top of page
Obrázek autoraALEŠ ŠPIDLA

Evropa připravuje novelu směrnice o bezpečnosti sítí a informací – NIS 2

S ohledem na velmi dynamický vývoj situace v kyberprostoru, který ne vždy jde pozitivním směrem, a také v souvislosti se současnou pandemií Covid – 19 je nutno si přiznat, že digitální svět vyžaduje větší kontrolu. Je zřejmé, že to, co pro kybernetickou a informační bezpečnost (KIB) v pozitivním slova smyslu „udělala“ evropská směrnice o bezpečnosti sítí a informací – NIS, je nutno aktualizovat. Což je v kyberprostoru nutnost, protože jeho dynamika si to prostě žádá. Žádné jiné prostředí a na něj navazující disciplíny negeneruje v čase tolik výzev jako kybernetická bezpečnost. Ukázalo se, že stávající rozsah regulace KIB prostě nestačí. Česká republika s tím má vlastní neblahou zkušenost v odvětví zdravotnictví.



Snaha o to, aby pod zákon o kybernetické bezpečnosti spadalo pokud možno co nejméně nemocnic (do nedávna žádná), se vymstila v podobě zhroucených zdravotnických zařízení. Řada institucí a bohužel i nemocnic žila v přesvědčení, že když na ně zákon o kybernetické bezpečnosti nedopadá, tak tuto oblast nemusí řešit. Vedení těchto institucí asi žilo v iluzi, že když pod zákon nespadají, tak na ně hackeři nebudou útočit. Jejich absence pudu sebezáchovy vedla k tragickým následkům. Zablokované informační systémy nemocnic, škody ve stovkách milionů a nikdo za nic nemůže.


Směrnice NIS 2 tuto situaci reflektuje. Nezodpovědnost vedení se promítá do nemalých škod a jinak než zákonem změnu přístupu asi vynutit nepůjde. Zákon bez odpovídajících sankcí je ale v tomto případě k ničemu. Zákon o kybernetické bezpečnosti v první verzi 2014 měl sankce tak nízké, že bylo jednodušší je zaplatit než smysluplně investovat do kybernetické bezpečnosti.


NIS 2 navrhuje sankce až 10 milionů euro nebo 2 % z celosvětového obratu instituce (v případě GDPR jsou dvojnásobné), která kybernetickou bezpečnost zanedbala a tím ohrozila své klienty, kritickou infrastrukturu, zdraví a životy lidí apod. NIS 2 také stírá rozdíl mezi poskytovateli základní služby a poskytovateli digitální služby – provozovatelé on-line tržišť (e-shopy), internetové vyhledávače a poskytovatelé cloudových služeb. To znamená, že poskytovatelé digitální služby už se nemohou spolehnout na to, že je k nim z pohledu regulace „měkčí“ přístup. Bezpečnost jejich informačních systémů musí být na stejné úrovni, jako by se jednalo o systémy základní služby, a tedy i systémy kritické informační infrastruktury. Bude zde ale bráno v úvahu i posouzení důležitosti poskytovaných služeb, a tak budou instituce rozděleny do základních a důležitých kategorií, v důsledku čehož by se na ně vztahovaly různé režimy dohledu ze strany regulátora – v České republice Národního úřadu pro kybernetickou a informační bezpečnost.


Co považuji za naprosto zásadní je výše uvedené slovo riziko. NIS 2 otáčí kormidlo směrem k tomu, že vše, co se týká kybernetické a informační bezpečnosti, musí být postaveno na řízení rizik.

Směrnice reaguje na zhoršující se bezpečnostní situaci dále tím, že přidává další odvětví, ve kterých je nutno kybernetickou bezpečnost regulovat, z mých zkušeností je asi lepší slovo „nařídit“. Takže k odvětvím, která spadají pod kategorii základní služba, tedy energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, vodní hospodářství, digitální infrastruktura a chemický průmysl, přibudou další, a to:


Veřejná správa

Vesmír – tzn. provozovatelé pozemní infrastruktury, která podporuje poskytování vesmírných služeb (mimo komunikačních)

Poštovní a kurýrní služby

Zpracování odpadu

Výroba a distribuce chemikálií

Výroba, zpracování a distribuce potravin

Výroba

  • zdravotnických prostředků

  • počítačů, elektronických optických zařízení

  • elektrických zařízení

  • strojů a zařízení

  • motorových vozidel, přívěsů a návěsů

  • ostatních dopravních prostředků a zařízení


Poskytovatelé digitálních služeb – zde jde o rozšíření na provozovatele sociálních sítí.


NIS 2 se také zaměřuje na hodnocení bezpečnosti dodavatelských řetězců, kdy se budou hodnotit z pohledu rizik pro kybernetickou a informační bezpečnost odběratele nejen dodavatelé, ale i jejich subdodavatelů v celém řetězci. A to i v netechnických parametrech, jako je legislativní prostředí, vymahatelnost práva, vliv nedemokratických režimů na činnost dodavatele apod.


Co považuji za naprosto zásadní je výše uvedené slovo riziko. NIS 2 otáčí kormidlo směrem k tomu, že vše, co se týká kybernetické a informační bezpečnosti, musí být postaveno na řízení rizik. Jejich identifikaci, analýze, vyhodnocení a přijetí opatření k jejich snížení. V podstatě to, co na Cevro institutu v MBA programu „Management a kybernetická bezpečnost“ učím už sedmý rok“. Vše musí být postaveno na řízení rizik, jinak se kybernetická a informační bezpečnost budovat, provozovat, řídit a rozvíjet prostě nedá. Vše ostatní je až pak. Když se zamyslíme nad rozšířením záběru NIS 2, tak je zřejmé, že je to výsledkem právě pečlivé analýzy rizik.


Dokument má s přílohou cca 125 stran, takže není možné jej zde rozebrat celý, nicméně jsem zvědav, jak se s tímto přitažením šroubů poperou provozovatelé systémů, které pod zákon o kybernetické bezpečnosti nově spadnou. Ti, co přistupovali zodpovědně ke kybernetické a informační bezpečnosti, tak můžou být klidní. Ti, co spoléhali na to, že pod zákon o kybernetické bezpečnosti nespadají, a tudíž KIB neřešili v odpovídající úrovni, ti se mají na co těšit. Těm doporučuji, aby nejlépe včera začali.



Je zřejmé, že dopady NIS 2 budou mimo jiné i na trh s odborníky na KIB. Mnohem více jich bude potřeba ve všech výše uvedených odvětvích, a také v orgánech, zodpovědných za regulaci KIB. Takže pořád bude co dělat. Musím říct, že jsem si dobře vybral.


Budu i nadále sledovat vývoj kolem této směrnice a bude-li o čem, budu v psaní pokračovat.


Na závěr mi dovolte jeden citát (Aleš Špidla poprvé někdy v roce 2014):

Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy!

Comments


bottom of page