Státy i firmy čelí rostoucímu počtu kybernetických útoků, které testují odolnost energetiky, dopravy i dalších kritických systémů. Nová pravidla mají odolnost kritické infrastruktury posílit. Samotná regulace ale stačit nebude. Rozhodující bude rychlost zavádění opatření, schopnost reagovat na nové typy útoků i dostatek odborníků.
O posilování odolnosti systémů a kybernetické bezpečnosti ve střední Evropě diskutovali odborníci na kulatém stole pořádaném Spolkem pro evropskou politiku ve spolupráci s Update EU. Debata se zaměřila mimo jiné na evropské směrnice NIS2 a CER.
Směrnice NIS2 reaguje na rychlou digitalizaci, nové kybernetické hrozby a rostoucí propojenost systémů. EU jejím prostřednictvím sjednotila minimální pravidla kybernetické bezpečnosti a rozšířila okruh regulovaných subjektů.
Na rozdíl od NIS2 se směrnice CER zaměřuje na odolnost kritických subjektů a kontinuitu základních služeb, bez nichž by stát nebo společnost nemohly fungovat. Kritické subjekty musí pravidelně vyhodnocovat rizika a posilovat svou odolnost vůči přírodním i člověkem způsobeným hrozbám.
Česká republika převedla evropská pravidla do své legislativy prostřednictvím nového zákona o kybernetické bezpečnosti navazujícího na směrnici NIS2 a zákona o kritické infrastruktuře vycházejícího ze směrnice CER. Obě normy jsou účinné od druhé poloviny roku 2025.
Od ochrany objektů k ochraně služeb
Podle Michala Moroze, výkonného ředitele Asociace kritické infrastruktury ČR, přinesla transpozice směrnice CER do české legislativy nový pohled na kritickou infrastrukturu. „Nově se na ni nahlíží optikou poskytovaných služeb, nikoliv pouze jednotlivých subjektů. Odpovědnost za kontinuitu poskytovaných služeb nesou jednotlivé subjekty, zatímco stát nastavuje regulatorní rámec,“ uvedl během diskuse.
Česká legislativa nově upravuje nejen povinnosti kritických subjektů, ale i jejich práva. Subjekty například mohou při přípravě na krizové situace požádat o připojení k veřejné komunikační síti nebo během mimořádného stavu zajistit přístup do jinak omezených oblastí, pokud je to nutné pro zachování základních služeb. Regulace se vztahuje na 12 kritických odvětví, mezi které patří například energetika, doprava, bankovnictví nebo digitální infrastruktura.
Přesto podle odborníků zůstávají některé výzvy otevřené. Marek Vrbík, člen Rady Českého telekomunikačního úřadu, upozornil například na provázanost kritických služeb a potřebu připravovat scénáře pro situace, kdy některé z nich přestanou fungovat.
Posun od ochrany objektů směrem k ochraně služeb vnímá Václav Stupka, zástupce ředitele CyberSecurityHub, jako důležitý moment současného vývoje. „Posouváme se od tradičního chápání bezpečnosti směrem k odolnosti a kontinuitě fungování,“ uvedl. Pozitivně hodnotí také snahu EU o větší harmonizaci pravidel. Zároveň upozornil, že by měla platit větší proporcionalita – jiný přístup vyžadují rozsáhlé projekty s významným dopadem a jiné menší služby.
Hrozby se mění rychleji než pravidla
Zdlouhavá implementace bezpečnostních opatření přitom zvyšuje zranitelnost systémů. „U velkých bezpečnostních projektů dochází k opakovanému prodlužování termínů, problémům s financováním a zpožděním implementace. Výsledkem je, že významná část kritické infrastruktury stále funguje na starších a nepodporovaných systémech,“ uvedl Jan Pich, Cybersecurity Director oddělení technologického consultingu a IT společnosti EY Česká republika.
Jako příklad průběžného rozvoje bezpečnostních opatření zmínil Ukrajinu, která podle něj dokáže díky větší agilnosti reagovat na nové bezpečnostní výzvy rychleji.
Pomalá implementace pravidel je přitom v kontrastu s rychle se vyvíjejícími hrozbami. Podle Marka Vrbíka by se EU měla více zaměřit na průběžné přehodnocování bezpečnostních rizik a jejich prioritizaci podle reálných dopadů na chráněné služby a infrastrukturu. Diskuse se dotkla také umělé inteligence a nových technologií. Odborníci upozorňovali, že vedle regulace bude zejména důležité posilovat vlastní schopnosti reagovat na nové bezpečnostní hrozby a budovat větší odolnost.
Bez odborníků regulace nestačí
Kateřina Hůtová, jednatelka, CEO a ISMS manažerka společnosti Cybrela, v diskusi upozornila i na nedostatek odborníků v oblasti kybernetické bezpečnosti. „Odborníků není dostatek, důležitá je proto také vůle lidi přeškolovat, vzdělávat a nastavovat procesy tak, aby fungovaly dlouhodobě,“ uvedla. Samotná pravidla tak nestačí. Je potřeba mít odborníky, kteří je dokážou efektivně převádět do praxe.
Podobně situaci vnímá také Marek Vrbík. Organizace podle něj často narážejí na problém s nedostatkem odborníků, které navíc nejsou schopny dostatečně finančně ohodnotit. Chybí také rekvalifikační programy a širší vzdělávací možnosti.
Bezpečnost v praxi, ne jen na papíře
Implementace nových pravidel přináší firmám a službám také nové povinnosti, například rozdělení do vyššího a nižšího režimu regulace. Cílem by ale nemělo být dosáhnout „dokonalého“ stavu organizace. Regulace má definovat minimální standardy bezpečnosti a fungování.
Důležité totiž není jen nastavení pravidel, ale také jejich praktické zavádění. Problém často nespočívá v podobě regulace, ale v tom, jak jsou bezpečnostní opatření uváděna do praxe. „Organizace často přistupují k regulatorním požadavkům formou ‚checklistu‘ – vytvářejí rozsáhlou dokumentaci a soustředí se na formální plnění povinností,“ uvedl Jan Pich.
Odborníci upozorňovali také na potřebu většího sdílení zkušeností a dobré praxe. Kateřina Hůtová upozornila, že organizace by měly bezpečnostní požadavky zavádět s ohledem na vlastní fungování a vyhodnocovat, která opatření jim skutečně pomohou posílit bezpečnost a odolnost. S tím podle Václava Stupky souvisí také změna přístupu dozorových orgánů. „Změna musí proběhnout také na straně dozorových orgánů. Ty často nejsou dostatečně agilní ani schopné poskytovat součinnost efektivním způsobem,“ reagoval.
