Komentář si také můžete poslechnout v audioverzi.
Hackerské útoky na firmy a úřady narůstají a stejně tak i jejich dopady (nechce se říkat oběti, ačkoliv je to tak). Fakt, že mnoho společností již do bezpečnosti investuje, ještě neznamená, že své finance míří správně a cíleně – tedy že nebezpečí řeší koncepčně, se zhodnocením rizik a jejich dopadu na samotný byznys. A pak jsou tady společnosti, které se kyberbezpečností ještě ani nezačaly zabývat.
Kybernetickou bezpečnost lze dělat dobře, nebo natíráním trávy na zeleno. Výsledkem je vždy investice určitého finančního obnosu do technologií, procesů a lidí. Jenže vždy záleží na tom, zda se tak stalo z důvodu, že se „jen“ plnilo nějaké nařízení, nebo zda to bude opravdu přínosné.
Legislativní rada vlády (LRV) začátkem dubna Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) vrátila návrh zákona o kybernetické bezpečnosti, který má do českého práva zavést směrnice NIS2. NÚKIB provedl změny a koncem května upravené znění poslal opět vládní radě. Ta návrh bude zkoumat a je tedy pravděpodobné, že dojde ke zpoždění schválení zákona.
Směrnice NIS2
- Směrnice NIS2 je klíčová legislativa Evropské unie, která má posílit kybernetickou bezpečnost v oblasti kritické infrastruktury. Do této oblasti spadají například energetika, doprava, zdravotnictví, finanční sektor a další strategická odvětví. Cílem NIS2 je chránit tato odvětví před kybernetickými útoky.
- V ČR se promítne do legislativy formou nového zákona o kybernetické bezpečnosti. Ten významně rozšíří počet regulovaných subjektů i rozsah jejich povinností.
- Nařizuje například existenci bezpečnostní dokumentace, určení bezpečnostních rolí v organizaci, řízení ICT dodavatelů, školení vrcholového vedení v oblasti kybernetické bezpečnosti, řízení identit a přístupových oprávnění, detekci nežádoucích aktivit v podnikové síti.
Co je na návrhu špatně, vlastně popsala celkem přesně právě Legislativní rada vlády ve svých připomínkách. Prakticky žádná část nezůstala bez připomínek.
Například zákon ze své podstaty nevytváří další požadavky napřímo, ale činí tak vyhláškami, kterými se zákon provádí. Podle LRV tak věcná působnost zákona byla do značné míry postavena „jen“ na prováděcích předpisech, pro které ale navrhovaný zákon neměl dostatečný zákonný základ a meze.
Právníkům v Legislativní radě vlády se také nelíbil systém zabezpečení dodavatelského řetězce a podle nich „velmi široce vymezuje pravomoci úřadu“. Jednoduše řečeno obávali se především nejasných a silných pravomocí NÚKIB.
Problém je v tom, že zákon má ambici určovat soukromým firmám, s jakými dodavateli pro zajištění kyberbezpečnosti mohou spolupracovat a s jakými nikoli.
Sporným bodem bylo i to, že o zákazu takových dodavatelských firem by rozhodoval pouze NÚKIB, bez nutnosti schválení vládou. To by ale mohlo otevřít dveře k zneužití pravomocí a nedávalo firmám dostatečnou možnost obrany. Kromě toho chyběla v návrhu zákona analýza finančních dopadů. Firmy by tak neměly jasnou představu o tom, kolik je bude stát jeho splnění, což by mohlo vést jednak k ohromnému papírování a hlavně ohrozit jejich konkurenceschopnost. Kritici navíc poukazovali na to, že klíčové povinnosti a sankce pro firmy byly definovány ve vyhlášce, a ne přímo v zákoně.
To podle nich snižuje právní jistotu a ztěžuje firmám pochopení a dodržování pravidel. Chtějí proto, aby se vláda podílela na všech rozhodnutích, která se v této oblasti přijímají.
Je to těžké, ale mohlo to být lepší
Navrhnout takto komplexní zákon s širokým dopadem na společnost není vůbec banální, což je vidět i na počtu připomínek. Je proto fér přiznat, že NÚKIB to nemá jednoduché a často se ocitá pod palbou kritiky. Je ale také jasné, že mnoho firem se obává negativního finančního dopadu plynoucího z těchto požadavků.
Jako jednotlivci samozřejmě chceme všichni ideálně žít v zemi, ve které kybernetický útok nevyřadí například přenos elektrické energie a plynu, přísun pitné vody, kde kybernetický útok nevyřadí z provozu nemocnice, nezastaví vlaky a neochromí dopravu… a takto bychom mohli pokračovat.
Je proto správně, že se kybernetická bezpečnost reguluje, protože to je asi jediná šance, jak plošně standardizovat a zvýšit odolnost proti kybernetickým hrozbám. Plusem nové normy tak například je plánované sdílení informací v rámci regulovaných služeb, a to nejen na úrovni státu, ale celé EU. Zkušenosti získané například při útoku a obraně konkrétního subjektu v rámci energetiky v Česku tak mohou být využity a pomoci při obraně podobného subjektu ve stejném odvětví v Německu.
Nehledě na povinnost, kterou směrnice NIS2 přináší, je ochrana před kyberútoky klíčová a rozhodně by se neměla podceňovat. A je jedno, zda pod směrnici organizace spadá, či nikoliv.
Dělejte to pro sebe, ne pro hlášení
Každá z firem nebo organizací by si totiž měla projít analýzou aktiv a potenciálních rizik, aby věděla, jak má vytvořit bezpečnostní strategii a plán zvládání rizik. Až tím zjistí, do čeho má prioritně investovat, co dává hlavu a patu.
Je třeba počítat s tím, že komplexní strategie zvládání bezpečnostních rizik je spíše vytrvalostní běh než sprint, a tedy i prvotní zavádění nutných kroků může trvat klidně i více let (v závislosti na komplexitě a velikosti společnosti) – nemluvě o faktu, že po jejich zavedení je nutné bezpečnost průběžně udržovat.
Na druhou stranu NIS2 vlastně není nic až tak nového. Čerpá z toho, co již bylo dávno vymyšleno, tedy ze známých koncepcí. Jinými slovy obsah směrnice NIS2 se firmy snaží plnit již řadu let. I přesto vše na kyberbezpečnost – tak, jak by měly – stále připraveny nejsou. Proto existují specializované firmy, které kybernetické zabezpečení řeší komplexně, a i za hranice směrnice NIS2. Dělejte bezpečnost pro sebe, ne pro nařízení!
Předpokládané zpoždění platnosti NIS2 v tuzemsku dává společnostem naději, ale velice falešnou, protože ke schválení zákona dojde tak jako tak a k jeho platnosti rovněž. Domnívám se, že se tak stane na přelomu prvního a druhého kvartálu roku 2025.
