Zákon o kybernetické bezpečnosti: Co musíte vědět v roce 2024

Základní principy zákona o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti představuje klíčový legislativní rámec, který má za cíl chránit informační systémy a sítě před kybernetickými hrozbami a zajistit kontinuitu poskytování kritických služeb. Tento právní předpis vychází z potřeby systematického přístupu k ochraně kybernetického prostoru a stanovuje jasná pravidla pro subjekty, které spravují důležitou infrastrukturu nebo poskytují významné služby.

Jedním ze základních principů je princip prevence a proaktivního přístupu k bezpečnostním hrozbám. Zákon vyžaduje, aby povinné subjekty nereagovaly pouze na již vzniklé incidenty, ale aktivně budovaly obranné mechanismy a preventivní opatření. To znamená průběžné vyhodnocování rizik, implementaci bezpečnostních opatření ještě před tím, než dojde k narušení bezpečnosti, a pravidelnou aktualizaci bezpečnostních strategií v souladu s vývojem kybernetických hrozeb.

Princip proporcionality a přiměřenosti je dalším podstatným prvkem legislativy. Zákon rozlišuje mezi různými kategoriemi povinných subjektů a podle jejich významu pro fungování státu a společnosti stanovuje odpovídající úroveň požadavků. Zatímco provozovatelé kritické informační infrastruktury čelí nejpřísnějším požadavkům, poskytovatelé digitálních služeb mají povinnosti přizpůsobené charakteru jejich činnosti. Tento přístup zajišťuje, že bezpečnostní opatření jsou efektivní, ale zároveň nepředstavují nepřiměřenou zátěž pro subjekty s menším dopadem na veřejný zájem.

Zákon dále uplatňuje princip odpovědnosti a dohledu, který stanovuje jasné role a povinnosti všech zúčastněných stran. Povinné subjekty musí jmenovat kontaktní osoby pro kybernetickou bezpečnost, které jsou zodpovědné za implementaci a dodržování bezpečnostních opatření. Národní úřad pro kybernetickou a informační bezpečnost pak vykonává dozorovou činnost a má pravomoc kontrolovat plnění povinností, ukládat sankce a vydávat závazná stanoviska.

Princip hlášení a sdílení informací o bezpečnostních incidentech tvoří další klíčový pilíř. Povinné subjekty musí neprodleně oznamovat významné kybernetické bezpečnostní incidenty příslušným orgánům, což umožňuje rychlou reakci a koordinaci opatření na národní úrovni. Tento princip podporuje vytváření komplexního přehledu o stavu kybernetické bezpečnosti a umožňuje identifikovat systémové hrozby, které by mohly ohrozit více subjektů současně.

Zákon také prosazuje princip kontinuity a odolnosti, který vyžaduje, aby povinné subjekty zajistily nepřetržité poskytování svých služeb i v případě kybernetického útoku. To zahrnuje vytváření záložních systémů, plánů obnovy po incidentu a pravidelné testování těchto mechanismů prostřednictvím cvičení a simulací reálných útoků. Subjekty musí být schopny obnovit své služby v přijatelném časovém horizontu a minimalizovat dopady na koncové uživatele.

Princip mezinárodní spolupráce a harmonizace představuje důležitý aspekt, neboť kybernetické hrozby nepřekážejí státní hranice. Český zákon je koncipován v souladu s evropskou legislativou, zejména směrnicí NIS, což umožňuje efektivní výměnu informací a koordinaci opatření s partnerskými zeměmi a institucemi Evropské unie.

Povinné subjekty a jejich kategorizace

Zákon o kybernetické bezpečnosti v České republice stanovuje jasný rámec pro identifikaci a kategorizaci subjektů, které mají povinnost dodržovat jeho ustanovení. Tento legislativní předpis rozlišuje mezi různými typy povinných subjektů na základě jejich významu pro fungování kritické infrastruktury státu a poskytování základních služeb obyvatelstvu. Kategorizace těchto subjektů vychází z potenciálního dopadu kybernetického bezpečnostního incidentu na společnost, ekonomiku a bezpečnost České republiky.

Povinné subjekty jsou v zákoně rozděleny do několika kategorií, přičemž každá kategorie má specifické povinnosti a požadavky na zajištění kybernetické bezpečnosti. Základní dělení rozlišuje správce kritické informační infrastruktury, správce významných informačních systémů a poskytovatele digitálních služeb. Toto rozdělení není náhodné, ale odráží míru závislosti společnosti na jejich fungování a potenciální rozsah škod, které by mohly vzniknout v případě narušení jejich kybernetické bezpečnosti.

Správci kritické informační infrastruktury představují nejvyšší kategorii povinných subjektů. Jedná se o organizace a instituce, jejichž informační systémy jsou nezbytné pro zajištění základních funkcí státu a poskytování kritických služeb. Do této kategorie patří například provozovatelé energetických sítí, telekomunikační operátoři, zdravotnická zařízení poskytující neodkladnou péči, finanční instituce systémového významu a další subjekty, jejichž výpadek by měl závažné dopady na bezpečnost státu nebo život a zdraví obyvatel. Tyto subjekty podléhají nejpřísnějším požadavkům na zabezpečení a jsou povinny implementovat komplexní bezpečnostní opatření.

Druhá kategorie zahrnuje správce významných informačních systémů, kteří sice neprovozují kritickou infrastrukturu, ale jejich informační systémy mají podstatný význam pro výkon veřejné správy nebo poskytování služeb velkému počtu uživatelů. Kategorizace těchto subjektů zohledňuje faktory jako počet uživatelů služby, rozsah zpracovávaných dat, ekonomický význam subjektu a míru závislosti jiných subjektů na jejich službách. Správci významných informačních systémů musí splňovat specifické bezpečnostní požadavky, které jsou sice méně náročné než u kritické infrastruktury, ale stále zajišťují přiměřenou úroveň ochrany.

Poskytovatelé digitálních služeb tvoří třetí kategorii povinných subjektů podle zákona o kybernetické bezpečnosti. Tato kategorie byla zavedena v souladu s evropskou legislativou a zahrnuje především provozovatele online tržišť, poskytovatelé cloudových služeb a vyhledávače. Jejich zařazení mezi povinné subjekty odráží rostoucí závislost ekonomiky a společnosti na digitálních platformách a službách, které se staly nedílnou součástí každodenního života občanů i fungování podniků.

Proces kategorizace povinných subjektů probíhá na základě objektivních kritérií stanovených zákonem a prováděcími předpisy. Národní úřad pro kybernetickou a informační bezpečnost hraje klíčovou roli při identifikaci a zařazování subjektů do příslušných kategorií. Subjekty jsou vyrozuměny o svém zařazení mezi povinné subjekty a o konkrétní kategorii, do které spadají. Toto zařazení s sebou nese specifické povinnosti, které musí subjekt plnit pod hrozbou sankcí. Kategorizace není statická a může se měnit v závislosti na vývoji technologií, změnách v činnosti subjektu nebo aktualizaci legislativních požadavků, což zajišťuje, že systém kybernetické bezpečnosti zůstává relevantní a účinný i v měnícím se prostředí.

Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost představuje ústřední správní úřad České republiky, který má na starosti komplexní problematiku kybernetické bezpečnosti v rámci celého státu. Tento specializovaný orgán byl zřízen na základě zákona o kybernetické bezpečnosti a jeho hlavním posláním je zajišťovat ochranu kritické informační infrastruktury a koordinovat opatření v oblasti kybernetické bezpečnosti napříč všemi sektory společnosti.

Zákon o kybernetické bezpečnosti, který vstoupil v platnost v roce 2015 a byl následně novelizován, definuje základní pravidla a povinnosti pro subjekty provozující kritickou informační infrastrukturu či poskytující základní služby. Tento legislativní rámec ukládá povinným osobám řadu závazků, mezi které patří implementace bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a pravidelné provádění auditů. Národní úřad pro kybernetickou a informační bezpečnost v tomto kontextu vystupuje jako regulátor i kontrolní orgán, který dohlíží na dodržování stanovených pravidel.

Mezi klíčové kompetence úřadu patří vydávání bezpečnostních standardů a metodických pokynů, které pomáhají povinným osobám při implementaci bezpečnostních opatření. Úřad také provozuje národní CERT tým, jenž slouží jako kontaktní místo pro hlášení kybernetických incidentů a poskytuje odbornou pomoc při jejich řešení. Koordinace reakcí na kybernetické hrozby představuje jednu z nejdůležitějších funkcí, kterou tento orgán v rámci státní správy plní.

Zákon o kybernetické bezpečnosti stanovuje kategorizaci povinných osob do několika skupin podle míry jejich kritičnosti pro fungování státu a společnosti. Národní úřad pro kybernetickou a informační bezpečnost vede registr těchto subjektů a provádí jejich klasifikaci. Povinné osoby musí implementovat bezpečnostní opatření odpovídající jejich kategorii a pravidelně prokazovat jejich účinnost prostřednictvím bezpečnostních auditů prováděných kvalifikovanými osobami.

Úřad má také pravomoc ukládat sankce za porušení povinností vyplývajících ze zákona o kybernetické bezpečnosti. Tyto sankce mohou dosahovat značných finančních částek, což odráží vážnost problematiky kybernetické bezpečnosti v současném digitálním věku. Preventivní činnost úřadu zahrnuje vzdělávací aktivity, osvětové kampaně a vydávání varování před aktuálními kybernetickými hrozbami.

V mezinárodním kontextu Národní úřad pro kybernetickou a informační bezpečnost spolupracuje s obdobnými institucemi v rámci Evropské unie i mimo ni. Tato spolupráce je klíčová pro efektivní boj proti kybernetickým hrozbám, které mají často přeshraniční charakter. Úřad se podílí na implementaci evropských směrnic a nařízení v oblasti kybernetické bezpečnosti do českého právního řádu.

Zákon o kybernetické bezpečnosti prošel od svého přijetí několika novelizacemi, které reagovaly na vývoj technologií a měnící se povahu kybernetických hrozeb. Národní úřad pro kybernetickou a informační bezpečnost aktivně participuje na přípravě těchto legislativních změn a zajišťuje, aby právní rámec odpovídal aktuálním potřebám ochrany kybernetického prostoru České republiky.

Bezpečnostní opatření a technické požadavky

Bezpečnostní opatření a technické požadavky představují klíčový prvek v rámci zákona o kybernetické bezpečnosti, který stanovuje konkrétní povinnosti pro organizace spravující kritickou informační infrastrukturu a další subjekty spadající pod regulaci. Tyto požadavky jsou navrženy tak, aby zajistily komplexní ochranu informačních systémů před kybernetickými hrozbami a minimalizovaly dopady případných bezpečnostních incidentů na fungování klíčových služeb a infrastruktury České republiky.

Zákon kybernetická bezpečnost vymezuje povinnost implementovat organizační a technická bezpečnostní opatření, která odpovídají povaze a rozsahu poskytovaných služeb či zpracovávaných informací. Subjekty musí přijmout taková opatření, která jsou přiměřená identifikovaným rizikům a která zajistí odpovídající úroveň zabezpečení. To zahrnuje nejen technologické aspekty, ale i procesy řízení bezpečnosti, školení zaměstnanců a vytvoření bezpečnostní kultury v rámci celé organizace.

Technické požadavky se zaměřují na zabezpečení síťové infrastruktury, ochranu koncových zařízení, šifrování citlivých dat a implementaci systémů pro detekci a prevenci narušení bezpečnosti. Organizace musí zajistit pravidelné aktualizace softwarových systémů, aplikovat bezpečnostní záplaty a udržovat aktuální inventář všech aktivních prvků informační infrastruktury. Důležitou součástí je také segmentace sítí, která umožňuje izolovat kritické systémy od méně důležitých částí infrastruktury a minimalizovat tak potenciální šíření kybernetických útoků.

V rámci zákona - kybernetická bezpečnost je kladen velký důraz na řízení přístupových práv a autentizaci uživatelů. Subjekty musí implementovat robustní mechanismy pro správu identit, včetně vícefaktorové autentizace pro přístup k citlivým systémům a datům. Pravidelný audit přístupových práv a jejich aktualizace podle principu minimálních nutných oprávnění jsou nezbytné pro prevenci neoprávněného přístupu a zneužití systémových prostředků.

Bezpečnostní opatření zahrnují také pravidelné zálohování dat a testování obnovy systémů po případném bezpečnostním incidentu. Organizace musí mít vypracované plány kontinuity provozu a disaster recovery scénáře, které zajistí rychlou obnovu kritických služeb v případě kybernetického útoku nebo jiné mimořádné události. Tyto plány musí být pravidelně testovány a aktualizovány podle vývoje technologií a nově identifikovaných hrozeb.

Monitoring a detekce bezpečnostních incidentů představují další důležitou oblast technických požadavků. Subjekty jsou povinny implementovat systémy pro nepřetržité sledování bezpečnostních událostí a analyzovat logy z kritických systémů. Včasná detekce anomálií a podezřelých aktivit umožňuje rychlou reakci a minimalizaci dopadů bezpečnostních incidentů. V tomto kontextu je nezbytná také spolupráce s národními autoritami kybernetické bezpečnosti a sdílení informací o hrozbách.

Hlášení kybernetických bezpečnostních incidentů

# Hlášení kybernetických bezpečnostních incidentů

Povinnost hlášení kybernetických bezpečnostních incidentů představuje jeden ze základních pilířů českého zákona o kybernetické bezpečnosti, který stanovuje jasná pravidla pro identifikaci, vyhodnocení a ohlašování bezpečnostních událostí v kybernetickém prostoru. Tento legislativní rámec byl vytvořen s cílem zajistit koordinovanou reakci na kybernetické hrozby a umožnit efektivní sdílení informací mezi dotčenými subjekty a příslušnými orgány státní správy.

Zákon o kybernetické bezpečnosti ukládá povinným osobám, mezi které patří především provozovatelé základních služeb, poskytovatelé digitálních služeb a správci kritické informační infrastruktury, aby neprodleně hlásili významné kybernetické bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost. Tato povinnost vychází z potřeby vytvořit komplexní přehled o bezpečnostní situaci v kybernetickém prostoru České republiky a umožnit rychlou koordinaci obranných opatření.

Proces hlášení kybernetických bezpečnostních incidentů je přesně definován prováděcími právními předpisy, které specifikují časové lhůty, formát hlášení a požadované obsahové náležitosti. Povinné osoby musí být schopny rozpoznat, kdy se jedná o incident vyžadující hlášení, což předpokládá implementaci odpovídajících detekčních mechanismů a procesů pro vyhodnocování závažnosti bezpečnostních událostí. Zákon rozlišuje mezi různými kategoriemi incidentů podle jejich dopadu na poskytované služby, rozsahu narušení bezpečnosti a potenciálních následků pro uživatele či společnost.

Hlášení musí obsahovat podrobné informace o povaze incidentu, době jeho vzniku, rozsahu dopadu a přijatých opatřeních. Povinné osoby jsou zavázány poskytovat aktualizované informace v průběhu řešení incidentu, což umožňuje příslušným orgánům sledovat vývoj situace a v případě potřeby koordinovat pomoc nebo vydávat varování dalším potenciálně ohroženým subjektům. Tento kontinuální tok informací je klíčový pro efektivní řízení kybernetických krizí na národní úrovni.

Zákon o kybernetické bezpečnosti současně stanovuje povinnost zachovávat mlčenlivost o citlivých informacích získaných v rámci procesu hlášení incidentů, čímž chrání obchodní tajemství a bezpečnostní zájmy dotčených subjektů. Toto ustanovení má zásadní význam pro budování důvěry mezi soukromým sektorem a státními orgány, protože zajišťuje, že sdílené informace nebudou zneužity ke škodě hlásících organizací.

Nedodržení povinnosti hlásit kybernetické bezpečnostní incidenty může vést k uložení značných finančních sankcí, které mohou dosáhnout až desítek milionů korun v závislosti na závažnosti porušení a velikosti povinné osoby. Zákon tak vytváří dostatečnou motivaci pro organizace, aby věnovaly náležitou pozornost implementaci systémů pro detekci a hlášení bezpečnostních incidentů.

Praktická implementace povinnosti hlášení vyžaduje od organizací vytvoření interních procesů a postupů pro klasifikaci incidentů, určení odpovědných osob a zajištění komunikačních kanálů s Národním úřadem pro kybernetickou a informační bezpečnost. Mnoho organizací v tomto kontextu zavádí specializované týmy pro reakci na incidenty, které jsou vyškoleny v identifikaci bezpečnostních hrozeb a znají přesné postupy pro jejich hlášení podle požadavků zákona o kybernetické bezpečnosti.

Kybernetická bezpečnost není jen technická záležitost, ale základní pilíř fungování moderního státu. Zákon o kybernetické bezpečnosti musí být živým nástrojem, který se neustále přizpůsobuje novým hrozbám a technologickým výzvám, chrání kritickou infrastrukturu a zároveň respektuje práva občanů v digitálním prostoru.

Radim Kovář

Sankce a pokuty za porušení zákona

Zákon o kybernetické bezpečnosti stanovuje přísný systém sankcí a pokut, které mají zajistit dodržování stanovených povinností a preventivně působit proti jejich porušování. Sankční mechanismus je důležitou součástí celého právního rámce, protože bez účinných postihů by zákonné požadavky mohly zůstat pouze na papíře. Národní úřad pro kybernetickou a informační bezpečnost má jako dozorový orgán pravomoc ukládat sankce v případě zjištění nedostatků nebo přímého porušení zákonných povinností.

Výše pokut se liší podle závažnosti protiprávního jednání a podle toho, zda se jedná o fyzickou nebo právnickou osobu. V případě právnických osob mohou pokuty dosahovat velmi značných částek, což odráží význam kybernetické bezpečnosti pro kritickou infrastrukturu a fungování státu. Zákon rozlišuje mezi různými stupni porušení povinností, přičemž nejzávažnější přestupky jsou sankcionovány nejpřísněji. Mezi nejčastější důvody pro uložení pokuty patří nesplnění oznamovací povinnosti při bezpečnostních incidentech, nedostatečné technické a organizační zabezpečení informačních systémů nebo neprovádění pravidelných kontrol a auditů kybernetické bezpečnosti.

Povinné subjekty musí být obzvláště opatrné při dodržování všech zákonných požadavků, protože sankce mohou být uloženy nejen za aktivní porušení zákona, ale také za nedbalost nebo nedostatečnou péči o zabezpečení svých systémů. Správní orgán při rozhodování o výši pokuty přihlíží k celé řadě okolností, včetně závažnosti porušení povinnosti, doby trvání protiprávního stavu, způsobu a následků porušení povinnosti, okolností případu, dosavadního chování povinného subjektu a jeho přístupu k nápravě zjištěných nedostatků.

Pokud povinný subjekt nesplní oznamovací povinnost týkající se bezpečnostního incidentu ve stanovené lhůtě, může čelit pokutě v řádu statisíců až milionů korun. Stejně závažně je posuzováno i nepřijetí adekvátních bezpečnostních opatření, která by odpovídala rizikům spojeným s provozem informačních systémů. Zákon také postihuje situace, kdy povinný subjekt brání nebo ztěžuje výkon dozoru ze strany Národního úřadu pro kybernetickou a informační bezpečnost, například tím, že neposkytne požadované informace nebo neumožní přístup k dokumentaci či technickým systémům.

Důležité je zmínit, že sankce nejsou pouze finančního charakteru. V případě opakovaného nebo zvláště závažného porušení zákona může dojít i k dalším opatřením, včetně omezení činnosti nebo zveřejnění informace o porušení povinností, což může mít významný dopad na pověst organizace. Právnické osoby by měly mít na paměti, že odpovědnost za dodržování zákona o kybernetické bezpečnosti nese vedení organizace, které by mělo zajistit implementaci všech potřebných opatření a pravidelně kontrolovat jejich funkčnost a aktuálnost v souladu s měnícím se kybernetickým prostředím.

Audity a kontroly kybernetické bezpečnosti

Audity a kontroly kybernetické bezpečnosti představují klíčový nástroj pro ověřování a zajištění dodržování povinností stanovených zákonem o kybernetické bezpečnosti. Tyto mechanismy slouží k systematickému přezkoumání bezpečnostních opatření a procesů v organizacích, které spadají pod působnost tohoto právního předpisu. Zákon o kybernetické bezpečnosti jasně definuje podmínky, za kterých musí být audity prováděny, a stanovuje rámec pro kontrolní činnost příslušných orgánů.

Povinné subjekty podle zákona o kybernetické bezpečnosti musí pravidelně procházet bezpečnostními audity, které ověřují úroveň implementace bezpečnostních opatření a jejich skutečnou účinnost v praxi. Tyto audity nesmí být chápány pouze jako formální proces, ale jako komplexní hodnocení celkového stavu kybernetické bezpečnosti organizace. Zákon vyžaduje, aby audity prováděly osoby s odpovídající odbornou kvalifikací a nezávislostí, což zajišťuje objektivitu a profesionalitu celého procesu.

Kontrolní mechanismy zakotvené v zákoně o kybernetické bezpečnosti zahrnují jak interní audity prováděné samotnými organizacemi, tak externí kontroly realizované Národním úřadem pro kybernetickou a informační bezpečnost. Interní audity slouží především k vlastnímu přehledu organizace o stavu její kybernetické bezpečnosti a k identifikaci oblastí vyžadujících zlepšení. Tyto audity by měly být prováděny v pravidelných intervalech a vždy po významných změnách v informačních systémech nebo po bezpečnostních incidentech.

Externí kontroly prováděné regulačním orgánem mají odlišný charakter a zaměření. Tyto kontroly ověřují nejen technickou stránku zabezpečení, ale také dodržování procesních a organizačních požadavků stanovených zákonem. Kontrolní orgán má právo nahlížet do dokumentace, testovat bezpečnostní opatření a požadovat vysvětlení k jednotlivým aspektům kybernetické bezpečnosti. Organizace musí při těchto kontrolách poskytnout plnou součinnost a umožnit přístup ke všem relevantním informacím a systémům.

Zákon o kybernetické bezpečnosti také stanovuje konkrétní oblasti, které musí být předmětem auditů a kontrol. Patří sem hodnocení rizik, implementace bezpečnostních opatření, správa přístupových práv, ochrana osobních údajů, zálohovací strategie, plány obnovy po havárii a procesy hlášení bezpečnostních incidentů. Každá z těchto oblastí vyžaduje specifický přístup a odborné znalosti auditora, který musí být schopen posoudit nejen technické aspekty, ale i soulad s právními požadavky.

Dokumentace auditů a kontrol má zásadní význam pro prokazování compliance s požadavky zákona. Organizace jsou povinny uchovávat záznamy o provedených auditech včetně zjištěných nedostatků a přijatých nápravných opatření. Tato dokumentace slouží jako důkaz o aktivním přístupu k zajištění kybernetické bezpečnosti a může být klíčová při případných šetřeních bezpečnostních incidentů nebo při obhajobě proti sankcím za porušení zákona.

Proces auditů kybernetické bezpečnosti zahrnuje několik fází, od přípravy a plánování přes samotné provádění kontrolních aktivit až po vyhodnocení zjištění a formulaci doporučení. Kvalitně provedený audit poskytuje organizaci cenné informace o silných stránkách i slabinách jejího bezpečnostního systému a umožňuje cílené investice do zlepšení ochrany. Zákon vyžaduje, aby výsledky auditů byly prezentovány vedení organizace a aby na jejich základě byly přijímány konkrétní kroky k nápravě identifikovaných nedostatků.

Ochrana kritické informační infrastruktury státu

Ochrana kritické informační infrastruktury státu představuje jeden z klíčových pilířů národní bezpečnosti v kontextu moderní digitalizované společnosti. V České republice je tato problematika komplexně upravena především zákonem o kybernetické bezpečnosti, který stanovuje jasný rámec pro identifikaci, ochranu a zajištění kontinuity provozu těch informačních systémů a sítí, jejichž narušení by mohlo mít závažný dopad na fungování státu, ekonomiky či bezpečnost obyvatel.

Zákon o kybernetické bezpečnosti vymezuje kritickou informační infrastrukturu jako specifickou podmnožinu prvků kybernetické bezpečnosti, přičemž klade důraz na systémy a služby, které jsou nezbytné pro zajištění základních funkcí státu. Tato legislativa rozlišuje mezi různými kategoriemi subjektů podle míry jejich kritičnosti a potenciálního dopadu případného kybernetického incidentu na společnost. Provozovatelé kritické informační infrastruktury jsou povinni dodržovat přísná bezpečnostní opatření a pravidelně prokazovat svou připravenost čelit kybernetickým hrozbám.

V rámci implementace zákona o kybernetické bezpečnosti musí provozovatelé kritické informační infrastruktury vypracovat a udržovat komplexní bezpečnostní dokumentaci, která zahrnuje analýzu rizik, bezpečnostní politiku a plány kontinuity provozu. Tato dokumentace musí být pravidelně aktualizována v souladu s vývojem hrozeb a technologických možností. Zákon také stanovuje povinnost implementovat technická a organizační opatření odpovídající identifikovaným rizikům, včetně systémů detekce narušení, šifrování citlivých dat a pravidelného zálohování kritických informací.

Významným aspektem ochrany kritické informační infrastruktury je povinnost hlásit kybernetické bezpečnostní incidenty příslušným orgánům, konkrétně Národnímu úřadu pro kybernetickou a informační bezpečnost. Tato povinnost zajišťuje, že státní orgány mají aktuální přehled o kybernetických hrozbách a mohou koordinovat opatření k jejich zvládnutí. Hlášení musí být provedeno bez zbytečného odkladu, aby bylo možné rychle reagovat a minimalizovat potenciální škody.

Zákon o kybernetické bezpečnosti také upravuje pravomoci dozorových orgánů, které mají právo provádět kontroly u provozovatelů kritické informační infrastruktury a vyžadovat předložení dokumentace prokazující splnění bezpečnostních požadavků. Nedodržení stanovených povinností může vést k uložení značných sankcí, což odráží závažnost ochrany kritické informační infrastruktury pro národní bezpečnost.

Důležitým prvkem systému ochrany je také kontinuální vzdělávání a zvyšování povědomí zaměstnanců organizací provozujících kritickou informační infrastrukturu. Lidský faktor představuje často nejslabší článek v bezpečnostním řetězci, a proto zákon o kybernetické bezpečnosti klade důraz na pravidelná školení a testování připravenosti personálu reagovat na kybernetické incidenty. Organizace musí zajistit, aby jejich zaměstnanci byli schopni rozpoznat potenciální bezpečnostní hrozby a správně na ně reagovat.

Ochrana kritické informační infrastruktury státu vyžaduje také úzkou spolupráci mezi veřejným a soukromým sektorem, neboť značná část této infrastruktury je provozována soukromými subjekty. Zákon o kybernetické bezpečnosti proto vytváří mechanismy pro sdílení informací o hrozbách a osvědčených postupech mezi různými aktéry.

Povinnosti správců a provozovatelů systémů

# Povinnosti správců a provozovatelů systémů

Zákon o kybernetické bezpečnosti ukládá správcům a provozovatelům informačních systémů řadu závažných povinností, které musí být dodržovány za účelem zajištění odpovídající úrovně ochrany proti kybernetickým hrozbám. Tyto povinnosti se vztahují především na subjekty provozující kritickou informační infrastrukturu a další významné informační systémy, které jsou nezbytné pro fungování státu, veřejné správy či poskytování základních služeb občanům.

Správci informačních systémů jsou povinni identifikovat a kategorizovat své systémy podle míry jejich významnosti a následně implementovat bezpečnostní opatření odpovídající stanovené kategorii. Tato kategorizace vychází z posouzení dopadu možného kybernetického bezpečnostního incidentu na fungování kritických procesů a služeb. Vyšší kategorie systémů vyžadují přísnější bezpečnostní opatření a intenzivnější dohled ze strany Národního úřadu pro kybernetickou a informační bezpečnost.

Provozovatelé systémů musí zajistit, aby jejich informační systémy byly chráněny technickými, organizačními a personálními opatřeními, která odpovídají aktuálním hrozbám a rizikům v kybernetickém prostoru. To zahrnuje implementaci firewallu, antivirových programů, šifrování citlivých dat, pravidelné aktualizace softwaru a zabezpečení fyzického přístupu k serverům a dalším kritickým komponentám infrastruktury. Nedílnou součástí je také vytvoření bezpečnostní dokumentace, která detailně popisuje všechna zavedená opatření a postupy.

Zákon dále stanovuje povinnost pravidelně vyhodnocovat bezpečnostní rizika a provádět revize bezpečnostních opatření minimálně jednou ročně nebo vždy při významných změnách v systému. Správci musí vypracovávat a aktualizovat bezpečnostní plány, které obsahují postupy pro prevenci, detekci a reakci na kybernetické bezpečnostní incidenty. Tyto plány musí být pravidelně testovány prostřednictvím bezpečnostních cvičení a simulací kybernetických útoků.

Významnou povinností je také okamžité hlášení kybernetických bezpečnostních incidentů příslušným orgánům, zejména Národnímu centru kybernetické bezpečnosti. Hlášení musí obsahovat základní informace o povaze incidentu, jeho dopadu a přijatých opatřeních. V případě závažných incidentů s potenciálně širokým dopadem musí být hlášení provedeno bez zbytečného odkladu, zpravidla do čtyřiadvaceti hodin od zjištění incidentu.

Správci a provozovatelé jsou také povinni jmenovat kontaktní osobu pro kybernetickou bezpečnost, která bude odpovědná za koordinaci bezpečnostních aktivit a komunikaci s regulačními orgány. Tato osoba musí disponovat odpovídající odbornou kvalifikací a pravomocemi pro zajištění kybernetické bezpečnosti v rámci organizace. Pro systémy vyšších kategorií je navíc vyžadováno vytvoření specializovaného týmu pro kybernetickou bezpečnost.

Zákon o kybernetické bezpečnosti také ukládá povinnost pravidelného školení zaměstnanců v oblasti kybernetické bezpečnosti, neboť lidský faktor představuje jednu z nejvýznamnějších bezpečnostních slabin. Zaměstnanci musí být seznámeni s aktuálními hrozbami, bezpečnostními postupy a svými povinnostmi při zjištění podezřelých aktivit. Školení musí být přizpůsobena konkrétním rolím zaměstnanců a úrovni jejich přístupu k citlivým informacím a systémům.

Aktualizace zákona a budoucí změny

Zákon o kybernetické bezpečnosti představuje dynamický právní rámec, který musí neustále reagovat na měnící se hrozby v kyberprostoru a technologický vývoj. Od svého přijetí prošel tento zákon několika významnými aktualizacemi a další změny jsou plánovány s ohledem na vývoj evropské legislativy a praktické zkušenosti z jeho aplikace.

Jednou z klíčových oblastí, kde se očekávají budoucí změny, je harmonizace s evropskou směrnicí NIS2, která přináší rozšíření působnosti regulace na mnohem širší okruh subjektů. Tato nová evropská legislativa klade důraz na posílení kybernetické odolnosti kritické infrastruktury a zavádí přísnější požadavky na řízení rizik. České právní prostředí bude muset být přizpůsobeno tak, aby plně reflektovalo tyto nové standardy a zajistilo jejich efektivní implementaci do národního práva.

Aktualizace zákona se zaměřují především na rozšíření definice povinných subjektů, které musí dodržovat stanovená bezpečnostní opatření. Zatímco původní verze zákona se soustředila především na provozovatele kritické infrastruktury a poskytovatele základních služeb, budoucí změny pravděpodobně zahrnou další sektory ekonomiky, které jsou z hlediska kybernetické bezpečnosti považovány za citlivé. Mezi tyto sektory mohou patřit například poskytovatelé cloudových služeb, datová centra, výrobci kritických technologií nebo subjekty působící v oblasti digitálních služeb.

Významnou součástí plánovaných změn je také zpřísnění sankcí za nedodržení povinností stanovených zákonem. Evropská směrnice NIS2 zavádí možnost ukládat pokuty až do výše deseti milionů eur nebo dvou procent celkového ročního obratu společnosti, podle toho, která částka je vyšší. Česká legislativa bude muset tyto sankční mechanismy promítnout do národního práva, což povede k výraznému zvýšení finančních rizik pro subjekty, které nebudou plnit své bezpečnostní povinnosti.

Další oblast aktualizací se týká posilování pravomocí Národního úřadu pro kybernetickou a informační bezpečnost, který vystupuje jako hlavní regulační a kontrolní orgán. Budoucí změny pravděpodobně rozšíří jeho kompetence v oblasti dohledu, provádění kontrol a ukládání nápravných opatření. Úřad získá také větší možnosti při koordinaci reakcí na kybernetické incidenty a při sdílení informací o hrozbách mezi jednotlivými subjekty.

Legislativní vývoj se zaměřuje rovněž na zlepšení mechanismů hlášení kybernetických bezpečnostních incidentů. Nové požadavky budou pravděpodobně zahrnovat kratší lhůty pro oznamování významných incidentů, podrobnější specifikaci toho, jaké informace musí být hlášeny, a jasnější definici toho, co vlastně představuje bezpečnostní incident vyžadující ohlášení. Cílem těchto změn je zajistit rychlejší a efektivnější reakci na kybernetické hrozby a umožnit lepší sdílení informací mezi dotčenými subjekty a regulačními orgány.

Budoucí aktualizace zákona budou také reflektovat technologický pokrok a nové typy kybernetických hrozeb, které se neustále vyvíjejí. S rozvojem umělé inteligence, internetu věcí a kvantových technologií vznikají nové bezpečnostní výzvy, na které musí právní rámec adekvátně reagovat. Zákon bude muset být dostatečně flexibilní, aby dokázal pokrýt i tyto nové technologie a související rizika.