Evropský parlament a Rada schválili na evropské úrovni revidovaná pravidla pro kybernetickou bezpečnost, tzv. směrnici NIS 2. Finální změny byly zveřejněny v Úředním věstníku 27. prosince 2022 a členské státy mají nyní 21 měsíců na to, aby tato pravidla převedla do svých národních řadů. A už 26. ledna 2023 český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zahájil veřejnou konzultaci k návrhu nového českého zákona o kybernetické bezpečnosti a souvisejících provádějících vyhlášek. Jaké hlavní změny návrh zákona přináší? A jak se dotkne podnikatelů na trhu elektronických komunikací?
Dosavadní zákon o kybernetické bezpečnosti reguluje chování relativně úzké skupiny regulovaných subjektů, nejdůležitějších organizací, kdy narušení jejich fungování by mělo negativní dopad na celou společnost. Směrnice NIS 2 a tedy i návrh zákona přináší nový pohled na regulaci kybernetické bezpečnosti ve společnosti. Provázanost jednotlivých odvětví a jejich závislost na ICT nutí nastavit regulační pravidla tak, aby alespoň základní pravidla dodržovaly téměř všechny sektory.
Návrh zákona stanovuje dva režimy pravidel pro regulované subjekty – režim vyšších povinností a režim nižších povinností. Pokud jeden subjekt vykonává více regulovaných činností jak ze skupiny vyšších i nižších povinností, musí plnit povinnosti pro všechny služby jako by byly v režimu vyšších povinnosti – prostě vyšší bere.
Podnikatelé v elektronických komunikacích v pozici poskytovatelů veřejně dostupné služby elektronických komunikací nebo provozovatelů veřejné komunikační sítě automaticky spadají do režimu zákona o kybernetické bezpečnosti. Pokud mají postavení velkého nebo středního podniku, nebo pokud zajišťují službu alespoň pro 350 tisíc SIM karet nebo 100 tisíc aktivních přípojek spadají do režimu s vyššími povinnostmi. V případě, že jsou malý podnik nebo mikropodnik, musí plnit režim podniku s nižšími povinnostmi.
Po „sebeposouzení“, zda splňuji kritéria, se musí poskytovatel regulované služby nahlásit registrační údaje NÚKIB prostřednictvím nového komunikačního nástroje, tzv. portálu NÚKIB. Tím dojde k zápisu do evidence poskytovatelů regulovaných služeb, regulovaný subjekt je zpětně vyrozuměn o zápisu a začínají mu běžet důležité lhůty.
Do jednoho roku musí zavést bezpečnostní opatření, začít hlásit bezpečnostní incidenty a plnit povinnosti související s lokalizací uložených dat. Regulovaný subjekt musí také stanovit rozsah řízení kybernetické bezpečnosti ve své organizaci. Tedy musí identifikovat svá primární aktiva (informace, data a služby), určit jejich souvislost s poskytováním regulované služby a identifikovat organizační části a podpůrná aktiva (zaměstnanci, dodavatelé, objekty) důležitá pro regulovanou službu.
Bezpečnostní opatření rozděluje návrh zákona na organizační a technická. Jaká má plnit regulovaný subjekt v režimu vyšších a nižších povinností ukazuje následující tabulka.
Kybernetický bezpečnostní incident návrh zákona definuje jako narušení bezpečnosti informací v rámci stanovených aktiv. Typicky si můžeme představit nějaký hackerský útok. Poskytovatel služby v režimu vyšších povinností má povinnost hlásit NÚKIB kybernetický bezpečnostní incident, který má původ v kybernetickém prostoru. Poskytovatel služby v režimu nižších povinností hlásí kybernetický bezpečnostní incident, který má původ v kybernetickém prostoru a má významný dopad Národnímu CERT.
V případě kybernetického bezpečnostního incidentu musí být prvotní hlášení provedeno bezodkladně, nejpozději do 24 hodin. V případě, že má incident významný dopad na poskytování regulované služby nebo bezpečnost státu, musí být následně podáno aktualizované hlášení. Závěrečná zpráva je podávána do 30 dnů od nahlášení incidentu, nebo pokud trvá, do 30 dnů po vyřešení incidentu.
Zákon dále definuje úkony k ochraně aktiv před kybernetickou hrozbou nebo zranitelnosti, které může vydávat NÚKIB. Jedná se o výstrahu, varování nebo reaktivní protiopatření. Každý z nich směřuje k jinému cíli a k jinému adresátu. Zatímco adresátem výstrahy je v podstatě širší veřejnost a NÚKIB obvykle vydává výstrahu prostřednictvím svého webu, adresátem varování nebo reaktivního opatření je už konkrétní subjekt a má splnit konkrétní povinnosti.
V případě, kdy je ve velkém rozsahu ohrožena bezpečnost informací v kybernetickém prostoru s dopadem do ohrožených zájmů České republiky, může ředitel NÚKIB vyhlásit stav kybernetického nebezpečí, což je v podstatě speciální krizový stav. Tento stav může být vyhlášen maximálně na 30 dní, pokud by musel být prodloužen, musí s prodloužením souhlasit vláda. Během tohoto stavu kybernetického nebezpečí může NÚKIB například poskytnout regulovaným subjektům prostředky v majetku státu, vyžádat si sdílení personálních kapacit, nařídit práci v pohotovostním režimu, zakázat používání technických aktiv nebo nařídit provedení skenu zranitelností nebo penetračního testu.
Zcela novým nástrojem, který obsahuje návrh zákona je mechanismus prověřování důvěryhodnosti dodavatelského řetězce. Tento mechanismus má být stručně řečeno novou pravomocí NÚKIB, aby ve spolupráci s ostatními úřady shromažďoval a vyhodnocoval informace týkající se možné hrozby pro bezpečnost České republiky, vnitřního nebo veřejného pořádku. Spadat do tohoto režimu nebudou samozřejmě všechny regulované subjekty, ale pouze ty spadající do režimu vyšších povinností splňující kritéria příslušné vyhlášky. V případě operátorů se má jednat o ty, kteří zajišťují službu alespoň pro 350 tisíc SIM karet nebo 100 tisíc aktivních přípojek spadají do režimu s vyššími povinnostmi. Pokud NÚKIB po vyhodnocení kritérií zjistí možné významné ohrožení bezpečnosti České republiky nebo vnitřního nebo veřejného pořádku, může vydat opatření obecné povahy, ve kterém stanoví podmínky využití nebo úplný zákaz plnění konkrétního dodavatele bezpečnostně významné dodávky do kritické části. I když je zřejmé, že v rámci definiční části může dojít ještě k úpravám detailů tohoto mechanismu, v současné geopolitické situaci by stát měl mít pravomoc, která mu umožní nenechat spadnout Českou republiku do nezdravé závislosti na ICT řešení od nedůvěryhodných subjektů. Protože pak může přijít situace, kdy už bude pozdě bycha honit, nebo pro nás všechny bude moc drahé přijmout nápravu.
Po vyhodnocení veřejné konzultace by měl NÚKIB zahájit klasické meziresortní řízení a následovat bude standardní legislativní proces. Nicméně s ohledem na komplikovanost právní úpravy a rozdílné zájmy jednotlivých subjektů (zvláště těch regulovaných) lze očekávat čilé projednávání v Parlamentu se spoustou pozměňovacích návrhů.
Jaromír Novák
Autor je právník a odborník na regulace v telekomunikacích. Pracuje jako Partner pro vztahy s veřejnou správou ve sdružení CZ.NIC, od roku 2022 je poradcem ministra průmyslu a obchodu pro digitalizaci, moderní technologie a telekomunikace. V letech 2013 – 2020 byl předsedou Rady Českého telekomunikačního úřadu (ČTÚ).
Diskuze: 
Diskuze k článku