Kyberútoky a zase kyberútoky. Hrozba s nimi spojená sílí a kybernetická pravidla rychle stárnou. EU nyní vymýšlí, jak zajistit, aby důležité instituce a firmy adekvátně investovaly do vlastní bezpečnosti. Jak totiž ukazuje dynamický vývoj v digitálním světě a také pohnutá mezinárodní situace, povinná ochrana největších elektráren či nemocnic zdaleka nestačí.
Že digitální oblast je svébytným bojištěm i v Česku, potvrzuje například vlna hackerských útoků z minulého týdne. České dráhy ohlásily výpadky aplikace Můj vlak a posléze spadly také weby letišť v Karlových Varech, Ostravě a Pardubicích. Kromě toho zaznamenaly útoky na své systémy také ministerstvo vnitra i samotný Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Incidenty z minulého týdne ukazují, že kromě kriticky důležitých odvětví se kyberútoky mohou týkat i řady běžnějších institucí, které doposud nemusely kybernetické zabezpečení příliš řešit. I ony jsou přitom pro stát a společnost důležité a jejich ochromení může citelně ovlivnit životy milionů lidí. Právě tyto mezery má nyní zlepšit připravovaná kyberbezpečnostní směrnice EU s názvem NIS2.
Přísnější pravidla i pro obce, potravináře či automobilky
Nová legislativa rozšiřuje okruh subjektů, na které se budou vztahovat přísnější požadavky na zajištění kyberbezpečnosti. S roustoucím významem subjektů přitom porostou i evropské nároky, které zahrnují povinnost provádět analýzy rizik, hlásit a řešit incidenty, zabezpečovat své dodavatelské řetězce, šifrovat svou komunikaci a podobně.
Subjekty se budou dělit na dvě hlavní kategorie, základní a důležité. „Od prvně jmenovaných společností se budou vyžadovat přísnější kybernetická opatření a budou podléhat ex-ante kontrole ze strany NÚKIBu, zatímco druhá skupina bude kontrolována ex-post,“ upřesnil dopady legislativy europoslanec Evžen Tošenovský (ODS, ECR), který se otázce kybernetické bezpečnosti na půdě Evropského parlamentu dlouhodobě věnuje.
Dosud se ta nejpřísnější pravidla kyberbezpečnosti týkala převážně poskytovatelů kritických služeb. Jmenovitě to byly důležité firmy v oblasti energetiky, dopravy, bankovnictví, zdravotnictví či dodávek pitné vody. Navrhovaná legislativa však tento okruh dále rozšiřuje a specifikuje. Nejvyšší zabezpečení bude potřebovat například veřejná správa i na komunální úrovni, farmaceutické firmy, laboratoře, čističky odpadních vod či pozemní vesmírná infrastruktura.
Zcela nově pak budou muset o trochu mírnější opatření přijmout také poštovní služby, chemičky, potravináři či výrobci počítačů a strojů, včetně například automobilek.
NIS2 se dotkne také subjektů, které působí v digitální oblasti. Dosud se striktní pravidla vztahovala na prvky digitální infrastruktury, výměnných internetových uzlů a poskytovatelů domén. V budoucnu zde budou zahrnuty také datová centra či služby elektronické komunikace. Mírnějšímu režimu pak budou podléhat internetové vyhledávače, on-line tržiště a sociální sítě.
Zároveň by legislativa měla uplatňovat také kritérium velikosti dané společnosti. Pravidla by měly splňovat zejména firmy nad padesát zaměstnanců a s minimálním ročním obratem nad 10 milionů eur.
Bude to výzva
Právě široký záběr legislativy vzbuzuje jisté obavy zejména v očích soukromých firem. NIS2 totiž pro řadu z nich bude znamenat další finanční a administrativní zátěž. A to zejména pro ty, které dosud žádné kyberbezpečnostní povinnosti nemusely vůbec řešit.
Náklady a administrativa by proto podle Svazu průmyslu a dopravy ČR (SPČR) měly být co nejmenší, aby firmy nečelily zbytečným komplikacím. „Musíme si uvědomit, že ne každá firma má finanční prostředky či personální kapacity na budování speciálních útvarů, které se této problematice budou věnovat,“ uvedla pro redakci Kateřina Kalužová, manažerka pro digitální ekonomiku SPČR.
Závažnost, kterou nyní Unie kyberbezpečnosti přikládá, dokazuje i výše sankcí, které hrozí, pokud subjekty opatření nepřijmou nebo je nebudou dodržovat. Návrh hovoří o pokutě ve výši minimálně 10 milionů eur nebo dvou procent ročního obratu firmy.
„Na první pohled se to může zdát moc, ale jde o sektory zásadní pro fungování společnosti a ekonomiky. V případě opakovaných velkých problémů, ignorování pokynů a podobně, musí být pokuta citelná. Předpokládám, že v rámci finální dohody bude strop pokut snížen pro zmíněné méně kritické, tzv. důležité subjekty,” řekl Tošenovský.
Zároveň se spekuluje také o časovém rámci, který firmy budou mít na zavedení opatření. Podle europoslance počítá stávající návrh s tím, že členské státy budou mít rok a půl až dva na začlenění NIS2 do národních zákonů. Pak začne běžet dosud nespecifikovaný čas i firmám.
„Výzva to bezpochyby bude i pro NÚKIB a podobné úřady a CSIRTy (skupiny pro reakci na počítačové bezpečnostní události, pozn. red) členských států. Bude pár let trvat, než si celý ekosystém sedne,” popsal europoslanec.
Vzdělávání je základ
České firmy si podle dat SPČR rizika kyberútoků uvědomují a dělají kroky, aby svoji odolnost zlepšily. Loňský průzkum ukázal, že dvě třetiny z necelé stovky dotázaných českých firem považují riziko kybernetického útoku za největší hrozbu v digitální oblasti. A více než 80 procent z nich pak podniká kroky na zabezpečení vlastních systémů a počítačů.
Podle Kalužové je zásadní otázka vzdělávání firem v oblasti kybernetické bezpečnosti. A to zejména těch, které primárně nepůsobí v technologických odvětvích, a přesto se jich NIS 2 dotkne.
„Jedno z největších nebezpečí pro kybernetickou bezpečnost se nachází mezi židlí a klávesnicí, tedy člověk. Proto je dobře, že více než polovina firem v našem průzkumu vzdělávala své zaměstnance v oblasti kyberbezpečnosti. Proškolení by měl absolvovat každý, kdo má přístup do firemní sítě nebo má služební telefon,“ dodala.
Tento článek vznikl s podporou frakce Evropských konzervativců a reformistů. Všechny výstupy realizované v rámci této spolupráce jsou dostupné pod tímto odkazem. Podmínky spolupráce jsou uvedeny zde.