Kybernetickou bezpečnost bude řešit zákon. Zjistili jsme dopady na podnikatele

Od 1. ledna 2015 nabude účinnosti nový zákon o kybernetické bezpečnosti, který má, jak už jeho samotný název napovídá, především posílit kybernetickou bezpečnost a ochranu před kyberútoky na klíčové informační systémy. Přestože se většiny podnikatelů norma přímo nedotkne, nepřímých dopadů by měla být celá řada.

Čtěte také: Kybernetická kriminalita je výnosným byznysem. Ovšem v šedé ekonomice

Co nového zákon přináší

Autor: www.isifa.com, podle licence: Rights Managed

Co přináší zákon o kybernetické bezpečnosti?

Zákon o kybernetické bezpečnosti je první komplexní normou, která se zabývá problematikou kybernetické bezpečnosti v České republice. Zákon má posílit kybernetickou bezpečnost a sloužit jako ochrana před kyberútoky na klíčové informační systémy a sítě v zemi. Přínosem má být především soustředění podstatných informací odůvodňujících přijetí opatření na jednom místě. Nová právní úprava usiluje o zohlednění významu informačních a komunikačních technologií, které vedle výkonu veřejné správy zajišťují i jiné pro společnost zásadně důležité funkce, např. chod energetických sítí, zásobování obyvatelstva či fungování důležitých institucí v nejrůznějších oblastech, vysvětlil pro server Podnikatel.cz advokát Michal Matějka z AK Baker & McKenzie.

Zákon rozlišuje pět kategorií subjektů, kterým v různé míře ukládá určité povinnosti. Základní rozlišení těchto povinností závisí na typu informačního a komunikačního systému, který příslušný subjekt spravuje či zajišťuje – regulace je tím rozsáhlejší, čím je daný systém vnímán jako zásadnější. Subjekty povinné podle zákona o kybernetické bezpečnosti jsou následující:

• poskytovatelé služby elektronických komunikací a subjekty zajišťující síť elektronických komunikací,
• orgány nebo osoby zajišťující významnou síť,
• správci informačního systému kritické informační infrastruktury,
• správci komunikačního systému kritické informační infrastruktury, a 
• správci významného informačního systému.

Mezi hlavní nové povinnosti patří zvláštní bezpečností opatření a hlášení kybernetických bezpečnostních incidentů. Národní bezpečnostní úřad (NBÚ) následně bude moc v reakci na aktuální hrozbu nebo konkrétní kybernetické bezpečnostní incidenty vydávat opatření, a to ve formě buď varování nebo konkrétních opatření. Hlavním garantem kybernetické bezpečnosti bude Národní bezpečnostní úřad, zákon však počítá i se vznikem tzv. národního CERTu, jehož provozovatelem bude právnická osoba, která bude provádět dohled v soukromé sféře a přijímat podněty zejména od poskytovatelů služeb elektronických komunikací a subjektů zajišťujících sítě elektronických komunikací, doplnil serveru Podnikatel.cz Petr Dobeš, advokát a partner TaylorWessing e|n|w|c Advokáti.

Čtěte také: Útoky na mobilní bankovnictví, největší kybernetická hrozba tohoto roku

Podnikatelů se zákon dotkne nepřímo

Jak již bylo řečeno výše, zákon se přímo dotkne jen 5 kategorií subjektů. Zákon se bude týkat především státních institucí a těch firem, které provozují nebo podporují funkce důležité pro správný chod státu. Podle oborů se bude jednat například o zástupce energetiky, bankovnictví a další. Konkrétní určování subjektů bude stanoveno vyhláškami.Ve stavu tzv. kybernetického nebezpečí, což je stav, kdy bude bezpečnost kyberprostoru ohrožena ve velkém rozsahu, se povinné subjekty rozšíří o některé další operátory, upřesnil ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel.

Kdo přesně bude zákonu z této skupiny podléhat, se bude odvíjet od finálního obsahu návrhu nařízení vlády, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Návrh už sice prošel připomínkovým řízením, na jeho schválení vládou si ale ještě budeme muset počkat. Nařízení určí pouze kritéria pro to, kdo se kybernetickým zákonem bude muset řídit. Konkrétní rozhodnutí pak bude záležet na opatření obecné povahy vydaném příslušným ministerstvem či NBÚ, komentoval advokát Petr Dobeš.

Přestože se zákon většiny podnikatelů přímo nedotkne, bude mít podle odborníků řadu nepřímých dopadů na podnikatelské prostředí jako celek. Mezi tyto dopady podle předkladatelů zákona patří:

• Standardizace a koordinace procesů ve státní, komerční i veřejné sféře.
• Systematická výměna informací o zranitelnostech, útocích apod.
• Omezení ekonomických škod jako důsledků kybernetických bezpečnostních incidentů.
• Zvýšení míry bezpečnosti kriticky důležitých společenských funkcionalit, tzv. kritické informační infrastruktury.
• Zvýšení atraktivity České republiky pro investory v oboru ICT.
• Obecné zvýšení atraktivity České republiky pro zahraniční i tuzemské investory.
• Zvýšení konkurenceschopnosti tuzemských podnikatelů využívajících ICT k podnikání na evropském nebo mezinárodním trhu.
• Zvýšení ochrany know-how soukromých společností díky lepšímu zabezpečení jejich ICT.

Nezvýší se jen byrokracie a náklady?

Jak ale upozorňují odborníci, na některé podnikatelské subjekty může mít zákon i negativní vliv. U povinných osob se zvýší byrokracie ve formě hlášení incidentů. V této oblasti navíc zákon zůstává velmi obecný a až budoucnost podle odborníků ukáže, zda změny náhodou nepřinesou jen další administrativní zátěž pro poskytovatele telekomunikačních služeb, aniž by přitom zlepšili bezpečnost kybernetického prostoru. Plnění požadavků zákona (např. zavádění bezpečnostních opatření) s sebou též může na straně těch, na které se zákon zaměřuje především (tedy zejména správců systémů kritické informační infrastruktury), nést dodatečné náklady, upozornil Michal Matějka, advokát z kanceláře Baker & McKenzie.

Čtěte více na Lupa.cz: Zákon o kybernetické bezpečnosti zvýší náklady firem až o miliony korun

Jak ale na závěr ujistil ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel, na základě zákona nebude nikdo nikomu nutit konkrétní hardware nebo software, ani konkrétní řešení. To bude vždy na samotném správci systému a výsledkem bude muset být jen splnění příslušných bezpečnostních standardů dle zákona a vyhlášek, uzavřel Rohel.