První období změn informačně-technologické legislativy je už nějaký ten rok za námi a dnes se nacházíme v období jakéhosi zlomu, kdy vlády jednotlivých států vydávají takzvané kybernetické zákony nejen ze své iniciativy, ale primárně na základě unijního tlaku, který – ať je na něj pohlíženo různými způsoby – je v tomto ohledu rozhodně na místě. V tomto článku je naší snahou představit vám historii legislativy v oblasti informačních technologií a poukázat na jejich rostoucí významnost a důležitost. Pro účely článku jsme jednotlivá období analogicky přizpůsobili školní docházce.
PRVNÍ STUPEŇ ZŠ
Na první stupni základní školy se učíme ty nejzákladnější znalosti pro další použití v reálném světě. Poznáváme nové přátelé, učíme se dodržovat základní pravidla apod. V legislativě dotýkající se informační bezpečnosti tomu nebylo jinak.
První zákon dotýkající se technologické bezpečnosti spatřil světlo světa v roce 2000, kdy byl poprvé uveden v platnost zákon č. 365/2000 Sb., Zákon o informačních systémech veřejné správy a o změně některých dalších zákonů. Ve své původní verzi z roku 2000 se ještě nijak významně kybernetické bezpečnosti nedotýkal. Od té doby už prošel několika novelizacemi a poslední aktuální verze z roku 2022 pracuje stejně jako připravovaná novela pro rok 2023 s několika prvky jež se kybernetické bezpečnosti týkají – jako například pravidla pro využití Cloud computingu.
Do roku 2005 bylo vydáno ještě několik dalších zákonů, které se buďto svými novelizacemi kyberbezpečnosti dotkly později nebo byly nahrazeny novými normami.
První zlom v této oblasti přišel v již zmíněném roce 2004 a to v podobě zákona č. 480/2004 Sb., o některých službách informační společnosti. Další legislativní dokumenty už na sebe nenechaly dlouho čekat a následovala řada norem v relativně krátkém čase a postupně vycházely zákony a další normy, které upravovaly zejména pravidla v rámci státní správy.
DRUHÝ STUPEŇ ZŠ:
Na druhém stupni už umíme psát, víme jak se chovat, víme jak se mohou chovat jiní lidé a je čas naučit se už spíše konkrétnější znalosti než na stupni první. Dá se říct, že zlomem srovnatelným změně mezi 1. a 2. stupněm ZŠ v oblasti IT legislativy byl rok 2014.
Vešel totiž v platnost zákon č. 181/2014, Zákon o kybernetické bezpečnosti upravující pravidla zabezpečení dat a informací pro stát a kritickou infrastrukturu. Zákon 181/2014 platí dodnes a jako takový znamenal první významný krok Vlády ČR směrem ke kybernetické ochraně.
Následovala vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích.
Posledním adeptem důležité trojice je Nařízení Evropského parlamentu a Rady (EU) nesoucí číslo 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu, tzv. Nařízení eIDAS. Jak už sám název vypovídá, nařízení upravuje nejen způsoby elektronické identifikace a je důležité zejména pro státní správu a kritickou infrastrukturu.
Po roce 2014 se na scéně postupně objevily další normy – a to jak evropské, tak i české. Některé z nich jsou důležité pro celou společnost, některé jsou naopak specifické pouze pro oblast státní správy.
STŘEDNÍ ŠKOLA:
Základní školu jsme zvládli – řekněme – dobře. Jsme nabití znalostmi a teď je potřeba, aby nám je někdo – lidově řečeno – utřepal. Přichází tedy na řadu už něco mnohem konkrétnějšího než doposud. A všichni nás začínají strašit zkouškami, maturitami apod.
Přichází rok 2016 a s ním spojené zveřejnění Nařízení 679/2016 (EU), obecné nařízení o ochraně osobních údajů – takzvané GDPR. S tímto nařízením to bylo podobné jako se zmíněnou maturitou a některé organizace dokonce přistoupily ze strachu ke skartaci dokumentů, rušení kamerových systémů a dalším krokům, které však vůbec nebyly na místě. Některé organizace a firmy maturity splnily na výbornou, jiné s odřenýma ušima, nicméně jsme se přes situace přenesli způsobem nám Čechům vlastním.
Po GDPR následovaly ještě další menší normy, a to v roce 2017 vyhláška č. 437/2017 Sb., Vyhláška o kritériích pro určení provozovatele základní služby a v roce 2018 vyhláška č. 82/2018 Sb., Vyhláška o kybernetické bezpečnosti.
UKONČENÍ ŠKOLNÍ DOCHÁZKY:
Přichází tvrdá realita každodenního života. Co nás čeká v budoucnu zatím přesně nevíme, ale máme představu o tom co by mohlo nastat.
Podobné je to i v oblasti kyberbezpečnosti. Dlouho připravované změny byly podtrženy nejen obdobím Covidové pandemie, ale také aktuálním konfliktem na Ukrajině. Evropská unie již vydala schválenou Směrnici č. 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. NIS2, která nejen nahradí původní směrnici NIS s č. 2016/1148, ale také zcela změní prvotní středoškolský pohled na danou věc.
Směrnice NIS2 velmi významně rozšiřuje působnost z původní „pouze kritické infrastruktury“ na mnohem více organizací a společností, kterým budou nově stanovena pravidla informační bezpečnosti. Na základě této směrnice také proběhne zásadní změna v české legislativě. Původní zákon o kybernetické bezpečnosti z roku 2014 bude stejně jako několik dalších norem nahrazen zákonem novým, který už nyní můžete nalézt v připomínkovém řízení.