Bezpečnostní opatření v informačních a komunikačních systémech
autor: JUDr. Martin Maisner, Ph.D., MCIArb., JUDr. Mgr. Barbora Vlachová publikováno: 14.07.2015
§ 4
(Organizační a technická opatření)
(1) Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění
bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb
a sítí elektronických komunikací v kybernetickém prostoru.
(2) Orgány a osoby uvedené v § 3 písm. c) až e) jsou povinny v rozsahu nezbytném
pro zajištění kybernetické bezpečnosti zavést a provádět bezpečnostní opatření
pro informační systém kritické informační infrastruktury, komunikační systém
kritické informační infrastruktury nebo významný informační systém a vést o nich
bezpečnostní dokumentaci.
(3) Orgány a osoby uvedené v § 3 písm. c) až e) jsou povinny zohlednit požadavky
vyplývající z bezpečnostních opatření při výběru dodavatelů pro informační
systém kritické informační infrastruktury, komunikační systém kritické informační
infrastruktury nebo významný informační systém. Zohlednění požadavků vyplývajících
z bezpečnostních opatření podle věty první v míře nezbytné pro splnění
povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské
soutěže nebo neodůvodněnou překážku hospodářské soutěži.
1) Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů
(zákon o elektronických komunikacích), ve znění pozdějších předpisů.
Z důvodové zprávy:
Návrh ustanovení zakládá povinnost vybraným typům orgánů a osob zavést a provádět v jimi spravovaných informačních a komunikačních systémech bezpečnostní opatření a vést o tom příslušnou bezpečnostním dokumentaci. Účelem zavedení bezpečnostních opatření je zajištění určité úrovně bezpečnosti informačních a komunikačních systémů. Zavedení standardů má tak zejména preventivní význam, neboť systém, v němž budou příslušná bezpečnostní opatření aplikována, by měl být odolnější vůči kybernetickým útokům a současně by měl být připraven na efektivní zvládání kybernetických bezpečnostních událostí a incidentů. Výběr typů orgánů a osob podléhajících povinnosti zavést bezpečnostní opatření je veden zákonným principem minimalizace zásahu do autonomie vůle orgánů a osob. Ze zákona tak plyne povinnost k zabezpečení vlastních informačních a komunikačních systémů jen těm osobám soukromého práva a orgánům veřejné moci, jejichž systémy mají zásadní význam pro kybernetickou bezpečnost České republiky, tj. správcům informačních systémů nebo komunikačních systémů kritické informační infrastruktury a správcům významných informačních systémů.
K odst. 1 a 2
Ustanovení § 4 vymezuje bezpečnostní opatření. Bezpečností opatření můžeme chápat jako úkony, které slouží v kybernetickém prostoru k zajištění bezpečnosti informací v informačních systémech, jakož i dostupnosti a spolehlivosti služeb a sítí elektronických komunikací.
Povinnost provádět bezpečnostní opatření není uložena všem orgánům a osobám. Tu mají pouze správci informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. Jedná se o informační a komunikační systémy, jejichž fungování je nezbytné pro zajištění kybernetické bezpečnosti státu. Ostatní orgány a osoby tyto povinnosti nemají, a to v souladu se zákonným principem minimálních zásahů do práv soukromoprávních osob. Bezpečnostní opatření není třeba jen zavést a udržovat v chodu, ale správci o ní musí vést i bezpečnostní dokumentaci. Bezpečnostní opatření jsou vymezena obecně a jejich splnění je možné dosáhnout různými technologickými prostředky. Subjekty, které mají povinnost aplikovat standardní bezpečnostní opatření, mohou dle vlastního uvážení volit konkrétní způsob zabezpečení jejich informačních a komunikačních systémů, a to včetně volby dodavatelů příslušných bezpečnostních řešení. Tato úprava plně odpovídá principu technologické neutrality, na němž je zákon o kybernetické bezpečnosti založen.
K odst. 3
Správci informačních systémů kritické informační infrastruktury, komunikačních systémů kritické informační infrastruktury nebo významných informačních systémů musí brát v potaz ustanovení zákona o kybernetické bezpečnosti již při výběru dodavatelů těchto systémů. Musí totiž vybrat takového dodavatele, který dokáže účinná bezpečnostní opatření zavést, případně je i udržovat v provozu a vést o nich příslušnou bezpečnostní dokumentaci. Pokud při výběru dodavatele informačního nebo komunikačního systému správce zohlední požadavky na provedení bezpečnostních opatření dle zákona o kybernetické bezpečnosti, nejedná se o nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži. Pro vysvětlení pojmů nezákonného omezení hospodářské soutěže a neodůvodněné překážky hospodářské soutěže je nutno pracovat s dalšími právními předpisy, a to zejména se zákonem č. 143/2001 Sb., o ochraně hospodářské soutěže a o změně některých zákonů (zákon o ochraně hospodářské soutěže), dále jen „zák. o ochraně hosp. soutěže“, a se zákonem č. 137/2006 Sb., o veřejných zakázkách (dále jen „zák. o veř. zakázkách“). Ochranu hospodářské soutěže na trhu výrobků a služeb před jejím narušením poskytují ustanovení zákona o ochraně hospodářské soutěže. K vyloučení, omezení nebo ohrožení hospodářské soutěže může dojít dle § 1 zák. o ochraně hosp. soutěže dohodami, spojením či zneužitím dominantního postavení soutěžitelů. Od novelizace zákona o ochraně hospodářské soutěže s účinností k 1. prosinci 2012 může k narušení hospodářské soutěže dojít i činností orgánů veřejné správy při výkonu státní správy a samosprávy. Orgány veřejné správy nesmí narušit hospodářskou soutěž podporou zvýhodňující určitého soutěžitele nebo jiným způsobem. Postup při zadávání veřejných zakázek upravují ustanovení zákona o veřejných zakázkách. Pojem neodůvodněné překážky hospodářské soutěže je zmíněn v § 45 odst. 3 zák. o veř. zakázkách, který se zabývá problematikou stanovení technických podmínek na dodávky nebo služby v rámci veřejné zakázky. Technické podmínky nesmí být stanoveny tak, aby vytvářely neodůvodněné překážky hospodářské soutěže. Z výše uvedeného tedy plyne, že správci informačních a komunikačních systémů kritické informační infrastruktury, jakož i správci významných informačních systémů mohou při výběru dodavatele informačního nebo komunikačního systému stanovit technické parametry veřejné zakázky tak, aby byla zohledněna bezpečnostní opatření a bezpečnostní dokumentace dle zákona o kybernetické bezpečnosti. Specifikací těchto podmínek nedojde k nezákonnému omezení hospodářské soutěže nebo k vytvoření neodůvodněné překážky hospodářské soutěže ve smyslu ustanovení zákona o ochraně hospodářské soutěže a zákona o veřejných zakázkách.
Z publikace Zákon o kybernetické bezpečnosti – Komentář. Koupit lze ZDE.