Česko se připravuje na přijetí evropské směrnice o kybernetické bezpečnosti, dotkne se asi 6000 subjektů
NIS2. Směrnice Evropské unie, na které se shodly členské země a která má začít platit od roku 2024. Dalších asi šest tisíc firem a organizací rozšíří ty, které musí splňovat povinná kritéria kybernetické bezpečnosti. Dohlížet na to bude Národní úřad pro kybernetickou a informační bezpečnost, který už podobně dohlíží třeba na velké nemocnice nebo odvětví energetiky a bankovnictví.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se začíná připravovat na implementaci směrnice Evropské unie NIS2 do českého práva. Členskými zeměmi přijatá směrnice rozšiřuje nutná opatření v oblasti kybernetické bezpečnosti, a to nejenom pro kyberúřad, ale i pro vybrané soukromé a veřejné firmy a organizace.
Novým ředitelem Národního úřadu pro kybernetickou a informační bezpečnost bude náměstek Lukáš Kintr
Číst článek
„Směrnice NIS2 požaduje po organizacích, které jsou nějakým způsobem důležité, zavést organizační i technická opatření k zajištění jejich kybernetické bezpečnosti, respektive bezpečnosti jejich informačních systémů, které tyto služby zajišťují,“ popisuje ředitel odboru regulace NÚKIB Adam Kučínský.
Oproti směrnici NIS1 z roku 2016 bude nově zařazeno pod regulaci výrazně více takzvaných povinných subjektů. Zatímco doteď musely splňovat konkrétní bezpečnostní parametry v kyberprostoru nižší stovky organizací, nově jich přibude přes šest tisíc.
„V první verzi směrnice se určovaly ty subjekty typicky přes dopady. Konkrétní subjekt se nacházel v určitém odvětví a v případě narušení jeho služeb by to mělo dopad na velký počet uživatelů, ekonomiku státu a podobně. Nově jsou tyto subjekty určovány skrze velikost a to, že působí v konkrétním odvětví,“ přibližuje Kučínský změny s tím, že pod regulací budou nově i vybrané velké a střední podniky.
Hlavně vyšší počet
Nová směrnice dělí zařazené subjekty do dvou skupin – essential entities a important entities (základní a důležité subjekty – pozn. red.). Organizací, které jsou zařazeny v první skupině, je méně – odhadem úřadu okolo jednoho tisíce. Ale požadavky na ně budou zpravidla přísnější. Do druhé, méně striktní skupiny pak bude nově spadat asi pět tisíc organizací.
Po ‚horkém‘ dubnu se počet kybernetických incidentů vrátil k průměru,uvedl úřad pro kyberbezpečnost
Číst článek
Rozšíření počtu organizací čeká také už dříve regulovaná odvětví. Příkladem může být třeba zdravotnictví.
„Pod regulací podle směrnice NIS1 je aktuálně nějakých 44 nemocnic. Podle té nové směrnice by jich tam mělo spadnout okolo dvou set. A obdobně je to i v jiných odvětvích. Například v energetice byly pod směrnicí pouze vybrané elektrárny. Nově jich tam bude daleko více,“ vysvětluje ředitel.
Významnou změnou bude ale podle Kučínského především regulace oblastí, které zatím žádný zákonný dohled nad svým kybernetickým zabezpečením neměly. „Jsou to třeba organizace z odvětví odpadních vod, poskytovatelé veřejných ICT služeb, veřejná správa a další,“ vysvětluje ředitel a dodává, že směrnici bude Česko teprve promítat do národní regulace pomocí novely zákona o kybernetické bezpečnosti.
Úřad se přitom podle ředitele bude snažit nastavit systém tak, aby předpisy nebyly pro vybrané organizace příliš zatěžující. „Nemá smysl dávat přísnou regulaci na někoho, kdo to nebude schopný splnit,“ vysvětluje s tím, že úřad chce podobu novely ještě konzultovat s odbornou veřejností a podnikatelskými svazy. O tom, co bude vyhláška pro organizace znamenat, plánuje NÚKIB informovat na speciální webové stránce, kterou za tím účelem vytváří. Fungovat by měla začít už v řádu několika týdnů.
Změny pro nováčky i NÚKIB
Některé ze změn prozrazuje ředitel pro server iROZHLAS.cz ale už teď. Podle Kučínského budou muset doteď neregulované organizace řešit kybernetickou bezpečnost ve dvou oblastech.
Hrozí až celostátní blackout. Kyberúřad varuje před chytrými elektroměry z rizikových zemí
Číst článek
„Budou muset zavést nějaké interní procesy – bezpečnostní dokumentaci, plány kontinuity činností, vzdělávání uživatelů a podobně. A potom tam jsou technická opatření, tedy zavedení určitých technologií nebo povýšení těch stávajících. Příkladem může být třeba segmentace sítě nebo programy na vyhodnocování incidentů,“ interpretuje směrnici ředitel.
Pro už regulované subjekty nová směrnice výraznou změnu nepředstavuje. „Půjde spíše o parametrické změny, třeba v době uchovávání logů, případně nějaká úprava požadavků na dodavatelské vztahy a podobně,“ popisuje Kučínský.
Na platnost směrnice se ale musí připravit i samotný úřad. Výrazný nárůst počtu regulovaných organizací totiž zvýší tlak i na jeho personál. I proto se podle Kučínského počítá s mírným navýšením počtu zaměstnanců, přesto v tomto ohledu plánuje NÚKIB sázet především na technologie a automatizaci.
„Budeme muset upravit procesy tak, aby se to dalo zvládnout, protože ten nárůst povinných osob je proti stávajícímu stavu sedmnáctinásobný,“ vysvětluje s tím, že se například bude muset zautomatizovat a přizpůsobit systém hlášení incidentů a registrace subjektů.
Ta doteď probíhala formou správního řízení, na kterém se NÚKIB aktivně podílel. Nově budou subjekty registrovány takzvaně samourčením na základě zveřejněných parametrů.
Regulovaná odvětví podle směrnice NIS2
ESSENTIAL ENTITIES (přísnější regulace)
- Energetika – elektřina, dálkové vytápění a chlazení, ropa, zemní plyn, vodík
- Doprava – letecká, železniční, vodní silniční
- Bankovnictví – úvěrové instituce
- Infrastruktury finančních trhů – obchodní systémy (burzy), ústřední protistrany
- Zdravotnictví – poskytovatelé zdravotní péče, referenční laboratoře EU, subjekty provádějící výzkum a vývoj týkající se léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a farmaceutické přípravky, subjekty vyrábějící zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví
- Pitná a odpadní voda
- Digitální infrastruktura – výměnné uzly internetu, DNS, TLD, cloud computing, datová centra, sítě pro doručování obsahu, služby vytvářející důvěru, veřejné sítě a služby elektronických komunikací
- Veřejná správa – ústřední subjekty veřejné správy, subjekty veřejné správy územních jednotek NUTS 1 a NUTS 2
- Vesmír
IMPORTANT ENTITIES (mírnější regulace)
- Poštovní a kurýrní služby
- Nakládání s odpady
- Výroba, produkce a distribuce chemických látek
- Další výroba – výroba zdravotnických prostředků a diagnostických zdravotnických prostředků, výroba počítačů, elektronických a optických přístrojů, výroba elektrických zařízení, výroba strojů a zařízení, výroba motorových vozidel, přívěsů a návěsů, výroba ostatních dopravních prostředků a zařízení
- Poskytovatelé digitálních služeb – online tržiště, internetové vyhledávače, platformy služeb sociálních sítí
Pokud nepůjde o malý nebo mikro podnik, spadá podle nové směrnice NIS2 pod regulaci – musí tedy splňovat daná kritéria kybernetické bezpečnosti.
Ve stejné míře se úřadu podle Kučínského už osvědčilo využívání podpůrných materiálů pro organizace, na jejich tvorbě by se nově mělo více spolupracovat s odbornými svazy tak, aby byly pro dané odvětví co nejsrozumitelnější.
„Klíčová bude i lepší informační podpora, informační systémy, které některé činnosti zautomatizují, protože pokud vám tak výrazně naroste počet zákazníků, tak musíte ty procesy zelektronizovat,“ říká Kučínský s tím, že čím méně bude reálné administrativy, tím více lidí se bude moci věnovat věcné náplni práce, jako jsou konzultace s povinnými subjekty.
To ale s sebou přinese i nutné investice. Podle ředitele se s nimi v rozpočtu dopředu počítalo, zatížit by ho proto neměly. „Bude to obnášet nějakou změnu interních systémů, se kterými už NÚKIB pracuje. Ale podle propočtů, které máme, by to žádné horentní investice znamenat nemělo,“ říká Kučínský s tím, že přesnou částku zatím není možné přiblížit.
Rozdílný přístup
Podle Kučínského už řada subjektů i před regulací splňuje kritéria kybernetické bezpečnosti. Obecně to platí třeba v energetice, kde si jsou organizace vědomy citlivosti a důležitosti bezpečnosti svých informací.
Phishing, ransomware nebo skenování systému. Nemocnice stále čelí kybernetickým útokům
Číst článek
Lidem se vepsaly do paměti ale zejména kybernetické útoky na nemocnice. Jak Kučínský dodává, většina se snaží bezpečnostní kritéria plnit. Vždy ale záleží na vedení, jakou přikládá kyberbezpečnosti důležitost.
„Ani samotná opatření ale nezajistí stoprocentní ochranu. Že si řeknou, že je všechno v pořádku a už není dál třeba nic dělat. My můžeme opatřeními rizika snížit, nikdy ale zcela nezmizí. Řada těch incidentů je způsobená lidským faktorem, chybou, neznalostí. Kdy ten člověk na něco klikne a tím organizaci kompromituje,“ vysvětluje situaci Kučínský.
Sektory, které budou nově pod regulaci spadat, NÚKIB aktuálně mapuje. Jak ale Kučínský vysvětluje, kybernetická bezpečnost se různí od odvětví i organizace. „Obecně jde ale říci, že se snaha kybernetickou bezpečnost řešit zlepšuje. Už i ty subjekty začínají chápat, že to IT velmi pomáhá, usnadňuje a zrychluje procesy. Je tam ale podmínkou, že funguje. Pokud nefunguje, tak může ten byznys zcela zastavit,“ říká.
Jak dodává, věří, že přechod nových odvětví pod kyberzákon proběhne bez větších problémů. NÚKIB se podle Kučínského bude jednotlivým organizacím snažit především důležitost kyberbezpečnosti vysvětlovat, jako represivní orgán chce působit až v krajních situacích.
NÚKIB, @Ministerstvo zahraničních věcí, @CyberPeace Institute a @Microsoft vydali doporučení pro zdravotnický sektor v uceleném dokumentu Compendium of Multistakeholder Perspectives jako výstup mezinárodního projektu Protecting the Healthcare Sector from Cyber Harm. nukib.cz/cs/infoservis/…
09:46 – 28. 07. 2022
„Regulace není samoúčelná, aby měl NÚKIB co dělat. Ale je tady k tomu, aby se zajistila bezpečnost služeb, které jsou na IT z velké části závislé. A když se podíváme třeba na zemědělství nebo potravinářství, které bude nově podle směrnice NIS2 regulované, tak když jsme začali to odvětví mapovat, tak to jsou velmi automatizované provozy. A narušení systému může nevratně poškodit ten byznys,“ zdůrazňuje Kučínský s tím, že namísto velkých pokut chce jít úřad cestou konzultací a metodické podpory.