Kwestia bezpieczeństwa cybernetycznego została po raz pierwszy podjęta przez państwo w sposób systematyczny w 2000 roku.

W 2010 r. przyjęto uchwałę rządu nr 205 dotyczącą kwestii bezpieczeństwa cybernetycznego w Republice Czeskiej.[1] Na mocy tej uchwały Ministerstwo Spraw Wewnętrznych Republiki Czeskiej zostało wyznaczone na centralny punkt kontaktowy do spraw bezpieczeństwa cybernetycznego i organ krajowy w tej dziedzinie. Minister Spraw Wewnętrznych otrzymał ponadto polecenie, aby:

1.     koordynować działania innych instytucji państwowych w dziedzinie bezpieczeństwa cybernetycznego,

2.     Koordynować reprezentowania Republiki Czeskiej w kwestiach bezpieczeństwa cybernetycznego na forach międzynarodowych, w tym udział organów państwowych w działaniach odpowiednich organizacji międzynarodowych,

3.     Przedłożyć rządowi do zatwierdzenia statut Międzyresortowej Rady Koordynacyjnej ds. Cyberbezpieczeństwa do dnia 30 kwietnia 2010 r,

4.     przedłożyć rządowi strategię bezpieczeństwa cybernetycznego do 15 grudnia 2010 r,

5.     uruchomić rządowy CSIRT (Computer Security Incident Response Team) nie później niż 31 grudnia 2010 r.

W dniu 19 października 2011 r. rząd Republiki Czeskiej przyjął uchwałę nr 781 ustanawiającą Biuro Bezpieczeństwa Narodowego jako punkt centralny ds. bezpieczeństwa cybernetycznego i organ krajowy w tej dziedzinie.[2] Jednocześnie rząd Republiki Czeskiej powołał Radę ds. Bezpieczeństwa Cybernetycznego[3] i zatwierdził utworzenie Narodowego Centrum Bezpieczeństwa Cybernetycznego (w ramach NSA).

W 2011 roku przyjęto Strategię bezpieczeństwa cybernetycznego Republiki Czeskiej na lata 2011-2015[4] oraz plan działania dla tej strategii. Jednak ze względu na przeniesienie odpowiedzialności z Ministerstwa Spraw Wewnętrznych do NSA, strategia ta jest częściej określana jako: Strategia bezpieczeństwa cybernetycznego Republiki Czeskiej na lata 2012-2015.[5]

W strategii określono następujące cele strategiczne i działania:

·       tworzenie ram prawnych,

·       budowa Narodowego Centrum Cyberbezpieczeństwa i rządowego zespołu CERT,

·       ochrona krytycznych infrastruktur informacyjnych,

·       wzmocnienie bezpieczeństwa cybernetycznego systemów teleinformatycznych administracji publicznej,

·       zwiększenie skuteczności walki z cyberprzestępczością,

·       koordynowanie działań na rzecz zapewnienia bezpieczeństwa cybernetycznego w Europie,

·       wykorzystując wiarygodne i godne zaufania technologie informacyjne,

·       podnoszenie świadomości w zakresie bezpieczeństwa cybernetycznego,

·       reagowanie na ataki cybernetyczne.

W dniu 28 czerwca 2013 r. NSA przedłożył rządowi Republiki Czeskiej projekt ustawy o cyberbezpieczeństwie. Kolejny proces legislacyjny został przeprowadzony bez istotnych uwag i ustawa nr 181/2014 Coll. , o cyberbezpieczeństwie i o zmianach w powiązanych ustawach (ustawa o cyberbezpieczeństwie) weszła w życie 29 sierpnia 2014 r. z mocą obowiązującą od 1 stycznia 2015 r.

Wraz z ustawą opracowano również przepisy wykonawcze, a mianowicie:

·      Dekret nr 316/2014 w sprawie środków bezpieczeństwa, incydentów związanych z bezpieczeństwem cybernetycznym, środków reaktywnych oraz w sprawie ustanowienia formalności dotyczących zgłoszeń w dziedzinie bezpieczeństwa cybernetycznego (dekret w sprawie bezpieczeństwa cybernetycznego);

·      Dekret nr 317/2014 określający istotne systemy informacyjne i kryteria ich definiowania;

·      Dekret nr 315/2014, zmiana dekretu rządowego nr 432/2010 Dz.U. w sprawie kryteriów wyznaczania elementu infrastruktury krytycznej.

Wszystkie rozporządzenia wykonawcze weszły w życie w tym samym czasie, co ustawa o bezpieczeństwie cybernetycznym.

W sierpniu 2015 r. został wybrany operator Krajowego Zespołu CERT na podstawie wymagań określonych w ZoKB. Operator ten stał się stowarzyszeniem CZ.NIC.[6] W dniu 18 grudnia 2015 r. podpisano Porozumienie publicznoprawne w sprawie zapewnienia działalności Narodowego CERT oraz współpracy w zakresie cyberbezpieczeństwa.[7] Umowa ta została zawarta na czas nieokreślony.

Od czasu wejścia w życie w 2015 r. ustawa o bezpieczeństwie cybernetycznym została poddana dwóm istotnym zmianom.

Pierwsza zmiana została wprowadzona ustawą nr 104/2017 Coll.,[8] z mocą obowiązującą od 1 lipca 2017 r. oraz ustawą nr 205/2017 Coll. z mocą obowiązującą od 1 sierpnia 2017 r. Zmiana ta rozszerzyła zakres osób zobowiązanych objętych ZoKB o operatorów systemów informatycznych oraz wprowadziła dalsze zmiany w zakresie niektórych sankcji.

Druga, bardziej znacząca zmiana została wprowadzona ustawą nr 205/2017 Coll.,[9] z mocą obowiązującą od 1 sierpnia 2017 r. Nowelizacja ta wdrożyła do ZOKB dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków zapewniających wysoki wspólny poziom bezpieczeństwa sieci i systemów informatycznych w Unii (NIS), a także powołała Krajowy Organ ds. Bezpieczeństwa Cybernetycznego i Informatycznego (NACIS), który przejął prawa i obowiązki KWB w zakresie cyberbezpieczeństwa, w tym ochrony informacji niejawnych w zakresie systemów teleinformatycznych oraz ochrony kryptograficznej. NUCIB jest centralnym organem administracyjnym w wyżej wymienionych obszarach.

Obecnie kwestia bezpieczeństwa cybernetycznego jest szczegółowo uregulowana w ustawie o bezpieczeństwie cybernetycznym, ale częściowe aspekty ochrony Republiki Czeskiej przed cyberatakami można znaleźć także w innych aktach prawnych. Z punktu widzenia cyberbezpieczeństwa najważniejsze są następujące dokumenty:

Prawa konstytucyjne

·      Ustawa konstytucyjna nr 1/1993 Sb., Konstytucja Republiki Czeskiej, z późniejszymi zmianami

·      Ustawa konstytucyjna nr 2/1993 Dz. U., Karta Podstawowych Praw i Wolności, z późniejszymi zmianami[10]

·      Ustawa konstytucyjna nr 110/1998 Dz.U., o bezpieczeństwie Republiki Czeskiej

Przepisy

·      Ustawa nr 106/1999 Sb. o wolnym dostępie do informacji, z późniejszymi zmianami

·      Ustawa nr 101/2000 Dz. U. o ochronie danych osobowych i o zmianach niektórych ustaw, z późniejszymi zmianami[11]

·      Ustawa nr 121/2000 Dz.U. o prawie autorskim, prawach pokrewnych prawu autorskiemu oraz o zmianach niektórych ustaw (ustawa o prawie autorskim), z późniejszymi zmianami

·      Ustawa nr 240/2000 Dz. U. o zarządzaniu kryzysowym i zmianach niektórych ustaw (Ustawa o kryzysie), z późniejszymi zmianami

·      Ustawa nr 365/2000 Sb. o systemach informacyjnych administracji publicznej, z późniejszymi zmianami

·      Ustawa nr 480/2004 Sb. o niektórych usługach społeczeństwa informacyjnego i o zmianach niektórych ustaw (ustawa o niektórych usługach społeczeństwa informacyjnego), z późniejszymi zmianami [12]

·      Ustawa nr 127/2005 Coll. o łączności elektronicznej, z późniejszymi zmianami [13]

·      Ustawa nr 412/2005 Dz.U. o ochronie informacji niejawnych i poświadczeniach bezpieczeństwa, z późniejszymi zmianami [14]

·      Ustawa nr 69/2006 Zb. o wprowadzaniu sankcji międzynarodowych, z późniejszymi zmianami

·      Ustawa nr 300/2008 Dz.U., o aktach elektronicznych i dozwolonej konwersji dokumentów, z późniejszymi zmianami

·      Ustawa nr 40/2009 Dz.U., Kodeks karny, z późniejszymi zmianami [15]

·      Ustawa nr 111/2009 Dz. U. o rejestrach podstawowych, z późniejszymi zmianami

·      Ustawa nr 418/2011 Zb. o odpowiedzialności karnej osób prawnych i postępowaniu wobec nich

·      Ustawa nr 89/2012 Dz.U., Kodeks cywilny

·      Ustawa nr 181/2014 Dz.U. o bezpieczeństwie cybernetycznym i o zmianach w ustawach powiązanych (ustawa o bezpieczeństwie cybernetycznym)

·      Ustawa nr 297/2016 Dz.U. o usługach zaufania dla transakcji elektronicznych

Przepisy wykonawcze

·      Rozporządzenie rządu nr 522/2005 Dz.U. ustanawiające wykazy informacji niejawnych, z późniejszymi zmianami 

·      Rozporządzenie nr 523/2005 Dz.U. w sprawie bezpieczeństwa systemów informacyjno-komunikacyjnych i innego sprzętu elektronicznego, w którym przetwarzane są informacje niejawne, oraz w sprawie certyfikacji komór osłonowych, z późniejszymi zmianami

·      Rozporządzenie nr 529/2006 Dz.U. w sprawie wymagań dotyczących struktury i zawartości koncepcji informacyjnej i dokumentacji operacyjnej oraz wymagań dotyczących bezpieczeństwa i zarządzania jakością systemów informacyjnych administracji publicznej (rozporządzenie w sprawie długoterminowego zarządzania systemami informacyjnymi administracji publicznej)

·      Rozporządzenie rządu nr 432/2010 Dz.U. w sprawie kryteriów wyznaczania elementów infrastruktury krytycznej

·      Dekret 357/2012 Coll. w sprawie przechowywania, przekazywania i usuwania danych operacyjnych i lokalizacyjnych

·      Dekret nr 317/2014 Dz.U. w sprawie ważnych systemów informacyjnych i kryteriów ich określania

·      Dekret nr 437/2017 Dz.U. w sprawie kryteriów określania operatora usługi podstawowej

·      Dekret nr 82/2018 Dz.U. w sprawie środków bezpieczeństwa, incydentów związanych z bezpieczeństwem cybernetycznym, środków reaktywnych, wymogów archiwizacji w dziedzinie bezpieczeństwa cybernetycznego i usuwania danych (dekret w sprawie bezpieczeństwa cybernetycznego)