Národní úřad pro kybernetickou a informační bezpečnost - Materiály k zákonu o kybernetické bezpečnosti

Obecné materiály

Systém a rozsah ISMS

Rozdíl mezi rozsahem informačního a komunikačního systému a systému řízení bezpečnosti informací.
Stáhnout pdf (v1.0 platná ke dni 31.05.2022)

Blokové schéma k zákonu o kybernetické bezpečnosti

Stáhnout pdf (v2.2 platná ke dni 20.03.2018)

Metodika k hlášení kybernetického bezpečnostního incidentu

Dokument má za cíl stanovit, které případy narušení bezpečnosti informací lze považovat za taková narušení dostupnosti, důvěrnosti a integrity, která není nezbytně nutné hlásit Úřadu a jejichž hlášení nebude Úřad vymáhat, což by mělo mít za cíl přinést větší právní jistotu a zvýšit počet hlášení kybernetických bezpečnostních incidentů, zejména těch nejvýznamnějších.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Lhůty pro plnění povinností podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti

Stáhnout pdf (v1.0 platná ke dni 20.03.2018)

Povinnosti orgánů a osob podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti

Stáhnout pdf (v1.0 platná ke dni 20.03.2018)

Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury, významného informačního systému nebo informačního systému základní služby podle § 2 písm. g) zákona č. 181/2014 Sb., o kybernetické bezpečnosti

Účelem materiálu je poskytnout shrnutí nejdůležitějších bodů týkajících se praktického použití institutu provozovatele systému podle zákona o kybernetické bezpečnosti. Materiál se zaměřuje na popis definičních prvků provozovatele systému, jeho informování a následné povinnosti. Součástí materiálu jsou i vzorová informování relevantních dodavatelů.
Stáhnout pdf (v3.2 platná ke dni 22.12.2022)

Informace o změnách zákona č. 181/2014 Sb., o kybernetické bezpečnosti účinných od 1. srpna 2017

Stáhnout pd f (v2.2 platná ke dni 22.12.2022)

Nepřiměřené náklady

Stáhnout pdf (v2.3 platná ke dni 22.12.2022)

Podpůrný materiál k identifikaci poskytovatelů digitálních služeb

Tento dokument je určen potenciálním poskytovatelům digitálních služeb podle zákona o kybernetické bezpečnosti a klade si za cíl blíže vymezit pojmové znaky definice poskytovatele digitální služby.
Stáhnout pdf (v1.0 platná ke dni 30.07.2018)

Metodiky a doporučení k varování

Metodika k varování ze dne 17. prosince 2018

Stáhnout pdf (v1.0 platná ke dni 04.01.2019)

Doporučená bezpečnostní opatření k varování ze dne 16. dubna 2020

Stáhnout pdf (v1.1 platná ke dni 05.01.2023)

Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení

Účelem materiálu je shrnout a akcentovat některé problémy, které NÚKIB do dnešního dne identifikoval v souvislosti s vydáním varování, a poskytnout povinným osobám podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, které jsou současně zadavateli ve smyslu zákona č. 134/2016 Sb., o zadávání veřejných zakázek, metodickou pomoc při zohlednění varování při zadávání veřejných.
Dokument byl konzultován s MMR (gestorem zákona o zadávání veřejných zakázek).
Stáhnout pdf (v1.2 platná ke dni 22.12.2022)

Kritická informační infrastruktura

Proces určování kritické informační infrastruktury

Stáhnout pdf (v2.0 platná ke dni 20.03.2018)

Pravidla určování kritické informační infrastruktury

Tento podpůrný materiál obsahuje informace o pravidlech určování kritické informační infrastruktury, tedy prvku/prvků kritické infrastruktury v odvětví VI. Komunikační a informační systémy, oblasti G. Kybernetické bezpečnosti nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Co si připravit na jednání

Tento dokument je určen potenciálním povinným subjektům dle § 3 písm. c) a d) zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Účelem tohoto podpůrného materiálu je shrnout nejdůležitější informace k tomu, co si připravit na první jednání s Národním úřadem pro kybernetickou a informační bezpečnost k určování kritické informační infrastruktury, tedy prvku/prvků kritické infrastruktury v odvětví VI. Komunikační a informační systémy, oblasti G. Kybernetické bezpečnosti nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Práva a povinnosti subjektů KII podle krizového zákona

Tento dokument je určen správcům kritické informační infrastruktury. Obsahuje shrnutí práv a povinností, které těmto subjektům kritické informační infrastruktury vyplývají z krizového zákona a pohled Úřadu na způsob plnění zákonných povinností a soulad s požadavky zákona o kybernetické bezpečnosti.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Provozovatelé základních služeb a informační systémy základních služeb

Proces určování provozovatelů základních služeb a informačních systémů základních služeb

Stáhnout pdf (v2.1 platná ke dni 27.03.2018)
Stáhnout pdf - blokové schéma (v2.0 platná ke dni 20.03.2018)

Informace o institutu základní služby

Stáhnout pdf (v1.5 platná ke dni 22.12.2022)

Na následujících webových stránkách Evropské komise lze kliknutím na jednotlivá odvětví, vyplývající ze směrnice NIS, nalézt příslušný vnitrostátní orgán každé členské země EU, který spravuje provozovatele základní služby v dané zemi.

Významné informační systémy

Průvodce identifikací významného informačního systému

Tento dokument je určen všem orgánům veřejné moci jako pomocný dokument pro posouzení, zda jejich informační systémy naplní definici významného informačního systému podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, zároveň si klade za cíl odpovědět na časté dotazy nejen při procesu posouzení.
Stáhnout pdf (v1.3 platná ke dni 16.03.2023)

Vzor seznamu informačních systémů orgánu veřejné moci (příloha průvodce identifikací významného informačního systému)

Stáhnout pdf (v1.0 platná ke dni 01.12.2020)

Proces identifikace významných informačních systémů

Toto rozhodovací schéma si klade za cíl prakticky přiblížit proces identifikace podle vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, a to po novele prostřednictvím vyhlášky č. 360/2020 Sb.
Stáhnout pdf (v2.0 platná ke dni 01.12.2020)

Významné informační systémy ve školství

Tento stručný materiál zodpovídá nejčastější dotazy týkající se identifikace významných informačních systémů v oblasti školství.
Stáhnout pdf (v1.1 platná ke dni 22.12.2022)

Aktuality

Česká republika se úspěšně zúčastnila největšího mezinárodního cvičení kybernetické bezpečnosti na světě ‒ Locked Shields 2024

Ve dnech 23. až 25. dubna 2024 proběhlo největší světové cvičení kybernetické bezpečnosti Locked Shields, které pořádá NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE). Za Českou republiku cvičení koordinoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Národní tým tvořilo téměř 100 zástupců ze státní, soukromé i akademické sféry, kteří spolupracovali při obraně kyberprostoru fiktivního státu. Letošní ročník byl pro Českou republiku výjimečný také skutečností, že tvořila společný tým s kolegy z Ukrajiny. Do cvičení, jehož součástí je ochrana počítačových systémů před útoky v reálném čase a simulace taktických a strategických rozhodnutí v kritických situacích, se letos zapojilo přibližně 4 000 účastníků ze 40 zemí světa. V konkurenci 18 týmů se ten česko-ukrajinský umístil v první třetině.

Locked Shields je cvičení kybernetické bezpečnosti, jež nemá obdoby svým mnohostranným a detailním přístupem nabízejícím sofistikovanou a realistickou simulaci rozsáhlých kybernetických incidentů se všemi jejich důsledky. Střetávají se během něj červené útočící týmy proti modrým obranným, přičemž modré týmy jsou složeny z členských států NATO CCDCOE a partnerských zemí. Na letošním scénáři spolupracovalo téměř 400 organizátorů, kteří pro jeho účely vytvořili více než 5 500 virtuálních systémů. Cvičení Locked Shields tak i letos nabídlo účastníkům jedinečnou příležitost prokázat své schopnosti v simulacích reálných situacích.

Během cvičení pracovaly modré týmy v roli národních kybernetických týmů rychlé reakce (Cyber Rapid Response Teams) pod značným časovým tlakem, snažily se zvládnout rozsáhlé kybernetické útoky a udržet kritickou infrastrukturu a IT systémy fiktivního státu v provozu. Jejich úkolem bylo nejen ochránit svěřenou infrastrukturu, ale také prokázat efektivitu při hlášení incidentů, provádění strategických rozhodnutí a řešení forenzních, právních a mediálních problémů.

Česká republika se cvičení Locked Shields účastní pravidelně a dlouhodobě dosahuje velmi dobrých výsledků. To by nebylo možné bez kvalitní spolupráce státního, soukromého a akademického sektoru. Zázemí pro téměř 100 cvičících poskytla na Fakultě informatiky Masarykova univerzita, jejíž zástupci se Locked Shields také aktivně účastnili. Při obraně fiktivní země v kyberprostoru spolupracovali se zaměstnanci NÚKIB, kteří tvořili kostru týmu, také zástupci Ministerstva obrany ČR, Policie ČR, Armády ČR, Národní agentury pro komunikační a informační technologie (NAKIT), CZ.NIC včetně národního CSIRT týmu, CESNET, Státní pokladny Centra sdílených služeb, společností Gen Digital, RedHat, Microsoft, ESET a uskupení etických hackerů Cyber Rangers. S kolegy z Ukrajiny pak byl český tým v kontaktu přes vzdálené připojení. V rámci cvičení se také uskutečnila tzv. strategická hra, jíž se za Česko zúčastnili zástupci Úřadu vlády, Ministerstva zahraničních věcí ČR, Ministerstva obrany ČR, Nejvyššího státního zastupitelství, zpravodajských služeb, Velitelství informačních a kybernetických sil Armády ČR a NÚKIB.

Všem zmíněným patří velké poděkování za odhodlání aktivně spolupracovat na budování bezpečné a odolné společnosti. Kromě vnitrostátní spolupráce cvičení přispělo i k posílení spolupráce v NATO a s partnerskými zeměmi, jelikož mnohé státy se do Locked Shields zapojily v rámci společných týmů (podobně jako byl vytvořen česko-ukrajinský tým). Česko navíc mělo své zástupce i v organizačním týmu cvičení, takže jsme přispěli nejen jako jedni ze soutěžících, ale také jako spolutvůrci scénářů i následného provedení cvičení.

„Locked Shields poskytuje jedinečnou příležitost k procvičení schopností kybernetické bezpečnosti a obrany v rychlém a náročném prostředí. Zároveň jde také o skvělou příležitost vyzkoušet si spolupráci nejen napříč soukromým, veřejným i akademickým sektorem, ale také s kolegy ze zahraničí. Bylo skvělé vidět experty z různých oblastí, jak koordinují svoje postupy a snaží se vyřešit veškeré problémy tak, jako by se to dělo v reálném světě. Děkuji všem za jejich účast a nasazení. Jedinečnou příležitostí pro naši zemi byl také společný tým s ukrajinskými kolegy. Měli jsme možnost spolupracovat se zemí, která má bohužel s válečným konfliktem kvůli ruské agresi aktuální a velmi intenzivní zkušenosti. Získané znalosti a dovednosti jsou a budou pro všechny zúčastněné nepochybně velkým přínosem. Doufám, že se tak nestane, ale jsem přesvědčen, že v případě krize by šly aplikovat i v praxi,“ uvedl ředitel NÚKIB Lukáš Kintr.

Nejvyššího skóre dosáhly společné týmy Lotyšska s NATO, Finska s Polskem a Estonska s Francií. Další informace k cvičení Locked Shields naleznete na webu NATO CCDCOE.

30.04.2024