Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB). Takže v první řadě, o jaké zákony jde:
  1. Dne 1. července 2017 začal platit zákon č. 104/2017 Sb., Zákon, kterým se mění zákon č. 365/2000 Sb., o ISVS [1].
  2. Dne 1. srpna 2017 začal platit zákon č. 205/2017 Sb., Zákon, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti [2]
Co to tedy znamená? Zákon 181/2014 Sb., zákon o kybernetické bezpečnosti stále platí, ale prostřednictvím výše uvedených zákonů doznal níže uvedených změn.

 

Změny zavedené zákonem č. 104/2017 Sb.

Zásadní změny jsou:
  • § 2 dochází k definici provozovatele informačního nebo komunikačního systému, což znamená, že máme nově roli správce a nově roli provozovatele,
  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci,
  • § 6a je řešen vztah mezi provozovatelem a správcem, zejména pak předání systémů a dat provozovatelem, zpět správci,
  • § 8 říká, že povinnost za hlášení bezpečnostního incidentu má i nadále správce, nicméně tato povinnost je splněna, provede-li hlášení incidentu za správce provozovatel (ten má samozřejmě informovat o hlášení i správce),
  • § 15a hovoří o možnosti úřadu uložit provozovateli povinnost předat systém a data správci, pokud provozovatel nereagoval na žádost správce,
  • § 25 upravuje přestupky a výši pokut.
Zkráceně shrnuto ZoKB se tedy nevztahuje jen a pouze na správce informačního nebo komunikačního systému (to je ten, kdo určuje účel zpracování informací a podmínky provozování informačního nebo komunikačního systému), ale nově tedy i jeho provozovatel. Tím jsou tedy pod účinnost zahrnuti všichni poskytovatelé cloudových nebo outsourcingových služeb, a to se všemi důsledky.
 

Změny zavedené zákonem č. 205/2017 Sb.

Zásadní změny jsou:
  • § 2 dochází k zavedení pojmu základní služba, jejíž narušení by mělo významný dopad v níže uvedených odvětvích
    • energetika,
    • < >< >infrastruktura finančních trhů,
    • < >vodní hospodářství,
    • digitální infrastruktura,
    • chemický průmysl,
  • ve stejném paragrafu je stanoveno, že informačním systémem základní služby je informační systém, na jehož fungování je závislé poskytování základní služby,
  • stejný paragraf dále říká, že provozovatel základní služby je určen úřadem (Národním úřadem pro kybernetickou a informační bezpečnost)
  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci informačního systému základní služby,
  • § 3a je řešeno ustanovení zástupce poskytovatele digitálních služeb v ČR,
  • § 4 jsou ukládány povinnosti zavést bezpečnostní opatření a mít odpovídající dokumentaci, a to je uloženo jak provozovateli, tak správci informačního systému základní služby, KII nebo VIS,
  • ve stejném paragrafu je pak stanoveno povinnost pro orgány veřejné moci mít bezpečnost smluvně ošetřenou s poskytovateli cloud computingu,
  • § 4 řeší povinnost jednotlivých subjektů se informovat o skutečnosti, že se jedná o informační systém základní služby, KII nebo VIS tak, aby mohly přijmout všechny subjekty odpovídající opatření,
  • § 7 hovoří o povinnosti detekovat kybernetické bezpečnostní události, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • § 8 hovoří o povinnosti informovat o bezpečnostním incidentu, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • § 13 hovoří o povinnosti informovat o úřad o zavedení reaktivních opatření, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • Další části a paragrafy zákona řeší zejména ustanovení CERTu a Národního úřadu pro kybernetickou a informační bezpečnost.
Opět malá zkratka a souhrn. Nově budou úřadem definovány informační systémy základních služeb a navíc i jejich provozovatelé. Tito budou mít povinnost systémy nejenom zabezpečit, ale budou mít i povinnost detekovat bezpečnostní události a samozřejmě povinnost informovat o incidentech úřad. 
Obě novely tedy rozšiřují účinnost ZoKB na další subjekty se všemi povinnostmi, které znamenají povinnost implementovat jednak:
  • Procesy řízení rizik
  • Procesy řízení informační bezpečnosti
  • Procesy řízení incidentů
  • Technologie podporující a doplňující výše uvedené procesy
V současné době pracuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na tvorbě dvou legislativních dokumentů. Prvním dokumentem je vyhláška o provozovatelích základních služeb, která bude obsahovat tzv. určující kritéria. A na vyhlášce o kybernetické bezpečnosti, kterou je nutné novelizovat v souvislosti se změnou zákona o kybernetické bezpečnosti.
 
[1] Celý název je „šílený“: Zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony
[2] Celý název není o nic méně „šílený“: Zákon č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony