English version
Na směrnici bude navazovat národní právní úprava, která se dotkne minimálně 6000 českých firem včetně jejich dodavatelských řetězců. Přestože přesná pravidla ještě nejsou známá, je nejvyšší čas začít se připravovat. Protože dost toho lze udělat již dnes.
Nový zákon je nový nejen povinnostmi, které přinese, ale zejména svým důrazem na bezpečnost třetích stran. Proto bude zajisté nejspornějším bodem celé právní úpravy právě to, koho nakonec zákon vyhodnotí jako rizikového a vyřadí jej z poskytování služeb regulovaným subjektům. Na toto téma můžeme čekat ještě obsáhlé diskuze.
Základním předpokladem je, že kybernetická bezpečnost by měla být v zájmu společností i jednotlivce, ať už budou spadat pod legislativní rámec kybernetické bezpečnosti, či ne.
Jaké nejdůležitější změny očekáváme od nového zákona?
Nová regulace by se měla v určitém rozsahu týkat nejen velkých, ale i středně velkých společností a také firem, které regulovaným společnostem poskytují svá technologická řešení a služby. Z hlediska dodavatelského řetězce mohou změny významně ovlivnit například telekomunikační operátory a jiné ICT společnosti, jež ve svých datových centrech využívají řešení dodavatelů, např. Huawei, který NÚKIB označuje jako rizikový.
Novinkou by měla být povinnost oznamovat incidenty, jako je tomu u ochrany osobních údajů.
Neméně významnou změnou bude i trestně‑ ‑právní odpovědnost vedení společnosti. Management bude muset být vyškolen a bude nést odpovědnost za případné incidenty a jejich následky.
Zákon dosáhne až za hranice
S ohledem na bezpečnost České republiky bude riziko u poskytovatelů služeb vyhodnocováno i podle země dodavatele. Ta musí splňovat podmínku demokraticky zvolené vlády, existenci právního státu a nesmí považovat ČR za nepřátelský stát. Dodavatelé dále musí respektovat hospodářskou soutěž a nesmí čelit mezinárodním sankcím. Předlohou pro vznikající zákon se stala směrnice o kybernetické bezpečnosti NIS2.
Česká republika, stejně jako ostatní členské státy EU, se zavázala v prosinci 2022 k naplnění cílů směrnice. Jakou formou jich dosáhne, je přitom už na tuzemských legislativcích, nejde tedy o žádné dogma. Zásadní je nicméně termín splnění, zákon by měl být účinný dle závazků nejpozději od 17. října příštího roku.
Prvotní návrh zpracoval a publikoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v lednu tohoto roku, následně běžela lhůta pro připomínky ze strany veřejnosti. Nakonec úřad zaznamenal 1144 unikátních podnětů. Plně akceptoval 15 % z nich a dalších 22 % přijal s upravenou formulací. Téměř polovinu připomínek zamítl. Ve zbytku šlo spíše o dotazy ke vznikajícímu zákonu, na které by úřad měl odpovědět.
Jaká je současná situace ve firmách?
Z dosavadních zkušeností, které jsme získali při realizaci IT auditů dle stávající legislativy nebo ISO 27000, nebo auditů interního charakteru, se nejčastěji setkáváme s tím, že společnostem chybí dokumentace a pravidla, jak se chovat: uživatelé používají např. vlastní zařízení, která si přinesou do zaměstnání. Ta nejsou ošetřena proti kybernetickým hrozbám.
Uživatelé nejsou seznámeni s pravidly. Ta buď nejsou nastavena vůbec, nebo nevědí, kde se s nimi mohou seznámit. Případně je dokumentace jen formálního charakteru, ale postrádá důležité praktické informace. Typickým příkladem je používání USB disků, které bývají často zdrojem problémů a branou, kterou se do firemní IT infrastruktury šíří viry. Ty pak způsobují problémy jako zašifrování firemní dat, jejich znepřístupnění, dlouhé a nákladné obnovování.
Náklady firem budou statisícové, pokuty by byly o několik řádů vyšší
Dosavadní zákon se zaměřoval převážně na velké společnosti, které byly součástí kritické infrastruktury, tedy takové společnosti, jež mají důležitý význam pro fungování státu, jako je doprava, zdravotnictví, státní správa, energetika… Nový zákon půjde dál, a dopadne zejména na velké a střední firmy. Pro ty z nich, které svou digitální ochranu dosud příliš neřešily, půjde o zásadní změnu, u níž by neměly podcenit čas nutný k přípravě. Investovat do souladu s legislativou budou muset statisíce korun v závislosti na stavu připravenosti, velikosti společnosti a její činnosti.
Jak by se měla firma na plánované změny připravit a kde začít?
- Ověřit si, zda se nový zákon o kybernetické bezpečnosti na společnost vztahuje, nebo nikoli. Vymezení není zcela jednoduché.
- Provést analýzu rizik, která ověří, jak jsou ošetřena klíčová aktiva společnosti, aby nedošlo k jejich zneužití, narušení, nebo znepřístupnění.
- Zaměřit se na řešení těch oblastí, kde jsou rizika největší – s cílem je minimalizovat a přijmout opatření technického a organizačního rázu, aby byla rizika přijatelná
- Učinit organizační opatření a zpracovat potřebnou dokumentaci od vrcholových dokumentů přes směrnice až po příručky provozního charakteru. Každý by měl být s relevantní dokumentací seznámen a také dostatečně proškolen.
- Učinit technická opatření, průběžně sledovat hrozby a na ty relevantní včas reagovat. NÚKIB a jiné zdroje informují o zranitelnostech a rizicích.
- Bezpečná firma by měla být proaktivní – sledovat situaci, konat a komunikovat.
Podívejte se pozorně na celý seznam regulovaných služeb, protože směrnice se netýká jen těch, které tvoří hlavní předmět vašeho podnikání, ale jakýchkoliv jiných činností, které ve společnosti činíte. A není zde vždy pravidlo, že službu musíte poskytovat třetí straně. Typickým příkladem je fotovoltaika – i když ji využíváte pouze pro vlastní potřeby, pokud máte licenci vztahující se k fotovoltaice a máte nad 50 zaměstnanců, spadáte pod návrh nové legislativy v kategorii energetika, i když v ní primárně nepodnikáte.
Koho se týká NIS2
- energetika, například provozovatelé distribuční soustavy, ale i provozovatelé dobíjecích stanic
- dálkové vytápění
- skladování a těžba ropy
- distributoři plynu
- výrobci vodíku
- letečtí dopravci a provozovatelé letišť
- železniční dopravci
- silniční orgány a ITS
- zdravotnictví
- banky a finanční trhy
- dodavatelé a distributoři vody
- odpadní vody
- některé subjekty provádějící výzkum a vývoj
- subjekty digitální infrastruktury, v podstatě jakékoliv ICT s jakkoliv garantovanou kvalitou služeb
- veřejná správa
- poštovní a zasilatelské služby
- odpadové hospodářství
- chemický průmysl
- potravinářství
- výrobní podniky s vlastní podskupinou
- poskytovatelé online služeb
Požadavky dopadnou na řadu odvětví – nesmíme si myslet, že jde jenom o IT, naopak, jde o všechno, kde se používá IT a co je významné pro fungování společnosti. Regulováno je asi šedesát služeb v osmnácti odvětvích. Pokud jste se našli v boxu Koho se týká NIS2, stanete se pravděpodobně Poskytovatelem regulované služby. Řada středních podniků bude takzvaně v režimu nižších povinností, což je ale stále byrokratická fuška. U poskytovatelů služeb elektronických komunikací to navíc budou i malí a mikropodnikatelé.
Nicméně pozor – budou‑li chtít dotčené firmy prokázat, že zákonu vyhovují, budou muset v mnoha případech přenést nároky i na své dodavatele. Podobně jako to nastavují nová pravidla pro nefinanční reporting.
Kromě technických aspektů zvyšování digitální ochrany budou muset firmy proškolit své zaměstnance, spolehlivě určit, kdo za co při reakci na kybernetický útok odpovídá, a hlásit případné incidenty příslušnému úřadu, stejně tak jako informovat své zákazníky o incidentech a o možných hrozbách.
Manažer kybernetické bezpečnosti může užít takzvané Prohlášení o aplikovatelnosti (v případě vyššího režimu regulace) nebo plán zavádění bezpečnostních opatření (nižší režim) a neaplikovatelné opatření vyloučit. Snadné to ale nebude, stačí si ukázat konkrétní příklad, třeba přijímání bezpečnostních opatření pro všechny ICT systémy podniků. To cílí obecně na úkony spojené s ověřováním, kontrolou přenášených dat a blokováním nežádoucí komunikace, které v typické organizaci budou řešeny například na perimetrových firewallech, prostřednictvím DDoS praček nebo dalšími nástroji, které mají za úkol chránit interní prostředí organizace před vnějšími vlivy.
Typicky jde o administraci, účetnictví, e‑mailové služby, komunikaci se zákazníky, cloudové systémy, propojení datových zdrojů a čidel a podobně. Povinnost bude zabezpečit nejenom servery, ale i koncové stanice včetně způsobu jejich připojování do podnikové sítě včetně záznamu o připojování a přidělování rolí, s nutností vícefázového ověřování. Ochrana před škodlivým kódem bude muset být do velké míry automatizovaná.
Taková opatření se dají zvládnout, pokud nebudou v praxi vyžadovány nepřiměřené požadavky a úřad akceptuje příslušné analýzy rizik. Což může, ale nemusí nastat. Když k tomu přidáme i povinnost plnit úřadem plánovanou regulaci bezpečnosti dodavatelského řetězce, pak je čeho se obávat. Především pro malé a střední podniky s několika zaměstnanci to nebude nic jednoduchého.
Doporučujeme také vyzkoušet webovou aplikaci urci.se, kde si můžete vyzkoušet, zda pod legislativu spadáte. Při využití pamatujte, že aplikace je spíše informativní, není nahrazením právní rady a výsledek není závazný, takže pokud vám vyjde ve výsledku, že nespadáte, ptejte se, zda jste opravdu prozkoušeli všechny služby, které děláte. Co fotovoltaika, co odpadové hospodářství?
A pokud opravdu pod směrnici nespadáte, nejste například významní dodavatelé pro své zákazníky? Nebudou po vás oni stejně chtít prokázání alespoň základů kybernetické bezpečnosti? Prohlášení o aplikovatelnosti, základní risk analýza či disaster recovery plány se vám zkrátka hodí, i když primárně nemusíte naplňovat legislativu.
Za přestupek vůči zákonu hrozí sankce ve výši až 250 milionů korun či do dvou procent čistého celosvětového ročního obratu. Zároveň NÚKIB bude moci ukládat i pořádkové pokuty až do výše 100 tisíc korun, což může i opakovaně až do souhrnné výše 10 milionů korun. A za hrubé nedodržování zákona hrozí sankce, jejímž výsledkem může být i zastavení činnosti společnosti až na půl roku.
Gap analýza
Udělejte si Gap analýzu – čili analýzu toho, jaké opatření již dneska máte ve společnosti zavedeno. Nezačínáte od úplné nuly. Je tu např. GDPR, vytváříte účty a přidělujete oprávnění, máte firewall a podobně. To, co již máte, musíte komparovat s tím, jaké nové povinnosti se k vám budou vztahovat nebo jaký cílený stav si zvolíte.
Na základě Gap analýzy je pak krok třetí, udělejte si road mapu toho, co kdy musíte splnit, jaké na to budete potřebovat finance. Čím dřív se začne, tím pomalejší a klidnější tempo můžete nasadit a nemusíte vše dohánět na poslední chvíli.
Hlavním pilířem je risk management
Ke kybernetické bezpečnosti přistupujte tak, abyste eliminovali rizika, která by pro vás mohla mít fatální dopad za použití přiměřených prostředků. Risk management, to je selský rozum na papíře. Nebojte se ho, napište si, jaké základní procesy, služby, informace potřebujete a ve své společnosti máte, a na ně si upřímně navažte znatelnosti a hrozby. Risk analýza vám pak dá ucelený pohled na to, co se vám může stát, a společně s výsledky Gap analýzy máte jasný maják, který ukazuje cestu, kudy se vydat.
A poslední rada, zvažte si, jestli se vám vyplatí některé úkoly outsourcovat konzultantům na kybernetickou bezpečnost nebo investovat do vzdělávání vlastních zaměstnanců. Nikdo nebude vaší společnosti rozumět tak jako vaši zaměstnanci. Nejlepší cesta je postupně zaučovat zaměstnance a kooperovat je v konzultanty, kteří vám pomohou či vás vedou v začátcích. Žádný konzultant vám nezabezpečí společnost sám, bez vás to zkrátka nikdy nebude efektivní.
Důležité body
- Podívejte se na návrh vyhlášky o regulovaných službách – zde jsou vypsané činnosti, obory, které pod tuto novou legislativu budou spadat.
- Věnujte pozornost velikosti podniku. Legislativa primárně (jsou zde výjimky) dopadá na střední a velké společnosti, ale pozor – do výpočtu se započítávají i mateřské, dceřiné a další společnosti skupiny.
- Pokud jste držitel licence, mohou se vás týkat další případné povinnosti.
Převzato z časopisu Komora. Autoři článku: Libor Šrám, expert na kybernetickou bezpečnost BDO, Jakub Rejzek, Výbor nezávislého ICT průmyslu, Kateřina Hůtová, manažerka informační bezpečnosti a zakladatelka konzultační společnosti Cybrela
