Dne 30. listopadu 2020 předložila vláda Poslanecké sněmovně návrh zákona, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen „Zákon“), ve znění pozdějších předpisů (dále jen „Novela“).
Cílem Novely je adaptace českého právního řádu na nařízení Evropského parlamentu a Rady (EU) 2019/881 o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 (akt o kybernetické bezpečnosti) (dále jen „Nařízení“) a vyjádřit kompetenci národního a vládního CERT (Computer Emergency Response Team - Skupina pro reakci na počítačový stav nouze) vyhledávat zranitelnost․
Kontaktní údaje orgánů a osob, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti (například poskytovatel služby elektronických komunikacích nebo správce a provozovatel informačního systému kritické informační infrastruktury) poskytované Národnímu úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad“) nebo provozovateli národního CERT (právnická osoba podle § 18 Zákona) se mají podle Novely rozšířit o:
a) identifikaci informačního nebo komunikačního systému a
b) rozsah veřejných DNS záznamů (určují, jaké služby běží na internetové doméně) nebo veřejných IP adres.
Podle Novely má provozovatel národního CERT a také vládní CERT (který je součástí Úřadu) nejen provádět hodnocení zranitelnosti, ale i provádět vyhledávání zranitelností v oblasti kybernetické bezpečnosti ve veřejné části kyberprostoru. Od existence zranitelnosti se odvozuje existence a úroveň rizika. Pro hodnocení rizik se používá rovnice: riziko = dopad x hrozba x zranitelnost. Pokud má být monitorováno riziko a hrozba, musí být monitorována i zranitelnost informačních systémů.
Úřad uzavirá s právnickou osobou za účelem spolupráce v oblasti kybernetické bezpečnosti a zajištění činností podle Zákona veřejnoprávní smlouvu. Právnická osoba je vybrána k uzavření veřejnoprávní smlouvy v řízení o výběru žádostí podle správního řádu, které vyhlašuje Úřad. Podle Novely se navrhuje upravit znění Zákona tak, že řízení o výběru žádostí se má nahradit výzvou k předložení návrhu smlouvy nebo k přijetí návrhu smlouvy, protože uzavření smlouvy nepředchází žádné řízení, jak je uvedeno v důvodové zprávě.
Dále se má Novelou doplnit, že Úřad může uzavřít veřejnoprávní smlouvu s právnickou osobou, vybranou postupem podle správního řádu, za účelem spolupráce v oblasti certifikace kybernetické bezpečnosti a zajištění některých činností podle čl. 58 Nařízení (např. sledovat činnost veřejných subjektů, v příslušných případech autorizovat subjekty posuzování shody a omezovat, pozastavovat nebo odebírat stávající autorizaci, aj.).
Role vnitrostátního orgánu certifikace kybernetické bezpečnosti podle Nařízení se navrhuje přidělit Úřadu, který bude mimo jiné dohlížet na dodržování pravidel zahrnutých v evropských systémech certifikace kybernetické bezpečnosti.
Také se mají zavést nové skutkové podstaty přestupků pro:
1) | výrobce nebo poskytovatele produktů, služeb či procesů vydávajících EU prohlášení o shodě jestliže: a) | vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny | b) | podmínky stanovené Nařízením, | c) | neuchovává dokumenty a informace podle čl. 53 odst. 3 Nařízení, nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 Nařízení, nebo | d) | neposkytuje doplňující informace o kybernetické bezpečnosti týkající se certifikovaných produktů, služeb a procesů IKT (informační a komunikační technologie) v rozsahu a způsobem uvedeným v čl. 55 Nařízení. |
|
2) | držitele evropského certifikátu kybernetické bezpečnosti, jestliže neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech. |
V případě schválení Poslaneckou Sněmovnou a Senátem je záměrem, aby Novela nabyla účinnosti dne 28. června 2021.