Máte podnět na zlepšení této stránky? Nenašli jste na těchto stránkách odpověď na Vaše otázky? Obraťte se na sekretariát odboru regulace (kontakty naleznete zde) a my se budeme Vašemu podnětu nebo dotazu co nejdříve věnovat.
Zákon o kybernetické bezpečnosti (Zákon č. 181/2014 Sb., o kybernetické bezpečnosti)
Pro které instituce je zákon o kybernetické bezpečnosti závazný?
Zákon o kybernetické bezpečnosti se nevztahuje plošně na všechny občany a instituce v České republice. Zákon je závazný pro všechny subjekty stanovené v § 3. Stanovení konkrétních orgánů nebo osob pak již závisí na splnění charakteristik nebo kritérií pro určení jednotlivých povinných osob. U subjektů naplňujících kritéria pro určení provozovatele základní služby, příp. kritické informační infrastruktury, dojde k jejich určení na základě jednání s Úřadem. Za identifikaci významných informačních systémů odpovídají správci těchto systémů.
Pokud si nejste jisti, zda Váš informační systém nebo komunikační systém spadá do některé z kategorií, můžete využít informace a podpůrné materiály. V případě potřeby se můžete obrátit na sekretariát odboru regulace (kontakty naleznete zde).
Musí se tímto zákonem řídit i soukromé společnosti?
Zákon nerozlišuje mezi tím, jestli je subjekt soukromou společností nebo státní institucí – podstatné je jen splnění charakteristik nebo kritérií pro určení jednotlivých povinných osob podle § 3. Pokud jsou tedy soukromé společnosti poskytovatelem služeb elektronických komunikací nebo subjektem zajišťujícím síť elektronických komunikací, osobou zajišťující významné sítě (tj. takové, které zajišťují přímé zahraniční propojení do veřejných komunikačních sítí anebo přímé připojení ke kritické informační infrastruktuře), správcem nebo provozovatelem komunikačního nebo informačního systému kritické informační infrastruktury, provozovatelem základní služby, správcem nebo provozovatelem informačního systému základní služby nebo poskytovatelem digitální služby, pak ano.
Jaké povinnosti plynou ze zákona o kybernetické bezpečnosti?
Odpověď na tuto otázku je nejlépe popsána ve schématu „Povinnosti orgánů a osob podle zákona č. 181/2014 Sb.“, které naleznete v sekci Podpůrné materiály. V případě kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby se jedná o tyto základní povinnosti:
- nahlásit Úřadu kontaktní údaje podle § 16 zákona o kybernetické bezpečnosti,
- na systém spadající pod zákon aplikovat bezpečnostní opatření podle § 4 odst. 1 zákona o kybernetické bezpečnosti a vést o nich bezpečnostní dokumentaci v souladu s vyhláškou č. 82/2018 Sb., o kybernetické bezpečnosti,
- hlásit Úřadu kybernetické bezpečností incidenty v informačním systému podle § 8 zákona o kybernetické bezpečnosti,
- provádět opatření podle § 11 zákona o kybernetické bezpečnosti, jsou-li vydána.
Vedle základních povinností obsahuje zákon o kybernetické bezpečnosti ještě další povinnosti, které jsou stanoveny pro specifické situace.
Kdo je správce informačního systému podle zákona o kybernetické bezpečnosti?
Správce informačního systému je orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému. Z povahy věci je vůči konkrétnímu systému správcem vždy jen jeden subjekt, zpravidla ten, na jehož požadavek byl systém vytvořen, fungování jehož služeb zajišťuje nebo jemuž byla správa systému uložena předpisem (byť ostatní právní předpisy v tomto duchu často používají slovo provozovatel systému). Správce je také jediný, kdo disponuje informacemi o tom, co přesně je systémem spadajícím do působnosti zákona o kybernetické bezpečnosti, z čeho je tvořen, zda jej (vedle toho, že je jeho správcem) provozuje on sám, nebo jej spolu s ním provozuje jeden či více dodavatelů. Vedle toho je správce schopen určit jak jsou rozděleny role jednotlivých dodavatelů, a s ohledem na tyto znalosti pak především, zda určitým dodavatelem poskytovaná činnost skutečně spočívá v zajišťování funkčnosti technických a programových prostředků tvořících systém a takový dodavatel je tedy i provozovatelem systému podle zákona.
Kdo je provozovatel informačního systému podle zákona o kybernetické bezpečnosti?
Provozovatel informačního systému je orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační systém. Jde o aktivní činnost směřující k zabezpečení řádného fungování technických a programových prostředků tvořících systém tak, aby mohl poskytovat služby, pro které byl pořízen. Jako zajišťování funkčnosti nelze chápat jednorázové dodávky technických a programových prostředků bez dalších navazujících činností. Naopak tato činnost zahrnuje např. zajištění oprav, aktualizace software, implementace technických nebo programových prostředků. Blíže je tato problematika vysvětlena v dokumentu „Provozovatel informačního nebo komunikačního systému“, který naleznete v sekci Podpůrné materiály.
Kdy se subjekt stává provozovatelem systému ve smyslu § 2 odst. g) zákona o kybernetické bezpečnosti? Je tak učiněno objektivním naplněním definice ze zákona, nebo v momentě, kdy dojde k informování subjektu ze strany správce systému?
Provozovatelem systému se subjekt stává objektivním naplněním definice uvedené v § 2 písm. g) zákona. S ohledem na to, že o určení či naplnění kritérií prvku kritické informační infrastruktury, významného informačního systému nebo informačního systému základní služby má informace vždy jen správce kritické informační infrastruktury nebo významného informačního systému nebo provozovatel základní služby, je jeho notifikační proces vůči provozovateli tohoto systému nutný. Správce systému je totiž ten, kdo má jako jediný (s výjimkou následné kontroly ze strany Úřadu) možnost objektivně a informovaně porovnat zákonnou definici provozovatele systému podle § 2 písm. g) zákona s činnostmi svých dodavatelů a takové dodavatele, kteří tuto definici naplňují, pak identifikovat provozovateli systému. Tuto složitou otázku podrobně rozpracovává podpůrný materiál „Provozovatel informačního nebo komunikačního systému“, který naleznete v sekci Podpůrné materiály.
Jak jsou počítány lhůty pro plnění povinností podle zákona?
Lhůty jsou v zákoně o kybernetické bezpečnosti dány § 29 až § 31, a dále pak v rámci přechodných ustanovení zákonů č. 104/2017 Sb. a č. 205/2017 Sb., novelizujících zákon o kybernetické bezpečnosti. Ve výsledku jsou lhůty zpravidla počítány jinak u každého z povinných subjektů. K vysvětlení konkrétního případu lze nejlépe použít podpůrný materiál „Lhůty pro plnění povinností“, který naleznete v sekci Podpůrné materiály. Specificky v případě významných informačních systémů je počítání jejich lhůt ještě podrobně rozepsáno v podpůrném materiálu „Průvodce identifikací významného informačního systému“ v téže sekci.
Je potřeba kybernetické útoky hlásit Úřadu?
Povinnost hlášení kybernetického bezpečnostního incidentu mají v souladu se zákonem o kybernetické bezpečnosti orgány a osoby uvedené v § 3 písm. b) až f), tedy orgány nebo osoby zajišťující významnou síť, správce a provozovatel informačního, příp. komunikačního systému kritické informační infrastruktury, správce a provozovatel významného informačního systému a správce a provozovatel informačního systému základní služby. Kromě této povinnosti stanoví § 8 zákona o kybernetické bezpečnosti povinnost hlásit významné kybernetické bezpečnostní incidenty i pro poskytovatele digitálních služeb. Orgány nebo osoby zajišťující významnou síť a poskytovatelé digitálních služeb hlásí incidenty národnímu CERT, který provozuje společnost CZ.NIC, ostatní subjekty pak Úřadu.
Na druhou stranu i subjekty nespadající pod zákon o kybernetické bezpečnosti mohou v souladu s § 8 odst. 6 hlásit kybernetický bezpečnostní incident Úřadu, a to dobrovolně.
Je zákon závazný pro vysoké školy, profesní komory, příp. zdravotní pojišťovny?
Pokud nejsou jejich informační systémy Úřadem určeny jako kritická informační infrastruktura, příp. informační systém základní služby, dá se u vyjmenovaných subjektů uvažovat nad zařazením mezi významné informační systémy. Významným informačním systémem se dle § 2 písm. d) zákona o kybernetické bezpečnosti rozumí „informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.“ Orgán veřejné moci se vyznačuje tím, že přímo nebo zprostředkovaně autoritativně rozhoduje o právech a povinnostech jiných osob, tyto osoby nejsou s orgánem veřejné moci v rovnoprávném postavení (tzn. orgán veřejné moci vystupuje vůči dotčeným osobám vrchnostensky) a obsah rozhodnutí orgánu veřejné moci nezávisí na vůli těchto osob. Vedle toho jsou rozhodnutí orgánu veřejné moci státní mocí vynutitelná nebo může stát do takových práv a povinností zasahovat. Z poslední části citované definice vyplývá, že do kategorie významných informačních systémů mohou spadat pouze ty systémy, prostřednictvím kterých je vykonávána působnost orgánu veřejné moci. Byť tedy zdravotní pojišťovny, vysoké školy a profesní komory nevykonávají působnost orgánu veřejné moci jako svou primární činnost, některé jejich činnosti jsou výkonem veřejné moci. Zákon se tedy v těchto činnostech může vztahovat i na vysoké školy, profesní komory, zdravotní pojišťovny a další orgány veřejné moci, záleží pak, zda zvažované informační systémy rovněž naplní kritéria pro identifikaci daná vyhláškou o významných informačních systémech (podrobnější informace k procesu identifikace jsou obsaženy v podpůrném materiálu „Průvodce identifikací významného informačního systému“, který je dostupný v sekci Podpůrné materiály).
Vztahuje se zákon i na soukromé ordinace praktických lékařů a jejich software, případně obecně na software používaný jednotlivými osobami?
Aby se software mohl stát informačním systémem spadajícím pod působnost zákona o kybernetické bezpečnosti, musí podporovat poskytování určitých služeb. Poskytovatelé těchto služeb, označovaných jako základní, příp. kritické infrastruktury, jsou určeni jako povinné osoby zpravidla poté, co Úřad zhodnotí, že naplnili určující kritéria (výjimku zde tvoří např. tzv. významné informační systémy). Tato kritéria jsou nastavena takovým způsobem, aby zohlednila významnost jednotlivých odvětví služeb, a to s ohledem na jejich případný výpadek či jiné narušení a související vliv na chod společnosti. Dle dosavadní zkušeností Úřadu tedy s největší pravděpodobností žádný software užívaný v soukromých ordinacích praktických lékařů nenaplní určující kritéria nebo definice, a v takovém případě se na ordinace zákon vztahovat nebude. Software užívaný jednotlivci, který nepodporuje žádnou z výše uvedených služeb, velmi pravděpodobně také nebude spadat pod působnost zákona o kybernetické bezpečnosti. V případě potřeby se prosím v konkrétním případě obraťte na sekretariát odboru regulace (kontakty naleznete zde).
Software (informační systém) může být také identifikován jako významný informační systém podle § 2 písm. d) zákona o kybernetické bezpečnosti, a to v případě, že jej spravuje orgán veřejné moci. Tuto situaci lze nastínit na příkladu škol. Pro identifikaci systému záleží na jeho konkrétním využití: z definice významného informačního systému vyplývá, že se jedná o systém spravovaný orgánem veřejné moci, jehož narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. Do kategorie významných informačních systémů spadají pouze ty systémy, prostřednictvím kterých je vykonávána působnost školy jakožto orgánu veřejné moci. V praxi se tedy jedná o systémy, které podporují autoritativní rozhodování o studentech ze strany školy, typicky rozhodnutí o přijetí/nepřijetí apod. V případě systémů, které slouží pouze k zajištění provozu školy, nebo těch, které slouží pro výuku, nepůjde o systémy, prostřednictvím kterých je vykonávána působnost školy jako orgánu veřejné moci, a tyto pod působnost zákona o kybernetické bezpečnosti spadat nebudou.
Z výše uvedeného tedy vyplývá, že pro určení, zda bude software (informační systém) spadat pod působnost zákona o kybernetické bezpečnosti, je zpravidla nutné zjistit, zda takový software podporuje poskytování služeb, na které se zákon vztahuje.
Bude Úřad poskytovat určité finanční kompenzace subjektům, kterých se zákon o kybernetické bezpečnosti týká?
Pravomoci Úřadu, jakožto ústředního správního úřadu pro oblast kybernetické bezpečnosti, jsou taxativně vyjmenovány v § 22 zákona o kybernetické bezpečnosti. Z pozice orgánu veřejné moci nemůže Úřad překročit rámec těchto pravomocí, mezi něž není zařazeno poskytování jakýchkoliv finančních prostředků dalším subjektům.
Ačkoliv se financování zavádění bezpečnostních opatření může zpočátku jevit jako nepřiměřený náklad, ve výsledku se jedná o opatření, která mají podstatně zvýšit zabezpečení organizace a odvrátit případný kybernetický útok, jehož následky mohou značně převýšit finanční náročnost samotných opatření. Zvýšení kybernetické bezpečnosti organizace je tedy ve výsledku krokem, který by měl být zájmem samotné organizace, a nikoliv pouhým plněním požadavků zákona o kybernetické bezpečnosti.
Jaký je vztah zákona o kybernetické bezpečnosti a GDPR (popř. zákona o zpracování osobních údajů)?
Mezi zákonem o kybernetické bezpečnosti a GDPR není dán žádný přímý vztah. Na konkrétní subjekt se můžou oba předpisy vztahovat, nebo také nemusí. Zákon o kybernetické bezpečnosti je orientován na zajištění dostupnosti, důvěrnosti a integrity chráněného systému v celé jeho šíři. GDPR představuje rámec ochrany osobních údajů, nezávisle na tom, zda jsou v systému či nikoliv. V případě, že se na konkrétní subjekt použijí oba tyto právní předpisy, je možné vidět společný průsečík v zavádění bezpečnostních opatření podle § 4 zákona o kybernetické bezpečnosti a zavádění technických a organizačních opatření podle čl. 32 GDPR.
Vyhláška o kybernetické bezpečnosti (vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti)
Jak spolu souvisí vyhláška o kybernetické bezpečnosti a ISO normy?
Vyhláška vychází z norem řady ISO/IEC 27k, tyto normy jsou jejím základem. Normy však na rozdíl od vyhlášky nejsou pro regulované subjekty závazné a jejich dodržování (či případná certifikace) nezbavuje regulované subjekty povinnosti vyhovět všem požadavkům zákona a vyhlášky. Aktuální znění vyhlášky je dostupné v sekci Legislativa.
Pokud jsme správcem např. dvou významných informačních systémů a jednoho informačního systému kritické informační infrastruktury, musíme vypracovávat dokumentaci podle vyhlášky o kybernetické bezpečnosti ke každému systému zvlášť?
Nikoliv, dokumentace může být společná pro více různých systémů, ovšem za předpokladu, že bude obsahovat všechny náležitosti vztahující se na všechny regulované systémy.
Jakým způsobem může povinný subjekt zajistit naplnění všech povinností? Musí vše zajistit pomocí vlastních zdrojů, nebo může využít outsourcingu?
Vzhledem ke skutečnosti, že vyhláška o kybernetické bezpečnosti nestanovuje konkrétní způsoby splnění povinností, ale pouze jejich rámec, lze využít i outsourcing. Je však potřeba mít na paměti, že využitím outsourcingu se povinný subjekt nezbavuje odpovědnosti za zabezpečení systému a také se zvyšují nároky na správné řízení dodavatelů v souladu s vyhláškou o kybernetické bezpečnosti.
Co je to Výbor pro řízení kybernetické bezpečnosti a jaké jsou bezpečnostní role dle § 7 vyhlášky o kybernetické bezpečnosti?
Členové Výboru pro řízení kybernetické bezpečnosti a bezpečnostní role jsou významnými aktéry, kteří se podílejí na zabezpečování systému a plnění požadavků daných zákonem o kybernetické bezpečnosti.
Výbor pro řízení kybernetické bezpečnosti nese odpovědnost za celkové řízení a rozvoj kybernetické bezpečnosti v rámci subjektu. Jeho role je strategická, a proto by jeho členy měli být především zástupci vrcholového vedení subjektu (vyhláška požaduje povinně alespoň jednoho zástupce vrcholového vedení nebo jím pověřenou osobu) a vždy je členem také manažer kybernetické bezpečnosti.
Manažer kybernetické bezpečnosti je osoba odpovědná za řízení systému řízení bezpečnosti informací. Tato role je zcela klíčová pro správné nastavení fungování systému řízení bezpečnosti informací. V praxi je manažer kybernetické bezpečnosti jakýmsi mezistupněm mezi vrcholovým vedením (strategickou úrovní managementu) a operativní úrovní. Výkon role manažera kybernetické bezpečnosti musí být oddělen od rolí, které jsou odpovědné za provoz informačního a komunikačního systému a s dalšími provozními nebo řídicími rolemi.
Architekt kybernetické bezpečnosti je osoba zajišťující návrh implementace bezpečnostních opatření (pro zajištění bezpečné architektury informačního a komunikačního systému). V praxi je architekt kybernetické bezpečnosti odpovědný za návrh implementace bezpečné architektury (např. od infrastruktury až po bezpečnost na aplikační úrovni).
Auditor kybernetické bezpečnosti je osoba provádějící audit kybernetické bezpečnosti. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je povinně oddělen od výkonu jiných bezpečnostních rolí. V praxi bývá tato role častým předmětem outsourcingu, ale není to pravidlem.
Garantem aktiva je fyzická osoba pověřená organizací k zajištění rozvoje, použití a bezpečnosti aktiva (zajištění důvěrnosti, dostupnosti a integrity aktiva).
Doporučení pro bezpečnostní role jsou obsažena v příloze č. 6 vyhlášky o kybernetické bezpečnosti.
Problematikou bezpečnostních rolí se více zabývá materiál „Bezpečnostní role a jejich začlenění v organizaci“ dostupný zde.
Je možné, aby byly bezpečnostní role ve vztahu ke konkrétnímu systému vykonávány stejným zaměstnancem? Je možné, aby tento zaměstnanec vykonával bezpečnostní role pro více povinných subjektů?
Podmínky slučování bezpečnostních rolí upravuje vyhláška o kybernetické bezpečnosti. Vyhláška uvádí, že je výslovně zakázáno:
- pověřit manažera kybernetické bezpečnosti výkonem rolí odpovědných za provoz systému,
- pověřit auditora kybernetické bezpečnosti výkonem jakýchkoliv jiných bezpečnostních rolí (může být ale např. členem Výboru pro řízení kybernetické bezpečnosti, protože ten není bezpečnostní rolí).
Pokud není sloučení konkrétních rolí vyhláškou zakázáno, je možné role sloučit, přestože to na základě „best practice“ postupů nelze doporučit. Je také možné, aby jedna konkrétní osoba vykonávala bezpečnostní roli pro víc povinných subjektů. Obecně, na základě praktických poznatků, nelze doporučit např. outsourcing bezpečnostní role manažer kybernetické bezpečnosti. Oproti tomu u role auditora kybernetické bezpečnosti, která je neslučitelná s ostatními bezpečnostními rolemi, je často outsourcing dostatečně efektivním řešením.
Je možné vyhláškou vyžadované nároky jako zastupitelnost, dostupnost zdrojů, existenci bezpečnostní politiky atd. dokládat na koncernové úrovni?
Ano, to je možné. Stále je však nutné, aby takové řešení bylo funkční pro konkrétní regulovaný systém.
V naší organizaci máme již zřízenu Komisi pro bezpečnost. Je nutné zřídit Výbor pro řízení kybernetické bezpečnosti dle vyhlášky o kybernetické bezpečnosti, nebo přejmenovat Komisi?
Není nutné dodržovat přesné názvosloví dle vyhlášky, a to ani v případě bezpečnostních rolí nebo bezpečnostní dokumentace. V takovém případě ovšem musí být splněny požadavky kladené vyhláškou na tento výbor (nebo bezpečnostní role a dokumentaci). Pro lepší orientaci lze doporučit například uvést do statutu Komise pro bezpečnost, že vykonává činnost Výboru pro řízení kybernetické bezpečnosti podle vyhlášky o kybernetické bezpečnosti, nebo situaci vyřešit obdobně.
Kdo je významný dodavatel?
Podle § 2 písm. n) vyhlášky o kybernetické bezpečnosti je významným dodavatelem provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému. Po zhodnocení všech dodavatelů a případné identifikaci některých jako provozovatelů systému je potřeba zhodnotit zbylé dodavatele také z toho pohledu, zda s povinnou osobou vstupují do právního vztahu, který je významný z hlediska bezpečnosti určeného systému. V tomto případě je především potřeba věnovat velkou pozornost těm dodavatelům, kteří mají vztah k aktivům v rozsahu systému řízení bezpečnosti informací a nebyli identifikováni jako provozovatelé systému.
Významnými dodavateli budou typicky dodavatelé do regulovaného systému, kteří však nesplňují definiční znaky provozovatele (zejm. z důvodu, že jejich dodávky nebo služby jsou nahodilé a nepředstavují kontinuální činnost provozování), a dále dodavatelé aktiv nebo služeb spadajících do rozsahu systému řízení bezpečnosti informací (jednorázové i kontinuální dodávky či služby). Příkladmo lze zmínit jednorázové (nepravidelné) dodavatele SW a HW nebo servisních prací u informačních aktiv spadajících do regulovaného systému, dodávky a servisní práce vztahující se k rozsahu systému řízení bezpečnosti informací mimo vymezení regulovaného systému (tj. za situace, kdy je rozsah systému řízení bezpečnosti informací širší než rozsah vlastního regulovaného systému; zde typicky půjde o služby zálohování, SIEM, služby vývojářských společností, které nevstupují do produkčního prostředí apod.), může sem spadnout např. i dodávka nebo servis kamerového systému celé budovy, pokud se v ní nachází informační aktiva regulovaného systému (tzn. při selhání dodávky/servisu by mohla být narušena fyzická bezpečnost regulovaného systému), nebo dodávka docházkového systému, pokud by v důsledku jeho výpadku nebo narušení integrity byla omezena možnost přístupu obsluhy regulovaného systému k jeho aktivům, nebo úklidové služby, pokud se zaměstnanci dodavatele mohou dostat za perimetr regulovaného systému, apod.
Obecně je tedy třeba u každého dodavatele zvažovat, zda plnění, které poskytuje, je způsobilé narušit bezpečnost regulovaného systému. Pokud ano, jedná se o významného dodavatele a je potřeba ve vztahu k němu plnit povinnosti dané předpisy regulujícími kybernetickou bezpečnost. Stěžejním vodítkem je rozsah systému řízení bezpečnosti informací. Při posuzování charakteru konkrétního dodavatele je vhodné vycházet i ze seznamu aktiv regulovaného systému i celé organizace a z výstupů procesu hodnocení rizik pro regulovaný systém, neboť všechna významná rizika, pomocí nichž lze podstatnou část významných dodavatelů identifikovat, by se v těchto podkladech měla objevit.
Vztah správce a provozovatele
Musí správce i provozovatel zavádět všechna bezpečnostní opatření dle vyhlášky o kybernetické bezpečnosti?
Při zavádění a provádění bezpečnostních opatření podle zákona o kybernetické bezpečnosti je potřeba mít vždy na paměti, že podle § 4 odst. 2 zákona mají povinné osoby (tedy správce a provozovatel systému) zavést bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního nebo komunikačního systému. Primárním cílem je tedy zabezpečení konkrétního systému, nikoli duplicitní zavádění bezpečnostních opatření na straně správce i provozovatele tam, kde to není smysluplné a zákon ani vyhláška to výslovně nevyžadují. Určitě neplatí, že by správce a provozovatel měli nezávisle na sobě zavádět jednotlivá bezpečnostní opatření vyjmenovaná ve vyhlášce o kybernetické bezpečnosti.Správce určuje účel a podmínky provozování systému, měl by tak být schopný definovat bezpečnostní požadavky na daný systém, a tedy i bezpečnostní opatření, která mají být ve vztahu k systému jeho provozovatelem zavedena. To platí i kdyby měl podstatnou část informací nezbytných pro výběr bezpečnostních opatření získat od provozovatele.
Provozovatel systému bude zavádět bezpečnostní opatření typicky tam, kde je není schopen zavést správce, případně tam, kde ho správce zavedením opatření pověřil. Bude tak ale činit na základě řízení správcem – v takových případech budou za zavádění a provádění bezpečnostních opatření odpovědni jak správce, tak provozovatel. Nemělo by docházet k tomu, že provozovatel systému sám ze své inciativy a bez předchozí konzultace a schválení správcem začne zavádět bezpečnostní opatření nad rámec rozsahu, který vyplývá ze smlouvy se správcem.
Je možné, aby správce a provozovatel systému sdílel bezpečnostní dokumentaci (např. společnou zprávu o hodnocení rizik, společnou bezpečnostní politiku)?
V případě, že jsou splněny všechny náležitosti z pohledu právních předpisů a dokumentace je plně vyhovující i pro každý subjekt jednotlivě, je takové sdílení možnou variantou.
Musí správce i provozovatel jmenovat osoby do bezpečnostních rolí, např. manažera kybernetické bezpečnosti?
Jak bylo řečeno výše, cílem přijímání bezpečnostních opatření je zabezpečení konkrétního systému. Duplicitní vytvoření a obsazení těchto rolí u správce i provozovatele bude ve vztahu k zabezpečení konkrétního informačního systému většinou kontraproduktivní a nadbytečné. Je však žádoucí, aby si obě strany určily odpovědné kontaktní osoby a vhodně nastavily vzájemné komunikační kanály a procesy.
Musí správce i provozovatel hlásit kontaktní údaje?
Hlášení kontaktních údajů není pouze jedním z bezpečnostních opatření, ale samostatnou zákonnou povinností dle § 16 zákona o kybernetické bezpečnosti, která dopadá na všechny povinné osoby, tedy jak na správce, tak na provozovatele. Oba subjekty tak musí provést hlášení samostatně.
Musí správce i provozovatel hlásit bezpečnostní incidenty?
Dle ustanovení § 8 zákona o kybernetické bezpečnosti mají povinnost hlásit incident jak správce, tak provozovatel. Nad rámec toho platí, že pokud incident nahlásí provozovatel, nemusí to již dělat správce (v praxi je dobré detaily této situace také rozpracovat smluvně). Opačné pravidlo říkající, že provozovatel nemusí hlásit incident, pokud tak již učinil správce v zákoně chybí. V případě nenahlášení incidentu, o kterém provozovatel věděl, by se tak mohl dostat do rozporu se zákonem.
Není možné se smluvně dohodnout, že i když incident naplňuje definici a provozovatel by jej hlásit měl, bude tento incident provozovatelem hlášen nejprve správci, aby rozhodnul o tom, zda se takový incident bude či nebude hlásit na NÚKIB. V takovém případě by provozovatel jednal v rozporu se zákonem o kybernetické bezpečnosti.
Musí správce i provozovatel hlásit provedení reaktivního opatření?
Hlášení provedení reaktivního opatření je taktéž samostatnou zákonnou povinností dle § 13 odst. 4 zákona o kybernetické bezpečnosti, která dopadá jak na správce, tak na provozovatele. Obsahem hlášení však může být informace, že opatření provozovatel nemohl provést, protože cílilo na část systému, kterou provozovatel neprovozuje, resp. je výlučně v dispozici správce. Případně může provozovatel pouze odkázat na hlášení, které řádně provedl správce.
Jak si správce a provozovatel mezi sebou mohou smluvně upravit plnění jednotlivých povinností?
V případě povinnosti zavádět bezpečnostní opatření je smluvní úprava mezi správcem a provozovatelem absolutně nezbytná. Smluvní vztah mezi správcem a provozovatelem je naopak základní podmínkou toho, aby se provozovatel vůbec stal provozovatelem. Řízení provozovatele správcem má svá pravidla daná především ustanovením § 8 a přílohou č. 7 vyhlášky o kybernetické bezpečnosti, kde jsou mimo jiné stanoveny požadavky na obsah smluv uzavíraných s významnými dodavateli, tedy i provozovateli. Jakým způsobem bude zavádění bezpečnostních opatření rozděleno mezi správce a provozovatele je v zásadě na dohodě obou těchto subjektů. Provozovatel každopádně zavádí bezpečnostní opatření pouze v rozsahu smlouvy uzavřené se správcem, a to pouze s jeho souhlasem či na jeho pokyn.
Povinnosti hlášení kontaktních údajů, incidentů a provedení reaktivního opatření nelze smluvně převést a pověřit těmito činnostmi pouze správce, nebo pouze provozovatele. Jde o zákonné povinnosti dopadající separátně na obě povinné osoby. Jedinou výjimkou je situace, kdy provozovatel nahlásí incident, pročež ho již nemusí hlásit správce (§ 8 odst. 5 zákona o kybernetické bezpečnosti).
Má významný dodavatel, který není provozovatelem, nějaké povinnosti vyplývající ze zákona o kybernetické bezpečnosti?
Významný dodavatel není povinnou osobou dle § 3 zákona o kybernetické bezpečnosti, tudíž mu z tohoto zákona nevyplývají žádné povinnosti. V souvislosti s významnými dodavateli vznikají povinnosti pouze správci, který má obecně povinnost vybírat a řídit své dodavatele v souladu s ustanoveními § 4 odst. 4 zákona o kybernetické bezpečnosti a § 8 vyhlášky o kybernetické bezpečnosti.
Kontrola plnění povinností podle zákona o kybernetické bezpečnosti
Jak se bude kontrolovat dodržování zákona o kybernetické bezpečnosti a jaké budou sankce za porušení zákona?
Dodržování zákona probíhá prostřednictvím kontroly Úřadem, ke které je oprávněn na základě § 23 zákona o kybernetické bezpečnosti. Kontrola bude probíhat ve formě zhodnocení zavedených bezpečnostních opatření, jejich funkčnosti a dalšího plnění zákona. Kontrola probíhá v souladu se se zákonem č. 255/2012 Sb., o kontrole (kontrolní řád). Vedle uložení pokuty může Úřad přistoupit také k uložení nápravného opatření, jehož přijetí je oprávněn kontrolovat. Smyslem kontroly je především zjistit a zhodnotit stav kybernetické bezpečnosti u konkrétního subjektu a dosáhnout nápravy případných nedostatků.
Může být kontrola plnění povinností podle zákona o kybernetické bezpečnosti v rámci jednoho konkrétního systému prováděna u několika různých povinných osob (správce a jeho provozovatelů) zároveň?
Kontrola plnění povinností podle zákona o kybernetické bezpečnosti probíhá ze strany Úřadu vždy na úrovni konkrétní povinné osoby. Kontrola může probíhat buď pouze u správce, pouze u provozovatele nebo více provozovatelů, nebo u všech povinných osob souběžně. Ve stejném období tak může být prováděno několik kontrol u několika povinných osob se zaměřením na stejný systém (současné kontroly správce i provozovatelů takového systému).
poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací
Kdo spadá pod definici poskytovatele služeb elektronických komunikací, příp. subjektu zajišťujícího síť elektronických komunikací podle § 3 písm. a) zákona o kybernetické bezpečnosti?
Službou elektronických komunikací je podle zákona č. 127/2005 Sb., o elektronických komunikacích, služba obvykle poskytovaná za úplatu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací. Těmi se rozumí přenosové systémy, příp. spojovací nebo směrovací zařízení a jiné prostředky v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace. Subjekty, které tyto služby a sítě poskytují nebo zajišťují, budou tedy spadat do této kategorie. V praxi půjde zejména o tzv. Internet Service Providers.
Jaké mají tyto subjekty povinnosti ze zákona o kybernetické bezpečnosti?
Zákon o kybernetické bezpečnosti klade na poskytovatele služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací povinnost provádění opatření za stavu kybernetického nebezpečí, a hlášení kontaktních údajů Národnímu CERT. Tyto subjekty nemají povinnost zavádět bezpečnostní opatření, nemusejí Úřadu ani hlásit kybernetické bezpečnostní incidenty, v otázce zabezpečení sítí a služeb je pro tyto subjekty relevantní především zákon č. 127/2005 Sb., o elektronických komunikacích, a jeho prováděcí předpisy.
Orgán nebo osoba zajišťující významnou síť
Kdo spadá pod definici orgánu nebo osoby zajišťující významnou síť podle § 3 písm. b) zákona o kybernetické bezpečnosti?
Jedná se o ty subjekty, které naplní definici pro významnou síť danou v § 2 písm. h) zákona o kybernetické bezpečnosti. Významnou sítí se rozumí síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo přímé připojení ke kritické informační infrastruktuře. Jde především o provozovatele významných páteřních komunikačních infrastruktur.
Jaké mají tyto subjekty povinnosti ze zákona o kybernetické bezpečnosti?
Zákon o kybernetické bezpečnosti klade na orgány nebo osoby zajišťující významnou síť povinnost provádění protiopatření za stavu kybernetického nebezpečí, hlášení kontaktních údajů Národnímu CERT a hlášení kybernetických incidentů Národnímu CERT. Tyto subjekty nemají povinnost zavádět bezpečnostní opatření, v otázce zabezpečení sítí a služeb je pro tyto subjekty relevantní především zákon č. 127/2005 Sb., o elektronických komunikacích, a jeho prováděcí předpisy.
Kritická informační infrastruktura
Kde jsou uvedena kritéria pro určení kritické informační infrastruktury?
Kritéria pro určení prvku kritické infrastruktury jsou obsažena v nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, které naleznete v sekci Legislativa.
Je naše společnost správcem kritické informační infrastruktury?
V případě kritické informační infrastruktury dochází k určení určitého systému autoritativně Úřadem buďto prostřednictvím opatření obecné povahy v případě subjektů soukromého sektoru nebo v případě organizačních složek státu usnesením vlády ČR. Určení ze strany Úřadu standardně předchází komunikace Úřadu s organizací, která takový systém spravuje. Dokud Úřad tímto způsobem nerozhodne o tom, že určitý systém je kritickou informační infrastrukturou, není možné takový systém jako kritickou informační infrastrukturu chápat (i když třeba existují důvody se domnívat, že by k naplnění kritérií došlo).
Označení „správce“ takového systému, tak jak jej pojímá § 2 písm. e) nebo f) zákona o kybernetické bezpečnosti, má potom ta organizace, která vůči určenému systému naplňuje danou definici (tj. „určuje účel zpracování informací a podmínky provozování systému“). Správce je také jediný, kdo disponuje informacemi o tom, co přesně je systémem spadajícím do působnosti zákona o kybernetické bezpečnosti, z čeho je tvořen, zda jej (vedle toho, že je jeho správcem) provozuje on sám, nebo jej spolu s ním provozuje jeden či více dodavatelů, jak jsou rozděleny role jednotlivých dodavatelů, a s ohledem na tyto znalosti pak především, zda určitým dodavatelem poskytovaná činnost skutečně spočívá v zajišťování funkčnosti technických a programových prostředků tvořících systém a takový dodavatel je tedy i provozovatelem systému podle zákona.
Pro konkrétní informace se prosím obraťte přímo na sekretariát odboru regulace (kontakty naleznete zde).
Jakým způsobem můžeme nahlásit kontaktní údaje ke kritické informační infrastruktuře?
Vyplněním formuláře, který naleznete v sekci Formuláře. Formulář obsahuje i pokyny ke způsobu odeslání. Dále je v této sekci také dostupný návod, jak formulář vyplnit.
Provozovatel základní služby
Jak se mohu stát provozovatelem základní služby?
Provozovatelem základní služby se subjekt stane, pokud naplní odvětvová a dopadová kritéria a bude zároveň určen Úřadem.
Základní služba je podle § 2 písm. i) zákona o kybernetické bezpečnosti „závislá na informačních systémech nebo sítích elektronických komunikací v odvětví energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, vodní hospodářství, digitální infrastruktura nebo chemický průmysl“. Kritéria pro určení provozovatele základní služby a informačního systému základní služby dána vyhláškou č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby. Tato kritéria se dělí na odvětvová a dopadová. Odvětvová kritéria se dále člení na kritéria, kterými jsou druh služby, druh subjektu a speciální kritérium druhu subjektu. Kritéria dopadová uvádějí hranice možných škod způsobených kybernetickým bezpečnostním incidentem v informačních systémech a sítích elektronických komunikací, kterých musí být pro určení dosaženo. Pokud subjekt naplní výše uvedené, Úřad jej rozhodnutím určí jako provozovatele základní služby a systém podporující tuto službu jako informační systém základní služby. Bližší informace k tomuto procesu naleznete v dokumentu „Proces určování provozovatelů základních služeb a informačních systémů základních služeb“ v sekci Podpůrné materiály.
Dokud subjekt neobdrží rozhodnutí Úřadu o určení provozovatelem základní služby, není touto povinnou osobou podle zákona o kybernetické bezpečnosti a nevztahují se na něj žádné požadavky zákona.
Kde jsou definována odvětvová a dopadová kritéria pro určení provozovatele základní služby?
Kritéria pro určení provozovatele základní služby naleznete v aktuálním znění vyhlášky č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, kterou naleznete v sekci Legislativa.
Kdo určuje provozovatele základní služby a informační systém základní služby?
Provozovatele základní služby určí Úřad, a to rozhodnutím podle zákona č. 500/2004 Sb., správního řádu (§ 22a zákona o kybernetické bezpečnosti).
Jak probíhá určování/posuzování naplnění dopadových kritérií?
Pro to, aby byl subjekt určen jako provozovatel základní služby, musí provozovat službu v některém ze zákonem definovaných a vyhlášce konkretizovaných odvětví. Provozování této služby musí být závislé na informačním systému nebo síti elektronických komunikací [§ 2 písm. i) a j) zákona o kybernetické bezpečnosti]. Pokud je tato podmínka naplněna, může být přistoupeno k detailnímu posouzení naplnění kritérií. Toto posouzení bude provádět Úřad v úzké spolupráci s posuzovaným subjektem.
Samotné určování probíhá následovně:
- Úřad si vlastní činností opatří seznam subjektů naplňujících definici druhu subjektu podle příslušné části přílohy vyhlášky č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.
- Jsou vybrány pouze ty subjekty, které naplní alespoň jedno speciální kritérium druhu subjektu, je-li stanoveno.
- Se subjekty vybranými dle bodu 2. Úřad provádí posouzení naplnění dopadových kritérií.
- Systémy, které naplní alespoň jedno dopadové kritérium, jsou následně určeny jako informační systémy základní služby. Subjekt odpovědný za provozování služby bude určen jako provozovatel základní služby.
Co mám dělat, pokud se domnívám, že naplňuji kritéria pro provozovatele základní služby a informační systém základní služby?
V takovém případě se můžete obrátit přímo na sekretariát odboru regulace (kontakty naleznete zde).
Jakým způsobem můžeme nahlásit kontaktní údaje k provozovateli základní služby?
Vyplněním formuláře, který naleznete v sekci Formuláře. Formulář obsahuje i pokyny ke způsobu odeslání. Dále je v této sekci také dostupný návod, jak formulář vyplnit.
Jaký je vztah mezi provozovatelem základní služby a správcem informačního systému základní služby?
Provozovatelem základní služby je subjekt, který poskytuje základní službu a je určen Úřadem, z pohledu zákona o kybernetické bezpečnosti je na něj nahlíženo jako na povinnou osobu podle § 3 písm. g). Pokud je však tento subjekt i tím, kdo určuje účel a podmínky provozování informačního systému podporujícího poskytovanou základní službu, a je tedy zároveň (ex lege) i správcem, je na něj nahlíženo jako na povinnou osobu podle § 3 písm. f), nikoliv jako na povinnou osobu podle § 3 písm. g) zákona o kybernetické bezpečnosti. Tato druhá situace je mnohem pravděpodobnější a v praxi nastane téměř vždy.
Jaký je rozdíl mezi provozovatelem základní služby a provozovatelem informačního systému základní služby?
Definičně se jedná o dvě odlišné osoby (v praxi se však mohou oba instituty sejít u jednoho subjektu).
Provozovatel základní služby je definován v § 2 písm. k) zákona o kybernetické bezpečnosti jako orgán nebo osoba, která poskytuje základní službu a která je určena Úřadem podle § 22a zákona o kybernetické bezpečnosti.
Provozovatel informačního systému základní služby, resp. provozovatel informačního nebo komunikačního systému obecně, je definován v § 2 písm. g) zákona o kybernetické bezpečnosti jako orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.
Významný informační systém
Kde jsou uvedena kritéria pro určení významného informačního systému?
Kritéria pro určení významného informačního systému naleznete v aktuálním znění vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, kterou naleznete v sekci Legislativa.
Podrobnější popis jednotlivých kritérií pro identifikaci významných informačních systémů je obsažen v podpůrném materiálu „Průvodce identifikací významného informačního systému“, který je dostupný v sekci Podpůrné materiály.
Jak probíhá určování/identifikace významného informačního systému?
Významným informačním systémem se konkrétní systém stává ze zákona naplněním definičních znaků, neprobíhá žádné správní řízení o určení systému nebo jeho správce. Pokud tedy orgán veřejné moci používá k výkonu své činnosti informační systém, sám si musí být vědom své odpovědnosti spojené s výkonem veřejné moci a posoudit, zda jeho systém naplňuje kritéria stanovená vyhláškou. Pokud pak systém kritéria splňuje, je potřeba o tom neprodleně informovat Úřad formou zaslání hlášení kontaktních údajů, a to nejpozději do 30 dnů ode dne, kdy systém kritéria začal naplňovat.
Kdo je primárně odpovědný za posouzení jednotlivých informačních systémů z pohledu významného informačního systému? Existuje nějaké doporučení k posuzování prvků významných informačních systémů?
Za posouzení kritérií pro významný informační systém je odpovědný sám správce. Jednotlivým orgánům veřejné moci doporučujeme posoudit naplnění kritérií pro významný informační systém u jednotlivých informačních systémů interním aktem řízení – posloupností následujících činností (výsledkem je vytvoření závěrečné zprávy o posouzení kritérií u jednotlivých informačních systémů, která je schválena statutárním orgánem):
- Vytvoření seznamu jednotlivých informačních systémů (Vedení seznamu posuzovaných systémů a výsledků jejich posouzení je dle § 3 odst. 2 vyhlášky o významných informačních systémech povinné a může být předmětem kontroly.).
- Statutární orgán orgánu veřejné moci stanoví kompetence pro posouzení naplnění kritérií pro významný informační systém u systémů v seznamu vytvořeném v kroku 1. (např. stanoví, že za posouzení je odpovědný ředitel ICT nebo stanoví, že za posouzení je odpovědná určená skupina osob, která o závěru posouzení kritérií pro významný informační systém u jednotlivých systémů hlasuje).
- U jednotlivých systémů, které naplňují kritéria pro významné informační systémy, doporučujeme napsat, která z kritérií to jsou.
- Zaznačení údajů o posouzení naplnění kritérií u jednotlivých systémů do vytvořeného seznamu.
- Schválení seznamu informačních systémů statutárním orgánem.
- Nahlášení kontaktních údajů Úřadu.
Podrobnější informace k procesu identifikace jsou obsaženy v podpůrném materiálu „Průvodce identifikací významného informačního systému“, který je dostupný v sekci Podpůrné materiály.
Jakým způsobem můžeme nahlásit kontaktní údaje k významným informačním systémům?
Vyplněním formuláře, který naleznete v sekci Formuláře. Formulář obsahuje i pokyny ke způsobu odeslání. Dále je v této sekci také dostupný návod, jak formulář vyplnit.
Může obec identifikovat svůj informační systém jako významný informační systém?
Nemůže, informační systémy spravované obcemi jsou vyjmuty z povinností stanovených pro významné informační systémy.
Je-li subjekt správcem několika významných informačních systémů, je zapotřebí vytvořit bezpečnostní dokumentaci ke každému systému nebo je možné mít dokumentaci jednotnou?
Akceptovatelné jsou obě varianty, upřednostňovaná je varianta jednotné bezpečnostní dokumentace, a to za předpokladu, že bude obsahovat všechny náležitosti vztahující se na všechny systémy.
Poskytovatel digitální služby
Kdo spadá pod definici poskytovatele digitální služby podle § 3 písm. h) zákona o kybernetické bezpečnosti?
Poskytovatelem digitální služby se osoba stane v případě, že jí provozovaná služba naplní definici digitální služby podle § 2 písm. l) zákona o kybernetické bezpečnosti. Digitální službou je služba informační společnosti, která spočívá v provozování on-line tržiště, internetového vyhledávače, nebo cloud computingu. Zákon se nevztahuje na poskytovatele digitální služby, který je mikropodnikem nebo malým podnikem s počtem zaměstnanců méně než 50 a ročním obratem pod 10 000 000 EUR, nebo který má sídlo v jiném členském státě. V případě, že má poskytovatel digitální služby sídlo mimo Evropskou unii a ustavil si svého zástupce v České republice, pohlíží na něj zákon tak, jako by byl usazen v České republice.
Jaké mají tyto subjekty povinnosti ze zákona o kybernetické bezpečnosti?
Poskytovatelé digitálních služeb v působnosti zákona o kybernetické bezpečnosti mají povinnost zavádět bezpečnostní opatření, hlásit kontaktní údaje Národnímu CERT a hlásit Národnímu CERT kybernetické bezpečnostní incidenty s významným dopadem na poskytování jejich služeb.
Povinnosti poskytovatelů digitálních služeb jakož i podmínky pro hlášení bezpečnostních incidentů jsou vymezeny v prováděcím nařízení komise (EU) 2018/151 ze dne 30. ledna 2018 a nikoliv dány vyhláškou o kybernetické bezpečnosti.
Cloud computing
Co jsou to cloudové vyhlášky?
Jako cloudové vyhlášky jsou označovány vyhlášky, které stanovují konkrétní pravidla pro poskytovatele služeb cloud computingu zapsané do katalogu cloud computingu (dále jen „poskytovatelé“) a služby cloud computingu zapsané do katalogu cloud computingu a využívané veřejnou správou (dále jen „služby“), podle zákona o kybernetické bezpečnosti a zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů ve znění pozdějších předpisů (dále jen „ZoISVS“). Kromě vyhlášky č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu (dále jen „katalog“), se jedná o trojici dalších vyhlášek a to vyhlášku č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci (dále jen „vyhláška o bezpečnostních úrovních“), vyhlášku č. 316/2021 Sb., o některých požadavcích na zápis do katalogu cloud computingu (dále jen „vyhláška o vstupních kritériích“)a vyhlášku č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu (dále jen „vyhláška o bezpečnostních pravidlech“).
Co stanoví vyhláška o bezpečnostních úrovních?
Vyhláška o bezpečnostních úrovních stanovuje pravidla, podle kterých se informační systémy veřejné správy (dále jen „ISVS“), které by měly být provozovány v cloudu, rozřazují do čtyř příslušných bezpečnostních úrovní (1 - nízká, 2 – střední, 3 – vysoká, 4 - kritická). Tyto úrovně vyjadřují možné dopady kybernetického bezpečnostního incidentu ISVS, jehož provoz má být zajištěn pomocí cloud computingu. ISVS zařazený do příslušné úrovně bude moci využít pouze ty nabídky služeb, které jsou zařazeny do stejné nebo vyšší bezpečností úrovně.
Co stanoví vyhláška o vstupních kritériích?
Vyhláška o vstupních kritériích obsahuje ve svých přílohách sadu požadavků, které musí splnit poskytovatelé služeb cloud computingu a jejich jednotlivé služby cloud computingu tak, aby mohli být se svými službami zapsáni do katalogu cloud computingu (dále jen „katalog“) a nabízet v něm své služby orgánům veřejné správy pro ISVS. Požadavky na služby odpovídají zařazení do jednotlivých bezpečnostních úrovní dle vyhlášky o bezpečnostních úrovních. Splnění těchto požadavků je závazné pro poskytovatele, kteří mají zájem poskytovat své služby orgánům veřejné správy. Splnění těchto podmínek ověřuje Digitální a informační agentura (dále jen „DIA“) ve spolupráci s Úřadem. Tento proces je tzv. ex ante kontrola. Úřad vydal metodickou pomůcku, která je k nalezení zde, která provede poskytovatele základními pojmy, postupy a typickými problémy, s nimiž se mohou setkat při přípravě své žádosti o zápis nabídky cloud computingu do katalogu.
Co stanoví vyhláška o bezpečnostních pravidlech
Vyhláška o bezpečnostních pravidlech stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci. Jde tedy o seznam bezpečnostních požadavků, jejichž splnění budou muset orgány veřejné moci zajišťovat, pokud budou chtít využívat služeb cloud computingu pro jejich ISVS. Tato bezpečnostní pravidla budou často součástí výběrového řízení na poskytnutí služeb. Splnění těchto podmínek bude kontrolováno ze strany Úřadu. Kontrola bude probíhat až v době, kdy bude služba poskytována. Každá z bezpečnostních úrovní má mít stanovena bezpečnostní opatření, přiměřeně přísná podle příslušné bezpečnostní úrovně. Tento proces je tzv. ex post kontrola. Vyhláška o bezpečnostních pravidlech míří na orgány veřejné moci, respektive orgány veřejné správy, a nikoliv na poskytovatele jako vyhláška o vstupních kritériích.
Existují nějaká doporučení pro soukromé subjekty jako zákazníky k zabezpečení cloudových služeb?
Soukromé společnosti, které jsou regulovanými subjekty dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a změně souvisejících zákonů ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“), respektive vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „vyhláška o kybernetické bezpečnosti“) mají obecné povinnosti zavádět bezpečnostní opatření a dodržovat další povinnosti obsažené v zákoně o kybernetické bezpečnosti (zejm. § 4 odst. 5 a 6 ) a vyhlášce o kybernetické bezpečnosti (zejm. příloha č. 4).
Soukromé společnosti nemají další povinnosti ohledně zabezpečení svých služeb cloud computingu plynoucí z právních předpisů.
Přesto soukromé subjekty, jež mají zájem využívat služeb cloud computingu, mohou orientačně čerpat informace pro rozhodnutí o svém budoucím poskytovateli služeb cloud computingu z katalogu. Soukromý subjekt, jenž má zájem využívat služeb cloud computingu, může například zjistit, kteří poskytovatelé nabízejí své konkrétní služby pro ISVS, pro jaké bezpečnostní úrovně jsou tyto služby zapsány, potažmo, jaké požadavky dle vyhlášky o vstupních kritériích jsou jejich konkrétní služby schopny splnit.
Zároveň soukromé subjekty mohou při nastavování vlastních výběrových řízení vyžadovat po poskytovatelích služeb cloud computingu splnění požadavků, které po službách cloud computingu vyžadují cloudové vyhlášky, zejména vyhláška o vstupních kritériích. Na rozdíl od orgánů veřejné správy si však mohou mezi požadavky vybírat ty, které jim vyhovují.
Rovněž pokud jde dodržování bezpečnostních pravidel dle vyhlášky o bezpečnostních pravidlech, lze tyto na základě smluvního vztahu implementovat i mezi soukromým subjektem, jenž má zájem využívat služby cloud computingu a jeho poskytovatelem cloud computingu, či je alespoň použít jako inspiraci k tvorbě vlastních bezpečnostních požadavků na jednotlivé služby cloud computingu.
Jsou stanoviska NÚKIB ke konkrétním zapsaným cloudovým službám a poskytovatelům služeb cloud computingu veřejně dostupná?
NÚKIB nevydává konkrétní stanoviska k jednotlivým službám cloud computingu poskytovatelů veřejně. V rámci své činnosti poskytuje závazná stanoviska dle § 6u odst. 1 ZoISVS DIA za účelem posouzení splnění požadavků jednotlivých služeb cloud computingu dle § 6n písm. b) a e) ZoISVS nabízených poskytovatelem. DIA následně rozhoduje o zápisu služby cloud computingu do katalogu. Tyto služby jsou určeny k využití orgány veřejné správy.
Obdobně nezveřejňuje ani svá stanoviska k žádostem o zápis poskytovatelů cloud computingu do katalogu. V rámci své činnosti poskytuje závazná stanoviska dle § 6r odst. 1 ZoISVS DIA za účelem posouzení splnění požadavků dle § 6m odst. 1 písm. a) ZoISVS. NÚKIB dále DIA poskytuje informace pro účely splnění požadavku § 6m odst. 1 písm. c). DIA pak následně rozhoduje o zápisu poskytovatele cloud computingu do katalogu. Tito poskytovatelé pak mohou požádat o zápis nabídky své konkrétní služby cloud computingu do katalogu za účelem jejího využití orgány veřejné správy.
Existuje nějaký návod na to, jak splnit požadavky pro zápis služeb?
Ano, takový návod existuje. Úřad vydal metodickou pomůcku pro poskytovatele cloudových služeb. Tento dokument je určen k navigaci při přípravě žádosti o zápis nabídky cloud computingu do katalogu. Pomůcka poskytuje přehled základních pojmů, postupů a typických problémů, které mohou nastat, a vyjadřuje se k některým výkladovým otázkám. Tento dokument je k nalezení zde.
veřejné zakázky
Jaký je vztah zákona o kybernetické bezpečnosti a zákona č. 134/2016 Sb., o zadávání veřejných zakázek, a je vůbec možné dodržet požadavky obou předpisů současně?
Oba zákony jsou předpisy stejné právní síly, navzájem se nevylučují, naopak se doplňují. Zatímco zákon o zadávání veřejných zakázek stanoví procesní postupy pro výběr dodavatele, zákon o kybernetické bezpečnosti reguluje obsahové náležitosti požadavků na dodavatele. Zatímco tedy zákon o zadávání veřejných zakázek říká jak, zákon o kybernetické bezpečnosti říká co. Ačkoli pak skloubení požadavků obou zákonů může být v některých případech náročné, rozhodně není nerealizovatelné.
Jak přistoupit k situaci, kdy zákonem stanovené lhůty pro zavádění bezpečnostní opatření významně zkracuje nutnost vypisovat veřejné zakázky?
Za těchto podmínek je pro účely kontroly plnění uložených povinností potřeba doložit, že postup zavádění bezpečnostních opatření je plánován a opatření jsou implementována v souladu s tímto plánem. Tuto skutečnost je nutné promítnout v bezpečnostní dokumentaci, a to konkrétně v plánu zvládání rizik a prohlášení o aplikovatelnosti. V případě, že je dodržen správný procesní postup, není objektivní nemožnost zavést v daném čase bezpečnostní opatření vnímána jako porušení povinností daných zákonem o kybernetické bezpečnosti.
Jsme správcem informačního systému základní služby a chceme vyhlásit veřejnou zakázku na ICT. Jak máme v zadávací dokumentaci zohlednit požadavky zákona o kybernetické bezpečnosti?
V souladu s § 4 odst. 4 zákona o kybernetické bezpečnosti jsou povinné osoby povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy. Zohlednění těchto požadavků nelze považovat za nezákonné omezení hospodářské soutěže. Úřad k tomuto tématu vydal metodický materiál „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“, dostupný v sekci Podpůrné materiály.
Jakým způsobem máme v zadávací dokumentaci zohlednit varování Úřadu ze dne 17. prosince 2018?
Povinnost reagovat na varování vydaná Úřadem mají pouze povinné osoby spadající pod zákon o kybernetické bezpečnosti, pro ostatní subjekty lze zohlednění varování pouze doporučit. Pokud jste povinná osoba, doporučujeme řídit se materiálem „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“, zveřejněným v sekci Podpůrné materiály.
dotazy z praxe
Naše organizace není povinnou osobou podle zákona o kybernetické bezpečnosti, ale rádi bychom se zabezpečili proti případným incidentům. Jak máme postupovat?
Pro tento účel je v sekci Podpůrné materiály dostupný dokument „Minimální bezpečnostní standard“. Tento materiál nabízí zjednodušené principy, postupy a doporučení v oblasti kybernetické bezpečnosti pro všechny typy organizací. Samozřejmě je také možné využít komplexnější vyhlášku o kybernetické bezpečnosti nebo další nelegislativní předpisy, jako např. mezinárodní normy (např. z rodiny norem ISO nebo NIST).
Podle zákona o kybernetické bezpečnosti předá provozovatel systému správci tohoto systému data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému. Rozumí se daty, provozními údaji nebo informacemi souvisejícími s provozováním tohoto systému i zdrojový kód systému?
Ne. Výčet, čítající data, provozní údaje a informace, které má provozovatel k dispozici v souvislosti s provozováním systému, do sebe standardně nezahrnuje zdrojový kód.
Naše společnost patří do kritické infrastruktury, náš informační systém byl určen Úřadem jako kritická informační infrastruktura. V současnosti vybíráme nového dodavatele software – jak máme postupovat?
V souladu s ustanovením § 4 odst. 4 zákona o kybernetické bezpečnosti jste povinni při výběru dodavatele zohlednit požadavky vyplývající z bezpečnostních opatření a ty zahrnout do smlouvy. Výsledky procesu hodnocení rizik a analýzy přijímání bezpečnostních opatření je potřeba zohlednit skutečně již při výběru dodavatele a posléze s vybraným dodavatelem tato opatření zapracovat do smlouvy, neboť následné změny obsahu smluvního vztahu mohou být problematické. Pokud má být řešení některých bezpečnostních otázek ponecháno až na dobu plnění uzavřené smlouvy, je potřeba důsledně dbát na formulaci změnových ustanovení a zakotvit možnost od smlouvy odstoupit. Rozhodně nedoporučujeme nechávat řešení stěžejních bezpečnostních opatření až na fázi po uzavření smlouvy.
Byli jsme určeni provozovatelem základní služby. Dle zákona o kybernetické bezpečnosti jsme povinni Vám zaslat formulář pro hlášení kontaktních údajů a pověření osoby, která s Vámi bude za nás komunikovat. Bude dostačující zaslání plné moci této osoby?
Zákon předvídá několik způsobů, kterými lze prokázat oprávnění jednat za právnickou osobu, volba konkrétního způsobu je ponechána v dispozici subjektu. Pro Úřad je stěžejní, aby mělo pověření k jednání všechny nezbytné náležitosti, bylo platné a určité, způsob pověření (tedy zda půjde o plnou moc nebo pověření zaměstnance) není z pohledu Úřadu rozhodné.
Konkrétní požadavky na jednání právnické osoby vůči správnímu orgánu upravuje zákon č. 500/2004 Sb., správní řád. V souladu s § 30 odst. 1 správního řádu může činit jménem právnické osoby úkony ten, kdo je k tomu oprávněn v řízení před soudem podle § 21 občanského soudního řádu (tj. typicky člen statutárního orgánu, jehož oprávnění vyplývá z veřejného rejstříku, nebo zaměstnanec, u něho je potřeba oprávnění jednat prokázat – typicky pověřením, popisem pracovního místa, interním dokumentem zaměstnavatele apod.). Jménem právnické osoby může jednat též její zástupce (především zmocněnec podle § 33 správního řádu na základě zmocnění prokazovaného plnou mocí).
Hlášení kontaktních údajů má stanoven zákonný požadavek na formulářové podání. Formulář i s návodem naleznete zde. I s ohledem na výše uvedené je formulář koncipován především na podpis statutárním orgánem (což je z praktických důvodů preferováno), ale samozřejmě je možné jej podepsat také jinou osobou (ta ale musí doložit zmocnění k takovému úkonu, viz výše), nebo lze u nepodepsaného hlášení kontaktních údajů uplatnit fikci podpisu datovou zprávou (viz § 18 odst. 2 zákona o elektronických úkonech a autorizované konverzi dokumentů).
Je přípustné, aby zaměstnanci správců a provozovatelů informačního systému kritické informační infrastruktury pracovali z domu, kde k připojení k internetu a k práci používají vlastní domácí vybavení (tj. zejména síťové prvky, routery, switche, wifi antény, apod.)?
Správci a provozovatelé informačních systémů kritické informační infrastruktury jsou coby povinné osoby podle zákona o kybernetické bezpečnosti povinni v rámci své organizace zavádět a provádět bezpečnostní opatření uvedená v § 5 zákona o kybernetické bezpečnosti, resp. konkretizovaná vyhláškou o kybernetické bezpečnosti. Zákon ani vyhláška obecně nevylučují, aby povinné osoby podle § 3 zákona umožnily svým zaměstnancům práci z domova a používání vlastních zařízení a komerčního připojení k internetu. Co však zákon a vyhláška požadují je, aby tyto povinné osoby dbaly na zabezpečení svých informačních systémů a řídily rizika spojená se vzdáleným výkonem práce. Konkrétní způsob řízení rizik spojených s výkonem práce na dálku a s využíváním vlastních prostředků zaměstnanců bude vždy záviset na specifikách dané organizace, úrovni její kybernetické bezpečnosti, interních pravidlech stanovených mj. s ohledem na důležitost spravovaných aktiv a toleranci rizik organizace, apod. Každá organizace spadající do působnosti zákona o kybernetické bezpečnosti funguje svým specifickým způsobem a jejich informační systémy se mohou vzájemně lišit. Nelze proto stanovit univerzální pravidla pro zabezpečení práce na dálku pro všechny organizace spadající do působnosti zákona o kybernetické bezpečnosti, výběr konkrétních bezpečnostních opatření a konkrétních způsobů zabezpečení výkonu práce je odpovědností jednotlivých organizací.
Úřad se však v tomto směru snaží alespoň o určité metodické vedení (nejen) povinných subjektů, proto vydal např. doporučení pro bezpečnou práci na dálku (dostupné zde) nebo podpůrné materiály k zabezpečení videokonferencí (dostupné zde).
| Co dělat v případě, když Váš systém spadá pod zákon o kybernetické bezpečnosti V případě, že jste byli Úřadem určeni jako povinný subjekt (stali jste se správcem nebo provozovatelem informačního systému základní služby nebo kritické informační infrastruktury), příp. Váš systém naplnil kritéria významného informačního systému, postupujte následovně: 1. Neprodleně (nejpozději však do 30 dní) nahlaste Úřadu kontaktní údaje, a to prostřednictvím formuláře pro hlášení kontaktních údajů. Stejně tak je pak potřeba hlásit i jejich změny. Tím bude plněna povinnost podle § 16 zákona o kybernetické bezpečnosti. 2. Začněte zavádět bezpečnostní opatření. Bezpečnostním opatřením, jejich zavedení a provádění se věnuje § 4 zákona o kybernetické bezpečnosti a celá vyhláška o kybernetické bezpečnosti. Zavedení bezpečnostních opatření je zákonem požadováno do jednoho roku a jejich provádění je od zavedení kontinuální, nikdy nekončící proces. Základem zavádění bezpečnostních opatření je zejména stanovení základů systému řízení bezpečnosti informací, stanovení bezpečnostních rolí a organizační bezpečnosti, řízení aktiv a řízení rizik. 3. Po uplynutí přechodné lhůty jednoho roku máte povinnost hlásit Úřadu bezodkladně po jejich detekci kybernetické bezpečnostní incidenty, které se v daném systému stanou, a to prostřednictvím formuláře pro hlášení incidentů. Tím bude plněna povinnost podle § 8 zákona o kybernetické bezpečnosti. 4. Ostatní povinnosti, zejména povinnost provádět Úřadem vydaná reaktivní a ochranná opatření a v případě reaktivních opatření oznamovat Úřadu způsob jejich provedení prostřednictvím formuláře pro oznámení způsobu provedení reaktivního opatření, nemají zákonem stanovenou lhůtu, a proto se provádí neprodleně (v souladu s pokyny v konkrétním opatření). 5. Po uplynutí jednoroční přechodné lhůty je Úřad oprávněn kontrolovat dodržování zákonných povinností (v případě těch povinností, ke kterým nebyla dána přechodná lhůta, je oprávněn je kontrolovat ihned). Formuláře k hlášení kontaktních údajů, kybernetických bezpečnostních incidentů nebo pro oznámení způsobu provedení reaktivního opatření naleznete v sekci Formuláře. |