Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

Právní aspekty přijetí zákona o kybernetické bezpečnosti

Autor: Mgr. et Mgr. Petr Mališ | Vloženo: 20. 5. 2015 15:59 | Přečteno: 4967X

Nikomu, kdo se pohybuje v oblasti IT, v uplynulých měsících patrně neunikl zákon č. 181/2014 Sb. o kybernetické bezpečnosti, přijatý v roce 2014 a účinný od 1.1.2015 (dále jen „zákon“). Jeho přijetí vzbudilo značný ohlas odborné veřejnosti hned z několika důvodů – dle mého názoru jsou těmi nejdůležitějšími zejména obtížná identifikace osob, na něž zákon ve skutečnosti dopadá, a dále přenechání úpravy poměrně značné části klíčových záležitostí (včetně zásadních otázek majících vliv na stanovení osobní působnosti a obsah některých klíčových pojmů), podzákonným předpisům, konkrétně dvěma vyhláškám a jednomu nařízení vlády. Cílem tohoto článku je nastínit hlavní východiska ke stanovení okruhu dotčených osob a vysvětlit základní pojmy v zákoně použité.


Působnost zákona

Hlavním důvodem přijetí zákona bylo dle důvodové zprávy vyhodnocení dosavadního stavu, kdy ochrana kybernetického prostoru byla vykonávána vesměs osobami soukromého práva bez jednotné regulace, potřebné koordinace informací a institucionálního dohledu, jakožto nežádoucího a nezajišťujícího ochranu právu osob na informační sebeurčení (pod nímž lze rozumět nerušený výkon práva na aktivní přijímání, zpracovávání a odesílání informací konkrétní fyzickou osobou). V důvodové zprávě vláda výslovně poukazuje na DDoS útoky na zpravodajské servery, bankovní a finanční instituce, stránky telekomunikačních operátorů a dalších subjektů z března 2014, kdy sice každý z napadených subjektů měl informace o intenzitě a následcích útoku na svém vlastním serveru, nicméně tyto informace napadené subjekty nijak nesdílely a nebylo tak možné je v reálném čase vyhodnocovat a přijmout ochranná opatření. Každý informační a komunikační systém je spravován jiným správcem, v odlišných právních režimech, a tudíž jejich společný postup v kritických situacích nelze (dle důvodové zprávy) zajistit jinak než zákonem. Od přijetí zákona si tak vláda slibuje lepší evidenci, reporting, sdílení informací a tím pádem včasnější a efektivnější zásahy proti obdobným útokům.

Značnou známost získaly institucionální změny, které zákon přináší – jsou zavedena dohledová pracoviště v podobě vládního a národního CERT (neboli „Computer Emergency Response Team“), přičemž vládní CERT je provozován přímo Národním centrem kybernetické bezpečnosti, tvořícím součást Národního bezpečnostního úřadu (NBU), a národní CERT s poněkud odlišnými pravomocemi je provozován sdružením NIC.cz na základě dohody (memoranda) uzavřené s NBU.
 
K označení dotčených subjektů zákon používá termín „orgány a osoby v oblasti kybernetické bezpečnosti“, přičemž se vždy musí jednat o orgány a osoby, spravující dostatečně důležité komunikační nebo informační systémy a sítě, které splňují stanovená kritéria. Nikdy se nejedná o uživatele, ani o poskytovatele obsahu v informační společnosti (tzv. ISP ve smyslu, jak je chápe zákon č. 480/2004 Sb. o některých službách informační společnosti). Zákon žádným způsobem nereguluje obsah přenášených informací, a nevztahuje se tudíž na otázky počítačové kriminality, softwarového pirátství, nelegálního šíření autorských děl, dětské pornografie apod. V rámci plnění kontrolních pravomocí tak stát v žádném okamžiku nemá na základě zákona možnost jakkoli kontrolovat obsah informací, přenášených prostřednictvím informačních sítí (které již samy o sobě předmětem regulace jsou).

Vymezení regulovaných subjektů

Kdo jsou tedy subjekty, na něž zákon dopadá? Obecně řečeno se jedná o subjekty spravující specifické informační a komunikační systémy. Významným kritériem pro stanovení okruhu dotčených osob je, zda je dán stav kybernetického nebezpečí. Za standardní situace dopadají přímé povinnosti dle zákona pouze na subjekty, jejichž systémy, sítě nebo služby mají zásadní význam pro fungování státu nebo informační společnosti. Pouze v případě kybernetického nebezpečí je tento okruh osob rozšířen i na ostatní poskytovatele služeb a správce systémů a sítí.

Lze tak rozlišit dvě skupiny dotčených osob. Tou první, které se zákon dotýká pouze okrajově a v přesně stanovených situacích, jsou poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací, jak je vymezuje zákon o elektronických komunikacích, které jsou povinny „pouze“ nahlásit národnímu dohledovému pracovišti (národnímu CERT) kontaktní údaje, a jejich následné změny, a za stavu kybernetického nebezpečí nebo za nouzového stavu přijmout reaktivní opatření ve smyslu § 11 zákona. Do tohoto okruhu méně dotčených osob patří rovněž patřit subjekty zajišťující tzv. významné sítě, pod nimiž je nutno rozumět páteřní sítě propojující český kybernetický prostor se zahraničím nebo zajišťující přímé připojení ke kritické informační infrastruktuře – tyto osoby mají nadto povinnost zjišťovat kybernetické bezpečnostní události a hlásit kybernetické bezpečnostní incidenty.

Do druhé skupiny osob, na něž zákon dopadá v celé své šíři, patří správci informačních systémů kritické informační infrastruktury, správci komunikačních systémů kritické informační infrastruktury, a správci významných informačních systémů. Tyto osoby jsou (vedle povinností uvedených výše) povinny plnit informační povinnosti vůči vládnímu CERT, zavádět bezpečnostní opatření a provádět opatření v rozsahu dle zákona. Je nutno poznamenat, že za „správce“ je pro účely působnosti zákona považována osoba, která určuje účel zpracování informací a podmínky provozování komunikačního nebo informačního systému. Správcem tedy není například soukromá osoba, provozující infomační systém v elektrárně nebo na letišti a zajišťující jeho chod a podporu, ale je jím samotný provozovatel elektrárny nebo letiště. Provozovatel takového informačního systému může maximálně spadat do první (méně dotčené) skupiny osob, za předpokladu, že je provozovaný systém považován za významnou síť.

Vymezení regulovaných subjektů v prováděcích předpisech

Bližší vymezení těchto subjektů nalezneme v prováděcích předpisech, jejichž přijetí na sebe nechalo poměrně dlouho čekat. K personální působnosti zákona se vztahují vyhláška č. 317/2014 Sb. o významných informačních systémech a jejich určujících kritériích, a dále nařízení č. 315/2014 Sb., kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Vyhláška o významných informačních systémech jednak přímo vyjmenovává konkrétní informační systémy (např. Czech Point, Informační systém datových schránek, Informační systém registru obchodního rejstříku nebo Informační systém Rejstříku trestů), a jednak stanoví obecná tzv. dopadová a oblastní určující kritéria pro identifikaci významného informačního systému. Je nutno poznamenat, že tato vyhláška se týká výhradně informačních systémů spravovaných orgány veřejné moci, nespadají pod ni žádné soukromé osoby.

Definice podmínek aplikace zákona, uvedená v nařízení vlády č. 315/2014 o kritériích pro určení prvku kritické infrastruktury (kterým se mění nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury) je poněkud odlišná a soukromé osoby se jí nevyhnou. Toto nařízení je prováděcím předpisem širšího dopadu, protože stanoví prvky kritické infrastruktury pro účely zákona č. 240/2000 Sb., o krizovém řízení. Konkrétní osoby nebo prvky technické infrastruktury opět nejsou v tomto nařízení identifikovány konkrétně, ale jsou stanovena kritéria pro jejich určení – často je například pro zdravotnická zařízení uváděno kritérium počtu alespoň 2500 lůžek, čehož však aktuálně žádná nemocnice v České republice nedosahuje. Ve vztahu k zákonu a k definici pojmu „kritická informační infrastruktura“ je relevantní část VI. (Komunikační a informační systémy), bod G (Oblast kybernetické bezpečnosti). Tento bod obsahuje pět kritérií, podle nichž se například za prvek kritické infrastruktury považuje „informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách”, anebo “komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit/s”. Důležitým kritériem je poslední, uvedené pod písm. f), které rozšiřuje aplikaci předchozích odvětvových kritérií prvku kritické infrastruktury, stanovené pro účely zákona o krizovém řízení (např. Technologické prvky pevné sítě elektronických komunikací, Technologické prvky pro satelitní komunikaci nebo Technologické prvky sítí pro rozhlasové a televizní vysílání) i na oblast kybernetické bezpečnosti, pokud je ochrana prvku naplňujícího tato kritéria nezbytná pro zajištění kybernetické bezpečnosti.

Závěr
Většina soukromoprávních subjektů bude spadat do výše zmíněné první skupiny osob s užším okruhem povinností, které  v současné době stíhá  jedna povinnost – do 30 ní od nabytí účinnosti zákona (tedy do 30.1.2015) nahlásit své kontaktní údaje národnímu CERT, k čemuž lze využít kontaktní formulář přístupný na stránce https://www.csirt.cz/contactreport/. Všechny subjekty provozující informační a komunikační systémy by měly vyhodnotit, zda na ně zákon dopadá a pokud ano, do které ze skupin dotčených subjektů patří, aby mohly včas přijmout potřebná opatření. Vzhledem k obtížné pochopitelnosti rozsahu působnosti zákona i prováděcích předpisů však může být vhodné provedení odborné analýzy se zvážením konkrétních podmínek týkajících se daného subjektu.

Autor:  Mgr. et Mgr. Petr Mališ, advokát, malis@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři, kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami a internetovým právem