Jakub Kejval
generální ředitel, Bureau Veritas

Kybernetický zákon a jeho tři prováděcí předpisy jsou účinné od 1. 1. 2015. Kybernetický zákon definuje pro pět subjektů celkem pět povinností, s kterými se musí poprat.

Firmy nevěděly, zda se jich zákon týká

Úvodní otázka, na kterou subjekty obtížně hledaly odpověď, byla: "Týká se nás kybernetický zákon? Spadáme pod některý z typů povinných subjektů a pod který?" Nejčastější nejasnosti byly kolem definice významných informačních systémů a kritické infrastruktury.

Jakub Kejval

generální ředitel, Bureau Veritas

Proto NBÚ a Národní centrum kybernetické bezpečnosti zveřejnili na svých stránkách metodickou pomůcku, díky níž si můžete na tuto otázku odpovědět (pokud ještě tápete):

1. pro Kritickou informační infrastrukturu ji naleznete na www.govcert.cz/cs/kiivis/kriticka-informacni-infrastruktura/,

2. pro Významné informační systémy na adrese www.govcert.cz/cs/kiivis/vyznamne-informacni-systemy/.

Nejasnosti panovaly u jmenování manažera pro kybernetickou bezpečnost

Všech pět subjektů mělo splnit první povinnost (nahlásit kontaktní údaje) do 31. 1. 2015. Bylo třeba vyplnit poměrně jednoduchý formulář pro hlášení kontaktních údajů, který je v příloze č. 7 k vyhlášce č. 316/2014 Sb.

Až při vyplňování formuláře si však subjekty uvědomily, že musí již nyní interně jmenovat manažera kybernetické bezpečnosti, neboť v části C tohoto formuláře nejde jen o kontaktní osobu, ale zároveň také o osobu oprávněnou jednat za danou organizaci ve věci kybernetické bezpečnosti. Tuto roli tedy nelze narychlo svěřit asistentkám, jak některé subjekty předpokládaly a chtěly učinit. Jde o "manažera kybernetické bezpečnosti", kterou může být pouze osoba, odpovědná za systém řízení bezpečnosti informací, jež je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.

Firmy analyzují rizika a plánují investice do kybernetické bezpečnosti

Aktuálně subjekty začaly zpracovávat, resp. upravovat bezpečnostní dokumentaci a zavádět či přizpůsobovat bezpečnostní opatření. Nyní analyzují svůj stávající bezpečnostní systém, stávající organizační a technická bezpečnostní opatření a zvažují, kolik do systému investovat, aby jej zlepšily na úroveň požadavků kybernetického zákona za přiměřené náklady.

Některé organizace zavádějí svůj systém bezpečnosti informací podle ISO 27001 a připravují se na certifikační audit. Zkrátka mají ještě hodně práce před sebou.

Jakub Kejval
generální ředitel, Bureau Veritas