Nový zákon o kybernetické bezpečnost: prevence je vždy lepší a levnější.
Návrh nového zákona o kybernetické bezpečnosti byl 17. července schválen vládou
a postoupen Poslanecké sněmovně. V průběhu prvního čtení zazněly 17. září v Poslanecké sněmovně opět argumenty, které opakovaně zaznívaly i během všech předešlých přípravných fází. Bylo odhlasováno, že se návrhem zákona bude podrobněji zabývat výbor pro bezpečnost, a dále hospodářský výbor a výbor pro obranu.
Hlavním argumentem proti návrhu zákona je jeho široká působnost, respektive vysoký počet regulovaných subjektů. S tím souvisí administrativní zátěž regulovaných organizací, hlavně pak zátěž obcí s rozšířenou působností, které mají do navrhovaného regulatorního rámce nově také spadat. Specificky tzv. mechanismu bezpečnosti dodavatelských řetězců je vytýkáno, že nebyl dostatečně probrán, že nebyly zohledněny vznesené připomínky, a v obecnější rovině, že by o takových věcech měla rozhodovat vláda.
Účelem dalšího textu není obhajoba vůči dílčím námitkám vzneseným v průběhu dosavadního legislativního procesu, ale vysvětlení potřebnosti a nezbytnosti nového přístupu pro zajišťování kybernetické bezpečnosti v České republice. Lidsky řečeno, pojďme se podívat na to, k čemu má nový zákon o kybernetické bezpečnost vést a na co konkrétně reaguje.
Směrnice NIS2 je minimální požadavek Unie
Prvotní návrh zákona vznikl již v lednu roku 2023, tedy nedlouho potom, co nabyla účinnosti tzv. směrnice NIS2, kterou návrh zákona transponuje do českého právního řádu. Tento evropský předpis používá metodu tzv. minimální harmonizace, tedy že členský stát musí splnit minimální požadavky stanovené směrnicí. Nemůže si stanovit užší působnost regulace. Nemůže regulovaným organizacím uložit méně povinností. Nelze se rozhodnout, že některá část směrnice nebude transponována a používána v národním právním řádu. Pokud by se tak stalo, hrozí zde sankce ze strany Evropské komise za nesprávnou transpozici.
Národní úřad pro kybernetickou a informační bezpečnost se rozhodl pro zachování maximální transparentnosti a dobrovolně vyhlásil veřejnou konzultaci, během které mohl kdokoliv uplatnit své připomínky, návrhy a podněty. Řada připomínek uplatněných již v průběhu veřejných konzultací směřovala přímo proti požadavkům směrnice NIS2. Vyhovění těmto připomínkám by znamenalo nesprávnou transpozici a riziko sankcí. Přesto řada z těchto výtek přetrvává až do aktuálně probíhajících fází legislativního procesu.
Racionalizace a přizpůsobení se ekonomické realitě
Přes výše zmíněné se NÚKIB snaží reflektovat ekonomickou realitu a zmírňovat v rámci zákonných mezí dopady směrnice NIS2. Nikdo si nepřeje zbytečně zatěžovat malé podniky nesmyslně extenzivními povinnostmi v jakékoliv oblasti, nejen v kyberbezpečnosti. Veškeré povinnosti pro poskytovatele v tzv. nižším režimu povinností by měly směřovat k zavedení minimálního bezpečnostního standardu, tedy sady nejzákladnějších bezpečnostních opatření.
Zavedením základních bezpečnostních opatření chrání daná organizace především sama sebe a svůj „byznys“. V minulých letech se projevovala tendence banalizovat požadavky GDPR, jehož účelem je primárně ochrana práv osob, jejichž údaje jsou zpracovávány. Správci údajů často považovali za zbytečné vynakládat finanční prostředky na ochranu práv a zájmů někoho jiného. Soulad s GDPR se často řešil hlavně z důvodu potenciálně vysokých sankcí, případně z reputačních důvodů.
Nezaváděním kyberbezpečnostních opatření však organizace ohrožují své vlastní fungování. Přístup „koupím štos dokumentace a nestarám se“, kterým se řada organizací vypořádala s GDPR, nebude v oblasti kyberbezpečnosti fungovat. Tímto způsobem nedojde k ošetření rizik a k zabezpečení organizace. Takový přístup není racionální, ekonomicky ani nijak jinak, a vysvětlíme si proč.
Přístup založený na řízení rizik v běžném životě
Většině lidí přijde zcela normální, že zamknou dveře, když odchází z domu. Používáme bezpečnostní pásy, když jedeme v autě. Na kole zpravidla používáme helmu, zvlášť když víme, že pojedeme po frekventovanější silnici. Automaticky vyhodnocujeme rizika a hrozby okolo nás, reagujeme na ně a snažíme se vyhnout nepříznivým dopadům na naše zdraví či majetek.
Bylo by vhodné se obdobně obezřetným způsobem chovat také v kyberprostoru, ale dlouhodobě se ukazuje, že jsou hrozby a rizika v kyberprostoru podceňovány navzdory tomu, že se významná část našich životů přesunula do online prostředí. Vrátíme-li se k původnímu přirovnání, nechávají se otevřené dveře od domu, protože si říkáme, že náš dům přece pro zloděje nemůže vypadat nijak lákavě.
Útoky v kyberprostoru jsou často plošné a necílené. Útočník má možnost, často z důvodu slabé bezpečnosti, nahlížet do nespočtu otevřených dveří, bez ohledu na to, jak velká či důležitá daná organizace je. Tvrdíme-li, že kybernetická bezpečnost má být problematikou pouze pro pár vyvolených organizací ve státě, je to srovnatelné s tvrzením, že si dům mají zamykat pouze bohatí lidé a pásy v autě používat pouze rallye závodníci.
Prevence je vždy lepší a levnější
Hlavním účelem nového zákona má být osvěta vedoucí ke změně uvažování o rizicích s původem v kyberprostoru. Směrnice NIS2 ani nový zákon nedopadají plošně na všechny organizace v České republice, ani neukládají žádné povinnosti jednotlivcům. Podniky splňující velikostní kritéria a poskytující své služby v zákonem specifikovaných odvětvích však musí začít reflektovat realitu, tedy exponenciální nárůst kybernetických útoků.
Nabízí se námitka, že k osvětě není zapotřebí žádná nová regulace. Z praxe však vyplývá, že neregulovaná organizace začne zpravidla řešit kyberbezpečnost až ve chvíli, kdy se sama stane cílem útoku – to je pozdě a je to zbytečně drahé. Ukazuje se, že bez právní povinnosti a sankce je posun v úrovni kyberbezpečnosti velmi malý či nulový. Stav zabezpečení organizace často záleží pouze na iniciativě uvědomělých správců IT v dané organizaci a jejich schopnosti a vůli přesvědčit vedení o důležitosti tohoto tématu a výhodnosti investic do bezpečnosti, oproti nákladům na řešení dopadů incidentů.
Zavedení alespoň základních bezpečnostních opatření může snížit šance na úspěšný útok o 30‑50 %. O tom, co jsou základní bezpečnostní opatření, co je tak zvaně must have, nebo naopak nice to have, se povedou debaty v rámci mezirezortního připomínkového řízení k vyhláškám o bezpečnostních opatřeních. O tom, že by kybernetickou bezpečnost v rozumné a přiměřené míře měl řešit každý, o tom již debatovat nemusíme. Vždy je lepší být připraven, než překvapen.
Štěpán Daněk
Oddělení regulace veřejného sektoru
Národní úřad pro kybernetickou a informační bezpečnost
Gorkého 10, 602 00 Brno
mobil: +420 702 146 218
e-mail: stepan.danek@nukib.gov.cz