Legislativa v České republice

Úvod

Právo chápe kybernetickou bezpečnost v mnohem užším významu, než jak ji musí vnímat podniková praxe. Z hlediska platného práva je totiž nutno odlišovat ochranu kybernetické bezpečnosti státu od dalších forem individuální informační bezpečnosti, tj. od ochrany dat včetně osobních údajů, ochrany obchodního tajemství, ochrany před běžnou trestnou činností zaměřenou k informacím (informační kriminalitou) apod. Bezpečnostní manažer tedy musí pracovat vedle legislativy týkající se přímo kybernetické bezpečnosti též s rozsáhlou trestní, správní a civilní legislativou upravující právní povinnosti, které souvisejí s nejrůznějšími formami získávání, zpracovávání, ukládání a komunikace informací.

Kybernetickou bezpečnost tedy právo vnímá jako ochranu národního kyberprostoru před bezpečnostními hrozbami. Jednotlivé bezpečnostní incidenty samozřejmě mohou dosáhnout takové intenzity, že se negativně projeví v národním měřítku, tj. dojde například k výpadku páteřní sítě. Většina běžně se vyskytujících incidentů však nedosahuje takové závažnosti, aby bylo nutno se jimi na úrovni národní kybernetické bezpečnosti zabývat – s takovými jevy se pak právo vypořádává za užití standardních ochranných institutů trestního, správního a civilního práva. Typickým příkladem může být únik osobních údajů nebo průnik do firemního informačního systému.

Ve vztahu ke kybernetické bezpečnosti v užším smyslu slova (tj., jak ji vnímá platné právo) je nutno v podnikové praxi řešit především problematiku ochrany podnikové informační infrastruktury před útoky zvenčí včetně náležité detekce takových útoků. Stejně důležité pak je z právního hlediska i zamezení tomu, aby podniková informační infrastruktura nebyla zneužita k útoku mimo ni. Za současné právní úpravy lze jen obtížně postihnout podnik za to, že nepoužívá ve vlastní síti náležitá bezpečnostní opatření (jedinou výjimkou je v tomto směru úprava povinností vzhledem k utajovaným informacím). Může však v konkrétních případech dojít k tomu, že bude podnik právně odpovědný za škody, které budou způsobeny jeho zaměstnancům, zákazníkům nebo třetím osobám z důvodu nedostatečného zabezpečení jeho informační infrastruktury.
V České republice se podobně jako v ostatních euroatlantických zemích v současné době intenzivně pracuje na specifické právní úpravě národní kybernetické bezpečnosti. Tato úprava bude zahrnovat především nové povinnosti provozovatelů služeb elektronických komunikací aplikovat do jejich sítí certifikované bezpečnostní technologie. Současně dojde v gesci Národního bezpečnostního úřadu k vytvoření vládního dohledového pracoviště, které bude fungovat jako středisko ochrany státní a kritické komunikační infrastruktury a rovněž jako orgán krizového řízení pro případ masivního útoku s celostátním dopadem. Dále bude též upravena činnost národního dohledového pracoviště, jehož úkolem je vyhodnocovat informace o bezpečnostních incidentech ze soukromoprávní informační infrastruktury a koordinovat ochranná opatření s provozovateli konkrétních sítí (národní pracoviště již nyní provizorně funguje, a to na základě memoranda uzavřeného mezi CZ.NIC a Ministerstvem vnitra ČR).

JUDr. Radim Polčák, Ph.D.
vedoucí ústavu práva a technologií při Masarykově univerzitě v Brně

 

Ústavní pořádek

2/1993 Sb., Listina základních práv a svobod

110/1998 Sb., o bezpečnosti české republiky

Zákony

240/2000 Sb., o krizovém řízení a změně některých zákonů

365/2000 Sb., o informačních systémech veřejné správy

480/2004 Sb., o některých službách informační společnosti

127/2005 Sb., o elektronických komunikacích

412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů

181/2014 Sb., o kybernetické bezpečnosti a změně některých zákonů (Zákon o kybernetické bezpečnosti)

Usnesení vlády

677/2007, Akční plán plnění opatření Národní strategie bezpečnosti České republiky

564/2011, o Strategii pro oblast kybernetické bezpečnosti České republiky na období 2011 – 2015

781/2011, o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast

Vyhlášky

523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor

524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací

525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací

526/2005 Sb., o stanovení vzorů používaných v oblasti průmyslové bezpečnosti a o seznamech písemností a jejich náležitostech nutných k ověření splnění podmínek pro vydání osvědčení podnikatele a o způsobu podání žádosti podnikatele (vyhláška o průmyslové bezpečnosti), ve znění vyhlášky č. 11/2008 Sb.

527/2005 Sb., o stanovení vzorů v oblasti personální bezpečnosti a bezpečnostní způsobilosti a o seznamech písemností přikládaných k žádosti o vydání osvědčení fyzické osoby a k žádosti o doklad o bezpečnostní způsobilosti fyzické osoby a o způsobu podání těchto žádostí (vyhláška o personální bezpečnosti)

528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění vyhlášky č. 19/2008 Sb.

529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací, ve znění vyhlášky č. 55/2008 Sb.

Zdroj: Pracovní příručka bezpečnostního manažera, ISBN 978-80-7251-364-2.

Změna údajů vyhrazena. Aktualizováno dne: 1.11.2017

Hashtagy:

#CyberSecurity
#KyberSoutez
#BudKyber