Sada metodických, organizačních a právních nástrojů pro realizaci procedur odpovědného hlášení kyberbezpečnostních zranitelností a poskytnutí relevantních vzorových dokumentů (pravidla a podmínky RVDP, poskytnutí detailních vzorových podkladů, dokumentů atp. se zaměřením na soukromou i veřejnou správu vč. popisu relevantních parametrů)

VOSTOUPAL, Jakub, Pavel LOUTOCKÝ, Kamil MALINKA, František KASL, Anna BLECHOVÁ, Andrej KRIŠTOFÍK, Jan KLEINER, Lukáš POHANKA, Juraj SZABÓ, Václav STUPKA, Alena SAYDUEVA KNAPOVÁ, Vladimír ROHEL, Pavel HRABĚ, Petr MIENCIL, Radan BŘEZA a Petr DUŠEK. Sada metodických, organizačních a právních nástrojů pro realizaci procedur odpovědného hlášení kyberbezpečnostních zranitelností a poskytnutí relevantních vzorových dokumentů (pravidla a podmínky RVDP, poskytnutí detailních vzorových podkladů, dokumentů atp. se zaměřením na soukromou i veřejnou správu vč. popisu relevantních parametrů). 2022, 58 s.

Základní údaje

Originální název

Sada metodických, organizačních a právních nástrojů pro realizaci procedur odpovědného hlášení kyberbezpečnostních zranitelností a poskytnutí relevantních vzorových dokumentů (pravidla a podmínky RVDP, poskytnutí detailních vzorových podkladů, dokumentů atp. se zaměřením na soukromou i veřejnou správu vč. popisu relevantních parametrů)

Název anglicky

A set of methodological, organizational and legal tools for the implementation of procedures for responsible reporting of cybersecurity vulnerabilities and provision of relevant model documents (rules and conditions of the RVDP, provision of detailed mod

Autoři

VOSTOUPAL, Jakub (203 Česká republika, domácí), Pavel LOUTOCKÝ (203 Česká republika, garant, domácí), Kamil MALINKA (203 Česká republika, domácí), František KASL (203 Česká republika, domácí), Anna BLECHOVÁ (203 Česká republika, domácí), Andrej KRIŠTOFÍK (703 Slovensko, domácí), Jan KLEINER (203 Česká republika, domácí), Lukáš POHANKA (203 Česká republika, domácí), Juraj SZABÓ (203 Česká republika, domácí), Václav STUPKA (203 Česká republika, domácí), Alena SAYDUEVA KNAPOVÁ (203 Česká republika, domácí), Vladimír ROHEL, Pavel HRABĚ, Petr MIENCIL, Radan BŘEZA a Petr DUŠEK

Vydání

58 s. 2022

---

Další údaje

Jazyk

čeština

Typ výsledku

Účelové publikace

Obor

50501 Law

Stát vydavatele

Česká republika

Utajení

není předmětem státního či obchodního tajemství

Kód RIV

RIV/00216224:14330/22:00129591

Organizační jednotka

Fakulta informatiky

Klíčová slova česky

RVDP; směrnice NIS 2; trestní zákoník; zákon o kybernetické bezpečnosti; responsible vulnerability disclosure process

Klíčová slova anglicky

RVDP; NIS 2 Directive; Criminal Code; Act on Cybersecurity; responsible vulnerability disclosure process

---

Anotace

V originále

Tento výstup se v první části zaměřuje na identifikaci rizik týkajících se organizačně-technických aspektů, přičemž u identifikovaných oblastí posléze představuje možná opatření pro jejich zmírnění. Na to navazuje třetí kapitola, ve které jsou rozvedeny vybrané nejrelevantnější právní povinnosti a související rizika, která mohou negativně zasáhnout implementaci RVDP. I v této kapitole jsou pak představena potenciální řešení (např. poskytnutím vzorové formulace) vyplývajících z právní úpravy. V další části jsou představeny vzorové podmínky RVDP, vhodné pro inspiraci v českém právním prostředí a v kontextu tohoto projektu. Ty jsou vytvořeny na základě analýzy řady vybraných funkčních zahraničních projektů a syntézy jednotlivých zjištění. Závěr tohoto dokumentu tvoří analýza motivačních aspektů jednotlivých zúčastněných subjektů k zapojení do RVDP a související doporučení, která mohou motivaci některých aktérů zvýšit a posílit efektivitu nasazeného RVDP (včetně bug bounty adaptace programu RVDP či spolupráce s dalšími zainteresovanými subjekty). V přílohách je pak možné najít další inspirace pro nastavení podmínek RVDP a související vzory smluvní úpravy.

Anglicky

The first part of this document focuses on identifying risks related to organisational and technical aspects and then presents possible mitigation measures for the identified areas. This is followed by a third chapter which elaborates on selected most relevant legal obligations and related risks that may negatively affect the implementation of the RVDP. This chapter also presents potential solutions (e.g. by providing model wording) arising from the legislation. In the next section, model RVDP conditions are presented, suitable for inspiration in the Czech legal environment and in the context of this project. These are based on an analysis of a number of selected functional foreign projects and a synthesis of individual findings. This document concludes with an analysis of the motivational aspects of individual stakeholders to engage in RVDP and related recommendations that can increase the motivation of certain actors and strengthen the effectiveness of the deployed RVDP (including the bug bounty of adaptation of the RVDP programme or cooperation with other stakeholders). Further inspiration for setting RVDP terms and conditions and related contract templates can then be found in the annexes.

---

Návaznosti

TN01000077, projekt VaV

Název: Národní centrum kompetence pro Kyberbezpečnost Investor: Technologická agentura ČR, Národní centrum kompetence pro Kyberbezpečnost