Zákony a předpisy upravující kybernetickou bezpečnost

Snahy o řešení problematiky kybernetické bezpečnosti je možné vypozorovat de facto již od počátku využívání informačních a komunikačních technologií. Postupně v této oblasti docházelo k přijímání doporučení, standardů, či technických norem, které zpravidla definovaly minimální požadavky zaručující určitou úroveň bezpečnosti.

Důvodů pro zavádění a implementaci kybernetické bezpečnosti existuje celá řada. Mezi ty nejběžnější je možné zařadit například negativní ekonomický dopad v případě úspěšného kybernetického útoku, při kterém jsou zcizena citlivá data. Úspěšný kybernetický útok také může ohrozit vlastní chod a fungování organizace, neboť může dojít například k omezení přístupu k počítačovým systémům nebo datům pomocí ransomware. Dalším z důvodů pro zavedení kybernetické bezpečnosti také může být i ztráta kredibility dané napadené organizace aj.

Posledním, avšak o nic méně významným důvodem pro implementaci kybernetické bezpečnosti je respektování právních předpisů a práv a povinností z těchto předpisů vyplývajících. Tento legislativní důvod pro mnoho subjektů vyplývá ze zákona o kybernetické bezpečnosti, je však mylné se domnívat, že se jedná o jedinou právní normu, která souvisí s problematikou kybernetické bezpečnosti.

Zejména v posledních letech dochází k masivnímu nárůstu primárně mezinárodní právní úpravy, která se specificky zaměřuje na činnost subjektů (fyzických, právnických osob či států a dalších organizací) v kyberprostoru.

Oblast kybernetické bezpečnosti se značně liší od jiných oblastí, na které jsou aplikovány standardní principy bezpečnosti ve světě reálném. Ona odlišnost spočívá především v možnosti dynamického vývoje a okamžité změny kybernetických útoků a hrozeb (většina hrozeb ve světě reálném zůstává relativně neměnná), což ve vztahu k legislativě může přinášet určité problémy. Právní regulace této oblasti musí být na jednu stranu dostatečně obecná, aby umožňovala efektivně reagovat na dílčí negativní kybernetické jevy bez nutnosti jejich detailní specifikace, na druhou stranu však nesmí být příliš vágní, aby nezasáhla do práv a oprávněných zájmů osob ve větší míře, než je nezbytně nutné.

Před vlastní analýzou stávající platné a účinné legislativy v oblasti kybernetické bezpečnosti je třeba podotknout, že nejen v rámci Evropské unie je zřetelná snaha po implementaci účinnějších právních nástrojů, které by zvyšovaly kvalitu kybernetické bezpečnosti a umožnily adekvátně reagovat na kybernetické hrozby a útoky. V současnosti dochází k postupnému odstraňování rozporů a nedostatků v právních normách členských států EU a dalších států, které se rozhodly aktivně zapojit do vytváření kybernetické bezpečnosti.

„Způsoby ochrany dat a informačních systémů jsou dnes předmětem nejednoho vědního výzkumu, ovšem toliko technická ochrana těchto systémů a dat bez právního podkladu může být neefektivní v důsledku nejasného vymezení, kam až je možno při takové ochraně zajít. V tomto kontextu se naplno projevuje nesoulad právních úprav jednotlivých států s právními úpravami států ostatních. Díky rozvoji počítačových a informačních technologií, které udávají mezinárodní charakter kybernetických trestných činů, je efektivní ochrana počítačových systémů a dat nemyslitelná bez existence mezinárodního resp. nadnárodního právního rámce, a to nejen mezi členskými státy EU, ale v celosvětovém měřítku.“[1]

Tato kapitola se bude věnovat legislativnímu rámci kybernetické bezpečnosti v EU a zemích partnerů participujících na projektu Erasmus+.