- Kateřina Kubíková
- Petra Kovářů
Nový Zákon o kybernetické bezpečnosti se posouvá do další fáze. Do mezirezortního připomínkového řízení vstoupily návrhy prováděcích vyhlášek a nařízení, které firmám i veřejným institucím naznačují, jak bude vypadat praktická stránka kybernetické regulace. V článku najdete přehled změn, které nás nejvíce zaujaly.
Přehled vyhlášek a nařízení
V pátek 16. května se rozběhla další klíčová fáze příprav zákona o kybernetické bezpečnosti. Do připomínkového řízení zamířily návrhy prováděcích vyhlášek a dvou vládních nařízení, která doplní rámcový zákon o konkrétní pravidla.
Celkem se jedná o 8 vyhlášek a 2 prováděcí nařízení, u kterých se jejich vydání ještě předpokládá. NÚKIB odhaduje, že k vydání předpisů by mohlo dojít v říjnu nebo listopadu 2025. Jedná se o tyto předpisy:
- Vyhláška o regulovaných službách
- Vyhláška o bezpečnostních opatřeních pro vyšší režim
- Vyhláška o bezpečnostních opatřeních pro nižší režim
- Vyhláška o Portálu NÚKIB
- Vyhláška o bezpečnostních úrovních pro využívání cloud computingu
- Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu
- Nařízení vlády o nepominutelných funkcích (připravuje se)
- Nařízení vlády o strategicky významných službách (připravuje se)
Vyhláška o bezpečnostních opatřeních pro vyšší režim
- Vyloučit zavádění a provádění bezpečnostních opatření stanovených vyhláškou je možné jen na základě řízení rizik.
- Informování významného dodavatele nemusí obsahovat obsah pravidel pro dodavatele.
- Výbor pro kybernetickou bezpečnost se musí scházet alespoň jednou ročně, už ne jen pravidelně.
- Doplnění povinnosti vytvořit závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu s významným dopadem.
- Role architekta kybernetické bezpečnosti je nově slučitelná s rolemi odpovědnými za provoz ICT.
- Nejen vícefaktorová autentizace s minimálně 2 typy faktorů, ale i doplnění možnosti využívat autentizační mechanismus založený na aktuálně odolné kontinuální autentizaci, která je založená na modelu zero trust.
- Aplikaci schválených bezpečnostních aktualizací pro technická aktiva už není nutné dělat bezodkladně.
- Z vyhlášky vypadlo určení rozsahu strategických významných služeb. Ty budou totiž upraveny nařízením vlády.
- Změněna příloha upravující hodnocení aktiv, kdy došlo zkrácení výkladové části a k menším úpravám ve stupnicích hodnocení dostupnosti, důvěrnosti a integrity.
- V příloze k zranitelnostem a hrozbám byla přidaná nová hrozba: narušení dostupnosti primárních nebo podpůrných aktiv umístěných mimo území České republiky.
- V příloze k hodnocení rizik je z pevného seznamu metod pro zvládání rizik vytvořen soubor příkladů, který umožňuje další možnosti.
- Úpravy zvyšující přehlednost a srozumitelnost vyhlášky.
Vyhláška o bezpečnostních opatřeních pro nižší režim
- Vrcholné vedení má větší roli – už ne povinná osoba, ale vedení určuje odpovědnou osobu pro kybernetickou bezpečnost a podporuje její aktivity včetně prioritizace obnovy primárních aktiv.
- Zvýšený důraz na bezpečnostní povědomí vrcholného vedení – musí mít jasná pravidla pro svůj rozvoj.
- Řízení kontinuity se zaměřuje na technická aktiva, která mají prioritu obnovy podle důležitosti primárních aktiv.
- Autentizace silnější než kdy dřív – vícefaktorová autentizace nebo Zero Trust model jsou nyní povinné pro administrátory i uživatele.
- Posílení hodnocení rizik – rozšíření škály priorit bezpečnostních opatření na čtyři úrovně od nízké až po kritickou s přísnějším hodnocením dopadu.
- Množství zaměstnanců už není faktorem pro posuzování významnosti dopadu incidentu.
Vyhláška o regulovaných službách
- Odstranění mnoha doplňujících podmínek poskytovatelů regulované služby.
- Několik změn v názvosloví – hlavně upřesnění.
- Příklady rozšíření názvů v části elektřina:
Původní název | Nový název |
|---|---|
Výroba elektřiny | Výroba elektřiny podle energetického zákona s výjimkou výroby elektřiny ve výrobně elektřiny z obnovitelných zdrojů energie o celkovém instalovaném elektrickém výkonu do 1 MW |
Provoz přenosové soustavy elektřiny | Provoz přenosové soustavy elektřiny podle energetického zákona |
Provoz distribuční soustavy elektřiny | Provoz distribuční soustavy elektřiny podle energetického zákona |
Obchod s elektřinou | Obchod s elektřinou podle energetického zákona |
Výkon činnosti nominovaného organizátora trhu s elektřinou | Činnost nominovaného organizátora trhu s elektřinou podle přímo použitelného předpisu Evropské unie |
Výkon činnosti agregace | Agregace elektřiny podle energetického zákona |
Energetika
- U výroby elektřiny odstraněna podmínka instalovaného výkonu pro režim nižších povinností. Hlavní tak bude u většiny regulovaných služeb pro určení režimu velikost společnosti.
- Provozovatel veřejně přístupné dobíjecí stanice má nově stanovený počet a to 50 a více dobíjejících stanic.
- V oblasti energetiky – plynárenství došlo k upřesnění na zemní plyn.
Chemický průmysl
- Pro zařazení do režimu nižších povinností nyní stačí, aby byl podnik velký nebo střední, bez ohledu na množství nebezpečných látek.
- Zcela se ruší vyšší režim i vazba na zákon o prevenci závažných havárií.
- Užívání objektu za účelem umístění nebezpečné látky zůstává v původním znění.
Doprava
- Oblast vodní doprava upřesněna na námořní vodní dopravu.
- Odstranění regulovaných služeb v letecké dopravě: Z 9 snížení na 4.
- Odstraněné regulované služby:
- Služba řízení letového provozu ve vzdušném prostoru České republiky,
- Bezpečnostní kontrola týkající se nákladu nebo poštovních zásilek,
- Služba odesílání nákladu nebo poštovních zásilek
- Služba dodávek palubních zásob
- Služba při odbavovacím procesu
Digitální infrastruktura
- Úprava podmínek poskytování služby výměnného uzlu internetu – ve vyšším režimu budou kromě velkých podniků i ti, kteří umožňují propojení nejméně 100 nezávislých sítí s datovým tokem alespoň 1 Tbps.
- V oblasti digitální infrastruktury a služby 2 nové regulované služby:
- Poskytování služby registrace a správy doménových jmen
- Správa a provoz domény gov.cz
- V rámci digitálních služeb je nyní místo pojmu: „podnikatelům“ uvedeno: „zákazníkům, kteří nejsou spotřebiteli“. Konkrétně u regulovaných služeb:
- Poskytování řízené služby
- Poskytování řízené bezpečnostní služby.
Poštovní a kurýrní služby
- Regulovaná služba poskytování poštovní a kurýrní služby rozdělená na 2 služby:
- Poštovní služba
- Kurýrní služba
Zdravotnictví
- Regulovaná služba zdravotní péče rozšířená na poskytování zdravotní péče s výjimkou ambulantní péče poskytované osobám sociálně vyloučeným nebo osobám sociálním vyloučením ohroženým a s výjimkou poskytování ošetřovatelské péče v zařízení sociálních služeb.
Potravinářský průmysl
- Potravinářský průmysl upřesnil regulované služby na průmyslovou výrobu a zpracování potravin a velkoobchodní distribuci potravin.
Věda, výzkum a vzdělávání
- Upravení podmínek regulované služby
Závěrem
Ačkoliv nový kyberzákon zatím stále ještě neplatí, nové vyhlášky a nařízení ukazují, kudy se celá regulace ubírá. Schválení se očekává letos na podzim a má smysl se už začít připravovat, protože čím dřív začnete, tím snáz přechod na nové povinnosti zvládnete – bez paniky na poslední chvíli.
Buďte připraveni
Vývoj sledujeme dál a klíčové změny Vám dokážeme srozumitelně vysvětlit a pomoc zavést ve Vaší firmě. Máte zájem?
