AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AUTOCONTu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Dvě novely jednoho zákona, skoro najednou

Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB).

Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB). Takže v první řadě, o jaké zákony jde:
  1. Dne 1. července 2017 začal platit zákon č. 104/2017 Sb., Zákon, kterým se mění zákon č. 365/2000 Sb., o ISVS [1].
  2. Dne 1. srpna 2017 začal platit zákon č. 205/2017 Sb., Zákon, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti [2]
Co to tedy znamená? Zákon 181/2014 Sb., zákon o kybernetické bezpečnosti stále platí, ale prostřednictvím výše uvedených zákonů doznal níže uvedených změn.

 

Změny zavedené zákonem č. 104/2017 Sb.

Zásadní změny jsou:
  • § 2 dochází k definici provozovatele informačního nebo komunikačního systému, což znamená, že máme nově roli správce a nově roli provozovatele,
  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci,
  • § 6a je řešen vztah mezi provozovatelem a správcem, zejména pak předání systémů a dat provozovatelem, zpět správci,
  • § 8 říká, že povinnost za hlášení bezpečnostního incidentu má i nadále správce, nicméně tato povinnost je splněna, provede-li hlášení incidentu za správce provozovatel (ten má samozřejmě informovat o hlášení i správce),
  • § 15a hovoří o možnosti úřadu uložit provozovateli povinnost předat systém a data správci, pokud provozovatel nereagoval na žádost správce,
  • § 25 upravuje přestupky a výši pokut.
Zkráceně shrnuto ZoKB se tedy nevztahuje jen a pouze na správce informačního nebo komunikačního systému (to je ten, kdo určuje účel zpracování informací a podmínky provozování informačního nebo komunikačního systému), ale nově tedy i jeho provozovatel. Tím jsou tedy pod účinnost zahrnuti všichni poskytovatelé cloudových nebo outsourcingových služeb, a to se všemi důsledky.
 

Změny zavedené zákonem č. 205/2017 Sb.

Zásadní změny jsou:
  • § 2 dochází k zavedení pojmu základní služba, jejíž narušení by mělo významný dopad v níže uvedených odvětvích
    • energetika,
    • < >< >infrastruktura finančních trhů,
    • < >vodní hospodářství,
    • digitální infrastruktura,
    • chemický průmysl,
  • ve stejném paragrafu je stanoveno, že informačním systémem základní služby je informační systém, na jehož fungování je závislé poskytování základní služby,
  • stejný paragraf dále říká, že provozovatel základní služby je určen úřadem (Národním úřadem pro kybernetickou a informační bezpečnost)
  • § 3 jsou ukládány povinnosti v oblasti kybernetické bezpečnosti, a ty jsou uloženy jak provozovateli, tak správci informačního systému základní služby,
  • § 3a je řešeno ustanovení zástupce poskytovatele digitálních služeb v ČR,
  • § 4 jsou ukládány povinnosti zavést bezpečnostní opatření a mít odpovídající dokumentaci, a to je uloženo jak provozovateli, tak správci informačního systému základní služby, KII nebo VIS,
  • ve stejném paragrafu je pak stanoveno povinnost pro orgány veřejné moci mít bezpečnost smluvně ošetřenou s poskytovateli cloud computingu,
  • § 4 řeší povinnost jednotlivých subjektů se informovat o skutečnosti, že se jedná o informační systém základní služby, KII nebo VIS tak, aby mohly přijmout všechny subjekty odpovídající opatření,
  • § 7 hovoří o povinnosti detekovat kybernetické bezpečnostní události, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • § 8 hovoří o povinnosti informovat o bezpečnostním incidentu, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • § 13 hovoří o povinnosti informovat o úřad o zavedení reaktivních opatření, a tato povinnost se vztahuje i na správce či provozovatele informačního systému základní služby,
  • Další části a paragrafy zákona řeší zejména ustanovení CERTu a Národního úřadu pro kybernetickou a informační bezpečnost.
Opět malá zkratka a souhrn. Nově budou úřadem definovány informační systémy základních služeb a navíc i jejich provozovatelé. Tito budou mít povinnost systémy nejenom zabezpečit, ale budou mít i povinnost detekovat bezpečnostní události a samozřejmě povinnost informovat o incidentech úřad. 
Obě novely tedy rozšiřují účinnost ZoKB na další subjekty se všemi povinnostmi, které znamenají povinnost implementovat jednak:
  • Procesy řízení rizik
  • Procesy řízení informační bezpečnosti
  • Procesy řízení incidentů
  • Technologie podporující a doplňující výše uvedené procesy
V současné době pracuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na tvorbě dvou legislativních dokumentů. Prvním dokumentem je vyhláška o provozovatelích základních služeb, která bude obsahovat tzv. určující kritéria. A na vyhlášce o kybernetické bezpečnosti, kterou je nutné novelizovat v souvislosti se změnou zákona o kybernetické bezpečnosti.
 
[1] Celý název je „šílený“: Zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony
[2] Celý název není o nic méně „šílený“: Zákon č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony

Související články

Blog teaser image

Nástěnka ovcí


Už jste slyšeli o „nástěnce ovcí“ neboli Wall of Sheep? Ne? Možná by vás to mohlo také zajímat.

více

Blog teaser image

Co se to s námi stalo, přestali jsme se bát?


Volně navazuji na jeden z mých starších textů a znovu kladu otázku: „Nakolik reálně posuzujeme nebezpečí kolem nás?“ „Nakolik věříme tomu, že se nám nemůže nic stát?“.

více

Blog teaser image

Příběh ze života


Koukám do výsledku phishingového testu a lámu si hlavu s tím, proč jsme propadli - výsledek je nevalný :-(

více

Komentáře

Související články

Blog teaser image

Nástěnka ovcí


Už jste slyšeli o „nástěnce ovcí“ neboli Wall of Sheep? Ne? Možná by vás to mohlo také zajímat.

více

Blog teaser image

Co se to s námi stalo, přestali jsme se bát?


Volně navazuji na jeden z mých starších textů a znovu kladu otázku: „Nakolik reálně posuzujeme nebezpečí kolem nás?“ „Nakolik věříme tomu, že se nám nemůže nic stát?“.

více

Blog teaser image

Příběh ze života


Koukám do výsledku phishingového testu a lámu si hlavu s tím, proč jsme propadli - výsledek je nevalný :-(

více

Blog teaser image

Umělá inteligence


Na začátku září jsem se začetl do prognóz pro letošní a příští rok. Očekává se nástup umělé inteligence, máme se tedy bát?

více

Blog teaser image

Realita


Nakolik reálně posuzujeme nebezpečí kolem nás? Nakolik věříme tomu, že se nám nemůže nic stát?

více

Blog teaser image

Film Síť aneb jak to měla Angela Bennet jednoduché


Jeden z programů reprízoval nedávno film Síť, v hlavní roli se Sandrou Bullock. Lehká zábava obsahující drama, napětí, možná kousek krimi, ale přinášející také kousek ponaučení.

více

Article teaser image

Úspěšný projekt komplexní kybernetické bezpečnosti pro SUKL


AutoCont dodal pro Státní ústav pro kontrolu léčiv komplexní systém kybernetické bezpečnosti SIEM a zajišťuje i kontinuální dostupnost řešení včetně služeb Security Operation Center.

více

Blog teaser image

Platit či neplatit, to je otázka


Už pár let nám tady řádí taková ošklivá věc. Ransomware. A od prvního okamžiku, kdy se objevil, řešíme stále a pořád, platit či neplatit. A to je skutečně „hamletovská otázka“.

více

Article teaser image

Moderní nástroj pro efektivní biometrické podepisování


Řešení od AutoContu umožnilo získat společnosti GIENGER efektivní moderní nástroj pro biometrické podepisování na prodejně i v terénu.

více

Article teaser image

Ozvěny konference IT pro BYZNYS 2018


Videozáznamy názorů obchodního ředitele Microsoftu a IBM i dalších manažerů AutoContu na přínosy zpracovaných a vizualizovaných dat, rezerv ve využívání moderních IT technologií v českých organizacích a další témata.

více