NIS2 a nový zákon o kybernetické bezpečnosti

V roce 2024 začne platit nový zákon o kybernetické bezpečnosti. Spolu s řadou prováděcích vyhlášek. Proč je nový zákon potřeba a jaké změny přinese? V příspěvku, který vyšel na odborném serveru www.gdpr.cz, se dozvíte více.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ukončil připomínkové řízení k novému zákonu o kybernetické bezpečnosti (ZoKB). Vzhledem k množství potřebných změn plynoucích z implementace směrnice NIS2 nový zákon nahradí současnou úpravu. Nový právní rámec sice vychází ze zavedeného systému, ale změny jsou natolik výrazné, že je vhodnější přijmout novou zákonnou úpravu. To znamená nový zákon a navazující vyhlášky. A spolu s nimi i doprovodný změnový zákon, který dílčím způsobem aktualizuje např. na zákon o elektronických komunikacích a další.

Proč byla vlastně nová úprava, NIS2 směrnice, potřeba?

Jedná se o reakci na jistou zastaralost či neaktuálnost původní evropské směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (tzv. NIS1) z roku 2016, který byla do českého právního řádu implementována právě prostřednictvím současného zákona o kybernetické bezpečnosti.

NIS1 byla vůbec prvním předpisem regulujícím oblast kybernetické bezpečnosti na úrovni EU. Byla přijata za účelem zlepšit kybernetickou bezpečnost a zajištění odolnosti kritických infrastruktur a digitálních služeb v členských státech EU a měla za cíl harmonizovat právní úpravu v oblasti bezpečnosti sítí a IS a zavést jednotný standard úrovně kybernetické bezpečnosti. Stanovila povinnosti pro provozovatele kritických infrastruktur a poskytovatele digitálních služeb a požadavky na hlášení incidentů. Kromě toho zřídila národní orgány odpovědné za dohled nad kybernetickou bezpečností a spolupráci mezi členskými státy, což je v případě České republiky právě NÚKIB.

Vzhledem k rychlé digitální transformaci, vzájemné propojenosti a vice versa i nárůstu množství, intenzity i sofistikovanosti kybernetických hrozeb, vznikl prostor i pro vylepšení dalších nedostatků původní NIS1. Ta byla kritizována zejména kvůli omezenému rozsahu působnosti (některá klíčová odvětví nebyla do působnosti NIS1 vůbec zahrnuta), nedostatečné harmonizace mezi členskými státy a tím pádem i nejednotné úrovně kybernetické odolnosti v jednotlivých členských státech i odvětvích a nedostatek společných mechanismů reakce na krize.

Hlavní cíle NIS2

Základním cílem evropské i české regulace kybernetické bezpečnosti je především prevence kybernetických útoků s významnými dopady na fungování státu či národního hospodářství. Tohoto cíle má být dosaženo jednotnějším přístupem vedoucím ke zlepšení kybernetické bezpečnosti a rozšíření okruhu povinných subjektů. Konkrétní kroky či kategorie opatření k tomuto cíli lze vymezit takto:

• ochrana kontinuity kritických infrastruktur, systémů a služeb nezbytných pro fungování společnosti a ekonomiky;
• posílení spolupráce mezi členskými státy a odbornými národními orgány;
• hlášení kybernetických incidentů a navazující prevence a zlepšení schopnosti reagovat na incident;
• zvýšení povědomí mezi organizacemi a veřejností.

Nová pravidla mají za cíl zlepšit způsob, jakým organizace v EU předcházejí rozsáhlým kybernetickým bezpečnostním incidentům a krizím, jak je řeší a jak na ně reagují.

Co NIS2 přináší? A na koho vlastně dopadá?

Směrnice NIS2 byla na EU úrovni definitivně přijata koncem roku 2022. Vzhledem k tomu, že se jedná o směrnici, je třeba ji nyní začlenit do národního právního rámce. NIS2 stanoví minimální úroveň harmonizace, což znamená, že členské státy mají možnost přijmout i vyšší standardy a přísnější povinnosti. Úmyslem evropského zákonodárce byla především hlubší unifikace roztříštěných požadavků vůči členským státům i regulovaným subjektům a komplexní pokrytí všech odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu EU. Jde o tzv. regulované služby.

Regulovanou službou má být taková služba, jejíž narušení by mohlo mít významný dopad na důležité společenské či ekonomické činnosti ve státě. Poskytovatelé jsou nově klasifikováni do dvou kategorií (článek 3 a dále přílohy I a II NIS2), a to dle významu a důležitosti poskytované služby. Od toho se následně odvíjí vyvážené požadavky na jejich činnosti i pro dohled. Tato dikce se odrazí i v připravovaném ZoKB.

Základní a důležité subjekty neboli režim vyšších a nižších povinností

Zaprvé se jedná o základní subjekty, dle návrhu nového ZoKB subjekty v kategorii vyšších povinností. Mezi ně patří např. společnosti z odvětví energetiky, dopravy, bankovnictví a infrastruktury finančních trhů, zdravotnictví a výroby farmaceutických výrobků včetně očkovacích látek a kritických zdravotnických prostředků, distribuce pitné voda, poskytovatelé služeb cloud computingu či některé orgány veřejné správy.

Základní subjekty podléhají komplexnímu režimu dohledu ex ante a ex post. Jsou povinny zavést opatření ke kybernetické ochraně jak předběžně – preventivně, tak následně. Jedná se o opatření organizační (např. systém řízení bezpečnosti informací, řízení aktiv, řízení rizik, řízení dodavatelů apod.) a technická (např. fyzická a aplikační bezpečnost, kryptografické algoritmy, zajišťování dostupnosti apod.).

Zadruhé se jedná o tzv. důležité subjekty, podle návrhu nového ZoKB subjekty v režimu nižších povinností. Mezi ně jsou řazeny organizace ze sektorů poskytování poštovních a kurýrních služeb, nakládání s odpady, výroba a distribuce potraviny, výroba jiných zdravotnických prostředků, počítačů a elektroniky, strojního zařízení a motorových vozidel, či poskytovatelé některých digitálních služeb (internetová tržiště, vyhledávače a platformy služeb sociálních sítí).

Důležité subjekty podléhají mírnějšímu režimu dohledu, a to pouze ex post. Jedná se např. o řízení rizik, kontinuity činností, aplikační bezpečnost, kryptografické algoritmy atd.

V podstatě tedy do působnosti směrnice, popř. nového ZoKB spadají subjekty na základě charakteru jejich činnosti dle dělení výše. To je kombinováno s jejich velikostí, počtem zaměstnanců, obratem apod. Právě tyto faktory mají význam pro hodnocení vystavení kybernetickým rizikům. Proto jsou z působnosti směrnice vyňaty malé a mikro podniky kromě těch, které splňují určitá kritéria, jež naznačují klíčovou roli pro ekonomiku nebo společnost.

Staronové požadavky?

Základní a důležité subjekty v režimu NIS2 mají povinnost zajistit kontinuitu dodávání služeb v regulovaných sektorech. Z tohoto důvodu musí přijmout technická, provozní a organizační opatření, která jsou proporcionální jejich velikosti a rizikům, jimž v oblasti kybernetické bezpečnosti čelí.

Z NIS2, resp. připravované národní legislativy, proto plyne očekávání, že regulované subjekty budou pravidelně provádět posouzení rizik své kybernetické odolnosti a výsledky a aplikovaná opatření vyhodnotí optikou vhodnosti a přiměřenosti.

Konkrétní požadavky, dle dikce čl. 20 a 21 NIS2, popř. § 15 návrhu novéh ZoKB, jsou zejména:

• opatření k řízení kybernetických bezpečnostních rizik;
• vhodná a přiměřená technická, provozní a organizační opatření (např. politika analýzy rizik a politika bezpečnosti informačních systémů, řešení incidentů, řízení kontinuity provozu, řízení aktiv a rizik, bezpečnost dodavatelského řetězce, zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení, fyzická bezpečnost, detekce, kryptografické algoritmy apod.)
• preventivní opatření;
• vzdělávání zaměstnanců.

Pozor na dodavatelské řetězce v ICT

NIS2, a ještě více návrh nového ZoKB, kladou velký důraz na na řešení rizik v dodavatelských řetězcích ICT subjektů. Z toho vyplývá, že novou regulací budou ovlivněny i podniky, které jsou mimo její přímou působnost. Stačí, když budou jedním z řetězce (sub)dodavatelů regulovaného subjektu. Důvodem je, že právě tito dodavatelé mohou být častokrát příčinou zvýšené kyberneticko bezpečnostní expozice. Přímo regulované subjekty proto budou muset od svých dodavatelů požadovat zavedení přiměřených bezpečnostních opatření. Regulované subjekty budou muset vzít v úvahu zranitelnost každého přímého dodavatele a poskytovatele služeb, a celkovou kvalitu produktů a kybernetické bezpečnosti postupů jejich dodavatelů a poskytovatelů služeb.

To reflektuje i návrh zákonné úpravy, který obsahuje mechanismus prověřování rizik spojených s dodavatelem. Smyslem je dosažení omezení závislosti vybraných povinných osob na dodavatelích, kteří představujících strategickou hrozbu v oblasti ICT strategicky významné infrastruktury.

Dohled a komunikace

Primárním nástrojem pro veškerou komunikaci regulovaných subjektů s dozorovým úřadem bude automatizovaný, samoobslužný Portál NÚKIB. Tento přístup je navržen tak, aby předem vytvořil efektivní komunikační infrastrukturu pro narůstající počet subjektů podléhajících regulaci.

Dohledovými pravomocemi, které vymezí nový ZoKB, např. možností namátkových kontrol, auditů či žádostí o informace, ale i vydání výstrahy, varování či reaktivního protiopatření, přijímání hlášení o kybernetických incidentech, událostech, hrozbách či zranitelnostech a jejich vyhodnocování, metodická pomoc a podpora či provádění vyhledávání a hodnocení zranitelností v oblasti kybernetické bezpečnosti, je nadán právě NÚKIB.

NIS2 nadále zdůrazňuje roli CSIRT (Computer Security Incident Response Team), resp. sítě CSIRT.

De facto je již několik let aktivní taktéž koordinační orgán, síť Evropské styčné organizace pro kybernetické krize (EU-CyCLONe) pro koordinované řízení rozsáhlých kybernetických bezpečnostních problémů a spolupráci členských státu a agentur, jehož fungování bylo formalizováno právě přijetím NIS2.

Ohlašování kybernetických incidentů

Subjekty, poskytovatelé regulované služby, musí oznámit svému NÚKIB/CSIRT každý kybernetický incident, který má významný dopad na poskytování jejich služeb.

Kritéria pro určení významného incidentu jsou následující: Incident způsobil nebo může způsobit vážné narušení provozu služby, která je poskytována, nebo finanční ztráty pro dotčený subjekt, a incident ovlivnil nebo může ovlivnit další subjekty tím, že způsobí značné materiální nebo nemateriální ztráty. Subjekty jsou rovněž povinny informovat příjemce svých služeb o incidentech, které mohou mít nepříznivý vliv na poskytování této služby.

Co se týká časového rámce pro ohlašování, platí lhůta do 24 hodin (pro zajímavost, lhůta v původní NIS1 nebyla vymezena konkrétně) pro úvodní oznámení a lhůta 72 hodin pro poskytnutí úplné zprávy o incidentu. Kromě toho budou mít regulované subjekty povinnost vypracovat a dozorovému úřadu zaslat detailní závěrečnou zprávu obsahující jak informace o incidentu, tak i o aplikovaných opatřeních, a to do jednoho měsíce. Pokud incident v jednoměsíční lhůtě pro předložení závěrečného hlášení stále trvá, musí subjekty místo toho předložit zprávu o pokroku a následně závěrečnou zprávu jeden měsíc po definitivním vyřešení incidentu.

Nový mechanismus zpětné vazby

NIS2 i návrh ZoKB upravují i mechanismus zpětné vazby od dozorového úřadu či CSIRT. Ten musí na oznámení o incidentu reagovat bez zbytečného prodlení a pokud možno do 24 hodin od oznámení. Reakce by měla obsahovat prvotní zpětnou vazbu týkající se incidentu a na žádost subjektu pokyny nebo jiné operativní rady, jak incident a jeho dopady řešit. To se může hodit.

Prohloubení mezinárodní spolupráce

Tím však úkoly pro dozorový úřad jakožto jednotné kontaktní místo nekončí. Je povinen také předložit agentuře ENISA (Evropská agentura pro bezpečnost sítí a informací) souhrnnou zprávu o anonymizovaných incidentech apod. každé tři měsíce. ENISA následně musí informovat o svých zjištěních každých šest měsíců. ENISA by měla rovněž podporovat regulované subjekty poskytováním osvědčených postupů a pokynů, vydáváním metodik, příkladů dobré praxe atd.

Certifikace

NIS2 obsahuje rovněž ustanovení týkající se souběžného používání certifikačních systémů pro produkty ICT, služby ICT a další služby.

Podle článku 21 NIS2 mohou členské státy požadovat, aby základní a důležité subjekty používaly určité produkty, služby a procesy ICT certifikované v rámci zvláštních evropských systémů kybernetické bezpečnosti. Pravidla pro tuto certifikaci upřesňuje další evropský předpis, konkrétně Akt o kybernetické bezpečnosti implementovaného právě také novým ZoKB. Vnitrostátním orgánem certifikace kybernetické bezpečnosti bude NÚKIB.

A zase ty sankce

NIS2 také upravuje sankce za porušení povinností v oblasti kybernetické bezpečnosti. Horní hranice sankcí jsou nastaveny ve výši 2 % obratu v případě provozovatelů základních služeb a 1,4 % v případě provozovatelů důležitých služeb.

To reflektuje i návrh nového ZoKB. Ten definuje možnou výši pokuty dle charakteru přestupku. Konkrétně se částky pohybují od 50 000 Kč v případě porušení mlčenlivosti, přes částky v řádech desítek milionů Kč např. za nesplnění povinnosti hlášení registračních, kontaktních nebo dalších údajů či neposkytnutí součinnosti.

Návrh ZoKB dále uvádí, že pro subjekty v režimu nižších povinností je možné udělit pokutu až do výše 175 000 000 Kč nebo do výše 1,4 % čistého celosvětového ročního obratu dosaženého právnickou osobou nebo, pokud je obviněný součástí konsolidačního celku, dosaženého konsolidačním celkem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Tuto sankci bude možné udělit, jde-li o přestupek způsobený nesplněním povinnosti neprovedení registrace nebo změny registrace poskytovatele regulované služby, nezavedením nebo neprováděním bezpečnostních opatření, nesplněním povinnost informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem apod.

O částce 250 000 000 Kč nebo do výše 2 % čistého celosvětového ročního obratu dosaženého právnickou osobou nebo, pokud je obviněný součástí konsolidačního celku, dosaženého konsolidačním celkem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, se bavíme u přestupků obdobné závažnosti, ale u subjektů v režimu vyšších povinností.

Co bude nový zákon o kybernetické bezpečnosti obsahovat?

Návrh nového zákona o kybernetické bezpečnosti má přibližně 70 paragrafů a 6 vyhlášek, např. o regulovaných službách, bezpečnostních opatřeních pro vyšší i nižší režim dle prováděcího předpisu anebo o úrovních cloud computingu.

V rámci nové vnitrostátní regulace lze tedy zejména očekávat:

• Určení a vymezení povinností regulovaných subjektů ve vyšším či nižším režimu povinností);
• Požadavky na zajištění dostupnost strategicky významných služeb;
• Stanovení rozsahu řízení kybernetické bezpečnosti;
• Požadavky na zavádění bezpečnosti opatření podle režimu, ve kterém je služba provozována a regulována;
• Povinnosti z mechanismu prověřování bezpečnosti dodavatelského řetězce u strategicky významných služeb.

Kdy bude přijat nový zákon o kybernetické bezpečnosti?

NIS2 vstoupila v platnost dvacátým dnem po vyhlášení v Úředním věstníku EU, tedy v lednu 2023. Jelikož se jedná o směrnici, není přímo účinná a aplikovatelná. Proto mají členské státy 21 měsíců, aby ji začlenily do svého právního řádu, což právě probíhá.

Mezirezortní připomínkové řízení k návrhu ZoKB máme již za sebou. Dalším krokem je projednání v rámci Legislativní rady vlády, která se návrhu ZoKB bude věnovat koncem roku 2023.

Další přípravě a konečnému znění nového ZoKB a všech prováděcích předpisů se budeme i nadále věnovat.

Pravidla pro kybernetickou bezpečnost upřesňují i další EU regulace

Evropská komise již v září 2023 zveřejnila dva dokumenty obsahující nové pokyny či upřesnění výkladu NIS2.

První dokument upřesňuje, která odvětví jsou zahrnuta do oblasti působnosti této regulace. Jsou zde uvedena odvětví, která jsou považována za "vysoce kritická", a ta, která jsou považována za "kritická" podle článku 3 směrnice. Subjekty z odvětví spadajících do těchto dvou kategorií budou muset poskytnout své kontaktní údaje, včetně e-mailových adres, IP rozsahů a telefonních čísel, vnitrostátním úřadům.

Mezi odvětví považovaná za vysoce kritická patří energetika, doprava, zdravotnictví a digitální infrastruktura, jako např. poskytovatelé cloudových služeb. Pro finanční sektor má zvláštní význam potvrzení, že finanční instituce, zejména banky, které jsou zároveň regulovány novým nařízením o provozní odolnosti (DORA), se budou primárně řídit právě tímto speciálním zvláštním právním předpisem.

Druhý dokument< stanoví, jak bude NIS2 pracovat s kybernetickou bezpečností specifickou pro jednotlivá odvětví. Objasňuje uplatňování těch ustanovení, jež se týkají vztahu mezi NIS2 a stávajícími a budoucími odvětvovými právními akty. Proklamuje potřebu rovnocennosti požadavků.

Iniciativa Evropské komise však tímto nekončí a budou přijímané další doporučení a doplňující prováděcí předpisy.

Úprava kybernetické bezpečnosti jako nadstavba dalších předpisů, GDPR nevyjímaje

Regulace kybernetické bezpečnosti je přijímaná za účelem zajištění ochrany kritických infrastruktur, posílení odolnosti digitálních služeb a prevenci kybernetických útoků. Celou oblast je ale nutné vnímat komplexně. Ani NIS2 není izolovaným předpisem. Je vhodné ji vidět širší optikou související regulace, např. přicházejícím evropským legislativním rámcem týkajícím se umělé inteligence nebo sdílení dat v jednotlivých sektorech, a pochopitelně taktéž GDPR.

Na umělou inteligenci text NIS2 odkazuje nikoli pouze legislativně, ale taktéž prakticky. Je zde explicitně vymezena podpora využívání jakékoli inovativní technologie, včetně umělé inteligence, jež by mohla zkvalitnit odhalování a prevenci kybernetických útoků a umožnit účinnější přesměrování zdrojů na řešení kybernetických útoků. Obdobné platí např. pro open source.

V hledáčku zájmu ovšem jsou i přesahy obecné směrnice NIS2 a sektorově specifického nařízení DORA (o digitální provozní odolnosti finančních institucí). Transpoziční předpisy k NIS2 by měly být účinné před koncem roku 2024, DORA je jako nařízení přímo aplikovatelné od ledna 2025.

Řada pravidel a požadavků v NIS2 a DORA je velmi podobných a týká se analogických činností či povinností, např. v oblasti řízení rizik, reportování incidentů, kontroly dodavatelů atd. Vztah DORA k NIS2 je lex specialis, tzn. že pokud daný subjekt (úvěrová instituce, ústřední protistrany, obchodní systémy) spadá pod oba regulační rámce, aplikuje se NIS2 pouze na oblasti, které DORA výslovně neupravuje. DORA je tedy specifičtější a má před NIS2 přednost. Dohledovým orgánem pro DORA je ČNB, která však bude spolupracovat s NÚKIB.

Přesahy a podobnosti mezi GDPR a NIS2 jsou evidentní v oblasti požadavků na zavedení technických a organizačních opatření k ochraně citlivých informací a poskytovaných služeb. Zároveň oba předpisy zakotvují povinnost ohlašování incidentů dohledovému orgánu na národní úrovni, dle GDPR je to ÚOOÚ, dle NIS2 to je NÚKIB. Důsledkem řady kybernetických bezpečnostních incidentů je narušení ochrany osobních údajů. Proto by v této souvislosti by dle dikce ustanovení 108 preambule NIS2 příslušné orgány měly spolupracovat a vyměňovat si informace.

Dobrá rada nad zlato – obracejte se na NÚKIB

I když směrnice NIS2 nepřináší překvapivé ani zcela extenzivní požadavky, pro řadu organizací budou nároky transpoziční legislativy, nového ZoKB, představovat poměrně nesnadnou výzvu. To platí především pro ty, které dosud kybernetickou bezpečnost systematicky neřešily. Úroveň kybernetické bezpečnosti je klíčovou pro moderní společnosti, a proto i zdánlivě běžné požadavky mohou vyžadovat pečlivou implementaci.

NÚKIB si je toho vědom a pro organizace, které mají dotazy nebo potřebují objasnit určité aspekty směrnice NIS2, resp. připravovaného zákona, vytvořil přehledný a užitečný web. Tento web slouží jako zdroj informací a pokynů, které pomáhají interpretovat a aplikovat požadavky směrnice. NÚKIB tak aktivně podporuje organizace v procesu plnění směrnice NIS2.

---

Více informací, které se týkají problematiky GDPR, naleznete na www.gdpr.cz

---

Jana Lix Andraščiková
GDPR.cz