V našem seriálu o kybernetické bezpečnosti už téměř rok postupně rozebíráme změny, které do fungování firem přinese evropská směrnice NIS2. Tedy pochopitelně tehdy, až dojde k její transpozici do českého právního řádu. A s tím má Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) coby autor nového kyberbezpečnostního zákona plné ruce práce.
Stále tedy platí, že všechny závěry uvedené v jednotlivých dílech seriálu Regulace podle NIS2 vycházejí ze znění připravovaného zákona známého ke dni vydání a mohou se postupně v průběhu času měnit tak, jak doznává změn i připravovaný zákon.
Na všechny podstatné úpravy ale upozorníme stejně, jako jsme to v minulém díle učinili ve vztahu ke sjednocení registračních lhůt. Připomeňme, že původní nápad NÚKIBu mít pro sebeidentifikaci a registraci dvě lhůty, subjektivní (30 dnů) a objektivní (90 dnů), se nesetkal s pochopením Legislativní rady vlády (LRV) a ta ji nahradila jednou společnou lhůtou 60 dnů.
Původní regulace bez konkrétních lhůt
Tentokrát se v detailu podíváme na kybernetické incidenty a povinnost jejich oznamování. Původní směrnice NIS (1) tuto otázku řeší v článku 14. Používá přitom velmi neurčité formulace. Mluví o nutnosti přijmout „vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik“, kdy tato opatření mají v čase sledovat technický vývoj a reagovat na něj a musí zajišťovat „úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika“.
Už NIS v první verzi akcentuje nutnost zajistit kontinuitu poskytování základních služeb. Jinými slovy říká, konkrétně vám nenařídíme, co máte udělat, ale udělejte vše pro to, aby případné incidenty dopadly na provoz vašich systémů co nejméně a uživatelé se neocitli bez dodávek těchto služeb.
A do třetice NIS nepřichází ani s žádnými pevnými lhůtami pro hlášení incidentů. Ty posuzuje podle závažnosti dopadu na poskytovanou službu a pouze u incidentů se závažným dopadem ukládá povinnost je ohlásit „bez zbytečného prodlení“ týmu CSIRT, který pak rozhoduje o tom, kdo se případně o problému dozví další.
Bez odkladu může znamenat i týdny
Této osnově směrnice pak odpovídá v současnosti platný zákon o kybernetické bezpečnosti. V § 8 přejímá jak vymezení, že se musí jednat o bezpečnostní incident s významným dopadem na kontinuitu poskytování základní služby, tak to, že je povinnost ho hlásit bez zbytečného odkladu. Že „bezodkladně“ je neurčitý právní pojem, toho si jsou vědomy i soudy, a proto existuje poměrně rozsáhlá judikatura s vodítky, jak jej vykládat.
Často citované bývá rozhodnutí Nejvyššího soudu z 10. 12. 2013, sp. zn. 32 Cdo 2484/2012, který dospěl k závěru, že „z časového určení ‚bez zbytečného odkladu‘ je třeba dovodit, že jde o velmi krátkou lhůtu, jíž je míněno bezodkladné, neprodlené, bezprostřední či okamžité jednání směřující ke splnění povinnosti či k učinění právního úkonu či jiného projevu vůle, přičemž doba trvání lhůty bude záviset na okolnostech daného případu. (…) V každém konkrétním případě je třeba vždy zkoumat, zda dlužník bezodkladně využil všechny možnosti pro splnění této povinností, případně jaké skutečnosti mu v tom bránily. (…) Jde o lhůty v řádu dnů, maximálně týdnů, v co nejkratším časovém úseku, přičemž v praxi je nutno tento pojem vykládat podle konkrétního případu, tedy ad hoc, v závislosti od účelu, který chce zákonodárce konkrétním ustanovením za pomoci tohoto pojmu dosáhnout.“
NIS2 zpřísňuje, lhůty se počítají na hodiny
Oč nekonkrétní, o to benevolentnější toto ustanovení je vůči připravované právní úpravě. Směrnice NIS2 přichází s vícefázovým přístupem k oznamování významných incidentů. V recitálu (101) to zdůvodňuje potřebou dosáhnout správné rovnováhy mezi rychlým oznamováním, které má pomoci snížit potenciální šíření významných incidentů a umožňuje regulovaným subjektům žádat o podporu, na straně jedné a podrobným oznamováním, které čerpá cenná poučení z jednotlivých incidentů a s reagujícími opatřeními pomáhá zvyšovat kybernetickou odolnost, na straně druhé.
Také zde nechybí hodnocení závažnosti. Tedy oznamovány by měly být ty incidenty, které by „na základě prvotního posouzení provedeného dotčeným subjektem mohly uvedenému subjektu způsobit závažné provozní narušení služeb nebo finanční ztrátu nebo postihnout jiné fyzické či právnické osoby tím, že jim způsobí značnou hmotnou nebo nehmotnou újmu“. Závažnost se tedy hodnotí potenciálním dopadem. Zda je provozní narušení služby závažné, se posuzuje podle rozsahu, v jakém je ovlivněno fungování služby, doby trvání incidentu nebo počtu dotčených příjemců služeb.
Je-li vyhodnoceno, že jde o významný incident, váže se k němu povinnost „bez zbytečného odkladu“, ale v každém případě do 24 hodin o něm podat včasné varování. Po něm má následovat oznámení incidentu. NIS2 i tady k neurčitě vymezenému „bez zbytečného odkladu“ přidává „v každém případě do 72 hodin“, ať už jde o pracovní den, víkend, nebo svátek.
Mimochodem toto ustanovení přetavené do návrhu národní legislativy je trnem v oku několika ministerstev, která v rámci meziresortního připomínkového řízení poukazovala na to, že nastane-li incident v pátek odpoledne, nebude v tu dobu snadné nebo vůbec možné včas sehnat odpovědné úředníky nadané pravomocí za ministerstvo takový stav reportovat.
NIS2 přitom tuto povinnost vyžaduje od všech regulovaných subjektů, tedy jak těch přísně, tak těch mírněji regulovaných (jak v režimu essential, tak important).
NÚKIB pravidlo zjemňuje
Návrh kybernetického zákona z pera NÚKIBu lhůty ponechal (v § 17), ale jinak oznamovací povinnost zmírnil několika nenápadnými podmínkami. V režimu vyšších povinností z okruhu povinně hlášených incidentů vyškrtl ty, u kterých lze ve lhůtě 24 hodin od zjištění vyloučit úmyslné zavinění. Takže povinnému hlášení nebudou podléhat ty incidenty, ke kterým dojde neúmyslnou chybou (například zaměstnance regulovaného subjektu).
V režimu nižších povinností přidal k otázce zavinění ještě podmínku, že incident musí mít významný dopad na poskytování regulované služby. A platí rozdělení, přísněji regulované subjekty incidenty hlásí přímo NÚKIBu, mírněji regulované národnímu CERTu.
Původně v návrhu kyberbezpečnostního zákona byla ještě varianta dobrovolného hlášení incidentů, bezpečnostních událostí nebo hrozeb. Ale opět zasáhla LRV a odstavce 5 a 6 u § 16 navrhuje jako nadbytečné vypustit. Pokud NÚKIB tomuto pokynu vyhoví, může to mít i ten efekt, že k nástrojům umožňujícím elektronické hlášení incidentu (na připravovaném Portálu NÚKIB) nebude důvod pouštět nikoho jiného než právě jen regulované subjekty, protože jedině na jejich oznamovací povinnost zákon bude pamatovat.