§ 28 Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) – ZÁVĚREČNÁ USTANOVENÍ
Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) · 181/2014 Sb. · § 28 · IT právo a ochrana dat
Stručně: Paragraf 28 zákona o kybernetické bezpečnosti stanovuje, že Úřad pro kybernetickou bezpečnost (Úřad) a Ministerstvo vnitra vydají vyhlášky, které podrobněji upraví některé aspekty kybernetické bezpečnosti, jako jsou významné informační systémy, bezpečnostní dokumentace, hlášení incidentů nebo kritéria pro provozovatele základních služeb.
§ 28 ZÁVĚREČNÁ USTANOVENÍ
(1) Úřad a Ministerstvo vnitra stanoví vyhláškou významné informační systémy a jejich určující kritéria podle § 6 písm. d).
(2) Úřad stanoví vyhláškou
a) obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních opatření podle § 6 písm. a) až c) a obsah a rozsah bezpečnostních pravidel podle § 6 písm. e),
b) typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 7,
c) náležitosti oznámení o provedení reaktivního opatření a jeho výsledku podle § 13 odst. 4,
d) vzor oznámení kontaktních údajů a jeho formu podle § 16 odst. 7,
e) dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1,
f) způsob likvidace dat, provozních údajů, informací a jejich kopií.
Paragraf 28 zákona o kybernetické bezpečnosti stanovuje, že Úřad pro kybernetickou bezpečnost (Úřad) a Ministerstvo vnitra vydají vyhlášky, které podrobněji upraví některé aspekty kybernetické bezpečnosti, jako jsou významné informační systémy, bezpečnostní dokumentace, hlášení incidentů nebo kritéria pro provozovatele základních služeb.
Co to znamená v praxi
Úřad a Ministerstvo vnitra budou konkretizovat, které informační systémy se považují za významné a jaká kritéria se pro to použijí.
Úřad stanoví podrobnosti k obsahu a rozsahu bezpečnostních opatření a pravidel, která musí být dodržována.
Bude upřesněno, jaké typy kybernetických bezpečnostních incidentů se hlásí, jak se hodnotí a jakým způsobem se mají hlásit.
Vyhlášky také určí, jaké informace musí obsahovat oznámení o provedení reaktivního opatření a jak má vypadat oznámení kontaktních údajů.
Na co si dát pozor
Subjekty, kterých se zákon týká, by měly sledovat vydávání těchto vyhlášek, neboť budou obsahovat konkrétní požadavky, které budou muset plnit.
Nedodržení povinností stanovených vyhláškami může mít dopad na plnění povinností vyplývajících ze zákona o kybernetické bezpečnosti.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.