Zákon o kybernetické bezpečnosti (ZKB), jeho novelizace a dopad na zdravotnictvíGarance

27.6.2017, , Zdroj: Verlag Dashöfer
Nepřístupný dokument, nutné přihlášení
Input:

Zákon o kybernetické bezpečnosti (ZKB), jeho novelizace a dopad na zdravotnictví

27.6.2017, , Zdroj: Verlag Dashöfer

6.5.8.1
Zákon o kybernetické bezpečnosti (ZKB), jeho novelizace a dopad na zdravotnictví

RNDr. Dagmar Brechlerová, Ph.D., ČVUT, Fakulta biomedicínského inženýrství, Kladno

Dne 19. 10. 2011 přijala vláda ČR usnesení č. 781 o ustavení Národního bezpečnostního úřadu (NBÚ) gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Přílohou usnesení je Statut Rady pro kybernetickou bezpečnost, kterou vláda zřídila. Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB) jako součást NBÚ se sídlem v Brně, které dostalo za úkol vytvořit nový ZKB.

ZKB byl vypracován mezi roky 2012 až 2014. Na přípravě pracovala odborná komise vedená NBÚ a složená ze zástupců Ministerstva vnitra, Ministerstva obrany, ČTÚ a dalších příslušných institucí, podílela se odborná veřejnost a byl předložen k diskusi i široké veřejnosti. ZKB se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi.

Zákon specifikuje významné informační systémy, což jsou převážně systémy veřejné správy, a pak takzvanou kritickou informační infrastrukturu, což jsou převážně subjekty, které plní kriticky důležité funkce pro stát. Zásadní povinnosti ukládá subjektům, které jsou:

  • správcem významného informačního systému nebo

  • správcem informačního nebo komunikačního systému v rámci kritické informační infrastruktury

Tyto skupiny nemají průnik, tedy významné informační systémy z definice nejsou součástí kritické informační infrastruktury. S tím souvisí předpoklad, že při narušení bezpečnosti významných informačních systémů mohou být důsledky významné, ale nikoli kritické (jako u systémů z kritické informační infrastruktury). Tomu pak odpovídají i rozdíly v ukládaných povinnostech, ty jsou u prvků kritické informační infrastruktury přísnější než u významných informačních systémů.

ZKB byl účinný od 1. 1. 2015. Byla vydána vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích. Tato vyhláška podle několika kritérií určila, které IS budou podle ZKB považovány za tzv. významné. Dalším důležitým právním předpisem je nařízení vlády č. 315/2014 Sb., kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.

Norma má mimo jiné pomoci předcházet útokům na mobilní sítě nebo internet a ochránit kritickou a významnou infrastrukturu před narušením, které by vedlo k poškození nebo ohrožení zájmů ČR. Nová pravidla se zaměřují hlavně na informační systémy, jejichž napadení by znamenalo ochromení státu. Zákon definuje bezpečnostní opatření, která dělí na organizační opatření a technická opatření.

Dalším závažným právním předpisem je vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). Tato vyhláška již řeší konkrétní technické záležitosti, protože samotný zákon je spíše technologicky neutrální. Zejména naplňuje a rozvádí první pilíř zákona o kybernetické bezpečnosti, a to bezpečnostní opatření neboli požadavky na standardizaci kritické informační infrastruktury a významných informačních systémů. Touto vyhláškou se stanoví obsah a struktura bezpečnostní dokumentace, obsah bezpečnostních

 
 Nahoru