Předchozích několik dílů seriálu Regulace podle NIS2 jsme věnovali prevenci. Popsali jsme si, jaké povinnosti budou mít firmy podle nové směrnice NIS2, aby předcházely problémům se zajištěním kybernetické bezpečnosti. Dnes se podíváme na to, jak postupovat, když se i přes veškerou snahu udržet systémy stranou od nástrah nenechavých útočníků nepodaří.
Přitom oblast kybernetických incidentů upravená NIS2 a novým zákonem podle právníků představuje největší změny pro stávající povinné osoby. „Přísné lhůty pro prvotní hlášení společně s povinností u vybraných incidentů následně poskytnout závěrečnou zprávu budou pro řadu organizací znamenat nutnost přepracovat procesy pro řešení incidentů,“ vysvětluje advokát a odborník na kybernetickou bezpečnost z Rowan Legal Jan Tomíšek.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Český zákon chce oznamovat i nevýznamné incidenty
NIS2 rozlišuje mezi významnou událostí, incidentem a rozsáhlým kybernetickým bezpečnostním incidentem. Ve všech případech je to událost narušující bezpečnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím informačních sítí a informačních systémů nebo které jsou jejich prostřednictvím dostupné.
Definice významné události a incidentu se liší jen v tom, že zatímco u incidentu tato škodlivá událost již nastala, u významné události jejímu plnému rozvinutí bylo úspěšně zabráněno nebo jen hrozila, ale nenastala. Vedle toho rozsáhlý kybernetický bezpečnostní incident se vyznačuje škodlivostí následku. Úroveň narušení musí být taková, že přesahuje schopnost členského státu EU na takový incident reagovat, anebo se významně dotýká alespoň dvou členských zemí, tedy bude to událost typicky s přeshraničním přesahem. Směrnice dále definuje kvalifikovanou kategorii incidentů, a to významných incidentů. To jsou takové, které buď přímo poškozenému subjektu způsobily, či mohly způsobit závažné provozní narušení služby nebo finanční ztráty, anebo třetí osoby postihly značnou hmotnou nebo nehmotnou újmou.
Směrnice v čl. 23 omezuje oznamovací povinnost právě jen na významné incidenty. Návrh kybernetického zákona je v tomto ohledu přísnější a další postup dělí podle toho, jestli se jedná o subjekt v režimu nižších povinností (important),nebo vyšších povinností (essential). Zatímco přísněji regulované subjekty mají podle návrhu kybernetického zákona povinnost (§ 16 odst. 1) hlásit veškeré kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru, subjekty s nižší regulací ji mají definovanou (§ 16 odst. 2) jen u incidentů s významným dopadem na poskytování regulované služby. „Poskytovatelé v nižším režimu si významnost dopadů incidentů určují sami podle dopadových kritérií nastavených na základě § 15 vyhlášky o bezpečnostních opatřeních poskytovatelů regulovaných služeb v režimu nižších povinností,“ dodává advokát Jan Tomíšek. Disproporce mezi evropskou regulací a národní úpravou je dalším z terčů kritiky nového kyberzákona v rámci meziresortního připomínkového řízení, a není tedy vyloučeno, že konečná podoba zákona ještě dozná změn.
Významné incidenty pak mohou být spojeny ještě s jednou povinností. NÚKIB může podle § 19 kyberzákona uložit svým rozhodnutím provozovateli regulované služby povinnost informovat své uživatele o tomto incidentu. Rozsah a způsob splnění informační povinnosti stanoví úřad právě v rozhodnutí. Skončí tak praxe řady korporací tutlat a bagatelizovat rozsah kybernetických průšvihů. Připomeňme šest let starý případ úniku uživatelských dat e-shopu Mall.cz, kde byla reakce e-shopu mlživá a zapírající a až medializace a následné vymáhání odškodnění ze strany uživatelů ukázaly v plné nahotě rozsah úniku a škodlivost následků.
Národní úprava poskytuje až jednoroční odklad od registrace regulované služby, v němž povinnost hlásit kybernetické incidenty neplatí. A naopak dobrovolnosti meze neklade. Takže každému je umožněno hlásit přes web NÚKIBu incidenty, události, nebo i jen hrozby.
Napadli nás! Co dělat dřív?
Kybernetický incident je vždy nadělení, které si žádný administrátor nepřeje zažívat. Nebo alespoň ne moc často. Zatímco dosud se v případě vyřazení systému nebo jeho části z provozu mohl plně věnovat odstraňování škod a obnovení chodu systému, teď mu bude od zjištění problému běžet čas na nahlášení problému úřadu. Má na to maximálně 24 hodin, a to i v případě, kdy k problému dojde v pátek odpoledne na konci pracovní doby.
„Zákon nestanovuje, zda mají poskytovatelé služeb začít nahlášením, nebo odstraňováním incidentu. V případě jednoduchých problémů, které je možné vyřešit v řádu hodin a nijak významně neovlivní poskytování regulované služby, může subjekt incident nejdřív odstranit a až poté nahlásit,“ říká advokát z Rowan Legal Jan Tomíšek s tím, že v ostatních případech je nutné pamatovat na to, že s překročením lhůty jsou spojeny citelné sankce. Proto je potřeba provést základní opatření k zamezení šíření incidentu a nahlásit ho co nejdříve poté, co zjistíte základní informace.
Regulovaný subjekt na základě prvotního hlášení může obdržet od NÚKIBu nebo národního CERTu vyjádření k incidentu a může tyto instituce požádat o metodickou podporu. Z praktického hlediska je však podstatné začít souběžně řešit opatření, aby problém zbytečně neeskaloval a nešířil se.
Komu, jak a co hlásíme
Pro hlášení incidentu připraví NÚKIB na svém webovém portálu příslušný formulář. Poskytovatelé v režimu vyšších povinností incidenty hlásí přímo tomuto regulátorovi, subjekty s mírnější regulací pak národnímu CERTu. „Nesplnění povinnosti hlášení návrh zákona sankcionuje nejvyššími pokutami, tedy až 250 milionů korun nebo až 2 % celosvětového ročního obratu pro poskytovatele ve vyšším režimu,“ varuje Tomíšek. U mírněji regulovaných subjektů je strop pro pokutu za nenahlášení incidentu 175 milionů nebo až 1,4 % celosvětového ročního obratu.
Pokud nejde o významný incident, prvotním hlášením a zpětnou vazbou k němu (vyjádřením NÚKIBu nebo CERTu) to pro regulovaný subjekt končí. U významných incidentů ale administrativní zábava pokračuje. Do 72 hodin od zjištění incidentu musí povinný subjekt zaslat aktualizaci informací z prvotního hlášení a spolu s tím i údaje o dopadu a indikátorech kompromitace formou Oznámení incidentu. Pokud si to regulační orgány vyžádají, nebo pokud incident trvá déle než 30 dnů, pak se v této lhůtě zasílá i Průběžná zpráva o aktuálním stavu zvládání incidentu. A to celé završuje Závěrečná zpráva, opět ve lhůtě 30 dnů od vyřešení incidentu nebo od oznámení.
Zvládneme to
Už jsme naznačili, že oznámení nezůstává bez odezvy. Nejpozději do 24 hodin (a to i o svátcích, sobotách a nedělích) od obdržení hlášení regulátor odešle vyjádření k incidentu. Nadto má povinnost na žádost napadeného subjektu poskytnout metodickou podporu, a jedná-li se o incident s významným dopadem, ať už na regulovanou službu, nebo na kybernetický prostor státu, dá se získat i další technická podpora ke zvládnutí situace. „Instituce samotné mohou na incident reagovat a zmírnit tak jeho dopad nejen na poskytovatele, který jej nahlásil, ale i na ostatní subjekty, které by jím mohly být zasaženy,“ doplňuje Tomíšek.
Do zákona je také zakotvena povinnost poskytnout na výzvu NÚKIBu nezbytné informace a součinnost pro zvládnutí incidentu. Ta platí, pokud efektu nelze dosáhnout jinak, nebo jen s podstatnými obtížemi.
Příští díl našeho seriálu budeme věnovat auditům kybernetické bezpečnosti.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU