II.
PŘEDKLÁDACÍ ZPRÁVA
Materiál, jehož předmětem je informace k bílým místům kybernetické bezpečnosti
České republiky se předkládá k naplnění úkolů uložených Národnímu
bezpečnostnímu úřadu.
Materiál zpracoval Národní bezpečnostní úřad v rámci výkonu státní správy v oblasti
kybernetické bezpečnosti podle § 22 odst. 1 zákona č. 181/2014 Sb., o kybernetické
bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti),
a na základě úkolu stanoveného usnesením vlády České republiky ze dne 25. května
2015 č. 382 k Akčnímu plánu k Národní strategii kybernetické bezpečnosti České
republiky na období let 2015 až 2020.
Zákon o kybernetické bezpečnosti nabyl účinnosti dnem 1. ledna 2015. Celý rok byl
zaměřen na implementaci systému zajištění kybernetické bezpečnosti České
republiky včetně určování kritické informační infrastruktury (dále jen „KII“)
a identifikace významných informačních systémů (dále jen „VIS“).
V průběhu prvního roku došlo také k identifikaci některých závažných nedostatků
a bílých míst zajišťování kybernetické bezpečnosti České republiky. Tato bílá místa
jsou předmětem předkládaného materiálu. Jedná o následující oblasti:
část důležitých sektorů průmyslu a služeb je mimo soustavu KII a v rámci
současného právního rámce nelze kritické systémy určit jako KII;
úprava vztahů mezi správci KII či VIS a dodavateli ICT služeb je nedostatečná,
přičemž je příčinou ohrožení fungování mnoha KII či VIS;
v rámci veřejné správy je citelný nedostatek odborníků v oblasti kybernetické
bezpečnosti;
některé právní předpisy plně nereflektují bezpečnostní rizika ve vztahu
k zajištění kybernetické bezpečnosti České republiky a mohou vytvářet vážná
bezpečnostní rizika u KII a VIS a tím ohrozit bezpečnost České republiky.
Česká republika čelí bezpečnostním hrozbám v celé jejich šíři; není možné zajišťovat
kybernetickou bezpečnost pouze u části důležitých subjektů a jejích systémů,
přičemž jiné, s podobným významem pro společnost, vědomě ignorovat. Výše
uvedené body je nutné systematicky řešit. Z tohoto důvodu je nutné rozšířit rozsah
působnosti zákona o kybernetické bezpečnosti i na sektory, uvedené v informaci.
Zároveň je potřebné reflektovat požadavky na zajištění bezpečnosti KII i v dalších
právních předpisech tak, aby nedocházelo k narušování bezpečnosti jednotlivých
prvků aplikací samotných právních předpisů.
V návrhu usnesení vlády se navrhují některá konkrétní opatření vedoucí k odstranění
bílých míst v kybernetické bezpečnosti České republiky.
K materiálu proběhlo připomínkové řízení v rámci Bezpečnostní rady státu v souladu
s Jednacím řádem Bezpečnostní rady státu, vypořádání připomínkového řízení
proběhlo v průběhu měsíce května 2016, kde došlo k vypořádání připomínek
a materiál se předkládá se k projednání členům vlády bez rozporu.
Předkládaný materiál byl projednán na schůzi Bezpečnostní rady státu dne 20.
července 2016, která svým usnesením č. 37 uložila řediteli Národního
bezpečnostního úřadu předložit materiál na schůzi vlády s jejím doporučením, je
z hlediska rovnosti mužů a žen neutrální, nemá přímý dopad na státní rozpočet a
navrhuje opatření, která by měla dopad na zvýšení kybernetické bezpečnosti České
republiky.