Problematickou z hlediska praxe je především vyhláška o významných informačních systémech a jejich určujících kritériích. Předpis v příloze taxativně zmiňuje 92 tzv. významných informačních systémů orgánů veřejné moci, na které se povinnosti z kybernetického zákona vztahují. Kromě toho zde však existují samostatná kritéria významného informačního systému, jejichž případné splnění musí posoudit sami správci tohoto systému. A to je podle praxe vzhledem k neurčitosti předpisu problém.

„Mnoho soukromých firem nás kontaktuje s dotazem, zda se na ně vůbec vztahuje nový kybernetický zákon, potažmo nejproblematičtější vyhláška o významných informačních systémech. Podnikatelskou sféru mohu uklidnit, protože tento předpis je určen pouze ministerstvům, krajským úřadům a dalším orgánům veřejné moci,“ říká Jakub Kejval, generální ředitel společnosti Bureau Veritas.

 

Pro podnikatele je pak ale důležitý další z prováděcích předpisů, novelizované nařízení vlády o kritériích pro určení prvku kritické infrastruktury, do jehož režimu mohou spadat. „Týká se to například bank či pojišťoven s tržním podílem nad 10 procent. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně 4 tisíce hektarů pro jednotlivou plodinu atd.,“ dodává Jakub Kejval.

Určení toho, zda se na daný subjekt kybernetický zákon vztahuje nebo ne, je důležité, neboť podle dalšího prováděcího předpisu, vyhlášky o kybernetické bezpečnosti, musí dotčené subjekty do konce ledna nahlásit vládnímu CERTu kontaktní údaje na stanoveném formuláři. Mimo jiné je zde nutné uvést kontakt na manažera kybernetické bezpečnosti, což je vyškolená osoba zodpovědná za oblast kybernetické bezpečnosti, která má alespoň tříletou praxi v oboru řízení bezpečnosti informací.

Pokud se ukáže, že daný subjekt spadá do působnosti kybernetického zákona, k zabezpečení systémů a přijetí všech požadovaných opatření je zákonem určeno roční přechodné období. Nejpozději tedy musí své povinnosti k zajištění bezpečnosti splnit k 1. lednu 2016.

Upřesnění: Jak upozornil Zbyněk Malý v diskuzi pod tímto článkem, zmíněné lhůty neplatí všeobecně. Z systémů kritické infrastruktury je nutné hlásit kontaktní informace včetně identifikace dotčených systémů do 30 dnů od vyrozumění o tom že se daného subjektu zákon dotýká. Zavedení požadovaných bezpečnostních opatření má přechodnou dobu 1 rok od vyrozumění.

Související