NIS2
Evropská směrnice NIS2 navazuje na směrnici NIS1 a význam pro české právo a jeho adresáty spočívá v její transpozici, tedy v přípravě zcela nového zákona o kybernetické bezpečnosti, nikoliv pouze jeho novelizaci, jak bylo původně také uvažováno. Ten se dotkne více než 6000 subjektů. Se zákonem souvisí také řada podzákonných přepisů, mezi nimi například vyhláška o regulovaných službách, vyhláška o bezpečnostních opatřeních pro vyšší/nižší režim, vyhláška o Portálu NÚKIB a další.
Základním subjektem, kterého se nová úprava dotkne, je tzv. poskytovatel regulované služby (nahrazuje dosavadních cca 13 kategorií, v nichž se povinné osoby v současnosti mohou vyskytovat, podřadíme pod něj také významné informační systémy, provozovatele základní služby a kritickou infrastrukturu).
Hlava II nového zákona o kybernetické bezpečnosti obsahuje meritum veřejnoprávní úpravy problematiky kybernetické bezpečnosti v ČR. Poskytovatelem regulované služby je taková osoba (anglicky essential and important entities), která poskytuje službu (tzv. regulovaná služba) a ta naplní alespoň jedno kritérium vyhlášky o regulovaných službách, anebo osoba, která naplní kritéria v zákoně uvedená a bude za regulovanou označena rozhodnutím úřadu. Základním kritériem pro určení poskytovatele regulované služby bude druh poskytované služby (ve vyhlášce o regulovaných službách) a velikost subjektu (střední nebo velký podnik).
V ČR budou essential a important entites reprezentovány dvěma úrovněmi poskytovatelů regulované služby, a to ve formě režimu vyšších a režimu nižších povinností spolu se dvěma úrovněmi bezpečnostních opatření pro ně určené, přičemž jedna osoba může být podřazena vždy pouze pod jeden z režimů, a nikoliv pod oba současně. Režim je stanoven vyhláškou o regulovaných službách či rozhodnutím NÚKIB.
Základní povinností je tzv. samoidentifikace, tj. poskytovatel regulované služby je povinen nahlásit NÚKIBu naplnění kritérií poskytovatele regulované služby. Takto učiní vyplněním registračních údajů a to do 30 dnů ode dne, kdy zjistí, že k naplnění kritérií pro identifikaci regulované služby došlo (max 90 dní od doby, kdy objektivně naplnil tato kritéria). Proces registrace je dokončen tím, že se NÚKIB nahlásí, ten provede zápis takové osoby, která pak bude NÚKIBem vyrozuměna a od momentu, kdy se tak stane, tj. od okamžiku doručení vyrozumění o zápisu regulované osoby, je takový poskytovatel povinen plnit všechny povinnosti plynoucí mu ze zákona (některé důležité povinnosti mají ještě další, dodatečnou lhůtu), od doručení běží obecný režim, v případě například bezpečnostních opatření toto nelze udělat ze dne na den, a proto je stanovena lhůta dodatečná.
Další klíčová povinnost je stanovení rozsahu řízení kybernetické bezpečnosti – tj. jakési hřiště, mantinely, ve kterých se bude subjekt pohybovat a které je určeno primárními aktivy konkrétní společnosti – hlásí se pak incidenty z rozsahu, protiopatření se zavádí právě v tomto určeném rozsahu, bezpečnostní opatření se zavádí opět ve stanoveném rozsahu, a proto je stanovení rozsahu první a nejdůležitější povinností a v případě chybného určení se subjekt dopustí chyby ve všech následujících povinnostech.
Dále je poskytovatel povinen zmapovat své prostředí, provést analýzu rizik a v rámci stanoveného rozsahu zavést a provádět bezpečnostní opatření určené vyhláškou o bezpečnostních opatřeních pro poskytovatele regulované služby, která představuje minimum, které subjekt musí dodržovat, přičemž jde spíše o evoluci současné právní úpravy (účel těchto opatření: snížení rizika). Bezpečnostní opatření lze rozdělit na právní (úprava smluv), technická a organizační (interní procesy – analýza rizik…).
Hlášení kybernetických bezpečnostních incidentů
I zde je snaha zachovat kontinuitu se současnou právní úpravou. Pro vyšší režim je, jako v současnosti, zavedeno hlášení všech incidentů. Pro nižší režim půjde pouze o hlášení významných incidentů, respektive incidentů s významným dopadem v rámci svých bezpečnostních opatření: subjekt v nižším režimu má tedy povinnost stanovit s přihlédnutím ke svým cílům přehled potenciálních významných incidentů, toto se bude kontrolovat jako bezpečnostní opatření a v momentě, kdy incident přijde, bude subjekt vědět, zda jde pro něj o významný incident nebo ne. Pro režim vyšších povinností jsou pak incidenty stanoveny úředně. Takový subjekt každý incident nahlásí – jde o tzv. prvotní hlášení a úřad pak rozhodne, zda je či není incidentem významným (nemusí být pro mě, ale pro jiného ano – zajišťuje vládní CERT institut a sdělí poskytovateli regulované služby v režimu vyšších povinností, zda má incident významný dopad na kybernetický prostor státu).
Poskytovatel regulované služby (vyšší i nižší režim) tedy bez zbytečného odkladu po zjištění, nejpozději však do 24 hodin předloží tzv. prvotní hlášení.
Nad rámec prvotního hlášení pak poskytovatel předkládá oznámení a to do 72 hodin po zjištění incidentu, v němž aktualizuje informace v prvotním hlášení uvedené (uvede posouzení dopad incidentu a indikátory kompromitace je-li to možné). Na výzvu úřadu pak předloží průběžnou zprávu o podstatných změnách při zvládání kybernetického incidentu a nejpozději do 30 dnů od předložení oznámení pak má povinnost předložit závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.
Incidenty hlásí poskytovatel prostřednictvím Portálu NÚKIB. NÚKIB nebo CERT pak poskytovateli poskytne metodickou podporu při provádění zmírňujících opatření.
Na výzvu je každý povinen NÚKIBu poskytnout nezbytné informace, případně nezbytnou součinnost při zvládání kybernetického bezpečnostního incidentu.
Další povinnosti:
- informační povinnost poskytovatele regulované služby vůči uživatelům regulované služby (zda informaci podá je však plně v diskreci poskytovatele) ohledně bezpečnostního incidentu s významným dopadem, pokud však poskytovateli taková povinnost nebude přímo uložena Úřadem
- povinnost poskytnout bez zbytečného odkladu potenciálně ovlivněnému uživateli regulované služby srozumitelným způsobem informace o vhodném způsobu reakce tohoto uživatele na významnou hrozbu za účelem minimalizace dopadu hrozby právě na takového uživatele
- protiopatření – úkony Úřadu k ochraně aktiv před zneužitím zranitelnosti nebo před bezpečnostním incidentem, anebo kroky k řešení bezpečnostního incidentu, mají tři formy: výstraha, varování a reaktivní protiopatření (opět jde o vývoj existující právní úpravy, nejde o revoluční změny)
- Strategicky významná služba – jde o vnitřní množinu vyššího režimu – úzká množina vyprofilovaných subjektů, které jsou pro stát kritické
- sem patří například mechanismus prověřování bezpečnosti dodavatelského řetězce, které spočívá ve snaze o zachování suverenity skrze prověřování subjektů, které dodávají bezpečnostně významnou dodávku, výsledkem může být zákaz ze strany NÚKIB dodavatele využít
- omezení svobodného přístupu k informacím, pokud by ohrozily účinnost protiopatření či ohrozily zajišťování kybernetické bezpečnosti (restriktivní přístup k výkladu této právní normy)
- stav kybernetického nebezpečí – v době jeho vyhlášení může ředitel NÚKIB přijat speciální opatření
- kontrola v oblasti kybernetické bezpečnosti: NÚKIB (institut inspektorů zanikne)
- nápravná opatření a jejich úprava se v zásadě nemění (NÚKIB rozhodne, že v případě porušení lhůty zákonem dané má subjekt povinnost nedostatky odstranit a Úřad může také určit jakým způsobem tak má subjekt učinit)
- nová úprava přestupků (vyšší limity), pokuty
- další správní tresty jako sankce za porušení povinností: soud může na návrh NÚKIB rozhodnout, že odpovědná řídící osoba nesmí až do doby odstranění zjištěných nedostatků tuto funkci vykonávat
- transpoziční lhůta uplyne v říjnu 2024
Zdroj: Národní úřad kybernetické bezpečnosti, CyberCon 2023