V dnešním díle seriálu Regulace podle NIS2 budeme pokračovat v rozboru slovenského přístupu k posílení obrany proti kybernetickému nebezpečí. Ale než se opět ponoříme do detailů transpozice kyberbezpečnostní směrnice do národní legislativy u našich východních sousedů, sluší se alespoň krátce poznamenat, jak je na tom český návrh nového kybernetického zákona, který je v dolní komoře Parlamentu spolu s doprovodným změnovým zákonem zapsán jako sněmovní tisk 759 a 760.
Návrhem se začal zabývat bezpečnostní výbor
Oba už mají předsedkyní Sněmovny Markétou Pekarovou Adamovou určeného zpravodaje, je jím člen výboru pro bezpečnost, poslanec za STAN Petr Letocha. Ten je současně předsedou Stálé komise pro kontrolu činnosti Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), tedy úřadu, který návrh kyberzákona připravil. Pod Letochovou záštitou se na začátku května ve Sněmovně uskutečnil kulatý stůl k tomuto návrhu. Tehdy na adresu regulátora a jeho vedení nešetřil chválou. „Oceňuji transparentní a profesionální práci, kterou NÚKIB pod vedením ředitele Lukáše Kintra odvádí nejen v rámci přípravy nového zákona o kybernetické bezpečnosti,“ poznamenal Letocha.
Spojence má NÚKIB i u předsedkyní Sněmovny navrženého výboru pro bezpečnost, jakožto garančního výboru. Vede ho občanskodemokratický poslanec Pavel Žáček, který se dlouhodobě netají sympatiemi k záměru NÚKIBu získat zákonem pravomoc při rozhodování, jací dodavatelé se budou moci na výstavbě telekomunikačních sítí podílet.
Naproti těmto přímluvcům musí NÚKIB počítat s velmi silnou aktivitou podnikatelského sektoru a telekomunikačních operátorů, kterým se legislativní kreativita regulátora posilující jeho pravomoci nad rámec povinné transpozice směrnice vůbec nelíbí, a budou se proto snažit skrze pozměňovací návrhy poslanců výslednou podobu korigovat. Projednávání národní podoby kyberbezpečnostní regulace budeme ve Sněmovně i dál sledovat.
Základní a kritická základní služba
Teď se ale vraťme zpátky na Slovensko. Z minulého dílu víme, že tamní Národný bezpečnostný úrad (NBÚ), který má kybernetickou bezpečnost na starosti, šel cestou novelizace stávajícího zákona, když mechanismus posuzování bezpečnosti dodavatelského řetězce už v zákoně má. Vedle něj měl až do listopadu 2022 oprávnění rozhodovat o blokování škodlivého obsahu nebo škodlivé aktivity. V zák. č. 69/2018 Z.z. to je úprava v § 27b. Toto ustanovení cílilo i na případy phishingu, šíření dezinformací a jiných hybridních hrozeb.
Zatímco škodlivým obsahem zde byl myšlen programový prostředek nebo údaj schopný způsobit kybernetický bezpečnostní incident, škodlivá aktivita byla definována mnohem šířeji jako jakákoliv činnost, která způsobí, nebo může způsobit kyberincident, vést k podvodům, odcizení osobních nebo citlivých údajů anebo šířit závažné dezinformace. Tato pravomoc NBÚ ale byla časově ohraničena a v současné době už nová rozhodnutí o nařízení blokování vydávat nelze.
Pokud jde o rozdělení regulovaných služeb podle důležitosti, přidržuje se slovenská osnova více směrnici NIS2 než ta česká. Náš připravovaný zákon počítá s režimem nižších a vyšších povinností, Slováci rozlišují mezi základní službou a kritickou základní službou (srov. important a essential dle názvosloví směrnice). Oproti českému návrhu také mají kritéria pro rozřazení do jedné z těchto skupin stanovena přímo zákonem (u nás se tak má dít až na základě vyhlášky).
Roli tu samozřejmě hraje v prvé řadě velikost podniku, kdy ale z tohoto posuzování je rovnou vyloučena státní správa. Ta bude provozovatelem kritické základní služby jedině tehdy, pokud se bude jednat o ministerstvo nebo jiný státní orgán s celostátní působností. Pokud je to státní orgán s působností alespoň ve dvou okresech nebo kraj, bude se dále posuzovat, zda narušení jejich činnosti může mít významný vliv na důležité společenské oblasti anebo hospodářskou činnost. Potom bude takový úřad zapsán jako provozovatel základní služby.
Pro všechny ostatní obory převzaté z NIS2 zjednodušeně řečeno platí, že střední podniky budou na Slovensku provozovatelem základní služby, velké podniky potom kritické základní služby. Podobně jako u nás se zde uplatňuje pravidlo, že nabízí-li jeden provozovatel více služeb, z čehož jedna spadá do přísněji regulovaných, potom na všechny jeho služby bude použit přísnější metr.
Jak víme z úvodních dílů našeho seriálu, regulovaným subjektem se u nás bude moci stát i živnostník nebo firma o velikosti mikropodniku nebo malého podniku, pokud splní zvláštní podmínky upravené § 5 připravovaného zákona. Tedy například, jedná-li se o jediného poskytovatele služby v tuzemsku a tato služba je zásadní pro zabezpečení důležitých společenských nebo ekonomických činností, nebo pro bezpečnost, služba by mohla mít významný dopad na bezpečnost, vnitřní pořádek, zdraví nebo život. Zařazeni jsou zde i poskytovatelé služeb, jejichž narušení by mohlo mít závažný dopad na schopnost poskytovat jinou službu v režimu vyšších povinností, nebo pokud jde o službu, jejíž narušení závažně zasáhne do života více než 125 tisíc osob.
Slovensko má tuto laťku, kdy se do regulace dostane i třeba živnostník nebo menší podnik, nastavenu mnohem níž. Za klíčovou službu pro zachování důležitých společenských oblastí nebo hospodářských činností považuje takovou službu, u níž bezpečnostní incident ohrozí dostupnost, pravost nebo integritu uchovávaných, přenášených nebo zpracovávaných údajů, dotkne-li se to více než 25 tisíc lidí. Rovněž tak, pokud nejméně jednomu uživateli může vzniknout škoda přes 250 tisíc eur, nebo způsobí-li hospodářskou ztrátu nad 0,1 % hrubého domácího produktu, či omezí nebo naruší fungování jiné základní služby nebo prvku kritické infrastruktury. V tomto ohledu je tedy slovenský návrh regulace kybernetické bezpečnosti přísnější.
Regulátor si může vynutit automatizované hlášení incidentů
Za zmínku dále stojí zajímavá úprava způsobu hlášení kyberbezpečnostních incidentů. Zákon počítá s tím, že NBÚ může v odůvodněných případech (s přihlédnutím k postavení takového poskytovatele a rozsahu jeho činnosti) za tímto účelem uzavřít s provozovatelem základní služby písemnou smlouvu, kde se dohodnou na odlišném způsobu a formě hlášení takových incidentů. A pamatováno je i na případy, kdy k uzavření takové smlouvy nedojde.
NBÚ pak může toho samého dosáhnout takzvaně na sílu, tedy rozhodnutím uložit povinnost automatizovaným způsobem vyhodnocovat výskyt kyberbezpečnostního incidentu a tento stejně automaticky i nahlašovat. Neznamená to však, že by ohlašovací povinnost byla bezbřehá. Může se týkat jen informací, které jsou nezbytné pro zajištění kybernetické bezpečnosti a řešení incidentu, a tohoto účelu nelze dosáhnout jinak. Chráněny tak zůstávají obsah komunikace, přenášené zprávy a soukromí.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU