Jaké povinnosti vyplývají pro orgány veřejné moci ze zákona o kybernetické bezpečnosti?
autor: prof. Ing. Vladimír Smejkal, CSc., LL.M.
V prvé řadě by se měl každý orgán veřejné moci, resp. organizační složka státu, seznámit s existující legislativou: zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (ZKB), prováděcími předpisy k tomuto zákonu (zejm. vyhláškou č. 316/2014 Sb., o kybernetické bezpečnosti) a uvědomit si kontext kybernetické bezpečnosti ve vztahu ke krizovému zákonu, zákonu č. 240/2000 Sb., o krizovém řízení, a k nařízení č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, které bylo v souvislosti s přijetím ZKB novelizováno nařízením vlády č. 315/2014 Sb.
Měl by v součinnosti s Národním bezpečnostním úřadem zjistit, zda je správcem některého z prvků nebo systémů kritické infrastruktury - informačního nebo komunikačního systému, případně zda je správcem tzv. významného informačního systému podle ZKB - viz vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích.
Podle toho, zda je některým subjektem výše uvedeným, jsou mu stanoveny povinnosti v ust. § 4, § 7, § 8, § 11, § 14a § 16 ZKB. Zřejmě nejdůležitějšími jsou povinnosti:
- zavést a provádět bezpečnostní opatření,
- zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatelů,
- detekovat a hlásit kybernetické bezpečnostní události,
- provádět reaktivní a ochranná opatření za stavu kybernetického nebezpečí nebo za nouzového stavu,
- oznamovat kontaktní údaje a jejich změny.
Povinnost provozovat informační systémy jako bezpečné se nicméně vztahuje bez ohledu na ZKB na všechny informační systémy provozované orgány veřejné moci. Vyplývá to totiž ze zákona č. 365/2000 Sb., o informačních systémech veřejné správy.
Rostoucí význam zajištění bezpečnosti, zejména pak ochrany integrity a dostupnosti informací je dnes jedním z klíčových úkolů pro stát, jeho orgány a organizační složky, jakož i kraje, města a obce, ale i pro soukromoprávní subjekty, které představují významné prvky v rámci kritické infrastruktury.
Diskuze k článku ()