27.09.2017 1

Nová vyhláška o kybernetické bezpečnosti

Martin Konečný

Head of Regulation & Audit Unit @ NCSC

1

27.09.2017 22

Kritická

infrastruktura

(KI)

Kritická

informační

infrastruktura

(KII)

Zákon č. 240/2000

Sb., o krizovém řízení

a o změně některých

zákonů (krizový

zákon)

Nařízení vlády

č. 432/2010 Sb.,

o kritériích pro

určení prvku KI

ve znění novely

č. 315/2014 Sb.

ZKB

Významný

informační

systém

(VIS)

definuje

určuje

kritéria

podporuje,

je součástí

využívá

aktiva

definuje

definuje

Vyhláška

č. 317/2014 Sb.,

o významných

informačních

systémech

a jejich

určujících

kritériích

Vyhláška

č. 316/2014 Sb.,

o kybernetické

bezpečnosti

(VKB)

provádí provádí

NÚKIB

Regulovaná

osobaISMS

vydává,

novelizujekontroluje soulad

ISMS orgánu nebo osoby

se zákonem

provádí

alespoň

v rozsahu

stanoveném

v ZKB

určuje

kritéria

Vyhláška č. X Sb.,

o kritériích pro určení

provozovatelů základních služeb

provádí

spolupracuje

má

povinnost

řídit se

Informační

systém

základní

služby

(ISZS)

Základní

služba

(ZS)

definuje

určuje

kritéria

definuje

určuje

kritéria

Digitální

služba

(DS)

definuje

poskytování je

závislé na

27.09.2017 3

Cíle novelizace VKB

• Soulad se Směrnicí NIS

• Soulad s novelou ZKB

• Oprava chyb

• Aktualizace opatření

• Vylepšení VKB

3

27.09.2017 4

Postup novelizace1. Interní návrhy na změny

2. Externí návrhy na změny v rámci Expertního týmu

3. Externí návrhy na změny – příležitost pro Vás (odbornou veřejnost)

4. Legislativní proces - Meziresortní připomínkové řízení, …

5. Cca na jaře 2018 (jen odhad):

a. zrušení původního znění VKB,

b. účinnost nového znění VKB

4

27.09.2017 5

Vybrané změny

• pořadí posloupnosti některých §§§

• vyjasnění rozdílů mezi povinnostmi pro KII/VIS

• odstranění duplicit

• nové přílohy – např.:• likvidace dat,

• zranitelnosti a hrozby,

• bezpečnostní role a jejich kompetence

• …

5

27.09.2017 6

Expertní tým (ET)

• Tým složený z expertů na informační a kybernetickou bezpečnost složený z osob přímo oslovených NCKB

• Cíl:• Poskytnout vstupy a zpětnou vazbu k:

• novelizaci VKB,

• tvorbě podpůrného materiálu k VKB.

6

27.09.2017 7

Poděkování členům ET

Velké díky patří všem členům ET, kterými jsou:

Berka Milan, Doucek Petr, Duračinská Zuzana, Gregor Jan, GubalováKarin, Hejduk Pavel, Hošek Pavel, Kropáčová Andrea, Miko Karel,

Novák Luděk, Peterka Martin, Sedlák Petr, Svoboda Vlastimil, ŠebešJan, Šidlo Vítězslav, Široký Libor, Šmolík Jan, Ulrychová Helena

&

tým Oddělení regulace, auditu a podpory

&

Vládní CERT tým

7

27.09.2017 8

Chcete se aktivně zapojit do tvorby nové VKB?

…. pak máte jedinečnou možnost!

Nejpozději do 14 dní naleznete na našem webu:

• draft nové VKB,

• šablonu pro zasílání připomínek,

• kontakt, na který můžete připomínky zasílat.

Link: https://www.govcert.cz/cs/nova-vkb/

8

27.09.2017 9

Pravidla pro připomínky

• Nejedná se o formální připomínkové řízení

• Negarantujeme, že vše bude zapracováno

• Vaše návrhy musí vycházet z:• praktických zkušeností

• různých „best practices“

• Vaše návrhy musí být relevantní k ZKB a k povaze VKB

9

27.09.2017 10

Forma připomínek

10

Datum: Zpracoval:

Číslo

§

Odstavec,

písmenoKomentář

(odůvodnění k návrhu změny)Navrhovaná změna

Stav

zapracování

Návrhy na změny Vyhlášky č. 316/2014 Sb. ze strany odborné veřejnosti(https://www.zakonyprolidi.cz/cs/2014-316)

27.09.2017 11

Forma připomínek - příklad

11

Datum: 21.9.2017 Zpracoval: Jan Novák, spol. ABC, CISO

Číslo

§

Odstavec,

písmenoKomentář

(odůvodnění k návrhu změny)Navrhovaná změna

Stav

zapracování§ X odst. 1,

písm. b)

navrhuji celé vynechat,

protože ……

odstranit tento bod

§ Y odst. 2 V odstavci 2 chybí vazba na více-

faktorovou autentizaci, neboť ….

c) více-faktorová autentizace

Návrhy na změny Vyhlášky č. 316/2014 Sb. ze strany odborné veřejnosti(https://www.zakonyprolidi.cz/cs/2014-316)

Pozn.: nezapomeňte prosím psát návrhy konkrétně, vč. odůvodnění.

27.09.2017 12

Odeslání připomínek:

formulář posílejte na e-mail:m.konecny@nukib.cz

do předmětu uveďte:„VKB“

12

27.09.2017 13

Dotazy?

13

27.09.2017 14

Děkuji za pozornost a za případnou spolupráci

Martin Konečný

Head of Regulation & Audit Unit @ NCSC

14