Senát si pro posouzení návrhu nového kybernetického zákona nechal maximální možnou lhůtu. Normu připravenou Národní úřadem pro kybernetickou a informační bezpečnost (NÚKIB) projedná na plénu 11. června, tedy den před vypršením zákonného termínu. Do té doby má materiál projít garančním výborem pro zahraničí věci, obranu a bezpečnost (4. června), Výborem pro hospodářství, zemědělství a dopravu (termín zatím nebyl stanoven) a Ústavně-právním výborem (také 4. června). Horní komora má na posouzení normy čas do 12. června.
Mezitím NÚKIB poslal do meziresortního připomínkového řízení řadu prováděcích předpisů k novému zákonu, a to včetně těch, u kterých původně u ministra spravedlnosti a současně šéfa Legislativní rady vlády Pavla Blažka žádal úlevy. Ve vládní Knihovně připravované legislativy (eKlep) tak nalezneme i vyhlášku o Portálu Úřadu a o požadavcích na vybrané úkony, u níž se chtěl připomínkového řízení zcela vyhnout.
Co zde zatím chybí, to je dvojice návrhů nařízení vlády, a to o nepominutelných funkcích (upravujících, které funkce strategicky významných služeb jsou vždy zahrnuty v mechanismu prověřování bezpečnosti dodavatelského řetězce), a o strategicky významných službách (stanoví, koho se bude prověřování bezpečnosti dodavatelského řetězce týkat). Ředitel NÚKIBu Lukáš Kintr u těchto dvou vládních nařízení ministra Blažka žádal o úlevu v podobě odpuštění povinnosti zpracovat hodnotící zprávu RIA.
Nyní regulátor na svém webu nepřímo uvádí, že s vypracováním analýzy dopadů regulace počítá a k veřejným připomínkám zašle dvojici návrhů později. „Vzhledem ke změnám v návrhu zákona, které proběhly v souvislosti s těmito předpisy v poslanecké sněmovně, a novým požadavkům na zpracování RIA, které dříve nebyly, došlo k posunu termínu odeslání těchto dvou předpisů a budou do MPŘ zaslány později,“ píše NÚKIB.
Přesun ze zákona do nařízení
Pozornost směrem k těmto dvěma nařízením přitáhl pozměňovací návrh B-9 vzešlý ze sněmovního hospodářského výboru. Ten změnou v § 27 odst. 2 písm. b) kyberbezpečnostního zákona sešněroval možnost vládních politiků stanovenou zákonem mluvit firmám do výběru dodavatele jen na aktiva hodnocená jako kritická, když dle původního návrhu zde byla zahrnuta i kategorie vysoká. Zákonodárce tak učinil s vědomím, že sama vláda může kdykoliv toto omezení svým nařízením změnit.
Až NÚKIB návrhy těchto dvou vládních nařízení dokončí a dá k dispozici k veřejným připomínkám, bude jasné, jestli odolal pokušení zmírněný zákon hned od začátku přitvrdit zadními vrátky, nebo se změnou počká na okamžik, kdy to vláda bude považovat skutečně za nutné.
My se ale dnes zaměříme na jiný prováděcí předpis, který NÚKIB v těchto dnech také dostal do meziresortního připomínkového řízení, a přitom s kyberbezpečnostním zákonem přímo nesouvisí. Vztahuje se totiž k zákonu č. 365/2000 Sb., o informačních systémech veřejné správy, a nastavuje pravidla pro provozovatele cloudů, jejichž zákazníkem bude stát, resp. jednotlivé orgány státní správy. Jedná se o vyhlášku o některých požadavcích pro zápis do katalogu cloud computingu. Její čtyři roky starou a dosud platnou verzi najdeme ve Sbírce zákonů pod č. 316/2021 Sb.
Katalog služeb cloud computingu vede Digitální a informační agentura a v něm zapsaným provozovatelům cloudových služeb se dostává privilegovaného postavení dodávat tyto služby státním institucím. Zápisu se totiž dočká jen ten, kdo vyhoví celé řadě požadavků, zejména na bezpečnost a zajištění provozu bez výpadků.
Dvakrát a dost
Jinak posuzována bude bezúhonnost takového provozovatele. Nově už se neodvíjí od výše uložené pokuty, ale zkoumá se, jestli provozovatel nebo jeho ovládající osoby nemají v posledních pěti letech „škraloup“ v podobě spáchání některého z přestupků v oblasti kybernetické bezpečnosti. Vyhláška v této souvislosti vyjmenovává přestupek spočívající v neplnění uložených nápravných opatření, kde zavádí princip „jednou a dost“. Stačí jediné pravomocné rozhodnutí o vině, a přestupce může na zápis do katalogu na příštích pět let zapomenout.
Vedle toho vymezuje 21 přestupků, u kterých první „zaškobrtnutí“ toleruje a trestá až druhé pravomocné uznání viny. Týká se to třeba i povinnosti určit a evidovat primární aktiva a posuzovat jejich souvislost s regulovanou službou, pochybení při zvládání bezpečnostního incidentu, nebo překročení stanoveného času či kvality pro obnovení dostupnosti strategicky významné služby. Tady až druhé provinění u téhož přestupku je pro datacentrum pomyslnou stopkou pro možnost ucházet se o dodávky státu.
Datacentra nabízející cloudové služby vyhláška dělí do čtyř bezpečnostních úrovní: nízká, střední, vysoká a kritická. Podle toho na ně klade rozdílné nároky. Odlišné je například územní omezení, kde mohou být zpracovávána a ukládána zákaznická data. U dvou nejvyšších úrovní se předpokládá, že až na výjimky se tak bude dít pouze v tuzemsku. Provozovatel takového datacentra bude oprávněn a dokonce povinen odmítat žádosti o poskytnutí součinnosti třetích stran, hlavně z řad zpravodajských služeb a orgánů činných v trestním řízení cizích států.
U nižších úrovní geografická omezení nebudou tak striktní. Zákaznická data u nich mohou opustit území Česka, dokonce i Evropské unie, ale za předpokladu, že datacentra budou vůči úřadům maximálně transparentní a přiznají, kam všude data mohou doputovat. Povinností je rovněž vymezit, z jakých zemí se budou k datacentru přihlašovat administrátoři dohlížející na chod služby, nebo spravující data zákazníků.
A odstupňovaná je také auditní povinnost, resp. podmínka získání certifikace. U nízké bezpečnostní úrovně stačí soulad s certifikací ISO 27001, u náročněji klasifikovaných datacenter bude nutné doložit buď auditní zprávu SOC 2 Type 2 nebo nově i auditní zprávu C5 Type 2, která na rozdíl od prve zmíněné nevyžaduje zvláštní akreditaci auditora.
Tato certifikace potvrzuje nejen to, že poskytovatel datacentra má implementované bezpečnostní opatření, ale že jsou tato opatření efektivní a fungují v průběhu delšího časového úseku. Tím se liší od zprávy C5 Type 1, která se zaměřuje pouze na vhodnost bezpečnostních opatření.
Součástí povinných opatření je pravidelné skenování zranitelností, které má odhalit nedostatky v zabezpečení. Už se nebude muset provádět každý měsíc, jako to ukládala stávající podoba vyhlášky, ale sken zranitelnosti jako součást penetračního testu (nikoliv jeho náhrada) bude postačovat jednou za kvartál.
Pokud datacentrum se žádostí o zápis do katalogu uspěje, musí počítat s tím, že si stát bude průběžné plnění podmínek kontrolovat. U informačních systémů veřejné správy na scénu vedle NÚKIBu vstupuje i Digitální a informační agentura. Ta bude mít starosti dohled nad těmi systémy, které nepodléhají zákonu o kybernetické bezpečnosti. Naopak informační systémy pod touto regulací si ohlídá brněnský regulátor.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
