Téměř před půl rokem jsme vám v seriálu Regulace podle NIS2 začali postupně představovat nová pravidla kyberbezpečnosti, která na základě transpozice evropské směrnice NIS2 do českého práva cestou připravovaného nového zákona o kybernetické bezpečnosti začnou platit nejspíše od října příštího roku.
Z předchozích dílů už víme, na koho se regulace bude vztahovat, že může dopadnout i na menší firmy, co na subdodávkách spolupracují s většími korporacemi, a že existují dva režimy regulace: mírnější a tvrdší. Přísnější režim znamená vyšší personální nároky, nutnost pravidelně vyhodnocovat rizika a podstupovat co dva roky audity kybernetické bezpečnosti, což v úhrnu bude podle okolností stát od desítek tisíc až po miliardy korun.
A když už přijde kybernetický útok, nebo incident, bude třeba splnit ohlašovací povinnost vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ten také bude mít pravomoc provádět kontroly a ukládat pokuty za porušení povinností.
Ad fontes – co předcházelo regulaci
Tentokrát se vrátíme zpátky k pramenům, respektive k samotné směrnici NIS2. Tak jako v případě zákonů poskytuje vodítko k výkladu jednotlivých paragrafů důvodová zpráva, u evropské legislativy tohoto druhu slouží ke stejnému účelu recitály, tedy úvodní ustanovení předcházející vlastnímu textu směrnice. Z nich se dozvídáme, co zákonodárce vůbec vedlo k tomu, aby příslušnou právní úpravu právě v tomto znění připravil, jakými směry byly vedeny jeho úvahy, co za varianty zvažoval i čeho chce vlastně dosáhnout.
NIS2 má těchto recitálových ustanovení rovných 144 a svým rozsahem se téměř vyrovnají vlastnímu textu směrnice. Seznámit se s nimi je užitečné ve chvíli, kdy chceme pochopit kontext, co v Bruselu řeší za problém a jak.
Když už víme, jaká opatření nám Evropský parlament nachystal, neuškodí se podívat právě do recitálů kvůli ozřejmění, proč je to zrovna tak a ne jinak. Jen pro srovnání, původní směrnice NIS má těchto výkladových vodítek o polovinu méně (75) a zdaleka nejsou tak konkrétní, stejně ale jako celá tato norma.
Ransomwarové útoky rostou exponenciálně
Brusel na jednu stranu kvituje, že veřejné služby jsou stále více propojeny s digitálními sítěmi ve městech, že se tím zvyšuje třeba kvalita dopravních sítí, účinnost osvětlení a vytápění budov. Současně se ale obává toho, že tyto výdobytky digitalizace mohou být snadným terčem kybernetických útoků s vážnými následky. „Bude-li takový útok úspěšný, hrozí, že občané budou v důsledku propojenosti těchto služeb poškozeni ve velkém měřítku,“ uvádí se v odstavci 53. A hned v následujícím recitálu zákonodárce přiznává, že EU čelí v posledních letech „exponenciálnímu nárůstu ransomwarových útoků, při nichž malware zašifruje data a systémy a za odblokování požaduje platbu výkupného“.
To jsou hned dva příklady situací, na které NIS2 pamatuje. Definuje kriticky důležité systémy, jejichž narušení by způsobilo závažné škody, a jaký adekvátní druh ochrany u nich očekává. Norma přitom používá termín kybernetická hygiena (odst. 49). Pod tím je zahrnut celý soubor zásad, které je třeba si osvojit a dodržovat. Patří mezi ně architektura nulové důvěry, kdy se nelze spoléhat na to, že určitá známá zranitelnost systému nebude zneužita, ale je potřeba ji co nejdříve odstranit, nutnost správně nakonfigurovat zařízení a aktualizovat software, řídit přístup uživatelů a tyto pravidelně proškolovat a zvyšovat jejich povědomí o hrozbách, o phishingu i technikách sociálního inženýrství (odst. 89).
Kyberbezpečnost ať zvyšuje open source a umělá inteligence
Evropa je otevřena inovativním technologiím, včetně umělé inteligence, pokud zkvalitní odhalování a prevenci kyberútoků (odst. 51), vítá nástroje a aplikace s otevřeným zdrojovým kódem, protože mají příznivý dopad na účinnost průmyslové inovace (odst. 52). Mluví se zde o koncepci bezpečnosti prostřednictvím transparentnosti, kdy odhalování zranitelností řídí komunita kolem příslušného nástroje a ta se také postará o to, aby byla zavčasu odstraněna.
Dozvědět se, dát vědět o zneužitelných nedostatcích softwaru a umožnit tím uživatelům na to adekvátně reagovat, považují zákonodárci za klíčové. Proto pověřili agenturu ENISA zřízením Evropské databáze zranitelností (odst. 62), chtějí relevantní informace sdílet i s nečlenskými zeměmi (odst. 74) a podporovat výměnné programy úředníků národních regulátorů, aby se zlepšila vzájemná spolupráce a posílila důvěra mezi členskými státy (odst. 67).
Je přitom dobré mít na paměti a recitál v odst. 79 to jasně připomíná, že kybernetická bezpečnost nezahrnuje jen obranu proti útočníkům. Připouští, že sítě a informační systémy jsou ohroženy celou řadou dalších událostí, jako jsou povodně, požáry, krádeže, výpadky elektřiny nebo konektivity, nebo neoprávněným fyzickým přístupem k informacím a zařízením. Proto by podniky v rámci řízení bezpečnostních rizik měly řešit i bezpečnost fyzickou a environmentální, tedy chránit systémy před jejich selháním, lidskou chybou, zlovolnými činy nebo přírodními jevy.
Za dodavatelským řetězcem se skrývá 5G
Ačkoliv o sítích 5G není ve směrnici samotné možná záměrně ani slovo, snad aby se ještě více nejitřily emoce ze strany mobilních operátorů, do souvislosti s problematikou bezpečnosti dodavatelského řetězce je dává recitál v odst. 91. Ten otevřeně mluví o koordinovaném posouzení kybernetických rizik pro sítě 5G napříč EU, zahrnující zkoumání i netechnických rizikových faktorů, jako je nepatřičný vliv třetích zemí na dodavatele a poskytovatele služeb, skryté zranitelnosti nebo „zadní vrátka“ a možné systémové narušení dodávek. Žádná jiná regulovaná oblast takto explicitně v souvislosti s bezpečností dodavatelského řetězce zmíněna není. Je tím jasné, že primárně zákonodárcům leží v žaludku závislost evropských operátorů na levných komponentech pro své sítě z Číny.
A konečně poměrně velká pozornost je věnována doménám, jejich registrátorům a serverům pro překlad doménových jmen (odst. 109 až 117). Směrnice deklaruje cíl zlepšit úplnost a přesnost souboru registračních údajů o držitelích domén. Mluví se zde například o tom, že registraci domény by mělo vždy předcházet ověření alespoň jednoho způsobu kontaktu na žadatele, což má zabránit tomu, aby se doménová jména nedostávala do rukou neztotožnitelných subjektů.
Chci odebírat newsletter
