AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Dvě novely jednoho zákona, skoro najednou

Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB).

Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB). Takže v první řadě, o jaké zákony jde:
  1. Dne 1. července 2017 začal platit zákon č. 104/2017 Sb., Zákon, kterým se mění zákon č. 365/2000 Sb., o ISVS [1].
  2. Dne 1. srpna 2017 začal platit zákon č. 205/2017 Sb., Zákon, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti [2]
Co to tedy znamená? Zákon 181/2014 Sb., zákon o kybernetické bezpečnosti stále platí, ale prostřednictvím výše uvedených zákonů doznal níže uvedených změn.

 

Změny zavedené zákonem č. 104/2017 Sb.

Zásadní změny jsou:
  • § 2 dochází k definici provozovatele informačního nebo komunikačního systému, což znamená, že máme nově roli správce a nově roli provozovatele,
  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci,
  • § 6a je řešen vztah mezi provozovatelem a správcem, zejména pak předání systémů a dat provozovatelem, zpět správci,
  • § 8 říká, že povinnost za hlášení bezpečnostního incidentu má i nadále správce, nicméně tato povinnost je splněna, provede-li hlášení incidentu za správce provozovatel (ten má samozřejmě informovat o hlášení i správce),
  • § 15a hovoří o možnosti úřadu uložit provozovateli povinnost předat systém a data správci, pokud provozovatel nereagoval na žádost správce,
  • § 25 upravuje přestupky a výši pokut.
Zkráceně shrnuto ZoKB se tedy nevztahuje jen a pouze na správce informačního nebo komunikačního systému (to je ten, kdo určuje účel zpracování informací a podmínky provozování informačního nebo komunikačního systému), ale nově tedy i jeho provozovatel. Tím jsou tedy pod účinnost zahrnuti všichni poskytovatelé cloudových nebo outsourcingových služeb, a to se všemi důsledky.
 

Změny zavedené zákonem č. 205/2017 Sb.

Zásadní změny jsou:
  • § 2 dochází k zavedení pojmu základní služba, jejíž narušení by mělo významný dopad v níže uvedených odvětvích
    • energetika,
    • < >< >infrastruktura finančních trhů,
    • < >vodní hospodářství,
    • digitální infrastruktura,
    • chemický průmysl,
  • ve stejném paragrafu je stanoveno, že informačním systémem základní služby je informační systém, na jehož fungování je závislé poskytování základní služby,
  • stejný paragraf dále říká, že provozovatel základní služby je určen úřadem (Národním úřadem pro kybernetickou a informační bezpečnost)
  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci informačního systému základní služby,
  • § 3a je řešeno ustanovení zástupce poskytovatele digitálních služeb v ČR,
  • § 4 jsou ukládány povinnosti zavést bezpečnostní opatření a mít odpovídající dokumentaci, a to je uloženo jak provozovateli, tak správci informačního systému základní služby, KII nebo VIS,
  • ve stejném paragrafu je pak stanoveno povinnost pro orgány veřejné moci mít bezpečnost smluvně ošetřenou s poskytovateli cloud computingu,
  • § 4 řeší povinnost jednotlivých subjektů se informovat o skutečnosti, že se jedná o informační systém základní služby, KII nebo VIS tak, aby mohly přijmout všechny subjekty odpovídající opatření,
  • § 7 hovoří o povinnosti detekovat kybernetické bezpečnostní události, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • § 8 hovoří o povinnosti informovat o bezpečnostním incidentu, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • § 13 hovoří o povinnosti informovat o úřad o zavedení reaktivních opatření, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • Další části a paragrafy zákona řeší zejména ustanovení CERTu a Národního úřadu pro kybernetickou a informační bezpečnost.
Opět malá zkratka a souhrn. Nově budou úřadem definovány informační systémy základních služeb a navíc i jejich provozovatelé. Tito budou mít povinnost systémy nejenom zabezpečit, ale budou mít i povinnost detekovat bezpečnostní události a samozřejmě povinnost informovat o incidentech úřad. 
Obě novely tedy rozšiřují účinnost ZoKB na další subjekty se všemi povinnostmi, které znamenají povinnost implementovat jednak:
  • Procesy řízení rizik
  • Procesy řízení informační bezpečnosti
  • Procesy řízení incidentů
  • Technologie podporující a doplňující výše uvedené procesy
V současné době pracuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na tvorbě dvou legislativních dokumentů. Prvním dokumentem je vyhláška o provozovatelích základních služeb, která bude obsahovat tzv. určující kritéria. A na vyhlášce o kybernetické bezpečnosti, kterou je nutné novelizovat v souvislosti se změnou zákona o kybernetické bezpečnosti.
 
[1] Celý název je „šílený“: Zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony
[2] Celý název není o nic méně „šílený“: Zákon č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony

Související články

Article teaser image

Zrychlete transformaci svého IT


Specialisté AutoContu, Titanium partnera společnosti Dell EMC, vybrali z aktuálně velmi širokého portfolia to nejužitečnější pro české zákazníky. Inspirujte se na informačním portálu.

více

Article teaser image

TechFórum 2017 rozhovory a názory


Rádi bychom se ohlédli za zákaznickou konferencí AutoCont TechForum 2017 a podělili se o názory, které nám k IT trendům i kybernetické bezpečnosti poskytli řečníci z dopolední části akce.

více

Blog teaser image

GDPR kam se podíváš


Firmy a organizace se probouzejí a začínají uvažovat o řešení GDPR. Přestože se o GDPR rozhodlo již vloni, pro mnohé se objevil tak náhle, jako grónský ledovec před přídí Titanicu. A na mnohé stejně tak působí.

více

Komentáře

Související články

Article teaser image

Zrychlete transformaci svého IT


Specialisté AutoContu, Titanium partnera společnosti Dell EMC, vybrali z aktuálně velmi širokého portfolia to nejužitečnější pro české zákazníky. Inspirujte se na informačním portálu.

více

Article teaser image

TechFórum 2017 rozhovory a názory


Rádi bychom se ohlédli za zákaznickou konferencí AutoCont TechForum 2017 a podělili se o názory, které nám k IT trendům i kybernetické bezpečnosti poskytli řečníci z dopolední části akce.

více

Blog teaser image

GDPR kam se podíváš


Firmy a organizace se probouzejí a začínají uvažovat o řešení GDPR. Přestože se o GDPR rozhodlo již vloni, pro mnohé se objevil tak náhle, jako grónský ledovec před přídí Titanicu. A na mnohé stejně tak působí.

více

Blog teaser image

Vše je jinak!


S hesly je to úplně jinak. Autor normy NIST a mnoha Best Practice změnil názor a lituje.

více

Blog teaser image

Máme nebo nemáme čas?


Ještě máme čas. Nás se to vůbec netýká. To je věc ajťáků. GDPR.

více

Article teaser image

Silná a citlivá důvěrnice NINA


Firemní data patří k tomu nejcennějšímu, a proto je třeba neustále dbát na jejich zabezpečení. Zaměstnanci dnes navíc firemní dokumenty a informace sdílí i aktualizují na portálech a dalších interních nebo cloudových úložištích.

více

Blog teaser image

Můj spodní šuplík a GDPR


Pro mnohé je GDPR strašák, pro mnohé znamená další penzum práce. GDPR by nás všechny mělo především chránit (všichni jsme subjekty osobních údajů :-)). A jak to u zákonů a norem bývá, občas takové „širokospektrální antibiotikum“ zabije i ty „dobré“ mikroorganismy. Pokusme se však najít na GDPR i něco pozitivního z pohledu každé organizace a firmy.

více

Article teaser image

Řízení identit je velké téma budoucnosti


Kdopak jsi? Jedna z prvních otázek, kterou jste v životě dostali. A od té chvíle vás provází celý život. Představujete se potenciálním partnerům na rande i obchodním partnerům na byznys schůzkách.

více

Blog teaser image

Jsme skutečně připraveni?


WannaCry udeřil nebývalou mediální silou, kterou bych si troufal přirovnat k viru Michelangelo.

více

Article teaser image

Hlavním tématem IT pro Byznys byla digitální transformace


Koncem května se v pražském hotelu Pyramida konal druhý ročník konference IT pro Byznys, pořádané společností AutoCont. Hlavním tématem konference byly informační systémy, aplikační řešení a bezpečnost v době digitální transformace.

více