Kybernetická ochrana

Zásadní podmínku pro fungování moderní společnosti a vytvoření bezpečného obchodu se službami představuje bezesporu bezpečnost internetu, soukromých sítí a informačních systémů. V dnešní době, kdy narušení kybernetické bezpečnosti může způsobit jak lidská chyba, tak i přírodní událost, technické selhání či úmyslný útok, je otázka digitální ochrany velmi důležitá. K podobným selháním navíc dochází stále ve větší míře.

Dle studie z roku 2015[1], která analyzovala připravenost společností na kybernetický útok, bylo více než 60 % společností terčem útoků narušitelů. Ti se snažili dostat do firemních sítí a získat přístup k chráněným datům společností, jako jsou například obchodní tajemství, duševní vlastnictví, záznamy zákazníků, informace o platbách či osobní údaje zaměstnanců. Celá čtvrtina společností přitom uvedla, že  podobné útoky zažívají téměř na denní bázi.

Nedostatečná bezpečnost sítí a informací může ohrozit pro člověka zcela zásadní a nutné služby, například dodávku elektřiny, dopravu (leteckou, železniční, autobusovou) nebo bankovnictví. S ohledem na možné hrozby přivedla ona absence bezpečnosti Evropský parlament a Radu EU k přijetí směrnice 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii ze dne 6. července 2016 (tzv. směrnice NIS), která vstoupila v platnost v srpnu minulého roku. Směrnice NIS je vyjádřením strategie EU v oblasti kybernetické bezpečnosti a členské státy ji musí transponovat do svých právních řádů, a to do 9. května 2018.  

Směrnice ukládá minimální úroveň společné evropské ochrany před útoky na digitální technologie, sítě a služby a zároveň určitým subjektům stanoví povinnost hlásit významné případy porušení kybernetické ochrany. Zavedení požadavku na hlášení bezpečnostních incidentů se dotkne i poskytovatelů digitálních služeb (internetové vyhledávače, sociální sítě, online obchody, atd.) a hospodářských subjektů z oblasti energetiky, zdravotnictví nebo například obchodování s cennými papíry. Tato oznamovací povinnost hospodářských subjektů o bezpečnostních incidentech, které mají významný dopad na jimi poskytované služby, tak ovlivní nejenom činnost internetových gigantů, jako jsou Google, Amazon nebo PayPal, ale také činnost tuzemských internetových obchodů.

Hlavním cílem směrnice je zabránit a případně adekvátně reagovat na kybernetické útoky či snahy o narušení kybernetické bezpečnosti společnosti. Připravenost členských států EU v této oblasti má být zajištěna vytvořením sítě bezpečnostních skupin CERT v rámci jednotlivých členských států (Skupina pro reakci na bezpečnostní hrozby). Účelem těchto skupin je přispívat k budování důvěry mezi členskými státy a podporovat rychlou a účinnou operativní spolupráci. Česká skupina CERT je podřízená Národnímu bezpečnostnímu úřadu, který vykonává dohled nad bezpečností sítí a informačními systémy na vnitrostátní úrovni jakožto gestor problematiky kybernetické bezpečnosti a zároveň národní autorita pro tuto oblast.

Směrnice NIS je tou poslední snahou Evropské komise reagovat na rychle se měnící povahu hrozeb digitálního světa s cílem vytvořit velmi vysokou úroveň ochrany ve všech členských státech Evropské unie.

Komise EU vyzvala ve svém sdělení z 5. 7. 2016 členské státy k aktivnímu využívání koordinačního mechanismu pro výměnu informací a přijímání opatření na bezpečnostní hrozby v kybernetickém světě. Na základě NIS směrnice Komise dále plánuje návrh úpravy spolupráce v případě závažných kybernetických útoků.

Na danou směrnici reaguje novela zákona o kybernetické bezpečnosti, jejímž cílem je zapracování požadavků směrnice. Aktuální zákon o kybernetické bezpečnosti požadavky nové směrnice již často plní a místy jde zákon už nyní dokonce nad rámec požadavků směrnice.

Hlavním účelem novelizace je tak rozšíření povinností vyplývajících ze směrnice na subjekty, na něž aktuální zákon nedopadá.

Nové povinnosti, které se týkají kybernetické ochrany, se tak budou nyní ponovu vztahovat také na společnosti provozující on-line tržiště, cloud computing a internetové vyhledávače (označované jako digitální služby), s výjimkou pro mikro podniky (mající méně než 10 zaměstnanců a obrat nebo rozvahu do 2 mil. EUR) a malé podniky (mající méně než 50 zaměstnanců a obrat nebo rozvahu do 10 mil. EUR).

Zákon se dále bude vztahovat na provozovatele základních služeb, přičemž službami jsou myšleny především takové služby, jejichž poskytování je závislé na elektronických sítích nebo informačních systémech, a jejichž narušení by mohlo mít významný dopad v některém z důležitých odvětví ekonomiky. Jde např. o oblast bankovnictví, dopravy, energetiky, zdravotnictví či chemického průmyslu.

 V této souvislosti bude zákon vztažen i na správce informačních systémů základních služeb a provozovatele informačních systému základních služeb.

Pro nově zahrnuté skupiny budou platit povinnosti zákona o kybernetické bezpečnosti, které od nich zejména vyžadují, aby přijaly odpovídající kroky eliminující bezpečnostní rizika a oznamovaly případné kybernetické incidenty Národnímu bezpečnostnímu úřadu.