Web Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jsme v nedávném díle našeho seriálu Regulace podle NIS2 podrobili kritice za dílčí nedostatky ukazující, že ne vše má brněnský regulátor po technické stránce zpracováno správně a plně pod svou kontrolou. Dnes opustíme certifikáty a nedostatky v nastavení přesměrování domén a budeme se věnovat více obsahové stránce, přesněji řečeno počinu, za který si NÚKIB zaslouží pochvalu.
Na části svého webu věnované NIS2 totiž připravil sérii deseti přehledových factsheetů k novým povinnostem dle schvalovaného kyberzákona. Je do nich zhuštěno opravdu jen to nejdůležitější. Kdo nemá čas hodiny studovat směrnici, zatím poslední představenou verzi návrhu zákona, ani pročítat předchozí díly našeho seriálu, získá během 10 minut z factsheetů alespoň orientační představu, co za novinky zákon o kybernetické bezpečnosti přinese. A navíc pozorný čtenář z tohoto zdroje objeví nikde jinde dosud nezveřejněnou ideu NÚKIBu, jak by měl procesně vypadat případný zákaz dodavatele z třetích zemí.
Pojďme si proto factsheety jeden po druhém přiblížit a rovnou upozorním na to, že NÚKIB je průběžně aktualizuje a rozhodně se nejedná o aktualizaci poslední. Na několika z nich totiž stále uvádí, že předpokládá účinnost k 18. říjnu letošního roku, což už nyní lze mít za termín zcela nereálný.
Hlavní povinnosti ze zákona – dvě zásadní lhůty: 30denní pro splnění registrační povinnosti a jednoroční pro to začít plnit povinnosti zákonem uložené. NÚKIB tu předpokládá plně funkční Portál NÚKIB (ten však zatím veřejně komukoliv dostupný není) a upřednostňuje sebeidentifikační cestu před variantou, kdy sám regulátor příslušný subjekt vyrozumí o zápisu regulované služby.
Podstatné je i upozornění, že by si regulovaný subjekt sám měl definovat rozsah řízení kybernetické bezpečnosti ve své organizaci. Pokud tak neučiní, platí fikce, že se rozsah vztahuje na celou organizaci. Další novinkou je kategorizace protiopatření vydaných NÚKIBem na výstrahu, varování a reaktivní protiopatření, přičemž subjekt v nižším režimu regulace není varováním vázán. Zmíněny jsou zde i povinnosti plynoucí z mechanismu bezpečnosti dodavatelského řetězce. To je přitom zrovna ta úprava, u které si nikdo rozumný na její finální podobu na konci legislativního procesu v tuto chvíli nevsadí.
Na koho nový zákon dopadne – nalezneme zde rozdělení na kategorie podniků dle jejich velikosti, kdy se posuzuje zaměstnanecký nebo finanční ukazatel, tedy buď překročení 50, resp. 250 zaměstnanců, nebo ročního obratu 10, resp. 50 milionů eur. Je zde zmíněná i výjimka, kdy společnost po tři roky za sebou spadá oběma ukazateli například do kategorie středního podniku a v následujícím roce se roční obrat a bilanční suma roční rozvahy dostane na částku třeba 55 milionů eur. Pokud je to výjimečný rok a hned ten následující se vrátí do původních mantinelů, bude firma spadat celou dobu do kategorie středního podniku. Jestliže ale dva roky po sobě limit překročí, přejde do kategorie velkého podniku.
Hlášení incidentů – hlavní rozdělení, co a komu hlásit, se řídí stupněm režimu regulace. Ve vyšším režimu se nehodnotí významnost dopadu incidentu, a každý incident mající původ v kybernetickém prostoru, u něhož nelze vyloučit úmyslné zavinění, se hlásí přímo NÚKIBu. Naopak v nižším režimu je významnost dopadu sítem pro určení, zda má být incident reportován, a tato hlášení se posílají národnímu CERTu. Rozeznáváme přitom několik druhů reportů: prvotní hlášení do 24 hodin od incidentu, následuje oznámení do 72 hodin, resp. u poskytovatele služeb vytvářejících důvěru do 24 hodin s aktualizací prvotního hlášení o dopady incidentu a indikátory kompromitace, dále průběžná zpráva a nakonec závěrečná zpráva do 30 dnů od prvního oznámení.
O okamžitém zákazu mají spolurozhodovat tři ministerstva
Bezpečnost dodavatelských řetězců – tento factsheet už NÚKIB jednou aktualizoval (12. ledna) a dá se čekat, že projde dalšími revizemi, protože mechanismus prověřování dodavatelského řetězce představuje na vládě a posléze v parlamentu bednu se střelným prachem. NÚKIB sám odhaduje, že mechanismus dopadne přibližně na 150 poskytovatelů strategicky významných služeb a bude se vztahovat buď na bezpečnostně významnou dodávku, která směřuje do té části systému, kterou si její poskytovatelé sami určí jako kritickou, nebo na funkci systému, kterou úřad určí jako nepominutelnou.
Podle míry zjištěného rizika pak NÚKIB může využít mírnějších nástrojů, jakými jsou varování nebo reaktivní protiopatření, nebo rovnou opatřením obecné povahy plnění od takového rizikového dodavatele zakázat. Případný zákaz přitom má respektovat životní cyklus daného zařízení. Ve výjimečných případech se musí na zkrácení této lhůty shodnout regulátor s ministerstvy vnitra, zahraničních věcí a průmyslu a obchodu.
Dostupnost strategicky významné služby – NÚKIB v tomto factsheetu upozorňuje, že pro naplnění povinnosti zajistit dostupnost strategicky významné služby poskytované ze zahraničí (například v zahraničním cloudu) nebude tolerovat standardní smluvní ujednání (typicky SLA), protože ty vylučují případy mimořádných událostí, jako jsou válka nebo přírodní katastrofa. U oborů energetiky, drážní a letecké opravy, telekomunikací a veřejné správy nechává na poskytovateli strategicky významné služby, jak její dostupnost z ČR dosáhne. Sám si přitom nastavuje dobu obnovení chodu služby i kvalitu služby, přičemž dostupnost musí splňovat alespoň základní rozsah daný vyhláškou.
Dopady na ISVS – součástí návrhu kyberzákona je také úprava zákona o informačních systémech veřejné správy. Jejich správci budou muset zavést bezpečnostní opatření platná pro poskytovatele v režimu nižších povinností. Mohou přitom počítat s určitou úlevou. Uplatní se totiž dvojí zásada přiměřenosti.
Jednak finanční, kdy náklady na pořízení bezpečnostních opatření nemají převyšovat náklady na řešení případného kybernetického útoku. Jinými slovy, u méně významných služeb a méně důležitých zpracovávaných informací tomu bude odpovídat i úroveň a míra přijatých opatření. A druhou úlevou pro správce ISVS je, že se na ně nevztahuje povinnost registrace, hlášení kybernetických incidentů a provádění protiopatření. NÚKIB přiznává, že s takto nastavenými pravidly očekává pouze minimální finanční dopad na veřejné rozpočty.
Dopady zákona na obce – na obce s rozšířenou působností se bude vztahovat režim nižších povinností. Vyhláška upravuje 13 oblastí opatření, z toho čtyři jsou povinné vždy. První je zajišťovat kyberbezpečnost, tedy určit osoby za tuto oblast odpovědnou, vytvořit a schválit bezpečnostní politiky a dokumentace, stanovit pravidla ochrany a přípustné způsoby užití aktiv a zakotvit bezpečnostní požadavky do dodavatelských smluv. Dále je tam povinnost pro vrcholové vedení, kdy vedení obce je poučeno o povinnostech a odpovědnosti a zajišťuje dostupnost zdrojů pro splnění povinností, bezpečnost lidských zdrojů, což se týká zejména školení zaměstnanců, a v neposlední řadě také řešení incidentů.
Dopady na vysoké školy – factsheet uvádí tři modelové příklady vysokých škol, podle toho, jaká část jejích výzkumných projektů je financována z veřejných zdrojů a zda provozuje významný informační systém pro výkon svěřených povinností. Zatímco univerzita technického charakteru, která bude provádět citlivou výzkumnou činnost a většinu výzkumných projektů bude financovat z veřejného rozpočtu, spadne do režimu vyšších povinností, jiná veřejná vysoká škola uměleckého zaměření, která se výzkumu věnovat nebude, bude v režimu povinností nižších.
Portál NÚKIB – teprve po účinnosti nového kyberzákona úřad vpustí do Portálu NÚKIB nově regulované subjekty, když toto bude primární komunikační platforma pro registraci, hlášení kontaktních údajů, hlášení incidentů a prováděných protiopatření a hlášení informací o dodavatelích.
Kybernetická bezpečnost obcí – posledním představeným factsheetem, tak trochu se překrývajícím s tím o tři odrážky výše, dává obcím I. a II. typu ujištění, že ty pouze přiměřeně zabezpečují jimi spravované informační systémy veřejné správy a žádné další povinnosti jako obce s rozšířenou působností už nemají.
NÚKIB také naznačuje, co podle něj v obcích spadne pod regulovanou službu „Výkon svěřených pravomocí“. U přenesené působnosti obcí to bude evidence obyvatel, matrika, ověřování podpisů a listin, agenda zákona č. 106/1999 Sb., stavební a silniční úřad, dopravní agenda, životní prostředí, přestupky, místní poplatky, shromažďovací právo, sociální agenda a krizové řízení. U samostatné působnosti do toho spadá správa vlastního majetku, místní referenda, petice a stížnosti, dotace, odpadové hospodářství, zřizování příspěvkových organizací a obecní policie a obecně závazné vyhlášky.
Nalézáme zde upozornění, že závazný výklad k tomuto zařazení může dát jen Evropská komise, případně Soudní dvůr EU, a že toto je pouze nezávazná informace NÚKIBu o jeho přístupu k dané problematice.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU