Blížící se výraznější regulace kybernetické bezpečnosti v České republice – směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, takzvaná směrnice NIS2 („Network and Information Security“, síťová a informační bezpečnost, pozn. red.). Česká republika, jako jeden z průkopníků ve světě v oblasti zákonů o kybernetické bezpečnosti, již nyní připravuje výrazné změny, které se dotknou tisíců firem a organizací.
Nová pravidla kyberbezpečnosti se firmám prodraží. Navíc musí sehnat experty |
„Pokud se firmy již nyní intenzivně zabývají kybernetickou bezpečností, investují do systémů, technologií, plní ISO certifikace v této oblasti a mají i specializovaná pracoviště, tak to pro ně pravděpodobně nebude znamenat žádné další náklady. Pokud ale začnou takříkajíc na zelené louce, ty investice mohou znamenat stovky tisíc, ale i miliony eur,“ řekl ke změnám v zákoně o kybernetické bezpečnosti, které budou reflektovat směrnici NIS2, ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr.
„Požadavky na zabezpečení vycházejí z mezinárodních norem. I z toho důvodu, že jsou často firmy korporáty s mezinárodním řízením, které tak zajistí rovnost podmínek v zemích působnosti daného podnikatelského subjektu. Regulace jsou nutné i v tom kontextu, jak výrazně se mění bezpečnostní prostředí, jaká je intenzita útoků přicházejících ze zahraničí,“ dodal.
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr
Nyní 400, příští rok 6 000 firem
Dosavadní regulace kybernetické bezpečnosti byla v České republice koncipována pro poměrně úzkou skupinu několika stovek nejdůležitějších a nejvýznamnějších organizací s velkým dopadem na celou společnost. Směrnice NIS2 přináší nový pohled, a pro Českou republiku nutnost přizpůsobit se těmto změnám.
Provázanost fungování společnosti jako celku a organizací v ní je již tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu již ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.
Nespěchat, ověřovat a chránit. Finančních podvodů přibývá, varuje ČNB |
250 000 elektroměrů
„Například v Praze je zhruba čtvrt milionu domácností, to znamená čtvrt milionu elektroměrů. Ty mají vzdálenou správu, například možnost dálkového odečtu. V případě, že by distributor nebyl dostatečně zabezpečen, čelil by úspěšnému útoku, který by vyřadil, nebo zablokoval tyto elektroměry, bylo by potřeba techniků k jejich opětovnému nastavení a zprovoznění. Těch není v Praze mnoho. Dovedete si tedy představit, co by to znamenalo?“ vysvětlil Kintr.
Výčet firem a organizací, kterých se změna dotkne, je skutečně dlouhý a poměrně přehledně je znázorněn na infografice úřadu. Jednoduše lze říci, že půjde o všechny subjekty takzvané kritické infrastruktury, což jsou například bankovní instituce či zdravotnická zařízení.
A také většina středních a velkých podniků s více než padesáti zaměstnanci, případně obratem přes deset milionů eur ročně. Důležitým faktem při posuzování velikosti podniku, od které se odvíjí požadavky na zabezpečení, bude mimo jiné míra dopadu na obyvatelstvo.
Příkladem může být například vodárenská společnost. Ta by sice podle obratu či počtu zaměstnanců byla malým podnikem, má však dopad na tisíce až desetitisíce domácností, proto bude muset plnit podmínky platné pro středně velké podniky. NÚKIB rozdělení firem a společností přehledně zobrazuje v infografice na svých stránkách.
NÚKIBNárodní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany. Dále má na starosti problematiku veřejně regulované služby v rámci družicového systému Galileo. Ředitel Úřadu se pravidelně účastní jednání Bezpečnostní rady státu a je členem Výboru pro kybernetickou bezpečnost. |
Všechny společnosti, kterých se úprava týká, se přihlásí u NÚKIB, ten bude i aktivně nově spadající firmy a organizace do změn vyhledávat a konzultovat nejen míru stávajícího zabezpečení, ale i potřebné kroky pro plnění nových, přísnějších norem. V praxi to pak může znamenat nákup nových technologií, softwarových řešení, ale i úpravu stávající firemní infrastruktury.
„Pro zjednodušení můžeme uvést, že náš úřad bude aplikovat pomyslný semafor. Zelená, oranžová a červená. Zelená bude znamenat plnění všech potřebných principů zabezpečení, oranžová s určitým omezením a doporučením a červená bude nevyhovující, s potřebnou výraznou úpravou, změnou, ale i pravděpodobně nemalou investicí,“ přiblížil ředitel NÚKIB Kintr. A zmínil i pokuty, které plynou z neplnění podmínek zákona.
„Spodní hranice není stanovena, horní hranice pokuty je až deset milionů eur, tedy přes 230 milionů korun. Platí ale, že sankce nesmí být likvidační,“ dodal.
NÚKIB nyní připravuje nový zákon o kybernetické bezpečnosti. Nedávno u aktuálního návrhu ukončil veřejné konzultace. Od více než 100 odborníků, institucí a subjektů obdržel úřad dohromady okolo tisíce podnětů k úpravě. Po jejich vypořádání bude návrh zákona poslán do meziresortního připomínkového řízení. Vydán by měl být v říjnu 2024.
