Vývoj právní úpravy

ZKB nabyl účinnosti 1. 1. 2015. Jeho cílem bylo stanovit podmínky spolupráce mezi soukromým sektorem a veřejnou správou za účelem vyšší efektivity řešení kybernetických bezpečnostních incidentů. Zákon rovněž nově zavedl povinnosti fyzickým a právnickým osobám s cílem zvýšit bezpečnost kybernetického prostředí, které určil jako „digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací”. Věcná působnost zákona je vymezena oblastí kybernetické ⁸⁷⁵ bezpečnosti, s výjimkou informačních a komunikačních systémů nakládajících s utajenými ⁸⁷⁶ informacemi. Zákon vymezil i pravomoc ústředního orgánu státní správy - Národního úřadu ^{877 878} pro kybernetickou a informační bezpečnost (NÚKIB) v souvislosti s právy a povinnostmi dalších veřejnoprávních i soukromoprávních subjektů participujících na zajišťování kybernetické bezpečnosti.

ZKB však není jediným právním předpisem, který upravuje kybernetickou bezpečnost. Další zákony se zaměřují na specifické oblasti a jejich ustanovení jsou zpravidla v poměru speciality k ustanovením ZKB. Jde o zákon č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (dále „ZEK”), nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, spolu s prováděcím zákonem č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, a zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále „zákon o ochraně utajovaných informací)”.

Příkladem zvláštních ustanovení je ochrana informačních a komunikačních systémů nakládajících s utajovanými informacemi, v § 33a - 35a zákona o ochraně utajovaných informací.

Zvláštní ustanovení pokrývají i zpracování utajovaných informací, jež jsou sice v elektronické podobě, ale mimo informační a komunikační systém, a kryptografickou ochranu. Zvláštní ⁸⁷⁹ ustanovení, jež souvisí s ochranou bezpečnosti utajovaných informací a bezpečnosti státu v

§ 2 písm. a) ZKB.

875

K vymezení kybernetické bezpečnosti viz kapitola 2.1. Kybernetická bezpečnost a kybernetická obrana jako úloha

876

státu.

§ 1 odst. 3 ZKB.

877

Srov. § 2 bod 16 zákona České národní rady č. 2/1969 Sb. o zřízení ministerstev a jiných ústředních orgánů státní

878

správy České republiky, ve znění pozdějších předpisů.

Srov. § 36 - 45 zákona o ochraně utajovaných informací.

879

působnosti NÚKIB nalezneme i v krizovém zákoně. Na ústavní úrovni se kybernetické ⁸⁸⁰ bezpečnosti teoreticky dotýká i nadřazený právní předpis - ústavní zákon o bezpečnosti ČR. Uplatní se v případech splnění stanovených podmínek pro vyhlášení nouzového stavu, stavu ohrožení státu nebo válečného stavu. ZKB pak obsahuje zvláštní ustanovení např. ve vztahu k zákonu ⁸⁸¹ č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Zakazuje poskytnutí informací, jejichž zpřístupnění by mohlo ohrozit kybernetickou bezpečnost nebo účinnost bezpečnostního opatření. Neposkytují se ani informace z evidence kybernetických bezpečnostních incidentů umožňující určit toho, kdo incident ohlásil. ⁸⁸²

Ještě před transpozicí směrnice NIS tak existovala v ČR komplexní právní úprava kybernetické bezpečnosti. V roce 2017 došlo k rozsáhlé novelizaci ZKB, provedené zákonem č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), který transponoval do českého právního řádu směrnici NIS. Jejím vlivem se dostaly pod režim ZKB i dosud neregulované subjekty. ZKB tak stanovil povinnosti k zabezpečení informačních systémů a sítí elektronických komunikací stěžejních pro poskytování základních služeb a digitálních služeb. Stanovením povinností na poli ⁸⁸³ kybernetické bezpečnosti novela cílila k tomu, aby ČR dostála požadavkům principu náležité péče (due diligence) a minimalizovala zneužívání počítačových systémů a sítí na státním území ke ⁸⁸⁴ kybernetickým útokům vůči cizím státům, a tím i vznik povinnosti nahradit takto způsobenou škodu. ⁸⁸⁵

Do současné doby byl ZKB novelizován celkem osmkrát. Novelizace souvisely zejména s nutným implementováním požadavků stanovených právními předpisy EU. Mezi novelizacemi dotčené oblasti patřily především ochrana osobních údajů a úprava předávání dat, provozních údajů

Podle § 33 krizového zákona mohou orgány krizového řízení kontrolovat dodržování krizového zákona a

880

prováděcích předpisů v zařízeních NÚKIB, pokud by při kontrole mohlo dojít k ohrožení utajovaných informací nebo bezpečnosti státu, jen se souhlasem ředitele.

Srov. čl. 2 ústavního zákona o bezpečnosti ČR.

881

§ 10a ZKB.

882

Vláda ČR. Důvodová zpráva k zákonu č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické

883

bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony, č. 205/2017 Dz, str. 2 - 3.

K principu due diligence srov. zejména podkapitolu 2.4.1.1. Princip náležité péče (due diligence).

884

Vláda ČR. Důvodová zpráva k zákonu č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické

885

bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony, č. 205/2017 Dz, str. 5.

a informací, ochrana funkčnosti digitálních služeb v prostředí EU, elektronizace veřejné správy a ⁸⁸⁶ zabezpečení služeb cloud computingu, evropské certifikáty kybernetické bezpečnosti, ale i ^{887 888} složení zvláštního kontrolního orgánu Poslanecké sněmovny Parlamentu ČR. Za nejvýznamnější ⁸⁸⁹ a nejrozsáhlejší novelizaci ZKB lze považovat již zmíněnou transpozici směrnice NIS s cílem zvýšit bezpečnost sítí a informačních systémů napříč EU. ⁸⁹⁰

NÚKIB vznikl k 1. 8. 2017 s účinností novely provádějící směrnici NIS. Prvotně bylo ⁸⁹¹ orgánem státní správy na poli kybernetické bezpečnosti Národní centrum pro kybernetickou bezpečnost (dále „NCKB”). Jednalo se o specializované pracoviště NBÚ sídlící v Brně, jež vzniklo na základě usnesení vlády ČR ze dne 19. 10. 2011. Úlohou NCKB byla od počátku koordinace ⁸⁹² spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům a řešení kybernetických incidentů i útoků. Technickou součástí byl už vládní CERT, který se zabýval bezpečnostními incidenty, podílel se na výměně informací se zahraničními týmy, věnoval se vzdělávání a analýze dat, ale též upozorňoval například na chybné zabezpečení. NÚKIB je již, ⁸⁹³ narozdíl od NCKB, samostatným ústředním správním úřadem, stejně jako NBÚ, s nímž sdílí působnost v oblasti ochrany utajovaných informací. Odpovídají tomu i novelizacemi postupně ⁸⁹⁴ rozšiřované pravomoci NÚKIB, jimiž má zajistit bezpečný kyberprostor v rámci ČR, a tím ostatně i v rámci EU. O vybraných pravomocích úřadu bude pojednáno níže.

Zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů,

886

jakož i zákon č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony.

Zákon č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné

887

moci, ale i zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů.

Zákon č. 226/2022 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících

888

zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.

Zákon č. 35/2018 Sb., o změně některých zákonů upravujících počet členů zvláštních kontrolních orgánů Poslanecké

889

sněmovny.

Zákon č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících

890

zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony.

Srov. Část čtvrtou zákona č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o

891

změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb.

VLÁDA. Usnesení č. 781 ze dne 19. října 2011 o ustavení NBÚ gestorem problematiky kybernetické bezpečnosti a

892

zároveň národní autoritou pro tuto oblast. Přílohou usnesení byl i Statut Rady pro kybernetickou bezpečnost.

ŠMÍD, Jaroslav. Implementace ZKB [online]. Egovernment. Praha: info*com, 2015, č. 2, str. 8. Dostupné: https://

893

www.egovernment.cz/soubor/2015-2/ [Cit. 2022-11-20].

§ 21a odst. 1 ZKB a § 2 zákona č. 2/1969 Sb. o zřízení ministerstev a jiných ústředních orgánů státní správy České

894

republiky.