Při poslechu toho, co říkali představitelé Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) poslancům na zasedání výborů, se zdálo, jako kdyby podnikatelé měli mít jenom nějaké mírné povinnosti a vše by mělo být zalité sluncem. Úřad se asi obává, že kdyby řekl politikům pravdu, nikdo mu zákon neschválí v podobě, ve které ho předkládá. Protože administrativy a nákladů na byrokracii bude opravdu hodně.
Mimochodem, to samé úřad uvádí na síti X. Tam píše, že požadavky „nižšího režimu“, který dopadne na většinu subjektů, budou bezproblémové – určit osobu odpovědnou za kyberbezpečnost, nastavit základní bezpečnostní pravidla, prosazovat kyberbezpečnost z úrovně managementu, připravit plán postupu pro zvládání útoku a obnovu provozu po něm a používat výrobcem podporovaný software a mít antivir. Úřad to korunuje tvrzením, že „většina firem v nižším režimu zvládne dodržovat nový zákon za vynaložení minimálních finančních i personálních kapacit“.
Stejně tak říkal ředitel úřadu Lukáš Kintr zákonodárcům, že povinným subjektům budou stačit „dva povinné dokumenty, každý o rozsahu jedné, maximálně dvou stran A4“. Kdyby se povinnosti stanovovaly pomocí tweetů, tak by to jistě byla pravda. Nicméně úřad je chce stanovovat pomocí vyhlášek a tam je to úplně jiný příběh.
Ve vyhlášce je totiž jasně uvedeno, co budou muset tyto povinné subjekty v režimu „nižších povinností“ reálně plnit. Jde o povinnosti, které podle NÚKIBu dopadnou na 5000 firem. Nicméně podle analýzy projektu Datarun „Na koho dopadne zákon o kybernetické bezpečnosti“ je kyberbezpečnostní úřad ve svých odhadech významně optimističtější, nežli je realita.
Mezi podnikatelské subjekty v nižší formě regulace patří například všichni podnikatelé poskytující veřejně dostupné služby elektronických komunikací, a jen těch je kolem 2000 podniků. Celkové číslo v režimu nižších povinností je 6983 podnikajících subjektů a v režimu vyšších povinností je 1261 podniků. V kategorii „Veřejná správa“ se objevují další regulovaní – 289 v nižším režimu regulace a 152 ve vyšším režimu regulace. To není všechno, subjekty veřejné správy mají své „podnikající“ organizace. Subjektů, které nevykonávají činnosti jako veřejná správa, ale jsou veřejnou správou vlastněny, bylo identifikováno jako subjektů podléhajících regulaci celkem 7803. Cituji ze studie:
Tato čísla bere studie za minimální počet regulovaných subjektů, které budou podle návrhu vyhlášek předložených NÚKIB regulované. Jejich počet bude pravděpodobně ještě významně vyšší, protože u některých regulovaných služeb se nepodařilo dohledat zdroje, ze kterých by bylo možné čerpat informace. A také nebylo možné zahrnout podniky, které budou považovány za střední či velké podle evropských pravidel kvůli propojení s jinými velkými podniky. Zároveň je možné, že se vyhlášky změní a úřad přistoupí k omezujícím parametrům, jak již avizoval v případě fotovoltaiky. V takovém případě se počet subjektů sníží.
Z uvedeného je zjevné, že subjektů v nižší formě regulace bude rozhodně mnohem více, nežli s kolika kalkuluje Úřad ve své dopadové studii RIA.
Splnění minima organizačních opatření požadovaných úřadem znamená desítky hodin práce příslušného odpovědného zaměstnance nebo dodavatele a s tím související statisícové náklady jen na administrativu kolem nového zákona. Další náklady samozřejmě budou na technické řešení samotné bezpečnosti (tedy investice do bezpečnostních technologií).
Odkud to víme? Mimo jiné i z metodické pomůcky ke zjištění nákladů, které bude mít povinná osoba na zavedení opatření z nového zákona, kterou má NÚKIB na svých stránkách. Z ní je vidět, že ty „2 strany A4“, o kterých mluví ředitel úřadu, jsou ve skutečnosti seznamem povinných opatření, nikoli opatřeními samotnými.
Klíčové je totiž podívat se do návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, konkrétně do paragrafu 4, který říká: „Povinná osoba v rámci zajišťování kybernetické bezpečnosti (…) vždy zavede a provádí alespoň bezpečnostní opatření podle § 4 odstavce 2 až odstavce 7, § 5, § 6 a § 11.“ Toto není možné číst jinak, než že právě tyto povinnosti jsou naprosté minimum, které musí organizace mít zavedené.
Co to bude znamenat? Bude nutné mít přehled bezpečnostních opatření, která byla a nebyla zavedena a ten periodicky aktualizovat a vyhodnocovat a dokumentovat jejich účinnost. Tedy udělat základní analýzu, jejíž pracnost se bude pohybovat v normální střední firmě v řádu několika dnů kvalifikovaných člověkohodin práce, několika stran textu.
Představa úřadu, že firmy takové analýzy firmy o 50 zaměstnancích zvládnou vyrobit interně, je naprosté sci-fi. Ve valné většině případů – firmy opravdu nemají k dispozici nějaké kvalifikované zaměstnance s volným časem, kteří by mohli vzít agendu na starosti. Jde o odbornou práci – většina povinných subjektů nebude vůbec umět potřebné dokumenty vyrobit interně a bude se muset obrátit na externí společnosti, kde se sazby pohybují v tisících korunách za hodinu práce. Nejde o samotná opatření, ale o jejich srozumitelný a zákonem předpokládaný popis. Po základním popisu však přichází detailní investigace, včetně studia smluv s dodavateli a jejich přepracování podle předpokladů regulace.
V každé organizaci bude muset existovat důvěryhodná a s chodem organizace seznámená osoba, odpovědná za kybernetickou bezpečnost. S pokutami, které jsou s nedodržováním povinností ze zákona spojené, nebude valná odvaha to jakkoli „ošvejkovat“. Koneckonců, pokud regulovaný subjekt „ošvejkuje“ i hlášení incidentů, v podstatě sám na sebe přivolá kontrolu.
Regulovaný subjekt v nižší formě regulace, jako „povinná osoba“, bude muset řídit bezpečnostní politiku a dokumentaci, zajišťovat její aktualizace a dodržování pravidel zaměstnanci a dalšími pracovníky. Pak bude muset „stanovit přípustné způsoby používání aktiv“, což je zřejmě vydání interní směrnice, jak se mají uživatelé chovat ve vztahu k ICT.
A hlavně musí tento kyberbezpečnostní pracovník řešit všechny smlouvy s dodavateli, které se jakkoli dotýkají těch aktiv, na která se vztahují kyberbezpečnostní opatření. V praxi to bude znamenat na začátku účinnosti zákona otevření celé řady smluv a jejich revizi a přesmluvnění dle požadavků dle přílohy vyhlášky a kontrolu všech nových smluv.
Dále se budou nové povinnosti týkat vrcholného vedení, které bude muset projít školeními a prokazatelně se seznámit se stavem plnění bezpečnostních opatření podle přehledu bezpečnostních opatření. „Prokazatelně“ znamená, že bude k dispozici papír, na jehož konci budou dole podpisy osoby, která školí management, a školeného člena managementu. A samozřejmě nějaký podepsaný protokol ve smyslu, že bezpečnostní opatření jsou danému manažerovi známa. Školení je pochopitelně další poměrně významný náklad.
Školení se týká nejen managementu, ale i všech pracovníků, a opět o tom musí být záznamy (je to něco jako BOZP/PO). A musí se pravidelně opakovat, v „přiměřené“ míře. Vyškolit bude nutné každého nového pracovníka na relevantní pozici. Povinné minimum z vyhlášky je i vypracování pravidel pro pracovníky, jak mají přistupovat ke svému chování k ICT, vytvoření plánu, jak se bude jejich povědomí o kyberbezpečnosti zlepšovat, a nutnost stanovit, jak budou vypadat hesla do nejrůznějších systémů (např. délka, nutnost použití speciálních znaků, využití password manageru atd.). Tato pravidla se musí také kontrolovat, což znamená zavedení systému, který bude pravidla vymáhat a logovat a hlásit případné incidenty.
„Nižší povinnosti“ předpokládají i mít systém pro řešení kyberbezpečnostních incidentů, který zajistí, že všichni zaměstnanci, ale i dodavatelé, budou oznamovat případné neobvyklé chování a podezření na zranitelnosti. To, že se to týká i dodavatelů, znamená, že musí být smluvně ošetřeno, že dodavatelé vědí, kdy a kam a v případě jakého incidentu se obrátit na koho. Organizace musí vytvořit metodiku detekce a řešení incidentů, která by měla být ušita na míru dané organizaci (tedy např. zohlednit, jaká je tolerovatelná nedostupnost některých služeb, aby byl incident považovaný za významný, a podobně).
Nástroje pro detekci těchto incidentů musí umět následující: ověření a kontrolu přenášených dat na perimetru komunikační sítě, včetně blokování nežádoucí komunikace, nepřetržitou a automatickou ochranu před škodlivým kódem na relevantních technických aktivech, zejména na serverech a koncových stanicích, řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů, nepřetržité poskytování informací o relevantních detekovaných kybernetických bezpečnostních událostech a včasné varování relevantních osob a pravidelnou a bezodkladnou aktualizaci nástrojů pro nepřetržitou a automatickou ochranu před škodlivým kódem a dalších detekčních nástrojů a jejich pravidel.
Vezměte si příklad. Logovat, tedy zaznamenávat zprávy o činnosti, jako jedno ze základních technických opatření k zajištění kybernetické bezpečnosti. Toto znamená mít stanovenou politiku/metodiku, jak se budou případné kyberbezpečnostní incidenty řešit – tedy mít jasno, kdy a jak se informuje vedení, jaké budou postupy (např. obnovení systémů ze záloh, k čemuž je tedy nutné mít jako součást bezpečnostní politiky i politiku zálohování a podobně). A také jak se budou závažné incidenty hlásit na NÚKIB bez zbytečného odkladu, nejpozději do 24 hodin. Jde o takové incidenty, které mají „významný dopad na poskytování regulované služby“.
Tyto povinnosti (a to jsme ještě byli velmi struční v kondenzování deseti stránek textu) označuje vyhláška za naprosté minimum. Obsahuje ještě další povinnosti, jako třeba bezpečnost komunikačních sítí a aplikační bezpečnost, které si bude povinná osoba muset stejně zařídit, protože jí to vyjde z bezpečnostní dokumentace. Náklady na technickou část zabezpečení – což jsou licence na bezpečnostní software, nákup a udržování technologií v aktuálním stavu a případně nějaké monitorovací softwary – mohou být samozřejmě vysoké, ale záleží na dané organizaci. Zároveň se musí tato technická aktiva pro zajištění kybernetické bezpečnosti propsat do dokumentace, protože jinak nebude splněno to, že je udržovaná v aktuálním stavu. Tedy další administrativa.
Závěrem – požadavky na kybernetickou bezpečnost nejsou iracionální.
Otázka je, jak moc smysluplné je, aby stát vymáhal takto rozsáhlé povinnosti i po relativně nedůležitých firmách zákonem, pod hrozbami vysokých sankcí. Každá agenda, každý proces, každá norma vytvoří další administrativní místa na obou stranách – jak na straně regulovaných subjektu, tak na straně státu. Zejména v případech přímo regulovaných podniků, bez ohledu na jejich velikost, je stanovení „regulatorního“ minima zásahem na srdeční komoru podnikání.
Nedává smysl, aby ředitel regulátora, předkladatele zákona tvrdil, že „nějaké dvě A4“ nikoho nezabijí a že neznamenají významnou administrativní zátěž. To prostě není pravda.
Závěrem dva. Odsáváme si z ekonomiky významnou část kvalifikované pracovní síly na „neproduktivní“ procesy. Snaha vyhovět dalším a dalším předpisům nám vyšší míru produktivity práce do ekonomiky nepřinese. Ale to je jen takové hlasité povzdechnutí.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU