Věcný záměr zákona a kyberbezpečnosti je vcelku obecný, červené tlačítko na vypnutí internetu jsme v něm ale nenašli

5. 3. 2012 | 11:16

V pátek 2. března skončilo připomínkového řízení k Věcnému záměru zákona o kybernetické bezpečnosti, který by měl komplexně řešit problematiku obrany proti kybernetickým hrozbám. Co by měl v budoucnu zákon o kybernetické bezpečnosti přinést ve vztahu k právu na informační sebeurčení, ať už jde o právo na soukromí a kontrolu nad údaji o své osobě nebo o právo sdílet informace se bohužel z věcného záměru zpracovaném Národním bezpečnostním úřadem příliš vyčíst nedá. Záměr nechává řadu otázek otevřených. O červeném tlačítku na vypínání internetu se v něm ale nedočteme.

Dobrá zpráva nepochybně je, že NBÚ neprosazuje jednu z nastíněných variant, která by znamenala přímou kontrolu státu nad kyberprostorem a možnost státu přímo aplikovat bezpečnostní opatření. Prosazována je tak varianta spolupráce s klíčovými soukromoprávními subjekty. Působnost budoucího zákona NBÚ rozděluje na tři oblasti, jednak je to hlášení kybernetických útoků, dále otázka zabezpečení klíčových informačních systémů a na aplikaci protiopatření proti kybernetickým útokům.

Zákon by se měl týkat všech poskytovatelů služeb elektronických komunikací a subjektů zajišťujících sítě elektronických komunikací (operátorů, providerů apod.) Zvláštní povinnosti by pak měli jednak ti správci komunikačních systémů, které budou zahrnuty do tzv. kritické komunikační infrastruktury a správci informačních systémů zahrnutých do tzv. kritické informační infrastruktury, jakož i správci informačních systémů veřejné správy. Nepočítá ale s tím, že by se pravidla měla vztahovat i na poskytovatele služeb internetové společnosti (pokud tedy tyto služby nebudou zahrnuty do kritické infrastruktury). Zákon o kybernetické bezpečnosti se tedy vůbec nedotýká poskytovatelů obsahu nebo hostingových služeb.
Zákon uloží výše zmíněným subjektům zejména povinnost hlásit kybernetické bezpečnostní události ústřednímu orgánu. To, co bude považováno za kybernetickou bezpečnostní událost, říká věcný záměr velmi obecně. Definovat okruh bezpečnostních událostí by měl NBÚ podrobněji v prováděcích předpisech. Správci kritické infrastruktury pak budou mít povinnost zabezpečit své systémy způsobem, který nařídí NBÚ vyhláškou a splnit protiopatření, která NBÚ nařídí. Poskytovatelé komunikačních služeb, které nebudou označeny za kritické, pak budou mít povinnost aplikovat protiopatření nařízená NBÚ v případě vyhlášení stavu kybernetického nebezpečí, který vyhlašuje na návrh NBÚ premiér.
Věcný záměr deklaruje, že se zákon nedotkne práva na informační sebeurčení, a že nezasahuje do obsahu komunikace ani do jiné obsahové stránky fungování informační a komunikační infrastruktury. V novém zákoně by mělo dojít k větší konkretizaci toho, jaká protiopatření k řešení bezpečnostních událostí bude moci NBÚ nařizovat, ať už správcům kritické infrastruktury v běžném režimu nebo všem poskytovatelům elektronických komunikací v případě vyhlášení stavu kybernetického nebezpečí. Respektive k úpravě toho, jaká protiopatření nařízena být nesmí. Věcný záměr definuje protiopatření jako úkony a činnosti, jichž je třeba k ochraně sítí elektronických komunikací nebo informačních systémů před negativním dopadem kybernetické bezpečnostní události (např. instalace nové verze antiviru, úprava bezpečnostních pravidel firewallu, instalace bezpečnostních záplat informačního systému). Právě tato protiopatření by mohla být cestou k případnému omezení práva na informační sebeurčení nebo omezení svobodného sdílení informací, proto je nutné věnovat velkou pozornost zejména tomu, jak bude vypadat úprava nařizování protiopatření v paragrafovém znění zákona.
 

Kdo jsme

  • Tento web provozuje iure, neziskovka zabývající se ochranou občanských svobod.
     

Logo IuRe


 

Naše další weby

bba web

IuRe je členem

Internet Defense League