Kybernetická bezpečnost – co přináší novelizované zákony?

Česká republika patří v rámci EU mezi země, které kybernetickou bezpečnost řeší dlouhodobě a v některých aspektech je, zejména v legislativě, výrazně napřed oproti ostatním členským zemím.

V minulosti byl dán větší důraz na kybernetickou bezpečnost v civilní sféře, především v rovině pasivní obrany. Vojenská oblast a oblast, řekněme „aktivní obrany“, zůstala poněkud opomenuta, resp. se jí ozbrojené síly věnovaly především v oblasti rizik vojenské povahy. Armáda ČR se tak nachází v situaci, kdy bude muset více pronikat do civilní sféry. Vzniká tak situace, kdy AČR bude čerpat zkušenosti od civilních firem a společností. Na tuto skutečnost poukázal i současný předseda vojenského výboru NATO generál Pavel, podle něj se armáda musí „učit“ od civilního sektoru.
Kybernetický prostor se stal pátou dimenzí pro vedení boje, ovšem od klasického válečného prostoru se liší tím, že do něj vstupuje více aktérů, zejména těch nevojenských. Mohou to být skupiny hackerů, kteří napadají informační systémy, protože se tím „jenom“ baví, na straně druhé jsou skupiny, které páchají kriminální činnost. Ovšem patří sem i státní aktéři, vlády, zpravodajské služby, firmy, které se podílejí na těchto typech útocích, a to z různých důvodů.
V současné době jsou v ČR přijímány dvě významné zákonné normy, resp. novely, které by měly dále zlepšit obranu před kybernetickými útoky.
Prvním z nich je novela zákona č. 289/2005 Sb., o Vojenském zpravodajství, ve které je řešena obrana státu v kybernetickém prostoru, kterou bude nově zajišťovat právě Vojenské zpravodajství. Díky zákonu má být Česko schopné zjistit včas informace o podezřelém kybernetickém chování, které by mohlo ohrozit jeho bezpečnost. Zároveň Vojenské zpravodajství bude, v případě ozbrojeného konfliktu v kybernetickém prostoru, provádět vojenské operace a podporovat tak armádu.
Druhou významnou právní normou je novelizace zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Česká republika je jednou ze 3 zemí (spolu s Estonskem a Slovenskem), která přijala kybernetický zákon. Nová směrnice EU č. 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, která vstoupila v platnost 8. 8. 2016, si klade za cíl harmonizovat právní úpravu členských států v oblasti bezpečnosti sítí a informačních systémů a zavést jednotný standard úrovně kybernetické bezpečnosti ve všech členských státech EU. Každý stát EU je povinen transponovat směrnici do svého právního řádu do 21 měsíců od nabytí platností, tj. do 9. 5. 2018.

Novelizace bude mít významný vliv také na podnikatelské prostředí. Klíčová odvětví a firmy budou muset provádět taková opatření, aby zabezpečily své informační systémy, v opačném případě mohou být sankcionovány.

Po prostudování obou novel se ukazuje, že klíčovější roli v kybernetické bezpečnosti bude hrát spíše nevojenský subjekt, kterým bude Národní bezpečnostní úřad (NBÚ). Podle zákona ( č. 181/2014 Sb.) bude NBÚ oprávněn vydávat reaktivní a ochranná opatření, a to i za stavu ohrožení státu. Vojenské zpravodajství bude sice kontrolovat informace, které protékají přes internetové servery nebo mobilní sítě (se souhlasem vlády), ovšem v případě napadení bude hrát rozhodující roli právě NBÚ. Dostáváme se tak do situace, kdy nevojenský subjekt bude klíčovým aktérem při napadení státu, byť v kybernetickém prostoru.
Zpracoval: Tomáš Kolomazník

2038