Od 1. srpna nabývá účinnost novela zákona č. 181/2014 Sb., zákon o kybernetické bezpečnosti a o změně souvisejících zákonů známá spíš pod názvem Zákon o kybernetické bezpečnosti. Novela v první řadě implementuje směrnici NIS (Směrnice Evropského Parlamentu a Rady EU o opatřeních k zajištění vysoké společn úrovně bezpečnosti sítí a informačních systémů v Unii). O změnách, které tato směrnice přinese, jsme na našem blogu již psali, novela zákona však řeší také nedostatky, které se objevily postupně během uplynulých let, a to v souvislosti s implementací zákona o kybernetické bezpečnosti. Jaké změny nás tedy čekají?
1. Zavádí se nové povinné orgány a osoby
Směrnice NIS stanovuje dva rámce, na které by se měly vztahovat určité povinnosti v oblasti kybernetické bezpečnosti. Jsou to základní služby a digitální služby. Povinné osoby se tedy rozšiřuji o správce a provozovatele informačního systému základní služby (§ 3 písm. f), provozovatele základní služby (§ 3 písm. g) a poskytovatele digitálních služeb (§ 3 písm. h). Provozovatelé základní služby a informační systémy základní služby budou určeny úřadem do 9. listopadu 2018. Co se týče poskytovatelů digitálních služeb tedy on-line tržiště, internetových vyhledávačů a cloud computingu, ty se budou muset určit sami na základě definic daných v zákone.. Pokud však mají poskytovatelé digitálních služeb sídlo v jiném členském státu Evropské unie, daný zákon se na ně nevztahuje. Když ale digitální služby v České republice poskytuje a nemá v Evropské unii sídlo ani zástupce, je povinen ustanovit si v České republice svého zástupce.
Dobrá zpráva pro poskytovatele digitálních služeb, kteří se řadí mezi mikro nebo malé podniky, je, že na ně se daný zákon nevztahuje.
2. Rozšiřují se pravomoci Národního bezpečnostního týmu CSIRT.CZ
Národní bezpečnostní tým CSIRT.CZ bude nově od 1. srpna přijímat hlášení kontaktních údajů také od poskytovatelů digitálních služeb. Neplnění této povinnosti však nebude sankcionovatelné dřív než za rok. Tým CSIRT.CZ bude pro tyto povinné osoby sloužit také jako kontaktní místo a bude jim poskytovat případnou metodickou pomoc.
3. Vzájemná informační povinnost
Zavádí se informační povinnost mezi povinnými osobami, která je popsaná v § 4a. Nově například orgány a osoby, které se staly správci informačních nebo komunikačních systémů kritické informační infrastruktury nebo správci významných informačních systémů, a nejsou provozovateli tohoto systému, jsou povinni neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem nebo osobou podle § 3 písm. c), d) nebo e). Zjednodušeně lze říci, že se zavádí informační povinnosti mezi správci a provozovateli vybraných informačních systémů. Často se totiž stává, že správce a provozovatel (ten, kdo zajišťuje funkčnost systému) jsou různé osoby a provozovatel nemusí vědět, že provozuje systém, který byl označen jako kritický.
4. Mění se smluvní vztahy s poskytovateli cloud computingu
Tato poměrně zásadní změna se týká smluv mezi poskytovateli cloud computingu a orgány veřejné moci, které jsou povinnými osobami. V § 4 odstavci 5 – 7 se nově popisuje, co všechno by dané smlouvy měly obsahovat. Pokud smluvní vztahy neodpovídají novému předpisu, povinné osoby mají rok na to, aby dané smlouvy upravili.
5. Vzniká nový úřad
Nový úřad bude mít sídlo v Brně a stane se kontaktním místem pro oblast kybernetické bezpečnosti také pro zahraničí. Název úřadu bude Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Od 1. srpna budou všechny změny přehledně k dispozici v rámci metodického manuálu, který najdete zde. Na závěr ještě doplním, že této „velké“ novele zákona předcházela „malá“ novela, která vstoupila v účinnost 1. července tohoto roku. Změny „malé“ novely najdete zde.