Kyberbezpečnost je stále skloňovanějším pojmem, a není divu – kybernetický prostor nabývá na významu. Spolu s ním ale roste i kyberkriminalita, která bude během několika let třetí největší ekonomikou světa po USA a Číně. Úměrně tomu narůstá i potřeba kybernetické a informační bezpečnosti.
Anna Zádrapová
vedoucí komunikace NÚKIB
V klíčových oblastech fungování státu je potřeba stabilního kybernetického zabezpečení ještě naléhavější než v každodenním životě občanů. Legislativa tedy nemůže ponechat tuto skutečnost bez povšimnutí. Výsledkem je i návrh nového zákona o kyberbezpečnosti (nZKB), který na podzim čeká schvalovací proces v Poslanecké sněmovně.
Nový zákon o kybernetické bezpečnosti
Co nový zákon znamená? Základní principy, na nichž stál i zákon „starý“, zůstávají. Pro regulované subjekty tak dál platí povinnost preventivních opatření k zajištění kybernetické bezpečnosti a také povinnost hlásit kybernetické incidenty gestorovi, tedy Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Také zůstává nadále platný přístup postavený na hodnocení rizik. Nové pak je rozšíření regulovaných odvětví a vyšší počet regulovaných subjektů – namísto 400 jich bude více než 6 000. Pod regulaci se nově dostane třeba odpadní hospodářství, potravinářství, obranný průmysl nebo věda a výzkum. V regulaci zůstávají zdravotnictví, doprava, energetika a bankovnictví. Hlavním kritériem, zda konkrétní podnik v regulovaném odvětví pod regulaci „spadne“, je většinou jeho velikost.
Dva režimy kyberbezpečnosti
Z široké diskuze při práci na návrhu zákona vzešly dva režimy povinností. První z nich standard kyberbezpečnosti naplňuje tzv. režimem vyšším. Druhý, nižší režim, potom naplňuje jen zcela základní požadavky na zajištění kyberbezpečnosti. Informační a komunikační platformou pro všechny záležitosti týkající se nZKB je Portál NÚKIB.
Bezpečné dodavatelské řetězce
Živé debaty mezi některými firmami budí další část návrhu zákona: mechanismus prověřování bezpečnosti dodavatelského řetězce. Ten je řešením rizik spojených s přítomností vysoce rizikových dodavatelů v nejcitlivější infrastruktuře. Není to tak dávno, co svět zakusil dosud největší globální výpadek IT služeb. Příčinou byla chyba jednoho z dodavatelů, který ovšem okamžitě začal dělat všechno proto, aby omyl napravil. Dodavatel ze země geopolitického rivala, který podléhá zcela jinak nastavené legislativě, by ale mohl takový výpadek způsobit záměrně, například z politických důvodů.
Kyberbezpečnost tedy potřebujeme, a potřebujeme i bezpečné dodavatelské řetězce.
