Informační list č. 6/2020: Novela vyhlášky o významných informačních systémech (autor NÚKIB)

Regulace zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „ZKB“) stanovuje povinnosti pouze vybraným osobám, které spravují nebo provozují informační systémy s vyšší mírou důležitosti pro chod státu, život jeho občanů a poskytování služeb těmto občanům.

Významné informační systémy představují jeden z těchto typů systémů a jejich důležitost je dána tím, že podporují výkon veřejné moci orgány veřejné moci. Pro určení, zda je systém užívaný při činnostech orgánu veřejné moci natolik zásadní, že by měl být identifikován jako významný informační systém a následně by mělo dojít k plnění povinností daných ZKB slouží právě vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích (dále jen „vyhláška o VIS). Od 1. 1. 2021 pak začíná platit její novelizované znění (novelu provádí vyhláška č. 360/2020 Sb.), které má za cíl zpřesnit kritéria a proces identifikace významných informačních systémů, kterou provádějí na základě kritérií v ní obsažených samy orgány veřejné moci.

Vyhláška o VIS i po své novele vyjímá ze své působnosti informační systémy obcí, těch se tedy bez ohledu na jejich velikost regulace vyhláškou o VIS nedotýká.

Nejzásadnější změnou vyhlášky o VIS je stanovení závazného seznamu typových informačních systémů v § 2 odst. 1 vyhlášky o VIS, které jsou u organizačních složek státu, krajů a hlavního města Prahy považovány za významné informační systémy bez dalšího. Jedinou podmínku pro jejich identifikaci u tohoto okruhu adresátů tak představuje, že daný informační systém slouží pro výkon působnosti orgánu veřejné moci a nejedná se tedy typicky o ty systémy, které podporují toliko vnitřní chod dané organizace nebo slouží k jiným účelům. Toto platí obecně pro veškeré významné informační systémy, tedy i pro ty, které mají být identifikovány ostatními orgány veřejné moci vyjma obcí. Vzhledem k nákladové náročnosti je však účinnost § 2 rozložena do 3 let, jak ilustruje následující tabulka.

V období od 1. ledna 2021 do 31. prosince 2021 se § 2 týká těchto systémů
Významný informační systém podle § 2 písm. d) zákona je informační systém, jehož správcem je orgán veřejné moci, který je organizační složkou státu, krajem nebo hlavním městem Praha, využívaný při výkonu působnosti orgánu veřejné moci k zajištění
a) elektronické pošty, je-li určena k použití v rámci výkonu veřejné moci, nebo
b) kontrolní nebo inspekční činnosti anebo státního dozoru.
1. ledna 2022 jsou do § 2 doplněny následující systémy
c) výkonu veřejné moci při přípravě na krizové situace a jejich řešení,
d) výkonu spisové služby, nebo
e) vedení úřední desky způsobem umožňujícím dálkový přístup.
1. ledna 2023 jsou do § 2 doplněny následující systémy
f) mezinárodní spolupráce, nebo
g) zadávání veřejných zakázek.

Oproti původnímu znění vyhlášky o VIS je také nově stanovena všem orgánům veřejné moci vyjma obcí povinnost vést seznam všech svých informačních systémů a u každého z nich uvést, jak bylo posouzeno naplnění kritérií daných vyhláškou o VIS.

Proces identifikace významného informačního systému je pak možné zjednodušit následovně:

  • Každý orgán veřejné moci vyjma obcí vytvoří seznam všech svých informačních systémů.
  • U každého informačního systému jednotlivě posoudí, zda objektivně naplňuje zákonnou definici, přičemž zohlední obsah § 2 a § 3 vyhlášky o VIS.
    • Ustanovení § 2 vyhlášky VIS je určeno pouze organizačním složkám státu, krajům a hlavnímu městu Praze.
    • Ustanovení § 3 vyhlášky o VIS je určeno všem orgánům veřejné moci (uplatňují ho tedy pro své doposud podle § 2 neidentifikované systémy i organizační složky státu, kraje a hlavní město Praha)
  • Orgán veřejné moci začne plnit povinnosti podle zákona o kybernetické bezpečnosti.
    • Hlášení kontaktních údajů (§ 16 ZKB), a to do 30 dnů od naplnění kritérií pro identifikaci
    • Hlášení kybernetických bezpečnostních incidentů (§ 8 ZKB), a to do 1 roku od naplnění kritérií pro identifikaci
    • Implementace a provádění bezpečnostních opatření (§ 4 ZKB), a to do 1 roku od naplnění kritérií pro identifikaci
    • Provádění opatření (§ 11 až § 14 ZKB), a to okamžitě po naplnění kritérií pro identifikaci

Bližší informace o institutu významného informačního systému a jeho identifikaci lze nalézt na webu Národního úřadu pro kybernetickou a informační bezpečnosti. Je zde umístěn výkladový dokument „Průvodce identifikací významného informačního systému“, „Vzor seznamu informačních systémů orgánu veřejné moci“ a schéma „Proces identifikace významných informačních systémů“, které jsme rovněž zařadili do přílohy.

Výše popsané dokumenty jsou dostupné v části věnované významným informačním systémům na tomto odkaze: https://www.nukib.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/podpurne-materialy/

Zdroj: https://www.nacr.cz/verejnost/2-predarchivni-pece/verejnopravni-puvodci/informacni-list/castka-7-2020#c6-2020