Povinnosti chránit IT systémy se zpřísní

Přísnější pravidla pro ochranu informačních a komunikačních systémů se dotknou i chemického průmyslu a velkých nemocnic

V poslanecké sněmovně leží návrh novely Zákona o kybernetické bezpečnosti, která je částečně vynucena nařízením EU (Směrnicí NIS), které musí jednotlivé členské státy tzv. transponovat (implementovat) do národní legislativy.  V tomto případě je za transpozici zodpovědný Národní bezpečnostní úřad (NBÚ).

Prezident ICT Unie a bývalý náměstek ministra vnitra Zdeněk Zajíček k novele uvedl, že je podle IT odborníků dobře připravena a všechny sdružené firmy v unii očekávají, že bude co nejrychleji schválena, stejně jako vznik nového úřadu. „Musím říct, že připravenost této novely je na vysoké úrovni a rozsah je adekvátní rizikům, jež jsou známá. Pokud by úřad pro kybernetickou bezpečnost vznikl již od 1. 7. tak to bude pro nás znamenat předvídatelnost prostředí,“ uvedl před poslanci Zajíček.

V důvodové zprávě pro meziresortní připomínkové řízení je uvedeno, že nad rámec transpozice směrnice jsou v novele zahrnuty následující body:

– Regulace chemického průmyslu, který byl identifikován jakožto bílé místo kybernetické bezpečnosti ČR.

– Náležitosti smlouvy uzavírané mezi orgány a osobami uvedenými v § 3 písm. c) až g), které jsou orgány veřejné moci, s poskytovateli služeb cloud computingu. Smlouvy s dodavateli obecně totiž představují problematický aspekt při zajišťování kybernetické bezpečnosti, přičemž uvedený výčet má subjektům napomoci v dostatečném vymezení smluvních náležitostí.

– Možnost informovat veřejnost o probíhajícím incidentu byla rozšířena nad povinnosti stanovené směrnicí, a to pro provozovatele základní služby.

– Navýšení horních hranic pro uložení pokut.

“ Zcela mimo režim transpozice směrnice jsou pak zavedeny povinnosti pro některé skupiny subjektů podléhající zákonu o kybernetické bezpečnosti. Správci informačních a komunikačních systémů kritické informační infastruktury a správci významných informačních systémů budou mít nově uloženou informační povinnost vůči provozovatelům informačních systémů a vůči subjektům zajišťujícím přímé připojení uvedených informačních nebo komunikačních systémů do sítě elektronických komunikací,“ uvádí se v materiálu.

Navíc bude upraven také zákon o svobodném přístupu k informacím tak, že nebude možno sdělit např., který subjekt se stal obětí kybernetického útoku. „Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují,“ uvádí se v návrhu novely zákona o kybernetické bezpečnosti.

Podle informací NBÚ se novela bude týkat tzv. „provozovatelů základních služeb“, což je „služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení činností v některém z těchto odvětví“:

O tom, kteří konkrétní provozovatelé nemocnic, chemiček, vyhledávačů a dalších služeb, „spadnou“ pod novelu zákona o kybernetické bezpečnosti, rozhodne Národní bezpečnostní úřad. Kritéria hodnocení nastavuje s odborníky z daných oblastí. „Cílem je nastavit kritéria tak, aby regulace pokryla pouze systémy nezbytné pro zajištění služeb (ne fakturační, marketingové systémy ani např. bankomaty),“ uvádí mluvčí NBÚ Radek Holý.

O jakých oblastech regulace se uvažuje:

o Pododvětví Elektřina

o elektroenergetický podnik

o provozovatel distribuční a přenosové soustavy

o Pododvětví Ropa

o Pododvětví Plyn

o Pododvětví Letecká doprava

o Pododvětví Silniční doprava

o Pododvětví železniční doprava

o Pododvětví vodní doprava

o Bankovnictví

o Infrastruktury finančních trhů

o Zdravotnictví

o Vodní hospodářství

o Digitální infrastruktura

o Chemický průmysl

Konkrétní nastavení kritérií provádí NBÚ ve spolupráci s odborníky, zástupci subjektů a zástupci regulátorů jednotlivých odvětví v jednotlivých pracovních skupinách.

Kdo se podílí na přípravě regulačních pravidel pro oblast kybernetické bezpečnosti:

Projednávání novely zákona bude pokračovat na únorové schůzi Hospodářského výboru Poslanecké sněmovny Parlamentu ČR. A pokud vše půjde dle posledních návrhů, budou se poslanci snažit, aby byla novela projednána na plénu Sněmovny co nejrychlejším způsobem. Snahou je, aby začala platit ještě v letošním roce.

Jiří Reichl