Z minulého dílu našeho seriálu o kybernetické bezpečnosti Regulace podle NIS2 už víme, jak se zachovat, pokud i přes veškerou snahu o ochranu systémů dojde k incidentu. Dnes se podíváme na další povinnost, která se vztahuje na subjekty s přísnější regulací (režim essential), a tou je audit kybernetické bezpečnosti. Dobrou zprávu máme pro korporace v režimu nižších povinností (important), těch se žádný povinný audit netýká.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Směrnice NIS2 počítá s tím, že národní regulátoři budou působit v prvé řadě preventivně. Hovoříme o tzv. ex ante regulaci, jejímž cílem je problémům předcházet, a ne je řešit, až nastanou. Stejný princip se uplatňuje i v telekomunikacích, kde jsou role rozděleny tak, že regulaci ex ante má na starosti Český telekomunikační úřad, který stanovuje relevantní trhy a opatření na nich, a v případě tržních selhání se do věci vkládá antimonopolní úřad jako regulátor ex post. U záležitostí kyberbezpečnosti takové dvojvládí nastaveno není. O dohled se v obou případech stará Národní úřad pro kybernetickou bezpečnost (NÚKIB).
Směrnice vs. národní úprava
Co se nastavení hranic dohledu týká, evropští zákonodárci byli ve směrnici NIS2 velkorysí. Úřadům v členských státech dávají volné ruce, jak bude vypadat hřiště, kudy povedou dělicí čáry. Regulátoři si mohou – samozřejmě s přihlédnutím k přiměřenosti těchto prostředků – nastavit podle svého uvážení metodiky dohledu i konkrétní prostředky kontroly. Obojí by se mělo řídit přístupem založeným na posouzení rizik.
Podle míry rizika by měla být nastavena metodika dohledu i jaké prostředky kontroly se budou využívat. Jednou z možností touto směrnicí přímo zmíněných jsou cílené bezpečnostní audity nebo bezpečnostní prověrky.
Audity pak směrnice rozlišuje dvojího druhu. Pravidelné a cílené bezpečnostní audity, které provádí nezávislý subjekt (s příslušnou kvalifikací k tomu) nebo regulační orgán. A po významných incidentech nebo při zjištěném porušení povinností upravených směrnicí lze povinnému subjektu uložit, aby se podrobil ad hoc auditu zaměřenému na ověření, že už zjednal nápravu. NIS2 upravuje i otázku, kdo to celé zaplatí. „Náklady na cílený bezpečnostní audit provedený nezávislým subjektem hradí auditovaný subjekt, s výjimkou řádně odůvodněných případů, kdy příslušný orgán rozhodne jinak,“ dočteme se v článku 32 odst. 2 směrnice.
Prováděcí vyhláška upravující povinnosti přísněji regulovaných subjektů na to jde ale odlišně. V § 17 stanoví, že audit kybernetické bezpečnosti musí být prováděn osobou s bezpečnostní rolí auditor kybernetické bezpečnosti (bezpečnostní role jsme si podrobně představili v dřívějším dílu našeho seriálu). U této osoby musí být garantována její nezávislost, ale nikoliv nutně tak, že by to musel být externí subjekt, jako například v případě daňových auditorů. Chybí tedy jakákoliv zmínka o auditech prováděných regulačním orgánem, jak na ně NIS2 pamatuje…
Splňujete požadavky nejlepší praxe?
Úkolem auditora je především posuzovat soulad zavedených bezpečnostních opatření s právními i vnitřními předpisy, se smluvními závazky i s nejlepší praxí vztahující se k regulované službě. Bude tedy na něm, aby se ujistil nejen o tom, že firma splňuje regule zákona, ale že v praxi také dělá všechno pro to, aby problémům předcházela. „Důležitým bodem celého auditu by neměla být jen kontrola, zda je vše v pořádku, ale také praktické ujištění, že všechny zúčastněné osoby jsou si vědomy svých povinností v případě detekce bezpečnostního incidentu,“ říká advokátka Lucie Balýová a upřesňuje: „Nestačí mít jen perfektní interní směrnici, pokud mají zaměstnanci jen mlhavé povědomí o její existenci a žádné povědomí o obsahu.“
Naráží tím na to, že nejen každý zaměstnanec, ale i každá spolupracující osoba ve velkých organizacích musejí vědět, co dělat, pokud například ztratí výpočetní techniku nebo antivirový program začne oznamovat podezřelý záchyt. „Zaměstnanci by si měli být vědomi toho, že se nikdy nemá jednat o situaci, kterou vyřeší sami, ale může jít o bezpečnostní incident, který by měli neprodleně ohlásit,“ dodává Balýová s tím, že materiální škody jsou v tomto případě až druhotné.
Případný incident totiž může podléhat ohlašovací povinnosti, a to nikoliv jen vůči NÚKIBu. Dojde-li při něm například ke kompromitaci osobních údajů, je v některých případech stanovena povinnost ohlásit tento problém Úřadu pro ochranu osobních údajů, a to v poměrně krátkých lhůtách. „Z rozhodovací činnosti tohoto úřadu víme, že neplnění popsané povinnosti úředníci trestají, a to pokutou,“ varuje před finančními dopady Balýová.
Ačkoliv si na nácviky řešení kybernetických nástrah lze najmout specialisty, základní trénink zvládne každá firma sama. Třeba tím, že prověří, jestli recepční ví, co dělat, dorazí-li kontrola z NÚKIBu. Koho volat, co říkat, co naopak ne a jestli ví, jakou má mít taková situace prioritu.
S auditem pomůže checklist
Mimochodem, podobně jako i další povinnosti ani bezpečnostní audit není v českém právním řádu nic nového. Standardem systému řízení informační bezpečnosti je norma ISO 27001. Ta stanoví výchozí soubor kritérií pro certifikaci a audity. V současnosti platná vyhláška 82/2018 Sb., o kybernetické bezpečnosti, v § 16 upravuje tuto povinnost obdobně s drobnými odlišnostmi už nyní. Odchylně od stávající úpravy bude nutné mít vypracovaný plán auditu kybernetické bezpečnosti a v intervalech stanovených tímto plánem toto zkoumání provádět.
Naopak nic se nemění na tom, že audit lze už nyní rozkládat do systematických celků zaměřených vždy na určitou oblast. Potom platí, že tyto dílčí audity je potřeba naplánovat tak, aby nejpozději jednou za pět let bylo prověřeno vše v celém rozsahu. Provádí-li se audit jako celek, potom vyhláška požaduje, aby se tak dělo alespoň jednou za dva roky. Vedle toho je potřeba se do něj pustit vždy, dochází-li v systémech korporace k významným změnám, a to alespoň v rozsahu těchto změn.
Velmi užitečnou pomůckou pro provádění auditu je checklist zveřejněný NÚKIBem. Jedná se o excelovský soubor s téměř devíti stovkami řádků obsahujícími výčet povinností plynoucích z nyní platné vyhlášky 82/2018 Sb. Lze očekávat, že podobnou pomůcku NÚKIB vydá i pro novou vyhlášku, která bude provázet vydání nového zákona o kybernetické bezpečnosti.
Provedením auditu nic nekončí, naopak spíše začíná. Auditor musí vypracovat zprávu se zjištěními a závěry a v návaznosti na to stanovit nápravná opatření. Výsledky pak jako zpětnou vazbu dostává vedení společnosti. Mělo by pak fungovat kolečko check–act–plan–do. Tedy výsledky by měly vést k poučení se z chyb a zlepšování aktivit k dosažení lepších výsledků, následně se stanoví cíle a naplánuje, jak jich dosáhnout, realizují se naplánovaná opatření a zkontroluje se, jak se celé dílo povedlo. A tak pořád dokolečka.
V příštím díle se podíváme na to, jak bude vypadat spolupráce a komunikace s NÚKIBem a dalšími institucemi.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU