Nový zákon o kybernetické bezpečnosti: Co se mění pro firmy

Základní principy zákona o kybernetické bezpečnosti

# Základní principy zákona o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti představuje klíčový legislativní rámec, který upravuje povinnosti a odpovědnosti organizací v oblasti ochrany informačních systémů a sítí před kybernetickými hrozbami. Tento právní předpis vychází z potřeby zajistit komplexní ochranu kritické infrastruktury a důležitých informačních systémů, které jsou nezbytné pro fungování státu a poskytování základních služeb občanům.

Jedním ze základních principů tohoto zákona je princip prevence a proaktivního přístupu k bezpečnosti. Organizace, které spadají pod působnost zákona, musí aktivně identifikovat potenciální rizika a implementovat vhodná bezpečnostní opatření ještě před tím, než dojde k bezpečnostnímu incidentu. Tento přístup vyžaduje pravidelné vyhodnocování bezpečnostních hrozeb a aktualizaci bezpečnostních politik v souladu s měnícím se prostředím kybernetických rizik.

Zákon dále stanovuje princip proporcionality bezpečnostních opatření, což znamená, že rozsah a intenzita implementovaných bezpečnostních mechanismů musí odpovídat skutečné míře rizika a významu chráněných aktiv. Organizace poskytující kritické služby nebo spravující kritickou infrastrukturu mají zpravidla přísnější požadavky než subjekty s nižším stupněm důležitosti. Tento přístup umožňuje efektivní alokaci zdrojů a zabraňuje zbytečnému administrativnímu zatížení menších subjektů.

Princip kontinuálního zlepšování je dalším podstatným prvkem zákona o kybernetické bezpečnosti. Bezpečnost informačních systémů není jednorázovou aktivitou, ale nepřetržitým procesem, který vyžaduje pravidelné přehodnocování a zdokonalování. Organizace musí systematicky monitorovat účinnost zavedených bezpečnostních opatření, provádět bezpečnostní audity a na základě získaných poznatků implementovat zlepšení.

Zákon také zakotvuje princip odpovědnosti a dohledu, kdy každá organizace spadající pod jeho působnost musí mít jasně definované odpovědnosti za kybernetickou bezpečnost. To zahrnuje ustanovení kontaktních osob pro kybernetickou bezpečnost a zajištění dostatečných zdrojů pro plnění bezpečnostních povinností. Národní úřad pro kybernetickou a informační bezpečnost pak vykonává dohled nad dodržováním zákona a může ukládat sankce za jeho porušení.

Princip hlášení bezpečnostních incidentů představuje zásadní mechanismus pro včasné odhalování a řešení kybernetických útoků. Povinné subjekty musí neprodleně hlásit významné bezpečnostní incidenty příslušným orgánům, což umožňuje koordinovanou reakci na rozsáhlé kybernetické hrozby a sdílení informací o nových typech útoků mezi různými organizacemi.

Zákon rovněž zdůrazňuje princip mezinárodní spolupráce v oblasti kybernetické bezpečnosti, neboť kybernetické hrozby mají často nadnárodní charakter. České orgány aktivně spolupracují s partnery v Evropské unii a dalšími mezinárodními institucemi při sdílení informací o hrozbách, koordinaci reakcí na incidenty a harmonizaci bezpečnostních standardů.

Povinné subjekty a jejich kategorizace

Zákon o kybernetické bezpečnosti přináší komplexní systém kategorizace subjektů, které mají povinnost dodržovat stanovená bezpečnostní opatření a pravidla. Tento systém je postaven na principu diferenciace podle míry důležitosti služeb, které jednotlivé subjekty poskytují, a potenciálního dopadu kybernetického bezpečnostního incidentu na fungování společnosti a státu. Povinné subjekty jsou rozděleny do tří základních kategorií, přičemž každá kategorie má specifické požadavky a povinnosti odpovídající úrovni rizika a významu pro kritickou infrastrukturu.

První kategorii tvoří správci kritické informační infrastruktury, kteří provozují informační systémy zásadního významu pro zajištění základních funkcí státu a poskytování nezbytných služeb obyvatelstvu. Tyto subjekty musí splňovat nejpřísnější bezpečnostní požadavky, protože narušení jejich činnosti by mohlo mít katastrofální dopady na bezpečnost státu, ekonomiku nebo životy občanů. Do této kategorie spadají například provozovatelé energetických sítí, telekomunikační operátoři zajišťující páteřní infrastrukturu, poskytovatelé zdravotní péče v klíčových nemocnicích nebo subjekty zajišťující fungování finančního systému.

Druhou kategorii představují správci základních služeb, jejichž činnost je sice důležitá pro fungování společnosti, ale jejich případný výpadek by neměl tak závažné důsledky jako u kritické informační infrastruktury. Tato kategorie zahrnuje široké spektrum subjektů z různých odvětví, včetně dopravy, vodního hospodářství, zdravotnictví, bankovnictví a digitální infrastruktury. Správci základních služeb musí implementovat bezpečnostní opatření přiměřená rizikům, která jejich činnost představuje, a pravidelně vyhodnocovat úroveň kybernetické bezpečnosti svých systémů.

Třetí kategorii tvoří poskytovatelé digitálních služeb, mezi které patří provozovatelé online tržišť, poskytovatelé cloudových služeb a vyhledávačů. Ačkoliv jsou požadavky na tuto kategorii mírnější než u předchozích dvou, stále musí dodržovat základní bezpečnostní standardy a hlásit významné kybernetické bezpečnostní incidenty. Tato kategorie odráží rostoucí význam digitální ekonomiky a potřebu zajistit důvěryhodnost online služeb.

Kategorizace povinných subjektů není statická a může se měnit v závislosti na vývoji technologií, změnách v poskytovaných službách nebo aktualizaci hodnocení rizik. Subjekty mohou být zařazeny do vyšší kategorie, pokud se zvýší význam jejich služeb pro fungování společnosti, nebo naopak vyřazeny z evidence povinných subjektů, pokud přestanou splňovat kritéria pro zařazení. Národní úřad pro kybernetickou a informační bezpečnost pravidelně vyhodnocuje správnost kategorizace a může iniciovat její změnu na základě aktuálního stavu a potřeb ochrany kybernetického prostoru.

Proces kategorizace vychází z detailní analýzy poskytovaných služeb, technické infrastruktury a potenciálních dopadů kybernetických incidentů. Subjekty mají povinnost aktivně spolupracovat při určování své kategorie a poskytovat všechny relevantní informace regulátorovi. Nesprávné nebo neúplné poskytnutí informací může vést k sankčním postihům a nesprávnému nastavení bezpečnostních opatření, což následně zvyšuje riziko úspěšného kybernetického útoku.

Správce základního registru a kritická infrastruktura

Správce základního registru představuje klíčovou instituci v rámci státní správy České republiky, která nese odpovědnost za provoz a údržbu základních registrů veřejné správy. Tyto registry obsahují fundamentální data o obyvatelstvu, právnických osobách, územních prvcích a dalších kritických informacích nezbytných pro fungování státu. V kontextu zákona o kybernetické bezpečnosti získává role správce základního registru zcela nový rozměr, neboť informační systémy základních registrů jsou klasifikovány jako systémy s mimořádným významem pro zajištění bezpečnosti státu a ochranu základních práv občanů.

Zákon o kybernetické bezpečnosti ukládá správcům základních registrů řadu povinností, které daleko přesahují standardní požadavky na kybernetickou bezpečnost. Tyto subjekty musí implementovat komplexní bezpečnostní opatření zahrnující technické, organizační i personální aspekty ochrany informací. Správce je povinen provádět pravidelná bezpečnostní hodnocení svých systémů, detekovat kybernetické bezpečnostní incidenty a neprodleně je hlásit příslušným orgánům, konkrétně Národnímu úřadu pro kybernetickou a informační bezpečnost. Kromě toho musí zajistit nepřetržitý monitoring bezpečnostních událostí a udržovat aktuální dokumentaci všech bezpečnostních opatření.

Propojení správce základního registru s problematikou kritické infrastruktury je zásadní pro pochopení komplexnosti kybernetické bezpečnosti v České republice. Kritická infrastruktura zahrnuje systémy a služby, jejichž narušení by mělo závažný dopad na bezpečnost státu, ekonomiku, veřejný pořádek nebo zdraví obyvatelstva. Základní registry veřejné správy jsou nedílnou součástí této kritické infrastruktury, protože poskytují data nezbytná pro fungování zdravotnictví, energetiky, dopravy, finančního sektoru a dalších klíčových odvětví.

Zákon o kybernetické bezpečnosti stanovuje specifické požadavky na ochranu kritické infrastruktury, které musí správci základních registrů respektovat. Tyto požadavky zahrnují povinnost vypracovat a pravidelně aktualizovat bezpečnostní dokumentaci, provádět penetrační testy a simulace kybernetických útoků, implementovat pokročilé detekční mechanismy a zajistit dostatečnou redundanci systémů pro případ výpadku. Správce musí také zajistit fyzickou bezpečnost datových center a serveroven, kde jsou uloženy citlivé informace základních registrů.

Významným aspektem je také personální bezpečnost, kterou zákon o kybernetické bezpečnosti výslovně vyžaduje. Zaměstnanci správce základního registru, kteří mají přístup ke kritickým systémům, musí projít bezpečnostním prověřením a pravidelným školením v oblasti kybernetické bezpečnosti. Správce je povinen definovat jasné role a odpovědnosti v oblasti bezpečnosti, včetně jmenování bezpečnostního manažera, který koordinuje všechny bezpečnostní aktivity a slouží jako kontaktní bod pro komunikaci s regulačními orgány.

Další důležitou povinností vyplývající ze zákona o kybernetické bezpečnosti je řízení dodavatelského řetězce a zajištění bezpečnosti externích dodavatelů, kteří poskytují služby nebo produkty pro provoz základních registrů. Správce musí provádět důkladné bezpečnostní audity svých dodavatelů a zajistit, aby všechny smluvní vztahy obsahovaly přísné bezpečnostní klauzule a požadavky na ochranu dat.

Ohlašovací povinnost kybernetických bezpečnostních incidentů

Ohlašovací povinnost kybernetických bezpečnostních incidentů představuje jeden ze základních pilířů účinné ochrany informačních systémů a kritické infrastruktury v České republice. Zákon o kybernetické bezpečnosti ukládá povinným subjektům jasně definované postupy, které musí být dodržovány v případě zjištění bezpečnostního incidenttu. Tato povinnost není pouze formální administrativní záležitostí, ale klíčovým nástrojem pro koordinovanou obranu proti kybernetickým hrozbám na národní úrovni.

Podle zákona o kybernetické bezpečnosti musí povinné osoby bezodkladně ohlásit každý kybernetický bezpečnostní incident, který má nebo může mít závažný dopad na bezpečnost nebo dostupnost poskytovaných služeb. Tato ohlašovací povinnost se vztahuje především na subjekty kritické informační infrastruktury, správce základních služeb a poskytovatele digitálních služeb. Zákon přesně vymezuje, co se považuje za kybernetický bezpečnostní incident a stanovuje kritéria pro posouzení jeho závažnosti.

Ohlášení incidentu musí být provedeno prostřednictvím kontaktního místa příslušného orgánu, kterým je v České republice Národní úřad pro kybernetickou a informační bezpečnost. Lhůta pro ohlášení incidentu je stanovena velmi krátká, což odráží potřebu rychlé reakce a koordinace při řešení kybernetických hrozeb. Povinná osoba musí incident ohlásit nejpozději do dvaceti čtyř hodin od okamžiku, kdy se o něm dozvěděla nebo kdy se o něm měla dozvědět při vynaložení odborné péče.

Samotné ohlášení musí obsahovat řadu povinných náležitostí, které umožňují příslušným orgánům rychle vyhodnotit situaci a případně koordinovat opatření. Mezi tyto náležitosti patří identifikace ohlašující osoby, popis charakteru incidentu, časové údaje o jeho vzniku a zjištění, předběžné posouzení dopadu na poskytované služby a informace o přijatých nebo plánovaných opatřeních k jeho řešení. Zákon o kybernetické bezpečnosti také vyžaduje následné doplňování informací o incidentu v průběhu jeho řešení, pokud dojde ke zjištění nových skutečností nebo změně závažnosti dopadu.

Důležitým aspektem ohlašovací povinnosti je ochrana důvěrných informací a obchodního tajemství. Zákon garantuje, že informace poskytnuté v rámci ohlášení incidentu budут chráněny před neoprávněným zveřejněním a budou využity výhradně pro účely zajištění kybernetické bezpečnosti. Toto ustanovení má za cíl odstranit obavy povinných osob z možných reputačních nebo obchodních škod spojených s ohlášením incidentu.

Nedodržení ohlašovací povinnosti může mít pro povinné osoby závažné sankční důsledky. Zákon o kybernetické bezpečnosti stanovuje vysoké pokuty za porušení této povinnosti, které mohou dosáhnout až desítek milionů korun v závislosti na závažnosti protiprávního jednání a velikosti povinné osoby. Sankce nejsou primárním cílem právní úpravy, ale mají motivovat k odpovědnému přístupu a včasnému plnění zákonných povinností.

Ohlašovací povinnost zároveň slouží jako důležitý zdroj informací pro vytváření celkového přehledu o kybernetických hrozbách na národní úrovni. Shromážděné údaje umožňují identifikovat trendy, analyzovat nové typy útoků a připravovat preventivní opatření pro ochranu dalších subjektů.

Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost představuje klíčovou instituci v oblasti ochrany kybernetického prostoru České republiky. Tento specializovaný správní úřad byl ustanoven na základě zákona o kybernetické bezpečnosti a plní nezastupitelnou roli v koordinaci a zajišťování kybernetické bezpečnosti na celostátní úrovni. Úřad spadá do působnosti Ministerstva vnitra a jeho hlavním posláním je ochrana kritické informační infrastruktury státu před kybernetickými hrozbami a útoky.

Zákon o kybernetické bezpečnosti, který vstoupil v platnost v roce 2015 a byl následně novelizován, vytváří právní rámec pro činnost Národního úřadu pro kybernetickou a informační bezpečnost. Tento zákon definuje povinnosti jednotlivých subjektů v oblasti kybernetické bezpečnosti a stanovuje pravomoci úřadu při jejich kontrole a prosazování. Legislativa reaguje na rostoucí potřebu systematické ochrany informačních systémů a kritické infrastruktury, která je nezbytná pro fungování státu a poskytování základních služeb občanům.

Úřad vykonává široké spektrum činností, které zahrnují především metodickou podporu povinným subjektům při implementaci bezpečnostních opatření. Poskytuje odborné konzultace a vydává závazné pokyny týkající se zajištění kybernetické bezpečnosti. Důležitou součástí jeho práce je také provozování národního centra pro kybernetickou bezpečnost, které funguje jako koordinační místo pro řešení kybernetických incidentů na území České republiky.

V rámci své působnosti provádí Národní úřad pro kybernetickou a informační bezpečnost kontrolní činnost u povinných subjektů, kterými jsou zejména správci kritické informační infrastruktury, poskytovatelé základních služeb a poskytovatelé digitálních služeb. Při zjištění nedostatků v zabezpečení má úřad pravomoc ukládat nápravná opatření a v případě závažných porušení zákona i sankce. Tato kontrolní činnost je nezbytná pro udržení vysoké úrovně kybernetické bezpečnosti v celém státním aparátu i v soukromém sektoru.

Zákon o kybernetické bezpečnosti ukládá povinnému subjektu řadu specifických povinností, jejichž plnění úřad kontroluje a vyhodnocuje. Mezi tyto povinnosti patří zejména zavedení bezpečnostních opatření odpovídajících identifikovaným rizikům, hlášení kybernetických bezpečnostních incidentů úřadu, pravidelné provádění auditů kybernetické bezpečnosti a zajištění odpovídající úrovně zabezpečení informačních systémů. Subjekty musí také jmenovat kontaktní osobu pro kybernetickou bezpečnost, která slouží jako spojka mezi organizací a úřadem.

Úřad aktivně spolupracuje s mezinárodními partnery v oblasti kybernetické bezpečnosti, zejména s institucemi Evropské unie a členskými státy NATO. Tato mezinárodní spolupráce je klíčová pro efektivní boj proti kybernetickým hrozbám, které mají často nadnárodní charakter. Národní úřad pro kybernetickou a informační bezpečnost se podílí na výměně informací o kybernetických hrozbách a incident response aktivitách s partnerskými organizacemi v zahraničí.

Významnou oblastí činnosti úřadu je také vzdělávání a zvyšování povědomí o kybernetické bezpečnosti. Organizuje školení pro zaměstnance veřejné správy i soukromého sektoru a vydává metodické materiály a doporučení pro zajištění kybernetické bezpečnosti. Úřad pravidelně publikuje analýzy aktuálních kybernetických hrozeb a varování před novými typy útoků, čímž přispívá k prevenci kybernetických incidentů.

Bezpečnostní opatření a technické požadavky

Zákon o kybernetické bezpečnosti stanovuje komplexní rámec bezpečnostních opatření a technických požadavků, které musí subjekty spadající pod jeho působnost implementovat a dodržovat. Tyto požadavky jsou koncipovány tak, aby zajistily ochranu informačních systémů a sítí před kybernetickými hrozbami a minimalizovaly dopady případných bezpečnostních incidentů na fungování kritické infrastruktury a poskytování základních služeb.

Bezpečnostní opatření definovaná zákonem vycházejí z principu přiměřenosti, což znamená, že jejich rozsah a intenzita musí odpovídat míře rizika, které konkrétnímu subjektu hrozí, a zároveň zohledňovat povahu poskytovaných služeb či provozovaných systémů. Povinné subjekty musí pravidelně provádět analýzu rizik, která identifikuje potenciální hrozby, zranitelnosti a dopady jejich realizace. Na základě výsledků této analýzy pak implementují vhodná technická a organizační opatření.

Technické požadavky zahrnují především zabezpečení síťové infrastruktury, implementaci šifrovacích mechanismů pro ochranu citlivých dat, nasazení systémů pro detekci a prevenci průniků, pravidelnou aktualizaci bezpečnostních záplat a provádění zálohování kritických dat. Subjekty musí zajistit segmentaci sítí, aby se minimalizovalo riziko šíření kybernetického útoku v rámci celé infrastruktury. Důležitým prvkem je také implementace vícefaktorové autentizace pro přístup k citlivým systémům a datům.

Organizační opatření se zaměřují na vytvoření bezpečnostní politiky, definování rolí a odpovědností v oblasti kybernetické bezpečnosti, školení zaměstnanců a vytvoření procesů pro řízení bezpečnostních incidentů. Každý povinný subjekt musí jmenovat kontaktní osobu pro kybernetickou bezpečnost, která bude odpovědná za koordinaci bezpečnostních aktivit a komunikaci s příslušnými orgány. Tato osoba musí disponovat odpovídajícími odbornými znalostmi a pravomocemi.

Zákon dále vyžaduje implementaci systému řízení bezpečnosti informací, který zahrnuje pravidelné hodnocení účinnosti zavedených opatření, provádění bezpečnostních auditů a penetračních testů. Povinné subjekty musí dokumentovat všechna bezpečnostní opatření a být schopny prokázat jejich funkčnost při kontrolách prováděných dozorujícími orgány. Dokumentace musí obsahovat popisy technických řešení, postupy pro řešení incidentů, záznamy o provedených školeních a výsledky bezpečnostních testů.

Specifické technické požadavky se týkají také monitorování provozu informačních systémů a detekce anomálií, které by mohly indikovat probíhající kybernetický útok. Subjekty musí zavést systémy pro sběr a analýzu logů, které umožní zpětnou rekonstrukci bezpečnostních incidentů a identifikaci jejich příčin. Tyto záznamy musí být uchovávány po stanovenou dobu a chráněny před neoprávněnou manipulací.

Zákon o kybernetické bezpečnosti také stanovuje požadavky na řízení přístupu k informačním systémům, včetně pravidelného přehodnocování přístupových práv, okamžitého odebírání přístupů při ukončení pracovního poměru a implementace principu minimálních oprávnění. Důraz je kladen na ochranu privilegovaných účtů, které mají rozšířená oprávnění a jejichž kompromitace by mohla mít závažné důsledky.

Sankce a pokuty za porušení zákona

Zákon o kybernetické bezpečnosti stanovuje jasný systém sankcí a pokut, které mají zajistit dodržování povinností subjektů v oblasti ochrany kybernetického prostoru. Národní úřad pro kybernetickou a informační bezpečnost je oprávněn ukládat pokuty za porušení ustanovení tohoto zákona, přičemž výše sankcí odráží závažnost jednotlivých přestupků a jejich potenciální dopad na bezpečnost informačních systémů a sítí.

Správní delikty mohou spáchat jak právnické osoby, tak podnikající fyzické osoby, které nesplní své zákonné povinnosti vyplývající z klasifikace do příslušné kategorie. Mezi nejzávažnější porušení patří například neplnění povinnosti zavést a provozovat bezpečnostní opatření odpovídající kategorii daného systému, neprovádění pravidelných kontrol a auditů kybernetické bezpečnosti, nebo neoznámení bezpečnostního incidentu v zákonem stanovené lhůtě.

Výše pokut se pohybuje v širokém rozpětí a závisí na typu a závažnosti porušení. Za méně závažná porušení může být uložena pokuta až do výše statisíců korun, zatímco za nejzávažnější protiprávní jednání mohou sankce dosáhnout až desítek milionů korun. Zákonodárce tímto způsobem reflektuje skutečnost, že nedostatečná ochrana kritické informační infrastruktury nebo významných informačních systémů může mít dalekosáhlé důsledky nejen pro dotčený subjekt, ale i pro fungování celé společnosti.

Při stanovení konkrétní výše pokuty přihlíží Národní úřad pro kybernetickou a informační bezpečnost k několika faktorům. Zohledňuje zejména závažnost a délku trvání protiprávního jednání, míru zavinění, případné následky porušení povinnosti a také to, zda se jedná o opakované porušení. Důležitým aspektem je rovněž přístup dotčeného subjektu k nápravě zjištěných nedostatků a jeho ochota spolupracovat s kontrolními orgány.

Zákon rozlišuje různé kategorie porušení povinností. K těm patří například nesplnění ohlašovací povinnosti, kdy subjekt včas nenahlásí svou příslušnost k některé z kategorií podle zákona. Další skupinou přestupků je nedodržování bezpečnostních opatření, která zahrnuje absenci bezpečnostní dokumentace, neprovádění pravidelných záloh dat, nedostatečnou kontrolu přístupu k informačním systémům nebo zanedbání povinnosti provádět pravidelné aktualizace a záplaty bezpečnostních zranitelností.

Zvláštní pozornost věnuje zákon hlášení kybernetických bezpečnostních incidentů. Subjekty jsou povinny oznámit incident bez zbytečného odkladu, a to i v případech, kdy ještě nemají kompletní informace o rozsahu a dopadu incidentu. Pozdní nebo chybějící hlášení může vést k uložení značné pokuty, neboť včasná informace o bezpečnostním incidentu je klíčová pro koordinovanou reakci a minimalizaci potenciálních škod.

Zákon také umožňuje uložení nápravných opatření, kdy Národní úřad může nařídit subjektu provést konkrétní kroky k odstranění zjištěných nedostatků ve stanovené lhůtě. Nesplnění těchto nápravných opatření může vést k dalším sankcím a zvýšení pokut. Tento přístup má preventivní charakter a motivuje subjekty k aktivnímu řešení bezpečnostních problémů.

Kybernetická bezpečnost není jen technická záležitost, ale základní pilíř fungování moderního státu, a zákon o ní musí být živým nástrojem, který se přizpůsobuje neustále se měnícím hrozbám v digitálním prostoru.

Radek Dvořák

Kybernetické bezpečnostní týmy a jejich role

Kybernetické bezpečnostní týmy představují klíčový prvek v systému ochrany kritické informační infrastruktury a jejich existence je pevně zakotvena v českém právním řádu prostřednictvím zákona o kybernetické bezpečnosti. Tento zákon, který vstoupil v platnost v roce 2015 a byl následně novelizován, definuje základní rámec pro fungování těchto specializovaných útvarů a stanovuje jejich povinnosti, pravomoci a způsoby koordinace při zajišťování kybernetické bezpečnosti na národní úrovni.

Zákon o kybernetické bezpečnosti rozlišuje několik typů kybernetických bezpečnostních týmů, přičemž každý z nich má specifickou roli a působnost. Národní CERT, který je provozován Národním úřadem pro kybernetickou a informační bezpečnost, zastává centrální pozici v celém systému. Tento tým má za úkol koordinovat reakce na kybernetické bezpečnostní incidenty na národní úrovni, poskytovat metodickou podporu ostatním subjektům a sdílet informace o aktuálních hrozbách. Jeho role je nezastupitelná zejména v případech rozsáhlých kybernetických útoků, které mohou ohrozit fungování kritické infrastruktury nebo poskytování základních služeb.

Vládní CERT působí jako bezpečnostní tým pro orgány veřejné správy a zajišťuje ochranu informačních systémů státní správy. Tento tým má specifické znalosti o prostředí veřejné správy a dokáže efektivně reagovat na incidenty, které by mohly narušit fungování státních institucí. Zákon o kybernetické bezpečnosti mu svěřuje důležitou úlohu při implementaci bezpečnostních opatření v rámci veřejného sektoru a při koordinaci s ostatními bezpečnostními týmy.

Sektorové CERT týmy jsou zřizovány pro jednotlivé kritické sektory, jako jsou energetika, doprava, zdravotnictví nebo bankovnictví. Tyto týmy mají hlubokou znalost specifických rizik a hrozeb, které se týkají jejich odvětví, a dokáží poskytovat specializovanou podporu subjektům působícím v daném sektoru. Zákon o kybernetické bezpečnosti ukládá povinnost zřízení těchto týmů v případech, kdy je to nezbytné pro zajištění ochrany kritické infrastruktury v konkrétním sektoru.

Kybernetické bezpečnostní týmy mají podle zákona o kybernetické bezpečnosti řadu konkrétních povinností. Musí nepřetržitě monitorovat kybernetický prostor a vyhledávat potenciální hrozby, analyzovat bezpečnostní incidenty a poskytovat doporučení pro jejich řešení. Důležitou součástí jejich práce je také preventivní činnost, která zahrnuje vzdělávání uživatelů, šíření osvěty o kybernetických hrozbách a vypracovávání metodických materiálů.

Zákon ukládá těmto týmům povinnost vzájemné spolupráce a výměny informací o bezpečnostních hrozbách a incidentech. Tato koordinace je klíčová pro vytvoření efektivního systému kybernetické obrany, protože útočníci často cílí na více subjektů současně nebo využívají zranitelnosti, které se opakují napříč různými sektory. Bezpečnostní týmy proto musí sdílet informace o nových typech útoků, zranitelnostech a osvědčených postupech pro jejich eliminaci.

Významnou rolí kybernetických bezpečnostních týmů je také poskytování podpory při řešení bezpečnostních incidentů. Když dojde k narušení kybernetické bezpečnosti, tyto týmy nabízejí technickou asistenci, pomáhají s forenzní analýzou a koordinují obnovu postižených systémů. Zákon o kybernetické bezpečnosti stanovuje jasné postupy pro hlášení incidentů a definuje lhůty, ve kterých musí být příslušné bezpečnostní týmy informovány o významných narušeních bezpečnosti.

Ochrana kritických informačních systémů a sítí

Ochrana kritických informačních systémů a sítí představuje jeden ze základních pilířů moderní kybernetické bezpečnosti v České republice. Zákon o kybernetické bezpečnosti stanovuje jasné požadavky a povinnosti pro subjekty, které provozují systémy a sítě označené jako kritické pro fungování státu a poskytování základních služeb občanům. Tato právní úprava vychází z nutnosti zajistit kontinuitu a bezpečnost klíčových informačních infrastruktur, které jsou v dnešní digitalizované společnosti nezbytné pro každodenní život.

Kritické informační systémy jsou definovány jako takové systémy, jejichž narušení, selhání nebo zničení by mělo závažný dopad na bezpečnost státu, ekonomickou stabilitu nebo poskytování základních služeb obyvatelstvu. Zákon o kybernetické bezpečnosti proto ukládá provozovatelům těchto systémů řadu specifických povinností, které musí důsledně plnit. Mezi tyto povinnosti patří především implementace technických a organizačních opatření odpovídajících úrovni rizika, kterému jsou systémy vystaveny.

Provozovatelé kritických informačních systémů musí podle zákona o kybernetické bezpečnosti vypracovat bezpečnostní dokumentaci, která detailně popisuje všechna zavedená bezpečnostní opatření a postupy. Tato dokumentace musí být pravidelně aktualizována a přizpůsobována měnícímu se prostředí kybernetických hrozeb. Součástí bezpečnostní dokumentace je také analýza rizik, která identifikuje potenciální hrozby a zranitelnosti systémů a navrhuje odpovídající protiopatření.

Zákon o kybernetické bezpečnost dále stanovuje povinnost pravidelně provádět bezpečnostní audity a penetrační testování kritických informačních systémů. Tyto aktivity slouží k ověření účinnosti zavedených bezpečnostních opatření a k odhalení případných slabin, které by mohly být zneužity útočníky. Výsledky těchto auditů musí být dokumentovány a případné nedostatky musí být neprodleně odstraněny.

Významnou součástí ochrany kritických informačních systémů je také řízení kybernetických bezpečnostních incidentů. Provozovatelé jsou povinni zavést procesy pro detekci, analýzu a řešení bezpečnostních incidentů. V případě vzniku závažného incidentu musí být tento neprodleně hlášen Národnímu úřadu pro kybernetickou a informační bezpečnost, který koordinuje reakci na celostátní úrovni a poskytuje metodickou podporu při řešení incidentu.

Zákon o kybernetické bezpečnosti také vyžaduje, aby provozovatelé kritických systémů zajistili dostatečnou úroveň kybernetické bezpečnosti u svých dodavatelů a subdodavatelů. To znamená, že bezpečnostní požadavky musí být promítnuty do celého dodavatelského řetězce, protože zranitelnost u kteréhokoliv článku může ohrozit bezpečnost celého systému. Smlouvy s dodavateli musí obsahovat jasně definované bezpečnostní požadavky a mechanismy pro jejich kontrolu a vymáhání.

Ochrana kritických informačních sítí zahrnuje také implementaci pokročilých technických opatření, jako jsou systémy pro detekci a prevenci průniků, firewall s pokročilými funkcemi, šifrování komunikace a dat, segmentace sítí a řízení přístupů. Tyto technologie musí být pravidelně aktualizovány a konfigurovány tak, aby poskytovaly maximální možnou ochranu proti aktuálním hrozbám. Provozovatelé musí také zajistit pravidelné zálohování kritických dat a testování obnovy systémů po případném incidentu.

Mezinárodní spolupráce v oblasti kybernetické bezpečnosti

Kybernetická bezpečnost představuje v současné době jednu z klíčových priorit nejen na národní, ale především na mezinárodní úrovni. Zákon o kybernetické bezpečnosti České republiky výslovně uznává, že účinná ochrana kritické infrastruktury a informačních systémů nemůže být dosažena izolovanými národními opatřeními, ale vyžaduje systematickou a koordinovanou mezinárodní spolupráci. Tato skutečnost je zakořeněna v samotné povaze kybernetických hrozeb, které nerespektují státní hranice a často pocházejí z různých koutů světa.

Mezinárodní spolupráce v oblasti kybernetické bezpečnosti je v českém právním rámci zakotvena prostřednictvím několika mechanismů. Národní úřad pro kybernetickou a informační bezpečnost působí jako ústřední kontaktní bod pro komunikaci se zahraničními partnerskými organizacemi a institucemi. Tato role zahrnuje nejen výměnu informací o aktuálních hrozbách a incidentech, ale také koordinaci společných opatření a sdílení osvědčených postupů v prevenci a reakci na kybernetické útoky.

Česká republika aktivně participuje v rámci struktur Evropské unie, kde kybernetická bezpečnost představuje jednu z prioritních oblastí společné bezpečnostní politiky. Implementace evropských směrnic a nařízení do národního právního řádu zajišťuje harmonizaci bezpečnostních standardů a umožňuje efektivní spolupráci mezi členskými státy. Zákon o kybernetické bezpečnosti reflektuje požadavky směrnice NIS a dalších evropských právních předpisů, čímž vytváří kompatibilní právní prostředí pro mezinárodní kooperaci.

Významnou součástí mezinárodní spolupráce je také účast v globálních iniciativách a organizacích zaměřených na kybernetickou bezpečnost. Česká republika je aktivním členem NATO, kde kybernetická obrana představuje integrální součást kolektivní obrany podle článku pět Washingtonské smlouvy. Spolupráce v rámci aliance zahrnuje společné cvičení, sdílení zpravodajských informací a rozvoj společných schopností v oblasti kybernetické obrany.

Bilaterální spolupráce s partnerskými zeměmi představuje další důležitou dimenzi mezinárodního zapojení. Výměna odborníků, společné výzkumné projekty a koordinace při řešení přeshraničních kybernetických incidentů posilují celkovou odolnost proti kybernetickým hrozbám. Zákon o kybernetické bezpečnosti poskytuje právní základ pro uzavírání mezinárodních dohod a memorand o porozumění v této oblasti.

Praktická implementace mezinárodní spolupráce zahrnuje také účast na systémech včasného varování a sdílení informací o kybernetických hrozbách v reálném čase. Tyto mechanismy umožňují rychlou reakci na nově se objevující hrozby a koordinaci obranných opatření napříč zeměmi. Důvěrnost a bezpečnost sdílených informací je přitom zajištěna prostřednictvím přísných bezpečnostních protokolů a šifrovacích technologií.

Mezinárodní spolupráce se rovněž promítá do oblasti vzdělávání a budování kapacit, kde dochází k výměně znalostí a zkušeností mezi odborníky z různých zemí. Společné školící programy a certifikační systémy přispívají k vytváření jednotných standardů profesní kvalifikace v oblasti kybernetické bezpečnosti.