Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vyzval v lednu loňského roku odbornou veřejnost ke konzultacím k chystanému zákonu o kybernetické bezpečnosti. Úřad obdržel celkem 1 144 podnětů ze 117 jednotlivých míst, z toho bylo do návrhu zákona zohledněno 58 % připomínek.
Zákon přinese mimo jiné změnu stanovení povinných osob a způsob jejich identifikace a zavedení nových požadavků na povinné osoby, upraví povinnost hlášení kybernetických bezpečnostních incidentů, změní požadavky spojené s provozovateli systému, zavede mechanismus prověřování bezpečnosti dodavatelského řetězce a novou úpravu kontroly plnění povinností vyplývajících ze zákona. V neposlední řadě se změní klíčové pojmy a zavedou nové, čímž se změní pohled na ICT. Asi největší změna je v tom, že místo pojmu „informační systém“ bude zaveden pojem „služba“.
Harmonogram přípravy na nový zákon je důležitý
Jednou z organizací, na kterou bude mít chystaný zákon o kybernetické bezpečnosti dopad, je i Národní agentura pro komunikační a informační technologie (NAKIT), která zajišťuje komunikační a informační služby a kybernetickou bezpečnost pro veřejnou správu a rozvoj eGovernmentu. V prosinci loňského roku vznikla pracovní skupina ze zástupců NAKIT, Ministerstva vnitra a Digitální a informační agentury, která se začala zabývat tím, jaké dopady bude mít připravovaný zákon na obě provázané státní organizace a na NAKIT jako poskytovatele řady klíčových služeb. „Bylo důležité identifikovat potenciální regulované služby podle návrhu vyhlášky, definovat předpokládaný dopad a připravit časový harmonogram přípravy a implementace služeb podle nového zákona o kybernetické bezpečnosti. Chtěli jsme mít dost času a být připraveni na to, co se stane za rok, až zákon začne platit. Vzhledem k zapojení všech tří organizací je nejdůležitějším výstupem logika provázanosti služeb mezi oběma úřady a jejich dodavatelem,“ vysvětluje Vladimír Rohel, ředitel sekce Bezpečnost agentury NAKIT.
Poskytovatelem regulované služby může být střední nebo velký podnik
Směrnice NIS2 zavádí dvě kategorie, tzv. kategorie „základních subjektů“ a „důležitých subjektů“, přičemž návrh nového zákona o kybernetické bezpečnosti přejímá tento koncept do podoby tzv. režimů poskytovatele regulované služby. Termín regulovaná služba je jedním z pojmů, které návrh zákona o kybernetické bezpečnosti nově stanoví. Jde o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností státu nebo pro bezpečnost v některém z odvětví, jako je veřejná správa, energetika, zdravotnictví, výroba, odpadové hospodářství, doprava, digitální infrastruktura, finanční trh, věda, výzkum, vzdělávání a další. Regulované organizace zákon nově označuje jako tzv. poskytovatele regulované služby a rozděluje je do dvou režimů: režimu nižších povinností a vyšších povinností. Poskytovatelem služby může být i střední nebo velký podnik nebo takový, který je významný pro bezpečnost v České republice. Ve smyslu nového zákona bude NAKIT poskytovatelem regulované služby v režimu vyšších povinností. Bude nabízet vzdáleně nebo přímo u zákazníka služby související s instalací, správou a provozem či údržbou technických a programových prostředků informačních a komunikačních systémů. Zároveň bude poskytovat služby související s řízením rizik, zajištěním bezpečnosti informací a služby bezpečnostního dohledového centra, kterými bude pomáhat organizacím splnit některé specifické a důležité podmínky dané zákonem o kybernetické bezpečnosti a jeho vyhláškami.
Identifikace služeb poskytovaných Ministerstvem vnitra
Ministerstvo vnitra má dle výpisu z registru práv a povinností na starosti 166 agend a 1 422 činností. Výsledkem společných jednání o seskupení agend pro přijetí nového zákona je návrh definice dílčích sta služeb sloučených do dvaceti oblastí. Návrh regulovaných služeb se týká řady odlišných oblastí, například archivnictví, služby na úseku cestovních dokladů a občanských průkazů, doprava, legislativa, migrační a azylová politika. V oblasti celní správy se jedná o volný pohyb služeb a dohled nad vývozem některých kulturních statků. Služby v oblasti bezpečnosti jsou nejrozsáhlejší, zahrnují například kybernetickou bezpečnost, integrovaný záchranný systém, obecní policii, požární ochranu, prevenci závažných havárií, činnost vojenské policie, zajišťování obrany České republiky, hospodářská opatření pro krizové stavy a další. Dále bude ministerstvo zajišťovat regulované služby i v odvětvích, jako je poskytování řízené bezpečnostní sužby, poskytování služby cloud computingu a další.
Vládní dohledové centrum posílí kybernetickou bezpečnost
Jednou z dalších činností, kterou NAKIT zajišťuje, je Dohledové centrum eGovernmentu. Provádí bezpečnostní dohled nad systémy státní správy, a to nejen těmi, jejichž vlastníkem je Ministerstvo vnitra, ale také nad dalšími systémy některých resortů státní správy. Podle Akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025 má Ministerstvo vnitra za úkol přeměnit Dohledové centrum eGovernmentu na Vládní dohledové centrum, které má poskytovat jednotný monitoring a kontrolu pro systémy eGovernmentu a další relevantní systémy. Vládní dohledové centrum má výrazně posílit kybernetickou bezpečnost ve veřejné správě a zapojit do své činnosti státní, komerční i akademické instituce. Služba má pokrýt vše od příjmu informace, záznamu událostí hlášených od uživatelů až po aktivní řízení incidentu, vypracování zprávy a návrhu opatření společně s postiženým subjektem.
Metodika bezpečného vývoje
Dalším úkolem, kterým se NAKIT dlouhodobě zabývá, je téma bezpečného vývoje. Jedná se o vývoj aplikací pro potřeby veřejné správy, kde s rostoucími požadavky a zaměřením eGovernmentu na front-endovou oblast aplikací pro koncové uživatele se mění význam jednotlivých aktivit NAKIT a vývoj software se stává jednou z těch důležitých. Cílem této aktivity je zavádění nové metodiky, postupů a nástrojů do vývoje v NAKIT, ale i poskytování nových služeb v této oblasti. „Připravujeme se nejen na to, abychom byli schopni realizovat bezpečný vývoj interně, ale také ho plánujeme nabízet jako komplexní službu. To znamená pomoci organizacím s tím, kdo a jakým způsobem dodává státu mobilní nebo portálové aplikace a pomoci i s ověřením, že jsou bezpečné. Obecně chceme být takovým domácím doktorem, na kterého se můžete spolehnout, který vás zná a je schopen vám poradit a pomoci tak, aby vám pomohl vyřešit vaše aktuální problémy, poskytl vám komplexní službu a nenechal vás na holičkách,“ dodává Vladimír Rohel. ■
Datum vložení:
4. 10. 2024 12:03
Autor:
Pavlina Hájková