Výběr dodavatelů jen na základě nejnižší ceny může představovat velké bezpečnostní riziko, shodli se experti při diskuzi u kulatého stolu, kterou pořádal server Cyberblog. A měl by to podle nich být stát, který vytvoří příznivé prostředí s dostatkem lidských zdrojů. Požadavky na kybernetickou bezpečnost s příchodem nových unijních regulací NIS2 a DORA totiž narůstají. Podle odhadů dopadnou až na šest tisíc českých firem a dalších organizací, které budou muset v následujících letech podstatně upravit svá bezpečnostní opatření.
Směrnice NIS2 (Network and Information Security 2) vstoupila v platnost na sklonku uplynulého roku a její začlenění do českého práva v současné době řeší Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ten předložil na počátku roku návrh nového znění zákona o kybernetické bezpečnosti. „Největší změnou oproti současné právní úpravě je několikanásobné rozšíření počtu regulovaných osob v ČR z původních několika set až na téměř šest tisíc. Zatímco současná právní úprava byla zaměřena především na kritickou infrastrukturu, veřejnou správu a telekomunikace, nově plánovaná legislativa se dotkne téměř všech středních a velkých podniků ve více než dvaceti odvětvích od výroby strojů a elektrických zařízení, přes potravinářský a chemický průmysl až po odpadové a vodní hospodářství,“ přiblížil advokát a odborník na kybernetickou bezpečnost z ROWAN LEGAL Jan Tomíšek.
Současný návrh zákona rozděluje subjekty do dvou kategorií podle rozsahu vyžadovaných povinností. Více jich budou mít ty velké nad 250 zaměstnanců nebo nad 50 milionů eur obratu. Na všechny ostatní budou požadavky menší, nicméně i ty budou muset dostát některým povinnostem. „Společnosti budou muset především identifikovat, které informační systémy a jaká technika, dodavatelé či zaměstnanci jsou důležité pro jimi poskytovanou službu a následně tyto oblasti pokrýt bezpečnostními opatřeními. Například budou muset zabezpečit své sítě a systémy, nastavit systém řízení a určit odpovědné osoby nebo rychle reagovat na kybernetické útoky a další incidenty,“ doplnil Jan Tomíšek.
Návrh zákona rovněž stanovuje povinnosti i pro vrcholové vedení regulovaných firem, které se bude muset účastnit školení či se seznamovat s výstupy bezpečnostních kontrol. Při zjištění porušení povinnosti přitom bude moci NÚKIB navrhnout soudu pozastavení výkonu funkce člena vedení. Tyto novinky budou organizace muset splnit do poloviny roku 2025.
Takové rozšíření povinností může znamenat i nedostatek odborníků na kybernetickou bezpečnost, upozornil bezpečnostní odborník EY Jan Pich. „Zejména u menších subjektů nebude možné sestavit plnohodnotný tým odborníků na všechny oblasti kybernetické bezpečnosti, jednoduše nebudou k dispozici,” uvedl s tím, že v řadě případů se tak zřejmě začne více využívat outsourcing.
Zvýšené požadavky na bezpečnost ovlivní i finanční sektor, a to kvůli nařízení DORA (Digital Operational Resilience Act). Jejím pravidlům se budou muset přizpůsobit prakticky všechny banky, stavební spořitelny, pojišťovny, investiční společnosti nebo obchodníci s cennými papíry. Cílem je ochrana finančních subjektů a jejich zákazníků před stále častějšími kyberútoky. „Finanční subjekty budou mít povinnost vypracovat komplexní strategii řízení ICT rizika a v jejím rámci zavést vhodná bezpečnostní opatření, detekovat incidenty, provádět pravidelná testování své digitální odolnosti, školit své pracovníky i upravit své smlouvy s dodavateli tak, aby vyhovovaly nařízení DORA,“ dodal advokát a odborník na IT a bankovní regulaci z ROWAN LEGAL Josef Donát.
Nejen cena dodávky hraje roli
V této souvislosti narůstají požadavky i na bezpečnost dodavatelů a experti proto varují před výběrem, kdy hlavní roli sehrává pouze nejnižší cena dodávky. Dodavatel totiž musí být především také „bezpečný”, shodli se u kulatého stolu pořádaného serverem Cyberblog. Jako příklad toho, jak rizikový výběr může být, uvedl ředitel společnosti Corpus Solutions Tomáš Přibyl nákup zakázkového softwaru státním úřadem v roce 2022 od společnosti, která má dle veřejných zdrojů skutečné majitele registrované v Karibiku a je historicky napojená na Bělorusko.
Ředitel pro audit, řízení rizik a Compliance Letiště Václava Havla Praha Filip Zelingr na kulatém stole pak upozornil na to, že rozhodování nemusí být vždy jednoduché, protože existuje „prostor mezi požadavkem dobré praxe a navrhované legislativy na řízení identifikovaných rizik v budoucím obchodním vztahu a podmínkami transparentnosti, rovného přístupu a nediskriminace, kterou předpokládá v oblasti výběru dodavatele zákon o zadávání veřejných zakázek”.
„Já rizika znám, ale zároveň musím mít rovný přístup ke všem dodavatelům. To znamená, že cenu řízení rizik nemůžu jednomu dodavateli zohlednit a druhému ne, ačkoliv ji mám spojenou pouze s jedním dodavatelem. Ve finále mě to jako konečného uživatele může vyjít i dráž, pokud budu muset řídit rizika spojené s původně lacinější cenou s velkým rizikem obchodního vztahu. Oproti tomu možná dražší cena na vstupu se mnou nemá spojené další náklady. Pak ale není vůbec možné nic dopředu transparentně deklarovat, protože předtím, než s obchodním partnerem spolupracovat začnu, nevím, kdo se mi přihlásí a jakou sadu rizik s ním budu mít asociovanou,” čím vysvětlil nesoulad mezi řízením dodavatelů například dle požadavků zákona o kybernetické bezpečnosti a výběrem dodavatele dle zákona o zadávání veřejných zakázek.
Podle prezidenta Asociace provozovatelů mobilních sítí (APMS) Jiří Grunda může být slabým místem také chystaný mechanismus pro prověřování dodavatelů, který by podle pracovní verze NÚKIB umožnil státu ve vybraných případech soukromým i veřejným organizacím z kritické infrastruktury zakazovat spolupráci s určenými dodavateli.
Při debatě u kulatého stolu uvedl, že sice chápe, že se stát snaží ošetřit geopolitická rizika spojená s dodavateli. Varoval však před příliš zjednodušeným přístupem k celé problematice, jako je plošný zákaz jednoho či více dodavatelů zejména bez důkladné analýzy toho, jaký tento zákaz může mít dopad na trh. Jako příklad uvedl počet dodavatelů v jednotlivých odvětvích, kdy třeba v oblasti telekomunikací jsou relevantní dodavatelé pouze dva.
„Když z důvodu geopolitického rizika řeknu, že jeden dodavatel ze země A je špatný, zbude mi druhý dodavatel ze země B. Může se ale stát, že já za ním přijdu a on mi řekne „super, tak přijďte za dva roky, protože mám vyprodáno”. V té chvíli mně vzniká další riziko, že dva roky nedostanu dodávky, což mi způsobí další problém v síti. Tak vlastně nemůžu splnit to, k čemu jsem se zavázal, když jsem si kupoval licenci,” dokreslil. Takový přístup dle něj může způsobit až miliardové škody, kdy se vyloučením jednoho dodavatele vytvoří strategická závislost na druhém.
Jako další slabé místo navrhovaného mechanismu pro hodnocení dodavatelů vidí i způsob hodnocení rizik. Ten je podle něho zaměřený pouze na geopolitická kritéria. „Zahrnuje pouze kritéria spojená s osobou dodavatele, nikoliv dané technologie. Jsme přesvědčeni, že se jedná o méně vhodný přístup. Stát bohužel nemá dostatečnou kapacitu k hodnocení technologií, a proto se uchýlil k jednoduššímu, avšak méně proporcionálnímu řešení,” řekl Grund. Dodal, že výsledku lze dosáhnout i méně radikálním přístupem, „například omezením určitých dodavatelů pro jádrovou, tedy nejkritičtější část infrastruktury, zastropování maximálního podílu dodávek určitých dodavatelů, či stanovením povinných zásob klíčového technologického materiálu odběrateli”.
S tím souhlasil i výkonný ředitel Asociace kritické infrastruktury ČR Michal Moroz. „Je nezbytné chránit primární aktiva, jimiž nová legislativa rozumí základní služby poskytované zákazníkům. Posouzení rizik však musí být komplexní a zohlednit nejen hrozby související s informačními systémy a komunikačními technologiemi, ale také s lidmi, budovami a dalšími podpůrnými aktivy. Jejich identifikace a popis vzájemných souvztažností je základ, na který musí navazovat kvalitně zpracovaná analýza hrozeb, jejich pravděpodobností a možných dopadů,” zdůraznil.
Hrozbou podle Moroze může být především čím dál hlubší propojení virtuálního a fyzického světa: „V novém hybridním světě se prolínají informační, bezpečnostní, a především provozní technologie. Vzniká jeden velký organismus v němž je vše vzájemně propojené, ale v důsledku toho i zranitelnější,” popsal. „Big data, umělá inteligence a internet věcí promění společnost, jak ji známe. Tyhle technologie přinesou řadu nových dosud nepoznaných hrozeb, ale současně mohou sloužit jako nástroj obrany,” doplnil. Problém však podle něj představuje také skutečnost, že v České republice existuje jen málo vzdělávacích programů, které by absolventy připravily na budoucnost. „Roli státu v tomto směru supluje trh a firmy, které jsou nuceny vychovávat si vlastní experty,” dodal.
Bezpečnostní odborníci se každopádně shodli, že rolí státu má primárně napomáhat, navádět a vytvářet příznivé prostředí s dostatkem lidských zdrojů. Podle Zelingra by především měl definovat hrozby, které musí komerční subjekty zohlednit. „Má k tomu zpravodajské služby, svoje informace, politický nadhled, a i kdyby to byla politická rovina, je to jeho právo. Pak by ovšem měl nechat, nebo dokonce nařídit společnostem, aby si sami perfektně identifikovali rizika s hrozbami spojenými, aby nechal trh fungovat. A za třetí, dát jim vhodné nástroje, například stanoviska, zejména teď mluvím o naší části, které jsou spojené s veřejným zadáváním, aby ve chvíli kdy identifikují riziko, s ním mohli efektivně pracovat,” upřesnil.
(mig)
