V únoru roku 2013 byl představen návrh evropské směrnice pro kybernetickou bezpečnost (NIS). Jde o vůbec první právní úpravu v rámci Evropské unie týkající se této oblasti. Kolem finální podoby se vedly dlouhé a složité debaty. Členské státy se na několika bodech střetávaly, problematická byla třeba výměna dat.
Do formování směrnice se prostřednictvím Národního bezpečnostního úřadu (NBÚ) výrazně zapojila i Česká republika, která na rozdíl třeba od Italů, Chorvatů a dalších států byla velice aktivní. Přes NBÚ do připomínkování promlouval také správce národní domény CZ.NIC, společnost Seznam.cz či ministerstvo vnitra.
Směrnice NIS chce do zemí evropské osmadvacítky přinést spolupráci v rámci kybernetické bezpečnosti. Mají vzniknout pověřené bezpečnostní CSIRT týmy a bude docházet k výměně informací a dat o incidentech a možných hrozbách. Klíčové proto bylo určit, na koho přesně se tyto nové regulace budou vztahovat.
Podle nejnovější verze směrnice, kterou má Lupa k dispozici a která by se ve výsledku měla pouze „učesat“, vznikne jakási forma dvoukolejní regulace – organizace v jedné kategorii budou posuzovány a regulovány přísněji a na druhou skupinu bude legislativa mírnější.
Kritická infrastruktura, kam spadne i NIX
První kategorie, která se označuje jako operátoři základních služeb, je regulována celkem logicky. Jde o subjekty, které spadají do takzvané kritické infrastruktury státu. U nich je třeba dosáhnout toho, aby nebyly napadeny kybernetickými útoky a nezpůsobily tak ohrožení země, případně výpadky dodávek elektřiny a podobně.
Národní bezpečnostní úřad.
Do oblasti operátorů základních služeb tak spadají například elektrárny, přenosové soustavy, producenti ropy a plynu, letecká, železniční, vodní i silniční doprava, banky a finanční instituce, distribuce pitné vody, zdravotnictví (tam ještě není vše jasné, například to, jak velké nemocnice se budou muset zapojit a jak se to určí) a také digitální infrastruktura.
Pro české prostředí to není nic moc nového, vyjma třeba nemocnic. V naší zemi platí zákon o kybernetické bezpečnosti, který kritickou infrastrukturu rovněž definuje. Evropská směrnice náš zákon pouze rozšíří. Do kritické infrastruktury budou spadat internetové uzly (v případě Česka tedy NIX.CZ a Peering.cz), DNS provideři a top level doménové registry.
Subjekty zahrnuté do regulace budou určovat jednotlivé členské státy. Budou tam spadat všechny organizace, kterých se týkají kritéria směrnice, a Evropská komise pak bude vše přezkoumávat. V případě Česka selekci zřejmě dostane na starost NBÚ, stejně jako u kybernetického zákona. Ten už u nás kritickou infrastrukturu nějakou dobu mapuje, aktuálně do ní zahrnuje kolem šedesáti subjektů.
Začlenění NIXu a dalších do kritické infrastruktury nemusí být zásadní překážkou, tuzemský internetový uzel ostatně na výměně bezpečnostních informací s komunitou spolupracuje. CZ.NIC se nicméně ohrazoval proti zařazení registrátorů a provozovatelů DNS.
"Zatímco registrátory se podařilo z návrhu regulace vyjmout, v druhém případě zůstala Česká republika bohužel prakticky osamocena. Naše snaha byla vedena především skutečností, že provozovatelé DNS serverů jsou rovněž velmi malé subjekty, v některých případech i jedinci – zejména studenti, kteří by nebyli schopni splnit všechna opatření z této legislativy vyplývající,“ přibližuje Jiří Průša z CZ.NIC.
„Uvedení provozovatelů DNS serverů ve Směrnici však neznamená, že povinnosti z NIS se budou automaticky vztahovat na všechny operátory. Zde bude velmi záležet na transpozici Směrnice do českého právního řádu a stanovení tzv. určovacích kritérií,“ dodává.
Regulace vyhledávačů, e-commerce a cloudů
Organizace se obávají toho, že evropská směrnice do hry přinese větší administrativní zátěž a byrokracii a otázkou také je, zda se funkce některých bezpečnostních týmů, které se budou formovat, nebudou duplikovat.
NBÚ poprvé trénoval útoky na kritickou infrastrukturu na cvičení Cyber Czech v Kybernetickém polygonu (KYPO) v Brně.
Přílišné svázanosti se obávaly i firmy, které spadají do druhé, méně regulované kategorie nazvané poskytovatelé digitálních služeb (DSP). Určování parametrů této oblasti bylo spíše politickou otázkou. Jde o výseč firem, které jsou důležité pro obchodní zájmy Evropské unie a rozvoj digitální ekonomiky, zároveň jsou ale dostatečně velké na to, aby jejich případné kybernetické ohrožení mělo značné dopady na ekonomiku.
Do oblasti DPS finálně spadají online/e-commerce tržiště včetně obchodů s aplikacemi, internetové vyhledávače a cloudy. Díky aktivitám několika států nakonec byly vyškrtnuty sociální sítě, se kterými se v původních návrzích rovněž počítalo. NIS se netýká ani internetových platebních bran, na které se vztahují jiné evropské regulace. „Prozatím nemáme představu, kolika subjektů se to u nás dotkne,“ říká pro Lupu Hana Valentová z NBÚ.
V určování specifikace kategorie DSP se Česká republika velmi aktivně snažila prosazovat vlastní pohled na věc a v mnoha ohledech se to povedlo. Výsledkem je takzvaný přístup „light touch“, kdy se regulace firem bude provádět skrze prováděcí akty a pro firmy nebudou platit tak přísná pravidla, jako pro subjekty z oblasti kritické infrastruktury. I tak ale EU do hry přináší v podstatě první náznak regulace tohoto druhu.
„Česká republika, ač obecně směrnici NIS uvítala a podpořila, od počátku nesouhlasila zejména s regulací poskytovatelů digitálních služeb. Může totiž působit spíše jako brzda pro rozvoj oblasti ICT, což je podle ČR zásadně v rozporu se současnými trendy a ekonomickými zájmy, stejně jako iniciativami vyvíjenými v rámci EU,“ vzkazuje NBÚ. I z toho důvodu tak do regulace nespadají malé firmy, startupy a podobně, které by něco takového mohlo přidusit.
Pro ty, co ještě nic nemají
„Báli jsme se, aby nevznikly nějaké ISO normy. Potřebujeme technologickou i procesní volnost,“ říká pro Lupu Libor Manda, manažer vztahů s veřejným sektorem v Seznamu. Určité volnosti se nakonec dosáhnout podařilo. Firmy si budou moci zvolit, jak dosáhnout stanovených cílů s tím, že pak budou kontrolovány. Dle soukromého sektoru to dává logiku – firmy vědí, jak ve svém prostředí nejlépe fungovat a postupovat a nepotřebují univerzální byrokratické šablony.
Soukromý sektor má navíc v Česku dobrého spojence. NBÚ bude na regulaci dohlížet a jeho zástupci jasně říkají, že rozhodně nemají v plánu situaci nijak ztěžovat. Bezpečnostní úřad se naopak v oblasti kybernetické bezpečnosti slušně chytil, spolupracuje třeba s CZ.NIC a obecně platí za spolehlivou součást komunity.
„Pokud se situace bude vyvíjet tímto směrem, asi se toho zase tolik nezmění, protože požadované věci už stejně děláme. V oblasti kybernetické bezpečnosti funguje dobrovolná spolupráce a samoregulace a navíc jsme v minulosti připomínkovali i český kybernetický zákon,“ navazuje Manda.
Obecně se zdá, že směrnice NIS je přínosná spíše pro země, které podobný zákon jako my nemají. NIS uloží státům povinnost vytvořit národní strategii bezpečnosti sítí a informací – i tu už v Česku máme.
V každé členské zemi začne fungovat kontaktní místo (v našem případě spíše dvě), které bude informace o kyberhrozbách sbírat. Ani tady by se pro Českou republiku nic moc zásadního nemělo měnit. Národní centrum kybernetické bezpečnosti (NCKB) už jako styčný bod pro státní instituce funguje a stejně tak bezpečnostní tým CSIRT.CZ v rámci CZ.NIC, který má na starost soukromý sektor.
Směrnici NIS budou chtít představitelé států projednat na jarním zasedání Rady ministrů. Jakmile projde všemi procesy a bude schválena, státy včetně Česka budou muset do 21 měsíců provést transpozici do vlastní legislativy. Tady by žádné prodlužování nemělo hrozit, i díky kyberzákonu máme v oblasti slušný náskok. Data ze všech států by se pak měla sbíhat v agentuře ENISA.
