Zákon má přispět k zajištění kybernetické bezpečnosti státu, a to pomocí spolupráce mezi soukromými osobami a veřejnou správou při řešení takzvaných kybernetických bezpečnostních incidentů a událostí. Systém spolupráce, který předvídá tento zákon, má zajistit přehled o rizicích, jež se mohou vyskytovat v kybernetickém prostoru, a má umožnit pružně reagovat na ohrožení bezpečnosti informací uložených v informačních systémech nebo bezpečnosti služeb a sítí elektronických komunikací.
Kromě orgánů veřejné moci podzákonné předpisy související se zákonem definují též subjekty působící v oblasti kritické infrastruktury, tj. v oblasti energetiky, potravinářství, vodního hospodářství, zdravotnictví, dopravy, finančního trhu či jiné osoby poskytující hromadné služby, na něž se vztahují zákonem stanovené specifické povinnosti. Tyto subjekty, jejichž provoz je nezbytný pro fungování infrastruktury, a tedy k zajištění základních potřeb společnosti, totiž spravují informační a komunikační systémy, které se mohou stát cílem útoků či mohou být v důsledku jiných kritických událostí narušeny, čímž může též dojít k narušení uvedených segmentů infrastruktury.
Po těchto osobách se proto požaduje zavést předepsaná opatření (jak organizační, tak technická), jež mají zabránit situacím, kdy dochází k narušení bezpečnosti informací, služeb či integrity relevantních sítí a povinnost nahlásit kybernetické incidenty, které byly ze strany povinných subjektů odhaleny v rámci jejich síti či systému. Dodržování povinností vyplývajících ze zákona bude kontrolováno ministerstvem vnitra a Národním bezpečnostním úřadem. Tyto kontrolní orgány mohou uložit zjednání nápravy, případně určit, jaká opatření mají být přijata. V kritickém případě, kdy je systém ohrožen incidentem, může být dokonce zakázáno použití tohoto systému, než bude nedostatek odstraněn. Mezi organizační opatření patří například zavedení systému řízení rizik nebo řízení přístupu osob k těmto systémům. Mezi technická opatření zase mimo jiné patří nástroje pro řízení přístupových oprávnění, nástroje pro ověřování identity uživatelů a jiné kroky vedoucí k zajištění bezpečnosti.
Zákon pochopitelně stanovuje též pokuty za nedodržení povinností či neprovedení určeného opatření, a to až do výše 100 tisíc korun.
Pokud se tedy domníváte, že by nové zmíněné povinnosti mohly dopadnout i na vás či vaši společnost, respektive mohl byste být podle zákona subjektem, který provozuje kritickou infrastrukturu, doporučujeme vám, abyste se co nejdříve začali touto problematikou zabývat a na tuto novou regulaci se náležitě připravili.
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů.