Náš seriál o kybernetické bezpečnosti v minulém dílu popisoval, jak se podle chystané právní úpravy posílí pravomoci regulátora v případě vyhlášení stavu kybernetického nebezpečí. Víme už, jaké předpolí si Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v připravovaném kyberzákoně přichystal pro to, aby mohl při rozsáhlejších útocích přistoupit k opatřením, proti kterým nebude přípustná obrana. Příslušná rozhodnutí totiž budou vyňata z působnosti správního řádu, a budou tak účinná ihned, bez možnosti odvolání. Pro dnešek přehnané mocenské ambice národního regulátora opustíme a pohlédneme na kyberbezpečnost s větším odstupem, nebo chcete-li z vyšší perspektivy. Směrnice NIS2 totiž vedle stanovení národního rámce řešení kybernetických krizí posiluje i koordinaci v rámci dalších zemí Evropské unie, a dokonce za splnění určitých podmínek se státy mimo ni.
„Je zjevné, že kybernetická bezpečnost není soukromým ani národním tématem. Útoky jsou dnes přeshraničním fenoménem, a proto se blízká a intenzivní spolupráce v rámci unijních orgánů a agentur předpokládá,“ říká advokátka specializující se na informační technologie Lucie Balýová s tím, že prvky mezinárodní spolupráce jsou dostatečně známé a osvědčené z oblasti nařízení GDPR, kdy ochrana osobních údajů je obdobně tématem neznajícím hranic.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Spolupráce na prvním místě
NIS2 klade důraz na zřizování komunit zabývajících se kybernetickou bezpečností, platforem, v rámci kterých je možné si dobrovolně vyměňovat zkušenosti. Největší využití tyto platformy budou mít v rámci stejných nebo navzájem podobných odvětví. Trochu jiné problémy, hrozby a rizika totiž budou řešit housingové společnosti, jiné třeba výrobní podniky a úplně jiné telekomunikační operátoři. NIS2 proto v článku 29 členským státům ukládá, že mají vznik těchto platforem podporovat.
A vedle toho směrnice usiluje o to, aby i relevantní úřady spolu co nejvíce spolupracovaly. Jedná se hlavně o ty instituce, které mají ke kyberbezpečnosti nejblíže. Z úvodních dílů už víme, že v každém členském státě musí fungovat minimálně jeden tým CSIRT (tým pro reakce na počítačové bezpečnostní incidenty), resp. CERT (pro reakci na počítačové hrozby). V tuzemsku jsou vydefinovány tyto vnitrostátní orgány tři: NÚKIB, Vládní CERT jako jeho součást a Národní CERT provozovaný správcem národní domény CZ.NIC. Vedle těchto zastřešujících organizací na celostátní úrovni funguje celá řada menších týmů v různých korporacích a organizacích. Svůj CSIRT má například Seznam, provozovatelé datacenter i akademická pracoviště.
Půjdeme-li opačným směrem, na vrcholek v hierarchii, pak na úrovni EU už teď fungují: Skupina pro spolupráci (Cooperation Group), síť týmů CSIRT (CSIRTs Network) nebo Síť styčných organizací pro řešení kybernetických krizí (European Cyber Crisis Liaison Organisation Network – EU CyCLONe). Česko má ve všech zmíněných platformách své zástupce již z minulosti, a tak v souvislosti s NIS2 se pro nás nic nemění.
Vzniká Evropská databáze zranitelností
Co mají tyto platformy společného a čím se liší? Skupina pro spolupráci má, jak už název napovídá, usnadňovat strategickou spolupráci a výměnu mezi členskými státy. Zasedají v ní zástupci jednotlivých zemí, Evropské komise a Evropská agentura pro kybernetickou bezpečnost (ENISA). Ta má v rámci skupiny důležitou roli, protože bude vytvářet a spravovat Evropskou databázi zranitelností. Nově vznikající registr má sloužit všem subjektům, bez ohledu na to, zda se na ně regulace dle směrnice vztahuje, nebo ne, aby se k nim včas dostaly známé zranitelnosti v produktech nebo službách, ale hlavně o tom, zda jsou dostupné opravy, případně jak rizika vyplývající ze zranitelnosti zmírnit. Tato skupina pro spolupráci je styčným bodem s jednotlivými národními regulátory a má jim být k ruce i při poskytování výkladu ustanovení směrnice.
Proti tomu Síť týmů CSIRT tu je proto, aby mezi jednotlivými týmy CSIRT proudily včas všechny potřebné informace. Opět je tu zapojení agentury ENISA, která zajišťuje administrativní podporu, a tuto síť tvoří jednotlivé národní CSIRT týmy a další CSIRT týmy pro orgány, instituce a jiné subjekty EU. Toto místo poskytne pomoc v případech, kdy útokem bude zasaženo více států a bude třeba rychle sdílet informace a koordinovat společný postup. Síť týmů CSIRT také bude vyhodnocovat cvičení v oblasti kybernetické bezpečnosti, a to včetně těch, které ENISA pořádá.
A konečně EU-CyCLONe je na samém vrcholu toho, co může Evropská komise v oblasti zdolávání kyberincidentů nasadit. Tato síť styčných organizací se nebude zaobírat margináliemi, slouží pro řešení rozsáhlých kybernetických incidentů a krizí na operativní úrovni. Také tomuto uskupení ENISA zajišťuje sekretariát a tvoří ho zástupci regulátorů jednotlivých států. V případech, kdy skutečně nastane krize, stávají se členy i zástupci Evropské komise, kteří mají v „pokojných dobách“ jen statut pozorovatele. Už z toho je zřejmé, že tento orgán se v dobách krizí stane spíše politickou institucí s pravomocí koordinovat pomoc a na politické úrovni bude pomáhat přijímat odpovídající rozhodnutí.
Vedle těchto stálých orgánů NIS2 umožňuje uzavírat mezinárodní dohody o spolupráci s nečlenskými zeměmi nebo mezinárodními organizacemi, a to za předpokladu, že bude zaručena ochrana osobních údajů na úrovni obvyklé v EU.
ENISA ve spolupráci s Komisí a Skupinou pro spolupráci každé dva roky vydá zprávu o stavu kybernetické bezpečnosti, kde posoudí vývoj bezpečnostních rizik a hrozeb, jak jim Evropané dokáží čelit a jak si vedou jednotlivá regulovaná odvětví. Zprávy budou obsahovat konkrétní doporučení, jak vyřešit nedostatky a zvýšit úroveň kyberbezpečnosti v celé Unii.
Aby reportování nebylo málo, členské státy se ještě budou hodnotit navzájem. Účast na těchto vzájemných hodnoceních bude dobrovolná, provádět je budou odborníci na kybernetickou bezpečnost určení nejméně dvojicí států, které zároveň nebudou mezi posuzovanými. A hodnotit se má vedle úrovně provádění opatření k řízení kybernetických rizik a plnění oznamovacích povinností také úroveň kapacit, včetně těch finančních, lidských a materiálních, k plnění úkolů. Členské státy, které se rozhodnou do těchto akcí zapojit, tak dostanou zpětnou vazbu od ostatních, jestli v oblasti kyberbezpečnosti dělají dost.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU