Zákon o kybernetické bezpečnosti a vyhláška o kybernetické bezpečnosti ZKB zvyšuje kybernetickou bezpečnost tím, že vybraným orgánům a osobám ukládá

služeb. Ostatní subjekty mohou hlásit incidenty se závažným dopadem na kontinuitu služeb, které ⁶⁵³ poskytují, dobrovolně. ⁶⁵⁴

V budoucnu má dojít k rozšíření okruhu povinných subjektů novou směrnicí EU o bezpečnosti sítí a informačních systémů. Získala si pracovní název směrnice NIS2. Přijetí konečného znění směrnice NIS2 se předpokládá na konci roku 2022, přičemž členské státy by měly provést změny v legislativě v průběhu roku 2024. Kromě rozšíření regulovaných odvětví (např. o odpadové hospodářství) i regulovaných služeb (např. nově regulované služby cloud computingu) a změn v identifikaci povinných osob (hledisko minimálního počtu zaměstnanců či minimálního ročního obratu či bilanční sumy roční rozvahy), má směrnice NIS2 rozlišovat mezi povinnými subjekty: subjekty v režimu „essential” budou mít uloženy přísnější povinnosti než ty spadající do režimu „important”. ⁶⁵⁵

2.3.5.5. Zákon o kybernetické bezpečnosti a vyhláška o kybernetické bezpečnosti

podobu bezpečnostních opatření nebylo možné ponechat z důvodu právní jistoty na povinných orgánech a osobách. ⁶⁵⁸

Vyhláška o kybernetické bezpečnosti stanoví konkrétní opatření, která mají přispět k zajištění důvěrnosti, celistvosti a dostupnosti informací a služeb. Zajištěním dostupnosti se věnuje např. § 15 této vyhlášky, který specifikuje povinnosti v rámci řízení kontinuity činností.

Charakterem jde o organizační opatření, jejichž cílem je bránit přerušení činnosti povinné osoby a umožnit rychlou reakci na nastalou krizi, jež by ochránila organizaci před závažnými následky lidských chyb či katastrof. Jde o vytvoření určitého systému managerského řízení krizových stavů. Podrobněji konkrétní kroky v rámci prevence a reakce na krizové události rozebírají ⁶⁵⁹ Smejkal, Sokol a Kodl. K zajištění důvěrnosti i celistvosti informací přispívají technická ⁶⁶⁰ opatření, jako např. kryptografie a aktivní blokace nežádoucí komunikace, či povinnosti v rámci ⁶⁶¹ správy a ověřování identit. Vyhláška uvádí i zařízení a jejich prvky, u nichž je nutné použít ⁶⁶² nástroj nepřetržité ochrany před malware, či povinnosti při zajišťování dostupnosti informací. ^{663 664}

Významnou povinností, kterou ukládá ZKB, je nutnost hlásit kybernetické bezpečnostní incidenty bezodkladně po jejich zjištění a vyhodnocení události jako kybernetického bezpečnostního incidentu. Smyslem je umožnit vládnímu i národnímu CERT, jimž jsou incidenty ⁶⁶⁵ hlášeny, reagovat na nastalou bezpečnostní situaci a koordinovat ochranu kritické informační infrastruktury, významných informačních systémů a významných sítí. NÚKIB (resp. původně NBÚ) byl zákonem zmocněn i k definování konkrétních parametrů kybernetických ⁶⁶⁶ bezpečnostních incidentů a způsobu jejich nahlašování. Vyhláška o kybernetické bezpečnosti proto uvádí podmínky: kybernetické bezpečnostní incidenty mají být hodnoceny nejen podle důležitosti

Důvodová zpráva k ZKB. Op. cit., § 6.

658

SMEJKAL, Vladimír, SOKOL, Tomáš, KODL, Jindřich. Op. cit., str. 148.

659

Tamtéž, str. 149 - 160.

660

Srov. § 18 písm. c), d), § 26 vyhlášky o kybernetické bezpečnosti.

661

Srov. § 19 vyhlášky o kybernetické bezpečnosti.

662

Srov. § 21 odst. 1 písm. a) vyhlášky o kybernetické bezpečnosti.

663

Srov. § 27 vyhlášky o kybernetické bezpečnosti. Podrobněji SMEJKAL, Vladimír, SOKOL, Tomáš, KODL,

664

Jindřich. Op. cit., str. 190 an.

Povinnost se týká orgánů a osob zajišťujících významnou síť, jakož i správců a provozovatelů informačního systému

665

kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, významného informačního systému a informačního systému základní služby. Srov. § 8 odst. 1 ve spojení s § 3 písm. b) až f) ZKB.

Povinnost hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb má i poskytovatel digitální služby, jestliže disponuje informacemi pro posouzení významu tohoto dopadu. Srov. § 8 odst. 2 ZKB.

§ 28 odst. 2 písm. b) ZKB.

666

chráněných informací a služeb co do složek důvěrnosti, celistvosti (integrity) a dostupnosti.

Jednotlivé kategorie incidentů (I - III.) zohledňují počet dotčených uživatelů, rozsah vzniklé či předpokládané škody, dopady na služby poskytované jinými informačními a komunikačními systémy, jakož i délku trvání incidentů či zeměpisný rozsah dotčené oblasti. Samotná triáda CIA ⁶⁶⁷ slouží též ke kategorizaci kybernetických bezpečnostních incidentů. ⁶⁶⁸

Plnění zákonných povinností u vybraných orgánů a osob, jakož i dodržování prováděcích právních předpisů v oblasti kybernetické bezpečnosti, sledují zaměstnanci NÚKIB v rámci výkonu kontroly. ⁶⁶⁹

ZKB dále upravuje opatření, která provádí NÚKIB k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbami v oblasti kybernetické bezpečnosti, jakož i ta, jimiž řeší existující kybernetické bezpečnostní incidenty. Jde o varování, reaktivní opatření a ochranná opatření. Podrobněji jsou opatření rozebrána v 3. části této práce. ⁶⁷⁰

ZKB rovněž upravuje tzv. stav kybernetického nebezpečí, který definuje jako „stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb elektronických komunikací anebo bezpečnost a integrita sítí elektronických komunikací, a tím by mohlo dojít k porušení nebo došlo k ohrožení zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací.” Důvodová zpráva poukazuje na nutnost ⁶⁷¹ řešit natolik masivní „ohrožení nebo narušení kybernetické bezpečnosti, že v jeho důsledku mohou být ohroženy nebo dokonce poškozeny fundamentální národní zájmy.” ⁶⁷² Pokud nebudou stačit běžné mechanismy upravené v ZKB, může ředitel NÚKIB vyhlásit stav kybernetického nebezpečí na maximální dobu 7 dní, kdy je NÚKIB oprávněn vydat rozhodnutí nebo opatření obecné povahy ve smyslu § 13 ZKB, která budou určena i dalším orgánům a osobám. Při vyhlášení stavu ⁶⁷³ kybernetického nebezpečí je tudíž třeba respektovat princip subsidiarity - nelze jej vyhlásit, lze-li nebezpečí odvrátit jinak, tedy typicky opatřeními na ochranu informačních systémů nebo služeb a sítí elektronických komunikací. Z hlediska činnosti NÚKIB upravené v ZKB lze vyhlášení stavu

Srov. § 31 odst. 1 vyhlášky o kybernetické bezpečnosti.

667

§ 31 odst. 3 vyhlášky o kybernetické bezpečnosti.

668

Kontrolu, nápravná opatření a přestupky v oblasti kybernetické bezpečnosti upravuje Hlava V ZKB.

669

§ 11 odst. 2 ZKB.

670

§ 21 odst. 1 ZKB.

671

Důvodová zpráva k ZKB. Op. cit. § 21.

672

§ 21 odst. 4 a 5 ZKB.

673

kybernetického nebezpečí chápat jako prostředek ultima ratio. Dále již přichází na řadu vyhlášení nouzového stavu vládou podle ústavního zákona o bezpečnosti ČR. ⁶⁷⁴

Jak uvádí Důvodová zpráva k ZKB, stav kybernetického nebezpečí se nemá dotknout uživatelů informačních systémů, sítí a služeb elektronických komunikací - jeho vyhlášením dojde jen k rozšíření okruhu orgánů a osob, které budou povinny provádět reaktivní opatření vydaná NÚKIB; stav kybernetického nebezpečí proto také není upraven v zákoně č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „krizový zákon”), neboť práv a povinností občanů ČR se nedotýká. ⁶⁷⁵

Je nicméně otázkou, zda mezi stavem kybernetického nebezpečí a nouzovým stavem nestojí ještě stav nebezpečí ve smyslu § 3 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (dále jen „krizový zákon”). Podle něj se stav nebezpečí může vyhlásit jako bezodkladné opatření, „jsou-li ohroženy životy, zdraví, majetek, životní prostředí, pokud nedosahuje intenzita ohrožení značného rozsahu, a není možné odvrátit ohrožení běžnou činností správních úřadů, orgánů krajů a obcí, složek integrovaného záchranného systému nebo subjektů kritické infrastruktury.” Lze si představit, že v důsledku kybernetického bezpečnostního incidentu, který postihne např. velkou krajskou nemocnici či jadernou elektrárnu, budou ohroženy životy, zdraví a majetek, intenzita ohrožení však nebude vyhodnocena co do značného rozsahu tak, aby odůvodnila nouzový stav ve smyslu čl. 5 ústavního zákona o bezpečnosti ČR, současně však činnost NÚKIB ve stavu kybernetického nebezpečí nepostačí k odvrácení ohrožení. V takovém případě by bylo jistě na místě vyhlásit stav nebezpečí podle krizového zákona.