Minulý díl našeho seriálu Regulace podle NIS2 jsme věnovali informační povinnosti, kterou regulované subjekty vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a CERT/CSIRT týmu zejména o incidentech mají. Ukázali jsme si na příkladu série DDoS útoků na infrastrukturu předních českých bank, že informovanost útokem ohrožených subjektů navzájem není veliká, nebo alespoň není na takové úrovni, aby se podařilo z chyb konkurenta se poučit a útokům na další systémy internetového bankovnictví předejít.
Tentokrát se podíváme na nástroje represe. Řeč bude o sankcích, k nimž může národní regulátor sáhnout, aby si zjednal respekt. A rozhodně to nejsou žádné zanedbatelné drobné. V aktuálním návrhu nového zákona o kybernetické bezpečnosti se počítá s pokutou až 200 milionů korun, nebo 2 % čistého celosvětového ročního obratu firmy podle toho, která z částek je vyšší.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Bezpečnostní procesy měli ověřovat inspektoři, ale nebudou
Jakékoliv pokutě ale musí vždy předcházet prokázané pochybení, a to se nejlépe prokáže v rámci kontroly. Kontrolních prostředků má NÚKIB celou řadu. Patří mezi ně například kontroly na místě, bezpečnostní audity, skeny zranitelností, žádosti o informace, žádosti o zpřístupnění dat nebo doložení zavedení bezpečnostních politik.
Lednový návrh zákona představený ve veřejné konzultaci přitom obsahoval ještě jednu zásadní novinku, a to zavedení inspektorů, kteří by ověřovali bezpečnostní procesy. „Už ve verzi pro meziresortní připomínkové řízení ale tato úprava nebyla obsažena. Kontrolu plnění povinností v oblasti kyberbezpečnosti tak i nadále bude provádět NÚKIB,“ řekl advokát a odborník na IT z advokátní kanceláře Rowan Legal Josef Donát s tím, že oprávněná úřední osoba i nadále bude postupovat podle obecných pravidel stanovených kontrolním řádem.
Tak jako doposud NÚKIB povinné osobě zpravidla předem oznámí zahájení kontroly a vyžádá si bezpečnostní dokumentaci. Poté se dva až tři dny konají na sebe navazující schůzky s jednotlivými osobami odpovědnými v organizaci za jednotlivé oblasti, jako jsou například síťová nebo personální bezpečnost. Kontrolory pak bude zajímat i praktické fungování bezpečnostních opatření přímo v provozu.
NÚKIB může přijít i neohlášeně
„Zákon ale nebrání NÚKIBu vykonat ‚dawn-raid‘, tedy zahájit kontrolu na místě bez předchozího oznámení, pokud k tomu bude mít úřad důvod,“ zdůrazňuje advokát Josef Donát. Půjde zejména o případy, kdy budou mít úředníci podezření na neřešený závažný bezpečnostní incident.
Oproti stávajícímu stavu směrnice NIS2 a jí odpovídající připravovaný národní zákon rozšiřuje okruh povinných osob, což NÚKIB staví před problém, jak reálně kontrolovat větší počet subjektů. Zvlášť ve vztahu k poskytovatelům služeb v režimu nižších povinností (important) tak je pravděpodobné, že NÚKIB přistoupí i k paušálním formám ověřování souladu se zákonem. Například firmám plošně rozešle dotazníky a ke klasické kontrole vybere pouze ty subjekty, které nebudou spolupracovat, nebo u nichž bude na základě zaslaných odpovědí možné předpokládat nedostatky v plnění zákonných povinností.
Důležitou roli při kontrolách hraje bezpečnostní dokumentace. Ta je základem systému řízení kybernetické bezpečnosti v organizaci. Určuje, k jakým systémům, informacím a službám se opatření vztahují, a obsahuje též bezpečnostní pravidla, kterými se mají příslušné osoby v organizaci řídit. „Pro NÚKIB je bezpečnostní dokumentace důležitou součástí kontroly a zpravidla si ji vyžádá zároveň s oznámením o tom, že kontrola byla zahájena,“ přibližuje praxi regulátora advokát Donát. Upozorňuje však na to, že mít vše splněno jen takříkajíc na papíře nestačí. „NÚKIB věnuje pozornost i tomu, jestli opatření uvedená v dokumentaci jsou zavedena do praxe a dodržována v běžném provozu organizace,“ dodává.
Když není všechno v pořádku…
Zjistí-li úřad pochybení, má k dispozici celou paletu nástrojů, jak dosáhnout nápravy. Regulovaným subjektům může závazně uložit provést opatření, které závadný stav odstraní, anebo povedou k tomu, že se bezpečnostní incident nebude opakovat. Stávající kyberzákon má pro tato opatření pojmenování reaktivní nebo ochranná. NÚKIB také může nařídit zdržet se chování, které by bylo v rozporu s transponovanou směrnicí, nebo nařídit provedení doporučení vzešlých z provedené kontroly.
A potom tu jsou sankce. Regulátor bude moci u subjektu v režimu vyšších povinností („essential“) sáhnout k pozastavení certifikace nebo licence umožňující poskytovat regulovanou službu. Také má být možné v souladu s českým právem požadovat soudní rozhodnutí, kterým bude konkrétní fyzické osobě v řídicí pozici zabráněno dočasně vykonávat tyto funkce v regulované organizaci. Směrnice NIS2 stanoví, že pozastavení výkonu certifikace nebo výkonu funkce má být účinné pouze do doby, než budou nedostatky v řízení kybernetické bezpečnosti v organizaci napraveny. Tento typ sankce také nebude možné uplatnit vůči subjektům veřejné správy.
U mírnější regulace (režim „important“) jsou sankční opatření z větší části shodná. Liší se především tím, že tu není možné dočasně pozastavit certifikace či licence ani pozastavit výkon funkce konkrétní osobě.
Pokuty mohou jít do stamilionů
Co se ale zásadně mění oproti stávajícímu stavu, to je sazebník pokut. S novým zákonem transponujícím NIS2 se peněžité tresty zásadně zvýší, a už proto není radno kybernetickou bezpečnost ve firmách jakkoliv podceňovat. Jak jsme zmiňovali, u přísněji regulovaných subjektů budou moci padat pokuty až do výše 250 milionů korun, u subjektů s nižší regulací je horní strop až 175 milionů nebo 1,4 % výše celosvětového ročního obratu. Poměrně výrazně jsou také trestány přestupky týkající se prověřování dodavatelů. Jestliže poskytovatel strategicky významné služby nezjistí informace o dodavateli bezpečnostně významné dodávky, nebo tyto informace řádně neeviduje, může počítat s pokutou až 100 milionů korun. Naopak nejmírněji je trestán přestupek spočívající v porušení mlčenlivosti fyzickou osobou. Tam NÚKIB sankci zastropoval 50 tisíci korunami.
Dále jsou tu pořádkové pokuty. Ty lze ukládat k vymáhání uložených povinností, a to i opakovaně, jednorázově až do výše 100 tisíc korun. Celková výše uložených pořádkových pokut ale nebude moci přesáhnout 10 milionů korun.
Pokutám lze naopak předejít, nebo je alespoň zmírnit, pokud provinilec projeví ochotu zjištěné nedostatky napravit. A to zvláště tehdy, když k nápravě dochází ještě během kontroly nebo v krátké době poté, co je organizace na nedostatky upozorněna. Taková účinná lítost pak může obměkčit kyberbezpečnostní úředníky natolik, že budou shovívavější.
Na druhou stranu, pokuty u horní hranice zákonné sazby se dají čekat spíše ve výjimečných případech. „Vysoké pokuty se zejména mohou týkat povinných osob, které nebudou plnit nápravná opatření, tedy nebudou respektovat povinnost uloženou úřadem k odstranění nedostatků zjištěných při kontrole,“ vysvětluje Josef Donát z Rowan Legal.
Proti rozhodnutí o uložení pokuty budou přípustné opravné prostředky. V prvním kole se povinný subjekt může bránit rozkladem k řediteli NÚKIBu. Pokud ani tam neuspěje, může následovat žaloba ke krajskému soudu v Brně. A poslední instancí je pak Nejvyšší správní soud, k němuž lze podat kasační stížnost proti nepříznivému rozsudku.
„NÚKIB už sice vydal několik rozhodnutí o pokutách, která jsou i pravomocná. Ale o žádném z nich zatím soud nerozhodl,“ dodává Donát.