Novela zákona o kybernetické bezpečnosti v časech nejen „kyberneticky“ bouřlivých

Dne 9. 5. 2017 byla Poslaneckou sněmovnou po svém schválení ve 3. čtení postoupena do Senátu novela zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „Zákon“), označována také jako Sněmovní tisk č. 984. Jejím cílem je zdokonalit aktuální, poměrně komplexní úpravu kybernetické bezpečnosti v České republice provedenou Zákonem a současně naplnit požadavky vyplývající z evropské úpravy v tomto odvětví. Mezi evropskými předpisy má v tuto chvíli zásadní význam „nejnovější“ směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o patřeních k zajištění vysoké společné úrovně bezpečností sítí a informačních systémů v Unii (dále jen „Směrnice NIS“), kterou řešená novela Zákona de facto provádí.

Novela nepřichází se zásadní změnou principů[1], na kterých je Zákon konstruován, ale za účelem zvýšení rozsahu zajištění kybernetické bezpečnosti a posílení bezpečnosti informačních systémů (v souladu se Směrnicí NIS) tyto principy aplikuje i na nově regulované skupiny orgánů a osob (typicky např. nemocnice, které dosud propadaly sítem vymezení prvků kritické infrastruktury a subjektů spadajících pod režim Zákona, správce a provozovatele informačních systémů v energetice či dopravě a další). Těmto subjektům je nadále ponechána poměrně široká volnost ve způsobech, jakými dosáhnou naplnění požadavků Zákona, který proto stanovuje pouze základní povinnosti a standardy bezpečnostních parametrů (jedná se tedy o tzv. „performance based“ pravidla). Konkrétní organizační a technické postupy jednotlivých subjektů včetně školení zaměstnanců, interních kontrol atd. tedy navrhovaná úprava ponechává na uvážení povinných orgánů a osob (individualita řešení zvolených těmito subjekty má směřovat k vyšší efektivitě a funkčnosti výsledného zabezpečení, neboť „kdo ví lépe, jak zabezpečit vlastní systém, než subjekt sám“). Nadále tak lze říci, že Zákon se soustřeďuje spíše na ochranu „prostředí“ jako celku, nikoli na maximální individuální postih původců škodlivého jednání (a z něho vyplývající represivně – preventivní funkci).                 

Vedle rozšíření okruhu povinných subjektů spadajících do režimu Zákona také novela počítá s dobrovolným zapojením řady subjektů provozujících informační systémy do národního systému kybernetické bezpečnosti. Národní systém kybernetické bezpečnosti je již nyní provozován na úrovni tzv. národního CERT (CSIRT.CZ) a vládního CERT (GovCERT.CZ – vládní koordinační místo pro okamžitou reakci na kybernetické bezpečnostní incidenty, které dosud spadalo pod NBÚ). Výhodou pro subjekty, které se do systému dobrovolně zapojí (a praxe posledních let tuto domněnku potvrzuje), by měla být možnost vzájemně sdílet poznatky o hrozbách v kybernetické bezpečnosti a v důsledku toho účinnější obrana vlastní infrastruktury pod metodickým působením národního dohledového pracoviště. Je zřejmé, že řada podnikatelských i akademických a neziskových subjektů má o takovou formu spolupráce zájem, a již za současného stavu se jí snaží využívat.

Co do věcného rozsahu novely nutno uvést, že regulace nepředpokládá aplikaci Zákona vůči všem informačním systémům, ale vztahuje se pouze na ty z nich (a jejich provozovatele a další subjekty), na nichž je závislé poskytování tzv. základních nebo digitálních služeb (tj. systémy stanoveného společenského významu, jejichž ochrana má zásadní význam pro ochranu práv na informační sebeurčení a nedistributivních informačních práv státu). Zatímco vymezení digitálních služeb v rámci novely de facto kopíruje Směrnici NIS, v případě základní služby je nutné upozornit na odlišnost významu tohoto pojmu v rámci novely Zákona a uvedené směrnice. Vymezení základní služby v rámci Směrnice NIS je totiž bezesporu širší, když lze velmi zjednodušeně říci, že základní služba v rámci Směrnice NIS představuje jakoukoli službu (samu o sobě nezávislou na ICT), jejíž provozovatel je závislý na ICT, které podléhá režimu Zákona. Novela Zákona naproti tomu za základní službu považuje pouze takovou službu, která je sama o sobě závislá na ICT.

Na závěr je v souvislosti s předmětnou novelou Zákona také třeba zmínit již přijaté politické rozhodnutí o zřízení Národního úřadu pro kybernetickou a informační bezpečnost se sídlem v Brně, na který bude přenesena i část dosavadní působnosti NBÚ v oblasti kybernetické bezpečnosti. Vládním zmocněncem pro tuto oblast, pověřeným založením úřadu, byl určen Dušan Navrátil, který dosud stál právě v čele NBÚ.

[1] Zejména principy ochrany informačního sebeurčení člověka a nedistributivních práv, princip technologické neutrality, minimalizace státního donucení a autonomie vůle regulovaných subjektů.