Що таке Акт No 181 / 2014 Coll.?

Акт No 181 / 2014 Coll., з питань кібербезпеки та зміни суміжних законів — Акт про кібербезпеку та зміну суміжних законів (Дія про кібербезпеку).

Коли набув Акт No 181 / 2014 Coll. чинності?

Акт No 181 / 2014 Coll. набув чинності 01.01.2015.

Є Акт No 181 / 2014 Coll. все ще чинний?

Так, Акт No 181 / 2014 Coll. все ще чинний та діючий.

Акт No 181 / 2014 Coll. - Акт про кібербезпеку та зміну суміжних з...

181 р.

ПРАВА

від 23 липня 2014

з питань кібербезпеки та внесення змін до деяких законів

Парламент прийняв рішення про це право Чехії:

ČÁST PRVNÍ

СУБЕРНЕТНА БЕЗПЕКА

HLAVA I

ОСНОВНІ ПРОВІЗІЇ

§ 1

Тема питання

(1) Цей закон регулює права та обов’язки осіб та повноважень органів державної влади у сфері кібербезпеки.

(2) Цей закон включає в себе відповідні Європейські Союзу6), що будуються на безпосередньо застосованому Європейському Союзі17) та регулюють безпеку електронних комунікаційних мереж та інформаційних систем.

(3) Цей закон не поширюється на інформаційні або комунікаційні системи, які керують інформацією.

Визначення умов

§ 2

Це право означає:

(а) кіберпростору цифрового середовища дозволяє створювати, обробляти та обмін інформацією, що складаються з інформаційних систем, електронних комунікаційних послуг та мереж (1);

(b) критичний елемент інформаційної інфраструктури або система критичних елементів інфраструктури в системі зв’язку та інформації2) у сфері кібербезпеки;

(c) забезпечення конфіденційності, цілісності та наявності інформації та даних;

(d) важлива система інформації, керована державним органом, що не є критичною інформаційною інфраструктурою або базовою системою надання послуг, яка може зменшити або значно знизити навантаження повноважень державного органу,

(e) контролер інформаційної системи органом або особою, яка визначає мету обробки інформації та умов експлуатації інформаційної системи;

(f) контролером системи зв'язку, органом або особою, яка визначає призначення системи зв'язку і умови її експлуатації;

(г) оператору інформаційної або комунікаційної системи, органу або особи, що забезпечують функціональність технічного та програмування, що передбачає формування інформаційної або комунікаційної системи;

(h) важливою мережею електронних мереж зв'язку (1) надання прямих зовнішніх посилань на мережі зв'язку або забезпечення прямого підключення до критичної інформаційної інфраструктури;

(i) базовий сервіс, надання якого залежить від електронних комунікаційних мереж (7) або інформаційних систем, а також порушення яких може мати значний вплив на забезпечення соціальної або господарської діяльності в одному з цих секторів.

1. енергія;

2. вправо,

3. Банкомати,

4. інфраструктури фінансового ринку;

5. Догляд за здоров'ям,

6. Управління водою,

7. цифрова інфраструктура,

8. хімічна промисловість,

(j) інформаційна система базового сервісу, функціонування якої залежить від надання базової послуги;

(k) оператор базової служби органом або особою, що надає базову послугу та визначену Національним офісом кібербезпеки та інформаційної безпеки (далі «Перспект») відповідно до § 22a; з метою виконання інформаційних зобов’язань за відповідним Європейським регламентом (8), органів влади та осіб, які зазначені в § 3 (c) та (d) також вважається оператором базової служби;

(l) надання послуг з цифрового сервісу за законом, що регулюють певні послуги інформаційного суспільства 9), що складається з операції:

1. Інтернет-маркетплейс, який дозволяє споживачу або продавцю ввести в договір продажу з продавцем бізнесу10 через веб-сайт онлайн-ринку або через сайт продавця, який використовує послугу, що надається онлайн-ринком;

2. пошуковий двигун інтернету, який дозволяє шукати в принципі на всіх сайтах, на основі запиту користувача на будь-яку тему у вигляді ключового слова, фрази або іншого призначення, надання посилань, на які можна знайти інформацію, пов'язана з необхідною інформацією; або

3. хмарні обчислення, які дозволяють отримати доступ до розширених і адаптивних репозиторій або комп'ютерних ресурсів, які можуть бути загальними; і

(m) компетентним органом, компетентним органом у сфері кібербезпеки.

§ 3

Установи та особи, які мають право на кібербезпеку:

(а) постачальника електронних комунікацій та суб’єкта господарювання, що надає електронну мережу зв’язку (1), якщо це є повноваженням або особою, що зазначена в (б);

(b) авторитет або особа, що надає значну мережу, якщо він є контролером або оператором системи зв'язку, зазначеної в (d);

(c) адміністратора та оператора інформаційної системи критичної інформаційної інфраструктури;

(d) контролер і оператор системи критичної інформаційної інфраструктури;

(e) адміністратора та оператора значної інформаційної системи;

(f) адміністратора та оператора базової інформаційної системи, якщо вони не є контролером або оператором, зазначеним у (c) або (d);

(г) оператор базової служби, якщо він не є адміністратором або оператором, зазначеним в (f); і

(h) постачальник цифрових послуг.

§ 3a

Представник цифрового провайдера послуг

(1) Цифровий постачальник послуг, що надає дану послугу в Чехії, не встановлено в Європейському Союзі, і не зарекомендував представника в іншій державі-членів Європейського Союзу (далі – «Асоціація учасника»), зобов’язаний встановити представник в Чехії. Представитель цифрового провайдера послуг є особою, встановленою в Чехії, яка є постачальником цифрової служби під органом влади, щоб представити його щодо зобов'язань за цим законодавством.

(2) Якщо постачальник цифрових послуг має своє сидіння поза Європейським Союзом і заснував представник в Чехії, він вважається установленим в Чехії і підлягає зобов'язанням за цим Актом.

(3) У випадку, якщо постачальник цифрових послуг встановлений в Чехії або має представник, встановленого там, але електронні мережі зв'язку, що використовуються ним і інформаційні системи, розташовані в іншій державі-члена, Адміністрація має співпрацювати з компетентним органом Держави, який займається здійсненням її адміністрування.

HLAVA II

СИСТЕМА БЕЗПЕКИ

Заходи безпеки

§ 4

(1) Забезпечення інформаційної безпеки в інформаційних системах та наявності та надійності послуг та електронних комунікаційних мереж (1) у кіберпросторі.

(2) Органи влади та особи, які зазначені у статті 3 (c) до (f) зобов’язані встановлювати та підтримувати заходи безпеки, необхідні для забезпечення кібербезпеки критичної інформаційної інфраструктури, критичної інформаційної інфраструктури системи зв’язку, базової інформаційної системи та значної інформаційної системи.

(3) Цифровий постачальник послуг встановлює та реалізує відповідні та пропорційні заходи безпеки для електронних мереж зв'язку та інформаційних систем, що використовуються в контексті надання його сервісу, з урахуванням безпеки інформації, управління інцидентами кібербезпеки, управління безперервністю діяльності, моніторинг, аудит, тестування та дотримання міжнародних правил.

(4) Органи та особи, які зазначені в § 3 (c) до (f) зобов’язані врахувати вимоги, що виникають з питань забезпечення безпеки для вибору постачальника для їх інформаційної або комунікаційної системи та включати ці вимоги до договору, укладеного з постачальником. Враховуючи вимоги, що виникають з заходів безпеки за першим вироком, необхідного для виконання зобов’язань за цим законом, не можна розглядати як неправомірне обмеження на змагання або необґрунтовану перешкоду для конкуренції.

(5) Перед укладенням договору з постачальником хмарних обчислювальних послуг, державні органи повинні включати в себе запитані хмарні обчислення в рівні безпеки, враховуючи характер системи інформації або зв'язку, що стосуються законодавства про імплементацію, а також забезпечити, що правила безпеки надання хмарних обчислювальних послуг, встановлених Органом, з урахуванням вимог, без затримок, інформації та даних, доступні для них постачальником хмарних обчислювальних послуг, включаючи можливість перевірки збереженої інформації та даних в режимі реального часу.

(6) Постачальник хмарних обчислювальних послуг та державний орган зобов’язується додатково згодувати у договорі спосіб та розмір відшкодування, ефективно застраховано за виконання правил безпеки та виконання політики безпеки замовника.

(7) Враховуючи вимоги, що виникають з політики безпеки, правила безпеки, заходи безпеки та інші умови, що домовилися в угоді, зазначеному в пункті 5, які повинні відповідати зобов'язанням за цим законом, не можна розглядати як незаконне обмеження на змагання або необґрунтовану перешкоду для конкуренції.

§ 4a

(1) Органи та особи, які стали адміністраторами критичної інформаційної інфраструктури, інформаційних або комунікаційних систем або менеджерів значної інформаційної системи, не обов’язкові для роботи таких систем, негайно та демонстровано інформування Оператора системи цього факту та того, що оператор став органом або особою, що має право на § 3 (c), (d) або (e).

(2) Органи влади та особи, які стали контролерами або менеджерами критичної інформаційної інфраструктури, інформаційних або комунікаційних систем, необхідно негайно та демонструвати інформування органу про надання мережі електронних комунікацій, до якої підключена їх критична інформація про інфраструктуру або систему зв'язку, а також до цього ефекту та стати органом або особою, що зазначена у статті 3 (б).

(3) Органи влади та особи, які, відповідно до ст. 22а, були позначені оператором необхідного сервісу та не одночасно контролерами або операторами їх базових інформаційних систем, зобов’язані повідомити адміністратора або оператора необхідного сервісу без затримки та демонстрованої їх позначення та того, що адміністратор або оператор стурбований авторитетом або особою відповідно до статті 3 (f).

§ 5

(1) Заходи безпеки:

(а) організаційних заходів;

(б) технічні заходи.

(2) Організаційні заходи:

(а) система управління інформаційної безпеки;

(b) управління ризиками;

(c) політика безпеки;

(d) організаційна безпека;

(e) налаштування вимог безпеки для постачальників;

(f) управління активами;

(г) безпека людських ресурсів;

(h) управління трафіком та зв'язком;

(i) управління доступом;

(j) придбання, розробка та обслуговування;

(k) управління інцидентами кібербезпеки та кібербезпеки;

(l) управління безперервністю бізнесу;

(m) контроль і аудит.

(3) Технічні заходи:

(а) фізична безпека;

(b) інструмент захисту цілісності мереж зв’язку;

(c) інструмент ідентифікації користувача;

(d) інструмент управління доступом;

(e) інструмент захисту від шкідливого коду;

(f) інструмент для запису діяльності інформаційної або комунікаційної системи, її користувачів та адміністраторів;

(g) інструмент виявлення інцидентів кібербезпеки;

(h) інструмент для збору та оцінювання інцидентів кібербезпеки;

(i) безпека додатків;

(j) криптографічні продукти;

(k) інструмент забезпечення рівня доступності інформації;

(l) безпека промислових і контрольних систем.

§ 6

Реалізація законодавства передбачає:

(а) зміст заходів безпеки;

(b) зміст та структура документації з безпеки;

(c) сферу заходів безпеки органів влади та осіб, які зазначені у § 3 (c) до (f);

(d) значних інформаційних систем та їх визначення критеріїв;

(e) зміст та сфера правил безпеки державних органів з використанням послуг хмарних обчислювальних провайдерів, включаючи рівні безпеки для використання хмарних обчислень органами державної влади.

§ 6a

(1) Адміністратор критичної інформаційної системи інформаційної інфраструктури, критичної інформаційної інфраструктури системи зв’язку або значної інформаційної системи може доручити роботу системи критичної інформаційної інфраструктури, критичної інформаційної інфраструктури або значної інформаційної системи іншим органам або особою, якщо інше право не виключає його.

(2) Оператор критичної інформаційної системи інформаційної інфраструктури, критична система зв'язку інформаційної інфраструктури або значна система інформації, за запитом адміністратора цієї системи без запізнення та у узгодженому форматі, передачі даних, оперативних даних та інформації, доступних йому у зв'язку з роботою цієї системи. Положення законодавства, що регулюють права інтелектуальної власності, без президії на передачу даних, оперативних даних та інформації.

(3) Якщо оператор критичної інформаційної інфраструктури, критична система зв'язку інформаційної інфраструктури або значна система інформації не продовжить функціонувати систему, контролер цієї системи передає дані, оперативні дані та інформацію, доступні для неї у зв'язку з роботою цієї системи, і які необхідні для можливої подальшої роботи цієї інформаційної системи або іншого використання там і безпечно розпоряджатися копіями в цифровому середовищі. Процедуру утилізації даних, оперативних даних, інформації та примірників, які їх закладають в законодавство про внесення.

(4) Оператор критичної інформаційної системи інформаційної інфраструктури, критична система зв'язку інформаційної інфраструктури або значна система інформації має право відшкодувати вартість, яка ефективно відповідає передачі даних, оперативних даних та інформації, зазначених у пунктах 2 та 3; витрати оплачується оператору адміністратором цієї системи.

Асоціація з кібербезпеки та кібербезпеки

§ 7

(1) Захід з кібербезпеки є подією, яка може призвести до порушення інформаційної безпеки в інформаційних системах або порушення безпеки послуг або безпеки електронних мереж зв'язку (1).

(2) Суддя з кібербезпеки є порушенням інформаційної безпеки в інформаційних системах або безпеки послуг або забезпечення безпеки та цілісності електронних комунікаційних мереж (1) за рахунок проведення кібербезпеки.

(3) Органи влади та особи, які зазначені в § 3 (b) до (f) зобов’язані виявляти інциденти з кібербезпеки в їх значну мережу, критичну інформаційну систему інформаційної інфраструктури, критичну систему зв’язку інформаційної інфраструктури, базову систему надання послуг або суттєву інформаційну систему.

§ 8

Звіт з питань кібербезпеки

(1) Органи та особи, які зазначені у статті 3 (b) до (f) зобов’язані повідомляти про інциденти з кібербезпеки у своїй значній мережі, критичну інформаційні системи інфраструктури, критичну систему зв’язку інформаційної інфраструктури, базову систему надання послуг або значну інформаційну систему негайно при виявленні; Це без президії на зобов'язання інформації в іншому законодавстві 3 або безпосередньо застосоване законодавство Європейського Союзу щодо захисту персональних даних (11). Де інцидент з кібербезпеки має значний вплив на безперервність надання необхідного сервісу, оператором необхідного сервісу буде повідомити Офіс.

(2) Цифровий сервісний провайдер звітує без затримки інциденту з кібербезпекою з суттєвим впливом на надання своїх послуг, якщо він має доступ до інформації, необхідної для оцінки значення цього впливу.

(3) Органи влади та особи, що надходять у § 3 (b) та (h) звіт про кібербезпеку, що стосується національного оператора CERT.

(4) Органи влади та особи, що надходять у § 3 (c) до звіту про кібербезпеку до Офісу.

(5) Визначено зобов’язання в пункті 1, здійснюється контролером інформаційної системи критичної інформаційної інфраструктури, системою зв’язку критичної інформаційної інфраструктури або відповідної інформаційної системи, навіть якщо інцидент з кібербезпеки був повідомлений оператором цієї системи. Оператор критичної інформаційної системи інформаційної інфраструктури, критична система зв’язку інформаційної інфраструктури або значна система інформації ознайомить адміністратора системи звітів про кібербезпеку без затримки.

(6) Органи влади та особи, які не вказані в розділі 3, можуть повідомити про інциденти з кібербезпеки до національного оператора CERT або до офісу.

(7) Впровадження акту передбачає:

(а) види, категорії та оцінка значення впливу інциденту з кібербезпеки;

(b) формальності та засоби звітності з питань кібербезпеки.

(8) У разі виникнення інциденту з кібербезпеки, що впливає на провайдера цифрової служби, має значний вплив на безперервність надання необхідного сервісу, його оператор зобов’язується повідомити про це факту Адміністрації.

Реєстрація

§ 9

(1) Адміністрація зберігає реєстр інцидентів з кібербезпеки («ідентські записи»), що містять:

(а) звіт про інцидент з кібербезпеки;

(b) визначення системи, в якій відбувався інцидент з кібербезпеки;

(c) дані про джерело інциденту з кібербезпеки;

(d) порядок боротьби з атакою кібербезпеки та її результатом.

(2) До інцидентних записів відносяться дані, що зазначені у § 20 (f) до (h) та (l).

(3) Офіс надає дані з інцидентних записів для державних органів з метою здійснення своїх обов’язків.

(4) Адміністрація може надати звітні записи до національного оператора CERT, органи влади, які відповідають за кібербезпеку за кордоном та інших осіб, залучених до кібербезпеки, в обсязі, необхідну для забезпечення захисту кіберпростору.

§ 10

(1) Співробітники Чехії, які беруть участь у перевезенні інциденту з кібербезпеки, зобов’язані дотримуватися конфіденційності інцидентних записів. Обов'язок конфіденційності продовжується після припинення трудових відносин з Офісом.

(2) Директор Офісу може звільнити осіб, зазначених у пункті 1 з зобов'язання конфіденційності щодо записів інцидентів, що вказують на ступінь даних та ступінь звільнення.

§ 10a

Відомості про розкриття інформації, яка може зануритися на безпеку кібербезпеки або результативності, наданого цим Актом, або інформації, яка зберігається в оповіді про інциденти, з яких може бути визначена влада або особа, яка звітує про інцидент з кібербезпеки, не повинна бути надана в правилах, що регулюють вільний доступ до інформації.

§ 11

Заходи

(1) Заходи є необхідними для захисту інформаційних систем або послуг та електронних мереж зв'язку (1) від загроз до кібербезпеки або від інциденту з кібербезпеки або для вирішення інциденту з кібербезпеки.

(2) Заходи:

(а) попередження,

(b) реактивні заходи;

(c) безпечний захід.

(3) Реактивні заходи повинні бути реалізовані

(а) органи влади та особи, які зазначені у ст. 3 (а) та (б) під загрозою кібернебезпеки або надзвичайного стану (4) заявлені на підставі запиту згідно ст. 21 (6); та

(b) органи влади та особи, які зазначені у статті 3 (c) до (f).

(4) Заходи забезпечення безпеки повинні здійснюватися органами та особами, які зазначені у статті 3 (c) до (f).

§ 12

Зареєструватися

(1) Адміністрація видає попередження, зокрема про свою ініціативу або за ініціативою оператора національної ТБ або органів влади, що здійснюють свої обов’язки у сфері кібербезпеки за кордоном, загрози кібербезпеки.

(2) Офіс публікує попередження на своєму веб-сайті та повідомив його органам та особам, які зазначені у статті 3, контактні дані яких зберігаються у реєстрі, зазначеному у статті 16 (4).

(3) Щоб захистити внутрішній порядок і безпеку, захистити життя і здоров'я осіб або захистити економіку держави, Офіс має право, після консультації з органом або особою, що зазначена в § 3 (c), (d), (g) або (h), що впливає на інцидент з кібербезпеки, щоб повідомити громадськість інциденту або замовити людину, яка турбує це себе.

Активні та захисні заходи

§ 13

(1) До інциденту з кібербезпеки, який є першим актом у справі. Якщо прийняття рішення про надання його одержувачу не досягається протягом 3 днів від дати її випуску, він буде доставлено шляхом висихання на офіційному записі Офісу і буде виконуватися в цей час. Рішення, зазначене у першому вирокі, також може прийматися Офісом в порядку он-поту при адміністративних правилах.

(2) Покладання рішення за пунктом 1 не має суспензійного ефекту.

(3) При реактивних заходах, які можуть звернутися до невизнаного діапазону органів влади або осіб, Офіс видає їх у вигляді загальнонаціональних заходів.

(4) Органи влади та особи, які зазначені в пунктах (a) до (f) статті 3, зобов’язані повідомити Офіс без зайвої затримки виконання реактивного заходу та його результату. Деталі повідомлення укладуть у чинному законодавстві.

§ 14

Для підвищення захисту інформаційних систем або послуг та електронних комунікаційних мереж (1) та на основі аналізу вже вирішених інцидентів з кібербезпеки як безпечний захід, Офіс має виписувати загальний захід, в якому органи та особи, які зазначені в пунктах (c) до (f) статті 3 забезпечують спосіб підвищення захисту інформаційних систем або послуг та електронних комунікаційних мереж (1) та розумний період його реалізації.

§ 15

(1) Вимірювання загальної природи згідно ст. 13 або ст. 14 приймається в момент її висить на офіційну пластину Офісу; пункту 172 Адміністративного регулювання не застосовується. Офіс також інформує органи влади і осіб, які зазначені у статті 3, контактні дані яких зберігаються в реєстрі, зазначеному у статті 16 (4) загального виміру.

(2) Коментарі до вимірювання загального характеру, виданого відповідно до пункту 13 або 14, можуть бути зроблені протягом 30 днів дати його публікації на офіційній пластині Офісу. Адміністрація може внести зміни або повторювати заходи загального характеру на підставі зроблених коментарів.

§ 15a

(1) У разі непомінного інциденту з кібербезпеки, Адміністрація може, за пропозицією від адміністратора інформаційної системи, який має право називати оператору зобов’язання передавати дані, оперативні дані та інформацію, доступну до неї у зв’язку з роботою цієї критичної інформаційної системи, системи зв’язку критичної інформаційної інфраструктури або значної інформаційної системи, шляхом прийняття рішення вимагати оператора цієї системи передачі даних, оперативних даних та інформації, доступної до неї у зв’язку з роботою цієї системи; пропозиція повинна включати обґрунтування запиту у світлі неминучого інциденту з кібербезпеки, докладний опис попереднього договору між оператором та адміністратором системи, зокрема

(2) Рішення, що перешкоджає передачі даних, оперативних даних та інформації, зазначених в пункті 1, є першим актом в суді, є обов'язковою на дату надання послуги рішення та розкладання не має суспензійного ефекту.

(3) Для того, щоб покрити витрати, що виникли оператором інформаційної системи критичної інформаційної інфраструктури, системи зв'язку критичної інформаційної інфраструктури або важливої інформаційної системи передачі даних, оперативних даних і інформації, зазначених в пункті 1, статті 6a (4), застосовуються мутати слизової оболонки.

§ 16

Контактні дані

(1) Деталі контакту:

(а) у разі юридичної особи, імені, адреси зареєстрованого офісу, ідентифікаційного номеру особи або аналогічного номера, призначеного за кордоном;

(b) у разі фізичної особи в бізнесі, комерційної фірми або імені, в тому числі відрізна добавка або інший позначення, адреса зареєстрованого офісу та ідентифікаційного номеру особи;

(c) до державного органу, його ім'я, адреса зареєстрованого офісу, ідентифікаційний номер особи, якщо будь-який, ідентифікатор державного органу, за умови, що ідентифікаційний номер особи не приписується йому;

і реквізити фізичної особи, яка має право виступати в якості органу або особи, зазначеної у статті 3, у справах, що регулюються цим законом, а саме найменування, прізвище, номер телефону та адреса електронної пошти.

(2) Контактні дані та зміни до них будуть повідомлені

(а) органів влади та осіб, які відносяться у § 3 (а), (б) та (г) оператора національної ТБ;

(b) органи влади та особи, які відносяться у § 3 (c) до (г) Офісу.

(3) Установи та особи, які зазначені в § 3 (c) до (г), не повинні повідомляти внесення змін лише до тих даних, які зазначені в пункті 1, які не відносяться до даних, що зберігаються в базових реєстрах, без затримки.

(4) Офіс зберігає реєстр контактних даних, що містять інформацію, зазначену в пункті 1.

(5) У разі кібербезпеки Адміністрація має право вимагати контактні дані, зібрані національним оператором CERT відповідно до пункту 2 (а).

(6) Адміністрація також уповноважена запросити контактні дані органів та осіб, які зазначені у статті 3 (h) від національного оператора CERT для цілей перевірки.

(7) Модель повідомлення про контактні дані та її форму укладаються в процесі реалізації законодавства.

§ 17

Національний СЕРТ

(1) Національний CERT забезпечує, передбачений цим законом, обмін інформацією на національному та міжнародному рівні у сфері кібербезпеки.

(2) Національний оператор CERT

(a) приймати повідомлення про контактні дані з органів влади та осіб, які зазначені у статті 3 (a), (b) та (h) та реєструвати та зберігати такі дані;

Цитування	Акт No 181 / 2014 Coll., з питань кібербезпеки та зміни суміжних законів
Тип нормативного акту	-
Автор	-
Збірка	Збірка законів

Дата оприлюднення	29.08.2014
Чинний від	01.01.2015
Чинний до	-
Стан	Чинний

Акт No 181 / 2014 Coll.

Акт про кібербезпеку та зміну суміжних законів (Дія про кібербезпеку)

Зміст