Elektronická knihovna legislativního procesu - textová podoba dokumentu

                Příloha ke sp. zn: 85/23-NKU140/329/23

P ř i p o m í n k y
k návrhu zákona o kybernetické bezpečnosti a k návrhu prováděcích právních předpisů


K návrhu zákona o kybernetické bezpečnosti

K § 28, odst. 2
Z tohoto ustanovení není zřejmé, na základě jakých konkrétních dostupných kapacit bude Úřad prioritizovat činnosti uvedené v odstavci 1. Zda se bude jednat např. o dostupné  personální, technické, výpočetní  či jiné kapacity Úřadu. 
Toto ustanovení doporučujeme blíže konkretizovat.

K § 36
Podle navrhovaného znění tohoto ustanovení se domníváme, že upravuje povinnosti pouze pro subjekty spravující a provozující registr internetových domén první a druhé úrovně 
a nevztahuje se na existující správce domén na úrovni třetího řádu. 
Doporučujeme toto ustanovení doplnit o správce domén na úrovni třetího řádu.

K § 40 odst. 1 písm. b) až h)
Domníváme se, že charakter a rozsah opatření, která v případě stavu kybernetického nebezpečí bude moci nařídit ředitel NÚKIB, a informací, které bude moci požadovat po dalších orgánech a osobách,  je natolik obecný a široký, že souvislost s řešením kybernetického nebezpečí může být velmi okrajová. Navíc se v některých případech jedná o poskytnutí citlivých až důvěrných dat, například uložením povinnosti zpřístupnění neveřejných komunikačních sítí. 
Doporučujeme oprávnění ředitele NÚKIB  blíže specifikovat a upravit tak, aby byla stanovena ve vazbě na konkrétní případy kybernetického ohrožení. 


K návrhu prováděcích právních předpisů

K bodu 16.1. Přílohy k vyhlášce  o regulovaných službách - Poskytování veřejně dostupné služby elektronických komunikací
Tato část přílohy vyhlášky opomíjí provozovatele IoT sítí (LoRa, NB-IOT, Sigfox, ...), které jsou využívány zejména pro sběr dat z elektroměrů, vodoměrů, přičemž kompromitace sběrných bran nebo vyřazení provozovatele by způsobily dalekosáhlé následky. 
Z uvedeného důvodu doporučujeme v této části přílohy doplnit následující bod do režimu vyšších povinností: "e) je poskytovatelem veřejně dostupné služby elektronických komunikaci pro nejméně 300 000 aktivních zařízení".
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby 
v režimu vyšších povinností

K §20, Správa a ověřování identit, odst. 5
V kontextu znění odst. 4 není text odstavce 5 srozumitelný. Doporučujeme text odstavce 5 upravit tak, že do doby splnění požadavku podle odstavce 3 je povinnost využít kryptografický klíč nebo certifikát pro jednofaktorové přihlašování.
§20, Správa a ověřování identit, odst. 6
Při využití jednofaktorového přihlášení pomocí certifikátu/klíče nelze aplikovat hesla. 

Z tohoto důvodu doporučujeme odstavec 6 přeformulovat následovně: 
"... technických aktiv nevyužívající autentizační mechanismus založený na autentizaci pomocí kryptografických klíčů nebo certifikátů podle odstavce 5, ..."
§20, Správa a ověřování identit, odst. 6, bod e)
e) povinné změny hesla v intervalu maximálně po 18 měsících,
Tento požadavek je u servisních účtů velmi obtížné realizovat. Většina systémů nepočítá 
s možností automatické změny hesla a s její propagací v rámci velkých systémů. Zejména SCADA infrastruktura je v tomto případě velmi neflexibilní. Požadavek na pravidelnou změnu hesla  v rámci běžné praxe již není vyžadován,  důraz se klade spíše  na dostatečnou délku hesla. Jako vhodnější řešení doporučujeme stanovit  požadavek na pravidelné vyhodnocování rizika zneužití hesla pro jednotlivá aktiva. V rámci IT praxe na NKÚ se u servisních účtů explicitně nastavují hesla v maximální možné délce pro jednotlivá aktiva, a po nastavení systému jsou použitá hesla z evidence smazána, takže případný útočník nemůže toto heslo daného systému získat.

§20, Správa a ověřování identit, odst. 7, bod d)
Splnění tohoto požadavku zvyšuje riziko kompromitace hesla, neboť nezapamatovatelné heslo bude nezbytné zajistit na bezpečném úložišti. Připomínáme, že v nedávné době se vyskytlo několik incidentů s kompromitacemi manažerů hesel. 


XXX

image1.png