Novinky v bezpečnosti a legislativě IT

Bezpečnost

V Brně 1. srpna 2017 zahájil činnost NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost), který se novelou zákona vyčlenil z NBÚ (Národní bezpečnostní úřad). Instituce má přinést odbornou pomoc v případě vážných kybernetických hrozeb státu - ochrana systémů důležitých pro stát (policie, ministerstvo, energetika atd.), boj s kyberkriminalitou (spolupráce s policií), kryptografická ochrana a správa neveřejné části družicového systému Galileo. NÚKIB tedy neslouží pro pomoc jednotlivcům, tuto činnost zastává CSIRT.

V současnosti má 119 zaměstnanců (nejen IT odborníky, ale také právníky, politology a teoretiky), v budoucnu by jich mohlo být až 400.

Legislativa

V tomto a příštím roce dojde k celé řadě významných změn, které rozšíří dosavadní legislativu spojenou s IT a nově se dotknou téměř každé organizace. Které to především jsou?

  • Malá novela o kybernetické bezpečnosti - účinnost od 1. 7. 2017

    • jedná o se zákon č. 104/2017 Sb., který mění zákon č. 181/2014 Sb.
    • nově upravena definice provozovatele informačních a komunikačních systému a jeho povinnosti
    • upravuje vztah mezi provozovatelem a správcem
    • zpřísňuje pokuty za jejich porušení

 

  • Velká novela o kybernetické bezpečnosti - účinnost od 1. 8. 2017

    • zákon č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb.
    • reakcí na směrnici EU č. 2016/1148 – NIS (Network and Information Security), o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii
    • nově určuje dvě skupiny povinných subjektů:
      • poskytovatele základních služeb
        • např. zdravotnicví, doprava, energetický a chemický průmysl
      • poskytovatele digitálních služeb
        • internetové vyhledávače, e-shopy, služby cloud computingu
    • přesné určení subjektů bude vycházet z dopadových kritérii, která budou definovaná v další vyhlášce spolu s dalšími požadavky na poskytovatele, jaké bezpečnostní opatření musí implementovat
    • definuje vznik NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost)

 

  • GDPR - účinnost od 25. 5. 2018

    • nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
    • jedná se o zákonnou normu, kterou budou muset plnit úplně všechny společnosti (chránit jak zaměstnanecká, tak klientská data)
    • požadavky na instituce a organizace
      • implementace záměrné a nezbytné ochrany dat
      • zavedení tzv. pseudonymizace osobních údajů
      • vedení záznamů o činnostech zpracování
      • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů
      • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
    • občané EU díky němu získávají výrazně více pravomocí a možnost ovlivnění zpracování jejich osobních dat
    • v případě nesplnění těchto podmínek, GDPR zavádí vysoké sankce

 

  • evropské nařízení ePrivacy

    • upřesní požadavky GDPR v prostředí elektronických komunikací