Zákon o kybernetické bezpečnosti

ČÁST PRVNÍ

KYBERNETICKÁ BEZPEČNOST

HLAVA I

Základní ustanovení

§ 1

Předmět úpravy

(1) Tento zákon upravuje práva a povinnosti osob, organizačních složek státu a dalších orgánů veřejné moci v oblasti zajišťování kybernetické bezpečnosti a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad“) a dalších orgánů veřejné moci.

(2) Tento zákon se vztahuje na osoby, které jsou usazeny na území České republiky. Tento zákon se dále vztahuje na osoby, které na území České republiky zajišťují sítě nebo poskytují služby elektronických komunikací podle jiného právního předpisu^1), bez ohledu na místo jejich usazení.

(3) Tento zákon zapracovává příslušný předpis Evropské unie^2) a zároveň navazuje na přímo použitelné předpisy Evropské unie^3).

(4) Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi.

§ 2

Vymezení pojmů

(1) Pro účely tohoto zákona se rozumí

• a) daty záznamy jednání, skutečností nebo informací a soubory takových jednání, skutečností nebo informací, včetně provozních údajů^4) a metadat^5), zejména v podobě textu, čísel, grafů, obrazů, zvuku a videa,

• b) informací zpracovaná, interpretovaná nebo uspořádaná data, která mají význam a kontext,

• c) aktivem fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě,

• d) primárním aktivem aktivum v podobě zpracovávané informace nebo poskytované služby,

• e) podpůrným aktivem aktivum zajišťující fungování primárních aktiv, zejména zaměstnanec, dodavatel, technické aktivum, budova a jiný ohraničený prostor, ve kterém se nachází aktivum regulované služby, a

• f) technickým aktivem technický nebo programový prostředek anebo vybavení.

(2) Pro účely tohoto zákona se dále rozumí

• a) kybernetickým prostorem soubor sítí elektronických komunikací a dalších technologií, ve kterém dochází ke zpracování informací a dat v elektronické podobě,

• b) bezpečností informací zajištění důvěrnosti, integrity a dostupnosti informací a dat,

• c) hrozbou jakákoliv potenciální okolnost, událost nebo jednání, které mohou být příčinou kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, a která mohou poškodit, narušit nebo jinak nepříznivě ovlivnit aktiva, jejich uživatele nebo další osoby,

• d) významnou hrozbou hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál závažně ovlivnit aktiva poskytovatele regulované služby nebo uživatele regulované služby natolik, že způsobí značnou újmu,

• e) kybernetickou bezpečnostní událostí událost, která může vyústit v kybernetický bezpečnostní incident,

• f) kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v kybernetickém prostoru,

• g) zvládáním kybernetického bezpečnostního incidentu úkony vedoucí k prevenci, detekci, analýze, omezení dopadů incidentu, reakci na incident a následné obnově, a

• h) zranitelností slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito hrozbou.

(3) Pro účely tohoto zákona se dále rozumí

• a) systémem překladu doménových jmen hierarchický distribuovaný systém překladu doménových jmen, který umožňuje identifikaci internetových služeb a zdrojů, a současně umožňuje, aby zařízení koncových uživatelů využívala služby směrování a připojení k internetu za účelem přístupu k těmto službám a zdrojům,

• b) správou a provozem registru domény nejvyšší úrovně činnost spočívající ve správě konkrétní delegované domény nejvyšší úrovně, včetně registrace doménových jmen v rámci domény nejvyšší úrovně a technického provozu jmenných serverů, vedení databází zajišťujících správu a provoz domény nejvyšší úrovně a distribuci zónových souborů domény nejvyšší úrovně mezi jmennými servery, s výjimkou situací, kdy registr domény nejvyšší úrovně používá doménová jména nejvyšší úrovně pouze pro svou vlastní potřebu,

• c) službou cloud computingu služba informační společnosti podle právního předpisu upravujícího služby informační společnosti, která umožňuje samoobslužnou správu a široký vzdálený přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů, včetně těch, které jsou rozmístěny na více místech,

• d) službou datového centra služba, která zahrnuje prostory, včetně všech zařízení a infrastruktur pro distribuci energie a řízení prostředí, určené k centralizovanému umístění, propojení a provozu informačních technologií a síťových zařízení poskytujících služby zpracování dat,

• e) sítí pro doručování obsahu síť geograficky distribuovaných serverů sloužící k zajištění vysoké dostupnosti, přístupnosti nebo rychlého poskytování digitálního obsahu a služeb uživatelům internetu,

• f) platformou sociálních sítí platforma, která koncovým uživatelům umožňuje vzájemné propojení, sdílení, objevování a komunikaci napříč různými zařízeními, zejména prostřednictvím chatů, příspěvků, videí a doporučení,

• g) řízenou službou služba související s instalací, správou, provozem nebo údržbou technických aktiv, a to prostřednictvím asistence nebo aktivní správy, které jsou prováděny v prostorách zákazníků nebo na dálku,

• h) řízenou bezpečnostní službou řízená služba, která spočívá v činnostech souvisejících s řízením kybernetických bezpečnostních rizik nebo poskytováním asistence pro tyto činnosti, a

• i) osobou poskytující služby registrace doménových jmen registrátor nebo osoba poskytující obdobné služby jménem registrátora.

HLAVA II

Poskytovatel regulované služby

Díl 1

Regulovaná služba a režim jejího poskytovatele

§ 3

Regulovaná služba

Regulovanou službou je služba, o které tak rozhodl Úřad podle § 6 odst. 2.

Podmínky pro registraci regulované služby

§ 4

(1) Podmínky pro registraci regulované služby jsou splněny v případě, že

• a) jde o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:

• 1. veřejná správa,

• 1. energetika,

• 1. výrobní průmysl,

• 1. potravinářský průmysl,

• 1. chemický průmysl,

• 1. vodní hospodářství,

• 1. odpadové hospodářství,

• 1. doprava,

• 1. digitální infrastruktura a služby,

• 1. finanční trh,

• 1. zdravotnictví,

• 1. věda, výzkum a vzdělávání,

• 1. poštovní a kurýrní služby,

• 1. obranný průmysl,

• 1. vesmírný průmysl a

• b) poskytovatel služby je středním nebo velkým podnikem ve smyslu doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (dále jen „doporučení Komise 2003/361/ES“)^6), nebo je významný pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice.

(2) Seznam služeb podle odstavce 1 písm. a) a vymezení podmínek významnosti poskytovatele podle odstavce 1 písm. b) stanoví Úřad vyhláškou.

§ 5

Podmínky pro registraci regulované služby jsou dále splněny v případě, že

• a) jde o službu podle § 4 odst. 1 písm. a) a

• 1. její poskytovatel je jediným poskytovatelem této služby v České republice a tato služba je zásadní pro zabezpečení kritických společenských nebo ekonomických činností nebo pro bezpečnost v České republice,

• 1. narušení této služby by mohlo mít významný dopad na bezpečnost České republiky, vnitřní pořádek nebo život a zdraví,

• 1. narušení této služby by mohlo vyvolat významná systémová rizika, zejména v odvětvích, kde by takové narušení mohlo mít přeshraniční dopad, nebo

• 1. její poskytovatel je kvůli svému specifickému významu na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví, ve kterém působí, nebo typ služby, kterou poskytuje anebo pro jiná vzájemně propojená odvětví v České republice,

• b) jde o službu, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob, a to prostřednictvím ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkové hodnoty nebo životního prostředí,

• c) jde o službu, jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele v režimu vyšších povinností, nebo

• d) jde o službu, jejíž poskytovatel je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu; v takovém případě je regulovanou službou služba odpovídající prvku kritické infrastruktury určenému u tohoto subjektu.

§ 6

Ohlášení a registrace regulované služby

(1) Poskytovatel služby splňující podmínky pro registraci regulované služby podle § 4 odst. 1 je pro účely vydání rozhodnutí o registraci regulované služby povinen ohlásit tuto službu Úřadu nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo. Formát a způsob ohlášení podle tohoto odstavce stanoví Úřad vyhláškou.

(2) Úřad rozhodne o registraci regulované služby v případě, že jsou splněny podmínky pro registraci regulované služby podle § 4 odst. 1 nebo § 5.

(3) Řízení o registraci regulované služby splňující podmínky pro registraci podle § 5 lze zahájit pouze z moci úřední.

(4) Rozhodnutí o registraci regulované služby podle odstavce 2 může být prvním úkonem Úřadu v řízení. Rozklad podaný proti rozhodnutí o registraci regulované služby nemá odkladný účinek.

§ 7

Zvláštní ustanovení o určování velikosti podniku

Odchylně od pravidel doporučení Komise 2003/361/ES pro účely tohoto zákona platí, že

• a) čl. 3 odst. 4 doporučení Komise 2003/361/ES se neuplatní,

• b) za podnik se nepovažují organizační složky státu^7), územní samosprávné celky a Česká národní banka,

• c) za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby, a

• d) pro určování velikosti poskytovatele regulované služby v odvětví věda, výzkum a vzdělávání, který není podnikem, se pravidla pro určování velikosti podniku podle doporučení Komise 2003/361/ES, včetně speciálních pravidel upravených tímto zákonem, použijí obdobně.

Režim poskytovatele regulované služby

§ 8

(1) V režimu vyšších povinností je poskytovatel regulované služby, který z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo jiného poskytovatele regulované služby nebo rizikovosti provozu, je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku. V režimu nižších povinností je poskytovatel regulované služby, který není v režimu vyšších povinností podle věty první.

(2) Rozdělení poskytovatelů podle poskytovaných regulovaných služeb do režimů uvedených v odstavci 1 stanoví Úřad vyhláškou.

(3) Je-li regulovaná služba registrována rozhodnutím Úřadu na základě splnění podmínek pro registraci podle § 5, je její poskytovatel v režimu vyšších povinností.

§ 9

(1) Poskytovatel regulované služby je povinen hlásit Úřadu změny regulované služby, které mohou vést ke změně režimu jejího poskytovatele, nejpozději do 60 dnů ode dne, kdy ke změně regulované služby došlo.

(2) Při změně režimu poskytovatele regulované služby z režimu nižších povinností na režim vyšších povinností plynou nové lhůty pro zahájení plnění povinností podle § 11 odst. 1, § 13 odst. 4 a § 15 odst. 4.

§ 10

Zrušení registrace regulované služby

(1) Pokud služba již nesplňuje podmínky pro registraci regulované služby podle § 4 odst. 1 nebo § 5, Úřad rozhodne o zrušení registrace regulované služby.

(2) Řízení o zrušení registrace regulované služby se zahajuje na žádost jejího poskytovatele. Řízení lze zahájit i z moci úřední. Rozhodnutí o zrušení registrace regulované služby může být prvním úkonem v řízení. Podání rozkladu proti rozhodnutí o zrušení registrace regulované služby, kterým Úřad žádosti v plném rozsahu vyhověl, není přípustné.

(3) Písemné rozhodnutí o zrušení registrace regulované služby se nevyhotovuje v případě, kdy Úřad žádosti v plném rozsahu vyhověl nebo kdy v řízení zahájeném z moci úřední rozhodl o zrušení registrace regulované služby. V takovém případě rozhodnutí nabývá právní moci záznamem do spisu. O zrušení registrace regulované služby Úřad účastníka řízení písemně vyrozumí.

Díl 2

Povinnosti poskytovatele regulované služby a protiopatření

§ 11

Hlášení údajů

(1) Poskytovatel regulované služby nejpozději do 30 dnů ode dne doručení rozhodnutí o registraci regulované služby hlásí Úřadu

• a) kontaktní údaje, kterými se rozumí identifikační údaje fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem, a

• b) doplňující údaje, kterými se rozumí informace o vlastnické struktuře poskytovatele regulované služby, technické údaje týkající se regulované služby a informace o jejím geografickém rozšíření a přeshraničním poskytování.

(2) Poskytovatel regulované služby je povinen hlásit změny pouze těch údajů podle odstavce 1, které nejsou referenčními údaji vedenými v základních registrech, a to nejpozději do 14 dnů ode dne, kdy došlo k jejich změně.

§ 12

Stanovení rozsahu řízení kybernetické bezpečnosti

(1) Součástí rozsahu řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“) jsou aktiva související s poskytováním regulované služby.

(2) Za účelem vymezení stanoveného rozsahu poskytovatel regulované služby

• a) určí všechna svá primární aktiva,

• b) posoudí, zda primární aktiva souvisí s poskytováním regulované služby, a

• c) u primárních aktiv podle písmene b) určí podpůrná aktiva.

(3) Poskytovatel regulované služby eviduje aktiva, která jsou součástí stanoveného rozsahu, a primární aktiva, která byla ze stanoveného rozsahu vyjmuta, včetně důvodů jejich vyjmutí.

(4) Platí, že primární aktiva, která ještě nebyla posouzena podle odstavce 2 písm. b), a podpůrná aktiva, která ještě nebyla určena podle odstavce 2 písm. c), jsou součástí stanoveného rozsahu.

(5) Stanovený rozsah je poskytovatel regulované služby povinen pravidelně přezkoumávat a aktualizovat.

§ 13

Bezpečnostní opatření

(1) Bezpečnostními opatřeními jsou organizační a technická opatření, jejichž účelem je zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv.

(2) Poskytovatel regulované služby je povinen v rámci stanoveného rozsahu zavádět a provádět bezpečnostní opatření podle § 14 v míře nezbytné pro zajištění kybernetické bezpečnosti regulované služby.

(3) Obsah bezpečnostních opatření a způsob jejich zavádění a provádění stanoví Úřad vyhláškou.

(4) Poskytovatel regulované služby začne plnit povinnost zavádět a provádět bezpečnostní opatření podle odstavce 2 pro každou regulovanou službu nejpozději do 1 roku ode dne doručení rozhodnutí o registraci regulované služby.

(5) V případě, že poskytovatel regulované služby zavádí nebo provádí bezpečnostní opatření prostřednictvím dodavatele, je povinen vybírat svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření a zahrnovat požadavky vyplývající z bezpečnostního opatření do smluv s dodavatelem.

§ 14

Seznam bezpečnostních opatření

(1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou

• a) organizačními opatřeními

• 1. systém řízení bezpečnosti informací,

• 1. požadavky na vrcholné vedení,

• 1. stanovení bezpečnostních rolí,

• 1. řízení bezpečnostní politiky a bezpečnostní dokumentace,

• 1. řízení aktiv,

• 1. řízení rizik,

• 1. řízení dodavatelů,

• 1. bezpečnost lidských zdrojů,

• 1. řízení změn,

• 1. akvizice, vývoj a údržba,

• 1. řízení přístupu,

• 1. zvládání kybernetických bezpečnostních událostí a incidentů,

• 1. řízení kontinuity činností a

• 1. provádění auditu kybernetické bezpečnosti,

• b) technickými opatřeními

• 1. fyzická bezpečnost,

• 1. bezpečnost komunikačních sítí,

• 1. správa a ověřování identit,

• 1. řízení přístupových práv a oprávnění,

• 1. detekce kybernetických bezpečnostních událostí,

• 1. zaznamenávání událostí,

• 1. vyhodnocování kybernetických bezpečnostních událostí,

• 1. aplikační bezpečnost,

• 1. kryptografické algoritmy,

• 1. zajišťování dostupnosti regulované služby a

• 1. zabezpečení průmyslových, řídících a obdobných specifických technických aktiv.

(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními

• a) systém zajišťování minimální kybernetické bezpečnosti,

• b) požadavky na vrcholné vedení,

• c) řízení aktiv,

• d) řízení rizik,

• e) bezpečnost lidských zdrojů,

• f) řízení kontinuity činností,

• g) řízení přístupu,

• h) řízení identit a jejich oprávnění,

• i) detekce a zaznamenávání kybernetických bezpečnostních událostí,

• j) řešení kybernetických bezpečnostních incidentů,

• k) bezpečnost komunikačních sítí,

• l) aplikační bezpečnost a

• m) kryptografické algoritmy.

§ 15

Hlášení kybernetických bezpečnostních incidentů

(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen hlásit Úřadu postupem podle § 16 kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru a nelze u nich ve lhůtě podle § 16 odst. 1 vyloučit úmyslné zavinění.