3. Zákon o kybernetické bezpečnosti
3.1. Nová právní úprava kybernetické bezpečnosti 1. Okolnosti a důvody přijetí nové právní úpravy 843
3.1.3. Vývoj právní úpravy
ZKB nabyl účinnosti 1. 1. 2015. Jeho cílem bylo stanovit podmínky spolupráce mezi soukromým sektorem a veřejnou správou za účelem vyšší efektivity řešení kybernetických bezpečnostních incidentů. Zákon rovněž nově zavedl povinnosti fyzickým a právnickým osobám s cílem zvýšit bezpečnost kybernetického prostředí, které určil jako „digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací”. Věcná působnost zákona je vymezena oblastí kybernetické 875 bezpečnosti, s výjimkou informačních a komunikačních systémů nakládajících s utajenými 876 informacemi. Zákon vymezil i pravomoc ústředního orgánu státní správy - Národního úřadu 877 878 pro kybernetickou a informační bezpečnost (NÚKIB) v souvislosti s právy a povinnostmi dalších veřejnoprávních i soukromoprávních subjektů participujících na zajišťování kybernetické bezpečnosti.
ZKB však není jediným právním předpisem, který upravuje kybernetickou bezpečnost. Další zákony se zaměřují na specifické oblasti a jejich ustanovení jsou zpravidla v poměru speciality k ustanovením ZKB. Jde o zákon č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (dále „ZEK”), nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, spolu s prováděcím zákonem č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, a zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále „zákon o ochraně utajovaných informací)”.
Příkladem zvláštních ustanovení je ochrana informačních a komunikačních systémů nakládajících s utajovanými informacemi, v § 33a - 35a zákona o ochraně utajovaných informací.
Zvláštní ustanovení pokrývají i zpracování utajovaných informací, jež jsou sice v elektronické podobě, ale mimo informační a komunikační systém, a kryptografickou ochranu. Zvláštní 879 ustanovení, jež souvisí s ochranou bezpečnosti utajovaných informací a bezpečnosti státu v
§ 2 písm. a) ZKB.
875
K vymezení kybernetické bezpečnosti viz kapitola 2.1. Kybernetická bezpečnost a kybernetická obrana jako úloha
876
státu.
§ 1 odst. 3 ZKB.
877
Srov. § 2 bod 16 zákona České národní rady č. 2/1969 Sb. o zřízení ministerstev a jiných ústředních orgánů státní
878
správy České republiky, ve znění pozdějších předpisů.
Srov. § 36 - 45 zákona o ochraně utajovaných informací.
879
působnosti NÚKIB nalezneme i v krizovém zákoně. Na ústavní úrovni se kybernetické 880 bezpečnosti teoreticky dotýká i nadřazený právní předpis - ústavní zákon o bezpečnosti ČR. Uplatní se v případech splnění stanovených podmínek pro vyhlášení nouzového stavu, stavu ohrožení státu nebo válečného stavu. ZKB pak obsahuje zvláštní ustanovení např. ve vztahu k zákonu 881 č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Zakazuje poskytnutí informací, jejichž zpřístupnění by mohlo ohrozit kybernetickou bezpečnost nebo účinnost bezpečnostního opatření. Neposkytují se ani informace z evidence kybernetických bezpečnostních incidentů umožňující určit toho, kdo incident ohlásil. 882
Ještě před transpozicí směrnice NIS tak existovala v ČR komplexní právní úprava kybernetické bezpečnosti. V roce 2017 došlo k rozsáhlé novelizaci ZKB, provedené zákonem č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), který transponoval do českého právního řádu směrnici NIS. Jejím vlivem se dostaly pod režim ZKB i dosud neregulované subjekty. ZKB tak stanovil povinnosti k zabezpečení informačních systémů a sítí elektronických komunikací stěžejních pro poskytování základních služeb a digitálních služeb. Stanovením povinností na poli 883 kybernetické bezpečnosti novela cílila k tomu, aby ČR dostála požadavkům principu náležité péče (due diligence) a minimalizovala zneužívání počítačových systémů a sítí na státním území ke 884 kybernetickým útokům vůči cizím státům, a tím i vznik povinnosti nahradit takto způsobenou škodu. 885
Do současné doby byl ZKB novelizován celkem osmkrát. Novelizace souvisely zejména s nutným implementováním požadavků stanovených právními předpisy EU. Mezi novelizacemi dotčené oblasti patřily především ochrana osobních údajů a úprava předávání dat, provozních údajů
Podle § 33 krizového zákona mohou orgány krizového řízení kontrolovat dodržování krizového zákona a
880
prováděcích předpisů v zařízeních NÚKIB, pokud by při kontrole mohlo dojít k ohrožení utajovaných informací nebo bezpečnosti státu, jen se souhlasem ředitele.
Srov. čl. 2 ústavního zákona o bezpečnosti ČR.
881
§ 10a ZKB.
882
Vláda ČR. Důvodová zpráva k zákonu č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické
883
bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony, č. 205/2017 Dz, str. 2 - 3.
K principu due diligence srov. zejména podkapitolu 2.4.1.1. Princip náležité péče (due diligence).
884
Vláda ČR. Důvodová zpráva k zákonu č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické
885
bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony, č. 205/2017 Dz, str. 5.
a informací, ochrana funkčnosti digitálních služeb v prostředí EU, elektronizace veřejné správy a 886 zabezpečení služeb cloud computingu, evropské certifikáty kybernetické bezpečnosti, ale i 887 888 složení zvláštního kontrolního orgánu Poslanecké sněmovny Parlamentu ČR. Za nejvýznamnější 889 a nejrozsáhlejší novelizaci ZKB lze považovat již zmíněnou transpozici směrnice NIS s cílem zvýšit bezpečnost sítí a informačních systémů napříč EU. 890
NÚKIB vznikl k 1. 8. 2017 s účinností novely provádějící směrnici NIS. Prvotně bylo 891 orgánem státní správy na poli kybernetické bezpečnosti Národní centrum pro kybernetickou bezpečnost (dále „NCKB”). Jednalo se o specializované pracoviště NBÚ sídlící v Brně, jež vzniklo na základě usnesení vlády ČR ze dne 19. 10. 2011. Úlohou NCKB byla od počátku koordinace 892 spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům a řešení kybernetických incidentů i útoků. Technickou součástí byl už vládní CERT, který se zabýval bezpečnostními incidenty, podílel se na výměně informací se zahraničními týmy, věnoval se vzdělávání a analýze dat, ale též upozorňoval například na chybné zabezpečení. NÚKIB je již, 893 narozdíl od NCKB, samostatným ústředním správním úřadem, stejně jako NBÚ, s nímž sdílí působnost v oblasti ochrany utajovaných informací. Odpovídají tomu i novelizacemi postupně 894 rozšiřované pravomoci NÚKIB, jimiž má zajistit bezpečný kyberprostor v rámci ČR, a tím ostatně i v rámci EU. O vybraných pravomocích úřadu bude pojednáno níže.
Zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů,
886
jakož i zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony.
Zákon č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné
887
moci, ale i zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů.
Zákon č. 226/2022 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících
888
zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.
Zákon č. 35/2018 Sb., o změně některých zákonů upravujících počet členů zvláštních kontrolních orgánů Poslanecké
889
sněmovny.
Zákon č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících
890
zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony.
Srov. Část čtvrtou zákona č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o
891
změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb.
VLÁDA. Usnesení č. 781 ze dne 19. října 2011 o ustavení NBÚ gestorem problematiky kybernetické bezpečnosti a
892
zároveň národní autoritou pro tuto oblast. Přílohou usnesení byl i Statut Rady pro kybernetickou bezpečnost.
ŠMÍD, Jaroslav. Implementace ZKB [online]. Egovernment. Praha: info*com, 2015, č. 2, str. 8. Dostupné: https://
893
www.egovernment.cz/soubor/2015-2/ [Cit. 2022-11-20].
§ 21a odst. 1 ZKB a § 2 zákona č. 2/1969 Sb. o zřízení ministerstev a jiných ústředních orgánů státní správy České
894
republiky.