Autoři knihy: Vladimír Smejkal, Tomáš Sokol, Jindřich Kodl
Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZKB“) byl schválen 23. července 2014 a nabyl účinnosti dnem 1. ledna 2015, tedy před pěti lety. Od té doby byl již šestkrát novelizován a jeho klíčový prováděcí předpis, vyhláška o kybernetické bezpečnosti z roku 2014, byla v roce 2018 nahrazena zcela novým zněním č. 82/2018 Sb. Již tyto skutečnosti by byly dostatečným důvodem pro vydání recenzovaného díla. Neméně zásadním důvodem je však skutečnost, že praxe po celou dobu účinnosti ZKB pociťovala absenci skutečně prakticky orientovaného pojednání, které by naplnilo mezeru mezi suchou literou zákona a vyhlášky a často vyzývanými normami řady 27000. Třetím důvodem pak jsou stále naléhavější otázky týkající se právní odpovědnosti za porušování povinností uložených ZKB.
Všechny tyto tři důvody se promítly do koncepce knihy, která sestává z několika tematických oblastí. V prvé řadě je to podrobný výklad jednotlivých ustanovení ZKB a na ně navazujících prováděcích předpisů, zejména nové vyhlášky o kybernetické bezpečnosti č. 82/2018 Sb., v kapitole čtvrté. Jde o výklad komplexní, podrobný a prakticky orientovaný. Příkladem může být kapitola 4.5.3, kterou lze využít např. ve velmi aktuální (a často problematické) oblasti, jakou je bezesporu zadávání veřejných zakázek, neboť autoři v této kapitole upozorňují na novelu ZKB provedenou zákonem č. 205/2017 Sb. jakožto nepřímou novelu zákona o veřejných zakázkách obsaženou v § 4 odst. 4 a odst. 7 ZKB.
Další část knihy obsahuje v kapitole 5. neméně důležitý text pojednávající o normách a metodikách pro bezpečnost IS/IT. Autoři zde popisují mezinárodní i národní organizace pro standardizaci, velmi podrobně rekapitulují vývoj mezinárodních standardů a poté věnují pozornost především normám ČSN ISO/IEC řady 27000, jež jsou dnes považovány za hlavní, byť nikoliv jediný, normativní zdroj informací pro budování bezpečnosti IS/IT. Uvedeny jsou rovněž metodiky jako COBIT, ITIL a další, které mají přesah k manažerským a organizačním aspektům zajišťování kybernetické bezpečnosti. Navazující kapitola 6. popisuje řízení bezpečnosti informací a návrh systému řízení bezpečnosti informací (ISMS).
Třetím hlavním tématem tohoto díla je právní analýza důsledků vyplývajících ze ZKB, jež se nachází v posledních dvou kapitolách. Ty pojednávají o trestní a přestupkové odpovědnosti fyzických i právnických osob pro případ nesplnění povinností vyplývajících ze ZKB a o občanskoprávních aspektech bezpečnosti IS/IT z hlediska odpovědnosti za škody způsobené porušením ZKB.
Aby byl výklad komplexní a dostatečně srozumitelný, je kniha doplněna kapitolami obsahujícími seznam zkratek, jichž je v oblasti kybernetické bezpečnosti velké množství. Teoretiky i praktiky jistě zaujme část, v níž jsou definovány základní pojmy související s danou problematikou, jakými jsou „bezpečnost“, „kybernetická bezpečnost“, či „prvky kritické infrastruktury“. Následuje vymezení právního rámce kybernetické bezpečnosti, počínaje ZKB a souvisejícími předpisy, krizovým zákonem, zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti, jakož i dalšími právními předpisy, které mají souvislost s problematikou kyberbezpečnosti. Velmi zajímavá je kapitola třetí popisující trestné činy, jež je možné spáchat v kyberprostoru, neboť pouze tehdy, pokud víme, před čím se máme chránit, může být naše obrana úspěšná.
Výklad knihy je doplněn samostatnou kapitolou sedmou, pojednávající o řízení rizik, což je alfa a omega při zajišťování kybernetické bezpečnosti. Výklad logicky vychází z požadavků ZKB a vyhlášky o kybernetické bezpečnosti, ale zohledňuje i další normy a metodiky, které jsou v praxi používány. Nechybí ani obsáhlý seznam použité literatury, jako cenný zdroj dalších informací.
Na rozdíl od častého provedení „zákonů s komentářem“ v podobě doslovné citace zákona a (v lepším případě parafráze) důvodové zprávy je recenzovaná kniha skutečným výkladem dané problematiky, založeným na rozsáhlých zkušenostech autorů – známých odborníků s dlouholetou praxí. Toto je patrné i na místy značně hutném stylu podání rozebírané problematiky, kdy v některých kapitolách – zejména 4. až 6. – by bylo možno doporučit ještě podrobnější výklad pro ty, kdo jsou v dané oblasti spíše začátečníky. Naopak je třeba ocenit, že autoři nepodlehli současnému trendu hypertrofického zařazování problematiky GDPR prakticky do všech odborných publikací z nejrůznějších oborů.
Kniha je po odborné i jazykové stránce na vysoké úrovni a poznatky v ní uvedené odpovídají současnému stavu poznání v této oblasti, jakkoliv – vzhledem k tématu – nelze pochybovat o tom, že v dalším vydání bude třeba zohlednit novinky z legislativy (např. Nařízení Evropského parlamentu a Rady (EU) 2019/881 o agentuře ENISA, Evropské agentuře pro kybernetickou bezpečnost a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií, tzv. „akt o kybernetické bezpečnosti“, nejnovější novela ZKB provedená zákonem č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů) i z praxe (zejména nové poznatky a zkušenosti s dalším vývojem kybernetické kriminality a kyberterorismu).
Všichni, kdo se jako správci, či zpracovatelé (poskytovatelé služeb, dodavatelé atd.) podílejí na zajišťování bezpečnosti IS/IT, zejména pak těch IS, které spadají do působnosti ZKB, by knihu měli nejen mít ve svých knihovnách, ale především na svých nočních stolcích i pracovních stolech – měli by ji totiž skutečně jednak pečlivě prostudovat a zejména ji používat v každodenní praxi. Potenciálně nebezpečnými však pro tyto osoby mohou být kapitoly o právní odpovědnosti. Zjistí z nich totiž, že důvodů pro praktickou aplikaci trestní odpovědnosti fyzických i právnických osob pro porušení povinností uložených ZKB je skutečně mnoho, k čemuž bohužel přispívá i (z tohoto hlediska nikoliv zcela ideální) dikce některých ustanovení ZKB.
Je třeba zdůraznit, že dílo není zdaleka určeno pouze pro povinné osoby podle ZKB, tedy pro správce a provozovatele informačních a komunikačních systémů kritické informační infrastruktury, správce a provozovatele významných informačních systémů a informačních systémů základní služby, případně další povinné osoby podle § 3 ZKB, ale pro všechny správce a provozovatele všech informačních systémů, které mají větší než zcela okrajový význam. To samozřejmě neznamená, že tito ostatní správci a provozovatelé musejí splnit všechny povinnosti vyplývající ze zákona a vyhlášky o kybernetické bezpečnosti a aplikovat všechna doporučení obsažená v knize, nicméně jako zdroj inspirace lze i jim knihu výše uvedené trojice autorů plně doporučit. Varovné příklady z nemocnic a jiných, doposud z tohoto hlediska spíše přehlížených organizací, budiž motivací více než vysokou.
