Článek: AN0002554Aktualizováno:: 07.02.2025
Zákon o kybernetické bezpečnosti je novelizován v rámci transpozice směrnice NIS2.
- zákon upravuje práva a povinnosti osob, organizačních složek státu a dalších orgánů veřejné moci v oblasti zajišťování kybernetické bezpečnosti a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost a dalších orgánů veřejné moci.
- zákon zapracovává příslušný předpis Evropské unie a zároveň navazuje na přímo použitelné předpisy Evropské unie.
Regulovaná služba
Zákon zavádí pojem regulované služby, kterou jsou poskytovatelé povinni hlásit příslušnému úřadu. Jedná se o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:
- veřejná správa a výkon veřejné moci
- energetika
- výrobní průmysl
- potravinářský průmysl
- chemický průmysl
- vodní hospodářství
- odpadové hospodářství
- doprava
- digitální infrastruktura a služby
- finanční trh
- zdravotnictví
- věda, výzkum a vzdělávání
- poštovní a kurýrní služby
- obranný průmysl
- vesmírný průmysl
Zákon dále specifikuje podmínky pro registraci služby, tak že její narušení by mohlo mít významný dopad na bezpečnost, vnitřní pořádek nebo život a zdraví, mohlo by vyvolat významná systémová rizika nebo její poskytovatel má specifické postavení na regionální nebo celostátní úrovni. Dalšími případy jsou služby, jejichž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu nebo jde o službu, jejíž poskytovatel je subjektem kritické infrastruktury.
Režim poskytovatele služby
Úřad při registraci rozhodne, zda bude poskytovatel působit v režimu vyšších nebo nižších povinností a zda poskytovaná služba je strategicky významnou službou.
| Opatření |
Režim vyšší povinností |
Režim nižších povinností |
| systém řízení bezpečnosti informací |
X |
|
| systém zajišťování minimální kybernetické bezpečnosti |
|
X |
| požadavky na vrcholné vedení |
X |
X |
| stanovení bezpečnostních rolí |
X |
|
| řízení bezpečnostní politiky a bezpečnostní dokumentace |
X |
|
| řízení aktiv |
X |
X |
| řízení rizik |
X |
X |
| řízení dodavatelů |
X |
|
| bezpečnost lidských zdrojů |
X |
X |
| řízení změn |
X |
|
| akvizice, vývoj a údržba |
X |
|
| řízení přístupu |
X |
X |
| zvládání kybernetických bezpečnostních událostí a incidentů |
X |
|
| řízení kontinuity činností |
X |
X |
| provádění auditu kybernetické bezpečnosti |
X |
|
| fyzická bezpečnost |
X |
|
| bezpečnost komunikačních sítí |
X |
|
| správa a ověřování identit |
X |
|
| řízení přístupových práv a oprávnění |
X |
|
| řízení identit a jejich oprávnění |
|
X |
| detekce kybernetických bezpečnostních událostí |
X |
X |
| zaznamenávání událostí |
X |
X |
| vyhodnocování kybernetických bezpečnostních událostí |
X |
|
| bezpečnost komunikačních sítí |
|
X |
| aplikační bezpečnost |
X |
X |
| kryptografické algoritmy |
X |
X |
| zajišťování dostupnosti regulované služby |
X |
|
| zabezpečení průmyslových, řídících a obdobných specifických technických aktiv |
X |
|
Primární aktiva a vztah k regulované službě
Poskytovatel regulované služby:
- určí všechna svá primární aktiva
- posoudí, zda primární aktiva souvisí s poskytováním regulované služby
- u primárních aktiv podle písmene určí podpůrná aktiva
NIS2 a novela kybernetického zákona mají dopady do referenčního modelu CMDB.
Informace o zákonu od NÚKIB
Sněmovní tisk zákona