25. 7. 2017

Zákon o kybernetické bezpečnosti a jeho aktuální novelizace

Úvod

Obecně lze konstatovat, že přímo úměrně tomu, jak informační a komunikační technologie pronikají do společnosti, roste riziko zneužití těchto technologií, jakož i množství a intenzita útoků vůči nim. Obecným trendem proto je snaha o zajištění kvalitní ochrany před zásahy, které mohou ohrozit chod informačních technologií a společnosti jako celku.[1] Vedle technických prostředků a organizačních přístupů na bezpečnostní rizika v dané oblasti reaguje i legislativa.

Právní úprava, která se týká kybernetické bezpečnosti v České republice, je převážně obsažena v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti).[2]

Cílem tohoto článku je upozornit na aktuální legislativní vývoj v oblasti kyberbezpečnosti, tj. na dvě aktuální novely zákona o kybernetické bezpečnosti, a to zejména na širší osobní působnost zákona.

Novela v podobě zákona č.  205/2017 Sb.

Ačkoli zákon o kybernetické bezpečnosti z velké části odpovídá požadavkům plynoucím z evropského práva, proklamovaným stěžejním důvodem[3] přijetí novely č.  205/2017 Sb. je právě záměr harmonizace s evropským právem, konkrétně transpozice směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (směrnice NIS).[4] Nutno upozornit, že novela nabývá účinnosti prvním dnem prvního kalendářního měsíce po dni vyhlášení zákona (tj. účinnost nastává ke dni 1. 8. 2017.

  1. Rozšíření osobní působnosti:

Novela zákona o kybernetické bezpečnosti v prvé řadě rozšiřuje okruh osob, které doposud právní úpravě nebyly podřízeny (dle toho bude muset být provedena také úprava prováděcích právních předpisů zákona o kybernetické bezpečnosti). V návaznosti na shora uvedenou směrnici Evropského parlamentu a Rady novela zákona doplňuje seznam povinných osob, když v nově vymezeném ust. § 3 jsou pod následujícími písmeny doplněny tyto osoby:

  1. správce a provozovatel informačního systému základní služby, pokud nejsou správcem podle písmene c) nebo d),
  2. provozovatel základní služby, pokud není správcem nebo provozovatelem podle písmene f), a
  3. poskytovatel digitální služby.

V případě osoby správce informačního systému základní služby je očekáváno, že bude zpravidla identický s provozovatelem základní služby (provozovatelem základní služby je odpovědný za poskytování základní služby, přičemž v rámci výkonu této odpovědnosti může být rovněž správcem informačního systému základní služby). Nová kategorie základních služeb, v návaznosti na požadavek evropského práva, fakticky představuje vnitrostátní kritickou infrastrukturu, jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v odvětví energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního hospodářství, digitální infrastruktury a chemického průmyslu. Zákonem stanovené povinnosti budou v největším rozsahu dopadat na správce, resp. provozovatele informačního systému základní služby (v menším rozsahu na poskytovatele digitální služby). Provozovatelé základní služby budou určeni v souladu s ust. § 22a zákona nově zřizovaným Národním úřadem pro kybernetickou a informační bezpečnost na základě dopadových a odvětvových kritérií (tedy obdobným způsobem, jako byly doposud určovány prvky kritické infrastruktury).

Jak bylo řečeno shora, zákon o kybernetické bezpečnosti nově ukládá některé povinnosti poskytovatelům digitální služeb. Digitální službou se dle ust. § 2 písm. l) zákona o kybernetické společnosti rozumí služba informační společnosti podle zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů, která spočívá v provozování

  1. on-line tržiště (marketplace), které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
  2. internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem (nejedná se tedy o funkcionalitu vyhledávání v rámci jedné konkrétní internetové stránky), nebo
  3. cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet

Podle nového ust. § 4 odst. 5 zákona orgány a osoby uvedené v § 3 písm. c) až g) zákona, které jsou orgány veřejné moci, jsou povinny si ve smlouvě, kterou uzavírají s poskytovatelem služeb cloud computingu, zajistit alespoň to, že jim budou na základě jejich žádosti bez zbytečného odkladu poskytnuty informace a data, která pro ně poskytovatel služeb cloud computingu uchovává, a bez zbytečného odkladu umožněna jejich kontrola.

Dle přechodných ustanovení platí obecná lhůta 1 roku ode dne nabytí účinnosti novely zákona k tomu, aby orgány a osoby uvedené v § 3 písm. c) až f) zákona uvedly smluvní vztah do souladu se všemi požadavky, pokud podmínky jejich smluvního vztahu uzavřeného s dodavatelem pro jejich informační nebo komunikační systém neodpovídají v plném rozsahu zákonným požadavkům.

Lhůty pro splnění nových povinností správce a provozovatele informačního sytému základní služby, resp. poskytovatele digitální služby jsou uvedeny v přechodných ustanoveních, která jsou obsažena v části první, čl. II předmětné novely.

 

  1. Nový institucionální model

Novela zákona o kybernetické bezpečnosti předpokládá institucionální změny, konkrétně zřízení nového správního úřadu pro oblast kybernetické bezpečnosti, tj. Národního úřadu pro kybernetickou a informační bezpečnost, který převezme dosavadní kompetence od Národního bezpečnostního úřadu (blíže viz § 21a zákona o kybernetické bezpečnosti ve znění novely).

 

Novela v podobě zákona č. 104/2017 Sb.

V souvislosti se shora uvedeným si dovolujeme upozornit na dříve schválenou novelu zákona o kybernetické bezpečnosti, tj. zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon o kybernetické bezpečnosti a některé další zákony. Tato novela nabyla účinnosti dne 1. 7. 2017.

Obdobně jako shora uvedenou novelou došlo k rozšíření okruhu povinných osob, které podléhají působnosti zákona. Konkrétně v ust. § 3 zákon zavedl novou kategorii osob –  provozovatelů informačního systému nebo komunikačního systému a v návaznosti na uvedené v ust. § 6a nově upravil vztah mezi správcem (tj. osobou určující účel systému) a provozovatelem (např. externím dodavatelem).[5] Právní úprava tedy dopadá na dodavatelské vztahy, když nově určuje povinnosti nejen správci, ale přímo osobám v pozici provozovatele systému (např. povinnost provozovatele hlásit kybernetické bezpečnostní incidenty), přičemž nedodržení jednotlivých povinností provozovatele také stíhá nově zakotvenými pokutami za správní delikt (viz ust. § 25 zákona o kybernetické bezpečnosti).

Z pohledu úkolů provozovatele bychom upozornili zejména na novou povinnost plynoucí z ust. § 6a a § 15a zákona o kybernetické bezpečnosti. Uvedená ustanovení ukládají provozovateli informačního nebo komunikačního systému povinnost předat na vyžádání správce systému, resp. v důsledku autoritativního rozhodnutí úřadu data, provozní údaje a informace, které má provozovatel k dispozici v souvislosti s provozováním tohoto systému. Přesný rozsah předávaných dat není dle našeho názoru zřejmý zejména v případě záměru ukončení provozu systému, kdy provozovatel má správci předat provozní údaje a informace, které má k dispozici v souvislosti s provozováním systému a které jsou nezbytné pro případné další provozování tohoto informačního systému nebo pro jeho jiné využití.

Lhůty pro splnění nových povinností provozovatele jsou opět stanoveny přechodnými ustanovení, která jsou obsažena v části druhé zákona č. 104/2017 Sb.[6]

 

Mgr. David Mareš, Ph.D.

 

[1] Zejména pokud je o útoky vedené proti prvkům kritické infrastruktury (např. proti energetické či dopravní infrastruktuře, informačním systémům veřejné správy apod.). K uvedenému přistupuje aspekt, že kybernetický prostor není teritoriálně omezený a je nutné prevenci i reakci na útoky řešit v nadnárodním měřítku a globálně.

[2] Zvláštní právní úprava je dále vtělena např. do zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů, zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů anebo zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, pokud se jedná o zabezpečení informačních a komunikačních systémů nakládajících s utajovanými informacemi.

[3] Kromě nutnosti odstranit některé nedostatky stávající právní úpravy kybernetické bezpečnosti.

[4] Blíže viz také důvodová zpráva dostupná z: https://www.nbu.cz/cs/aktualne/prohlaseni-a-tiskove-zpravy/1161-navrh-na-zmenu-zakona-o-kyberneticke-bezpecnosti-transpozice-smernice-nis/#download

 

[5] Provozovatelem informačního nebo komunikačního systému se ve smyslu ust. § 2 písm. g) zákona o kybernetické bezpečnosti rozumí orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.

[6] Bližší informace o změnách provedených novelou a jejich základní charakteristika jsou dostupné např. z: https://www.govcert.cz/download/legislativa/2017/Zm%C4%9Bna_z%C3%A1kona_o_kybernetick%C3%A9_bezpe%C4%8Dnosti_1_7_2017-final.pdf

 

Praha
MT Legal s.r.o., advokátní kancelář
Jugoslávská 620/29
120 00 Praha 2 - Vinohrady
Telefon: +420 222 866 555
E-mail: info@mt-legal.com

Brno
MT Legal s.r.o., advokátní kancelář
Jana Babáka 2733/11
612 00 Brno - Královo Pole
Telefon: +420 542 210 351
E-mail: info@mt-legal.com

Ostrava
MT Legal s.r.o., advokátní kancelář
Bukovanského 30
710 00 Ostrava - Slezská Ostrava
Telefon: +420 596 629 503
E-mail: info@mt-legal.com

Sdílej