Praha - Sněmovna schválila vládní předlohu, která zavede pravidla spolupráce mezi soukromým sektorem a veřejnou správou při předcházení útokům na informační technologie. Norma, jež míří k posouzení do Senátu, má zefektivnit a zrychlit reakci na kybernetické hrozby, které by mohly představovat nebezpečí pro zájmy České republiky. Bude první komplexní právní úpravou v této oblasti.
Poslanci zákon, který připravil Národní bezpečnostní úřad (NBÚ), upravili podle požadavků branného výboru. Týkaly se hlavně koordinačního místa pro okamžitou reakci na počítačové incidenty u poskytovatelů služeb elektronických komunikací, takzvaného národního CERT. Jeho roli má plnit soukromá firma a poslanci chtějí, aby většinu úkolů zajišťovala bezplatně. Neměla by to navíc být zahraniční společnost a neměla by být založena výhradně za účelem dosažení zisku.
Vláda si v návrhu zákona neklade za cíl eliminovat všechna rizika, která se mohou dotknout všech uživatelů kybernetického prostoru, ale ochránit tu část infrastruktury, která je pro fungování státu významná.
Zákon ukládá například poskytovatelům elektronických komunikací nebo správcům kritické informační infrastruktury povinnost hlásit bezpečnostní incidenty v jejich síti, informačním nebo komunikačním systému bezodkladně NBÚ. Umožňuje také vyhlásit stav kybernetického nebezpečí v případě, že je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo sítích elektronických komunikací, a mohly by tím být porušeny zájmy Česka.
Firmy nejsou na novinku připraveny
O vyhlášení stavu kybernetického nebezpečí, který v souhrnu nesmí trvat déle než 30 dnů, rozhoduje ředitel NBÚ. Není-li možné odvrátit ohrožení bezpečnosti v rámci stavu kybernetického nebezpečí, požádá ředitel NBÚ vládu o vyhlášení nouzového stavu. Za porušení zákona má fyzickým osobám hrozit pokuta do 50 000 korun, právnickým maximálně dvojnásobná.
Podle softwarové firmy Safetica Technologies není většina společností na novou legislativu připravena. Největší nedostatky mají podniky kritické infrastruktury v oblasti ochrany citlivých dat. Naopak firmy plní z velké části kritéria týkající se ochrany síťové infrastruktury či kontroly výkonu. "Nejde o nesmyslnou vyhlášku, má hlavu a patu. Všem společnostem, které to s bezpečností myslí vážně, jej doporučuji jako slušný návod," uvedl ředitel Safetiky Jakub Mahdal.
Ochrana kybernetického prostoru je nyní v českém právu řešena jen částečně. V říjnu 2011 vláda rozhodla o zřízení Národního centra kybernetické bezpečnosti při NBÚ. Součástí centra by mělo do konce roku 2015 být vládní koordinační místo pro okamžitou reakci na počítačové incidenty, takzvaný vládní CERT. Právě s tímto pracovištěm by podle normy měli zástupci soukromého sektoru spolupracovat.
