Jak ukazují sílící kybernetické útoky z poslední doby, evropská infrastruktura je zranitelná. Nová směrnice NIS2, která začne platit v roce 2024, má významně zvýšit bezpečnost, spolupráci a hlavně zahrnout odvětví, na která EU dosud moc nemyslela.Počet kybernetických útoků v České republice se v říjnu dostal vysoko nad průměr a šlo o nejvyšší hodnoty od letošního dubna. Stalo se celkem 20 incidentů. „Velký podíl na nárůstu mají DDoS útoky (
na dostupnost online služeb, pozn. red.), část z nich byla vedena ze strany hacktivistické skupiny Anonymous Russia,“ upozorňuje ve
své zprávě Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Jeden z říjnových útoků spadal do kategorie „velmi významných“, když měl za cíl narušit dostupnost telekomunikačních služeb. Když podobné incidenty míří na kritickou infrastrukturu země, dokáží být velmi nebezpečné.
Příkladem za všechny může být několikatýdenní vyřazení informačního systému Fakultní nemocnice v Brně v době sílící pandemie covidu v roce 2020.
Unie pošle Česku 900 milionů korun na boj s kriminalitou
Česko v tomto ohledu samozřejmě není jediným evropským cílem, podobné těžkosti mají čím dál častěji i ostatní státy Evropské unie. Velké množství současných útoků, téměř 40 %,
podle zprávy společnosti Moody’s Investors Service nějakým způsobem souvisí s ruskou agresí na Ukrajině.
Místo jedničky dvojka
Aby byla celá EU do budoucna připravená, rozhodla se vylepšit opatření, posílit harmonizaci pravidel a prohloubit spolupráci mezi státy. Výsledkem je v listopadu schválená směrnice o kybernetické bezpečnosti, známá jako NIS2. Číselné označení napovídá, že navazuje na svou předchůdkyni z roku 2016 a jde ještě mnohem dál.
„Kybernetických hrozeb stále přibývá a je třeba postupně pokrýt všechna zranitelná místa,“
připomněl stínový zpravodaj směrnice v Evropském parlamentu
Evžen Tošenovský (ODS, ECR).
Cílem nových pravidel je přimět citlivá odvětví, jako jsou energetika, telekomunikace a doprava, aby více investovala do kybernetické bezpečnosti. NIS2 zároveň rozšiřuje „záběr“ evropských pravidel, nově se mají povinnosti kybernetického zabezpečení vedle dosavadního zdravotnictví či bankovnictví týkat i sociálních sítí, doručovacích služeb či farmaceutických firem. EU chce zkrátka pokrýt jednotným standardem ochrany všechny oblasti, které mohou být nějak zranitelné.
Na všechny zahrnuté subjekty se budou vztahovat aktualizované požadavky na oznamování incidentů, včetně celoevropské povinnosti předložit „včasné varování“ do 24 hodin od zjištění útoku, a do 72 hodin pak takový incident oficiálně reportovat.
Členské státy a jejich pověřené orgány musí na vše dohlédnout a zajistit, že všechny organizace, orgány a firmy pod novými pravidly skutečně pracují na zvyšování své kybernetické bezpečnosti, například že jejich nejvyšší management absolvuje potřebná školení.
Zvláštní strategie musejí státy vytvořit například v oblasti bezpečnosti dodavatelského řetězce, šifrování nebo potřeby malých a středních podniků.
EU zpřísňuje nároky na kyberbezpečnost. Firmy se musí více chránit, mají obavy z náročných požadavků
Česko má částečně splněno
V Česku bude na implementaci nových opatření v rámci NIS2 dohlížet zmíněný úřad NÚKIB, který k tématu vytvořil
specializovaný web. „Česká republika nyní může těžit ze své výhody kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 míří směrem k současné české regulaci. Pro organizace, kterých se týkala již původní směrnice NIS, se toho tedy v praxi příliš měnit nebude,“ píše se na zmíněném webu.
Sám úřad má nicméně před sebou řadu úkolů. Musí například koordinovaně zveřejňovat informace o zjištěných kybernetických „skulinách“, které se následně shromáždí v Evropském registru zranitelností, nebo se také naučit daleko hlouběji spolupracovat s orgány v jiných zemích.
„Bude trvat několik let, než se celý ekosystém usadí, a nepochybně to bude znamenat další úsilí a zdroje pro všechny zúčastněné subjekty. Ale určitě to bude stát za to,“ zhodnotil Tošenovský.
Jak europoslanec doplnil, EU v tomto ohledu navíc nekončí. „Nyní to Evropská unie s kybernetikou myslí vážně. Na stole už máme další právní předpisy, například ekvivalent (
NIS2) pro orgány a agentury EU, a zákon o kybernetické odolnosti výrobků,“ uzavřel europoslanec.
Tento článek vznikl s podporou frakce Evropských konzervativců a reformistů. Všechny výstupy realizované v rámci této spolupráce jsou dostupné pod tímto odkazem. Podmínky spolupráce jsou uvedeny zde. 
