Státy ji musí implementovat do 9. května 2018. Česká republika to zvládne o rok dřív. V kybernetické bezpečnosti má totiž náskok.
O tom, co novela zákona přinese a proč, jsme si popovídali s Dušanem Navrátilem, někdejším ředitelem Národního bezpečnostního úřadu a nyní vládním zmocněncem pro oblast kybernetické bezpečnosti.
Je skutečně nutné řešit kybernetickou bezpečnost soukromých subjektů formou zavádění zákonných povinností?
V České republice jsme si tuto otázku položili už v roce 2011. Tehdy již v ČR existovala iniciativa na zvyšování kybernetické bezpečnosti, a to od komerčních subjektů. Mělo ji na starosti sdružení CZ.NIC, které už od 16. prosince 2010 na základě memoranda s ministerstvem vnitra provozoval Národní CSIRT (Computer Security Incident Response Team). Před ním tuto problematiku od roku 2008 řešilo sdružení vysokých škol a Akademie věd ČR CESNET. Česká republika tedy v této otázce byla vždy hodně napřed.
V roce 2011 jsme nicméně začali vnímat, že problematika kybernetické bezpečnosti není problém jen akademické sféry či soukromého sektoru. Informační systémy začaly čím dál víc ovlivňovat i chod státu (1. 7. 2012 měl být například spuštěn Informační systém základních registrů) a stát na nich začínal být závislý, a to nejen v kontextu jednotlivých úřadů, ale i kritické infrastruktury, za kterou má stát zodpovědnost. Proto jsme se touto otázkou začali intenzivně zabývat.
Svou představu o tom, jak tuto problematiku řešit, jsme coby NBÚ předložili vládě, která svým usnesením č. 781/2011 mimo jiné nařídila vznik jako součásti NBÚ. Tomu uložila vytvoření Strategie pro oblast kybernetické bezpečnosti ČR na období let 2011 až 2015 a předložení návrhu zákona o kybernetické bezpečnosti.
Jak bude probíhat implementace novely kybernetického zákona?
Až novela zákona nabude účinnosti, což by s přihlédnutím k průběhu legislativního procesu mohlo být někdy během května letošního roku, budou mít dotčené subjekty rok na to, aby nová opatření uvedly v praxi. Faktem je, že zákon o kybernetické bezpečnosti nebude pro dotčené subjekty až tak těžké naplnit. Jeho znění do značné míry vychází z řady norem ISO/IEC 27000 o managementu bezpečnosti informací, kterou dotčené subjekty už většinou splňují. Jde ale o to, aby ji splňovaly nejen formálně, ale i věcně v praxi.
Po uplynutí roční lhůty totiž máme právo zkontrolovat, zda bylo vše nařízené zákonem implementováno, a plánujeme to také dělat. Budeme však zpočátku postupovat obdobně jako v případě implementace první verze zákona o kybernetické bezpečnosti. Půjde tedy spíše o metodické vedení subjektů k tomu, jak zjednat nápravu případných nedostatků a jak zajistit faktickou kybernetickou bezpečnost systémů. Zkrátka jde nám o to, aby ty subjekty měly své systémy zabezpečené, ne o to, abychom jim dávali pokuty. Nechceme být drábem, co se bude bavit jen o pokutách. Spíš se chceme domlouvat, komunikovat, metodicky vést.
Co přinese tato novela občanům ČR?
Občanům novela kybernetického zákona přinese právě onu kybernetickou bezpečnost. Zlepší se zabezpečení jejich lékařských záznamů v nemocnicích a zvýší se kybernetická bezpečnost systémů klíčových pro elektronické obchodování. Od toho si ostatně eurokomisařka (vysoká představitelka Evropské unie pro zahraniční věci a bezpečnostní politiku a místopředsedkyně Evropské komise Federica Mogheriniová, pozn. red.) slibuje i zvýšení konkurenceschopnosti evropských zemí.
Celý článek si můžete přečíst níže (zdroj).
Zdroj:
