Na možné komplikace v souvislosti s implementací nové evropské normy o kybernetické bezpečnosti upozornil nedávný seminář nazvaný „Směrnice NIS2 a co pro ni udělat“, který proběhl v Poslanecké sněmovně Parlamentu ČR. Seminář kromě jiného také upozornil na očekáváné problémy, které u nás tento dokument způsobí. Jde bezesporu o potřebné definování zpřísnění pravidel pro bezpečnost firem kritické infrastruktury. Pro Českou republiku to např. znamená rozšíření subjektů kritické infrastruktury z dnešních zhruba čtyř set na šest tisíc organizací. Česká republika by přijetí této celoevropské normy měla legislativně stihnout do října tohoto roku. NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, softwaru a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Jde také o segment, kterému se v rámci rozvoje schopností věnuje Armáda České republiky.

Seminář pod záštitou poslanců Marka Nováka a Roberta Králíčka pomohli uspořádat zástupci komunitního webu zaměřeného na dění ve státní správě eGOVERNMENT NETWORK NEWS. Hlavními vystupujícími byli zástupci NÚKIB, agentury DIA, ČTÚ, společnosti Bankovní identita s.r.o. nebo Agentury rozvoje a podpory kritické infrastruktury, z.s. Směrnice NIS2 není jediný dokument, který má pomoci zvyšovat odolnost určité části subjektů. Další směrnicí, která by měla být implementována do české legislativy je takzvaný CER (Critical Entities Resilience). Jde o směrnici zaměřenou na zvýšení odolnosti subjektů v členských státech, které jsou klíčové pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností v následujících odvětvích: energetika, doprava, bankovnictví, infrastruktura finanční trh, zdravotnictví, pitná voda, odpadní voda. 

Jak pro CZ DEFENCE uvedl poslanec Marek Novák, vzhledem k potřebě obrovských změn v dotčených subjektech je potřeba co nejvíce o chystané implementaci směrnice hovořit a hledat takové postupy, které nebudou paralyzovat Českou republiku. Podle Nováka je také důležité přijetí připravovaného zákona o kybernetické bezpečnosti nejen pro domácí bezpečnost kyberprostoru, ale také pro důvěryhodnost ČR vůči ostatním evropským státům. „Tato změna s sebou přinese potřebu velkých investic pro nově definované subjekty kritické infrastruktury, ale zejména potřebu personálního zajištění. Vzhledem k tomu, že by se měl tento nový zákon dotknout například obcí, je otázka, zda na to budou finanční prostředky. Dalším problémem je, aby se zástupci všech 6 000 subjektů o své nové roli a povinnostech včas dozvěděli. Také proto pořádáme tento seminář,“ vysvětlil poslanec Marek Novák.

Směrnice NIS2 je bezesporu přelomový dokument, který reaguje na aktuální hrozby a zároveň potřeby jednotlivých evropských států. Vše je otázka připravenosti dotčených subjektů v rámci ČR. Ohledně výše uvedeného jsme poslanci Robertu Králíčkovi položili následující otázky:

V jakém stavu je přijetí NIS2 a jaký zásah bude mít pro firmy v ČR?

Nový zákon o kybernetické bezpečnosti představuje implementaci NIS2 a v současné době jej posuzuje Legislativní rada vlády. Z hlediska rozsahu regulovaných subjektů bude zásah jistě velký, neboť se rozšiřuje počet subjektů na cca 6 000. Zásah pro organizace, které již aktivně řeší kybernetickou bezpečnost nemusí být až tak významný. Firmy, které se této oblasti nevěnují budou zasaženy významně. Je třeba ocenit, že se i díky tomuto zákonu povědomí a informovanost o kybernetické bezpečnosti zvyšuje, ale je třeba se ptát, zda budou firmy schopny se s povinnostmi vyplývajícími ze zákona a prováděcích vyhlášek popasovat.

Je ČR na NIS2 technologicky a personálně připravena?

Technologickou úroveň vnímám dobře a myslím, že v této oblasti zásadní problém nevidím. Personální otázka je samozřejmě velký a známý problém. Nedostatek odborníků na kybernetickou bezpečnost vnímá zejména veřejný sektor, ale už i soukromý, kterému navíc ten veřejný není schopen konkurovat. Jak tuto situaci řešit, tak o tom probíhá mnoho diskusí, ale kýžený výsledek zatím není znám.

Jaká je v současnosti úroveň kybernetické bezpečnosti v České republice?

Já stále vnímám, že kybernetická bezpečnost nemá dostatečnou prioritu. Nečekejme, až se něco stane. Respektive nemá smysl čekat na další útoky a škody typu nemocnice v Benešově, FN v Brně aj. Je třeba se aktivně věnovat kybernetické bezpečnosti jak ve veřejném, tak v soukromém sektoru. NIS2 nás k tomu na jednu stranu „nutí“, na druhou stranu vnímám ty obavy právě z toho, jakou podporu mohou dotčené subjekty dostat.

Základem změn nově implementované směrnice NIS2 je vznik nového zákona o kybernetické bezpečnosti, kam kromě požadavků směrnice byly promítnuty také vnitrostátní instituty a požadavky. Jak uvedl ředitel odboru regulace Adam Kučínský, Národní úřad pro kybernetickou a informační bezpečnost připravil návrh nového zákona o kybernetické bezpečnosti. Nová pravidla by měla platit optimálně od října 2024. Jak již bylo uvedeno, nový zákon nově dopadne minimálně na 6 000 organizací a reguluje přes 105 druhů služeb v 18 odvětvích (energetika, zdravotnictví, bankovnictví, doprava, veřejná správa, digitální infrastruktura). Hlavním kritériem pro zahrnutí do regulace je velikost subjektu daný počtem zaměstnanců nebo jeho finanční situací. Mění se také přístup k rozsahu regulace – nevybírají se konkrétní systémy, ale celé služby. A nově se také navrhuje zařazení obcí. Všechny regulované organizace budou fungovat ve dvou režimech: nižších a vyšších povinnostech, podle stanoveného režimu.

Tato zlomová úprava s sebou přináší potřebu a vznik nových norem, jakými je zajištění dostupnosti regulované služby nebo mechanismus prověřování bezpečnosti dodavatelského řetězce (BDŘ). Úprava dopadne na některé již existující normy jako je: stav kybernetického nebezpečí, (proti)opatření, konkrétní lhůty pro hlášení incidentů, sankce a další.

Nová směrnice EU NIS2 vymezuje výčet povinností pro naplňování kybernetické bezpečnosti, provádění protiopatření a např. povinnost zajistit dostupnost z České republiky u vybraných (strategicky významných) služeb. Do dnešního dne byl návrh zákona široce diskutován a připomínkován. Jak uvádějí zdroje NÚKIB, šlo o 85 připomínkových míst plus dalších 11 připomínkových míst zaslalo připomínky z vlastní iniciativy. Tomuto rozsahu odpovídá i počet připomínek, ten dosáhl čísla 886.

Jak uvedl ve svém vystoupení předseda Agentury rozvoje a podpory kritické infrastruktury a prezident Asociace škol kritické infrastruktury PhDr. Mgr. Dušan Kalášek, mezi hlavní důvody pro přijetí zákona o kybernetické bezpečnosti patří zejména vyšší riziko hrozeb spojených s objemem zpracovávaných dat. Tato norma bude také vyžadovat nutnost zvýšení počtu odborníků v oblasti kybernetické bezpečnosti a budou nutné i investice do technologií.

Klíčovým momentem je ochrana dat. Proto musí být podle Kaláška jasné, co je potřeba chránit, jaká existují data a na čem jsou závislá. Musíme vědět, jaké jsou naše slabiny a rizika. To znamená, že musíme zavést identifikaci, hodnocení a řízení rizik, zajistit bezpečnost a ochranu dat a informací a přístup k nim. Nedílnou součástí těchto procesů je vzdělávání zaměstnanců, zejména pracovníků v oblasti bezpečnosti informací. Situace bude od subjektů kritické infrastruktury podle Dušana Kaláška vyžadovat zajištění bezpečnost IT a informačního systému a aplikací, software, hardware a dalšího IT vybavení, včetně cloudových služeb, efektivní ochranu proti útokům a zvládání incidentů a následné zajištění obnovy provozu.

Kybernetické hrozby a informační kriminalita je také jednou z domén, kterými se zabývá a na kterých pracuje Armáda České republiky v rámci budování nových schopností armády. Proto jsme v souvislosti se zavedením směrnice EU NIS2 a novým zákonem o kybernetické bezpečnosti položili řediteli Sekce komunikačních a informačních systémů MO ČR brig. gen. Petru Šnajdárkovi několik otázek: 

Měla možnost AČR zasahovat do parametrů směrnice NIS2?

Ano, tuto možnost resort obrany měl. V zastoupení OB MO se aktivně účastnil meziresortního připomínkového řízení k aplikaci NIS2 do novely zákona o kybernetické bezpečnosti. 

Může AČR v kritickém okamžiku kybernetického útoku převzít ochranu určené kritické infrastruktury?

AČR provádí dohled nad provozovanou resortní kritickou infrastrukturou KIS. V kritickém okamžiku může převzít její ochranu.

Existuje provázanost mezi kybernetickou ochranou AČR a kritickou infrastrukturou?

Kybernetická ochrana resortní kritické infrastruktury je řešena na resortní úrovni v rámci stanovené působnosti (gestoři za jednotlivé oblasti a provozovatel). Na mimoresortní úrovni je tato ochrana koordinována s dalšími orgány veřejné správy i s orgány NATO a EU (prostřednictvím národních zastoupení).

Zdroj: NIS2, NÚKIB, PSP ČR