V souvislosti s nástupem účinnosti Zákona o kybernetické bezpečnosti si možná řada z vás řekne, jestli třeba také nepatříte do organizace, které se dotýká. Abyste nemuseli nikde pátrat, přinášíme vám tři základní otázky s tímto spojené a k nim také odpovědi, s patřičným vysvětlením.
Ukládá zákon o kybernetické bezpečnosti nějaké povinnosti?
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (ZKB) nabyl účinnosti 1. ledna 2015. ZKB ukládá řadu povinností nejen vybraným subjektům, ale také vládnímu a národnímu CERTu (podle Memoranda s Národním bezpečnostním úřadem provozovaným sdružením CZ.NIC). Tato dvě pracoviště mají kromě jiného v souvislosti se zákonem povinnost přijímat hlášení kontaktních údajů a hlášení o kybernetických bezpečnostních incidentech od povinných orgánů a osob.
Kdo jsou povinné orgány a osoby, které hlásí kontaktní údaje národnímu CERT týmu (CSIRT.CZ)?
Podle §3 zákona jsou to orgány a osoby spadající pod písmeno a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací), pokud není orgánem nebo osobou podle písmene b), a b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d).
S lepší orientací v těchto pojmech a s jejích významem vám pomůže zákon č. 127/2005, konkrétně písmena n) a h).
Povinností jednotlivých subjektů je identifikovat se v rámci ZKB a zvážit, do které kategorie podle § 3 tohoto zákona náleží (a jestli vůbec). Pozor, orgány a osoby podřazené pod § 3 písm. a) a b) ZKB mají povinnost oznámit kontaktní údaje národnímu CSIRTu nejpozději do 30 dnů ode dne nabytí účinnosti tohoto zákona, tzn. do konce ledna 2015! Učinit tak mohou prostřednictvím formuláře dostupného na stránkách CSIRT.CZ.
Jako pomoc při určování, zda se i vás dotýkají povinnosti dle ZKB, je možné využít také vyhledávací databázi Českého telekomunikačního úřadu. Když se subjekt v dané databázi nachází, bude spadat minimálně pod §3 písm. a) zákona a tudíž by měl nahlásit kontaktní údaje národnímu CERTu.
Kdo jsou povinné orgány a osoby, které hlásí kybernetické bezpečnostní incidenty národnímu CERT týmu (CSIRT.CZ)?
Na rozdíl od hlášení kontaktních údajů se tato povinnost vztahuje jen na orgány a osoby podřazené pod písmeno b) § 3 zákona. Jedná se tedy o orgány nebo osoby zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d) (tedy systému kritické informační infrastruktury, ti mají ohlašovací povinnost přímo vůči NBÚ). Kybernetický bezpečnostní incident přitom zákon definuje jako narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. I v tomto případě je však na samotné organizaci, aby případný incident identifikovala a následně nahlásila.
Nahlásit kybernetický bezpečnostní incident je možné přes webový formulář na stránkách CSIRT.CZ.
Mezi kompetence týmu CSIRT.CZ a jeho provozovatele podle zákona nepatří výklad tohoto zákona. V identifikaci vám tak nemůžeme pomoci, protože pro to nejsme oprávnění. V případě, že budete mít pochybnosti týkající se tohoto zákona, řadou pravomoci je pověřený Národní bezpečnostní úřad (NBÚ). Obrátit se tedy můžete na tuto instituci.
konce ledna 2015 je treba hlasit i kontakty pro § 3 c) a d) – vladnimu CERTu
kdyz reknete a) a b), je treba rict i c) a d) :@)
Dobrý den, orgány a osoby uvedené v §3 písm.c) a d) spadají pod vládní CERT a platí pro ně jiné lhůty pro hlášení kontaktních údajů.