Má podle vás přijatý zákon nějaké zásadní nedostatky?
Zákon o kybernetické bezpečnosti prošel v době příprav dosti zásadními změnami. Lze vidět, že se teprve hledá a utváří společný nástroj mezi NBÚ, vládními organizacemi a soukromým sektorem v boji proti kyberkriminalitě. Zásadní nedostatky zákona ukáže praxe a naplňování tohoto zákona. Nyní zúčastněné strany diskutují, jak naplnit požadavky zákona a vyjasňují si sporné body. Zároveň se čeká na finální podobu dvou dosti zásadních vyhlášek, jedné definující, co dělat, a druhé, která zpřesňuje, koho se zákon bude týkat. V tuto chvíli tedy není striktně jasné, kdo všechno bude zákonem dotčen. Parametry zákona musí být jednoznačné. Zákon má celou řadu drobných nedostatků, jejichž význam ukáže až praxe. Příkladem bych uvedl vznik dvou CERTů.
 

Splňují české firmy, kterých se zákon týká, už dnes požadavky nového zákona, nebo je čeká mnoho starostí? Jaká opatření a bezpečnostní řešení budou muset nově zavést?
Dopad zákona z pohledu kritické infrastruktury je dán NV 432/2010, které určuje kritéria pro výběr kritické infrastruktury a jsou zde např. zmíněny banky s tržním podílem vyšším než 10 %, nebo pojišťovny s podílem vyšším než 25 % a další subjekty uvedené v tomto NV. Co se týče splnění kritérií uvedeného zákona bych neviděl až takový problém u velkých dotčených firem, jako u středně velkých, menších a některých organizací státní správy. Řekl bych, že většina firem splňuje požadavky na bezpečnost, kterou udává tento zákon, jako například provádění analýzy rizik nebo zajištění vysoké dostupnosti datové konektivity. Řada organizací již má zavedený systém řízení bezpečnosti informací dle norem řady ISO/IEC 27000, ze kterých také plyne většina opatření tohoto zákona. Zákon však také ukládá některé další povinnosti, které se budou muset teprve zavést. Týká se to např. zavádění reaktivních opatření, hlášení kontaktních údajů a hlášení bezpečnostních incidentů, které se musí hlásit CERTu. Některé organizace zatím nemají nástroje, jak takové incidenty správně identifikovat a odlišit od legitimního provozu.
 

V čem mají české firmy obecně největší nedostatky v oblasti informační bezpečnosti?
Obecně tím největším nedostatkem je odpovědnost za bezpečnost dat v organizaci. V některých organizacích již existují role bezpečnostního správce nebo manažera, případně bezpečnost dat spadá pod IT manažera, často to však neřeší, kdo je za co v bezpečnosti dat odpovědný. Je to velmi častý spor mezi managementem organizace, vlastníky aktiv a bezpečnostním správcem. S tímto souvisí pak způsob řízení rizik, řízení bezpečnosti a také financování bezpečnostních projektů.
 

Jaké sankce hrozí dotčeným firmám, které nesplní požadavky nového zákona?
§ 25 zákona uvádí sankce za správní delikt, která je do výše 100 000 Kč. Tato sankce může být uložena za neplnění povinnosti zákona, jako je například nehlášení bezpečnostních incidentů, neplnění povinností uložených nápravnými opatřeními, nevedení bezpečnostní dokumentace apod.