Zákon o kybernetické bezpečnosti: Co musíte vědět v roce 2024

Základní pojmy a definice kybernetické bezpečnosti

Kybernetická bezpečnost představuje v současné digitální éře klíčový aspekt ochrany informačních systémů a dat před různými formami útoků a hrozeb. V kontextu českého právního prostředí je tato problematika komplexně upravena zákonem o kybernetické bezpečnosti, který stanovuje základní rámec pro zajištění bezpečnosti kybernetického prostoru na území České republiky.

Kybernetická bezpečnost je definována jako stav, kdy jsou informační systémy a data v nich obsažená dostatečně chráněny před neoprávněným přístupem, zneužitím, narušením nebo zničením. Tento stav je dosahován prostřednictvím komplexního souboru technických, organizačních a personálních opatření, která musí být implementována v souladu s požadavky stanovenými právními předpisy.

Zákon o kybernetické bezpečnosti zavádí pojem informační systém, který představuje organizovaný soubor informačních technologií a lidských zdrojů, jenž slouží ke shromažďování, přenosu, zpracování a uchovávání dat. Tyto systémy mohou být různé složitosti a rozsahu, od jednoduchých lokálních aplikací až po rozsáhlé infrastruktury zahrnující cloudová řešení a distribuované sítě.

Kybernetický bezpečnostní incident představuje událost, která má nebo může mít nepříznivý dopad na bezpečnost informačních systémů nebo služeb. Incident může mít různé formy, od technických selhání přes lidské chyby až po cílené útoky ze strany útočníků. Zákon ukládá povinným subjektům detekovat, vyhodnocovat a hlásit takové incidenty příslušným orgánům v stanovených lhůtách.

Důležitým pojmem je povinný subjekt, kterým se rozumí osoba, která provozuje informační systém nebo poskytuje službu spadající do působnosti zákona o kybernetické bezpečnosti. Tyto subjekty jsou rozděleny do různých kategorií podle závažnosti dopadu případného bezpečnostního incidentu na fungování společnosti a poskytování kritických služeb. Povinné subjekty musí implementovat bezpečnostní opatření přiměřená identifikovaným rizikům.

Zákon dále definuje významný informační systém jako systém, jehož narušení by mělo závažný dopad na výkon působnosti správního úřadu nebo na poskytování základních služeb. Tyto systémy podléhají přísnějším bezpečnostním požadavkům a intenzivnějšímu dohledu ze strany regulačních orgánů.

Bezpečnostní opatření představují konkrétní technické, organizační a personální postupy a prostředky, které slouží k minimalizaci kybernetických rizik a zajištění odpovídající úrovně bezpečnosti. Tato opatření musí být navržena na základě důkladné analýzy rizik a musí být průběžně aktualizována v souladu s vývojem hrozeb a technologií.

Pojem kybernetické hrozby označuje potenciální příčinu nežádoucí události, která může způsobit škodu informačnímu systému nebo organizaci. Hrozby mohou být jak úmyslné, například cílené útoky hackerů, tak neúmyslné, jako jsou přírodní katastrofy nebo technická selhání. Identifikace a vyhodnocování hrozeb je základním předpokladem pro efektivní řízení kybernetické bezpečnosti.

Zákon o kybernetické bezpečnosti také zavádí koncept kritické informační infrastruktury, která zahrnuje ty nejdůležitější informační systémy, jejichž narušení by mělo závažný dopad na bezpečnost státu, ekonomiku nebo základní společenské funkce. Ochrana této infrastruktury je prioritou národní bezpečnostní politiky.

Rozsah působnosti zákona a dotčené subjekty

Zákon o kybernetické bezpečnosti představuje komplexní právní rámec, který stanovuje jasné podmínky pro zajištění ochrany informačních systémů a sítí v České republice. Rozsah působnosti tohoto zákona je pečlivě vymezen tak, aby pokrýval všechny klíčové oblasti, kde může dojít k ohrožení kybernetického prostoru a kde je nezbytné zajistit odpovídající úroveň zabezpečení.

Zákon se primárně vztahuje na správce kritické informační infrastruktury, což jsou subjekty provozující systémy a služby, jejichž narušení by mělo závažný dopad na bezpečnost státu, ekonomiku nebo základní společenské funkce. Tyto subjekty musí splňovat nejpřísnější bezpečnostní požadavky a podléhají pravidelným kontrolám ze strany Národního úřadu pro kybernetickou a informační bezpečnost. Jejich identifikace probíhá na základě detailní analýzy významnosti poskytovaných služeb a potenciálního dopadu jejich výpadku na fungování společnosti.

Dalšími dotčenými subjekty jsou poskytovatelé digitálních služeb, mezi které patří provozovatelé online tržišť, poskytovatelé cloudových služeb a vyhledávačů. Tito poskytovatelé musí implementovat technická a organizační opatření odpovídající rizikům spojeným s jejich činností. Zákon na ně klade povinnost hlásit významné bezpečnostní incidenty a udržovat dokumentaci o přijatých bezpečnostních opatřeních.

Významnou kategorii tvoří také provozovatelé základních služeb, kteří působí v sektorech jako je energetika, doprava, zdravotnictví, bankovnictví, finanční trhy, zásobování vodou a digitální infrastruktura. Tyto subjekty jsou povinny zavést systém řízení bezpečnosti informací, provádět pravidelná hodnocení rizik a zajistit kontinuitu poskytování svých služeb i v případě kybernetického útoku.

Zákon se dále vztahuje na správní úřady a orgány veřejné moci, které spravují informační systémy obsahující citlivé údaje občanů nebo zajišťují výkon státní správy. Tyto instituce musí dodržovat specifická bezpečnostní opatření a spolupracovat s národními orgány odpovědnými za kybernetickou bezpečnost. Jejich povinnosti zahrnují nejen technickou ochranu systémů, ale také školení zaměstnanců a vytváření bezpečnostní kultury v rámci organizace.

Působnost zákona se vztahuje i na subjekty, které nejsou přímo identifikovány jako povinné osoby, ale jejich činnost může mít vliv na kybernetickou bezpečnost státu. Tyto subjekty mohou být vyzvány ke spolupráci při řešení bezpečnostních incidentů nebo k poskytnutí informací nezbytných pro zajištění národní kybernetické bezpečnosti.

Zákon také upravuje postavení a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost, který vykonává dohled nad dodržováním povinností stanovených zákonem. Tento úřad má oprávnění provádět kontroly, ukládat sankce za porušení zákona a vydávat závazná stanoviska k bezpečnostním opatřením. Současně funguje jako koordinační centrum pro řešení kybernetických bezpečnostních incidentů a poskytuje metodickou podporu dotčeným subjektům.

Rozsah působnosti zákona zahrnuje také povinnosti týkající se oznamování bezpečnostních incidentů, které musí být hlášeny v zákonem stanovených lhůtách. Subjekty jsou povinny neprodleně informovat příslušné orgány o každém incidentu, který má nebo může mít významný dopad na poskytování jejich služeb či na bezpečnost zpracovávaných dat.

Kategorizace systémů podle míry důležitosti a rizika

Kategorizace systémů podle míry důležitosti a rizika představuje základní pilíř českého zákona o kybernetické bezpečnosti, který stanovuje jasná pravidla pro identifikaci a ochranu kritických informačních systémů. Tento proces kategorizace vychází z předpokladu, že ne všechny informační systémy mají stejný význam pro fungování státu, společnosti či poskytování základních služeb občanům. Zákon o kybernetické bezpečnosti proto zavádí systematický přístup k hodnocení důležitosti jednotlivých systémů a s tím spojeného rizika jejich narušení.

Samotná kategorizace rozděluje informační a komunikační systémy do tří základních kategorií, přičemž každá kategorie odráží různou míru dopadu potenciálního bezpečnostního incidentu na chráněné zájmy České republiky. Nejvyšší kategorii tvoří systémy, jejichž narušení by mohlo mít zásadní dopad na bezpečnost státu, životy a zdraví obyvatel, ekonomickou stabilitu nebo schopnost poskytovat základní veřejné služby. Do této kategorie spadají například systémy řídící kritickou infrastrukturu v energetice, zdravotnictví, dopravě či finančním sektoru.

Proces kategorizace není jednorázovou záležitostí, ale dynamickým procesem vyžadujícím pravidelné přehodnocování v závislosti na měnících se hrozbách a technologickém vývoji. Povinné subjekty musí své systémy kategorizovat na základě metodiky vydané Národním úřadem pro kybernetickou a informační bezpečnost, která stanovuje konkrétní kritéria a postupy hodnocení. Tato metodika zohledňuje faktory jako je rozsah poskytovaných služeb, počet dotčených uživatelů, závislost jiných systémů, možné ekonomické dopady a celkový význam pro fungování společnosti.

Zákon o kybernetické bezpečnosti ukládá různé povinnosti v závislosti na přidělené kategorii systému. Systémy zařazené do vyšších kategorií podléhají přísnějším bezpečnostním požadavkům, včetně povinnosti implementovat pokročilá technická a organizační opatření, provádět pravidelné bezpečnostní audity a hlásit bezpečnostní incidenty v krátkých lhůtách. Správci těchto systémů musí také jmenovat kontaktní osobu pro kybernetickou bezpečnost a zajistit kontinuální monitoring bezpečnostních událostí.

Kategorizace systémů vychází z principu proporcionality, kdy intenzita bezpečnostních opatření odpovídá skutečnému riziku a důležitosti chráněného systému. Tento přístup umožňuje efektivní alokaci zdrojů a zabraňuje zbytečnému administrativnímu zatížení subjektů spravujících méně kritické systémy. Zároveň však zajišťuje, že systémy s vysokým rizikem a důležitostí jsou chráněny odpovídajícím způsobem.

Významnou roli v procesu kategorizace hraje také posouzení vzájemných závislostí mezi jednotlivými systémy. Moderní informační infrastruktura je charakteristická vysokou mírou propojení, kdy výpadek jednoho systému může mít kaskádový efekt na další systémy a služby. Zákon proto vyžaduje, aby správci systémů při kategorizaci zohlednili nejen přímé dopady narušení jejich vlastního systému, ale také potenciální dopady na navázané systémy a služby poskytované jinými subjekty.

Kybernetická bezpečnost není jen technickou záležitostí, ale základním pilířem fungování moderního státu. Zákon o kybernetické bezpečnosti představuje nezbytný rámec pro ochranu kritické informační infrastruktury a zajištění digitální suverenity v době, kdy každý systém může být cílem útoku a každá zranitelnost může ohrozit celou společnost.

Radovan Tůma

Povinnosti provozovatelů kritických informačních systémů

Provozovatelé kritických informačních systémů nesou v rámci českého právního řádu zvláštní odpovědnost, která vyplývá z jejich klíčového postavení v zajišťování bezpečnosti a kontinuity fungování státu. Zákon o kybernetické bezpečnosti ukládá těmto subjektům rozsáhlý soubor povinností, jejichž dodržování je nezbytné pro ochranu kritické informační infrastruktury České republiky před kybernetickými hrozbami a incidenty.

Základní povinností provozovatelů kritických informačních systémů je zajištění bezpečnosti a ochrany těchto systémů na odpovídající úrovni. Tato povinnost není pouze formální, ale vyžaduje aktivní a systematický přístup k identifikaci rizik, implementaci bezpečnostních opatření a jejich průběžné aktualizaci v souladu s vývojem kybernetických hrozeb. Provozovatelé musí vytvořit a udržovat komplexní bezpečnostní dokumentaci, která odráží specifika jejich informačních systémů a zahrnuje detailní analýzu možných bezpečnostních rizik.

V rámci svých povinností musí provozovatelé kritických informačních systémů vypracovat a pravidelně aktualizovat bezpečnostní dokumentaci, která obsahuje bezpečnostní politiku, provozní dokumentaci bezpečnosti a dokumentaci řízení bezpečnosti informací. Tato dokumentace musí být živým dokumentem, který reaguje na měnící se bezpečnostní prostředí a technologické inovace. Zákon kybernetická bezpečnost stanovuje přesné požadavky na obsah a strukturu této dokumentace, přičemž její nedostatečné zpracování může vést k závažným sankčním postihům.

Další klíčovou povinností je zajištění detekce bezpečnostních incidentů a jejich neprodlené hlášení Národnímu úřadu pro kybernetickou a informační bezpečnost. Provozovatelé musí implementovat technická a organizační opatření umožňující včasné odhalení kybernetických útoků, narušení integrity dat nebo jiných bezpečnostních událostí. Systém detekce musí fungovat nepřetržitě a být schopen identifikovat jak známé, tak nové typy hrozeb.

Provozovatelé kritických informačních systémů jsou povinni provádět pravidelná bezpečnostní opatření včetně penetračních testů, bezpečnostních auditů a kontrol dodržování stanovených bezpečnostních postupů. Tyto aktivity nesmí být prováděny pouze formálně, ale musí skutečně přispívat ke zvyšování úrovně kybernetické bezpečnosti. Zákon stanovuje minimální frekvenci těchto kontrol a požadavky na kvalifikaci osob, které je provádějí.

Významnou povinností je také zajištění kontinuity provozu kritických informačních systémů prostřednictvím vypracování a testování plánů obnovy po bezpečnostním incidentu. Tyto plány musí obsahovat konkrétní postupy pro různé typy krizových scénářů a musí být pravidelně ověřovány prostřednictvím cvičení a simulací. Provozovatelé musí být schopni obnovit kritické funkce v předem definovaných časových limitech.

Zákon kybernetická bezpečnost dále ukládá provozovatelům povinnost jmenovat kontaktní osobu pro kybernetickou bezpečnost, která slouží jako komunikační rozhraní vůči regulačním orgánům a koordinuje bezpečnostní aktivity v rámci organizace. Tato osoba musí disponovat odpovídající odbornou způsobilostí a pravomocemi k plnění svých úkolů.

Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost představuje klíčovou instituci v systému ochrany kybernetického prostoru České republiky. Tento ústřední správní úřad byl ustaven na základě zákona o kybernetické bezpečnosti a jeho hlavním posláním je zajišťovat ochranu kritické informační infrastruktury a koordinovat opatření v oblasti kybernetické bezpečnosti na celostátní úrovni. Úřad působí jako národní autorita, která dohlíží na dodržování povinností stanovených zákonem o kybernetické bezpečnosti a zároveň poskytuje metodickou podporu všem subjektům, které pod tento zákon spadají.

V rámci své působnosti Národní úřad pro kybernetickou a informační bezpečnost vykonává regulatorní a kontrolní činnost vůči povinným subjektům, kterými jsou správci kritické informační infrastruktury, provozovatelé základních služeb a poskytovatelé digitálních služeb. Úřad má pravomoc provádět kontroly dodržování bezpečnostních opatření, vydávat závazné pokyny a v případě zjištění nedostatků ukládat sankce. Zákon o kybernetické bezpečnosti svěřuje úřadu také důležitou úlohu při koordinaci reakcí na kybernetické bezpečnostní incidenty a při sdílení informací o hrozbách mezi jednotlivými subjekty.

Jednou z klíčových aktivit úřadu je provozování národního centra pro kybernetickou bezpečnost, které funguje jako kontaktní místo pro hlášení kybernetických bezpečnostních incidentů a koordinační centrum pro řešení rozsáhlých kybernetických útoků. V rámci tohoto centra úřad shromažďuje a analyzuje informace o kybernetických hrozbách, vydává včasná varování a poskytuje technickou podporu při zvládání bezpečnostních incidentů. Zákon kybernetická bezpečnost ukládá povинným subjektům povinnost hlásit významné kybernetické bezpečnostní incidenty právě tomuto národnímu centru, což umožňuje získat komplexní přehled o aktuální bezpečnostní situaci v kybernetickém prostoru.

Národní úřad pro kybernetickou a informační bezpečnost také vydává závazné bezpečnostní standardy a metodické pokyny, které konkretizují požadavky zákona o kybernetické bezpečnosti. Tyto dokumenty poskytují povinným subjektům praktické návody, jak implementovat bezpečnostní opatření a jak plnit své zákonné povinnosti. Úřad pravidelně aktualizuje tyto standardy v reakci na vyvíjející se kybernetické hrozby a technologický pokrok, čímž zajišťuje, že bezpečnostní opatření zůstávají efektivní a odpovídají aktuálním výzvám.

V oblasti mezinárodní spolupráce úřad zastupuje Českou republiku v evropských a mezinárodních strukturách zaměřených na kybernetickou bezpečnost. Spolupracuje s obdobnými institucemi v jiných státech, s Evropskou agenturou pro kybernetickou bezpečnost a s dalšími mezinárodními organizacemi. Tato spolupráce je nezbytná vzhledem k nadnárodní povaze kybernetických hrozeb a potřebě koordinovaného přístupu k jejich řešení. Zákon kybernetická bezpečnost tak reflektuje nejen národní, ale i evropské a mezinárodní požadavky na ochranu kybernetického prostoru.

Úřad dále poskytuje konzultační a poradenské služby v oblasti kybernetické bezpečnosti nejen povinným subjektům, ale i dalším organizacím a institucím. Pořádá školení, semináře a osvětové kampaně zaměřené na zvyšování povědomí o kybernetických hrozbách a metodách ochrany. Tato vzdělávací činnost je důležitou součástí preventivních opatření a přispívá k celkovému zvýšení úrovně kybernetické bezpečnosti v České republice.

Ohlašování bezpečnostních incidentů a kybernetických útoků

Ohlašování bezpečnostních incidentů a kybernetických útoků představuje klíčový prvek celého systému kybernetické bezpečnosti v České republice, který je zakotven v platné legislativě a stanovuje jasné povinnosti pro dotčené subjekty. Zákon o kybernetické bezpečnosti ukládá provozovatelům základních služeb, správcům kritické informační infrastruktury a dalším subjektům povinnost neprodleně hlásit bezpečnostní incidenty příslušným orgánům, čímž se vytváří komplexní systém včasného varování a reakce na kybernetické hrozby.

Základním principem ohlašování je rychlost a přesnost předávaných informací, protože každé zpoždění může mít závažné dopady nejen na samotný postižený subjekt, ale i na další navazující služby a systémy. Povinné subjekty musí být schopny identifikovat bezpečnostní incident v okamžiku jeho vzniku nebo bezprostředně poté a zahájit proces ohlášení podle stanovených postupů. Zákon přesně definuje, co se považuje za bezpečnostní incident vyžadující ohlášení, přičemž zahrnuje události, které mají nebo mohou mít významný dopad na bezpečnost sítí a informačních systémů.

Proces ohlašování bezpečnostních incidentů probíhá prostřednictvím Národního bezpečnostního úřadu a Národního úřadu pro kybernetickou a informační bezpečnost, které fungují jako centrální kontaktní místa pro příjem a vyhodnocování hlášení. Tyto orgány následně koordinují reakci na incident a poskytují dotčeným subjektům potřebnou podporu a metodickou pomoc. Ohlášení musí obsahovat všechny podstatné informace o povaze incidentu, rozsahu jeho dopadu, počtu postižených uživatelů a přijatých nebo plánovaných opatřeních k nápravě situace.

Zákon o kybernetické bezpečnosti rozlišuje mezi různými typy incidentů a stanovuje odlišné lhůty pro jejich ohlášení. Kritické incidenty s potenciálem závažného dopadu na fungování základních služeb musí být ohlášeny okamžitě, zatímco u méně závažných událostí mohou být lhůty delší, avšak stále striktně vymezené. Subjekty jsou povinny poskytovat průběžné aktualizace o vývoji situace a o krocích podniknutých k odstranění následků incidentu a obnovení normálního provozu.

Důležitým aspektem je také ochrana důvěrnosti informací obsažených v hlášeních o bezpečnostních incidentech, protože tyto údaje mohou obsahovat citlivé informace o zranitelnostech systémů a bezpečnostních opatřeních. Zákon proto stanovuje přísná pravidla pro nakládání s těmito informacemi a omezuje okruh osob, které k nim mají přístup. Současně však umožňuje sdílení anonymizovaných informací o hrozbách a incidentech mezi subjekty za účelem zvýšení celkové úrovně kybernetické bezpečnosti.

Nedodržení povinnosti ohlašovat bezpečnostní incidenty představuje závažné porušení zákona o kybernetické bezpečnosti a může vést k uložení značných pokut a dalších sankcí. Kontrolní orgány pravidelně ověřují, zda subjekty mají zavedeny funkční procesy pro detekci a ohlašování incidentů a zda jsou jejich zaměstnanci řádně vyškoleni v těchto postupech. Efektivní systém ohlašování je nezbytným předpokladem pro budování odolné kybernetické infrastruktury a schopnosti státu účinně reagovat na rostoucí množství a sofistikovanost kybernetických útoků.

Bezpečnostní opatření a technické požadavky na ochranu

Bezpečnostní opatření a technické požadavky na ochranu představují klíčový prvek implementace zákona o kybernetické bezpečnosti v České republice. Tento zákon, který vstoupil v platnost s cílem zajistit komplexní ochranu kritických informačních systémů a sítí, stanovuje jasné požadavky na organizace a instituce, které provozují systémy důležité pro fungování státu a společnosti.

Zákon o kybernetické bezpečnosti definuje tři základní kategorie povinných subjektů, přičemž každá z těchto kategorií musí implementovat bezpečnostní opatření odpovídající míře rizika a významu jejich systémů. Prvním stupněm jsou správci kritické informační infrastruktury, kteří musí aplikovat nejpřísnější bezpečnostní standardy. Druhou kategorii tvoří správci významných informačních systémů, a třetí skupinu představují poskytovatelé digitálních služeb. Všechny tyto subjekty jsou povinny přijmout technická a organizační opatření zajišťující bezpečnost jejich systémů.

Technické požadavky na ochranu zahrnují především implementaci pokročilých bezpečnostních mechanismů, které chrání informační systémy před neoprávněným přístupem, zneužitím nebo poškozením. Mezi základní technické požadavky patří zavedení systémů pro detekci a prevenci narušení bezpečnosti, pravidelné aktualizace bezpečnostních záplat, šifrování citlivých dat a implementace robustních autentizačních mechanismů. Organizace musí také zajistit pravidelné zálohování dat a mít připravené postupy pro jejich obnovu v případě kybernetického incidentu.

Zákon dále vyžaduje, aby povinné subjekty prováděly pravidelné audity bezpečnosti svých informačních systémů. Tyto audity musí být realizovány kvalifikovanými osobami a jejich výsledky musí být dokumentovány a archivovány po stanovenou dobu. Součástí bezpečnostních opatření je také povinnost zavést systém řízení bezpečnosti informací, který odpovídá mezinárodním standardům a nejlepším praktikám v oboru kybernetické bezpečnosti.

Organizační opatření zahrnují vytvoření pozice bezpečnostního manažera nebo týmu odpovědného za kybernetickou bezpečnost. Tento tým musí mít jasně definované kompetence a pravomoci, včetně možnosti zasahovat do provozu systémů v případě bezpečnostního incidentu. Povinné subjekty musí také vypracovat a pravidelně aktualizovat bezpečnostní dokumentaci, která obsahuje analýzu rizik, bezpečnostní politiku, plány reakce na incidenty a postupy pro obnovu provozu po kybernetickém útoku.

Zákon o kybernetické bezpečnosti také stanovuje povinnost hlásit kybernetické bezpečnostní incidenty příslušným orgánům, zejména Národnímu úřadu pro kybernetickou a informační bezpečnost. Tato povinnost se vztahuje na incidenty, které mají nebo mohou mít závažný dopad na bezpečnost nebo dostupnost poskprovidovaných služeb. Subjekty musí implementovat systémy pro včasnou detekci a evidenci bezpečnostních incidentů, aby mohly plnit své oznamovací povinnosti v zákonem stanovených lhůtách.

Technické požadavky dále zahrnují implementaci bezpečných vývojových procesů pro software a aplikace, pravidelné testování odolnosti systémů vůči kybernetickým hrozbám a zajištění bezpečné konfigurace všech síťových prvků a zařízení. Povinné subjekty musí také zajistit fyzickou bezpečnost prostor, kde jsou umístěny kritické informační systémy, včetně kontroly přístupu, monitorování a ochranných opatření proti přírodním katastrofám a dalším fyzickým hrozbám.

Sankce a pokuty za porušení zákona

Zákon o kybernetické bezpečnosti stanovuje přísný systém sankcí a pokut, které mají zajistit dodržování povinností subjektů v oblasti ochrany informačních systémů a kritické infrastruktury. Správní delikty a jejich následné postihy jsou detailně upraveny tak, aby odpovídaly závažnosti jednotlivých porušení a motivovaly organizace k důslednému plnění bezpečnostních opatření.

Národní úřad pro kybernetickou a informační bezpečnost je oprávněn ukládat pokuty za různé typy porušení zákona. Výše sankcí se pohybuje v širokém rozpětí, přičemž nejzávažnější přestupky mohou být potrestány pokutami dosahujícími až deseti milionů korun. Tato výše není stanovena náhodně, ale odráží potenciální dopady bezpečnostních incidentů na fungování kritické infrastruktury a poskytování základních služeb občanům.

Mezi nejzávažnější porušení patří nesplnění povinnosti provádět pravidelná bezpečnostní opatření, nedostatečná ochrana informačních systémů nebo neohlášení významného bezpečnostního incidentu v zákonem stanovené lhůtě. Pokud subjekt nesplní povinnost implementovat bezpečnostní opatření odpovídající kategorii, do které byl zařazen, může čelit pokutě až pět milionů korun. Tato sankce má motivovat organizace k tomu, aby braly své bezpečnostní povinnosti vážně a investovaly do odpovídající ochrany svých systémů.

Další významnou oblastí, kde hrozí vysoké pokuty, je nedodržení oznamovací povinnosti při kybernetických bezpečnostních incidentech. Subjekty jsou povinny hlásit významné incidenty bezodkladně, nejpozději však do dvaceti čtyř hodin od jejich zjištění. Nedodržení této lhůty nebo úplné neohlášení incidentu může vést k pokutě až tři miliony korun. Tato povinnost je klíčová pro včasnou reakci na hrozby a koordinaci obranných opatření na národní úrovni.

Zákon také postihuje situace, kdy subjekt neposkytne součinnost při kontrole prováděné Národním úřadem pro kybernetickou a informační bezpečnost. Odmítnutí poskytnout požadované informace, dokumentaci nebo neumožnění přístupu k informačním systémům může být sankcionováno pokutou až jeden milion korun. Toto ustanovení zajišťuje, že kontrolní orgán může efektivně vykonávat svou činnost a ověřovat dodržování bezpečnostních standardů.

Specifické sankce jsou stanoveny také pro porušení povinností souvisejících s bezpečností dodavatelského řetězce. Pokud subjekt nesplní povinnost prověřit bezpečnostní rizika spojená s dodavateli kritických komponent nebo služeb, může být potrestán pokutou až dva miliony korun. Toto opatření reflektuje rostoucí význam bezpečnosti dodavatelských řetězců v kontextu kybernetické bezpečnosti.

Výše konkrétní pokuty je vždy stanovena individuálně s přihlédnutím k závažnosti porušení, době jeho trvání, způsobu jeho odstranění a dalším polehčujícím nebo přitěžujícím okolnostem. Úřad zohledňuje také ekonomickou situaci provinilého subjektu a případné předchozí porušení povinností. Opakované porušení stejné povinnosti může vést k uložení vyšší sankce než při prvním přestupku.

Kontrolní mechanismy a pravomoci dozorových orgánů

Kontrolní mechanismy stanovené zákonem o kybernetické bezpečnosti představují klíčový nástroj pro zajištění dodržování stanovených povinností a požadavků v oblasti ochrany kritické informační infrastruktury a důležitých informačních systémů. Národní úřad pro kybernetickou a informační bezpečnost vystupuje jako ústřední dozorový orgán, který disponuje rozsáhlými pravomocemi k provádění kontrolních činností u povinných subjektů.

Dozorové orgány mají ze zákona právo provádět kontroly na místě u všech subjektů, které spadají pod působnost zákona o kybernetické bezpečnosti. Tyto kontroly mohou být plánované, ale také neohlášené, zejména v případech, kdy existuje podezření na závažné porušení bezpečnostních opatření nebo kdy je nutné reagovat na aktuální kybernetické hrozby. Kontrolní mechanismus zahrnuje možnost přístupu ke všem relevantním dokumentům, technickým zařízením a informačním systémům, které jsou nezbytné pro posouzení stavu kybernetické bezpečnosti kontrolovaného subjektu.

Pravomoci Národního úřadu pro kybernetickou a informační bezpečnost zahrnují nejen samotné provádění kontrol, ale také možnost vyžadovat poskytnutí vysvětlení, dokumentace a technických informací od povinných subjektů. Kontrolní orgán může požadovat předložení bezpečnostní dokumentace, výsledků bezpečnostních auditů, záznamů o bezpečnostních incidentech a dalších materiálů, které dokládají plnění zákonných povinností. Subjekty jsou povinny těmto požadavkům vyhovět v zákonem stanovených lhůtách, přičemž odmítnutí spolupráce může vést k uložení sankcí.

V rámci kontrolních mechanismů mají dozorové orgány pravomoc posuzovat technickou a organizační způsobilost povinných subjektů k zajištění kybernetické bezpečnosti. To zahrnuje ověřování existence a funkčnosti bezpečnostních opatření, hodnocení procesů řízení rizik, kontrolu implementace bezpečnostních politik a postupů, stejně jako posuzování kvalifikace a odborné způsobilosti osob odpovědných za kybernetickou bezpečnost v organizaci.

Dozorové orgány disponují pravomocí ukládat nápravná opatření, pokud při kontrole zjistí nedostatky v zajištění kybernetické bezpečnosti. Povinný subjekt je následně povinen tyto nedostatky odstranit ve stanovené lhůtě a prokázat dozorčímu orgánu, že byla přijata odpovídající nápravná opatření. Kontrolní mechanismus zahrnuje také následné kontroly zaměřené na ověření, zda byly identifikované nedostatky skutečně odstraněny a zda přijatá opatření jsou účinná.

Zákon o kybernetické bezpečnosti svěřuje dozorčím orgánům pravomoc ukládat sankce za porušení stanovených povinností. Tyto sankce mohou mít formu pokut, jejichž výše je odstupňována podle závažnosti porušení a velikosti kontrolovaného subjektu. Sankční mechanismus slouží jako preventivní i represivní nástroj k zajištění dodržování zákonných požadavků a motivaci subjektů k řádnému plnění jejich povinností v oblasti kybernetické bezpečnosti.

Kontrolní pravomoci zahrnují také možnost nařídit okamžité přijetí mimořádných bezpečnostních opatření v případě, že je identifikována bezprostřední hrozba pro kybernetickou bezpečnost. Dozorčí orgán může v takových situacích požadovat dočasné omezení provozu informačních systémů, odpojení určitých komponent od sítě nebo implementaci specifických technických opatření k zamezení šíření kybernetického útoku nebo minimalizaci jeho dopadů.

Mezinárodní spolupráce v oblasti kybernetické bezpečnosti

Mezinárodní spolupráce v oblasti kybernetické bezpečnosti představuje klíčový pilíř efektivní ochrany kybernetického prostoru, který je ze své podstaty nadnárodní a vyžaduje koordinovaný přístup napříč státními hranicemi. Zákon o kybernetické bezpečnosti v České republice výslovně reflektuje nutnost této spolupráce a vytváří právní rámec pro sdílení informací, koordinaci bezpečnostních opatření a společné řešení kybernetických hrozeb na mezinárodní úrovni.

V kontextu evropské integrace je zákon kybernetická bezpečnost úzce propojen s legislativou Evropské unie, zejména se směrnicí NIS2, která stanovuje minimální požadavky na kybernetickou bezpečnost v členských státech. Tato harmonizace právních předpisů umožňuje jednotný přístup k ochraně kritické infrastruktury a zajišťuje, že kybernetické incidenty jsou řešeny konzistentním způsobem napříč celou Evropskou unií. Český právní řád tak není izolovaným systémem, ale součástí širší evropské architektury kybernetické bezpečnosti.

Národní úřad pro kybernetickou a informační bezpečnost jako ústřední regulační orgán aktivně participuje na mezinárodních platformách a sdílí zkušenosti s partnerskými organizacemi v jiných zemích. Tato výměna informací o nových hrozbách, zranitelnostech a osvědčených postupech je nezbytná pro udržení aktuální úrovně ochrany. Zákon kybernetická bezpečnost proto obsahuje ustanovení umožňující výměnu citlivých informací s důvěryhodnými zahraničními partnery při zachování přísných bezpečnostních standardů.

Významnou součástí mezinárodní spolupráce je také účast České republiky v rámci NATO a jeho iniciativ zaměřených na kolektivní kybernetickou obranu. Zákon o kybernetické bezpečnosti zohledňuje závazky vyplývající z členství v této organizaci a umožňuje koordinaci bezpečnostních opatření s aliančními partnery. Kybernetické útoky mohou mít charakter hybridních hrozeb a jejich řešení vyžaduje nejen technologickou, ale i politickou a diplomatickou koordinaci na mezinárodní úrovni.

Spolupráce s mezinárodními organizacemi jako jsou ENISA, CERT týmy jiných států nebo Interpol představuje další dimenzi mezinárodního zapojení. Zákon kybernetická bezpečnost vytváří právní základ pro participaci českých odborníků na společných projektech, cvičeních a výzkumných aktivitách. Tyto aktivity přispívají k budování kapacit a zvyšování odbornosti českých specialistů v oblasti kybernetické bezpečnosti.

Sdílení informací o kybernetických incidentech napříč hranicemi je regulováno přesnými pravidly, která zajišťují ochranu citlivých údajů a zároveň umožňují rychlou reakci na nadnárodní hrozby. Zákon o kybernetické bezpečnosti stanovuje podmínky, za kterých mohou být informace o bezpečnostních událostech předávány zahraničním partnerům, včetně požadavků na klasifikaci a ochranu těchto údajů.

Mezinárodní spolupráce zahrnuje také společný vývoj technologických řešení a standardů kybernetické bezpečnosti, které jsou následně implementovány do národních legislativ. Český zákon kybernetická bezpečnost reflektuje tyto mezinárodně uznávané standardy a přispívá k jejich dalšímu rozvoji prostřednictvím aktivní účasti českých expertů v mezinárodních pracovních skupinách a technických komisích.