLO (dále jen "Smlouva") Smluvní strany. Ing. Jan Nehoda, místopředseda j an.nehoda@eru.cz /0710

PODPORA VYBUDOVÁNÍ A PROVOZU ZAŘÍZENÍ PÉČE O DĚTI PŘEDŠKOLNÍHO VĚKU PRO PODNIKY I VEŘEJNOST MIMO HL. M. PRAHU / V HL. M. PRAZE

INSPEKČNÍ POSTUP ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS

Povolování a provoz dobíjecích stanic z hlediska českého práva. Mgr. Martin Maňák, advokát

PODROBNÉ PODMÍNKY OZNÁMENÍ O ZAHÁJENÍ KONCESNÍHO ŘÍZENÍ

Krajský úřad Karlovarského kraje

Výzva K PODÁNÍ NABÍDKY A K PROKÁZÁNÍ KVALIFIKACE VE ZJEDNODUŠENÉM PODLIMITNÍM ŘÍZENÍ DLE UST. 53 ZÁKONA Č. 134/2016 SB., O ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT. Plán práce 2012/2013

INFORMOVÁNÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S OBSAZOVÁNÍM PRACOVNÍCH POZIC A ZAMĚSTNÁVÁNÍM OSOB

Příloha č.6 Procesy podpory produktivního provozu IISSP

VYMEZENÍ ZPŮSOBILÝCH VÝDAJŮ. PROGRAM PODPORY PORADENSTVÍ VÝZVA I Poradenské služby pro MSP

PŘÍLOHA D Požadavky na Dokumentaci

Želešice - vodovodní řád pro zónu k podnikání

Strategické rámce správy a rozvoje klasifikace DRG v roce 2013

OBNOVU KULTURNÍCH PAMÁTEK POŠKOZENÝCH POVODNĚMI

TEXT VÝZVY K PODÁNÍ NABÍDKY A PROKÁZÁNÍ KVALIFIKACE

Zásady pro svěření částečné působnosti k pronajímání městských bytů odboru investic a majetku

Příloha č. 2 Popis podporovaných aktivit

Možnosti transformace vyšších odborných škol do terciárního vzdělávání

PŘÍLOHA 11 SMLOUVY O ZPŘÍSTUPNĚNÍ ÚČASTNICKÉHO KOVOVÉHO VEDENÍ. Sankce

Nouzové zásobování pitnou vodou v hl. m. Praze Mgr. Daniel Barták

NÁVODNÁ STRUKTURA MÍSTNÍHO AKČNÍHO PLÁNU VZDĚLÁVÁNÍ

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

bezpečnostní politiku na interní LAN síti, NAC) a řešení komplexní bezpečnostní politiky.

Informačně expertní systém včasného varování a vyrozumění v důsledku stanovení rizik skalního řícení

KAPITOLA II ZÁKON NA OCHRANU OVZDUŠÍ ZÁKLADNÍ POVINNOSTI...13 KAPITOLA III PROVÁDĚCÍ PŘEDPISY K ZÁKONU O OVZDUŠÍ ZÁKLADNÍ POPIS...

INFORMACE SPOLEČNOSTI V SOUVISLOSTI S POSKYTOVÁNÍM INVESTIČNÍCH SLUŽEB

DÍLČÍ SMLOUVA č. 3 k rámcové smlouvě na poskytování služeb ze dne

Příjem a hodnocení žádostí o podporu

GLOBÁLNÍ ARCHITEKTURA ROB

Výzva k podání nabídek

VFN Praha Rámcová smlouva na lakýrnické práce

ÚŘAD PRO OCHRANU HOSPODÁŘSKÉ SOUTĚŽE PŘÍKAZ. Č. j.: ÚOHS-S0096/2016/VZ-06824/2016/522/PKř Brno: 22. února 2016

PŘÍLOHA 11 SMLOUVY O ZPŘÍSTUPNĚNÍ ÚČASTNICKÉHO VEDENÍ. Sankce

VNITŘNÍ PRAVIDLA ODLEHČOVACÍ SLUŽBY

Pravidla on-line výběrových řízení ENTERaukce.net

Tvorba jednotného zadání závěrečné zkoušky ve školním roce 2010/2011

Univerzita Karlova v Praze, KOLEJE A MENZY, Voršilská 1, Praha 1

Provozní řád upravuje pravidla pro využívání informačních technologií Sdružení Tišnet členem.

1. Shrnutí povinností pro poskytovatele i žadatele EU dotací. Povinnost odkrýt vlastnickou strukturu a skutečné vlastníky, tzn.

Daňový. Zpravodaj vznikl ve spolupráci se členem AMSP ČR společností Akont mezinárodní daňové poradenství, ( Kontakt pro Vaše dotazy:


INSPEKČNÍ POSTUP ATESTACE REFERENČNÍHO ROZHRANÍ ISVS

S M L O U V A. uzavřena podle 269 odst a násl. zákona č. 513/1991 Sb., obchodního zákoníku ve znění pozdějších předpisů.

Oznámení o vyhlášení výběrového řízení na služební místo vedoucího inspektora Oblastního inspektorátu práce pro hlavní město Prahu

9:45 10:20 Úvodní slovo Mgr. Miloslav Kvapil, ředitel společnosti DYNATECH s.r.o.

ZADÁVACÍ DOKUMENTACE

INTRANET V JVK ČESKÉ BUDĚJOVICE

ZADÁVACÍ DOKUMENTACE

Role metodika v procesu zavádění a ověřování standardů kvality v praxi

Smlouva o závazku veřejné služby zabezpečení lékařské pohotovostní služby OŠKSS: SML /LPS/2015

Úřad Regionální rady Střední Morava - zprostředkující subjekt IROP stav dle UV č. 555 z 9. července Olomouc

ÚŘAD PRO OCHRANU HOSPODÁŘSKÉ SOUTĚŽE

Balíček oběhového hospodářství v Evropě

Transkript:

Platební styk, směrnice NIS a zákn kybernetické bezpečnsti Adam Kučínský Seminář: Nvinky z legislativy platebníh styku 19. dubna. 2017 ZKB - cíle právní úpravy a nvely Stanvit základní úrveň bezpečnstních patření Zlepšit detekci a zavést hlášení kybernetických bezpečnstních incidentů Zavést systém patření k reakci na kybernetické bezpečnstní incidenty Upravit činnst dhledvých pracvišť Cíle velké nvely: Transpzice Směrnice Evrpskéh parlamentu a Rady (EU) 2016/1148 patřeních k zajištění vyské splečné úrvně bezpečnsti sítí a infrmačních systémů v Unii, (směrnice NIS) Odstranění některých nedstatků sučasné úpravy Prběhla ještě malá nvela zák. č. 365/2000 Sb. Nvela cestu z. č. 104/2017, http://www.psp.cz/sqw/sbirka.sqw?o=7&t=852 Účinnst nvely d 1. 7. 2017 Nvý pjem prvzvatel IS/KS, ustanvení vlastnictví a předávání dat, hlášení incidentů prvzvatelem, změny správních deliktů 2 1

Jak se daří ZKB naplňvat? Kybernetické bezpečnstní incidenty Měsíčně hlášen cca 30 incidentů, dalších cca 50 identifikuje GvCERT sám Pčet KII 99 systémů u 38 subjektů z th 50 systémů v sukrmém sektru a 48 ve veřejném Pčet VIS 158 systémů u 61 subjektů Celkem pd ZKB spadá 257 systémů ve správě 88 subjektů Audity/Kntrly plnění pvinnstí Od rku 2016 prveden 15 auditů/kntrl správců KII/VIS Mnh dalších aktivit Kybernetická cvičení, mezinárdní splupráce, EU agendy, vzdělávání Více: Zprava stavu KB ČR za rk 2016: https://www.gvcert.cz/cs/infrmacni-servis/publikace/2521-zprava-stavu-kyberneticke-bezpecnsti-ceske-republiky-2016/ 3 Legislativa KB sučasnst vs. buducnst Zákn č. 181/2014 Sb., kybernetické bezpečnsti ( ZKB ) Prbíhá nvelizace třetí čtení Předpkládaná účinnst srpen/září 2017 Vyhláška č. 316/2014 Sb., kybernetické bezpečnsti ( VKB ) Bude nvelizvána (pvinnsti rzšiřvány/měněny nebudu) Termín předlžení LRV říjen 2017, předpklad. účinnst - leden 2018 Vyhláška č. 317/2014 Sb., významných infrmačních systémech Beze změny Nařízení vlády č. 432/2010 Sb., kritériích pr určení prvku KI Beze změny + Nvá vyhláška pskytvatelích základních služeb (určvací kritéria) Termín předlžení LRV srpen 2017 Předpkládaná účinnst říjen 2018 4 2

Struktura pvinných pdle ZKB sučasnst 3 ZKB a) Pskytvatel služeb el. kmunikací, subjekt zajišťující síť el. kmunikací, ISP b) Orgán neb sba zajišťující významnu síť ISP pr KII, přímé zahraniční připjení c) Správce IS KII d) Správce KS KII Systémy důležité pr chd státu, bezpečnst, kritické služby e) Správce VIS Systémy státní správy - rgánů veřejné mci NÁRODNÍ CERT VLÁDNÍ CERT 5 Struktura pvinných pdle ZKB sučasnst vs. buducnst 3 NZKB a) pskytvatelé služeb elektrnických kmunikací, subjekt zajišťující sít elektrnických kmunikací b) rgán neb sba zajišťující významnu síť c) Pskytvatel digitálních služeb d) správce a prvzvatel IS KII e) správce a prvzvatel KS KII f) správce a prvzvatel VIS g) správce a prvzvatel IS základní služby h) prvzvatel základní služby NÁRODNÍ CERT VLÁDNÍ CERT 6 3

Správce KS neb IS KII - 3 písm. c) a d) ZKB Systémy důležité pr chd státu Sféra Vládníh CERTu Určuje/navrhuje NBÚ Pr určvání KII jsu důležité: Zákn č. 181/2014 Sb., kybernetické bezpečnsti >> definuje KII Zákn č. 240/2000 Sb., krizvý zákn >> stanví prces určení KII Nařízení vlády č. 432/2010 Sb. >> stanví kritéria pr KII Nejpřísnější regulace pvinnst plnit celý ZKB (resp. vyhl. 316/2014): Hlásí kntaktní údaje Detekuje a hlásí incidenty Pvinnst zavést bezpečnstí patření pdle vyhlášky č. 316/2014 Sb. Prvádí chranná a reaktivní patření vydaná NBÚ 7 Správce KS neb IS KII - 3 písm. c) a d) ZKB KII určvána NBÚ na základě naplnění určujících kritérií Definice - 2 písmen g) krizvéh zákna (240/2000 Sb.) narušení funkce by měl závažný dpad na bezpečnst státu, zabezpečení základních živtních ptřeb byvatelstva, zdraví sb neb eknmiku státu Průřezvá kritéria - 1 nařízení vlády č. 432/2010 Sb. Kritérium bětí Kritérium eknmické ztráty Kritérium dpadu na veřejnst Odvětvvá kritéria přílha NV energetika, finanční sektr, kmunikační a infrmační systémy, veř. správa, Pkud IS neb KS splní kritéria, pak se určí jak KII (OOP/usnesení vlády) Změny se v suvislsti s nvelu ZKB neplánují 8 4

3 písm. e) ZKB - správce VIS Významné infrmační systémy Definice - 2 písm. d) ZKB: infrmační systém spravvaný rgánem veřejné mci, který není kriticku infrmační infrastrukturu a u kteréh narušení bezpečnsti infrmací může mezit neb výrazně hrzit výkn půsbnsti rgánu veřejné mci Puze IS spravvaný rgánem veřejné mci (mim bce) Není KII Identifikace knkrétních VIS závislá na vyhlášce č. 317/2014 Sb., významných infrmačních systémech a jejich určujících kritériích Oprti KII je mířen směrem k zajištění půsbnsti OVM Změny se v suvislsti s nvelu ZKB neplánují 9 Směrnice NIS: C reguluje a jaké pvinnsti přináší Směrnice NIS byla přijata 6. července 2016, platná je d srpna 2016 Směrnice stanvuje patření pr bezpečnst sítí a infrmačních systémů v rámci Unie s cílem zlepšit fungvání vnitřníh trhu Státy musí přijmut nárdní strategii pr bezpečnst sítí a IS Státy musí určit vnitrstátní příslušné rgány pr blast regulace, jedntná kntaktní místa a týmy CSIRT Státy musí určit prvzvatele základních služeb (PZS) - d 9. 11 2018 Směrnice přím definuje pskytvatele digitálních služeb (DSP) pvinnst zapracvat d právníh řádu PZS a DSP pvinnst zavést bezpečnstní patření a hlásit incidenty Směrnice dále ustavuje síť skupin pr reakci na incidenty (CSIRT) a skupinu pr splupráci na úrvni EU 10 5

Průběh transpzice NIS na nárdní úrvni ČR musí přijmut úpravu d 21 měsíců d vstupu směrnice v platnst tedy nejpzději d května 2018 Příprava nvely Březen 2016 svlána prac. skupina na úrvni resrtů Duben 2016 - vytvřena prac. skupina na úrvni dbrné veřejnsti Legislativní prces MPŘ: d 18. 7. d 15. 8. 2016 cca 300 připmínek 23. 11. schválen vládu Nyní p druhém čtení (prběhl 14. 3.) Následuje 3. čtení a senát Sněmvní tisk č. 984 www.psp.cz Platnst a účinnst Předpkládaná platnst červen/červenec Předpkládaná účinnst srpen/září 11 Směrnice NIS pvinné subjekty Směrnice zavádí dva druhy pvinných subjektů I. Prvzvatelé základních služeb (PZS) Klíčvé subjekty pr fungvání splečenských a eknmických činnstí Určváni členskými státy na základě stanvených kritérií Kritéria rámcvě stanvena směrnicí dpady a dvětví Pdbné KII jsu zde ale rzdíly (PZS rientvány na vnitřní trh x KII na bezpečnst státu, kritéria KII plně nepkryjí kritéria pr PZS, ) II. Pskytvatelé digitálních služeb (DSP) Regulváni nvě Typvě se jedná vyhledávače, n-line tržiště, clud cmputing Pvinnsti jsu mírnější než u PZS - princip maximální harmnizace 12 6

Prvzvatel základní služby (PZS) - definice Základní služba = služba, jejíž pskytvání je závislé na sítích neb infrmačních systémech a jejíž narušení by mhl mít významný dpad na zabezpečení činnstí v některém z těcht dvětví: 1. energetika 5. zdravtnictví 2. dprava 6. vdní hspdářství 3. bankvnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl Infrmační systém základní služby = systém, na jehž fungvání je závislé pskytvání základní služby Prvzvatel základní služby = rgán neb sba dpvědná za pskytvání základní služby a určená NBÚ 13 Určvání prvzvatelů základních služeb (PZS) PZS budu určváni rzhdnutím (dle SŘ) vydaným NBÚ Určující kritéria stanví prváděcí vyhláška k ZKB (účinnst říjen 2017) Zveřejněny teze vyhlášky, na finální pdbě se pracuje Knkrétní nastavení kritérií pracvní skupina z řad sukrmé i státní sféry (13 pdskupin dle dvětví a pddvětví) Pr určení bude nutné naplnit jak dpadvá tak dvětvvá kritéria Odvětví budu kpírvat NIS (+ chemický průmysl) Dpadvá kritéria budu respektvat pžadavky směrnice a zhledňvat nárdní pdmínky Kritéria budu nastavena tak, aby regulace pkryla puze systémy nezbytné pr zajištění služeb (ne fakturační, marketingvé systémy ani např. bankmaty) 14 7

Určvání PZS dpadvá kritéria Dpadvá kritéria pr určvání PZS by mhla vypadat následvně: Narušení bezpečnsti infrmací a dat (C-I-A) v infrmačním systému neb síti elektrnických kmunikací způsbí: a) mezení základní služby pstihující více než 50 000 sb b) mezení či narušení jiné ZS, neb mezení či narušení prvzu prvku KI c) hspdářsku ztrátu vyšší než 0,25 % HDP d) nedstupnst služby, která není nahraditelná jinu službu e) běti na živtech s mezní hdntu více než 100 mrtvých neb 1000 zraněných sb f) mimřádnu událst ve smyslu zákna integrvaném záchranném systému g) kmprmitaci citlivých údajů 200 000 sbách Mnh vitálních systémů již určen jak KII nepředpkládáme výrazné mnžství PZS (výjimky - např. infrastruktura fin. trhů, k rzšíření djde i v bankvnictví) V případě, že systém naplní kritéria pr PZS i KII určí se jak KII 15 Odvětví PZS pdle NIS I. Energetika elektřina, rpa, zemní plyn II. Dprava Silniční, železniční, letecká, vdní III. Zdravtnictví, IV. Vdní hspdářství V. Digitální infrastruktura VI. Chemický průmysl VII. Bankvnictví VIII. Infrastruktura finančních trhů 16 8

Odvětví PZS pdle NIS: VII. Bankvnictví, VIII. Infrastruktura finančních trhů Bankvnictví úvěrvé instituce (pdnik, jehž činnst spčívá v přijímání vkladů neb jiných splatných peněžních prstředků d veřejnsti a pskytvání úvěrů na vlastní účet) Infrastruktura finančních trhů prvzvatelé bchdních systémů (regulvaný trh, mnhstranný bchdní systém neb rganizvaný bchdní systém) ústřední prtistrana (právnická sba, která vstupuje mezi strany smluv uzavíraných na jednm či na něklika finančních trzích, a stává se tak kupujícím pr každéh prdávajícíh a prdávajícím pr každéh kupujícíh) 17 Návrh kritérií pr PZS pdle NZKB: Bankvnictví Jak základní služba bude definván Pskytvání služeb úvěrvé instituce (dle zák. bankách) Jak PZS by mhla být určena (kritéria v jednání): Úvěrvá instituce pdle zákna bankách: s pčtem klientů nad 500 000, neb spravující vlné prstředky v minimální hdntě 0, 25 % HDP. U níž by narušení C-I-A IS/KS mhl způsbit: závažné mezení či narušení jiné základní služby, neb mezení či narušení prvzu prvku kritické infrastruktury, celkvu škdu vyšší než 0, 25 % HDP, nedstupnst služby, která není nahraditelná jinu službu, neb mimřádnu událst, která by svým významem/rzsahem naplnila pdmínky pr vyhlášení třetíh/zvláštníh stupně pplachu pdle 23 dst. 1 vyhlášky č. 328/2001 Sb. Předpklad max. určených 20 subjektů 18 9

Návrh kritérií pr PZS pdle NZKB : VIII. Infrastruktura finančních trhů I. Jak základní služba bude definván: a) Prvz bchdníh systému b) Výkn činnsti ústřední prtistrany Jak PZS by mhli být určeni (kritéria v jednání): a) prvzvatelé bchdních systémů = regulvaný trh, mnhstranný bchdní systém neb rganizvaný bchdní systém b) ústřední prtistrana = právnická sba, která vstupuje mezi strany smluv uzavíraných na jednm či na něklika finančních trzích, a stává se tak kupujícím pr každéh prdávajícíh a prdávajícím pr každéh kupujícíh U nichž by narušení C-I-A IS/KS mhl způsbit 19 Návrh kritérií pr PZS pdle NZKB: VIII. Infrastruktura finančních trhů II. u nichž by narušení C-I-A IS/KS mhl způsbit: závažné mezení či narušení jiné základní služby, neb mezení či narušení prvzu prvku kritické infrastruktury, celkvu škdu vyšší než 0, 25 % HDP, nedstupnst služby, která není nahraditelná jinu službu, mimřádnu událst, která by svým významem/rzsahem naplnila pdmínky pr vyhlášení třetíh/zvláštníh stupně pplachu pdle 23 dst. 1 vyhlášky č. 328/2001 Sb. Předpklad cca 3 5 určených subjektů 20 10

Prvzvatel základní služby (PZS) pvinnsti NIS stanvuje následující kruhy pvinnstí pr PZS: Přijmut technická a rganizační patření k řízení rizik Přijmut patření k předcházení incidentům narušujícím bezpečnst Oznamvat incidenty včetně případných přeshraničních dpadů Pskytvat regulační autritě sučinnst k psuzení bezpečnsti Prvádět nápravu zjištěných nedstatků Pvinnsti budu stejné jak u KII (specifikuje vyhl. č. 316/2014) KII má navíc pvinnsti vyplývající z krizvéh zákna PZS bude regulvána jak samstatná kategrie - nebude zahrnuta pd krizvý zákn 21 Pskytvatel digitálních služeb (DSP) - definice Pskytvatel digitální služby pskytuje službu: On-line tržiště - umžňuje n-line uzavírat kupní smluvu neb smluvu pskytnutí služeb prstřednictvím internetvé stránky n-line tržiště neb prstřednictvím internetvé stránky prdávajícíh, která využívá službu n-line tržiště Internetvéh vyhledávače Clud cmputingu - umžňuje přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, jež je mžn sdílet Tyt definice vycházejí přím ze směrnice Regulace se netýká malých a mikr pdniků (>50 zaměstnanců a rční bilanční suma neb brat >10 mil. ) Funguje zde princip samurčení naplnění definice = pvinná sba 22 11

Pskytvatel digitálních služeb (DSP) pvinnsti 4 dst. 3 NZKB: zavést a prvádět vhdná a přiměřená bezpečnstní patření pr sítě a IS, využívané k pskytvání služby 8 dst. 2 NZKB: hlásit kybernetický bezpečnstní incident s významným dpadem na pskytvání jeh služeb NCERTu 16 dst. 2 písm. h) NZKB: znamvat kntaktní údaje NCERTu Uplatňuje se princip maximální harmnizace pvinnsti nad rámec NIS se neukládají, kntrla puze při pdezření neplnění pžadavků Opatření musejí dpvídat míře existujícíh rizika Minimální bezp. patření pr DSP: Technical Guidelines fr the implementatin f minimum security measures fr Digital Service Prviders (ENISA, prsinec 2016) https://www.enisa.eurpa.eu/publicatins/minimum-security-measures-fr-digital-service-prviders 23 Přehled pvinnstí pdle ZKB Nahlášení kntaktních údajů ( 16 ZKB) Všechny pvinné sby, nvě i DSP a PZS Hlášení kybernetických bezpečnstních incidentů ( 8 ZKB) KII, VIS, významné sítě, nvě i DSP a PZS Zavedení bezpečnstních patření (standardizace) ( 4 ZKB) KII, VIS, nvě i PZS, DSP puze některá patření Činit patření vydané NBÚ ( 11 ZKB) KII, VIS, nvě i PZS Významné sítě a pskytvatelé služby el. kmunikací puze za stavu kybernetickéh nebezpečí, puze reaktivní patření 24 12

Nahlášení knt. údajů ( 16) Kd hlásí? Všechny pvinné sby Kmu hlásí? KII, VIS Vládnímu CERTu Psk. služeb el. kmunikací, významné sítě Nárdnímu CERTu C hlásí? - 16 ZKB Název sby, adresa sídla, IČO Jmén, příjmení, telefnní čísl a email sby, která je právněná jednat Základní ppis systému Jak hlásí? Pmcí frmuláře přílha č. 7 vyhlášky č. 316/2014 Sb. Pzr na hlášení změn! 25 Hlášení kybernetickéh bezpečnstníh incidentu ( 8 ZKB) Kd hlásí? Pvinně - významné sítě, KII, VIS Hlásit incidenty mžné i dbrvlně Kmu hlásí? KII, VIS Vládnímu CERTu Významné sítě Nárdnímu CERTu C hlásí? Stanven v části 3 vyhlášky č. 316/2014 Sb. typy a kategrie incidentů Kntaktní údaje Detaily incidentu (termín zjištění, typ a kategrie incidentu, stav zvládání, dhad zasažených systémů a dtčených uživatelů, ppis incidentu) Systémvé detaily Jak hlásí? Pmcí frmuláře přílha č. 5 vyhlášky č. 316/2014 Sb. 26 13

Bezpečnstní patření ( 4 a 5 ZKB) Bezpečnstním patřením se rzumí suhrn úknů a pstupů, jejichž cílem je zajištění bezpečnsti infrmací a dstupnsti a splehlivsti služeb a sítí v kybernetickém prstru. Druhy bezpečnstních patření: rganizační patření technická patření Specifikván ve VKB (316/2014 Sb.) 27 Organizační a administrativní zajištění pvinnstí I. Pvinnst v rámci systému řízení bezpečnsti infrmací Řídit rizika a aktiva Vytvřit a schválit bezpečnstní plitiku Stanvit pžadavky na ddavatele Zavést a řídit rganizační bezpečnst a bezp. Lidských zdrjů Prvádět kntrlu a audit Zavádět bezpečnstní patření a vést nich dkumentaci A další... Nejméně jednu za tři rky neb v suvislsti s prváděnými neb plánvanými změnami aktualizvat hdncení aktiv a rizik, bezpečnstní plitiku, plán zvládání rizik, plán rzvje bezpečnstníh pvědmí 28 28 14

Organizační a administrativní zajištění pvinnstí II. Řízení rizik Stanvit metdiku pr identifikaci a hdncení aktiv a rizik Identifikvat a hdntit důležitst aktiv Identifikvat rizika, při kterých zhlední hrzby a zranitelnsti Zpracvat prhlášení aplikvatelnsti (přehled vybraných a zavedených bezpečnstních patření) Zpracvat plán zvládání rizik (cíle a přínsy patření, termíny, ) Zhlednit případná reaktivní a chranná patření vydaná NBÚ Bezpečnstní plitika blasti ve kterých má být stanvena uvádí VKB v 5 dst. 1 a 2 29 29 Některé pvinnsti - Organizační bezpečnst ( 6 VKB ) I. Výbr pr řízení kybernetické bezpečnsti pvinně KII i VIS Stanví práva a pvinnsti a určí bezpečnstní rle definuje strategie, rzhduje financích, řídí na nejvyšší úrvni Celkvé řízení a rzvj KII a VIS Garant aktiva pvinně KII i VIS Osba pvěřená k zajištění rzvje, pužití a bezpečnsti aktiva Např. veducí zaměstnanec dpvědný za výkn činnsti pr kteru je IS/KS určen 30 30 15

Některé pvinnsti - Organizační bezpečnst ( 6 VKB ) II. Další bezpečnstní rle pvinně KII, VIS přiměřeně: manažer kybernetické bezpečnsti Krdinační rle - dpvědný za systém řízení bezpečnsti infrmací Vyšklení pr tut činnst + praxe 3 rky v blasti řízení bezpečnsti infrmací Mžn zajistit interně (vhdné) i externě architekt kybernetické bezpečnsti, Zajišťuje návrh a implementaci bezpečnstních patření Může zastávat více sb v závislsti na specializaci Vyšklení pr tut činnst + praxe 3 rky v blasti navrhvání bezp. Architektury Mžn zajistit interně i externě auditr kybernetické bezpečnsti neslučitelné s statními rlemi prvádí audit kybernetické bezpečnsti Vyšklení pr tut činnst + praxe 3 rky v blasti auditů kybernetické bezpečnsti Mžn zajistit interně i externě 31 31 Některé pvinnsti Organizační patření I. Stanvení bezpečnstních pžadavků na ddavatele ( 7 VKB) Pravidla pr ddavatele zhledňující řízení bezp. infrmací např.: Ve smluvách zavést ustanvení bezpečnsti infrmací - NDA Pvinnst řídit se bezpečnstní plitiku a bezp. pžadavky rganizace Ustanvení hledně subddavatelů Detaily HW a SW - ddání, instalace, testvání, plan bnvy p havárii SLA - reakční časy, dstupnst, rychlst řešení prblému, mnitring Další služby - šklení, implementace, manuály, údržba Mžnst zákaznickéh auditu Ustanvení vlastnictví dat, zdrjvéh kódu atd. Exit strategie - c bude v případě uknčení smluvy Zhlednění mžnéh vývje právníh systému Pvinnst ddavatele hlásit incidenty a další + KII pvinně před uzavřením smluvy hdntí rizika, pravidelně kntrluje bezp. patření a rizika spjená s ddávkami ( 7 dst. 2 ZKB) 32 32 16

Některé pvinnsti Organizační patření II. Řízení aktiv ( 8 VKB) Aktiva primární a pdpůrná Primární aktiva - infrmace neb služba, t c má pr rganizaci hdntu Pdpůrná aktiva - technická aktiva, zaměstnanci a ddavatelé Pvinnst identifikvat a evidvat primární aktiva (KII pvinně i pdpůrná) určit garanty aktiv, kteří jsu dpvědní za aktiva hdntit důležitst primárních aktiv z hlediska důvěrnsti, integrity a dstupnsti Určit vazby mezi primárním a pdpůrnými aktivy Bezpečnst lidských zdrjů ( 9 VKB) Plán rzvje bezpečnstníh pvědmí plán šklení + prvádění vstupních a průběžných šklení + KII dále pvinně hdntí účinnst plánu Kntrla ddržvání bezpečnstní plitiky Odebírání přístupů a aktiv při rzvázání prac. pměru 33 33 Některé pvinnsti Organizační patření III. Řízení prvzu a kmunikací ( 10 VKB) Detekvat kybernetické bezpečnstní událsti Zajišťvat bezpečný prvz stanvit prvzní pravidla a pstupy Zálhvání, ddělení vývje d stréh prvzu Řízení přístupu a bezpečné chvání uživatelů ( 11 VKB) Řídit přístup k VIS a zajistit chranu přístupvých údajů Akvizice, vývj a údržba ( 12 VKB) Stanvit bezpečnstní pžadavky na změny infrmačníh systému spjených s jeh akvizicí, vývjem a údržbu a zahrnut je d prjektu Zvládání kybernetických bezpečnstních událstí a incidentů ( 13) Zavést pvinnst znamvat incidenty, Evidvat a vyhdncvat incidenty Klasifikvat incidenty a zavádět patření na dvracení incidentů 34 34 17

Některé pvinnsti Organizační patření IV. Řízení kntinuity činnstí ( 14 VKB) Stanvit kmpetence (bezp. rlí, administrátrům atd.) Zpracvat strategii řízení knt. činnstí Určit minimální úrveň služeb nutných pr užívání, prvz a správu Určit dbu bnvení chdu a termín bnvení dát p incidentu Testvat funkčnst DR plánů Kntrla a audit kritické infrmační infrastruktury a významných infrmačních systémů ( 15 VKB) Psuzvat sulad bezpečnstních patření s právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky Prvádět a dkumentvat pravidelné kntrly ddržvání bezpečnstní plitiky a výsledky zhlednit v plánu rzvje bezp. pvědmí TECHNICKÁ OPATŘENÍ ( 16 26 VKB) 35 35 Bezpečnstní dkumentace KII a VIS ( 28 dst. 1 a 2 VKB) bezpečnstní plitika zprávy z auditu kybernetické bezpečnsti (jen KII) zprávy z přezkumání systému řízení bezpečnsti infrmací (jen KII) metdika pr identifikaci a hdncení aktiv a rizik zpráva hdncení aktiv a rizik prhlášení aplikvatelnsti plán zvládání rizik plán rzvje bezpečnstníh pvědmí zvládání kybernetických bezpečnstních incidentů strategii řízení kntinuity činnstí pdle Dpručená struktura bezpečnstní dkumentace přílha č. 4 VKB přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků 36 36 18

Prkázání certifikace ( 29 VKB) KII/VIS je zcela zahrnut d rzsahu systému řízení bezpečnsti infrmací Rzsah byl certifikván pdle nrmy ISO 27001 akreditvaným certifikačním rgánem Správce dále vede dkumenty bsahující ppis rzsahu systému řízení bezpečnsti infrmací, prhlášení plitiky a cílů systému řízení bezpečnsti infrmací ppis pužité metdy hdncení rizik a zprávu hdncení rizik, prhlášení aplikvatelnsti, certifikát systému řízení bezpečnsti infrmací splňující pžadavky nrmy, záznam přezkumání systému řízení bezpečnsti infrmací včetně suvisejících vstupů a výstupů přezkumání zprávu z auditů prvedených certifikačním rgánem včetně příslušných záznamů nápravě zjištěných neshd s příslušnu nrmu, 37 37 C dále přináší velká nvela ZKB ddav. vztahy I. KII, VIS a PZS kteří jsu rgánem veřejné mci, jsu pvinni si s pskytvatelem clud cmputingu smluvně šetřit vlastnictví dat a mžnst jejich kntrly Budu nutné úpravy některých smluv ustanvení vlastnictví infrmací a dat + ustanvení hledně kntrly infrmací a dat Důvd úpravy: Ve smluvách čast chybí ustanvení hledně vlastnictví dat Nemžnst kntrlvat data, infrmace a bezpečnstní patření ze stany vlastníka/správce Dále zákn uvádí pvinné náležitsti smluv rgánů veř. mci určených jak KII/VIS/PZS s pskytvateli clud cmputing. služeb 38 19

C dále přináší velká nvela ZKB ddav. vztahy II. 4 dst. 5 NZKB: pvinné náležitsti smluv OVM (KII/VIS/PZS) s CC: a) zaktvení pvinnsti pskytvatele služeb respektvat bezpečnstní plitiky dběratele služeb, b) stanvení úrvně pskytvaných služeb, c) systém schvalvání subddavatelů služby clud cmputingu, d) specifikace pdmínek uknčení smluvy z phledu bezpečnsti, e) řízení kntinuity činnstí v suvislsti s pskytvanu službu clud cmputingu, f) určení vlastníka uchvávaných dat, g) dhda důvěrnsti, h) stanvení úrvně chrany dat z phledu důvěrnsti, dstupnsti a integrity, i) pravidla zákaznickéh auditu, j) infrmvat dběratele incidentech suvisejících s plněním smluvy. 39 C dále přináší velká nvela ZKB 3a: pkud DSP nemá zástupce v členském státu EU musí jej zřídit 4a dst. 2: Pkud KII, VIS neb PZS není prvzvatelem svéh systému, musí prvzvatele infrmvat tm, že IS/KS byl určen 4a dst. 2: KII musí infrmvat své ISP tm, že se tit ISP stávají významnu sítí 12 dst. 3: Práv NBÚ infrmvat veřejnst incidentu (veř. zájem) 25: Změna sankcí za správní delikty a zavedení nvých deliktů 10a: Průlm zákna svbdném přístupu k infrmacím 40 20

C dále přináší malá nvela ZKB exit strategie 6a dst. 1: mžnst pvěřit jinéh prvzem KII/VIS, pkud t nevylučuje jiný zákn 6a dst. 2: pvinnst prvzvatele KII/VIS předat správci data, prvzní údaje a infrmace které má v suvislsti s prvzem KII/VIS 6a dst. 3: úprava předání a ničení dat v mezi správcem a prvzvatelem KII/VIS v případě uknčení splupráce Pvinnst prvzvatele předat v dhdnutém frmátu data, prvzní údaje a infrmace suvisející s prvzem KII/VIS Pvinnst prvzvatele tat data a infrmace p předání zničit Pvinnst umžnit správci dhled nad ničením 6a dst. 4: práv prvzvatele pžadvat úhradu nákladů spjených s výše uvedeným a pvinnst správce je uhradit 41 C dále přináší nvela ZKB předávání dat 15a: Pravmc Úřadu na návrh správce KII/VIS v případě hrzícíh incidentu ulžit prvzvateli systému předat data, prvzní údaje a infrmace spjené se systémem Pměrně přesně stanveny pdmínky, za kterých je t mžné 17/1 písm. l a 20 písm. l: Nárdnímu i Vládnímu CERTU dplněna mžnst přijímat hlášení KBI i d jiných než pvinných sb Pkud budu mít kapacity pvinné sby jsu upřednstněny V zásadě se nic nemění N i V CERT t činí již nyní 42 21

C dále přináší nvela ZKB - přestupky - 25 Změn pměrně dst 25 má nyní 3 dstavce, nvela jich má 12 Zavedení nvých přestupků Změna výše sankcí za správní delikty zvyšují se pkuty z max. 100 000 Kč na max. 1 000 000/5 000 000, spdní hranice nestanvena Pvinnst Sankce Pvinná sba Neplnění pvinnsti při SKB, nápravných patření, rzhdnutí, nepředání dat 1000 K Síť el. kmunikací, významná síť Nebude mít smluvně šetřené vlastnictví, ničení a předání dat 1000 K KII, VIS Nehlásí incidenty, neplnění rzhdnutí, nezveřejnění infrmací 1000 K Významná síť, KII, VIS, PZS Nezavede bezp. patření 5000 K KII,VIS, PZS Neustaví si zástupce, neprvádí bezp. patření, nehlásí incidenty, neplní ulžené pvinnsti NBÚ 1000 K DSP Hlášení kntaktních údajů 10 K Všichni Nepředá data, nezničí data/nesplupracuje při určvání 200 K Ddavatelé/PZS Kntrla plnění pvinnstí ZKB - průběh Kntrly zahájeny začátkem rku 2016 prveden 15 kntrl, zkntrlván 24 systémů Kritérium kntrly ZKB a vyhláška č. 316/2014 Sb. Průběh kntrly Subjekt bdrží známení plánvané kntrle a Průvdce kntrlu Kntrle na místě může přecházet přezkumání dkumentace (případně je prveden na místě) Délka kntrly na místě se phybvala v rzmezí 2 až 4 dnů Na knci kntrly je vypracván Prtkl kntrle bsahující: Základní infrmace kntrle, manažerské shrnutí, kntrlní zjištění, termíny pr zavedení nápravných patření, pučení, přílhy prgram kntrly atd. Prtkl je standardně předán pslední den kntrly 44 22

Kntrla plnění pvinnstí ZKB - nejčastější zjištění I. Systém řízení bezpečnsti infrmací Chybějící pdpra vedení Nezpracvané/neúplné/neschválené/neřízené/neddržvané bezp. plitiky Řízení aktiv a rizik Chybějící metdiky pr řízení aktiv a rizik Nejedntný prces řízení rizik v rámci rganizace Chybějící prhlášení aplikvatelnsti a plán zvládání rizik Organizační bezpečnst Bezpečnstní rle neustanveny / nemají přiděleny dstatečné kmpetence Aplikační bezpečnst Neprváděny bezpečnstní testy zranitelnsti aplikací přístupných z vnějšku 45 Kntrla plnění pvinnstí ZKB - nejčastější zjištění II. Řízení ddavatelů Smluvy nerespektují záknné pžadavky Řízení přístupvých právnění ddavatelů ke službám Správa privilegvaných účtů Audit kybernetické bezpečnsti Neprvádění auditu KB Řízení identit Chybné/nedstatečné prcesy správy uživatelských účtů (např. debírání přístupů s suvislsti s živtním cyklem zaměstnanců) Síla hesel Řízení kntinuity činnstí Plán kntinuity/havarijní plán neexistuje, je neúplný, není testván 46 23

Děkuji za pzrnst Adam Kučínský kucinskyadam@gmail.cm Užitečné dkazy Blkvé schéma k záknu kybernetické bezpečnsti: http://www.gvcert.cz/cs/kii--vis/kii--vis/ Prces určvání kritické infrmační infrastruktury: http://www.gvcert.cz/cs/kii--vis/kriticka-infrmacni-infrastruktura/ Prces určvání významných infrmačních systémů: http://www.gvcert.cz/cs/kii--vis/vyznamne-infrmacni-systemy/ Pmůcka k auditu/kntrle bezpečnstních patření pdle zákna: http://www.gvcert.cz/cs/kii--vis/dalsi-materialy-ke-stazeni/ Výkladvý slvník kybernetické bezpečnsti - třetí vydání: http://www.gvcert.cz/cs/infrmacni-servis/vykladvy-slvnik/ Návrh nvely zákna KB (Sněmvní tisk č. 984): http://www.psp.cz/sqw/histrie.sqw?=7&t=984 Směrnice NIS v ČJ (Úřední věstník EU, 19. 7. 2016, L194): http://eurlex.eurpa.eu/legal-cntent/cs/txt/pdf/?uri=oj:l:2016:194:full&frm=en 48 24

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář