Přeskočit na obsah

Kdo (a co) bude spadat pod nový zákon o kybernetické bezpečnosti? (lupa.cz; 22.9.2014)

  • JF 
Shares
Ministerstvo vnitra připravilo návrh dalšího z prováděcích předpisů k novému zákonu. Přináší kritéria, podle kterých budou vybírány systémy pro zařazení do tzv. kritické informační infrastruktury.

Jiří Peterka

Dlouho připravovaný návrh zákona o kybernetické bezpečnosti nedávno úspěšně završil svou „legislativní trajektorii“: byl schválen oběma komorami Parlamentu, prezident jej podepsal, a 29. srpna 2014 vyšel ve Sbírce zákonů, již jako zákon č. 181/2014 Sb. Účinnosti nabude 1.1.2015.
Nicméně aby tento zákon mohl začít skutečně „fungovat“, potřebuje k sobě ještě své prováděcí předpisy. O těch jsem zde na Lupě naposledy referoval v červnu, v souvislosti se schválením zákona ve Sněmovně. V zásadě se jednalo o informaci převzatou od NBÚ, která hovořila o třech prováděcích předpisech:
Vyhlášce o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Vyhlášce, kterou se stanoví významné informační systémy a jejich určující kritéria
Novele nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
V mezidobí pokročila příprava první popisované vyhlášky („vyhlášky o kybernetické bezpečnosti“). Tu NBÚ již v březnu 2014 zpřístupnil k připomínkování odbornou veřejností. Řadu připomínek úřad akceptoval a zapracoval, a teprve následně byl návrh zaslán do meziresortního připomínkového řízení. To probíhalo od 31. července do 21. srpna 2014. Připomínek se prý opět sešlo velké množství a úřad je nyní vypořádává. Podle sdělení NBÚ je odeslání návrhu vyhlášky do pracovních komisí Legislativní rady vlády očekáváno do půlky října.

Významné informační systémy a kritická informační infrastruktura

Tato první vyhláška již podle svého názvu řeší „agendu“ kybernetické bezpečnosti (upřesňuje, co přesně by povinné subjekty měly dělat), ale sama neřeší, které subjekty to budou. To v základních rysech řeší zákon, ale pro konkrétnější vymezení se odkazuje na druhý a třetí prováděcí předpis (z výše uvedeného výčtu). Z nich by mělo vyplynout, na koho konkrétně dopadnou (přísnější) povinnosti, které zákon ukládá:
správcům tzv. významných informačních systémů
správcům informačních systémů kritické informační infrastruktury
správcům komunikačních systémů kritické informační infrastruktury
Které konkrétní informační systémy budou oněmi „významnými informačními systémy“, určí druhý prováděcí předpis: ona „Vyhláška o významných informačních systémech a jejich určujících kritériích“. Na ní pracuje společně Ministerstvo vnitra a NBÚ, a je prý v „závěrečné fázi tvorby“. Do mezirezortního připomínkového řízení má být rozeslána počátkem října tohoto roku.
Tato vyhláška přitom stanoví některé významné informační systémy přímo. Jak už ale naznačuje i její název, stanoví i určující kritéria, podle kterých budou tyto systémy určovány. Již dnes je přitom jasné, že půjde jen o systémy z veřejné správy – protože takto to definuje zákon (jejich správcem musí být orgán veřejné moci).
To „informační systémy kritické informační infrastruktury“ a „komunikační systémy kritické informační infrastruktury“ již mohou být privátní. Ovšem které konkrétně to budou, vyplyne až z onoho nařízení vlády č. 432/2010 Sb. Budoucí čas je přitom na místě kvůli tomu, že toto nařízení vlády nejprve musí být novelizováno, tak aby (kromě jiného) mohlo být aplikováno i na potřeby kybernetické bezpečnosti (aby se skrze něj dalo určit, kterých konkrétních systémů se požadavky nového zákona budou týkat).
Jak již tušíte z titulku a perexu tohoto článku, návrh novely (resp. nové verze) tohoto vládního nařízení již je k dispozici (např. zde, v Knihovně připravované legislativy). Pojďme se na něj tedy podívat podrobněji.

O čem je nařízení?

Ze všeho nejdříve si ale řekněme, že ani ono nařízení vlády č. 432/2010 Sb. nevyjmenovává konkrétní systémy, objekty, zařízení atd. Neříká, že „ta a ta elektrárna je prvkem kritické infrastruktury“, či „ta a ta nemocnice je prvkem kritické infrastruktury“. Není to seznam konkrétních systémů, objektů atd. Místo toho i toto nařízení specifikuje pouze kritéria, podle kterých se takovéto konkrétní objekty teprve určují.
Samotné určení konkrétních prvků kritické infrastruktury  provádí (podle své působnosti) subjekty jako Ministerstvo průmyslu a obchodu, Ministerstvo zdravotnictví, či NBÚ, formou opatření obecné povahy. Pouze u prvků, jejichž provozovatelem je organizační složka státu, rozhoduje až vláda.
Ona kritéria ve vládním nařízení mají většinou podobu určité „laťky“, při jejímž překonání již objekt může být zařazen do kritické infrastruktury. Tak třeba u elektráren je požadován výkon alespoň 500 MW. A u nemocnic (obecně: zdravotnických zařízení) je kritériem počet akutních lůžek, vyšší než 2500.
No a co u informačních a komunikačních systémů, z pohledu kybernetické bezpečnosti?

Co je „oblast kybernetické bezpečnosti“?

V prvním přiblížení bychom mohli konstatovat, že u informačních systémů se jako ona „laťka“ navrhuje uchovávání osobních údajů o více jak 300 000 uživatelích. A u komunikačních systémů má být onou laťkou rychlost 1 Gbit/s.
Jenže ve skutečnosti je to trochu komplikovanější. Konkrétně v tom, že celá kritická infrastruktura je nejprve členěna na různá odvětví. Takže třeba energetika je jedním takovým odvětvím, zdravotnictví či doprava jsou dalšími odvětvími atd. No a tato odvětví se pak dále dělí na „pododvětví“. Tak třeba doprava se dělí na silniční, železniční, leteckou a (vnitrozemskou) vodní dopravu. A každé z těchto dílčích odvětví (pododvětví) má  svá vlastní „odvětvová“ kritéria pro určování toho, co má být součástí kritické infrastruktury.
V dosavadní podobě vládního nařízení č. 432/2010 Sb. pochopitelně již je obsaženo i odvětví VI., s názvem „Komunikační a informační systémy“. Je členěné na celkem šest dílčích pododvětví, označovaných písmeny A až F. Jde po řadě o:
A: Technologické prvky pevné sítě elektronických komunikací
B: Technologické prvky mobilní sítě elektronických komunikací
C: Technologické prvky sítí pro rozhlasové a televizní vysílání
D: Technologické prvky pro satelitní komunikaci
E: Technologické prvky pro poštovní služby
F: Technologické prvky informačních systémů
Pro ilustraci si ukažme, jak vypadají odvětvová kritéria u pododvětví  F (technologických prvků informačních systémů). Pohybují se od dosti vágních po dosti konkrétní:
řídicí centrum,
datové centrum,
síť elektronických komunikací,
technologický prvek zajišťující provoz registru doménových jmen „CZ“ a zabezpečení provozu domény nejvyšší úrovně „CZ“
No a podstatou celé nynější změny (novelizace), související s přijetím zákona o kybernetické bezpečnosti, pak je přidání dalšího dílčího pododvětví. Či, chcete-li: nového písmene G, pro „oblast kybernetické bezpečnosti“. Protože právě na takovouto „oblast kybernetické bezpečnosti“ se nový zákon odkazuje.
Připomeňme si, že nový zákon ukládá povinnosti správcům „informačních systémům kritické informační infrastruktury“ a „komunikačním systémům kritické informační infrastruktury“, přičemž onu „kritickou informační infrastrukturu“ definuje následujícím krkolomným způsobem, jako
prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti
Přeloženo do češtiny to neznamená nic jiného, než že rozhodující budou nová kritéria, přidaná pod novým písmenem G. Podle nich se budou určovat konkrétní systémy, objekty atd., na které dopadnou povinnosti ukládané novým zákonem o kybernetické bezpečnosti.

Jaká jsou nová kritéria „pro oblast kybernetické bezpečnosti“?

Samotné vládní nařízení, stejně jako návrh jeho novely, je psáno dosti nesrozumitelnou právničinou. Pojďme si proto, místo doslovné citace (originál najdete zde), raději vše přetlumočit do srozumitelnější podoby.
Nově přidávaná kritéria (v nové podoblasti, resp. pod novým písmenem G) lze rozdělit do tří skupin.
Kritéria z první skupiny (body a, b) se týkají toho, co již je vybráno jako součást kritické infrastruktury (například konkrétní elektrárna, konkrétní nemocnice, konkrétní letiště apod.), a jako svou přímou či nepřímou součást to „má“ i nějaký informační či komunikační systém. Příkladem může být řídící systém oné konkrétní elektrárny (jako „informační systém“), či třeba komunikační systémy řízení letového provozu apod.
Nařízení bude nově definovat, jak moc musí být takovéto informační a komunikační systémy pro příslušné prvky (elektrárny, nemocnice, letiště atd.) důležité, aby už „spadly pod zákon“ o kybernetické bezpečnosti a staly se z nich „informační systémy kritické informační infrastruktury“ a „komunikační systémy kritické informační infrastruktury“. Nařízení to samozřejmě bude specifikovat podrobněji (třeba skrze dobu nutnou pro spuštění nějakého náhradního řešení, či přes náklady na nahraditelnost), ale z našeho zjednodušeného pohledu asi stačí konstatování, že „musí pro ně být hodně důležité“. A pak na ně budou dopadat povinnosti ze zákona o kybernetické bezpečnosti.
Nicméně: právě popsaná (první) skupina kritérií má smysl jen pro takové prvky, již zařazené do kritické infrastruktury, které samy o sobě nejsou informačními či komunikačními systémy. Přesněji: byly určeny a zařazeny do kritické infrastruktury na základě odvětvových kritérií z jiných odvětví, než je samotné odvětví „VI: Komunikační a informační systémy“.
Pro toto samotné odvětví (VI.) by právě popsaná (první) skupina kritérií nedávala smysl, a tak jsou pro ně zaváděna kritéria samostatná, v podobě druhé skupiny kritérií (bod e). No a ta v zásadě říkají, že příslušný systém „spadne“ pod nový zákon, pokud je jeho ochrana „nezbytná pro zajištění kybernetické bezpečnosti“.
Konečně třetí skupina nových kritérií se týká takových systémů, které dosud nejsou zařazeny do kritické infrastruktury, ani v odvětví „VI: Informační a komunikační systémy“, ani v jiném. Právě zde se jedná o ona již výše avizovaná kritéria na bázi počtu osob a přenosové rychlosti:
informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách,
komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit
Povšimněte si, že u informačních systémů (na rozdíl od komunikačních systémů) je požadavek na to, aby byl „spravovaný orgánem veřejné moci“. To by mělo vyloučit například informační systémy pro správu zákazníků u nejrůznějších poskytovatelů služeb z privátního sektoru, jako jsou třeba telekomunikační operátoři. Nikoli ale informační systémy, nutné pro chod a řízení sítí těchto operátorů, protože ty „spadnou“ pod nový zákon o kybernetické bezpečnosti podle první skupiny kritérií.

Ještě to není všechno

Na závěr si připomeňme a zdůrazněme, že právě popsané vládní nařízení, resp. jeho novela, určují jen část těch systémů, které „spadnou“ pod nový zákon č. 181/2004 Sb., a to jako „informační systémy kritické informační infrastruktury“ a „komunikační systémy kritické informační infrastruktury“. Vedle nich nový zákon pracuje ještě s další kategorií, tzv. významných informačních systémů, kterým bude ukládat v zásadě stejné povinnosti.
Takovéto „významné informační systémy“ jsou vlastně jakýmsi doplňkem k těm systémům, které jsou zařazeny do kritické informační infrastruktury. Nepatři totiž do kritické informační infrastruktury. Ale také musí být spravovány některým orgánem veřejné moci. A obecným kritériem jejich významnosti, které definuje již zákon, je to, že případné „narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci“.
Konkrétní „nastavení laťky“ ale i zde provede druhá z vyhlášek avizovaných v úvodu. Její obsah zatím není znám, ale NBÚ, který ji připravuje (ve spolupráci s Ministerstvem vnitra), již přeci jen něco naznačil: že informační systémy obcí „pod“ nový zákon nespadnou.
Národní bezpečností úřad prosazuje názor, že informační systémy, jejichž správcem je obec, nebudou zahrnuty ani do kritické informační infrastruktury – tedy kritické infrastruktury v oblasti kybernetické bezpečnosti, ani mezi významné informační systémy. Standardizace podle prováděcích předpisů k ZKB by se tedy na obce povinně vztahovat neměla.
Ale třeba datové schránky nejspíše budou „významným informačním systémem“. Ale i kdyby ne, stejně by spadly do kritické informační infrastruktury, protože ISDS (Informační  systém datových schránek) spravuje osobní údaje více než 900 000 uživatelů datových schránek.
Shares