epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    22. 9. 2021
    ID: 113602

    Je potřeba „přitvrdit“ v legislativě kybernetické bezpečnosti?

    Na úvod si dovolím citovat sám sebe – Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy – jednotlivců, firem, státních institucí, unií atd.

    A jelikož život ukazuje, že pud sebezáchovy nefunguje, tak nastupuje přitvrzení legislativy.

    V čem je problém a proč je to problém na úrovni EU?

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Stávající evropská směrnice o bezpečnosti sítí a informací (NIS) přes nesporná pozitiva, která přinesla, už prostě nestačí. Zde stojí za zmínku, že český zákon 181/2014 Sb. o kybernetické bezpečnosti v době vydání této směrnice už existoval a když ostatní evropské země měly za povinnost přizpůsobit, některé země teprve zavést, svoji legislativu kybernetické bezpečnosti, tak ten náš se se směrnicí NIS shodoval z 95 procent.

    Epidemie Covid-19 byla jedním z impulsů, které si revizi směrnice NIS vynutily. Živelný přechod do on-line světa, bezskrupulózní útoky na zdravotnická zařízení, útoky na distribuční kanály vakcín apod. vedly k závěrům, že něco je ne sice možná úplně špatně, ale také ne úplně dobře.

    Na základě hodnocení fungování směrnice NIS byly při posouzení dopadů zjištěny následující problémy:

    • nízká úroveň kybernetické odolnosti podniků a institucí působících v EU;
    • nekonzistentní odolnost mezi členskými státy a odvětvími a nízká úroveň společného situačního povědomí a nedostatečná společná reakce na krize.

    Konečně se stalo zřejmým i to, že například velké nemocnice v některých členských státech nespadají do oblasti působnosti směrnice o bezpečnosti sítí a informací a tím i pod národní legislativu, a proto nejsou povinny zavádět bezpečnostní opatření. A v jiné zemi téměř každá nemocnice v zemi je pokryta bezpečnostními požadavky NIS. Situace v České republice byla taková, že díky úsilí ministerstva zdravotnictví před účinností směrnice NIS pod zákon o kybernetické bezpečnosti nespadala žádná nemocnice, po její účinnosti jen 16 největších. Když už se nepovedlo to, že pod zmíněný zákon nespadá žádná, tak dobrá, jen ty největší. Díky novele legislativy kybernetické bezpečnosti se konečně dostalo pod zákon o kybernetické bezpečnosti až 46 zdravotnických zařízení. Ale i to je málo. Když si uvědomíme, že kybernetický útok na takovéto zařízení může mít fatální dopady, tak se odborníci úsilí Ministerstva zdravotnictví jen diví. Toto úsilí se vymstilo při útocích na nemocnice jako např. Benešovská nemocnice, Fakultní nemocnice Brno a další. A bohužel nejde jen o hmotné škody, které jen v těchto nemocnicích dosáhly stovek milionů korun, ale jde i o dopady na zdraví pacientů. V Německu byl dokumentován případ pacientky, která měla akutní zdravotní problém a sanitka ji vezla do nemocnice. Jenže ta byla pod hackerským útokem a tedy nefunkční. Sanitku museli odklonit do nemocnice o 32 kilometrů dál a ty minuty k záchraně pacientky prostě chyběly a zemřela. Tato nešťastná událost byla dána do přímé souvislosti s hackerským útokem na nemocnici.

    Ale zpátky k revizi směrnice NIS, které se také říká NIS 2, co nového přináší?

    Revize NIS předpokládá tři obecné cíle:

    1. Zvýšit úroveň kybernetické odolnosti komplexního souboru firem a institucí působících v Evropské unii ve všech příslušných odvětvích zavedením pravidel, která zajistí, aby všechny veřejné a soukromé subjekty na vnitřním trhu, které plní důležité funkce pro hospodářství a společnost jako celek byly povinny přijmout odpovídající opatření v oblasti kybernetické bezpečnosti.

    2. Omezit nesrovnalosti v odolnosti na vnitřním trhu v odvětvích, na která se směrnice již vztahuje, dalším sladěním

    (1) de facto rozsahu,

    (2) požadavků na bezpečnost a hlášení incidentů,

    (3) ustanovení upravujících národní dohled a

    (4) schopnosti příslušných orgánů v členských státech.

    3. Zlepšit úroveň společného situačního povědomí a kolektivní schopnosti připravit se a reagovat přijetím opatření ke zvýšení úrovně důvěry mezi příslušnými orgány, sdílením více informací a stanovením pravidel a postupů v případě rozsáhlého incidentu nebo krize.

    Odolnost v kybernetické bezpečnosti v celé Unii nemůže být účinná, pokud k ní bude přistupováno rozdílně prostřednictvím národních nebo regionálních hráčů.

    Já osobně považuji za nejpodstatnější tyto oblasti:

    Rozšíření seznamu odvětví, která „spadnou“ pod regulaci. Jsou to odvětví, která pod regulaci v této oblasti dosud nespadala. Podívejte se na konci článku na jejich výčet (není zde prostor pro rozebírání parametrů jednotlivých odvětví a pododvětví -např. přenášený výkon u distribuční soustavy apod.). Výčet považuji za podstatný, aby bylo zřejmé, jak obrovsky se rozšiřuje záběr legislativy kybernetické bezpečnosti a jak opravdu přituhuje. A jak tím roste i tlak na rozpočet na zajištění kybernetické a informační bezpečnosti nových osob povinných – cca o 12%. Pokud už to tedy mají alespoň v nějaké úrovni zavedeno a nečekají na průšvih, jak je naším národním zvykem. Ale také jak tím poroste hlad po odbornících na zavedení, řízení a rozvoj kybernetické bezpečnosti. Pokud si prohlédnete tento výčet, tak tam najdete řadu odvětví, která pod legislativu kybernetické bezpečnosti nikdy nepatřila. Např. výrobci a distributoři farmaceutických přípravků, výrobci automobilů, návěsů a přívěsů, výrobci počítačů, zdravotnických prostředků (to bude hodně zajímavé) a hodně se těším na regulaci poskytovatelů sociálních sítí.

    Tímto výčtem ale revize NIS nekončí. Za zásadní považuji zdůraznění úlohy pečlivé analýzy rizik před jakoukoliv změnou nebo pořízením IT infrastruktury hlavně z pohledu kybernetické a informační bezpečnosti. Což znamená odklon od bezhlavého nakupování nejrůznějších bezpečnostních řešení jen proto, že se o nich mluví na konferencích. Tato řešení nakonec mají jediný efekt, že spotřebovávají elektrický proud a barevně blikají. Jedině pečlivá analýza rizik ve vztahu k službám, které firma nebo instituce poskytuje a k systémům, na kterých jsou tyto služby závislé, ukáže, jaká bezpečnostní opatření mají smysl. Když to přeženu, tak nedává smysl korunové hodnoty chránit milionovými opatřeními a naopak. A to vám ukáže právě analýza rizik.

    Další zásadní moment jsou tzv. netechnické bezpečnostní požadavky. Díky NÚKIB, který na konferenci o 5G sítích v rámci tzv. Pražské iniciativy navrhnul tyto netechnické požadavky, se dostaly i do revize NIS. Jde o to, že se nelze soustředit jen na technické (a bohužel i cenové) parametry bezpečnostních řešení, ale je nutno zvažovat i to, z jaké jurisdikce pochází výrobce nebo dodavatel těchto technologií a systémů, jaká je jeho vlastnická struktura, jestli není navázaný na zpravodajské služby nedemokratického režimu apod. Je třeba si uvědomit (a zase jsme u analýzy rizik) jaké informace vaší infrastrukturou potečou, jaké v ní budou zpracovávány, kdo s nimi bude pracovat. Přece byste nechtěli, aby k vašemu těžce vybudovanému know-how měla on-line přístup konkurence ze země, kterou autorská práva a ochrana duševního vlastnictví příliš netrápí.

    Zaznamenal jsem i další posun, a to v tom, že se přestaneme soustředit na ochranu jednotlivých informačních systémů (no hurá), ale budeme budovat bezpečnou celkovou infrastrukturu. To znamená přesun od ochrany systémů k ochraně firmy – instituce. A to je dobře.

    Převis poptávky nad nabídkou odborníků

    Ještě jednou zdůrazním to, že očekávám obrovský převis poptávky nad nabídkou odborníků na kybernetickou a informační bezpečnost, a to možná ani tak ne v technických profesích jako spíše v těch manažerských. Budou chybět odborníci, kteří budou schopni kybernetickou a informační bezpečnost ve firmě nebo instituci zavést potom řídit a neustále rozvíjet. Budou chybět odborníci, kteří budou umět řídit rizika. Budou chybět architekti kybernetické bezpečnosti. Ale také budou chybět ti, kteří budou kontrolovat soulad s legislativou – u nás je to NÚKIB.

    Dobře jsem si vybral svůj obor, je to nekonečný boj, nekonečný adrenalin.

    Doporučuji vám to samé.

    A nakonec je tady ten výčet – najdete se tam? A překvapí vás to?

    Základní subjekty

    1. Energetika
      1. elektřina
      2. dálkové vytápění a chlazení
      3. ropa
      4. zemní plyn
      5. vodík
    2. Doprava
      1. letecká
      2. železniční
      3. vodní
      4. silniční
    3. Bankovnictví
    4. Infrastruktura finančních trhů
    5. Zdravotnictví
    6. Dodavatelé a distributoři vody určené k lidské spotřebě
    7. Odpadní voda
    8. Digitální infrastruktura
    9. Veřejná správa (I regiony)
    10. Vesmír

    Důležité subjekty

    1. Poštovní a kurýrní služby
    2. Nakládání s odpady
    3. Výroba, produkce a distribuce chemických látek
    4. Výroba, zpracování a distribuce potravin
    5. Výroba
      1. výroba zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro
      2. výroba počítačů, elektronických a optických přístrojů a zařízení
      3. výroba elektrických zařízení
      4. výroba strojů a zařízení j. n
      5. výroba motorových vozidel, přívěsů a návěsů
    6. Digitální poskytovatelé               
        1. poskytovatelé on-line tržišť
        2. poskytovatelé internetových vyhledávačů

    poskytovatelé platforem služeb sociálních sítí   
     

    https://www.epravo.cz/_dataPublic/userfiles/files/image-20190716120948-1.jpeg

    Ing. Aleš Špidla

    Ing. Aleš Špidla je prezidentem Českého institutu manažerů informační bezpečnosti, garantem a pedagogem MBA programu „Management a kybernetická bezpečnost“ a spolugarantem a pedagogem LL.M. studijního programu „Ochrana informací“.

    CEVRO Institut je soukromou vysokou školou práva, politologie, mezinárodních vztahů, ekonomie a bezpečnostních studií. Na českém vysokoškolském trhu působí více už čtrnáct let. Nabízí prestižní vzdělání, individuální přístup a špičkové vyučující. Vybrat si lze z bakalářských, magisterských i postgraduálních programů. Přednáší zde elitní profesoři i experti přicházející z praxe justice, veřejné správy a byznysu.

    Postgraduálním program MBA Management a kybernetická bezpečnost, který nabízí soukromá vysoká škola CEVRO Institut, je určen pro klíčové manažery, bezpečnostní pracovníky a vedoucí pracovníky v ICT v soukromé i veřejné sféře se zaměřením na ochranu podnikové i státní IT infrastruktury a pochopení principů řízení kybernetické bezpečnosti. Více informací o tomto programu naleznete ZDE.

    Postgraduální program LL.M. Ochrana informací nabízí právní a manažerské znalosti z oblasti ochrany informací, Compliance Managementu, trestní odpovědnosti právnických osob, kybernetické a informační bezpečnosti (ZKB), která je zaměřena na ochranu osobních údajů (GDPR), a elektronických identit (eIDAS). Díky špičkovým odborníkům budete po absolvování studia připraveni na výkon funkce Compliance Officer a Data Protection Officer. Více informací o tomto programu naleznete ZDE.


     


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Ing. Aleš Špidla (CEVRO Institut)
    22. 9. 2021

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Novela zákona o znalcích: krok ke stabilizaci systému, který se potýkal s provozní nepružností
    • ASPI přechází na webovou verzi: výhody a budoucnost právních technologií
    • Studium LLM v oboru PRÁVO & OBCHODNÍ SEKTOR: Když právo potkává byznys
    • Legal Innovation Day 2025 ukáže, jak na praktické využití AI
    • D.A.S. právní ochrana slaví 30 let a rozšiřuje dostupnost právních služeb
    • Využijte nového AI asistenta pro právní rešerše
    • Českým živnostníkům chybí právní podpora. D.A.S. přináší dostupné řešení
    • ČEZ Prodej spouští inovativní službu flexibility: na dálku bude regulovat přetoky domácích fotovoltaik
    • Veřejné právo jako klíčová oblast právního systému
    • Za oponou vývoje: jak Wolters Kluwer vytváří AI nástroje pro efektivnější právní praxi
    • Rovnováha mezi rodinou a paragrafy: Otcové z D.A.S. sdílejí své strategie

    Novinky v eshopu

    Aktuální akce

    • 17.06.2025Rozvod s mezinárodním prvkem (online - živé vysílání) - 17.6.2025
    • 17.06.2025Bitcoin jako součást finanční strategie společnosti (online - živé vysílání) - 17.6.2025
    • 20.06.2025Nový stavební zákon – aktuální judikatura (online - živé vysílání) - 20.6.2025
    • 24.06.2025Změny v aktuální rozhodovací praxi ÚOHS - pro zadavatele - PRAKTICKY! (online - živé vysílání) - 24.6.2025
    • 24.06.2025Flexibilní pracovní doba – Ne vždy musí zaměstnanci pracovat ve standardních pevných či pravidelných směnách! (online - živé vysílání) - 24.6.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • 10 otázek pro ... Lukáše Vacka
    • „Flexinovela“ zákoníku práce: Co vše se letos mění?
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Povinnost složit jistotu na náklady řízení incidenčního sporu a její zánik v reorganizaci
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Státní zaměstnanci a úředníci v byznysu: Flexinovela bourá hranice a otevírá dveře do podnikatelských orgánů
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • „Flexinovela“ zákoníku práce: Co vše se letos mění?
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Student je spotřebitel: ÚS redefinoval smluvní vztahy se soukromými VŠ
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • K jednomu z výkladových úskalí na úseku regulace slev
    • Státní zaměstnanci a úředníci v byznysu: Flexinovela bourá hranice a otevírá dveře do podnikatelských orgánů
    • Byznys a paragrafy, díl 11.: Pracovněprávní nástrahy (nejen) léta pro zaměstnavatele
    • „Flexinovela“ zákoníku práce: Co vše se letos mění?
    • Zákaz doložek mlčenlivosti o mzdě, zrušení povinných vstupní lékařských prohlídek u nerizikových prací a navýšení podpory v nezaměstnanosti aneb flexinovela zákoníku práce není jen o změnách ve zkušební či výpovědní době
    • Výpověď z pracovního poměru z důvodu neomluveného zameškání jedné směny
    • Provozovatel e-shopu Rohlik.cz uspěl u NSS: Případ údajného švarcsystému musí soud posoudit znovu!
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Posouzení intenzity porušení pracovních povinností zaměstnance – komentář k rozhodnutí Nejvyššího soudu České republiky
    • Vexatorní podání jako neodvratitelný důsledek rozvoje AI
    • 10 otázek pro ... Lukáše Rezka

    Soudní rozhodnutí

    Vyvlastnění, moderační právo soudu

    Moderační právo soudu nebude mít místa tam, kde nebyly zjištěny (a dokonce ani tvrzeny) žádné mimořádné okolnosti případu týkající se vyvlastňované věci. Účelem...

    Majetková podstata

    V řízení o určení neúčinnosti smlouvy, kterou dlužník uzavřel s dalšími osobami, není insolvenční správce oprávněn ani povinen podat odpůrčí žalobu proti těmto osobám jen...

    Osvobození od placení zbytku dluhů (exkluzivně pro předplatitele)

    Pohledávka věřitele vůči (insolvenčnímu) dlužníku, na kterou se vztahuje rozhodnutí insolvenčního soudu o přiznání osvobození od placení zbytku pohledávek, vydané podle § 414...

    Ověření podpisu advokátem (exkluzivně pro předplatitele)

    Je-li prohlášení o pravosti podpisu jiné osoby učiněno advokátem a má-li všechny náležitosti stanovené § 25a odst. 2 zákona o advokacii, nahrazuje takové prohlášení úřední...

    Pohledávka vyloučená z uspokojení (exkluzivně pro předplatitele)

    Příspěvek do garančního fondu dle § 4 odst. 1 zákona  č. 168/1999 Sb. nemá charakter mimosmluvní sankce postihující majetek dlužníka (ve smyslu § 170 písm. d/ insolvenčního...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.