Zákon o kybernetické bezpečnosti a jeho aktuální novelizace
Úvod
Obecně lze konstatovat, že přímo úměrně tomu, jak informační a komunikační technologie pronikají do společnosti, roste riziko zneužití těchto technologií, jakož i množství a intenzita útoků vůči nim. Obecným trendem proto je snaha o zajištění kvalitní ochrany před zásahy, které mohou ohrozit chod informačních technologií a společnosti jako celku.[1] Vedle technických prostředků a organizačních přístupů na bezpečnostní rizika v dané oblasti reaguje i legislativa.
Právní úprava, která se týká kybernetické bezpečnosti v České republice, je převážně obsažena v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti).[2]
Cílem tohoto článku je upozornit na aktuální legislativní vývoj v oblasti kyberbezpečnosti, tj. na dvě aktuální novely zákona o kybernetické bezpečnosti, a to zejména na širší osobní působnost zákona.
Novela v podobě zákona č. 205/2017 Sb.
Ačkoli zákon o kybernetické bezpečnosti z velké části odpovídá požadavkům plynoucím z evropského práva, proklamovaným stěžejním důvodem[3] přijetí novely č. 205/2017 Sb. je právě záměr harmonizace s evropským právem, konkrétně transpozice směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (směrnice NIS).[4] Nutno upozornit, že novela nabývá účinnosti prvním dnem prvního kalendářního měsíce po dni vyhlášení zákona (tj. účinnost nastává ke dni 1. 8. 2017.
- Rozšíření osobní působnosti:
Novela zákona o kybernetické bezpečnosti v prvé řadě rozšiřuje okruh osob, které doposud právní úpravě nebyly podřízeny (dle toho bude muset být provedena také úprava prováděcích právních předpisů zákona o kybernetické bezpečnosti). V návaznosti na shora uvedenou směrnici Evropského parlamentu a Rady novela zákona doplňuje seznam povinných osob, když v nově vymezeném ust. § 3 jsou pod následujícími písmeny doplněny tyto osoby:
- správce a provozovatel informačního systému základní služby, pokud nejsou správcem podle písmene c) nebo d),
- provozovatel základní služby, pokud není správcem nebo provozovatelem podle písmene f), a
- poskytovatel digitální služby.
V případě osoby správce informačního systému základní služby je očekáváno, že bude zpravidla identický s provozovatelem základní služby (provozovatelem základní služby je odpovědný za poskytování základní služby, přičemž v rámci výkonu této odpovědnosti může být rovněž správcem informačního systému základní služby). Nová kategorie základních služeb, v návaznosti na požadavek evropského práva, fakticky představuje vnitrostátní kritickou infrastrukturu, jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v odvětví energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního hospodářství, digitální infrastruktury a chemického průmyslu. Zákonem stanovené povinnosti budou v největším rozsahu dopadat na správce, resp. provozovatele informačního systému základní služby (v menším rozsahu na poskytovatele digitální služby). Provozovatelé základní služby budou určeni v souladu s ust. § 22a zákona nově zřizovaným Národním úřadem pro kybernetickou a informační bezpečnost na základě dopadových a odvětvových kritérií (tedy obdobným způsobem, jako byly doposud určovány prvky kritické infrastruktury).
Jak bylo řečeno shora, zákon o kybernetické bezpečnosti nově ukládá některé povinnosti poskytovatelům digitální služeb. Digitální službou se dle ust. § 2 písm. l) zákona o kybernetické společnosti rozumí služba informační společnosti podle zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů, která spočívá v provozování
- on-line tržiště (marketplace), které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
- internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem (nejedná se tedy o funkcionalitu vyhledávání v rámci jedné konkrétní internetové stránky), nebo
- cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet
Podle nového ust. § 4 odst. 5 zákona orgány a osoby uvedené v § 3 písm. c) až g) zákona, které jsou orgány veřejné moci, jsou povinny si ve smlouvě, kterou uzavírají s poskytovatelem služeb cloud computingu, zajistit alespoň to, že jim budou na základě jejich žádosti bez zbytečného odkladu poskytnuty informace a data, která pro ně poskytovatel služeb cloud computingu uchovává, a bez zbytečného odkladu umožněna jejich kontrola.
Dle přechodných ustanovení platí obecná lhůta 1 roku ode dne nabytí účinnosti novely zákona k tomu, aby orgány a osoby uvedené v § 3 písm. c) až f) zákona uvedly smluvní vztah do souladu se všemi požadavky, pokud podmínky jejich smluvního vztahu uzavřeného s dodavatelem pro jejich informační nebo komunikační systém neodpovídají v plném rozsahu zákonným požadavkům.
Lhůty pro splnění nových povinností správce a provozovatele informačního sytému základní služby, resp. poskytovatele digitální služby jsou uvedeny v přechodných ustanoveních, která jsou obsažena v části první, čl. II předmětné novely.
- Nový institucionální model
Novela zákona o kybernetické bezpečnosti předpokládá institucionální změny, konkrétně zřízení nového správního úřadu pro oblast kybernetické bezpečnosti, tj. Národního úřadu pro kybernetickou a informační bezpečnost, který převezme dosavadní kompetence od Národního bezpečnostního úřadu (blíže viz § 21a zákona o kybernetické bezpečnosti ve znění novely).
Novela v podobě zákona č. 104/2017 Sb.
V souvislosti se shora uvedeným si dovolujeme upozornit na dříve schválenou novelu zákona o kybernetické bezpečnosti, tj. zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon o kybernetické bezpečnosti a některé další zákony. Tato novela nabyla účinnosti dne 1. 7. 2017.
Obdobně jako shora uvedenou novelou došlo k rozšíření okruhu povinných osob, které podléhají působnosti zákona. Konkrétně v ust. § 3 zákon zavedl novou kategorii osob – provozovatelů informačního systému nebo komunikačního systému a v návaznosti na uvedené v ust. § 6a nově upravil vztah mezi správcem (tj. osobou určující účel systému) a provozovatelem (např. externím dodavatelem).[5] Právní úprava tedy dopadá na dodavatelské vztahy, když nově určuje povinnosti nejen správci, ale přímo osobám v pozici provozovatele systému (např. povinnost provozovatele hlásit kybernetické bezpečnostní incidenty), přičemž nedodržení jednotlivých povinností provozovatele také stíhá nově zakotvenými pokutami za správní delikt (viz ust. § 25 zákona o kybernetické bezpečnosti).
Z pohledu úkolů provozovatele bychom upozornili zejména na novou povinnost plynoucí z ust. § 6a a § 15a zákona o kybernetické bezpečnosti. Uvedená ustanovení ukládají provozovateli informačního nebo komunikačního systému povinnost předat na vyžádání správce systému, resp. v důsledku autoritativního rozhodnutí úřadu data, provozní údaje a informace, které má provozovatel k dispozici v souvislosti s provozováním tohoto systému. Přesný rozsah předávaných dat není dle našeho názoru zřejmý zejména v případě záměru ukončení provozu systému, kdy provozovatel má správci předat provozní údaje a informace, které má k dispozici v souvislosti s provozováním systému a které jsou nezbytné pro případné další provozování tohoto informačního systému nebo pro jeho jiné využití.
Lhůty pro splnění nových povinností provozovatele jsou opět stanoveny přechodnými ustanovení, která jsou obsažena v části druhé zákona č. 104/2017 Sb.[6]
Mgr. David Mareš, Ph.D.
[1] Zejména pokud je o útoky vedené proti prvkům kritické infrastruktury (např. proti energetické či dopravní infrastruktuře, informačním systémům veřejné správy apod.). K uvedenému přistupuje aspekt, že kybernetický prostor není teritoriálně omezený a je nutné prevenci i reakci na útoky řešit v nadnárodním měřítku a globálně.
[2] Zvláštní právní úprava je dále vtělena např. do zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů, zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů anebo zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, pokud se jedná o zabezpečení informačních a komunikačních systémů nakládajících s utajovanými informacemi.
[3] Kromě nutnosti odstranit některé nedostatky stávající právní úpravy kybernetické bezpečnosti.
[4] Blíže viz také důvodová zpráva dostupná z: https://www.nbu.cz/cs/aktualne/prohlaseni-a-tiskove-zpravy/1161-navrh-na-zmenu-zakona-o-kyberneticke-bezpecnosti-transpozice-smernice-nis/#download
[5] Provozovatelem informačního nebo komunikačního systému se ve smyslu ust. § 2 písm. g) zákona o kybernetické bezpečnosti rozumí orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.
[6] Bližší informace o změnách provedených novelou a jejich základní charakteristika jsou dostupné např. z: https://www.govcert.cz/download/legislativa/2017/Zm%C4%9Bna_z%C3%A1kona_o_kybernetick%C3%A9_bezpe%C4%8Dnosti_1_7_2017-final.pdf