V den, kdy členským zemím vypršela transpoziční lhůta k zavedení pravidel ze směrnice NIS 2, představila minulý čtvrtek Evropská komise prováděcí předpis zpřesňující výklad některých důležitých pojmů a postupů. Pro různé kategorie služeb tento prováděcí akt stanoví podmínky, za nichž už kyberbezpečnostní incident považuje za závažný. A podrobně jsou v něm popsána například i opatření pro řízení rizik.
Česko transpozici nestihlo
Při příležitosti publikace tohoto doprovodného materiálu připomněla eurokomisařka pro hospodářskou soutěž Margrethe Vestagerová, že ne všechny členské státy svou povinnost včas splnily. „Vyzývám zbývající země, aby tato pravidla co nejrychleji zavedly na vnitrostátní úrovni a zajistily tak kybernetickou bezpečnost služeb, které jsou pro naši společnost a ekonomiku klíčové,“ uvedla Vestagerová. K hříšníkům, kteří pravidla NIS2 implementovat dosud nestihli, patří i Česká republika.
Tuzemský návrh kyberzákona je po prvním čtení stále ve Sněmovně, kde k němu trojice výborů (hospodářský, pro obranu a pro bezpečnost) sbírá poslední týden poslanecké pozměňovací návrhy, aby se k jeho projednávání mohly vrátit v první polovině listopadu. Kuloární informace přitom naznačují, že se rýsuje dohoda, jak naložit s nejproblematičtější částí, a to s mechanismem bezpečnosti dodavatelského řetězce.
Právo státu zasahovat do svobody podnikání možností zakazovat dodavatele z určitých zemí by tak mohlo zůstat v připravovaném zákoně o kritické infrastruktuře, zatímco z návrhu kyberbezpečnostního zákona by zmizelo. Znamenalo by to zúžení okruhu firem, na které by tato hrozba hypoteticky mohla dopadnout, a také přesun rozhodování o ní z Brna do Prahy. Nebyl by to Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), kdo by příslušné rozhodnutí přijímal, nýbrž Ministerstvo vnitra.
Opakující se incident bude vždy závažný
Ale nepředbíhejme. Zatímco u nás se podoba kyberregulace horečně ladí, na evropské úrovni je dávno vše upečeno. Směrnice NIS2 v platnost vstoupila v lednu 2023 a na den přesně, kdy měla být v celé Sedmadvacítce zapracována do národních legislativ, dostala formou prováděcího předpisu upřesnění, jak některé pojmy vykládat.
Materiál napřed obecně definuje kritéria, při jejichž splnění už mluvíme o významném incidentu, a dále pro určité kategorie specifických služeb stanoví kritéria speciální. V obecné rovině se za významný považuje incident, který buď rovnou způsobil, nebo dokonce jen mohl způsobit přímé finanční ztráty regulovanému subjektu nad 500 tisíc eur nebo 5 % ročního obratu, podle toho, která částka je nižší. Dále, pokud při něm šlo (nebo mohlo jít) o život nebo o „značnou újmu na zdraví“, způsobil-li ohrožení obchodního tajemství, či jestliže jím byl vážně narušen provoz sítě či informačních systémů úspěšným, podezřelým a neoprávněným přístupem k nim. Za významný bude vždy považován opakovaný incident a kterýkoliv z incidentů týkající se poskytovatelů ze zvlášť vyjmenovaných kategorií.
Zároveň má významný incident v prováděcím předpisu i negativní vymezení. Nepůjde o něj tehdy, pokud se jedná o plánovaná přerušení provozu a očekávané následky plánovaných údržbových prací prováděných buď přímo provozovatelem služby, nebo jeho jménem. Dočasná nedostupnost regulované služby, se kterou poskytovatel dopředu počítá, tak nemá vyvolat potřebu výpadek hlásit.
Komise definovala i to, co myslí opakovaným incidentem, který bude vždy považován za závažný, i kdyby jednotlivě každý z dílčích útoků hranici významnosti nepřekročil. Opakovaný bude takový incident, k němuž došlo alespoň dvakrát během šesti měsíců, má pokaždé stejnou zjevnou základní příčinu a dohromady překročí hranici finanční ztráty půl milionu eur nebo 5 % ročního obratu podniku. Všechny tyto podmínky musejí být splněny zároveň.
Česká cesta: kritéria si podnik určuje sám
Než se dostaneme ke speciální úpravě pro zvlášť vyjmenované typy služeb, zkusme si porovnat čerstvě představenou unijní úpravu s připravovaným kyberzákonem. Ten je nastaven – a nijak se tím netají ani v důvodové zprávě – tak, že je lepší vědět více než méně, a přísněji regulovaným subjektům v režimu vyšších povinností ukládá informovat i o incidentech pod hranicí významnosti. „Méně významné incidenty mohou indikovat závažnější bezpečnostní problém, který vyústí ve významný incident, případně mohou být součástí rozsáhlé kampaně napříč subjekty. Proto je vhodné je evidovat u těchto subjektů už od počátku,“ napsal NÚKIB do důvodové zprávy.
Povinnému hlášení tedy u přísnějšího režimu regulace podléhají všechny incidenty s původem v kybernetickém prostoru, u kterých nelze ve lhůtě do 24 hodin od jejich zjištění vyloučit úmyslné zavinění. Shodně s evropskou úpravou se tedy oznamovací povinnost nebude týkat plánovaných výpadků. Vyloučeny z povinného hlášení budou i ty incidenty, k nimž došlo lidskou chybou, třeba kvůli špatné konfiguraci. Na druhou stranu přísněji regulované subjekty budou muset hlásit jakékoliv úmyslně zaviněné incidenty, a to i ty méně významné.
Určit, co všechno se má hlásit v režimu nižších povinností, je větší oříšek. Návrh zákona stanoví, že má jít o incidenty s významným dopadem na poskytování regulované služby. Kritéria se však neřídí nově představeným metodickým vodítkem Evropské komise, ale vyhláškou NÚKIBu (o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností). Ta v § 15 ponechává stanovení ukazatelů pro vyhodnocení významnosti zcela na provozovateli regulované služby. Ten by si tak sám měl určovat, kde je ona hranice, za níž už má projevit aktivitu a s daným problémem se svěřit dál. Bude zajímavé sledovat, zda brněnský regulátor evropský prováděcí předpis vezme při přípravě vyhlášky v potaz a nesjednotí alespoň limity, kdy o významný incident půjde vždy, bez ohledu na to, jak si jej regulovaný subjekt účelově vyhodnotí.
Přísnější pravidla pro registrátory, DNS nebo cloud
Speciální kritéria pro posuzování významnosti incidentů dostali poskytovatelé služeb DNS. Za významný je považovaný výpadek DNS serveru delší než 30 minut nebo zpomalení odezvy nad 10 sekund po dobu alespoň jedné hodiny. Stejně vyhodnocen bude i případ, kdy server vrací nesprávné údaje o zónách, s výjimkou případů, kdy to bude maximálně 1 % a zároveň do 1000 spravovaných doménových jmen, a bude se tak dít z důvodu chybné konfigurace.
U registrátorů domény nejvyšší úrovně jdou nároky výš. Jakákoliv kompletní nedostupnost překladu doménových jmen povede vždy k naplnění kritéria a úlevy nebudou možné ani u poskytování nesprávných údajů o zónách.
Cloud computing má hranici závažnosti nastavenu kompletní nedostupností po dobu delší než 30 minut, částečnou nedostupností pro víc než 5 % uživatelů služby v EU, nebo pro více než 1 milion uživatelů služby ze Sedmadvacítky nad 1 hodinu a při narušení integrity, důvěrnosti nebo pravosti dat v důsledku podezřelého záškodnického chování.
Další specificky vyjmenovanou službou jsou datová centra. Ta mají hlásit buď kompletní výpadek o jakékoliv délce trvání, nebo výpadek jedné služby nad jednu hodinu, v případě ohrožení fyzického přístupu do datového centra a zaznamenají-li záškodnické jednání s ohrožením integrity, důvěrnosti nebo pravosti uložených dat.
Sítě pro doručování obsahu (CDN) mají toleranci 30 minut pro kompletní nedostupnost a hodinu pro částečnou nedostupnost pro aspoň 5 % nebo dohromady milion Evropanů. A stejně na tom jsou poskytovatelé řízených bezpečnostních služeb. I tady je práh na 30 minutách kompletní nedostupnosti, hodině při částečném výpadku pro zmíněnou množinu obyvatel EU, stejně jako při aktivitě záškodníků.
Pro online tržiště nebude podstatné časové hledisko jako to, na kolik Evropanů bude mít výpadek dopad. Posuzuje se buď kompletní nedostupnost, nebo ovlivnění omezenou dostupností tržiště a procenta jsou stále stejná. A stejná pravidla platí pro vyhledávače a sociální sítě.
Jen u poskytovatelů služeb vytvářejících důvěru jsou kritéria trošku odlišná. Na významný incident stačí alespoň dvacetiminutová kompletní nedostupnost, nebo výpadky v součtu přesahující hodinu za celý týden. Také stačí dopad jen na 1 % nebo 200 tisíc evropských uživatelů, případně ohrožení fyzického přístupu do prostoru, kam se nemá dostat nikdo jiný než důvěryhodní pracovníci poskytovatele.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU