Zákon o kybernetické bezpečnosti
Publikováno: 25.4.2022
Zákon o kybernetické bezpečnosti definuje práva a povinnosti osob a orgánů působících v oblasti kybernetické bezpečnosti. Upravuje zabezpečení systémů pro elektronickou komunikaci, interpretuje příslušné předpisy Evropské unie.
Hlavním smyslem zákona č. 181/2014 Sb., o kybernetické bezpečnosti, je:
- stanovit minimální úroveň bezpečnostních opatření v oblasti IT,
- zefektivnit odhalování a hlášení kybernetických bezpečnostních incidentů,
- zavést opatření reagující na tyto incidenty a
- upravit činnost dohledových pracovišť.
Vyhláška č. 82/2018 Sb. upravuje detaily a definuje:
- obsah a strukturu bezpečnostní dokumentace,
- obsah a rozsah bezpečnostních opatření,
- typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
- náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
- náležitosti oznámení o provedených opatřeních a jejich výsledku,
- vzor oznámení kontaktních údajů,
- způsob likvidace dat, provozních údajů, informací a jejich kopií.
Další náležitosti určují tyto předpisy:
- Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích — definuje významné informační systémy (VIS) a kritéria pro jejich určení.
- Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury — vymezuje odvětvová ad. kritéria pro určení prvku kritické infrastruktury.
- Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby — upravuje odvětvová a dopadová kritéria pro určení provozovatele základní služby, určuje významnost dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností (§ 22 odst. 1 zákona o kybernetické bezpečnosti).
S čím je vhodné začít:
- seznam aktiv
- aktualizace směrnic a dalších řídících dokumentů
- dokumentace důležitých informačních systémů
- dokumentace definice řízení přístupů
- základní riziková analýza
- dokumentace bezpečnosti provozu (zálohování, monitoring, záznam logů, ochranu proti malwaru)
- dokumentace bezpečnosti komunikací (šifrování, využití VPN pro připojení, verze TLS apod.)
- řízení incidentů bezpečnosti informací
- řízení kontinuity činností organizace z hlediska bezpečnosti dat