Počátky
Počátky vzniku kybernetického zákona v ČR sahají do roku 2011, kdy vláda definovala strategii pro oblast kybernetické bezpečnosti české republiky na období 2012 – 2015. [1] jednalo se o předchůdce zákona o kybernetické bezpečnosti. protože v tehdejší době nebyla instituce odpovědná za danou oblast, bylo dne 19. října 2011 usnesením č. 781 oznámeno[2], že gestorem pro danou problematiku bude Národní Bezpečnostní Úřad (NBÚ). Stejným usnesením byla zřízena rada pro kybernetickou bezpečnost a byl schválen vznik Národního Centra Kybernetické Bezpečnosti (NCKB).
Logickým krokem poté bylo provést konsolidaci znalostí a tím vznikl Zákon č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), který nám představuje klíčový legislativní rámec pro zajištění kybernetické bezpečnosti v České republice. Tento zákon a jeho první verze vstoupila v účinnost 1. ledna 2015. Zákon prošel několika drobnými aktualizacemi, kde nejvýznamnější novelizace jsou:
- Vznik Národní úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a to dne 1. srpna 2017 na základě zákona číslo 205/2017 Sb., kterým se změnil na zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti).[3]
- Transpozice evropské směrnice NIS do české legislativy.
- Transpozice evropské směrnice NIS2 do české legislativy (též nazýváno jako nový zákon o kybernetické bezpečnosti.[4] a jeho schválení proběhlo dne 17. července 2024.
Struktura první části ZKB v českém právním prostředí
Pojďme se podívat na strukturu první části první hlavy zákona a jednotlivých rolích, které přináší. Pro jednoduchost to shrňme do přehledné tabulky.
Číslo hlavy | Paragraf | Název | Obsah a podstata |
HLAVA I | § 1 | Předmět úpravy | Tento paragraf definuje účel zákona, zaměřuje se na práva a povinnosti subjektů v oblasti kybernetické bezpečnosti a působnost orgánů veřejné moci. |
HLAVA I | § 2 | Vymezení pojmů | Definuje klíčové pojmy, jako je kybernetický prostor, kritická informační infrastruktura, bezpečnost informací a další základní termíny. |
HLAVA II | § 3 | Orgány a osoby, kterým se ukládají povinnosti | Stanoví subjekty, které mají povinnosti v oblasti kybernetické bezpečnosti (např. poskytovatelé služeb, správci kritické infrastruktury). |
HLAVA II | § 3a | Zástupce poskytovatele digitálních služeb | Upravuje povinnost poskytovatelů digitálních služeb, kteří nemají sídlo v EU, ustanovit zástupce v ČR pro plnění povinností podle zákona. |
HLAVA II | § 4 | Bezpečnostní opatření | Definuje souhrn opatření k zajištění bezpečnosti informačních systémů a služeb elektronických komunikací, včetně organizačních a technických opatření. |
HLAVA II | § 4a | Opatření bezpečnostní politiky | Upravuje povinnost informovat o bezpečnostních opatřeních mezi správci a provozovateli kritických informačních systémů. |
HLAVA II | § 5 | Organizační a technická opatření | Stanoví specifické organizační a technické požadavky na bezpečnostní opatření (např. šifrování, kontrola přístupu). |
HLAVA II | § 6 | Prováděcí právní předpis | Určuje, jaký obsah mají mít bezpečnostní opatření, struktura bezpečnostní dokumentace a další technické detaily. |
HLAVA II | § 6a | Pověření provozovatelů kritických systémů | Stanoví pravidla pro předávání provozních údajů mezi správci a provozovateli kritických systémů. |
HLAVA III | § 7 | Kybernetická bezpečnostní událost a incident | Definuje rozdíl mezi kybernetickou bezpečnostní událostí a incidentem, stanoví povinnost jejich detekce a hlášení. |
HLAVA III | § 8 | Hlášení kybernetického bezpečnostního incidentu | Určuje povinnost hlášení kybernetických incidentů a výjimek, kdy je nutné je hlásit bez zbytečného odkladu. |
HLAVA III | § 9 | Evidence kybernetických bezpečnostních incidentů | Popisuje evidenci incidentů, kterou vede Úřad, a poskytování informací orgánům veřejné moci. |
HLAVA III | § 10 | Mlčenlivost zaměstnanců Úřadu | Definuje povinnost mlčenlivosti pro zaměstnance Úřadu, kteří se podílejí na řešení incidentů. |
HLAVA IV | § 11 | Opatření k ochraně systémů a služeb | Definuje opatření k ochraně informačních systémů před kybernetickými hrozbami nebo incidenty, včetně varování a reaktivních opatření. |
HLAVA IV | § 12 | Varování | Upravuje podmínky a povinnosti při vydávání varování o hrozbách v oblasti kybernetické bezpečnosti. |
HLAVA IV | § 13 | Reaktivní opatření | Popisuje postupy a povinnosti při vyhlášení reaktivních opatření, která se mají provést za účelem ochrany před incidenty. |
HLAVA IV | § 14 | Ochranné opatření | Upravuje vydávání opatření pro zvýšení ochrany kritických informačních systémů. |
HLAVA IV | § 15 | Opatření obecné povahy | Upravuje vydávání opatření obecné povahy, které mají chránit kybernetickou bezpečnost. |
HLAVA IV | § 15a | Úřad a povinnosti k řešení kybernetických incidentů | Stanoví pravidla pro řešení kybernetických incidentů a povinnosti správců a provozovatelů systémů vůči Úřadu. |
HLAVA V | § 16 | Kontaktní údaje | Stanoví povinnost oznamovat a aktualizovat kontaktní údaje subjektů, které mají povinnosti podle zákona. |
HLAVA V | § 17 | Národní CERT | Definuje úkoly a povinnosti Národního CERT v oblasti kybernetické bezpečnosti, včetně příjmu hlášení incidentů a poskytování podpory. |
HLAVA V | § 18 | Provozovatel Národního CERT | Upravuje podmínky pro provozování Národního CERT a podmínky pro jeho výběr. |
HLAVA VI | § 19 | Veřejnoprávní smlouva | Definuje podmínky pro uzavírání veřejnoprávních smluv mezi Úřadem a provozovatelem Národního CERT. |
HLAVA VI | § 20 | Vládní CERT | Popisuje úkoly Vládního CERT v oblasti kybernetické bezpečnosti. |
HLAVA VII | § 21 | Stav kybernetického nebezpečí | Stanoví podmínky pro vyhlášení stavu kybernetického nebezpečí, jeho trvání a postupy při jeho řešení. |
HLAVA VII | § 22 | Úřad a jeho pravomoci | Upravuje činnosti Úřadu, včetně jeho odpovědnosti za řízení kybernetické bezpečnosti, vydávání bezpečnostních opatření a zajištění mezinárodní spolupráce. |
HLAVA VII | § 22a | Určení provozovatele základní služby | Upravuje kritéria pro určení provozovatelů základních služeb, jejich zodpovědnosti a pravidla pro jejich určení. |
HLAVA VII | § 22b | Autorizace subjektů posuzování shody | Stanoví pravidla pro autorizaci subjektů posuzování shody v oblasti kybernetické bezpečnosti. |
HLAVA VIII | § 23 | Kontrola | Popisuje kontrolní pravomoci Úřadu v oblasti kybernetické bezpečnosti, včetně zjišťování plnění povinností. |
HLAVA VIII | § 24 | Nápravná opatření | Stanoví postupy při zjištění nedostatků a povinností pro jejich nápravu. |
HLAVA IX | § 25 | Přestupky | Definuje přestupky a sankce za nedodržení povinností stanovených zákonem. |
HLAVA X | § 28 | Zmocňovací ustanovení | Stanoví oprávnění pro Úřad a Ministerstvo vnitra k vydávání vyhlášek a prováděcích právních předpisů. |
HLAVA XI | § 29 | Přechodná ustanovení | Upravuje přechodná ustanovení pro splnění povinností podle nového zákona. |
HLAVA XI | § 33 | Společná ustanovení | Upravuje specifika vztahu zákona k některým informačním systémům a poskytovatelům digitálních služeb. |
