Kybernetická bezpečnost
Konference Cyber Security 2018
Mgr. Jana Pattynová, LL.M.
15. 2. 2018
Témata prezentace
Stav legislativního vývoje
Regulované osoby a systémy
Novinky v úpravě
ÚVOD
VÝVOJ LEGISLATIVY
Dub 2016 Říj 2017
Přijetí
zákona
ZKB
Přijetí
GDPR
Schválení
ePrivacy EP
Účinnost
adaptačních
zákonů ČR
Účinnost GDPR
Účinnost
ePrivacy (25.11.2018 - LIBE )
Časová osa
LEGISLATIVNÍ VÝVOJ
Srp 2017 Čvc 2016
Platnost
směrnice NIS
Novela ZKB -
účinnost
Návrh
adaptačních
zákonů ČR
Srp 2017 Úno 2018
Vyhláška o kritériích
pro učení
provozovatelů
základní služby
Vyhláška o
kybernetické
bezpečnosti Novela vyhlášky
o kybernetické
bezpečnosti
Prováděcí
nařízení EK k
NIS
Kvě 2018 Čvc 2014
Vyhláška o
významných IS a
jejich určujících
kritériích
Led 2015
Nařízení o
kritériích pro
určení prvku KI -
novela
Vyhláška o
významných IS
- novela
LEGISLATIVNÍ VÝVOJ
Cílový stav legislativního vývoje (2018)
PRÁVO EU NIS GDPR ePrivacy Vertikální
regulace
ČESKÉ PRÁVO Novela zákona o
kybernetické
bezpečnosti
Implementační
zákon o ochraně
osobních údajů
Novela ZEK
a ZIS
Vertikální
regulace
Finanční instituce ✓ ✓ ✓ ✓
Telekomunikační operátoři ✓ ✓ ✓ ✓
Poskytovatelé zdr. služeb ✓ ✓ ✓ ✓
Veřejný sektor ✓ ✓ ✓ ✓
Energetika ✓ ✓ ✓ X
Poskytovatelé cloudu ✓ ✓ ✓ X
Poskytovatelé služeb X ✓ ✓ X
Výrobní společnosti X ✓ ✓ X
Maloobchodní řetězce X ✓ ✓ X
LEGISLATIVNÍ VÝVOJ
Právní úprava v České republice
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti – novela č. 205/2017 Sb.
Vyhláška č. 316/2014 Sb. o kybernetické bezpečnosti– návrh novely poslední znění 19. 1. 2018
Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích – novela č. 205/2016 Sb.
Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby
Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury – novela č. 315/2014 Sb.
Právní úprava EU
LEGISLATIVNÍ VÝVOJ
• Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016
• Implementována novelou ZKB Směrnice NIS
• Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018
• Bližší upřesnění bezpečnostních opatření pro poskytovatele digitálních služeb
• Stanovení parametrů pro posuzování významnosti dopadu incidentu
• Účinnost od 10. května 2018
Prováděcí nařízení Komise
Novinky od srpna 2017
IMPLEMENTACE ZKB
Rozšíření působnosti a okruhu povinných osob– základní a digitální služba
Rozšíření povinností při kybernetických bezpečnostních událostech a incidentech
Povinnosti orgánů veřejné moci při uzavírání smluv na cloud computing
Informační povinnost, úprava přestupků a pokut – až 5 mil. Kč
Zřízení NÚKIB
REGULOVANÉ OSOBY A SYSTÉMY
Regulované orgány a osoby
REGULOVANÉ OSOBY A SYSTÉMY
Poskytovatel služby el. komunikací
Subjekt zajišťující síť el. komunikací
Orgán/osoba zajišťující významnou
síť
Správce/provozovatel IS / KS kritické
informační infrastruktury
Správce/provozovatel významného IS
Správce a provozovatel IS základní služby
Provozovatel základní služby
Poskytovatel digitální služby
REGULOVANÉ OSOBY A SYSTÉMY
Regulované orgány a osoby
Orgány veřejné moci
Subjekty v definovaných odvětvích – např. zdravotnictví, vodní hospodářství, energetika, doprava atd.
Poskytovatelé služeb elektronických komunikací
Poskytovatelé cloudových služeb
Poskytovatelé služeb internetových vyhledávačů
Poskytovatelé online tržišť
Významný IS
Významná síť
Info. systém KI
Kom. systém KI
IS základní služby Digitální služba
Kritická infrastruktura
Základní služba
Služba el. komunikací
X
Sít el. komunikací
Orgány veřejné moci
Orgány veřejné moci + Definovaná odvětví
Online tržiště
Internetové vyhledávače
Cloud computing
Dopadová a oblastní kritéria
Průřezová a odvětvová kritéria
REGULOVANÉ OSOBY A SYSTÉMY
Struktura regulace
Služba elektronických
komunikací
Síť elektronických
komunikací
Významný informační
systém
Komunikační nebo
informační systém
kritické informační
infrastruktury
Významná síť
Poskytovatel služby
nebo sítě
elektronických
komunikací
Orgán nebo osoba
zajišťující významnou
síť
Správce IS nebo KS
kritické informační
infrastruktury
Správce významného
informačního systému
Hlášení kontaktních
údajů národnímu
CERT týmu (CSIRT.CZ)
Hlášení
kybernetických
bezpečnostních
incidentů národnímu
CERT týmu (CSIRT.CZ)
Provádění ochranných
opatření
Oznámení o
provedení reaktivních
opatření vládnímu
CERT týmu
(GovCERT.CZ)
Provádění reaktivních
opatření
Detekce
kybernetických
bezpečnostních
událostí
Hlášení kontaktních
údajů vládnímu CERT
týmu (GovCERT.CZ)
Implementace a
provádění
bezpečnostních
opatření
Hlášení kybernetických
bezpečnostních
incidentů vládnímu
CERT týmu
(GovCERT.CZ)
REGULOVANÉ OSOBY A SYSTÉMY
Poz.: není zahrnuta základní a digitální služba
Struktura regulace
IMPLEMENTACE ZÁKONA O KYBERNETICKÉ
BEZPEČNOSTI
Oblasti implementace ZKB
IMPLEMENTACE ZKB
Technická opatření
Fyzická bezpečnost
Ochrana integrity kom. sítí,
Ověřování identity uživatelů
Řízení přístupových oprávnění
Bezpečnostní dokumentace
Bezpečnostní politika
Zpráva o hodnocení aktiv a rizik
Plán zvládání rizik
Procesní a organizační
opatření
Hlášení bezpečnostních událostí a incidentů
Řízení bezpečnosti informací, rizik, aktiv, bezpečnosti lidských zdrojů
Bezpečnostní politika
Organizační bezpečnost
?
Jana Pattynová [email protected]
+420 777 738 040
Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených
na právo technologií, médií a komunikací
Hlavní oblasti praxe:
• Ochrana osobních údajů
• IT smlouvy, včetně smluv na cloudové produkty
• IoT
• M&A transakce v technologickém sektoru
• Podpora start-upů při vstupu na zahraniční trhy
• Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD)
• IP právo
• Média
• Telekomunikační právo
Lenka Suchánková [email protected]
+420 777 738 046
Více informací: www.pierstone.com
12 let nejvyšší nezávislá
hodnocení pro oblast technologie
Partneři odpovědní za Cyber Security projekty :
Top Related