Úvodní stránka

Logo NÚKIB

Povinné osoby

Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací dle § 3 písm. a) ZKB

Poskytovatelem služby elektronických komunikací je ten, kdo ve smyslu § 2 písm. n) zákona č. 127/2005 Sb., o elektronických komunikacích, obvykle za úplatu poskytuje službu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací, včetně telekomunikačních služeb a přenosových služeb v sítích používaných pro rozhlasové a televizní vysílání a v sítích kabelové televize, s výjimkou služeb, které nabízejí obsah prostřednictvím sítí a služeb elektronických komunikací nebo vykonávají redakční dohled nad obsahem přenášeným sítěmi a poskytovaným službami elektronických komunikací. Také se nejedná o služby informační společnosti, které nespočívají zcela nebo převážně v přenosu signálů po sítích elektronických komunikací.

Subjektem zajišťujícím síť elektronických komunikací je takový subjekt, který zajišťuje přenosové systémy, popřípadě spojovací nebo směrovací zařízení a jiné prostředky, včetně prvků sítě, které nejsou aktivní, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných sítí s komutací okruhů nebo paketů a mobilních zemských sítí, sítí pro rozvod elektrické energie v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace ve smyslu § 2 písm. h) zákona č. 127/2005 Sb., o elektronických komunikacích.

Orgán nebo osoba zajišťující významnou síť dle § 3 písm. b) ZKB

Orgánem nebo osobou zajišťující významnou síť je takový orgán nebo osoba, která ve smyslu § 2 písm. h) zákona č. 127/2005 Sb., o elektronických komunikacích, zajišťuje přenosové systémy, popřípadě spojovací nebo směrovací zařízení a jiné prostředky, včetně prvků sítě, které nejsou aktivní, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných sítí s komutací okruhů nebo paketů a mobilních zemských sítí, sítí pro rozvod elektrické energie v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace, a to ovšem pouze za situace, že tato síť zajišťuje přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře ve smyslu § 2 písm. h) zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Proces určování:

Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury je povinen neprodleně informovat subjekt zajišťující síť elektronických komunikací v případě, že tento subjekt zajišťuje síť připojující prvek kritické informační infrastruktury. Tímto se ze subjektu zajišťujícího síť elektronických komunikací stává orgán nebo osoba zajišťující významnou síť.

Správce a provozovatel informačního nebo komunikačního systému kritické informační infrastruktury dle § 3 písm. c) a d) ZKB

Správcem informačního nebo komunikačního systému kritické informační infrastruktury je takový orgán nebo osoba, která určuje účel komunikačního systému nebo účel zpracování informací a podmínky provozování informačního nebo komunikačního systému.

Provozovatelem informačního nebo komunikačního systému kritické informační infrastruktury je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém, správce je určil a o této skutečnosti informoval.

Kritickou informační infrastrukturou (KII) se dle § 2 písm. g) a písm. i) zákona č. 240/2000 Sb., krizového zákona, rozumí prvek nebo systém prvků kritické infrastruktury, v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti dle § 2 písm. b) zákona č. 181/2014 Sb. o kybernetické bezpečnosti.

V praxi se jedná o takové informační nebo komunikační systémy, příp. ICS/SCADA systémy, které naplní kritéria pro určení prvků KII viz níže uvedené schéma v PDF.

Proces určování kritické informační infrastruktury lze nalézt zde.

Upozornění:
Rádi bychom upozornili na skutečnost, že určování prvků KII probíhá po vzájemném jednání mezi potenciálními povinnými subjekty (potenciálními správci prvků KII) a zástupci Národního úřadu pro kybernetickou a informační bezpečnost. O finálním určení prvku KII je vždy informován jeho správce, příp. jeho nadřízená organizace.

Správce a provozovatel významného informačního systému dle § 3 písm. e) ZKB

Správcem významného informačního systému je takový orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému.

Provozovatelem významného informačního systému je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém, správce je určil a o této skutečnosti informoval.

Významným informačním systémem (VIS) je informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací (narušení důvěrnosti, dostupnosti a integrity) může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

Proces určování významných informačních systémů je podrobněji vysvětlen v tomto schématu.

Provozovatel základní služby nebo správce a provozovatel informačního systému základní služby dle § 3 písm. f) a g) ZKB

Provozovatelem základní služby je takový orgán nebo osoba, která poskytuje základní službu a zároveň byl určen rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost.

Správcem informačního systému základní služby je takový orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému základní služby, provozovatel základní služby je určil a o této skutečnosti informoval.

Provozovatelem informačního systému základní služby je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém, provozovatel základní služby je určil a o této skutečnosti informoval.

Základní službou (ZS) je dle § 2 písm. i) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví

  1. energetika,
  2. doprava,
  3. bankovnictví,
  4. infrastruktura finančních trhů,
  5. zdravotnictví,
  6. vodní hospodářství,
  7. digitální infrastruktura,
  8. chemický průmysl.

Informačním systémem základní služby je dle § 2 písm. j) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, informační systém, na jehož fungování je závislé poskytování základní služby.

Proces určování provozovatele základní služby a informačního systému základní služby je spolu s podrobnostmi o institutu základní služby a dalšími informacemi dostupný zde.

Poskytovatel digitální služby dle § 3 písm. h) ZKB

Digitální službou (DS) je dle zákona č. 480/2004 Sb., o některých službách informační společnosti jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat, dle § 2 písm. h) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, spočívá v provozování:

  1. on-line tržiště, které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
  2. internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem, nebo
  3. cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet.

Podrobné informace o institutu poskytovatele digitální služby naleznete zde.

Orgán veřejné moci využívající služeb poskytovatelů cloud computingu dle § 4 odst. 5 ZKB


Povinnou osobou dle zákona o kybernetické bezpečnosti je od novely účinné od 1. 9. 2021 taktéž orgán veřejné moci využívající služeb poskytovatelů cloud computingu dle § 4 odst. 5 zákona o kybernetické bezpečnosti. Z tohoto ustanovení plynou orgánům veřejné moci dvě hlavní povinnosti:
- Zařadit poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému a
- zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu.

Službou cloud computingu je taková služba, která umožňuje vzdálený samoobslužný přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů.
Takovými výpočetními zdroji jsou zejména sítě, servery, či jiná infrastruktura, operační systémy, software, úložiště, aplikace a služby.
Národní úřad pro kybernetickou a informační bezpečnost má dle § 23 zákona o kybernetické bezpečnosti kontrolní pravomoc pouze vůči těm orgánům veřejné moci využívající služeb poskytovatelů cloud computingu, které jsou zároveň jednou z povinných osob dle § 3 písm. a) až g) zákona o kybernetické bezpečnosti, v některých případech i vůči poskytovateli digitální služby dle § 3 písm. h) zákona o kybernetické bezpečnosti. Orgány veřejné moci využívající služeb poskytovatelů cloud computingu, které nejsou zároveň výše uvedenými povinnými osobami, nejsou pod kontrolní pravomocí Národního úřadu pro kybernetickou a informační bezpečnost, mohou ovšem být pod kontrolní pravomocí jiného orgánu veřejné moci. Zároveň za porušení povinností vyplývajících z § 4 odst. 5 nebo 6 zákona o kybernetické bezpečnosti subjekty, které nejsou povinnými osobami dle § 3 písm. c) až g) zákona o kybernetické bezpečnosti nelze uložit sankci dle zákona o kybernetické bezpečnosti.