§ 4 Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) – Bezpečnostní opatření
Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) · 181/2014 Sb. · § 4 · IT právo a ochrana dat
Stručně: Paragraf 4 zákona o kybernetické bezpečnosti definuje bezpečnostní opatření jako souhrn úkonů pro zajištění bezpečnosti informací a spolehlivosti služeb, a ukládá vybraným subjektům povinnost tato opatření zavádět a provádět.
§ 4 Bezpečnostní opatření
(1) Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací1) v kybernetickém prostoru.
(2) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, informačního systému základní služby a významného informačního systému a vést o nich bezpečnostní dokumentaci.
(3) Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy.
(4) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
(5) Orgány veřejné moci jsou povinny před uzavřením smlouvy s poskytovatelem služeb cloud computingu zařadit poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému podle prováděcího právního předpisu a zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase.
(6) Poskytovatel služby cloud computingu a orgán veřejné moci si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel a realizaci bezpečnostní politiky odběratele.
(7) Zohlednění požadavků vyplývajících z bezpečnostní politiky, bezpečnostních pravidel, bezpečnostních opatření a dalších podmínek sjednaných ve smlouvě podle odstavce 5, které jsou nezbytné pro splnění povinností podle tohoto zákona, nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
Paragraf 4 zákona o kybernetické bezpečnosti definuje bezpečnostní opatření jako souhrn úkonů pro zajištění bezpečnosti informací a spolehlivosti služeb, a ukládá vybraným subjektům povinnost tato opatření zavádět a provádět.
Co to znamená v praxi
Subjekty spravující kritickou informační infrastrukturu nebo významné informační systémy musí zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro kybernetickou bezpečnost a vést o nich dokumentaci.
Poskytovatelé digitálních služeb jsou povinni zavést vhodná a přiměřená bezpečnostní opatření pro sítě a systémy, které využívají, s ohledem na bezpečnost informací, zvládání incidentů, kontinuitu, monitorování a audit.
Při výběru dodavatele pro informační nebo komunikační systém musí výše uvedené subjekty zohlednit požadavky na bezpečnostní opatření a zahrnout je do smlouvy.
Orgány veřejné moci musí před uzavřením smlouvy s poskytovatelem cloud computingu zařadit poptávanou službu do bezpečnostní úrovně a zajistit dodržování bezpečnostních pravidel Úřadu a přístup k uchovávaným datům.
Na co si dát pozor
Zohlednění bezpečnostních požadavků při výběru dodavatele není považováno za nezákonné omezení hospodářské soutěže.
Orgány veřejné moci a poskytovatelé cloud computingu si musí ve smlouvě dohodnout způsob a výši úhrady nákladů na zavedení bezpečnostních pravidel.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.