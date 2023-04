Blížící se výraznější regulace kybernetické bezpečnosti v České republice – směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, takzvaná směrnice NIS2 („Network and Information Security“, síťová a informační bezpečnost, pozn. red.). Česká republika, jako jeden z průkopníků ve světě v oblasti zákonů o kybernetické bezpečnosti, již nyní připravuje výrazné změny, které se dotknou tisíců firem a organizací.

„Pokud se firmy již nyní intenzivně zabývají kybernetickou bezpečností, investují do systémů, technologií, plní ISO certifikace v této oblasti a mají i specializovaná pracoviště, tak to pro ně pravděpodobně nebude znamenat žádné další náklady. Pokud ale začnou takříkajíc na zelené louce, ty investice mohou znamenat stovky tisíc, ale i miliony eur,“ řekl ke změnám v zákoně o kybernetické bezpečnosti, které budou reflektovat směrnici NIS2, ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr.

„Požadavky na zabezpečení vycházejí z mezinárodních norem. I z toho důvodu, že jsou často firmy korporáty s mezinárodním řízením, které tak zajistí rovnost podmínek v zemích působnosti daného podnikatelského subjektu. Regulace jsou nutné i v tom kontextu, jak výrazně se mění bezpečnostní prostředí, jaká je intenzita útoků přicházejících ze zahraničí,“ dodal.

Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr

Česko je na křižovatce kybernetické bezpečnosti

Tajemník ředitele NÚKUB Jaroslav Compeľ uvedl, jak si stojí Česko v otázkách kybernetické bezpečnosti, která se samozřejmě i přímo dotýká celkové infrastruktury. „V současné době je Česká republika na křižovatce kybernetické bezpečnosti a je otázka, kam bude směřovat. Když se podíváme na celek, bezpečnost strašně bolí. Je limitující, omezující, ale nutná,“ uvedl a pro vysvětlení dodal jednoduchý příměr.

„Pokud se podíváme na nějakou levnou značku aut a srovnáme ji s Volvem, tak cena je sice diametrálně odlišná, ale za co se tam platí nejvíc? Za bezpečnost. Ne za luxus, ale bezpečnost,“ vysvětlil.

Nyní 400, příští rok 6 000 firem

Dosavadní regulace kybernetické bezpečnosti byla v České republice koncipována pro poměrně úzkou skupinu několika stovek nejdůležitějších a nejvýznamnějších organizací s velkým dopadem na celou společnost. Směrnice NIS2 přináší nový pohled, a pro Českou republiku nutnost přizpůsobit se těmto změnám.

Provázanost fungování společnosti jako celku a organizací v ní je již tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu již ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.

250 000 elektroměrů

„Například v Praze je zhruba čtvrt milionu domácností, to znamená čtvrt milionu elektroměrů. Ty mají vzdálenou správu, například možnost dálkového odečtu. V případě, že by distributor nebyl dostatečně zabezpečen, čelil by úspěšnému útoku, který by vyřadil, nebo zablokoval tyto elektroměry, bylo by potřeba techniků k jejich opětovnému nastavení a zprovoznění. Těch není v Praze mnoho. Dovedete si tedy představit, co by to znamenalo?“ vysvětlil Compeľ důležitost lepšího zabezpečení.

Výčet firem a organizací, kterých se změna dotkne, je skutečně dlouhý a poměrně přehledně je znázorněn na infografice úřadu. Jednoduše lze říci, že půjde o všechny subjekty takzvané kritické infrastruktury, což jsou například bankovní instituce či zdravotnická zařízení.

A také většina středních a velkých podniků s více než padesáti zaměstnanci, případně obratem přes deset milionů eur ročně. Důležitým faktem při posuzování velikosti podniku, od které se odvíjí požadavky na zabezpečení, bude mimo jiné míra dopadu na obyvatelstvo.

Jaroslav Compeľ, tajemník ředitele NÚKIB

Příkladem může být například vodárenská společnost. Ta by sice podle obratu či počtu zaměstnanců byla malým podnikem, má však dopad na tisíce až desetitisíce domácností, proto bude muset plnit podmínky platné pro středně velké podniky. NÚKIB rozdělení firem a společností přehledně zobrazuje v infografice na svých stránkách.

NÚKIB Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany. Dále má na starosti problematiku veřejně regulované služby v rámci družicového systému Galileo. Ředitel Úřadu se pravidelně účastní jednání Bezpečnostní rady státu a je členem Výboru pro kybernetickou bezpečnost.

Všechny společnosti, kterých se úprava týká, se přihlásí u NÚKIB, ten bude i aktivně nově spadající firmy a organizace do změn vyhledávat a konzultovat nejen míru stávajícího zabezpečení, ale i potřebné kroky pro plnění nových, přísnějších norem. V praxi to pak může znamenat nákup nových technologií, softwarových řešení, ale i úpravu stávající firemní infrastruktury.

„Pro zjednodušení můžeme uvést, že náš úřad bude aplikovat pomyslný semafor. Zelená, oranžová a červená. Zelená bude znamenat plnění všech potřebných principů zabezpečení, oranžová s určitým omezením a doporučením a červená bude nevyhovující, s potřebnou výraznou úpravou, změnou, ale i pravděpodobně nemalou investicí,“ přiblížil ředitel NÚKIB Kintr. A zmínil i pokuty, které plynou z neplnění podmínek zákona.

„Spodní hranice není stanovena, horní hranice pokuty je až deset milionů eur, tedy přes 230 milionů korun. Platí ale, že sankce nesmí být likvidační,“ dodal.

Firmy jistě nepotěší, že kromě nákladů na zabezpečení provozu a plnění norem vynaloží další prostředky i na kontroly ze strany úřadu. Povinností bude pravidelné „objednání“ pověřeného inspektora, přičemž náklady ponese kontrolovaná organizace (firma). Částka zatím není dána, bude záležet na finální úpravě zákona. Tu dodnes připomínkovalo 117 odborníků a institucí, přičemž úřad obdržel dohromady zhruba tisíc připomínek. Zákon bude vydán v říjnu 2024.