Vytisknout jednu kapitoluVytisknout jednu kapitolu

15. Kybernetická bezpečnost

4. Základní pojmy definované zákonem o kybernetické bezpečnosti

Kybernetický prostor


Kybernetickým prostorem je soubor sítí elektronických komunikací a dalších technologií, ve kterém dochází ke zpracování informací a dat v elektronické podobě. Pod pojmem kybernetický prostor si lze představit například celosvětovou síť Internet, stolní počítače, notebooky, chytrá mobilní zařízení a další produkty ‑ jako jsou třeba chytré hodinky.

Bezpečnost informací


V rámci bezpečnosti informací se řeší ochrana informací, tedy zajištění jejich důvěrnosti, dostupnosti a integrity (tzv. triáda informační bezpečnosti).

  • Důvěrnost je vlastnost charakterizující, že informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům.
  • Dostupnost je vlastnost přístupnosti a použitelnosti na žádost autorizované entity.
  • Integrita je vlastnost ochrany přesnosti a úplnosti dat a jistota, že data nebyla změněna.

Bezpečnost informací je takový stav, kdy jsou zajištěny tyto základní charakteristiky současně a v souladu s požadavky na míru jejich zajištění.

Je zřejmé, že i v oblasti zajišťování kybernetické bezpečnosti zahrnuje bezpečnost informací nejen bezpečnost IS/ICT, ale také s tím úzce související oblasti, jako je fyzická bezpečnost, ochrana osobních údajů, řízení lidských zdrojů, řízení vztahů s dodavateli atd.

Regulovaná služba a poskytovatel regulované služby


Regulovanou službou je služba, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:

  • veřejná správa,
  • energetika,
  • výrobní průmysl,
  • potravinářský průmysl,
  • chemický průmysl,
  • vodní hospodářství,
  • odpadové hospodářství,
  • doprava,
  • digitální infrastruktura a služby,
  • finanční trh,
  • zdravotnictví,
  • věda, výzkum a vzdělávání,
  • poštovní a kurýrní služby,
  • obranný průmysl,
  • vesmírný průmysl,

o které tak rozhodl (po samoidentifikaci) NÚKIB a která splňuje podmínky pro registraci regulované služby, zejména pak podmínky významnosti stanovené vyhláškou o regulovaných službách.

V praxi to znamená, že organizace sama posoudí, zda splňuje kritéria daná vyhláškou o regulovaných službách (kritéria významnosti) a provede ohlášení regulované služby. 

Případně dojde k zahájení řízení o registraci regulované služby z moci úřední – ze strany NÚKIB – jestliže dojde k naplnění dalších podmínek pro registraci regulované služby. V takovém případě jsou podmínky dopadového charakteru, např. jedná se o službu, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob. V obou případech následně NÚKIB potvrdí registraci regulované služby svým rozhodnutím.

Poskytovatelem regulované služby je pak osoba poskytující regulovanou službu.

Režim vyšších povinností a režim nižších povinností

V režimu vyšších povinností je poskytovatel regulované služby, který z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo jiného poskytovatele regulované služby nebo rizikovosti provozu, je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku. V režimu nižších povinností je poskytovatel regulované služby, který není v režimu vyšších povinností podle věty první.

Prakticky je toto rozdělení v majoritě případů dáno kritériem velikosti daného podniku, které jako metriku stanovila právě směrnice NIS2.

Režim nižších povinností má pak některé povinnosti redukovány či zjednodušeny na základní úroveň.

Kybernetický bezpečnostní incident

Kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v kybernetickém prostoru v důsledku kybernetické bezpečnostní události. Např. neoprávněný přístup do systému pomocí privilegovaných (administrátorských) uživatelských účtů umožňující závažný zásah do systému a plnou kontrolu nad ním.

Kybernetická bezpečnostní událost

Kybernetickou bezpečnostní událostí je událost, která může vyústit v kybernetický bezpečnostní incident. Např. byl detekován nepovedený pokus o průnik do systému, přičemž v praxi se jednalo např. o nevalidní pokus o přihlášení uživatele do systému z důvodu zapomenutého hesla.

Hlášení kybernetického bezpečnostního incidentu

Povinné osoby v rámci zákona o kybernetické bezpečnosti jsou povinny hlásit vybrané kybernetické bezpečnostní incidenty, které se projevily v rámci stanoveného rozsahu jejich regulovaných služeb, a to nejdéle do 24 hodin od zjištění tohoto incidentu.

Stav kybernetického nebezpečí

Stav kybernetického nebezpečí lze vyhlásit v případě, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo může dojít k ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkových hodnot nebo životního prostředí.

Stav kybernetického nebezpečí vyhlašuje Národní úřad pro kybernetickou a informační bezpečnost na své úřední desce a lze jej vyhlásit maximálně na 30 dní a prodloužit na celkovou délku 60 dní. Pokud ani pak nedojde k opadnutí důvodů pro vyhlášení stavu kybernetického nebezpečí, požádá NÚKIB vládu o vyhlášení nouzového stavu.