Novela zákona o kybernetické bezpečnosti! Co přinesla a ještě přinese?

Co novela přinesla a co ještě můžeme očekávat?

Následující shrnutí není odborným rozborem, pouze informuje o hlavních změnách a novinkách z pohledů běžného uživatele internetu. Úkolem novelizace bylo zapojení evropské směrnice 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU do českého právního řádu. V Brně byl v souvislosti s novelou zřízen nově Národní úřad pro kybernetickou a informační bezpečnost, který bude působit jako správní úřad pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Další změny se dotýkají všeobecně tématiky prohloubení rozsahu zajištění kybernetické bezpečnosti v České republice a jejich účelem je celkově posílit bezpečnost informačních systémů.

Koho se novela ZKB týká?

Dosah Novely zákona o kybernetické bezpečnosti se týká především velké skupiny společností, které provozují takzvané „základní služby“ (banky, dopravní podniky, nemocnice), nebo provozují digitální služby (vyhledávače a platformy pro elektronické obchodování). Definice služeb jsou jasně stanoveny. Pro základní služby podle zákona zní: „Služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení klíčových společenských nebo ekonomických činností v některém z těchto odvětví: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, dodávky a rozvody pitné vody, digitální infrastruktura, chemický průmysl a veřejná správa.“

Pod označením digitální služby se následně rozumí: „Služba informační společnosti, která spočívá v poskytování služby online tržiště, které spotřebitelům umožňuje online uzavírat s prodávajícím kupní smlouvu nebo smlouvu o poskytnutí služeb, internetového vyhledávače nebo cloud computingu, který umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet“.

Jaké cíle si klade Novela o kybernetické bezpečnosti?

Cílem novely ZKB je především ochrana funkčnosti a dostupnosti základních služeb (dodávka pitné vody, elektrické energie, fungující veřejná doprava, provoz stáních orgánů, bank apod.). Blízce se dotýká také evropského nařízení GDPR, jehož cílem je ochrana soukromí a práv fyzických osob z pohledu ochrany, zpracování jejich osobních údajů (ochrana před zveřejněním nebo zneužitím či smazáním osobních dat).

Novela je výrazně přehlednější a jasněji se vyjadřuje k otázkám kybernetické bezpečnosti, protože přesně stanovuje seznam konkrétních bezpečnostních opatření, která musí každá společnost, na niž se ZKB vztahuje, bezodkladně přijmout. Jedná se zejména o ochranu přístupu do sítě, využití šifrovacích technologií, zajištění bezpečného přihlašování uživatelů, pravidelný monitoring a podobně.

Celkový přístup je u evropského nařízení GPDR založen na individuálním hodnocení rizik. Z toho vyplývá, že vyhodnocování počtu zpracovávaných údajů závisí na každém správci dat. Ten současně hodnotí, jakou mají tato data hodnotu pro něj i případné útočníky, jak jsou systémy rozsáhlé, kolik uživatelů do nich má povolen vstup a jaká je zranitelnost systémů. Podle celkové úvodní analýzy potom dochází k vyhodnocení konkrétních rizik a následuje přijetí odpovídajících bezpečnostních opatření (nejčastěji monitoring, anonymizace dat nebo jejich šifrování).

Vyhovět ZKB občas nebude úplně snadné

Zajištění kybernetické bezpečnosti je bezesporu velmi důležité a má svůj smysl především v kritických oborech. Mělo by dojít k lepšímu ošetření zabezpečení v oboru energetiky, zdravotnictví, vodárenství apod. Pro velkou většinu podniků ale bude včasné splnění požadavků ZKB v plném rozsahu s ohledem na poměrně značný stupeň zanedbanosti a finančnímu podhodnocení z minulých let značně obtížné.

Komplikace mohou vzejít i z toho, že vyvstávají velké rozdíly mezi smyslem a obsahem legislativy u nutnosti dokázat včas detekovat a zároveň správně vyhodnotit nejrůznější typy kybernetických útoků, hrozeb i rizik, umět na tato rizika rychle a účinně reagovat (povinnost incidenty včas hlásit) spolu s potřebou věnovat kybernetické a informační bezpečnosti větší pozornost a prostředky. Cíl ochrany a přístup k výběru bezpečnostních opatření totiž nejspíš v takových případech nebude zcela jednoznačně stanovitelný.

V první fázi tak novela přináší především mnoho otazníků, třebaže její dodržování může výhledově skutečně klíčově zvýšit úroveň zabezpečení informačních systémů v České republice.