Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) posunul v polovině června do oficiálního legislativního procesu návrh klíčového zákona o kybernetické bezpečnosti. Ten převádí do praxe evropskou směrnici NIS2, která razantně mění základní požadavky na kybernetickou bezpečnost veřejné správy, ale i v soukromých firmách. Výsledkem má být vyšší bezpečnost nejdůležitějších sítí a informačních systémů.
Norma například zavádí povinnost firem z vybraných sektorů mapovat kybernetické hrozby a také hlásit potíže. Podle odhadu NÚKIB se nová pravidla budou týkat více než 6 000 subjektů v Česku, podle současných je takzvaně povinných osob přibližně 400.
Úřad návrh v uplynulých dnech poslal do meziresortního připomínkového řízení, ostatní instituce i úřady by svá stanoviska k novele měly předložit začátkem července.
Zákon dopadne zejména na oblast kritické instrastruktury a tedy odvětví energetiky, dopravy, zdravotnictví nebo nakládání s vodou a odpady. Dotkne se ale i digitální infrastruktury a poskytování digitálních a ICT služeb, veřejné správy či výroby, zpracování a distribuce potravin. Vliv bude mít také na odvětví výroby počítačů nebo elektronických a optických zařízení.
„Návrh zákona má přinést další sjednocení požadavků na kybernetickou bezpečnost, zjednodušit a zpřehlednit právní úpravu a odstranit mezery mezi národní úpravou a požadavky plynoucími ze směrnice NIS 2. Spolu s tím dojde k podřazení řady doposud neregulovaných subjektů, jejichž ochrana je ve společenském a ekonomickém zájmu, pod veřejnoprávní regulaci kybernetické bezpečnosti a k zavedení několika nových procesů a nástrojů k posílení kybernetické bezpečnosti České republiky,” shrnuje hlavní principy normy rozsáhlá důvodová zpráva, který má celkem 120 stran.
Podněty přišly i od veřejnosti
Nová úprava má mimo jiné přinést vyšší míru odpovědnosti vrcholného vedení firem za zajišťování kybernetické bezpečnosti a také větší důraz na sdílení informací. Měla by se tak prohloubit spolupráce NÚKIB nejen s regulovanými subjekty, ale také s dalšími orgány veřejné moci. Za porušování povinností v kyberprostoru budou také hrozit vyšší pokuty a zavádět se mají i nové formy správních trestů.
Zástupci úřadu přitom vysvětlují, že stávající český zákon o kybernetické bezpečnosti je stavěn na principu minimálního zasahování státu a regulace.
„Tento princip je na základě požadavků směrnice NIS 2 narušen a dochází k enormnímu nárůstu budoucích regulovaných subjektů. Návrh zákona proto musí na tento požadavek reagovat,” poznamenává NÚKIB.
Poskytovatelé regulovaných služeb budou mít podle návrhu dva režimy povinností, do vyššího by jich měla spadat zhruba tisícovka, ostatní by pak měly patřit do nižší úrovně. Poskytovatelé by měli podle předpisu vyhodnotit sami, zda kritéria naplňují, NÚKIB je ale může zaregistrovat i sám.
Na tvorbě zákona se přitom měla možnost podílet i širší odborná veřejnost, a to v rámci otevřených konzultací, které probíhaly od konce letošního ledna. Podněty, které takto úřad nasbíral, se přitom projevily i ve výsledném znění návrhu.
„Veřejné konzultace nám poskytly cennou zpětnou vazbu, jiný pohled na náš prvotní návrh a celou problematiku. Velice si vážím tak hojného zájmu o bezpečnost českého kyberprostoru. Všem zapojeným děkuji nejen za zaslané podněty, ale i za související konstruktivní debatu, která se zcela určitě přenese také do meziresortního připomínkového řízení. Chystaná legislativa je logickým krokem a nezbytnou reakcí na technologický a bezpečnostní vývoj potřebný pro bezpečnost naší země a občanů. Kybernetická bezpečnost se v dnešní době týká nás všech,“ sdělil k tomu ředitel NÚKIB Lukáš Kintr.
Byznys se postavil proti
Velké firmy provozující kritickou infrastrukturu, jako jsou ČEZ, T-Mobile, ČEPS, Česká pošta nebo Řízení letového provozu, přitom dříve vyjádřily s návrhem zákona o kybernetické bezpečnosti nesouhlas. Vadí jim, že vedle transpozice evropské směrnice NIS2 návrh obsahuje i regulaci dodavatelských řetězců. NÚKIB by totiž mohl například posuzovat důvěryhodnost dodavatelů a případně je ze zakázek na síťové technologie vyloučit.
V minulosti takto NÚKIB varoval zejména před čínskou společností Huawei, která je významným dodavatelem v telekomunikacích.
Mechanismus pro prověřování dodavatelů má podle představ úřadu umožnit do budopucna lépe odhalovat nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tedy takzvané strategické infrastruktury. Cílem je podle NÚKIB předejít strategické závislosti na dodavatelích ICT technologií tak, aby se nemohla opakovat situace, jaká nastala například v případě závislosti na dodávkách ruských surovin.
„Razantní zvýšení cen energií, zejména plynu,1 bylo způsobeno právě strategickou závislostí, jež si Česká republika na dovozu plynu z Ruska vytvořila. Obdobná situace strategické závislosti státu na dodavatelích může nastat také v oblasti ICT, a v mnoha sektorech v současné době již nastává. V ICT je kromě již identifikovaných problémů strategické závislosti potřeba vyhodnocovat také rizika související s narušením důvěrnosti, integrity i dostupnosti dat a informací přenášených dodávanými technologiemi ze strany dodavatele,” píše se k tomu v důvodové zprávě. A to s připomínkou, že strategicky významná infrastruktura je na ICT značně závislá
„Návrhem zákona je prohloubena ochrana práv každého jednotlivce v rámci České republiky prostřednictvím zvýšení (kybernetické) bezpečnosti služeb, které veřejný nebo soukromý sektor pro jednotlivce v rámci České republiky zajišťují. Přijetím těchto pravidel a zvýšením bezpečnosti v každém členském státě EU dochází také ke snižování rizika plynoucího z toho, že jednotlivci v rámci členských států budou ohrožení prostřednictvím závadného jednání činěného prostřednictvím jiného státu. Zvýšení kybernetické bezpečnosti v rámci České republiky také přispívá k plnění mezinárodních závazků a neporušování mezinárodního práva z pozice České republiky,” konstatuje důvodová zpráva úřadu.
Evropská směrnice NIS2 nahrazuje o šest let starší směrnici o bezpečnosti sítí a informačních systémů. Na uvedení nových pravidel do národních legislativ mají členské státy Evropské unie čas do 17. října příštího roku.
„Nezbytnost přijetí návrhu zákona je dána nejen tím, že první dva výše uvedené požadavky je potřeba provést, a to v daném čase, ale především praktickým celosvětovým vývojem problematiky kybernetické bezpečnosti a nutností na tento vývoj reagovat, aby mohl být i nadále plněn základní cíl – zajištění kybernetické bezpečnosti České republiky,” poznamenávají nicméně zástupci NÚKIB v důvodové zprávě.
Tomáš Svoboda
