Náš seriál Regulace podle NIS2 postupně představuje osnovu ochrany kybernetické bezpečnosti. Kdo toto téma sleduje pravidelně, ví, že tuto problematiku nelze vnímat izolovaně, ale že má přesah do dalších regulovaných oblastí. Často se v této souvislosti zmiňuje problematika ochrany osobních dat. Ne nadarmo je NIS2 přezdívána „GDPR na steroidech“.
To ale neznamená, že by si tyto dvě normy byly podobné, jako spíše to, že spolu souvisejí. Ač se každá z nich zaměřuje na jiný předmět hodný ochrany a tuto ochranu mu poskytuje odlišným způsobem, nejde o dvě od sebe oddělené normy. Vzájemně se doplňují a společnou mají i filozofii, ospravedlňující důvod jejich vzniku.
Umělá inteligence pomůže čelit útokům
Ale bylo by chybou si myslet, že NIS2 má tak úzký vztah jen s GDPR. Ani vzrůstající význam umělé inteligence stejně jako sdílení dat v jednotlivých sektorech nemohly uniknout pozornosti evropského zákonodárce. Ten tak vtělil odkaz do NIS2 na AI nejen pouze legislativně, ale i prakticky. Zcela explicitně totiž vymezuje podporu vyžívání jakékoliv inovativní technologie, včetně umělé inteligence, která může zkvalitnit odhalování a prevenci kybernetických útoků nebo umožnit účinnější přesměrování zdrojů na jejich řešení. Pokročilé nástroje AI jsou tedy přímo vítány jako pomocníci s bojem proti kyberzločinu. Ale funguje to i obráceně. Regulované subjekty využívající služeb AI budou nuceny ochraňovaná technická aktiva zabezpečit tak, aby to nedopadlo jako s ohněm, který – jak známo – je také dobrý sluha, ale zlý pán.
Právní poradenství od chatbota
Abychom si to přiblížili na příkladu, uvažme vzrůstající trend u advokátních kanceláří vcelku i zvučných jmen, které na webu spouštějí právní poradenství využívající nejrůznějších generativních modelů GPT. Tyto chatboty nebo weby zodpovídající jednodušší právní dotazy, případně připravující šablony různých návrhů, by měly být nastaveny tak, aby si pokud možno nevymýšlely, tedy nehalucinovaly. Protože právní rada, kde AI nezná správnou odpověď, ale ve snaze se co nejvíce zavděčit tazateli ze sebe vychrlí to první, co ji napadne, bude nebezpečná, škodlivá a mohla by negativně ovlivnit nejen reputaci provozovatele takového rozverného rádce.
Proto tyto systémy mívají parametricky omezenu „bájivost“, tedy jak moc si mohou vymýšlet, i rozsah zdrojů, ze kterých mohou čerpat. Nyní to většinou bývá limitováno několika málo právními předpisy, případně znalostní databází už jednou řešených problémů, z nichž AI se může „poučit“. Do budoucna se dá čekat rozšíření třeba na celý rozsah primárních pramenů práva, tedy veškeré platné právní předpisy, rozhodovací praxi soudů a správních úřadů a s tím související judikaturu. Podle přesvědčení autora není daleko doba, kdy rešerše zdrojů podporujících, nebo naopak zeslabujících argumentaci jedné ze stran sporu bude otázka několika okamžiků a výstup bude ve stejné kvalitě, jaká by týmu zkušených právníků zabrala hodiny, ne-li dny, či dokonce týdny. Kdo ovládne tyto nástroje, získá obrovskou konkurenční výhodu.
NIS2 neřeší odpovědnost za kvalitu rad poskytnutých AI a jejich správnost, od toho tu jsou stavovské předpisy advokacie. Kyberzákon se ale v popisovaném případě může vztahovat na zabezpečení podkladových dat. Na to, že si poskytovatel takové služby v jednom z režimů regulačních povinností ohlídá, aby ke zdrojovým datům, z nichž se AI učí, měli přístup jen povolané osoby, aby je nikdo nemohl zlovolně pozměnit a nezpůsobil tím, že aplikace začne radit nesprávně.
Právě kvůli nepřímé provázanosti s dalšími předpisy, v tomto případě se zákonem o advokacii, by kyberbezpečnost neměly podceňovat ani ty menší subjekty, které pro svou velikost (mikro- nebo malého podniku) nedosahují ani úrovně mírnější regulace (režim important). A to proto, že v případě problému, kdy se jejich data dostanou do nepovolaných rukou, jim sice nehrozí sankce od Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), ale z jiné strany, v tomto popisovaném příkladu od České advokátní komory, o náhradě vzniklých škod a reputačním riziku ani nemluvě.
GDPR říká co, NIS2 jak chránit
A tím se dostáváme zpět k GDPR a k jeho vazbám na NIS2. Na jedné straně máme ochranu základních svobod v podobě nedotknutelnosti soukromí osob, na straně druhé pak technologickou ochranu firem, jejich technologií, know-how, chráněných zájmů a celé je to zastřešené leitmotivem zajištění odolnosti a konkurenceschopnosti evropského systému.
V datech firem, která NIS2 chrání, budou přirozeně údaje o fyzických osobách, ať už zaměstnanců, nebo zákazníků. Uniknou-li (nebo dojdou-li jiné úhoně), znamená to dvojnásobný problém. Taková právnická osoba má povinnost únik bezodkladně oznámit, a to hned na dvou místech. V českém prostředí půjde o NÚKIB jako úřad odpovědný za prošetření kybernetické bezpečnosti a Úřad pro ochranu osobních údajů (ÚOOÚ) jako dohled nad dodržováním GDPR. Zda bude po takovém oznámení následovat společná kontrola, nebo dvě izolované kontroly od každého z regulátorů, bude záležet na okolnostech, jako jsou následky incidentu, a také na dohodě obou autorit.
Nicméně už teď je možné říci, že případná sankce bude jenom jedna. V souladu se zásadou ne bis in idem (ne dvakrát ve stejné věci) by se nemělo stávat, že jeden kybernetický incident vedoucí k porušení jak NIS2, tak GDPR, resp. do českého práva k nim transponovaných norem, povedou k uložení dvou pokut, ale měla by být ukládána pouze jedna od jednoho z úřadů. Porušení více chráněných zájmů najednou by však mělo být zohledněno v druhu a výši trestu.
Takže pokud jedním skutkem bude spácháno více přestupků, přihlédne k tomu správní orgán v úvaze o tom, jaký trest uloží, případně v jaké hladině z možného rozpětí zákonné sazby se bude pohybovat. Kdo by teď chtěl spekulovat na to, od kterého úřadu mu hrozí nižší sankce, toho nepotěší, že v obou případech jsou dosažitelná maxima pokut drakonická. Přesto tato kalkulace mírně vychází ve prospěch NIS2, když tady je horní limit sedm milionů eur, případně 1,4 % globálního ročního obratu firmy, kdežto u GDPR je to 10 milionů eur, případně 2 % celosvětového obratu.
GDPR v jedné ze šesti zásad ukládá, že osobní údaje mají být technicky a organizačně zabezpečené adekvátně jejich důležitosti. Konkrétně ale nedefinuje, jak má takové zabezpečení uložených dat vypadat. To pak určuje NIS2, čímž se obě normy vzájemně doplňují. Pro naplnění technických požadavků ochrany dat dle GDPR tak je vhodné aplikovat měřítka NIS2. Splníte-li je, vyhovíte tím i náležitostem sledovaným zásadami integrity a důvěrnosti vyžadovanými GDPR.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU