epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    22. 9. 2021
    ID: 113602

    Je potřeba „přitvrdit“ v legislativě kybernetické bezpečnosti?

    Na úvod si dovolím citovat sám sebe – Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy – jednotlivců, firem, státních institucí, unií atd.

    A jelikož život ukazuje, že pud sebezáchovy nefunguje, tak nastupuje přitvrzení legislativy.

    V čem je problém a proč je to problém na úrovni EU?

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Stávající evropská směrnice o bezpečnosti sítí a informací (NIS) přes nesporná pozitiva, která přinesla, už prostě nestačí. Zde stojí za zmínku, že český zákon 181/2014 Sb. o kybernetické bezpečnosti v době vydání této směrnice už existoval a když ostatní evropské země měly za povinnost přizpůsobit, některé země teprve zavést, svoji legislativu kybernetické bezpečnosti, tak ten náš se se směrnicí NIS shodoval z 95 procent.

    Epidemie Covid-19 byla jedním z impulsů, které si revizi směrnice NIS vynutily. Živelný přechod do on-line světa, bezskrupulózní útoky na zdravotnická zařízení, útoky na distribuční kanály vakcín apod. vedly k závěrům, že něco je ne sice možná úplně špatně, ale také ne úplně dobře.

    Na základě hodnocení fungování směrnice NIS byly při posouzení dopadů zjištěny následující problémy:

    • nízká úroveň kybernetické odolnosti podniků a institucí působících v EU;
    • nekonzistentní odolnost mezi členskými státy a odvětvími a nízká úroveň společného situačního povědomí a nedostatečná společná reakce na krize.

    Konečně se stalo zřejmým i to, že například velké nemocnice v některých členských státech nespadají do oblasti působnosti směrnice o bezpečnosti sítí a informací a tím i pod národní legislativu, a proto nejsou povinny zavádět bezpečnostní opatření. A v jiné zemi téměř každá nemocnice v zemi je pokryta bezpečnostními požadavky NIS. Situace v České republice byla taková, že díky úsilí ministerstva zdravotnictví před účinností směrnice NIS pod zákon o kybernetické bezpečnosti nespadala žádná nemocnice, po její účinnosti jen 16 největších. Když už se nepovedlo to, že pod zmíněný zákon nespadá žádná, tak dobrá, jen ty největší. Díky novele legislativy kybernetické bezpečnosti se konečně dostalo pod zákon o kybernetické bezpečnosti až 46 zdravotnických zařízení. Ale i to je málo. Když si uvědomíme, že kybernetický útok na takovéto zařízení může mít fatální dopady, tak se odborníci úsilí Ministerstva zdravotnictví jen diví. Toto úsilí se vymstilo při útocích na nemocnice jako např. Benešovská nemocnice, Fakultní nemocnice Brno a další. A bohužel nejde jen o hmotné škody, které jen v těchto nemocnicích dosáhly stovek milionů korun, ale jde i o dopady na zdraví pacientů. V Německu byl dokumentován případ pacientky, která měla akutní zdravotní problém a sanitka ji vezla do nemocnice. Jenže ta byla pod hackerským útokem a tedy nefunkční. Sanitku museli odklonit do nemocnice o 32 kilometrů dál a ty minuty k záchraně pacientky prostě chyběly a zemřela. Tato nešťastná událost byla dána do přímé souvislosti s hackerským útokem na nemocnici.

    Ale zpátky k revizi směrnice NIS, které se také říká NIS 2, co nového přináší?

    Revize NIS předpokládá tři obecné cíle:

    1. Zvýšit úroveň kybernetické odolnosti komplexního souboru firem a institucí působících v Evropské unii ve všech příslušných odvětvích zavedením pravidel, která zajistí, aby všechny veřejné a soukromé subjekty na vnitřním trhu, které plní důležité funkce pro hospodářství a společnost jako celek byly povinny přijmout odpovídající opatření v oblasti kybernetické bezpečnosti.

    2. Omezit nesrovnalosti v odolnosti na vnitřním trhu v odvětvích, na která se směrnice již vztahuje, dalším sladěním

    (1) de facto rozsahu,

    (2) požadavků na bezpečnost a hlášení incidentů,

    (3) ustanovení upravujících národní dohled a

    (4) schopnosti příslušných orgánů v členských státech.

    3. Zlepšit úroveň společného situačního povědomí a kolektivní schopnosti připravit se a reagovat přijetím opatření ke zvýšení úrovně důvěry mezi příslušnými orgány, sdílením více informací a stanovením pravidel a postupů v případě rozsáhlého incidentu nebo krize.

    Odolnost v kybernetické bezpečnosti v celé Unii nemůže být účinná, pokud k ní bude přistupováno rozdílně prostřednictvím národních nebo regionálních hráčů.

    Já osobně považuji za nejpodstatnější tyto oblasti:

    Rozšíření seznamu odvětví, která „spadnou“ pod regulaci. Jsou to odvětví, která pod regulaci v této oblasti dosud nespadala. Podívejte se na konci článku na jejich výčet (není zde prostor pro rozebírání parametrů jednotlivých odvětví a pododvětví -např. přenášený výkon u distribuční soustavy apod.). Výčet považuji za podstatný, aby bylo zřejmé, jak obrovsky se rozšiřuje záběr legislativy kybernetické bezpečnosti a jak opravdu přituhuje. A jak tím roste i tlak na rozpočet na zajištění kybernetické a informační bezpečnosti nových osob povinných – cca o 12%. Pokud už to tedy mají alespoň v nějaké úrovni zavedeno a nečekají na průšvih, jak je naším národním zvykem. Ale také jak tím poroste hlad po odbornících na zavedení, řízení a rozvoj kybernetické bezpečnosti. Pokud si prohlédnete tento výčet, tak tam najdete řadu odvětví, která pod legislativu kybernetické bezpečnosti nikdy nepatřila. Např. výrobci a distributoři farmaceutických přípravků, výrobci automobilů, návěsů a přívěsů, výrobci počítačů, zdravotnických prostředků (to bude hodně zajímavé) a hodně se těším na regulaci poskytovatelů sociálních sítí.

    Tímto výčtem ale revize NIS nekončí. Za zásadní považuji zdůraznění úlohy pečlivé analýzy rizik před jakoukoliv změnou nebo pořízením IT infrastruktury hlavně z pohledu kybernetické a informační bezpečnosti. Což znamená odklon od bezhlavého nakupování nejrůznějších bezpečnostních řešení jen proto, že se o nich mluví na konferencích. Tato řešení nakonec mají jediný efekt, že spotřebovávají elektrický proud a barevně blikají. Jedině pečlivá analýza rizik ve vztahu k službám, které firma nebo instituce poskytuje a k systémům, na kterých jsou tyto služby závislé, ukáže, jaká bezpečnostní opatření mají smysl. Když to přeženu, tak nedává smysl korunové hodnoty chránit milionovými opatřeními a naopak. A to vám ukáže právě analýza rizik.

    Další zásadní moment jsou tzv. netechnické bezpečnostní požadavky. Díky NÚKIB, který na konferenci o 5G sítích v rámci tzv. Pražské iniciativy navrhnul tyto netechnické požadavky, se dostaly i do revize NIS. Jde o to, že se nelze soustředit jen na technické (a bohužel i cenové) parametry bezpečnostních řešení, ale je nutno zvažovat i to, z jaké jurisdikce pochází výrobce nebo dodavatel těchto technologií a systémů, jaká je jeho vlastnická struktura, jestli není navázaný na zpravodajské služby nedemokratického režimu apod. Je třeba si uvědomit (a zase jsme u analýzy rizik) jaké informace vaší infrastrukturou potečou, jaké v ní budou zpracovávány, kdo s nimi bude pracovat. Přece byste nechtěli, aby k vašemu těžce vybudovanému know-how měla on-line přístup konkurence ze země, kterou autorská práva a ochrana duševního vlastnictví příliš netrápí.

    Zaznamenal jsem i další posun, a to v tom, že se přestaneme soustředit na ochranu jednotlivých informačních systémů (no hurá), ale budeme budovat bezpečnou celkovou infrastrukturu. To znamená přesun od ochrany systémů k ochraně firmy – instituce. A to je dobře.

    Převis poptávky nad nabídkou odborníků

    Ještě jednou zdůrazním to, že očekávám obrovský převis poptávky nad nabídkou odborníků na kybernetickou a informační bezpečnost, a to možná ani tak ne v technických profesích jako spíše v těch manažerských. Budou chybět odborníci, kteří budou schopni kybernetickou a informační bezpečnost ve firmě nebo instituci zavést potom řídit a neustále rozvíjet. Budou chybět odborníci, kteří budou umět řídit rizika. Budou chybět architekti kybernetické bezpečnosti. Ale také budou chybět ti, kteří budou kontrolovat soulad s legislativou – u nás je to NÚKIB.

    Dobře jsem si vybral svůj obor, je to nekonečný boj, nekonečný adrenalin.

    Doporučuji vám to samé.

    A nakonec je tady ten výčet – najdete se tam? A překvapí vás to?

    Základní subjekty

    1. Energetika
      1. elektřina
      2. dálkové vytápění a chlazení
      3. ropa
      4. zemní plyn
      5. vodík
    2. Doprava
      1. letecká
      2. železniční
      3. vodní
      4. silniční
    3. Bankovnictví
    4. Infrastruktura finančních trhů
    5. Zdravotnictví
    6. Dodavatelé a distributoři vody určené k lidské spotřebě
    7. Odpadní voda
    8. Digitální infrastruktura
    9. Veřejná správa (I regiony)
    10. Vesmír

    Důležité subjekty

    1. Poštovní a kurýrní služby
    2. Nakládání s odpady
    3. Výroba, produkce a distribuce chemických látek
    4. Výroba, zpracování a distribuce potravin
    5. Výroba
      1. výroba zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro
      2. výroba počítačů, elektronických a optických přístrojů a zařízení
      3. výroba elektrických zařízení
      4. výroba strojů a zařízení j. n
      5. výroba motorových vozidel, přívěsů a návěsů
    6. Digitální poskytovatelé               
        1. poskytovatelé on-line tržišť
        2. poskytovatelé internetových vyhledávačů

    poskytovatelé platforem služeb sociálních sítí   
     

    https://www.epravo.cz/_dataPublic/userfiles/files/image-20190716120948-1.jpeg

    Ing. Aleš Špidla

    Ing. Aleš Špidla je prezidentem Českého institutu manažerů informační bezpečnosti, garantem a pedagogem MBA programu „Management a kybernetická bezpečnost“ a spolugarantem a pedagogem LL.M. studijního programu „Ochrana informací“.

    CEVRO Institut je soukromou vysokou školou práva, politologie, mezinárodních vztahů, ekonomie a bezpečnostních studií. Na českém vysokoškolském trhu působí více už čtrnáct let. Nabízí prestižní vzdělání, individuální přístup a špičkové vyučující. Vybrat si lze z bakalářských, magisterských i postgraduálních programů. Přednáší zde elitní profesoři i experti přicházející z praxe justice, veřejné správy a byznysu.

    Postgraduálním program MBA Management a kybernetická bezpečnost, který nabízí soukromá vysoká škola CEVRO Institut, je určen pro klíčové manažery, bezpečnostní pracovníky a vedoucí pracovníky v ICT v soukromé i veřejné sféře se zaměřením na ochranu podnikové i státní IT infrastruktury a pochopení principů řízení kybernetické bezpečnosti. Více informací o tomto programu naleznete ZDE.

    Postgraduální program LL.M. Ochrana informací nabízí právní a manažerské znalosti z oblasti ochrany informací, Compliance Managementu, trestní odpovědnosti právnických osob, kybernetické a informační bezpečnosti (ZKB), která je zaměřena na ochranu osobních údajů (GDPR), a elektronických identit (eIDAS). Díky špičkovým odborníkům budete po absolvování studia připraveni na výkon funkce Compliance Officer a Data Protection Officer. Více informací o tomto programu naleznete ZDE.


     


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Ing. Aleš Špidla (CEVRO Institut)
    22. 9. 2021

    Poslat článek emailem

    *) povinné položky

    Další články:

    • LL.M. – Ochrana hospodářské soutěže a kontrola veřejné podpory
    • Novela zákona o znalcích: krok ke stabilizaci systému, který se potýkal s provozní nepružností
    • ASPI přechází na webovou verzi: výhody a budoucnost právních technologií
    • Studium LLM v oboru PRÁVO & OBCHODNÍ SEKTOR: Když právo potkává byznys
    • Legal Innovation Day 2025 ukáže, jak na praktické využití AI
    • D.A.S. právní ochrana slaví 30 let a rozšiřuje dostupnost právních služeb
    • Využijte nového AI asistenta pro právní rešerše
    • Českým živnostníkům chybí právní podpora. D.A.S. přináší dostupné řešení
    • ČEZ Prodej spouští inovativní službu flexibility: na dálku bude regulovat přetoky domácích fotovoltaik
    • Veřejné právo jako klíčová oblast právního systému
    • Za oponou vývoje: jak Wolters Kluwer vytváří AI nástroje pro efektivnější právní praxi

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • 10 otázek pro ... Jana Kohouta
    • Společná domácnost
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Obchodní vedení společnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Obchodní vedení společnosti
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Neoprávněné přijímání vkladů – II. část
    • Byznys a paragrafy, díl 12.: Právní Due Diligence
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Úprava styku rodiče s dítětem nízkého věku v tzv. navykacím režimu a poté
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • V Mělníce by se chtěl soudit každý aneb úspěšnost návrhů na vydání předběžného opatření u okresních soudů

    Soudní rozhodnutí

    Opatrovník

    Z hlediska kolize zájmů není přípustné, pokud je opatrovníkem účastníka řízení ustanovena osoba podřízená orgánu veřejné moci (např. jeho zaměstnanec), který vede řízení, a...

    Společná domácnost

    Za přiměřené poměry manžela ve smyslu § 767 odst. 2 o. z. lze považovat takové okolnosti, které prokazují jeho potřebu bydlet v daném bytě či domě, jež musí být natolik...

    Mzda (exkluzivně pro předplatitele)

    Posuzuje-li se otázka rovného odměňování složkou mzdy, pro niž jsou podmínky (předpoklady) stanovené zaměstnavatelem ve vnitřním předpisu, je nutné v prvé řadě rozlišovat, zda...

    Náhrada za ztrátu na výdělku (exkluzivně pro předplatitele)

    Ošetřující lékař podle § 57 zákona o nemocenském pojištění vydává rozhodnutí o vzniku dočasné pracovní neschopnosti a podle § 59 téhož zákona vydává rozhodnutí o ukončení...

    Nesprávný úřední postup (exkluzivně pro předplatitele)

    ESLP po členských státech požaduje, aby zajistily nejen ochranu dětí před samotným pachatelem, ale také trvá na důsledné prevenci před sekundární viktimizací dětí způsobenou...

    Hledání v rejstřících

    PARTNER

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.