Jaké povinnosti vyplývají pro orgány veřejné moci ze zákona o kybernetické bezpečnosti? - I.
Dnes Vám budu povídat o zákonu o kybernetické bezpečnosti. Jako obvykle, jak se tomu u nás stává, zákon o kybernetické bezpečnosti nabyl účinnosti 1. ledna 2015 a prováděcí předpisy k němu byly vydány někdy mezi Mikulášem a Štědrým dnem 2014, což nebylo úplně ideální. Některé záležitosti se řeší doposud, zejména určování tzv. významných informačních systémů.
Pravdou je, že tento zákon je reakcí na nové hrozby v kybernetickém prostoru, z čehož rovněž vznikají nové povinnosti a odpovědnosti, i v kontextu nabytí účinnosti nového občanského zákoníku. Máme zde totiž řadu konstrukcí, z nichž je generována například objektivní odpovědnost nebo povinnost k náhradě škody, je mezi nimi tedy patrné propojení.
Potřebujeme zákon o kybernetické bezpečnosti?
Zákon o kybernetické bezpečnosti má za cíl stanovit podmínky spolupráce mezi soukromým sektorem a veřejnou správou, těžištěm je ale obrana před kybernetickými bezpečnostními incidenty. Obrana však může být vybudována pouze tak, budou-li nastaveny nějaké povinnosti, oprávnění, a podle zákona se bude vyhlašovat také stav určitého nebezpečí. Je to asi již rok nebo dva, kdy útočníci zaútočili v ČR nejdříve na servery sdělovacích prostředků, potom bank a ve výsledku je přetížili natolik, že tyto servery spadly a lidé se pak nemohli dostat například do svého internetového bankovnictví. Právě proti takovýmto útokům by měly být vytvořeny organizační struktury či postupy, které umožní se ubránit.
Zeptejme se tedy: Potřebujeme takový zákon nebo je to pouze jeden z mnoha zákonů, kterými zejména levicové vlády „zaplevelují“ prostor veřejný i soukromý v tomto státě? Zde musím objektivně říci, že ano, že jej potřebujeme. Na konferenci Právní prostor 2015 jsme uvedli hlavní původce kybernetické kriminality. Jedná se vcelku o čtyři zdroje: cizí státy, které organizují kybernetické útoky, teroristé, ale také vaši zaměstnanci a organizovaný zločin. Tyto čtyři okruhy osob mohou mít motivaci a dnes i prostředky k tomu, aby zaútočili na vaši organizaci, její informační systém, data, která tam máte uložena, případně na osoby, o jejichž údajích se právě z Vašeho informačního systému dozví. Každý z těchto typických útočníků může mít jinou motivaci, někdo se bude chtít pomstít svému zaměstnavateli, někdo způsobit chaos, někdo za účelem následného vydírání. Podstatné ale je, že tyto hrozby nepochybně existují.
Oblasti ohrožení
V podstatě existují tři hlavní oblasti ohrožení: prvními jsou technologické řídicí systémy. Dnes se nebudeme příliš zabývat tím, když někdo shodí webovou stránku. Tyto útoky jsou poměrně běžné a ostatně při některých typech útoků jim ani nelze dopředu zabránit. Avšak v momentě, kdy útočník začne pacientům na jednotce intenzivní péče zavírat kyslík, je to přeci jen vážnější záležitost. Podobně jako zásah do řízení metra, řízení letového provozu atd.
Je tu i tzv. plíživé nebezpečí, o němž se v současné době velmi hovoří, v němž je možno vidět komerční, obchodní využití, a tím je heslo „internet věcí“. Každý přístroj, který máte doma nebo ve firmě, bude připojený k internetu, abyste ho mohli na dálku ovládat, modernizovat stažením nového softwaru apod. To zní sice krásně, ale ve skutečnosti se jedná o extrémní zdroj nebezpečí. Rozhodně netoužím po tom, mít doma špiony či čidla, neboť i lednička se při vhodném útoku může proměnit ve špiona, který bude monitorovat, co se odehrává ve vaší domácnosti. Netoužím po tom, aby mě někdo mohl monitorovat. Už Bradbury popisoval ve svých knihách budoucnost, tzv. chytrý dům, který Vás může jednoho dne zamknout a spustit požár, až tiše uhoříte ve svém zamčeném domě, pakliže jeho ovládání zneužije útočník. Nicméně tzv. internet věcí může spočívat i v tom, že někdo napadne vaše auto a na dálku jej bude ovládat, stejně jako jiné věci, které běžně užíváte.
Třetí oblastí ohrožení jsou informační útoky, velice často prováděné prostřednictvím sociálních sítí. I tam se situace mění ještě k horšímu, od informačních útoků, kdy o vás někdo napíše určitou informaci, až po podvody či případy, kdy se osoba prohlásí za vašeho přítele a následně vás požádá o dvacet korun, avšak ve skutečnosti vás, z vašeho vlastního bankovního účtu, okrade o dvě stě tisíc korun. Jelikož je kolem nás stále více a více vytvářena pavučina informační sítě, je možnost zaútočit na jakékoli slabiny každého z nás mnohem větší. Podobně tomu je v oblasti informačních systémů veřejné správy obsahujících citlivé údaje, které v mnoha případech slouží pro výkon veřejné správy v tak kritických oblastech, jež bychom bez informačních technologií nemohli ani vykonávat. To je hlavním důvodem, proč potřebujeme zákon o kybernetické bezpečnosti a mít bezpečné informační systémy. V souladu s tvrzením odborníků a prognostiků je nepochybné, že součástí budoucích válek budou i války kybernetické.
Cíle zákona a vymezení subjektů
Vedle samotného přijetí zákona je však důležité jej také naplnit. Zákon a prováděcí předpisy, společně s dalšími technickými předpisy, jež jsou součástí našeho právního řádu a vytvářejí dobrý podklad pro to, abychom se kybernetickému nebezpečí dokázali postavit. Zákon si klade tyto hlavní cíle: konstituce práv a povinností Národního bezpečnostního úřadu, tedy orgánu státu, jemuž je svěřena konkrétní pravomoc v oblasti kybernetické bezpečnosti a v jehož rámci bylo vytvořeno tzv. Národní centrum kybernetické bezpečnosti. Národní bezpečnostní úřad tedy vykonává státní správu v oblasti kybernetické bezpečnosti. Zákon dále nastavil mechanismus přenosu informací, neboť vyskytne-li se určité riziko, tj. kybernetický útok, je potřeba tuto hrozbu analyzovat a co nejdříve o ní informovat ty, kdo jsou zařazeni například do kritické infrastruktury státu nebo provozují tzv. významné informační systémy, včetně podání informace o dalším postupu. Dalšími cíli zákona je vybudování systému včasného varování, prevence a osvěty, a dále zavádění opatření jednak preventivních, jednak reaktivních, tj. konkrétních opatření při hrozícím útoku. První část zákona tedy pojednává o prevenci, druhá část pak o případné reakci na kybernetickou hrozbu či útok. Zákon nastavuje způsoby řešení situací v momentě, kdy buď nějaký útok na prvky kritické informační infrastruktury hrozí, nebo již útok nastal.
Zákon rovněž vymezuje jednotlivé subjekty. Jsou jimi Národní bezpečnostní úřad, oblast nazvaná „řízení kybernetické bezpečnosti“ a subjekty vyjmenované v § 3 ZKB. Toto ustanovení je naprosto klíčové, neboť subjekty v něm vyjmenované mají povinnost se tímto zákonem řídit a realizovat tak systém řízení bezpečnosti informací. Osoby neuvedené v § 3 ZKB sice na první pohled nemají povinnost se zákonem řídit, nicméně lze doporučit, aby každý, kdo provozuje určitý informační systém, měl systém řízení kybernetické bezpečnosti nastavený v souladu se zákonem, byť se jedná o záležitost dobrovolnou. Ust. § 3 vyjmenovává tyto osoby: poskytovatelé služeb a provozovatelé služeb elektronických komunikací, orgány nebo osoby zajišťující významné sítě, pokud nejsou správcem komunikačního systému, správce informačního nebo komunikačního systému kritické informační infrastruktury a správce významného informačního systému. Prozatím jsou většinou subjektů uvedených v § 3 písm. c), d) a e) organizační složky státu nebo státní podniky, kterým je tak uložena řada nových povinností.
Druhá část příspěvku vyjde na právním portále Právní prostor.cz zítra.
Konference Právo ve veřejné správě 2015
Ve dnech 3. a 4. listopadu 2015 se v Praze konal již 4. ročník odborné konference Právo ve veřejné správě. Program konference, která tematicky navazuje na odborný kongres PRÁVNÍ PROSTOR a je určena pro zástupce z řad státní správy a samosprávy, byl opět rozdělen do dvou dní. Letos vystoupilo 13 přednášejících odborníků z oblasti právní praxe i teorie. Pořadatelem byl právní informační systém CODEXIS pod mediální patronací právního portálu Právní prostor.cz. Více na http://www.pvvs.cz/.
Další články
DPH při dovozu zboží přes jiný stát EU: kde vzniká daňová povinnost
Jak se uplatňuje DPH při dovozu zboží z třetích zemí přes jiný stát EU než je místo skutečné spotřeby a jaké povinnosti mají dovozce a konečný odběratel? Rozhodující pro DPH není místo dovozu, ale místo skutečné spotřeby.
Možnosti využití AI v právní praxi
Dnes budu hovořit o tom, jakým způsobem využívám umělou inteligenci při své právní praxi. Proberu jednotlivé nástroje, které lze použít, a také standardní postup k docílení správného výsledku. Ještě před tím je možná dobré se zeptat, proč bychom právě umělou inteligenci měli používat.
Evropská komise představila návrh nových pokynů pro posuzování fúzí
Evropská komise dne 30. dubna 2026 zveřejnila návrh nových pokynů pro posuzování fúzí („Merger Guidelines“, dále jen „Pokyny“). Jedná se o nejrozsáhlejší revizi evropských pravidel pro kontrolu spojování soutěžitelů za posledních dvacet let.
Švarcsystém pod drobnohledem inspekce práce
Co odhalily kontroly inspekce práce v letech 2024–2025? Pokuty v milionech, neohlášené kontroly a sektory, kde inspektoři hledají nejčastěji.
Autonomní zbraňové systémy: Kdo odpovídá za chybu?
Autonomní zbraňový systém může po aktivaci sám vyhledat objekt odpovídající předem nastavenému cílovému profilu a použít proti němu sílu. Člověk přitom nemusí předem znát konkrétní cíl, přesné místo ani okamžik zásahu. Právě tím se takový systém liší od běžného dálkově ovládaného dronu, u něhož konkrétní cíl zpravidla vybírá operátor. Právní otázka tedy nezní, zda o likvidaci cíle „rozhodl“ stroj, ale kdo rozhodl o vývoji, nastavení a nasazení systému, jaké měl informace a zda mohl jeho působení ovlivnit.
