Zákon o kybernetické bezpečnosti 181/2014 Sb. vešel v platnost v lednu 2015. Podřídit se mu musí nejen státní ale i soukromé organizace. Jeho primárním cílem je zvýšit bezpečnost kritické infrastruktury státu a významných informačních systémů, spravujících osobní údaje velkého množství lidí.
Staňte se naším fanouškem na Facebooku a neunikne Vám žádná novinka na portále ProByznys.info
"Obecně lze říct, že cílem zákona je především stanovit základní úroveň bezpečnostních opatření, zlepšit detekci kybernetických bezpečnostních incidentů, zavést hlášení kybernetických bezpečnostních incidentů, zavést systém opatření k reakci na kybernetické bezpečnostní incidenty a upravit činnost dohledových pracovišť," popisuje Radek Holý z Národního bezpečnostního úřadu (NBÚ).
Koho se povinnosti dotýkají
"Vymezení personální působnosti považuji za jeden z nejproblematičtějších aspektů zákona. Zákon povinné osoby nepřímo rozděluje na dvě hlavní skupiny, přičemž jedna z nich je dotčena pouze částečně a má povinnosti pouze v případě incidentů, a na druhou z nich dopadají povinnosti v plné míře i mimo případy incidentů," uvádí Petr Mališ, právník z advokátní kanceláře Jansa, Mokrý, Otevřel & partneři.
Tato skupina osob zahrnuje primárně osoby veřejného práva, například významné informační systémy státní správy, které jsou taxativně vyjmenovány prováděcí vyhláškou. Příkladem může být třeba informační systém katastru nemovitostí. "I do skupiny správců kritických informačních systémů mohou spadat soukromé osoby, které však splňují poměrně náročná a těžko vysvětlitelná průřezová a odvětvová kritéria, pro představu se může jednat například o provozovatele letišť, plynárny, ČEZ. Většina soukromých osob dotčených kybernetickým zákonem však bude v první, méně dotčené skupině povinných osob," dodává advokát.
Pokud by majitelům firem nebylo zřejmé, do které skupiny spadají, Národní centrum kybernetické bezpečnosti (NCKB) zveřejnilo na svých stránkách metodickou pomůcku, pomocí níž si mohou na tuto otázku odpovědět. Oba návodové dokumenty přikládáme pro ilustraci dole k článku.
Manažer bezpečnosti
Zákon mimo jiné nařizuje firmám vytvoření tří nových rolí – manažera, architekta a auditora kybernetické bezpečnosti. Ti všichni musí mít odpovídající praxi, což nemusí být vždy lehké na tuzemském pracovním trhu splnitelné. Kritéria ale nejsou přehnaně tvrdá.
"Kvalifikační požadavky nejsou nijak drakonické, de facto je požadována tříletá praxe v řízení bezpečnosti. Jedná se o roli, která má sloužit jako pojítko mezi nejvyšším vedením organizace a mezi operativní úrovni řízení. Je to role, která přenáší vize a záměry vedení na operativní úroveň. Například nejvyšší vedení chce mít ochranu před viry, což znamená, že manažer vydá pokyn k vhodné implementaci antivirového řešení a stanoví odpovídající politiku ochrany před škodlivým kódem," říká Luděk Mandok, ICT konzultant AutoCont CZ.
- První 2 měsíce za 40 Kč/měsíc, poté za 199 Kč měsíčně
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Všechny články v audioverzi + playlist
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.