V minulém dílu seriálu Regulace podle NIS2 advokát z Rowan Legal Jan Tomíšek potvrdil, že jednodušší přechod na nové povinnosti podle evropské Směrnice NIS2 budou mít ty společnosti, na které už nyní zákon o kyberbezpečnosti v určité míře dopadá. „Tyto subjekty velmi často už dnes mají systém řízení bezpečnosti informací, často postavený třeba na principech podle normy ISO 27 001, i když to nemají certifikované,“ řekl v rozhovoru pro Lupu Tomíšek s tím, že pro tyto subjekty nová regulace nebude představovat dramatickou změnu.
V dnešním díle budeme v porovnávání stávající právní úpravy s tou připravovanou pokračovat. Ze stávajícího zákona č. 181/2014 Sb. víme, že povinnosti lze podle § 2 písm. k) ukládat provozovatelům základní služby, které určuje Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB).
U koho NÚKIB rozhodnutím nestanoví, že na něj regulace dopadá, může nyní být v klidu. Ne tak už za dva roky touto dobou. Jestliže vše půjde očekávaným směrem a v říjnu 2024 vstoupí v účinnost nový kybernetický zákon, o rok později už se na firmy kategorie středních a velkých podniků bude vztahovat povinnost samoidentifikace. A teprve tehdy, pokud tuto povinnost nesplní, nastupuje NÚKIB a svým rozhodnutím registraci provede.
Jakmile bude jakýmkoliv z uvedených způsobů povinná osoba určena, bude na ni možné nakládat povinnosti. Nástrojů, které může NÚKIB využít jako reakci na hrozby či incidenty v kybernetickém prostoru, je několik. A některé z nich se v nové právní úpravě lehce promění.
Co platí dnes
Stávající zákon zná tři druhy opatření. Je to varování, reaktivní opatření a ochranné opatření. Na základní úrovni varováním NÚKIB upozorňuje veřejnost, že je zde hrozba, kterou by bylo dobré zahrnout do analýzy rizik. Tedy že by se podniky měly zaměřit na konkrétní nebezpečí, které v danou chvíli hrozí více než obvykle. NÚKIB tato varování zveřejňuje na úřední desce. Zatím poslední je zde z letošního března v souvislosti s aplikací TikTok. Tímto varováním NÚKIB přikázal regulovaným subjektům hodnotit hrozbu představující instalaci a používání čínské aplikace pro sociální síť na úrovni Vysoká s tím, že hrozba je pravděpodobná až velmi pravděpodobná. Jinými slovy to znamená, že pokud z téhož zařízení je přistupováno k informacím a systémům spadajícím do kritické informační infrastruktury, do informačních systémů základní služby nebo do významných informační systémů, administrátorům nezbyde než přítomnost aplikace v takovém zařízení zakázat.
Reaktivní a ochranná opatření představují důraznější krok. Povinným osobám, kterých se týkají, přímo ukládají podniknout konkrétní opatření pro zvýšení kyberbezpečnosti. Mezi sebou se liší tím, že zatímco reaktivní opatření je motivováno snahou předejít hrozícímu útoku či incidentu, ochranné opatření je vydáváno v návaznosti na již vyřešený incident s cílem předejít jeho opakování u dalších možných obětí. Zatímco varování bývá adresováno širokému okruhu subjektů a dává administrátorům větší či menší svobodu ve způsobu, jakým se s hrozbou vypořádají, jaké kroky podniknou, opatření už takový manévrovací prostor povětšinou nedopřávají.
Stávající právní úprava, ale i ta připravovaná v pozměněné podobě, pracuje se stavem kybernetického nebezpečí. To je svým způsobem výjimečná situace srovnatelná například s nouzovým stavem, jak jej známe v případě živelných pohrom nebo nedávné epidemie. Dokonce může být i jeho předstupněm. Ust. § 21 odst. 6 kyberzákona totiž přímo počítá s tím, že když je situace tak vážná, že ji nelze zvládnout ani s rozšířenými pravomocemi NÚKIBu v rámci stavu kybernetického nebezpečí, požádá ředitel úřadu vládu o vyhlášení nouzového stavu.
Jinak NÚKIB tento stav vyhlašuje v případě, kdy by přišel o schopnost zvládat hrozby v kyberprostoru prostřednictvím svých standardních postupů. O vyhlášení rozhoduje ředitel NÚKIBu, a to nejdéle na týden. Tuto dobu může opakovaně prodlužovat, nejdéle však na 30 dnů. Stav kybernetického nebezpečí úřadu umožňuje například ukládat rozhodnutím nebo opatřením obecné povahy povinnosti dalším subjektům, které jinak pod jeho regulaci přímo nespadají. Jsou to třeba internetoví provideři, telefonní operátoři nebo další podnikatelé v elektronických komunikacích. Také tím NÚKIB získává přístup k informacím běžně shromažďovaným národním CERTem.
Co se změní
A jak to má být po novu? Především se NÚKIB zbavil v návrhu nového zákona časových omezení. Maximální doba nemá být sedm dní, ale třicet, a bude ji možné prodloužit se souhlasem vlády. Zásadní novinkou je, že na rozhodování a ukládání povinností v průběhu trvání tohoto stavu se nevztahuje správní řád. To znamená, že proti vydaným rozhodnutím nebudou přípustné opravné prostředky. Rozhodnutí bude vykonatelné ihned po jeho doručení.
Důvodová zpráva k novému zákonu k tomu uvádí, že „v případě mimořádné situace, která vyvolává potřebu vyhlásit stav kybernetického nebezpečí, lze očekávat potřebu pohotové reakce bez zbytečného odkladu. Tato potřeba je dále umocněna i povahou kybernetického prostoru, kde mohou kybernetické bezpečnostní incidenty způsobit škody v rámci hodin, ne-li minut“.
Tím ale apetit NÚKIBu hromadit nové pravomoci nekončí. Nově se dokonce stírají rozdíly mezi jím vyhlašovaným krizovým stavem a nouzovým stavem. Úřad tak bude moci i v případě stavu kybernetického nebezpečí nařídit poskytnutí cizího majetku k užívání jinému, například sondy ke sledování provozu na síti, na kterou je útočeno, požádat o personální posilu a věcných prostředků, nařizovat pohotovostní režim, dokonce i nařídit zpřístupnění neveřejné telekomunikační sítě pro potřeby NÚKIBu či ukládat povinnosti i subjektům, na něž jinak jeho regulace nedopadá.
Z opatření budou nově protiopatření
Opatření popsaná v úvodu se v návrhu nového zákona přejmenovávají na protiopatření. Ta zahrnují výstrahu, varování a reaktivní protiopatření. Výstraha je odlehčenější verzí varování. NÚKIB u ní zachovává veskrze informativní charakter. Zůstává tedy pouze upozorněním na nebezpečí, které by odborná veřejnost měla vzít na vědomí a zachovat se podle toho. Formálně ale výstraha nepředpokládá konkrétní proces vymáhání.
Varování je vyšší stupeň a lze jej vztáhnout jen na regulované subjekty v přísnějším režimu essential. I nadále jím NÚKIB upozorňuje na hrozby, ale nově také na zranitelnosti. Tímto způsobem může přímo uložit povinným osobám, aby do analýzy rizik tyto zranitelnosti zahrnuly. A nově se počítá i s možností, že by se varování v odůvodněných případech nezveřejňovalo, pouze by se rozesílalo těm povinným osobám, kterých se týká.
Trochu problematický je výčet důvodů, pro které může úřad zůstat tajnosnubný. Vedle ohrožení kybernetické bezpečnosti a účinnosti vydaného varování je dalším z důvodů ochrana identity subjektu, který hrozbu, incident či zranitelnost ohlásil. Je dobré si v této souvislosti položit otázku, jestli v zájmu předejití prozrazení, že významná banka nebo jiná korporace měla určitý bezpečnostní problém, je v pořádku, že se před veřejností, a to i odbornou, tento problém ututlá…
Reaktivní a ochranná opatření se v novém zákoně sjednocují do jediného – reaktivního protiopatření. To regulátorovi umožní stanovit opatření k prevenci, odvrácení nebo nápravě incidentu buď formou rozhodnutí jedné konkrétní povinné osobě, anebo opatřením obecné povahy dopadajícím na širší okruh povinných osob. Reaktivní protiopatření půjde ukládat jak subjektům v režimu vyšších povinností, tak i těch nižších.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU