Porovnání aktuálních a nových povinností v návrhu zákona o KB

12.6.202412.6.2024 Redakce ISVS.CZ Bezpečnost, KYBEZ, NÚKIB

KYBEZ: Porovnání aktuálních a nových povinností v návrhu zákona o kybernetické bezpečnosti

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil nový návrh zákona o kybernetické bezpečnosti, který přináší řadu změn a nových povinností pro subjekty v České republice.

Tento článek se zaměřuje na porovnání aktuálního stavu s navrhovanými změnami.

Současný stav

Povinnosti dle zákona č. 181/2014 Sb.:

Identifikace regulovaných služeb: Kritéria pro identifikaci jsou definována zákonem a vyhláškami.
Řízení aktiv: Povinnost řídit aktiva platí pouze pro poskytovatele v režimu vyšších povinností.
Bezpečnostní opatření: Stanovena minimální bezpečnostní opatření pro různé sektory, avšak nejsou dostatečně rozšířena na digitální infrastrukturu.
Stav kybernetického nebezpečí: Doba trvání je omezená a podmínky pro vyhlášení jsou relativně komplikované.
Prověřování dodavatelských řetězců: V současnosti není detailně upraveno.

Nový návrh zákona (nZkB)

Rozšíření kritérií pro identifikaci regulovaných služeb:

Definice odvětví a velikosti podniku: Nově odkazuje na stávající dokumenty EU, které definují odvětví, ve kterém je služba provozována, a velikost podniku jakožto poskytovatele regulované služby.
Význam služby pro zabezpečení důležitých společenských nebo ekonomických činností: Návrh nZkB nyní přímo zmiňuje i tento aspekt.

Řízení aktiv pro poskytovatele v režimu nižších povinností:

Nová povinnost: Řízení aktiv bylo přidáno i pro poskytovatele regulovaných služeb v režimu nižších povinností, což posiluje celkovou úroveň kybernetické bezpečnosti.

Bezpečnostní opatření pro digitální infrastrukturu:

Rozšířená sekce: Přibylo více služeb do tohoto odvětví a definována minimální bezpečnostní opatření dle legislativy EU.
Nahlašovací povinnost: Poskytovatelé těchto služeb musí hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem.

Stav kybernetického nebezpečí:

Zjednodušení podmínek: Pro vyhlášení stavu kybernetického nebezpečí byly podmínky zjednodušeny a doba trvání prodloužena na 60 dní, s možností dalšího prodloužení skrze nouzový stav.
Nová opatření: Ředitel NÚKIB může nařídit pracovní pohotovost konkrétním zaměstnancům a pověřit média k uveřejnění informací o stavu kybernetického nebezpečí.

Prověřování dodavatelských řetězců:

Detailní úprava: Nový zákon zahrnuje mechanismus pro prověřování dodavatelských řetězců, což je klíčové zejména pro kritickou infrastrukturu.
Bezpečnost

Vyhlášky o bezpečnostních opatřeních

Technická a organizační bezpečnostní opatření
Stanovení významnosti dopadu kybernetického bezpečnostního incidentu
Podrobnosti k likvidaci dat

Kritika a reakce

Kritika současného návrhu:

Prováděcí předpisy: Kritika směřuje k tomu, že mnoho povinností je zakotveno v prováděcích vyhláškách, nikoliv přímo v zákoně. To bylo jedním z důvodů, proč Legislativní rada vlády návrh vrátila k přepracování.
Prověřování dodavatelských řetězců: Tento bod zůstává kontroverzní, s kritikou, že jde nad rámec požadavků směrnice NIS2.

Reakce NÚKIB:

Zapracování připomínek: NÚKIB zapracoval připomínky obdržené během veřejných konzultací a připomínkového řízení.
Důraz na bezpečnost: NÚKIB zdůrazňuje, že nové právní úpravy jsou nezbytné pro posílení kybernetické bezpečnosti a ochranu kritické infrastruktury (NUKIB).

Závěr

Nový návrh zákona o kybernetické bezpečnosti přináší významné změny a rozšířené povinnosti pro regulované subjekty. I přes kritiku a nutnost přepracování některých částí návrhu je zřejmé, že cílem je zvýšit úroveň kybernetické bezpečnosti v České republice.