Máte podnět na zlepšení této stránky? Nenašli jste na těchto stránkách odpověď na Vaše otázky? Obraťte na sekretariát odboru regulace (kontakty naleznete zde) a my se budeme Vašemu podnětu nebo dotazu co nejdříve věnovat.

Co dělat v případě, když Váš systém spadá pod zákon o kybernetické bezpečnosti

V případě, že jste byli Úřadem určeni jako povinný subjekt (stali jste se správcem nebo provozovatelem informačního systému základní služby nebo kritické informační infrastruktury), příp. Váš systém naplnil kritéria významného informačního systému, postupujte následovně:

1. Neprodleně (nejpozději však do 30 dní) nahlaste Úřadu kontaktní údaje, a to prostřednictvím formuláře pro hlášení kontaktních údajů. Stejně tak je pak potřeba hlásit i jejich změny. Tím bude plněna povinnost podle § 16 zákona o kybernetické bezpečnosti.

2. Začněte zavádět bezpečnostní opatření. Bezpečnostním opatřením, jejich zavedení a provádění se věnuje § 4 zákona o kybernetické bezpečnosti a celá vyhláška o kybernetické bezpečnosti. Zavedení bezpečnostních opatření je zákonem požadováno do jednoho roku a jejich provádění je od zavedení kontinuální, nikdy nekončící proces. Základem zavádění bezpečnostních opatření je zejména stanovení základů systému řízení bezpečnosti informací, stanovení bezpečnostních rolí a organizační bezpečnosti, řízení aktiv a řízení rizik.

3. Po uplynutí přechodné lhůty jednoho roku máte povinnost hlásit Úřadu bezodkladně po  jejich detekci kybernetické bezpečnostní incidenty, které se v daném systému stanou, a to prostřednictvím formuláře pro hlášení incidentů. Tím bude plněna povinnost podle § 8 zákona o kybernetické bezpečnosti.

4. Ostatní povinnosti, zejména povinnost provádět Úřadem vydaná reaktivní a ochranná opatření a v případě reaktivních opatření oznamovat Úřadu způsob jejich provedení prostřednictvím formuláře pro oznámení způsobu provedení reaktivního opatření, nemají zákonem stanovenou lhůtu, a proto se provádí neprodleně (v souladu s pokyny v konkrétním opatření).

5. Po uplynutí jednoroční přechodné lhůty je Úřad oprávněn kontrolovat dodržování zákonných povinností (v případě těch povinností, ke kterým nebyla dána přechodná lhůta, je oprávněn je kontrolovat ihned).

Formuláře k hlášení kontaktních údajů, kybernetických bezpečnostních incidentů nebo pro oznámení způsobu provedení reaktivního opatření naleznete v sekci Formuláře.

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (zákon o kybernetické bezpečnosti)

Pro které instituce je zákon o kybernetické bezpečnosti závazný?

Zákon o kybernetické bezpečnosti se nevztahuje plošně na všechny občany a instituce v České republice. Zákon je závazný pro všechny subjekty stanovené v § 3. Stanovení konkrétních orgánů nebo osob pak již závisí na splnění charakteristik nebo kritérií pro určení jednotlivých povinných osob. U subjektů naplňujících kritéria pro určení provozovatele základní služby, příp. kritické informační infrastruktury, dojde k jejich určení na základě jednání s Úřadem. Za identifikaci významných informačních systémů odpovídají správci těchto systémů.

Pokud si nejste jisti, zda Váš informační systém nebo komunikační systém spadá do některé z kategorií, můžete využít informace a podpůrné materiály. V případě potřeby se můžete obrátit na sekretariát odboru regulace (kontakty naleznete zde).

Musí se tímto zákonem řídit i soukromé společnosti?

Zákon nerozlišuje mezi tím, jestli je subjekt soukromou společností nebo státní institucí – podstatné je jen splnění charakteristik nebo kritérií pro určení jednotlivých povinných osob podle § 3. Pokud jsou tedy soukromé společnosti poskytovatelem služeb elektronických komunikací nebo subjektem zajišťujícím síť elektronických komunikací, osobou zajišťující významné sítě (tj. takové, které zajišťují přímé zahraniční propojení do veřejných komunikačních sítí anebo přímé připojení ke kritické informační infrastruktuře), správcem nebo provozovatelem komunikačního nebo informačního systému kritické informační infrastruktury, provozovatelem základní služby, správcem nebo provozovatelem informačního systému základní služby nebo poskytovatelem digitální služby, pak ano.

Jaké povinnosti plynou ze zákona o kybernetické bezpečnosti?

Odpověď na tuto otázku je nejlépe popsána ve schématu „Povinnosti orgánů a osob podle zákona č. 181/2014 Sb.“, které naleznete v sekci Podpůrné materiály. V případě kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby se jedná o tyto základní povinnosti:

  • nahlásit Úřadu kontaktní údaje podle § 16 zákona o kybernetické bezpečnosti,
  • na systém spadající pod zákon aplikovat bezpečnostní opatření podle § 4 odst. 1 zákona o kybernetické bezpečnosti a vést o nich bezpečnostní dokumentaci v souladu s vyhláškou č. 82/2018 Sb., o kybernetické bezpečnosti,
  • hlásit Úřadu kybernetické bezpečností incidenty v informačním systému podle § 8 zákona o kybernetické bezpečnosti,
  • provádět opatření podle § 11 zákona o kybernetické bezpečnosti, jsou-li vydána.

Vedle základních povinností obsahuje zákon o kybernetické bezpečnosti ještě další povinnosti, které jsou stanoveny pro specifické situace.

Kdo je správce informačního systému podle zákona o kybernetické bezpečnosti?

Správce informačního systému je orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému. Z povahy věci je vůči konkrétnímu systému správcem vždy jen jeden subjekt, zpravidla ten, na jehož požadavek byl systém vytvořen, fungování jehož služeb zajišťuje nebo jemuž byla správa systému uložena předpisem (byť ostatní právní předpisy v tomto duchu často používají slovo provozovatel systému). Správce je také jediný, kdo disponuje informacemi o tom, co přesně je systémem spadajícím do působnosti zákona o kybernetické bezpečnosti, z čeho je tvořen, zda jej (vedle toho, že je jeho správcem) provozuje on sám, nebo jej spolu s ním provozuje jeden či více dodavatelů. Vedle toho je správce schopen určit jak jsou rozděleny role jednotlivých dodavatelů, a s ohledem na tyto znalosti pak především, zda určitým dodavatelem poskytovaná činnost skutečně spočívá v zajišťování funkčnosti technických a programových prostředků tvořících systém a takový dodavatel je tedy i provozovatelem systému podle zákona.

Kdo je provozovatel informačního systému podle zákona o kybernetické bezpečnosti?

Provozovatel informačního systému je orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační systém. Jde o aktivní činnost směřující k zabezpečení řádného fungování technických a programových prostředků tvořících systém tak, aby mohl poskytovat služby, pro které byl pořízen. Jako zajišťování funkčnosti nelze chápat jednorázové dodávky technických a programových prostředků bez dalších navazujících činností. Naopak tato činnost zahrnuje např. zajištění oprav, aktualizace software, implementace technických nebo programových prostředků. Blíže je tato problematika vysvětlena v dokumentu „Provozovatel informačního nebo komunikačního systému“, který naleznete v sekci Podpůrné materiály.

Kdy se subjekt stává provozovatelem systému ve smyslu § 2 odst. g) zákona o kybernetické bezpečnosti? Je tak učiněno objektivním naplněním definice ze zákona, nebo v momentě, kdy dojde k informování subjektu ze strany správce systému?

Provozovatelem systému se subjekt stává objektivním naplněním definice uvedené v § 2 písm. g) zákona. S ohledem na to, že o určení či naplnění kritérií prvku kritické informační infrastruktury, významného informačního systému nebo informačního systému základní služby má informace vždy jen správce kritické informační infrastruktury nebo významného informačního systému nebo provozovatel základní služby, je jeho notifikační proces vůči provozovateli tohoto systému nutný. Správce systému je totiž ten, kdo má jako jediný (s výjimkou následné kontroly ze strany Úřadu) možnost objektivně a informovaně porovnat zákonnou definici provozovatele systému podle § 2 písm. g) zákona s činnostmi svých dodavatelů a takové dodavatele, kteří tuto definici naplňují, pak identifikovat provozovateli systému. Tuto složitou otázku podrobně rozpracovává podpůrný materiál „Provozovatel informačního nebo komunikačního systému“, který naleznete v sekci Podpůrné materiály.

Jak jsou počítány lhůty pro plnění povinností podle zákona?

Lhůty jsou v zákoně o kybernetické bezpečnosti dány § 29 až § 31, a dále pak v rámci přechodných ustanovení zákonů č. 104/2017 Sb. a č. 205/2017 Sb., novelizujících zákon o kybernetické bezpečnosti. Ve výsledku jsou lhůty zpravidla počítány jinak u každého z povinných subjektů. K vysvětlení konkrétního případu lze nejlépe použít podpůrný materiál „Lhůty pro plnění povinností“, který naleznete v sekci Podpůrné materiály. Specificky v případě významných informačních systémů je počítání jejich lhůt ještě podrobně rozepsáno v podpůrném materiálu „Průvodce identifikací významného informačního systému“ v téže sekci.

Je potřeba kybernetické útoky hlásit Úřadu?

Povinnost hlášení kybernetického bezpečnostního incidentu mají v souladu se zákonem o kybernetické bezpečnosti orgány a osoby uvedené v § 3 písm. b) až f), tedy orgány nebo osoby zajišťující významnou síť, správce a provozovatel informačního, příp. komunikačního systému kritické informační infrastruktury, správce a provozovatel významného informačního systému a správce a provozovatel informačního systému základní služby. Kromě této povinnosti stanoví § 8 zákona o kybernetické bezpečnosti povinnost hlásit významné kybernetické bezpečnostní incidenty i pro poskytovatele digitálních služeb. Orgány nebo osoby zajišťující významnou síť a poskytovatelé digitálních služeb hlásí incidenty národnímu CERT, který provozuje společnost CZ.NIC, ostatní subjekty pak Úřadu.

Na druhou stranu i subjekty nespadající pod zákon o kybernetické bezpečnosti mohou v souladu s § 8 odst. 6 hlásit kybernetický bezpečnostní incident Úřadu, a to dobrovolně.

Je zákon závazný pro vysoké školy, profesní komory, příp. zdravotní pojišťovny?

Pokud nejsou jejich informační systémy Úřadem určeny jako kritická informační infrastruktura, příp. informační systém základní služby, dá se u vyjmenovaných subjektů uvažovat nad zařazením mezi významné informační systémy. Významným informačním systémem se dle § 2 písm. d) zákona o kybernetické bezpečnosti rozumí „informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.“ Orgán veřejné moci se vyznačuje tím, že přímo nebo zprostředkovaně autoritativně rozhoduje o právech a povinnostech jiných osob, tyto osoby nejsou s orgánem veřejné moci v rovnoprávném postavení (tzn. orgán veřejné moci vystupuje vůči dotčeným osobám vrchnostensky) a obsah rozhodnutí orgánu veřejné moci nezávisí na vůli těchto osob. Vedle toho jsou rozhodnutí orgánu veřejné moci státní mocí vynutitelná nebo může stát do takových práv a povinností zasahovat. Z poslední části citované definice vyplývá, že do kategorie významných informačních systémů mohou spadat pouze ty systémy, prostřednictvím kterých je vykonávána působnost orgánu veřejné moci. Byť tedy zdravotní pojišťovny, vysoké školy a profesní komory nevykonávají působnost orgánu veřejné moci jako svou primární činnost, některé jejich činnosti jsou výkonem veřejné moci. Zákon se tedy v těchto činnostech může vztahovat i na vysoké školy, profesní komory, zdravotní pojišťovny a další orgány veřejné moci, záleží pak, zda zvažované informační systémy rovněž naplní kritéria pro identifikaci daná vyhláškou o významných informačních systémech (podrobnější informace k procesu identifikace jsou obsaženy v podpůrném materiálu „Průvodce identifikací významného informačního systému“, který je dostupný v sekci Podpůrné materiály).

Vztahuje se zákon i na soukromé ordinace praktických lékařů a jejich software, případně obecně na software používaný jednotlivými osobami?

Aby se software mohl stát informačním systémem spadajícím pod působnost zákona o kybernetické bezpečnosti, musí podporovat poskytování určitých služeb. Poskytovatelé těchto služeb, označovaných jako základní, příp. kritické infrastruktury, jsou určeni jako povinné osoby zpravidla poté, co Úřad zhodnotí, že naplnili určující kritéria (výjimku zde tvoří např. tzv. významné informační systémy). Tato kritéria jsou nastavena takovým způsobem, aby zohlednila významnost jednotlivých odvětví služeb, a to s ohledem na jejich případný výpadek či jiné narušení a související vliv na chod společnosti. Dle dosavadní zkušeností Úřadu tedy s největší pravděpodobností žádný software užívaný v soukromých ordinacích praktických lékařů nenaplní určující kritéria nebo definice, a v takovém případě se na ordinace zákon vztahovat nebude. Software užívaný jednotlivci, který nepodporuje žádnou z výše uvedených služeb, velmi pravděpodobně také nebude spadat pod působnost zákona o kybernetické bezpečnosti. V případě potřeby se prosím v konkrétním případě obraťte na sekretariát odboru regulace (kontakty naleznete zde).

Software (informační systém) může být také identifikován jako významný informační systém podle § 2 písm. d) zákona o kybernetické bezpečnosti, a to v případě, že jej spravuje orgán veřejné moci. Tuto situaci lze nastínit na příkladu škol. Pro identifikaci systému záleží na jeho konkrétním využití: z definice významného informačního systému vyplývá, že se jedná o systém spravovaný orgánem veřejné moci, jehož narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. Do kategorie významných informačních systémů spadají pouze ty systémy, prostřednictvím kterých je vykonávána působnost školy jakožto orgánu veřejné moci. V praxi se tedy jedná o systémy, které podporují autoritativní rozhodování o studentech ze strany školy, typicky rozhodnutí o přijetí/nepřijetí apod. V případě systémů, které slouží pouze k zajištění provozu školy, nebo těch, které slouží pro výuku, nepůjde o systémy, prostřednictvím kterých je vykonávána působnost školy jako orgánu veřejné moci, a tyto pod působnost zákona o kybernetické bezpečnosti spadat nebudou.

Z výše uvedeného tedy vyplývá, že pro určení, zda bude software (informační systém) spadat pod působnost zákona o kybernetické bezpečnosti, je zpravidla nutné zjistit, zda takový software podporuje poskytování služeb, na které se zákon vztahuje.

Bude Úřad poskytovat určité finanční kompenzace subjektům, kterých se zákon o kybernetické bezpečnosti týká?

Pravomoci Úřadu, jakožto ústředního správního úřadu pro oblast kybernetické bezpečnosti, jsou taxativně vyjmenovány v § 22 zákona o kybernetické bezpečnosti. Z pozice orgánu veřejné moci nemůže Úřad překročit rámec těchto pravomocí, mezi něž není zařazeno poskytování jakýchkoliv finančních prostředků dalším subjektům.

Ačkoliv se financování zavádění bezpečnostních opatření může zpočátku jevit jako nepřiměřený náklad, ve výsledku se jedná o opatření, která mají podstatně zvýšit zabezpečení organizace a odvrátit případný kybernetický útok, jehož následky mohou značně převýšit finanční náročnost samotných opatření. Zvýšení kybernetické bezpečnosti organizace je tedy ve výsledku krokem, který by měl být zájmem samotné organizace, a nikoliv pouhým plněním požadavků zákona o kybernetické bezpečnosti.

Jaký je vztah zákona o kybernetické bezpečnosti a GDPR (popř. zákona o zpracování osobních údajů)?

Mezi zákonem o kybernetické bezpečnosti a GDPR není dán žádný přímý vztah. Na konkrétní subjekt se můžou oba předpisy vztahovat, nebo také nemusí. Zákon o kybernetické bezpečnosti je orientován na zajištění dostupnosti, důvěrnosti a integrity chráněného systému v celé jeho šíři. GDPR představuje rámec ochrany osobních údajů, nezávisle na tom, zda jsou v systému či nikoliv. V případě, že se na konkrétní subjekt použijí oba tyto právní předpisy, je možné vidět společný průsečík v zavádění bezpečnostních opatření podle § 4 zákona o kybernetické bezpečnosti a zavádění technických a organizačních opatření podle čl. 32 GDPR.

Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

Jak spolu souvisí vyhláška o kybernetické bezpečnosti a ISO normy?

Vyhláška vychází z norem řady ISO/IEC 27k, tyto normy jsou jejím základem. Normy však na rozdíl od vyhlášky nejsou pro regulované subjekty závazné a jejich dodržování (či případná certifikace) nezbavuje regulované subjekty povinnosti vyhovět všem požadavkům zákona a vyhlášky. Aktuální znění vyhlášky je dostupné v sekci Legislativa.

Pokud jsme správcem např. dvou významných informačních systémů a jednoho informačního systému kritické informační infrastruktury, musíme vypracovávat dokumentaci podle vyhlášky o kybernetické bezpečnosti ke každému systému zvlášť?

Nikoliv, dokumentace může být společná pro více různých systémů, ovšem za předpokladu, že bude obsahovat všechny náležitosti vztahující se na všechny regulované systémy.

Jakým způsobem může povinný subjekt zajistit naplnění všech povinností? Musí vše zajistit pomocí vlastních zdrojů, nebo může využít outsourcingu?

Vzhledem ke skutečnosti, že vyhláška o kybernetické bezpečnosti nestanovuje konkrétní způsoby splnění povinností, ale pouze jejich rámec, lze využít i outsourcing. Je však potřeba mít na paměti, že využitím outsourcingu se povinný subjekt nezbavuje odpovědnosti za zabezpečení systému a také se zvyšují nároky na správné řízení dodavatelů v souladu s vyhláškou o kybernetické bezpečnosti.

Co je to Výbor pro řízení kybernetické bezpečnosti a jaké jsou bezpečnostní role dle § 7 vyhlášky o kybernetické bezpečnosti?

Členové Výboru pro řízení kybernetické bezpečnosti a bezpečnostní role jsou významnými aktéry, kteří se podílejí na zabezpečování systému a plnění požadavků daných zákonem o kybernetické bezpečnosti.

Výbor pro řízení kybernetické bezpečnosti nese odpovědnost za celkové řízení a rozvoj kybernetické bezpečnosti v rámci subjektu. Jeho role je strategická, a proto by jeho členy měli být především zástupci vrcholového vedení subjektu (vyhláška požaduje povinně alespoň jednoho zástupce vrcholového vedení nebo jím pověřenou osobu) a vždy je členem také manažer kybernetické bezpečnosti.

Manažer kybernetické bezpečnosti je osoba odpovědná za řízení systému řízení bezpečnosti informací. Tato role je zcela klíčová pro správné nastavení fungování systému řízení bezpečnosti informací. V praxi je manažer kybernetické bezpečnosti jakýmsi mezistupněm mezi vrcholovým vedením (strategickou úrovní managementu) a operativní úrovní. Výkon role manažera kybernetické bezpečnosti musí být oddělen od rolí, které jsou odpovědné za provoz informačního a komunikačního systému a s dalšími provozními nebo řídicími rolemi.

Architekt kybernetické bezpečnosti je osoba zajišťující návrh implementace bezpečnostních opatření (pro zajištění bezpečné architektury informačního a komunikačního systému). V praxi je architekt kybernetické bezpečnosti odpovědný za návrh implementace bezpečné architektury (např. od infrastruktury až po bezpečnost na aplikační úrovni).

Auditor kybernetické bezpečnosti je osoba provádějící audit kybernetické bezpečnosti. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je povinně oddělen od výkonu jiných bezpečnostních rolí. V praxi bývá tato role častým předmětem outsourcingu, ale není to pravidlem.

Garantem aktiva je fyzická osoba pověřená organizací k zajištění rozvoje, použití a bezpečnosti aktiva (zajištění důvěrnosti, dostupnosti a integrity aktiva).

Doporučení pro bezpečnostní role jsou obsažena v příloze č. 6 vyhlášky o kybernetické bezpečnosti.

Problematikou bezpečnostních rolí se více zabývá materiál „Bezpečnostní role a jejich začlenění v organizaci“ dostupný zde.

Je možné, aby byly bezpečnostní role ve vztahu ke konkrétnímu systému vykonávány stejným zaměstnancem? Je možné, aby tento zaměstnanec vykonával bezpečnostní role pro více povinných subjektů?

Podmínky slučování bezpečnostních rolí upravuje vyhláška o kybernetické bezpečnosti. Vyhláška uvádí, že je výslovně zakázáno:

  • pověřit manažera kybernetické bezpečnosti výkonem rolí odpovědných za provoz systému,
  • pověřit auditora kybernetické bezpečnosti výkonem jakýchkoliv jiných bezpečnostních rolí (může být ale např. členem Výboru pro řízení kybernetické bezpečnosti, protože ten není bezpečnostní rolí).

Pokud není sloučení konkrétních rolí vyhláškou zakázáno, je možné role sloučit, přestože to na základě „best practice“ postupů nelze doporučit. Je také možné, aby jedna konkrétní osoba vykonávala bezpečnostní roli pro víc povinných subjektů. Obecně, na základě praktických poznatků, nelze doporučit např. outsourcing bezpečnostní role manažer kybernetické bezpečnosti. Oproti tomu u role auditora kybernetické bezpečnosti, která je neslučitelná s ostatními bezpečnostními rolemi, je často outsourcing dostatečně efektivním řešením.

Je možné, aby správce a provozovatel systému sdílel bezpečnostní dokumentaci (např. společnou zprávu o hodnocení rizik, společnou bezpečnostní politiku)?

V případě, že jsou splněny všechny náležitosti z pohledu právních předpisů a dokumentace je plně vyhovující i pro každý subjekt jednotlivě, je takové sdílení možnou variantou.

Je možné vyhláškou vyžadované nároky jako zastupitelnost, dostupnost zdrojů, existenci bezpečnostní politiky atd. dokládat na koncernové úrovni?

Ano, to je možné. Stále je však nutné, aby takové řešení bylo funkční pro konkrétní regulovaný systém.

V naší organizaci máme již zřízenu Komisi pro bezpečnost. Je nutné zřídit Výbor pro řízení kybernetické bezpečnosti dle vyhlášky o kybernetické bezpečnosti, nebo přejmenovat Komisi?

Není nutné dodržovat přesné názvosloví dle vyhlášky, a to ani v případě bezpečnostních rolí nebo bezpečnostní dokumentace. V takovém případě ovšem musí být splněny požadavky kladené vyhláškou na tento výbor (nebo bezpečnostní role a dokumentaci). Pro lepší orientaci lze doporučit například uvést do statutu Komise pro bezpečnost, že vykonává činnost Výboru pro řízení kybernetické bezpečnosti podle vyhlášky o kybernetické bezpečnosti, nebo situaci vyřešit obdobně.

Kdo je významný dodavatel?

Podle § 2 písm. n) vyhlášky o kybernetické bezpečnosti je významným dodavatelem provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému. Po zhodnocení všech dodavatelů a případné identifikaci některých jako provozovatelů systému je potřeba zhodnotit zbylé dodavatele také z toho pohledu, zda s povinnou osobou vstupují do právního vztahu, který je významný z hlediska bezpečnosti určeného systému. V tomto případě je především potřeba věnovat velkou pozornost těm dodavatelům, kteří mají vztah k aktivům v rozsahu systému řízení bezpečnosti informací a nebyli identifikováni jako provozovatelé systému.

Významnými dodavateli budou typicky dodavatelé do regulovaného systému, kteří však nesplňují definiční znaky provozovatele (zejm. z důvodu, že jejich dodávky nebo služby jsou nahodilé a nepředstavují kontinuální činnost provozování), a dále dodavatelé aktiv nebo služeb spadajících do rozsahu systému řízení bezpečnosti informací (jednorázové i kontinuální dodávky či služby). Příkladmo lze zmínit jednorázové (nepravidelné) dodavatele SW a HW nebo servisních prací u informačních aktiv spadajících do regulovaného systému, dodávky a servisní práce vztahující se k rozsahu systému řízení bezpečnosti informací mimo vymezení regulovaného systému (tj. za situace, kdy je rozsah systému řízení bezpečnosti informací širší než rozsah vlastního regulovaného systému; zde typicky půjde o služby zálohování, SIEM, služby vývojářských společností, které nevstupují do produkčního prostředí apod.), může sem spadnout např. i dodávka nebo servis kamerového systému celé budovy, pokud se v ní nachází informační aktiva regulovaného systému (tzn. při selhání dodávky/servisu by mohla být narušena fyzická bezpečnost regulovaného systému), nebo dodávka docházkového systému, pokud by v důsledku jeho výpadku nebo narušení integrity byla omezena možnost přístupu obsluhy regulovaného systému k jeho aktivům, nebo úklidové služby, pokud se zaměstnanci dodavatele mohou dostat za perimetr regulovaného systému, apod.

Obecně je tedy třeba u každého dodavatele zvažovat, zda plnění, které poskytuje, je způsobilé narušit bezpečnost regulovaného systému. Pokud ano, jedná se o významného dodavatele a je potřeba ve vztahu k němu plnit povinnosti dané předpisy regulujícími kybernetickou bezpečnost. Stěžejním vodítkem je rozsah systému řízení bezpečnosti informací. Při posuzování charakteru konkrétního dodavatele je vhodné vycházet i ze seznamu aktiv regulovaného systému i celé organizace a z výstupů procesu hodnocení rizik pro regulovaný systém, neboť všechna významná rizika, pomocí nichž lze podstatnou část významných dodavatelů identifikovat, by se v těchto podkladech měla objevit.

Kontrola plnění povinností podle zákona o kybernetické bezpečnosti

Jak se bude kontrolovat dodržování zákona o kybernetické bezpečnosti a jaké budou sankce za porušení zákona?

Dodržování zákona probíhá prostřednictvím kontroly Úřadem, ke které je oprávněn na základě § 23 zákona o kybernetické bezpečnosti. Kontrola bude probíhat ve formě zhodnocení zavedených bezpečnostních opatření, jejich funkčnosti a dalšího plnění zákona. Kontrola probíhá v souladu se se zákonem č. 255/2012 Sb., o kontrole (kontrolní řád). Vedle uložení pokuty může Úřad přistoupit také k uložení nápravného opatření, jehož přijetí je oprávněn kontrolovat. Smyslem kontroly je především zjistit a zhodnotit stav kybernetické bezpečnosti u konkrétního subjektu a dosáhnout nápravy případných nedostatků.

Může být kontrola plnění povinností podle zákona o kybernetické bezpečnosti v rámci jednoho konkrétního systému prováděna u několika různých povinných osob (správce a jeho provozovatelů) zároveň?

Kontrola plnění povinností podle zákona o kybernetické bezpečnosti probíhá ze strany Úřadu vždy na úrovni konkrétní povinné osoby. Kontrola může probíhat buď pouze u správce, pouze u provozovatele nebo více provozovatelů, nebo u všech povinných osob souběžně. Ve stejném období tak může být prováděno několik kontrol u několika povinných osob se zaměřením na stejný systém (současné kontroly správce i provozovatelů takového systému).

Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací

Kdo spadá pod definici poskytovatele služeb elektronických komunikací, příp. subjektu zajišťujícího síť elektronických komunikací podle § 3 písm. a) zákona o kybernetické bezpečnosti?

Službou elektronických komunikací je podle zákona č. 127/2005 Sb., o elektronických komunikacích, služba obvykle poskytovaná za úplatu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací. Těmi se rozumí přenosové systémy, příp. spojovací nebo směrovací zařízení a jiné prostředky v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace. Subjekty, které tyto služby a sítě poskytují nebo zajišťují, budou tedy spadat do této kategorie. V praxi půjde zejména o tzv. Internet Service Providers.

Jaké mají tyto subjekty povinnosti ze zákona o kybernetické bezpečnosti?

Zákon o kybernetické bezpečnosti klade na poskytovatele služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací povinnost provádění opatření za stavu kybernetického nebezpečí, a hlášení kontaktních údajů Národnímu CERT. Tyto subjekty nemají povinnost zavádět bezpečnostní opatření, nemusejí Úřadu ani hlásit kybernetické bezpečnostní incidenty, v otázce zabezpečení sítí a služeb je pro tyto subjekty relevantní především zákon č. 127/2005 Sb., o elektronických komunikacích, a jeho prováděcí předpisy.

Orgán nebo osoba zajišťující významnou síť

Kdo spadá pod definici orgánu nebo osoby zajišťující významnou síť podle § 3 písm. b) zákona o kybernetické bezpečnosti?

Jedná se o ty subjekty, které naplní definici pro významnou síť danou v § 2 písm. h) zákona o kybernetické bezpečnosti. Významnou sítí se rozumí síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo přímé připojení ke kritické informační infrastruktuře. Jde především o provozovatele významných páteřních komunikačních infrastruktur.

Jaké mají tyto subjekty povinnosti ze zákona o kybernetické bezpečnosti?

Zákon o kybernetické bezpečnosti klade na orgány nebo osoby zajišťující významnou síť povinnost provádění protiopatření za stavu kybernetického nebezpečí, hlášení kontaktních údajů Národnímu CERT a hlášení kybernetických incidentů Národnímu CERT. Tyto subjekty nemají povinnost zavádět bezpečnostní opatření, v otázce zabezpečení sítí a služeb je pro tyto subjekty relevantní především zákon č. 127/2005 Sb., o elektronických komunikacích, a jeho prováděcí předpisy.

Kritická informační infrastruktura

Kde jsou uvedena kritéria pro určení kritické informační infrastruktury?

Kritéria pro určení prvku kritické infrastruktury jsou obsažena v nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, které naleznete v sekci Legislativa.

Je naše společnost správcem kritické informační infrastruktury?

V případě kritické informační infrastruktury dochází k určení určitého systému autoritativně Úřadem buďto prostřednictvím opatření obecné povahy v případě subjektů soukromého sektoru nebo v případě organizačních složek státu usnesením vlády ČR. Určení ze strany Úřadu standardně předchází komunikace Úřadu s organizací, která takový systém spravuje. Dokud Úřad tímto způsobem nerozhodne o tom, že určitý systém je kritickou informační infrastrukturou, není možné takový systém jako kritickou informační infrastrukturu chápat (i když třeba existují důvody se domnívat, že by k naplnění kritérií došlo).

Označení „správce“ takového systému, tak jak jej pojímá § 2 písm. e) nebo f) zákona o kybernetické bezpečnosti, má potom ta organizace, která vůči určenému systému naplňuje danou definici (tj. „určuje účel zpracování informací a podmínky provozování systému“). Správce je také jediný, kdo disponuje informacemi o tom, co přesně je systémem spadajícím do působnosti zákona o kybernetické bezpečnosti, z čeho je tvořen, zda jej (vedle toho, že je jeho správcem) provozuje on sám, nebo jej spolu s ním provozuje jeden či více dodavatelů, jak jsou rozděleny role jednotlivých dodavatelů, a s ohledem na tyto znalosti pak především, zda určitým dodavatelem poskytovaná činnost skutečně spočívá v zajišťování funkčnosti technických a programových prostředků tvořících systém a takový dodavatel je tedy i provozovatelem systému podle zákona.

Pro konkrétní informace se prosím obraťte přímo na sekretariát odboru regulace (kontakty naleznete zde).

Jakým způsobem můžeme nahlásit kontaktní údaje ke kritické informační infrastruktuře?

Vyplněním formuláře, který naleznete v sekci Formuláře. Formulář obsahuje i pokyny ke způsobu odeslání. Dále je v této sekci také dostupný návod, jak formulář vyplnit.

Provozovatel základní služby

Jak se mohu stát provozovatelem základní služby?

Provozovatelem základní služby se subjekt stane, pokud naplní odvětvová a dopadová kritéria a bude zároveň určen Úřadem.

Základní služba je podle § 2 písm. i) zákona o kybernetické bezpečnosti „závislá na informačních systémech nebo sítích elektronických komunikací v odvětví energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, vodní hospodářství, digitální infrastruktura nebo chemický průmysl“. Kritéria pro určení provozovatele základní služby a informačního systému základní služby dána vyhláškou č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby. Tato kritéria se dělí na odvětvová a dopadová. Odvětvová kritéria se dále člení na kritéria, kterými jsou druh služby, druh subjektu a speciální kritérium druhu subjektu. Kritéria dopadová uvádějí hranice možných škod způsobených kybernetickým bezpečnostním incidentem v informačních systémech a sítích elektronických komunikací, kterých musí být pro určení dosaženo. Pokud subjekt naplní výše uvedené, Úřad jej rozhodnutím určí jako provozovatele základní služby a systém podporující tuto službu jako informační systém základní služby. Bližší informace k tomuto procesu naleznete v dokumentu „Proces určování provozovatelů základních služeb a informačních systémů základních služeb v sekci Podpůrné materiály.

Dokud subjekt neobdrží rozhodnutí Úřadu o určení provozovatelem základní služby, není touto povinnou osobou podle zákona o kybernetické bezpečnosti a nevztahují se na něj žádné požadavky zákona.

Kde jsou definována odvětvová a dopadová kritéria pro určení provozovatele základní služby?

Kritéria pro určení provozovatele základní služby naleznete v aktuálním znění vyhlášky č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, kterou naleznete v sekci Legislativa.

Kdo určuje provozovatele základní služby a informační systém základní služby?

Provozovatele základní služby určí Úřad, a to rozhodnutím podle zákona č. 500/2004 Sb., správního řádu (§ 22a zákona o kybernetické bezpečnosti).

Jak probíhá určování/posuzování naplnění dopadových kritérií?

Pro to, aby byl subjekt určen jako provozovatel základní služby, musí provozovat službu v některém ze zákonem definovaných a vyhlášce konkretizovaných odvětví. Provozování této služby musí být závislé na informačním systému nebo síti elektronických komunikací [§ 2 písm. i) a j) zákona o kybernetické bezpečnosti]. Pokud je tato podmínka naplněna, může být přistoupeno k detailnímu posouzení naplnění kritérií. Toto posouzení bude provádět Úřad v úzké spolupráci s posuzovaným subjektem.

Samotné určování probíhá následovně:

  1. Úřad si vlastní činností opatří seznam subjektů naplňujících definici druhu subjektu podle příslušné části přílohy vyhlášky č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.
  2. Jsou vybrány pouze ty subjekty, které naplní alespoň jedno speciální kritérium druhu subjektu, je-li stanoveno.
  3. Se subjekty vybranými dle bodu 2. Úřad provádí posouzení naplnění dopadových kritérií.
  4. Systémy, které naplní alespoň jedno dopadové kritérium, jsou následně určeny jako informační systémy základní služby. Subjekt odpovědný za provozování služby bude určen jako provozovatel základní služby.

Co mám dělat, pokud se domnívám, že naplňuji kritéria pro provozovatele základní služby a informační systém základní služby?

V takovém případě se můžete obrátit přímo na sekretariát odboru regulace (kontakty naleznete zde).

Jakým způsobem můžeme nahlásit kontaktní údaje k provozovateli základní služby?

Vyplněním formuláře, který naleznete v sekci Formuláře. Formulář obsahuje i pokyny ke způsobu odeslání. Dále je v této sekci také dostupný návod, jak formulář vyplnit.

Jaký je vztah mezi provozovatelem základní služby a správcem informačního systému základní služby?

Provozovatelem základní služby je subjekt, který poskytuje základní službu a je určen Úřadem, z pohledu zákona o kybernetické bezpečnosti je na něj nahlíženo jako na povinnou osobu podle § 3 písm. g). Pokud je však tento subjekt i tím, kdo určuje účel a podmínky provozování informačního systému podporujícího poskytovanou základní službu, a je tedy zároveň (ex lege) i správcem, je na něj nahlíženo jako na povinnou osobu podle § 3 písm. f), nikoliv jako na povinnou osobu podle § 3 písm. g) zákona o kybernetické bezpečnosti. Tato druhá situace je mnohem pravděpodobnější a v praxi nastane téměř vždy.

Jaký je rozdíl mezi provozovatelem základní služby a provozovatelem informačního systému základní služby?

Definičně se jedná o dvě odlišné osoby (v praxi se však mohou oba instituty sejít u jednoho subjektu).

Provozovatel základní služby je definován v § 2 písm. k) zákona o kybernetické bezpečnosti jako orgán nebo osoba, která poskytuje základní službu a která je určena Úřadem podle § 22a zákona o kybernetické bezpečnosti.

Provozovatel informačního systému základní služby, resp. provozovatel informačního nebo komunikačního systému obecně, je definován v § 2 písm. g) zákona o kybernetické bezpečnosti jako orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.

Významný informační systém

Kde jsou uvedena kritéria pro určení významného informačního systému?

Kritéria pro určení významného informačního systému naleznete v aktuálním znění vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, kterou naleznete v sekci Legislativa.

Podrobnější popis jednotlivých kritérií pro identifikaci významných informačních systémů je obsažen v podpůrném materiálu „Průvodce identifikací významného informačního systému“, který je dostupný v sekci Podpůrné materiály.

Jak probíhá určování/identifikace významného informačního systému?

Významným informačním systémem se konkrétní systém stává ze zákona naplněním definičních znaků, neprobíhá žádné správní řízení o určení systému nebo jeho správce. Pokud tedy orgán veřejné moci používá k výkonu své činnosti informační systém, sám si musí být vědom své odpovědnosti spojené s výkonem veřejné moci a posoudit, zda jeho systém naplňuje kritéria stanovená vyhláškou. Pokud pak systém kritéria splňuje, je potřeba o tom neprodleně informovat Úřad formou zaslání hlášení kontaktních údajů, a to nejpozději do 30 dnů ode dne, kdy systém kritéria začal naplňovat.

Kdo je primárně odpovědný za posouzení jednotlivých informačních systémů z pohledu významného informačního systému? Existuje nějaké doporučení k posuzování prvků významných informačních systémů?

Za posouzení kritérií pro významný informační systém je odpovědný sám správce. Jednotlivým orgánům veřejné moci doporučujeme posoudit naplnění kritérií pro významný informační systém u jednotlivých informačních systémů interním aktem řízení – posloupností následujících činností (výsledkem je vytvoření závěrečné zprávy o posouzení kritérií u jednotlivých informačních systémů, která je schválena statutárním orgánem):

  1. Vytvoření seznamu jednotlivých informačních systémů (Vedení seznamu posuzovaných systémů a výsledků jejich posouzení je dle § 3 odst. 2 vyhlášky o významných informačních systémech povinné a může být předmětem kontroly.).
  2. Statutární orgán orgánu veřejné moci stanoví kompetence pro posouzení naplnění kritérií pro významný informační systém u systémů v seznamu vytvořeném v kroku 1. (např. stanoví, že za posouzení je odpovědný ředitel ICT nebo stanoví, že za posouzení je odpovědná určená skupina osob, která o závěru posouzení kritérií pro významný informační systém u jednotlivých systémů hlasuje).
  3. U jednotlivých systémů, které naplňují kritéria pro významné informační systémy, doporučujeme napsat, která z kritérií to jsou.
  4. Zaznačení údajů o posouzení naplnění kritérií u jednotlivých systémů do vytvořeného seznamu.
  5. Schválení seznamu informačních systémů statutárním orgánem.
  6. Nahlášení kontaktních údajů Úřadu.

Podrobnější informace k procesu identifikace jsou obsaženy v podpůrném materiálu „Průvodce identifikací významného informačního systému“, který je dostupný v sekci Podpůrné materiály.

Jakým způsobem můžeme nahlásit kontaktní údaje k významným informačním systémům?

Vyplněním formuláře, který naleznete v sekci Formuláře. Formulář obsahuje i pokyny ke způsobu odeslání. Dále je v této sekci také dostupný návod, jak formulář vyplnit.

Může obec identifikovat svůj informační systém jako významný informační systém?

Nemůže, informační systémy spravované obcemi jsou vyjmuty z povinností stanovených pro významné informační systémy.

Je-li subjekt správcem několika významných informačních systémů, je zapotřebí vytvořit bezpečnostní dokumentaci ke každému systému nebo je možné mít dokumentaci jednotnou?

Akceptovatelné jsou obě varianty, upřednostňovaná je varianta jednotné bezpečnostní dokumentace, a to za předpokladu, že bude obsahovat všechny náležitosti vztahující se na všechny systémy.

Poskytovatel digitální služby

Kdo spadá pod definici poskytovatele digitální služby podle § 3 písm. h) zákona o kybernetické bezpečnosti?

Poskytovatelem digitální služby se osoba stane v případě, že jí provozovaná služba naplní definici digitální služby podle § 2 písm. l) zákona o kybernetické bezpečnosti. Digitální službou je služba informační společnosti, která spočívá v provozování on-line tržiště, internetového vyhledávače, nebo cloud computingu. Zákon se nevztahuje na poskytovatele digitální služby, který je mikropodnikem nebo malým podnikem s počtem zaměstnanců méně než 50 a ročním obratem pod 10 000 000 EUR, nebo který má sídlo v jiném členském státě. V případě, že má poskytovatel digitální služby sídlo mimo Evropskou unii a ustavil si svého zástupce v České republice, pohlíží na něj zákon tak, jako by byl usazen v České republice.

Jaké mají tyto subjekty povinnosti ze zákona o kybernetické bezpečnosti?

Poskytovatelé digitálních služeb v působnosti zákona o kybernetické bezpečnosti mají povinnost zavádět bezpečnostní opatření, hlásit kontaktní údaje Národnímu CERT a hlásit Národnímu CERT kybernetické bezpečnostní incidenty s významným dopadem na poskytování jejich služeb.

Povinnosti poskytovatelů digitálních služeb jakož i podmínky pro hlášení bezpečnostních incidentů jsou vymezeny v prováděcím nařízení komise (EU) 2018/151 ze dne 30. ledna 2018 a nikoliv dány vyhláškou o kybernetické bezpečnosti.

Cloud computing

Co je to cloud computing?

Uchování dat či jejich zpracování v cloudu (anglicky mrak či oblak) znamená, že data nejsou fyzicky přítomná v počítači uživatele, ale jsou uložena a zpracovávána na jiném serveru, který se může nacházet tisíce kilometrů daleko a uživatel se k němu připojuje prostřednictvím internetu. Rozlišuje se přitom několik druhů cloud computingu podle toho, komu jsou servery nabízeny (veřejný, soukromý, komunitní a hybridní cloud computing). Za služby, které provozovatel cloudu pronajímá, platí zákazník předem domluvenou částku, která se odvíjí od toho, jaké služby provozovatel cloudu dodává a v jakém objemu je zákazník čerpá. Cloudových služeb existuje nepřeberné množství. Pro základní přehled však lze cloud computingové služby rozdělit na:

  • IaaS (Infrastructure as a Service) = Infrastruktura jako služba. Jde o model cloud computingu, kde je poskytována (pronajímána) výpočetní kapacita. Zjednodušeně jde o pronájem hardwaru a příslušného software k jeho správě. Na IaaS si pak zákazník může nasadit vlastní platformní a aplikační služby.
  • PaaS (Platform as a Service) = Platforma jako služba. Jde o model cloud computingu, který zahrnuje předchozí IaaS a u něhož je navíc poskytována informační a technologická platforma. Jde typicky o operační systémy, systémy pro správu databází, vývojové systémy apod. Nad touto úrovní se pak staví vlastní aplikace, které využívá koncový uživatel.
  • SaaS (Software as a Service) = Software jako služba. Jde o model cloud computingu, ve kterém je celá aplikace umístěna v cloudu. Dobrým příkladem je třeba e-mailový klient, který je dodáván jako služba s minimálními nároky na správu na straně zákazníka či výpočetní kapacitu počítačů, na nichž je používán.

Jaké má cloud computing výhody?

Mezi hlavní výhody cloud computingu patří vysoká flexibilita, rychlá škálovatelnost poskytovaných služeb, dostupnost prostřednictvím internetu prakticky odkudkoliv, absence potřeby údržby hardware, nebo také nižší cena zejm. v případech nepravidelného vytížení.

Pokud chce uživatel data uchovávat u sebe, musí pro to vybudovat veškerou infrastrukturu. To znamená nejen samotné úložiště, ale také jeho zabezpečení, například proti požáru nebo proti obyčejnému vloupání. Také musí být vyřešeno pravidelné zálohování dat, stabilní přívod elektřiny a navrch tým lidí, kteří použité technologii rozumí a budou schopní zajistit dostupnost, důvěrnost a integritu uchovávaných dat. V praxi to znamená, že musí být zajištěny tři věci: data musí být dostupná kdykoliv je uživatel potřebuje; k datům nesmí získat přístup nikdo bez oprávnění; data nesmějí být bez vědomí uživatele poškozována, upravována ani přepisována. Jako příklad lze uvést účetní záznamy: pro případ kontroly finančního úřadu je musí uživatel mít při ruce; zároveň je nežádoucí, aby do nich viděla jeho konkurence. V neposlední řadě musí data vypovídat o skutečném finančním stavu podniku, což znamená, že je nemůže libovolně měnit nepovolaná osoba bez toho, aniž by to uživatel zjistil.

V případě využití služeb cloudu má za výše uvedené aspekty odpovědnost provozovatel cloud computingu. Odpovědnost za ochranu zpracovávaných dat nese nicméně pořád uživatel, a proto je tedy nutné klást důraz na prověřování důvěryhodnosti zvoleného poskytovatele cloud computingu.

Jaká má cloud computing rizika?

Primárním rizikem je ztráta kontroly nad daty uloženými v cloudu. Pokud jsou například data na pevném disku počítače nebo USB flash disku na klíčích, má nad nimi uživatel poměrně slušnou kontrolu (byť i tak samozřejmě důrazně doporučujeme data zálohovat, protože neopravitelné poruchy těchto zařízení nejsou nic vzácného). Nicméně pokud jsou data na vzdáleném serveru, nemá uživatel kontrolu nad tím, co se s nimi děje. Nelze tedy vyloučit, že k datům navzdory smluvním ustanovením mohou přistupovat orgány veřejné správy státu, v jehož jurisdikci jsou data fyzicky uložena, při přenosu z jednoho místa na druhé mohou být data odposlouchávána, nebo se k nim pro výpadek elektřiny nebo internetového připojení nemusí uživatel v kritický moment dostat či dokonce mohou být pro chybu v zálohování navždy ztracena.

Jak se má veřejná správa rozhodnout, zda a který cloud využít?

Vedle provozních, ekonomických a jiných hledisek je klíčovým kritériem také bezpečnost. K tomu, aby se přístup státní správy ke cloudovým službám sjednotil a standardizoval, schválila Vláda koncepci eGovernment cloudu, která stanoví, za jakých podmínek budou cloudové služby státními orgány využívány. V rámci této koncepce budou poskytovány cloudové služby jak komerčními poskytovateli, tak tzv. státním poskytovatelem, a to za předem stanovených podmínek.

Proč stát potřebuje cloud computing?

Budování zabezpečených serverových úložišť pro provozování informačních systémů je poměrně drahé a složité, proto může být efektivnější, bezpečnější a hospodárnější, když si stát cloudové služby nakoupí od firem, které se na to specializují. Díky tomu bude moci čerpat veškeré výhody, které z využívání cloudu plynou. Důležité však je nastavit podmínky, které zajistí bezpečnost takto využívaných a nakupovaných služeb, přičemž nejcitlivější data budou muset zůstat na našem území.

Jaká data ve státním cloudu budou?

Nejcitlivější data státu zůstanou v jeho správě a mohou být zpracovávána jen v rámci státní části eGovernment cloudu, kterou bude provozovat státem vybraný poskytovatel a tato data nebudou moci opustit území České republiky. Méně citlivá data, jako např. e-maily, budou moci být umístěna v komerčním cloudu, který si k tomu příslušná instituce pronajme. Záležet bude na tom, o jak citlivá data se bude jednat a jak bude takový komerční cloud zabezpečen. K posouzení zabezpečení budou existovat metodiky a hlavně legislativa.

Jak budou státní data zabezpečená?

Za bezpečnost dat odpovídá primárně ten úřad, který příslušná data schraňuje a který pro tyto účely bude případně poptávat cloudové řešení. Za tímto účelem v rámci Úřadu a Ministerstva vnitra vznikají pravidla, která bude nutné dodržovat. Výsledkem této práce bude kromě legislativy také katalog prověřených dodavatelů cloudových technologií, kterým bude naplněn požadavek na ex ante (předběžnou) kontrolu. Jejím cílem bude vyloučit zjevně problematické dodavatele, například takové, kteří jsou svázáni s nějakým cizím státem. Možnosti ČR kontrolovat, jak s daty jejích občanů nakládá cizí stát, jsou prakticky nulové, a proto je Úřad toho mínění, že by citlivá data o občanech ČR jinými zeměmi zpracovávána být neměla.

Jakmile budou dodavatelé zařazeni v příslušném katalogu, bude Úřad prověřovat i jejich samotné služby s ohledem na jejich kvalitu a bezpečnost. Cílem je kromě ověření plnění různých norem především to, aby data neopustila prostor Evropské unie, a to z důvodu možnosti dohledu nad nimi. Přesun dat mimo EU bude umožněn jen u předem dohodnutých služeb, a to při zachování dalších bezpečnostních opatření.

Co jsou to cloudové vyhlášky?

Jako cloudové vyhlášky jsou označovány vyhlášky, které mají stanovit konkrétní pravidla pro nový systém cloud computingu pro veřejnou správu, podle zákona o kybernetické bezpečnosti a zákona o informačních systémech veřejné správy. Kromě již účinné vyhlášky č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu, se má jednat ještě o trojici dalších vyhlášek, které stanoví pravidla pro zápis do katalogu cloud computingu, bezpečnostní pravidla pro využívání služeb cloud computingu a bezpečnostní úrovně informačních systémů podle závažnosti dopadů narušení bezpečnosti informací.

Co stanoví vyhláška o vstupních kritériích?

Vyhláška o vstupních kritériích stanoví požadavky, které musí poskytovatel cloudových služeb splnit, aby mohl vstoupit do katalogu eGovernment cloudu a nabídnout tak své služby orgánům veřejné moci. Tato kritéria budou rozdílná podle příslušné bezpečnostní úrovně služby (vysvětlení viz níže). Pokud poskytovatel služeb stanovené požadavky splní a doloží potřebné dokumenty, bude mu umožněno nabízet orgánům veřejné moci cloudové služby. Splnění těchto podmínek bude ověřovat Ministerstvo vnitra ve spolupráci s Úřadem. Tento proces je tzv. ex ante kontrola.

Co stanoví vyhláška o bezpečnostních pravidlech?

Vyhláška o bezpečnostních pravidlech stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci, které budou chtít cloudové služby využívat. Jde tedy o seznam bezpečnostních požadavků, jejichž splnění budou muset orgány veřejné moci zajistit, pokud budou chtít využít cloudových služeb. Tato bezpečnostní pravidla budou často součástí výběrového řízení na poskytnutí cloudových služeb. Splnění těchto podmínek bude kontrolováno ze strany Ministerstva vnitra a Úřadu. Kontrola bude probíhat až v době, kdy bude služba poskytována. Každá z bezpečnostních úrovní bude mít stanovena bezpečnostní opatření, přiměřeně přísná podle příslušné bezpečnostní úrovně. Tento proces je tzv. ex post kontrola.

Co stanoví vyhláška o bezpečnostních úrovních?

Vyhláška o bezpečnostních úrovních stanovuje pravidla, podle kterých se informační systémy orgánů veřejné moci, které by měly být provozovány v cloudu, budou rozřazovat do příslušných bezpečnostních úrovní. Podle dopadů narušení bezpečnosti informací budou informační systémy rozřazeny do čtyř bezpečnostních úrovní (1 - nízká, 2 – střední, 3 – vysoká, 4 - kritická). Příslušně zařazený systém bude moci využít pouze ty nabídky služeb cloud computingu, které jsou zařazeny do stejné nebo vyšší bezpečností úrovně.

Veřejné zakázky

Jaký je vztah zákona o kybernetické bezpečnosti a zákona č. 134/2016 Sb., o zadávání veřejných zakázek, a je vůbec možné dodržet požadavky obou předpisů současně?

Oba zákony jsou předpisy stejné právní síly, navzájem se nevylučují, naopak se doplňují. Zatímco zákon o zadávání veřejných zakázek stanoví procesní postupy pro výběr dodavatele, zákon o kybernetické bezpečnosti reguluje obsahové náležitosti požadavků na dodavatele. Zatímco tedy zákon o zadávání veřejných zakázek říká jak, zákon o kybernetické bezpečnosti říká co. Ačkoli pak skloubení požadavků obou zákonů může být v některých případech náročné, rozhodně není nerealizovatelné.

Jak přistoupit k situaci, kdy zákonem stanovené lhůty pro zavádění bezpečnostní opatření významně zkracuje nutnost vypisovat veřejné zakázky?

Za těchto podmínek je pro účely kontroly plnění uložených povinností potřeba doložit, že postup zavádění bezpečnostních opatření je plánován a opatření jsou implementována v souladu s tímto plánem. Tuto skutečnost je nutné promítnout v bezpečnostní dokumentaci, a to konkrétně v plánu zvládání rizik a prohlášení o aplikovatelnosti. V případě, že je dodržen správný procesní postup, není objektivní nemožnost zavést v daném čase bezpečnostní opatření vnímána jako porušení povinností daných zákonem o kybernetické bezpečnosti.

Jsme správcem informačního systému základní služby a chceme vyhlásit veřejnou zakázku na ICT. Jak máme v zadávací dokumentaci zohlednit požadavky zákona o kybernetické bezpečnosti?

V souladu s § 4 odst. 4 zákona o kybernetické bezpečnosti jsou povinné osoby povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy. Zohlednění těchto požadavků nelze považovat za nezákonné omezení hospodářské soutěže. Úřad k tomuto tématu vydal metodický materiál „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“, dostupný v sekci Podpůrné materiály.

Jakým způsobem máme v zadávací dokumentaci zohlednit varování Úřadu ze dne 17. prosince 2018?

Povinnost reagovat na varování vydaná Úřadem mají pouze povinné osoby spadající pod zákon o kybernetické bezpečnosti, pro ostatní subjekty lze zohlednění varování pouze doporučit. Pokud jste povinná osoba, doporučujeme řídit se materiálem „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“, zveřejněným v sekci Podpůrné materiály.

Dotazy z praxe

Naše organizace není povinnou osobou podle zákona o kybernetické bezpečnosti, ale rádi bychom se zabezpečili proti případným incidentům. Jak máme postupovat?

Pro tento účel je v sekci Podpůrné materiály dostupný dokument „Minimální bezpečnostní standard“. Tento materiál nabízí zjednodušené principy, postupy a doporučení v oblasti kybernetické bezpečnosti pro všechny typy organizací. Samozřejmě je také možné využít komplexnější vyhlášku o kybernetické bezpečnosti nebo další nelegislativní předpisy, jako např. mezinárodní normy (např. z rodiny norem ISO nebo NIST).

Podle zákona o kybernetické bezpečnosti předá provozovatel systému správci tohoto systému data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému. Rozumí se daty, provozními údaji nebo informacemi souvisejícími s provozováním tohoto systému i zdrojový kód systému?

Ne. Výčet, čítající data, provozní údaje a informace, které má provozovatel k dispozici v souvislosti s provozováním systému, do sebe standardně nezahrnuje zdrojový kód.

Naše společnost patří do kritické infrastruktury, náš informační systém byl určen Úřadem jako kritická informační infrastruktura. V současnosti vybíráme nového dodavatele software – jak máme postupovat?

V souladu s ustanovením § 4 odst. 4 zákona o kybernetické bezpečnosti jste povinni při výběru dodavatele zohlednit požadavky vyplývající z bezpečnostních opatření a ty zahrnout do smlouvy. Výsledky procesu hodnocení rizik a analýzy přijímání bezpečnostních opatření je potřeba zohlednit skutečně již při výběru dodavatele a posléze s vybraným dodavatelem tato opatření zapracovat do smlouvy, neboť následné změny obsahu smluvního vztahu mohou být problematické. Pokud má být řešení některých bezpečnostních otázek ponecháno až na dobu plnění uzavřené smlouvy, je potřeba důsledně dbát na formulaci změnových ustanovení a zakotvit možnost od smlouvy odstoupit. Rozhodně nedoporučujeme nechávat řešení stěžejních bezpečnostních opatření až na fázi po uzavření smlouvy.

Byli jsme určeni provozovatelem základní služby. Dle zákona o kybernetické bezpečnosti jsme povinni Vám zaslat formulář pro hlášení kontaktních údajů a pověření osoby, která s Vámi bude za nás komunikovat. Bude dostačující zaslání plné moci této osoby?

Zákon předvídá několik způsobů, kterými lze prokázat oprávnění jednat za právnickou osobu, volba konkrétního způsobu je ponechána v dispozici subjektu. Pro Úřad je stěžejní, aby mělo pověření k jednání všechny nezbytné náležitosti, bylo platné a určité, způsob pověření (tedy zda půjde o plnou moc nebo pověření zaměstnance) není z pohledu Úřadu rozhodné.

Konkrétní požadavky na jednání právnické osoby vůči správnímu orgánu upravuje zákon č. 500/2004 Sb., správní řád. V souladu s § 30 odst. 1 správního řádu může činit jménem právnické osoby úkony ten, kdo je k tomu oprávněn v řízení před soudem podle § 21 občanského soudního řádu (tj. typicky člen statutárního orgánu, jehož oprávnění vyplývá z veřejného rejstříku, nebo zaměstnanec, u něho je potřeba oprávnění jednat prokázat – typicky pověřením, popisem pracovního místa, interním dokumentem zaměstnavatele apod.). Jménem právnické osoby může jednat též její zástupce (především zmocněnec podle § 33 správního řádu na základě zmocnění prokazovaného plnou mocí).

Hlášení kontaktních údajů má stanoven zákonný požadavek na formulářové podání. Formulář i s návodem naleznete zde. I s ohledem na výše uvedené je formulář koncipován především na podpis statutárním orgánem (což je z praktických důvodů preferováno), ale samozřejmě je možné jej podepsat také jinou osobou (ta ale musí doložit zmocnění k takovému úkonu, viz výše), nebo lze u nepodepsaného hlášení kontaktních údajů uplatnit fikci podpisu datovou zprávou (viz § 18 odst. 2 zákona o elektronických úkonech a autorizované konverzi dokumentů).

Je přípustné, aby zaměstnanci správců a provozovatelů informačního systému kritické informační infrastruktury pracovali z domu, kde k připojení k internetu a k práci používají vlastní domácí vybavení (tj. zejména síťové prvky, routery, switche, wifi antény, apod.)?

Správci a provozovatelé informačních systémů kritické informační infrastruktury jsou coby povinné osoby podle zákona o kybernetické bezpečnosti povinni v rámci své organizace zavádět a provádět bezpečnostní opatření uvedená v § 5 zákona o kybernetické bezpečnosti, resp. konkretizovaná vyhláškou o kybernetické bezpečnosti. Zákon ani vyhláška obecně nevylučují, aby povinné osoby podle § 3 zákona umožnily svým zaměstnancům práci z domova a používání vlastních zařízení a komerčního připojení k internetu. Co však zákon a vyhláška požadují je, aby tyto povinné osoby dbaly na zabezpečení svých informačních systémů a řídily rizika spojená se vzdáleným výkonem práce. Konkrétní způsob řízení rizik spojených s výkonem práce na dálku a s využíváním vlastních prostředků zaměstnanců bude vždy záviset na specifikách dané organizace, úrovni její kybernetické bezpečnosti, interních pravidlech stanovených mj. s ohledem na důležitost spravovaných aktiv a toleranci rizik organizace, apod. Každá organizace spadající do působnosti zákona o kybernetické bezpečnosti funguje svým specifickým způsobem a jejich informační systémy se mohou vzájemně lišit. Nelze proto stanovit univerzální pravidla pro zabezpečení práce na dálku pro všechny organizace spadající do působnosti zákona o kybernetické bezpečnosti, výběr konkrétních bezpečnostních opatření a konkrétních způsobů zabezpečení výkonu práce je odpovědností jednotlivých organizací.

Úřad se však v tomto směru snaží alespoň o určité metodické vedení (nejen) povinných subjektů, proto vydal např. doporučení pro bezpečnou práci na dálku (dostupné zde) nebo podpůrné materiály k zabezpečení videokonferencí (dostupné zde).