Národní úřad pro informační a kybernetickou bezpečnost (NÚKIB) pokračuje v přepisování klíčové legislativy týkající se ochrany utajovaných informací a také zabezpečení samotné digitální infrastruktury státu. Reaguje tak na dynamický vývoj v oblasti a nové potřeby, které z něj vyplývají.
Po nedávné změně zákonné definice utajované informace a dalších úpravách příslušného zákona teď úřad připravil návrhy hned čtyř vyhlášek, které upravují některé technické aspekty nakládání s citlivými daty a také mimo jiné stanovují nové požadavky na pracovníky, kteří mají ochranu utajovaných informací přímo na starosti.
Balík návrhů odeslal NÚKIB koncem září do meziresortního připomínkového řízení. V případě schválení by nové vyhlášky měly začít platit od ledna příštího roku. Jednotlivé normy se týkají zajištění kryptografické ochrany utajovaných informací, provádění certifikace při zabezpečování jejich ochrany, informační bezpečnosti jako takové a v neposlední řadě pak způsobilosti IT a komunikačních systémů a elektronických zařízení, které mají bránit únikům informací „vzduchem”.
Změny si vyžádal vznik úřadu
Úpravy první ze zmiňovaných vyhlášek – tedy té o zajištění kryptografické ochrany utajovaných informací – se týkají z větší části spíše používané terminologie, zároveň ale přináší i některé praktické změny týkající se například přezkumu.
„Smyslem změn ve vyhlášce je zohlednit poznatky a zkušenosti z praxe nabyté během trvání účinnosti dosavadních předpisů a také přihlédnout ke značnému technologickému vývoji v oblasti informační bezpečnosti,” uvedla k tomu pro Ekonomický deník mluvčí NÚKIB Alžběta Dvořáková.
Z důvodové zprávy zanesené v elektronické legislativní knihovně vlády vyplývá, že tento návrh vyhlášky například mění předpoklady pro povinné přezkoušení odborného pracovníka kryptografické ochrany a zavádí také způsob označení kryptografických prostředků distribuovaných do České republiky ze zemí EU a NATO.
„Oproti původní vyhlášce se mění předpoklady pro povinné přezkoušení odborného pracovníka kryptografické ochrany, stanovují se náležitosti osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany, podrobněji se upravují požadavky na zajištění bezpečnostní správy kryptografické ochrany a požadavky na provozní obsluhu některých kryptografických prostředků,” vypočítá pak důvodová zpráva.
Dvořáková v této souvislosti doplnila, že novinkou ve vyhlášce je také „ochrana kryptografického prostředku a materiálu k zajištění jeho funkce bez nutnosti ukládání a dále kategorizace kryptografického pracoviště”.
Stejně jako všechny tři zbývající návrhy vyhlášek reaguje nový předpis mimo jiné i na samotný vznik NÚKIB v roce 2017, který převzal oblast bezpečnosti informačních a komunikačních systémů a kryptografické ochrany od Národního bezpečnostního úřadu (NBÚ). „Tato skutečnost se však dosud nepromítla do příslušné podzákonné právní úpravy a je proto nezbytné přijmout návrh vyhlášky,” doplňují k tomu zástupci NÚKIB v důvodové zprávě. Podle nich přitom nestačí změny v původní vyhlášce, která by se tak stala nepřehlednou, a i proto je tak zapotřebí adaptovat do právního řádu vyhlášku novou.
Certifikace pro zahraniční systémy
Návrh vyhlášky o informační bezpečnosti podle vyjádření Dvořákové kromě terminologických a drobnějších formálních úprav nově upravuje například proces akreditace informačních systémů cizí moci. „Některé činnosti v rámci certifikace informačních systémů mohou zajišťovat i jiné subjekty nebo orgány, než je NÚKIB, a vyhláška upravuje náležitosti veřejnoprávní smlouvy, která to umožňuje,” uvádí k tomu důvodová zpráva s tím, že jde většinou o systémy členských zemí NATO a EU.
„Smyslem procesu akreditace je ověřit, zdali IS cizí moci umístěný na území České republiky splňuje požadavky stanovené příslušnou akreditační autoritou cizí moci na základě příslušných předpisů cizí moci. Toto místní ověření provádí NÚKIB, který posléze o tomto informuje příslušnou akreditační autoritu cizí moci,” popisuje základní princip v tomto směru důvodová zpráva.
Třetí ze čtyř navrhovaných vyhlášek provádí také i zákonem stanovenou povinnost dodatečného zavádění bezpečnostních funkcí nebo opatření provozovatelem informačního systému v případě nových rizik nebo hrozeb. „Vyhláška dále provádí také novou povinnost provozovatelů samostatných elektronických zařízení hlásit informace o jejich provozování NÚKIB,” přibližuje Dvořáková.
Nosnou koncepční změnou v návrhu vyhlášky o informační bezpečnosti je podle ní změna vnímání informačních a komunikačních systémů a samostatných elektronických zařízení jako různých, striktně oddělených systémů. „A to jelikož tomu tak z hlediska praxe není a nebude,” upozornila mluvčí.
Návrh vyhlášky má přinést jasnější uchopení problematiky ochrany utajovaných informací v těchto systémech, snadnější realizaci a efektivnější bezpečnost. Podle Dvořákové byly při přípravě návrhu reflektovány zkušenosti z aplikace původní vyhlášky a byly také opraveny některé nevhodné formulace. “Například bezpečnostní mód vyhrazený byl upraven na dedikovaný, jelikož pojem vyhrazený evokuje stupeň utajení utajované informace,” vysvětlila mluvčí NÚKIB.
Informace i v ústní podobě
Naposledy se pravidla pro nakládání s utajovanými informacemi měnila s novelou zákona z dílny Národního bezpečnostního úřadu, kterou podepsal koncem léta prezident Petr Pavel. Ta má se stejnou účinností jako všechny zmíněné vyhlášky – tedy od začátku příštího roku – zajistit například jasnou definici utajované informace jako takové, ale například i omezení příslušné administrativy při vydávání osvědčení a dokladů o bezpečnostní způsobilosti.
Novela také do českého právního řádu zapracovává požadavky směrnic NATO a usiluje o snížení administrativní zátěže u fyzických osob i podnikatelů. Zavádí například speciální režim pro příslušníky bezpečnostních sborů, státní zaměstnance, vojáky a státní zástupce k utajované informaci ve stupni vyhrazené.
Definice utajované informace měnil NBÚ proto, že ta dosavadní už nepokrývá všechny možné podoby citlivých dat. „Cílem precizované definice je zohlednit též ústní, obrazovou nebo zvukovou podobu utajované informace, neboť utajovaná informace může existovat, aniž by byla zachycena na nějakém nosiči,“ vysvětloval to úřad.
Fyzické osoby i podnikatelé pak získají možnost požádat současně o národní osvědčení i osvědčení pro cizí moc. Podle stávající úpravy může o vydání osvědčení pro cizí moc požádat pouze držitel osvědčení národního.
Tomáš Svoboda
