10 - Další specifika úpravy v České republice
10. Další specifika úpravy
v České republice
Desáté téma má s obsahem směrnice NIS2 společného méně, nicméně i tak tvoří velmi podstatnou část toho, co znamená, nebo bude znamenat kybernetická bezpečnost v České republice z pohledu zákonných předpisů. Zároveň směrnice NIS2 v čl. 32 odst. 4 požaduje po členských státech zakotvení nástrojů s podobnými parametry jako mají současná opatření.
Aktuální specifika úpravy v ČR
OPATŘENÍ
Vedle bezpečnostních opatření, která mají zavádět samotné povinné osoby, obsahuje zákon o kybernetické bezpečnosti rovněž nástroje, které může NÚKIB využít jako reakci na hrozby či incidenty v kybernetickém prostoru. Ty se v současném znění zákona nazývají opatření.
Zákon obsahuje tři druhy opatření – varování, reaktivní opatření a ochranné opatření.
Varováním NÚKIB upozorňuje regulované subjekty, že existuje hrozba, kterou by měly zvážit ve svých analýzách rizik. Zjednodušeně řečeno NÚKIB sděluje subjektům, že by se měly zaměřit na konkrétní nebezpečí, které v dané chvíli hrozí více, než je obvyklé. Příkladem může být situace, kdy NÚKIB v rámci sledování vývoje zjistil, že přichází kampaň ransomwarových útoků zaměřených na nemocnice a na toto nebezpečí je tak upozornil.
Reaktivním a ochranným opatřením pak NÚKIB přímo stanovuje konkrétní kroky, které musí povinné osoby, kterých se reaktivní nebo ochranné opatření týká, podniknout pro zvýšení kybernetické bezpečnosti. Rozdílem mezi nimi pak je zejména to, že zatímco reaktivní opatření představuje snahu předejít hrozícímu incidentu (útoku), ochranné opatření je vydáváno v návaznosti na již vyřešený incident tak, aby se neopakoval u dalších povinných osob.
Nástrojem, kterým doposud zákon o kybernetické bezpečnosti nedisponuje, je pak ten, jež je obsažen v ustanovení čl. 32 odst. 4 směrnice NIS2. Zde směrnice požaduje, aby členské státy měly pravomoc upozornit na to, že některé organizace (povinné
osoby, tedy základní a důležité subjekty) porušují povinnosti plynoucí ze směrnice.
STAV KYBERNETICKÉHO NEBEZPEČÍ
Zákon o kybernetické bezpečnosti obsahuje speciální druh stavu, ke kterému má NÚKIB přistoupit v případě, že by nebyl schopen hrozby v kyberprostoru zvládat prostřednictvím svých standardních postupů. Nazývá se stav kybernetického nebezpečí. Umožňuje mu to přístup k některým informacím, které běžně shromažďuje pouze národní CERT, použití celonárodních vysílání a rozšiřuje okruh subjektů, na které může působit prostřednictvím opatření.
Budoucí specifika úpravy v ČR
Návrh zákona o kybernetické bezpečnosti přináší i na poli národní části úpravy některé změny či nové nástroje pro zajišťování kybernetické bezpečnosti. Následující text se tak zabývá změnami ve vztahu k opatřením (nově protiopatřením), stavu
kybernetického nebezpečí a novým institutem – Mechanismem prověřování bezpečnosti dodavatelského řetězce.
PROTIOPATŘENÍ
Protiopatření jsou odrazem původní úpravy opatření v zákoně o kybernetické bezpečnosti. V principu se z hlediska praktické aplikace nebude jednat o zásadní změnu těchto institutů, změny a nové parametry jsou pak rozvedeny v tomto článku.
VÝSTRAHA
Většina obsahu ustanovení o výstraze byla původně součástí ustanovení o varování. Došlo tak k pojmenování tohoto institutu a jeho úprava je odrazem požadavku čl. 32 odst. 4 směrnice NIS2. Výstraha slouží jako nástroj primárně cílící na informování
veřejnosti. Výstraha je pouze o upozornění, které by měly minimálně povinné subjekty, lépe celá odborná veřejnost vzít na vědomí a případně zohlednit v rámci svého systému řízení kybernetické bezpečnosti. Formálně však výstraha nepředpokládá
konkrétní proces vymáhání a má spíše informativní charakter.
VAROVÁNÍ
Varování nadále upozorňuje na hrozbu, ale nově se jím dá upozornit i na zranitelnost a dát tak i tento vstup do analýz rizik dotčených povinných osob. Varování bylo rovněž vždy zveřejněno na úřední desce, nově se však počítá i s možností,
že by v odůvodněných případech nebylo zveřejňováno a pouze rozesláno těm povinným osobám, kterých se týká. Varování zohledňují ve své analýze rizik poskytovatelé regulované služby v režimu vyšších povinností, poskytovatelé v režimu nižších
povinností k obsahu vydaných varování přihlíží také a případně provádí opatření doporučená v konkrétním varování.
REAKTIVNÍ PROTIOPATŘENÍ
Návrh zákona o kybernetické bezpečnosti navrhuje sloučení reaktivního a ochranného opatření do jednoho institutu – reaktivního protiopatření, které má být nově vydáváno v obdobných případech jako je tomu u stávajícího reaktivního a ochranného
opatření. Procesní náležitosti jsou pak sloučeny do jednoho postupu, a to takového, který umožňuje variabilně stanovit opatření k prevenci, odvrácení či nápravě po incidentu ve formě rozhodnutí pro jednu konkrétní povinnou osobu či ve
formě opatření obecné povahy zavazujícího širší vymezený okruh povinných osob, případně všechny. Reaktivní protiopatření lze uložit poskytovateli regulované služby jak v režimu vyšších povinností, tak i v režimu nižších povinností.
STAV KYBERNETICKÉHO NEBEZPEČÍ
Stav kybernetického nebezpečí doznal v návrhu zákona některých změn, které vyplynuly zejména ze získané praxe s aplikací zákona o kybernetické bezpečnosti a navrhované změny jsou tak v zájmu jeho větší praktické využitelnosti v případě, že
dojde k ohrožení České republiky. Stav kybernetického nebezpečí v rámci svých opatření kopíruje vlastnosti, které jsou obvyklé pro stavy nebezpečí v rámci krizového řízení obecně.
NÚKIB tak v době vyhlášeného stavu kybernetického nebezpečí disponuje možností uložit opatření, kterými může zvrátit situaci významně ohrožující Českou republiku. Mezi tyto nástroje patří: poskytnutí majetku NÚKIB (věcné prostředky) k užívání
jinému (např. poskytnutí sondy ke sledování provozu na síti, na kterou je útočeno), požádat o poskytnutí lidských zdrojů, uložit i osobám mimo okruh povinných osob realizaci opatření k řešení incidentu, nařídit povinným osobám pohotovostní
režim v rámci jejich možností, nechat zpřístupnit neveřejnou telekomunikační síť pro použití NÚKIB či zakázat používání technických aktiv ohrožených incidentem (a to opět i mimo okruh povinných osob). Konkrétněji jsou jednotlivá opatření
vymezena v § 39 návrhu zákona.
MECHANISMUS PROVĚŘOVÁNÍ RIZIKOVOSTI DODAVATELŮ
Bezpečnostní rada státu svým usnesením ze dne 21. června 2022 uložila NÚKIB připravit návrh zákona k navýšení bezpečnosti dodavatelských
řetězců strategické infrastruktury státu v oblasti informačních a komunikačních technologií (ICT). Vydání samotného usnesení předcházela celá řada impulsů z tuzemské i unijní úrovně, jako například proklamace Programového prohlášení vlády či úkol Akčního plánu Národní strategie kybernetické bezpečnosti, který zadává vytvořit
návrh posuzování rizikového profilu dodavatelů s možností omezit vysoce rizikové dodavatele.
Důvodem vzniku mechanismu prověřování dodavatelů, který bylo NÚKIB výše uvedeným usnesením uloženo navrhnout, jsou především strategické hrozby pocházející z dodavatelského řetězce a rizika z nich plynoucí. Přestože se lze se standardními
vlastnostmi ICT produktů seznámit, bezpečnost těchto produktů nelze z důvodu jejich vysoké komplexity efektivně prověřit pouze technickými prostředky. Významný faktor představuje v tomto ohledu důvěryhodnost dodavatele, který má možnost
bezpečnost svých produktů a služeb narušit. Smyslem navrhované úpravy je tak mimo jiné odhalovat rizikové dodavatele za pomoci proporcionálního mechanismu prověřování.
PROCES PROVĚŘOVÁNÍ RIZIKOVOSTI DODAVATELŮ
Dle navrhované právní úpravy provádí prověřování dodavatelů NÚKIB u specifické úzké množiny tzv. poskytovatelů strategicky významných služeb, a to ve spolupráci s ministerstvy, zpravodajskými službami a dalšími orgány státu, majícími relevantní informace pro posouzení důvěryhodnosti dodavatele. Základem procesu jsou však elementární informace o dodavatelích, poskytnuté jednotlivými poskytovateli strategicky významných služeb. Tyto informace jsou, v kombinaci s informacemi NÚKIB a spolupracujících orgánů, podrobeny hodnocení potenciálního negativního dopadu na bezpečnosti České republiky a vnitřní pořádek.
Rizikovost dodavatele
KDO BUDE PROVĚŘOVÁN?
Samotné prověřováni bude stát moci provádět jak se zaměřením na dodavatele, kteří již svá plnění do infrastruktury pro poskytování strategicky významných služeb dodávají, tak na jejich poddodavatele či potenciální dodavatele, mající vliv
na konečný produkt.
CO BUDE PROVĚŘOVÁNO?
Posuzovány budou například znaky státu sídla dodavatele a jiných států působících na dodavatele. Dále budou zkoumány znaky samotných dodavatelů a předchozí škodlivá aktivita jednak dodavatelů, jednak též států, majících na dodavatele vliv. Cílem je identifikovat hrozby s dodavatelem či zemí, mající vliv na bezpečnost České republiky nebo vnitřní pořádek státu.
V případech, kdy NÚKIB po důkladném vyhodnocení všech relevantních informací identifikuje možné významné ohrožení bezpečnosti České republiky nebo jejího vnitřního pořádku, by měl mít nově možnost vydat opatření obecné povahy, ve kterém poskytovatelům strategicky významných služeb stanoví podmínky či zakáže využívání plnění dodavatele. Obsah navrhovaného opatření obecné povahy NÚKIB před jeho vydáním povinně projednává celou řadou státních organizací a institucí – např. Ministerstvem průmyslu a obchodu, Ministerstvem zahraničních věcí, Ministerstvem vnitra, Ministerstvem financí, všemi zpravodajskými službami, a v případě, že se to dotýká jejich působnosti tak také s Českým telekomunikačním úřadem a Energetickým regulačním úřadem a dalšími. Po tomto projednání se opatření obecné povahy navíc vždy předkládá pro informaci členům Bezpečnostní rady státu (kterou tvoří zejména předseda vlády a vybraní ministři).
V případě naléhavé potřeby provést z bezpečnostních důvodů případnou obměnu vysoce rizikových dodavatelů v krátkém čase projednává návrh opatření obecné povahy vláda jako celek. Vláda v takovém případě usnesením rozhodne, jakým způsobem bude NÚKIB ve věci návrhu opatření obecné povahy dále postupovat.
Nad rámec možnosti vydat výše uváděné opatření obecné povahy však může NÚKIB v méně naléhavých situacích – pro proporcionální omezení rizika využít také stávající, méně invazivní nástroje, jako je například varování.
ZAKOTVENÍ MECHANISMU V ZÁKONĚ A PODZÁKONNÝCH PŘEDPISECH
Mechanismus prověřování dodavatelů lze primárně dohledat v navrhovaném zákoně, který mimo jiné určuje pojmy mechanismu, jako je strategicky významná služba, bezpečnostně významná dodávka či její dodavatel. Zákon definuje také aktiva, na která se omezení mechanismu vztahují, nebo také způsob vyhodnocování rizikovosti. Nepominutelné funkce zajišťované aktivy stanoveného rozsahu či určení povinných osob stanovují navrhované prováděcí právní předpisy k novému zákonu, jimiž jsou:
-
vyhláška o regulovaných službách (obsahující kritéria pro stanovení toho, kdo je poskytovatelem strategicky významných služeb), a
-
vyhláška o nepominutelných funkcích stanoveného rozsahu.
DŮSLEDKY ZAVEDENÍ MECHANISMU
Kromě samotných dodavatelů se mechanismus dotkne především povinných osob mechanismu prověřování, tzv. poskytovatelů strategicky významných služeb určených dle kritérií stanovených novým zákonem o kybernetické bezpečnosti a vyhláškou o regulovaných službách. Účelem mechanismu je minimalizovat omezení ve využívání dodavatele pouze na nezbytné případy významných hrozeb. Z toho důvodu lze opatření obecné povahy uplatnit pouze v nejzávažnějších případech ohrožení bezpečnosti České republiky nebo jejího vnitřního pořádku.
Vybrané dokumenty související s tématem bezpečnosti dodavatelského řetězce naleznete zde:
-
Pražské návrhy - Prague Proposals on Telecommunications Supplier Diversity
-
Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice
-
Varování před použitím chytrých elektroměrů ze zemí s nedůvěryhodným právním prostředím
-
Varování v souvislosti s ekonomickými sankcemi spojenými s Ruskou federací
-
Základní časová linka vývoje problematiky mechanismu bezpečnosti dodavatelského řetězce
Zajištění dostupnosti strategicky významných služeb z České republiky
Zajištění dostupnosti strategicky významných služeb má za cíl reagovat na rizika spojená s umístěním technických prostředků nutných k zajištění poskytování nejdůležitějších služeb ve státě mimo území České republiky. V případě, že by došlo k nedostupnosti těchto technických prostředků na cizím území např. z důvodu přírodních katastrof, války, havárie v datovém centru nebo třeba ztráty konektivity, bylo by ohroženo či znemožněno poskytování strategicky významných služeb na území České republiky a mohlo by tak dojít k významnému narušení chodu státu a života lidí v něm.
Z těchto důvodů ukládá návrh zákona poskytovatelům strategicky významných služeb povinnost vytvořit plán, jak budou zajišťovat poskytování služeb (alespoň v zákonem daném nejdůležitějším, tzv. nezbytném, rozsahu). V rámci plánu si každý poskytovatel strategicky významné služby stanoví sám podle svých potřeb a prostředků, v jaké kvalitě a v jakém čase bude v případě nastalého problému nezbytný rozsah služeb poskytovat z území České republiky.
Zajištění dostupnosti strategicky významné služby z území České republiky nevylučuje možnost poskytování těchto služeb a jejich řízení za běžné situace a v rámci běžného rozsahu poskytování takové služby také z území mimo Českou republiku. Musí však existovat takový scénář, zejména v rámci plánu zajišťování kontinuity činností, kdy v případě problému bude poskytovatel strategicky významné služby schopen zajistit obnovení dostupnosti poskytované strategicky významné služby v nezbytném (legislativně daném) rozsahu a její další poskytování výhradně z území České republiky, a to bez použití aktiv mimo území České republiky. Návrh zákona také požaduje prověření schopnosti zajistit poskytování strategicky významnou službu ve stanoveném čase a kvalitě z území České republiky jako základní a běžně používaný mechanismus pro ověření funkčnosti a aplikovatelnosti nastavených postupů a opatření k zajištění služby. Bez otestování by nebylo zajištěno, že postupy a opatření jsou funkční a v případně mimořádné události použitelné.
V dalším tématu je stručně popsáno, jak se subjekty mohou připravit na příchod nového zákona o kybernetické bezpečnosti. Stručně řečeno, jak začít.
Pokračujte kliknutím na modrou šipku na pravé straně, nebo si vyberte jedno z dalších témat v níže uvedeném rejstříku.
Rejstřík témat
- Obecné informace o směrnici NIS2 a budoucí národní úpravě
- Koho se nové povinnosti týkají
- Rozdělení povinných organizací
- Povinnost zavádět bezpečnostní opatření
- Incidenty a způsob jejich hlášení
- Ohlášení regulované služby a komunikace s NÚKIB
- Způsob kontroly plnění povinností
- Sankce a donucovací prostředky
- Národní a mezinárodní spolupráce
- Další specifika úpravy v České republice
- Jak se připravit na novou právní úpravu
- Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti