Zásadní novinky v legislativě spojené s IT



Řízení firemního IT by nemělo podléhat jen osobním názorům, náladám a zkušenostem týmu administrátorů. Optimálně by mělo být řízeno jednak podle principu maximálního užitku pro danou organizaci a jednotlivé uživatele, a jednak dbát na dodržování celé řady norem: dobrovolných - typu best practice a standardy - anebo povinných - zákony a vyhlášky. Které to především jsou - a co nového se kolem nich děje?

Právě v legislativní rovině dochází v letošním a příštím roce k celé řadě významných změn, které rozšíří dosavadní zákonnou regulaci IT a nově se dotknou téměř každé organizace. V některých případech (zatím jsou to ale jen výjimky) se IT řídí také mezinárodními normami ISO (například systém řízení bezpečnosti informací – ISO 27001, systém řízení informačních služeb).

Aktuální legislativa pro řízení IT

Provoz a rozvoj IT je v Česku v celé řadě organizací (státních i soukromých) dlouhodobě regulován celou řadou zákonů. Mezi tradiční právní normy, které se u nás, obdobně jako ve všech ostatních zemích EU, významným způsobem dotýkají práva IT, patří především:

1) autorský zákon – zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů,
2) zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů,
3) telekomunikační zákon – zákon č. 127/2005 Sb., o elektronických telekomunikacích a o změně dalších zákonů.

Dále se jedná o klasické právní normy, které upravují především závazkové právní vztahy, resp. je lze aplikovat v případě protiprávního jednání, jež se může vyskytnout i v prostředí IT. Takovouto normou je především:

4) občanský zákoník – zákon č. 89/2012 Sb.

Dojde-li ke spáchání deliktu, lze protiprávní jednání postihnout podle zákonů:

5) trestní zákoník – zákon č. 40/2009 Sb.,

6) zákon o odpovědnosti za přestupky a řízení o nich – zákon č. 250/2016 Sb.,

7) zákon o trestní odpovědnosti právnických osob a řízení proti nim – zákon č. 418/2011 Sb.

Kromě toho existují i další, zvláštní zákony, které upravují některé speciální otázky týkající se IT. Jsou to především:

8) zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce,

9) zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů,

10) zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (tzv. antispamový zákon),

11) zákon 181/2014 Sb., o kybernetické bezpečnosti a na něj navazující vyhlášky.

V neposlední řadě existují také specifické vyhlášky pro jednotlivé obory – například vyhlášky ČNB pro finanční sektor, vyhlášky ministerstva zdravotnictví, apod.

Přicházející nová legislativa

V tomto a příštím roce dojde v oblasti IT k celkem čtyřem zásadním legislativním změnám. Již 1. 7. 2017 vstoupila v účinnost tzv. malá novela zákona o kybernetické bezpečnosti. Pravděpodobně ještě do konce tohoto roku nás čeká druhá, zásadnější novela tohoto zákona, reagující na evropskou směrnici NIS. Dále budou muset všechny společnosti reagovat na evropské nařízení GDPR, které je platné od 25. 5. 2016 s dvouletým přechodným obdobím, to znamená, že nabude platnost 25. 5. 2018. Poslední významnou novinkou pak bude evropské nařízení ePrivacy, které upřesní požadavky GDPR v prostředí elektronických komunikací.

Malá novela zákona o kybernetické bezpečnosti

Na počátku července tohoto roku vstoupil v účinnost zákon č. 104/2017 Sb. (novela zákona o informačních systémech veřejné správy), který mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. Tato změna nově definuje pojem provozovatele informačních a komunikačních systémů a jeho povinnosti (jedná se o případy, kdy např. správce kritické informační infrastruktury nebo významného informačního systému tento systém využívá, za vlastní provoz tohoto systému ale odpovídá jiný subjekt – tedy provozovatel) a dále zvyšuje sankce za porušení jednotlivých opatření, a to o jeden řád (tedy z hodnoty 100 000,- Kč na 1 000 000,- Kč). Povinnosti provozovatele informačních a komunikačních systémů budou závislé na významnosti provozovaného systému – budou jiné u provozování významného informačního systému a jiné u kritické informační infrastruktury. Tyto povinnosti budou upřesněny v novele vyhlášky o kybernetické bezpečnosti – předpis č. 316/2014 Sb.

Velká novela zákona o kybernetické bezpečnosti

Další zásadní novela zákona o kybernetické bezpečnosti, která je reakcí na směrnici EU č. 2016/1148 – NIS (Network and Information Security), o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, v současné době čeká na zveřejnění ve sbírce zákonů (sněmovní tisk 984). Tato novela určuje zejména dvě nové skupiny povinných subjektů: poskytovatele základních a digitálních služeb. Současně definuje vznik Národního úřadu pro kybernetickou a informační bezpečnost, který bude nově řešit problematiku kybernetické bezpečnosti (převezme tuto povinnost od NBÚ).

Na koho tento zákon nově dopadne?

Poskytovatelem digitálních služeb se v novele zákona rozumí:

  • on-line tržiště (e-shop),
  • internetové vyhledavače,
  • služby cloud computingu.

Poskytovatelem základních služeb budou subjekty v následujících odvětvích:

  • energetika,
  • doprava,
  • bankovnictví,
  • infrastruktura finančních trhů,
  • zdravotnictví,
  • vodní hospodářství,
  • digitální infrastruktura,
  • chemický průmysl.

Přesné určení dotčených subjektů bude vycházet z dopadových kritérií (např. podle počtu lůžek v nemocnicích). Tato kritéria budou definována v další vyhlášce, která se v současné době připravuje ke schválení.

Stejně tak se připravuje i novela vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, která bude přesně definovat, jaká bezpečnostní opatření bude muset poskytovatel základní, popřípadě digitální služby implementovat.

Jak by se měla dotčená společnost na novelu tohoto zákona připravit?

Novela zákona o kybernetické bezpečnosti definuje v Hlavě II – Systém zajištění kybernetické bezpečnosti v paragrafu 4 povinnost provozovatele digitální služby následovně: „Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy.“ To tedy znamená, že poskytovatel digitální služby musí identifikovat všechny systémy a procesy nutné pro výkon dané služby a provést analýzu rizik nad těmito službami a procesy. Na základě této analýzy rizik je potom potřeba určit vhodná bezpečnostní opatření ke snížení těchto rizik na vhodnou úroveň a tato opatření implementovat.

V případě poskytovatele základní služby bude proces trochu jiný. Poskytovatel základní služby bude určován cestou Národního úřadu pro kybernetickou a informační bezpečnost (Národním centrem pro kybernetickou bezpečnost). Po jeho určení musí daná společnost do 1 roku implementovat patřičná bezpečnostní opatření dle vyhlášky 316/2014 Sb.

Zde doporučuji sledovat vydání vyhlášky o určovacích kritériích pro poskytovatele základních služeb a v případě, že bude daná společnost kritéria splňovat, se začít připravovat na postupnou implementaci bezpečnostních opatření ještě předtím, než proběhne proces určení dané společnosti.

Další zákonnou normou, kterou budou muset plnit úplně všechny společnosti, je GDPR – nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. GDPR se podrobněji věnujeme ve druhé části tohoto článku zde.

Zbyněk Malý, Senior Security Consultant společnosti ANECT


(13. 7. 2017 | redakce2)


Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Cloud computing v praxi - 1.3.2018!


NOVÉ: Pozoruhodné IT produkty pro rok 2018
I tentokrát zde jistě najdete pozoruhodné produkty, které vám mohou již brzy pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2017
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.





©2011-2017 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(5114)