Minulý díl seriálu Regulace podle NIS2 jsme rozebrali připravovaný Akt o kybernetické odolnosti, který se má stát Nařízením o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky. Ten cílí na to, aby spotřební zboží, například ledničky, dětské chůvičky, chytré hodinky a další spotřebiče napojené na internet byly nejen před uvedením na trh, ale po celou dobu jejich životnosti bezpečné a vůči případným kyberútokům odolné.

To jistě povede k úvahám výrobců, zda svému výrobku dají do vínku možnost se k internetu vůbec připojovat, nebo dosah omezí jen na vnitřní síť, případně konektivitu odepřou z bezpečnostních důvodů úplně. Odpadla by jim tím nutnost řešit záplatování chyb a aktualizaci firmwaru po dobu očekávané životnosti výrobku.

Solidarita má být prostředkem prevence

Tentokrát se podíváme na druhou z minule zmíněných připravovaných novel z bruselské kuchyně, a to Akt o kybernetické solidaritě. U něj je příprava o krok dál. Na úrovni zástupců členských států už byla dosažena dohoda a řada je teď na Evropském parlamentu, aby v rámci takzvaných trialogů nastavil konečnou verzi předpisu.

Podobně jako v předchozím případě i Akt o kybernetické solidaritě má krkolomný název. Oficiálně se jedná o návrh Nařízení, kterým se stanoví opatření k posílení solidarity a kapacit v Unii pro odhalování kybernetických bezpečnostních hrozeb a incidentů a pro připravenost a reakci na ně. Předkladatelé se nijak netají tím, že jde o reakci mimo jiné na válku na Ukrajině. „Vojenské agresi Ruska předcházela strategie nepřátelských kybernetických operací, které i nadále uvedenou agresi doprovázejí. To zásadně mění vnímání a hodnocení připravenosti EU na kolektivní řešení kybernetických krizí a znamená to i výzvu k neodkladným krokům,“ uvádí se v důvodové zprávě návrhu.





Nejsou to ale jen kyberhrozby spojené s geopolitickým napětím a konfliktem na východ od našich hranic. Brusel znepokojuje zvyšující se počet kyberútoků, včetně infiltrace ransomwaru, kybernetické špionáže nebo narušení provozu. Zmiňuje přitom útok z roku 2020 na dodavatelský řetězec SolarWinds s více než 18 tisíci organizacemi po celém světě, včetně vládních agentur a velkých společností. „Významné kybernetické bezpečnostní incidenty mohou být pro jeden nebo několik zasažených členských států natolik disruptivní, že je nemohou řešit samy,“ píše se dále v návrhu. Solidarita na úrovni Unie (a od toho také pochází název tohoto předpisu) má zahrnovat výměnu informací a zlepšit společné kapacity pro odhalení kyberhrozeb dříve, než stihnou napáchat rozsáhlé škody.

Se štítem, nebo na štítu?

Ačkoliv NIS2 a od něj odvozená národní legislativa ke kybernetické bezpečnosti zná nástroje pro spolupráci nejen na evropské úrovni, ostatně platformě EU CyCLONe jsme věnovali celý jeden díl, Brusel přiznává, že pokud jde o připravenost a reakci na incidenty, podpora na úrovni EU a solidarita mezi členskými státy „jsou v současné době omezené“. To se má změnit vytvořením evropského kybernetického štítu.

Ten se bude skládat z bezpečnostních operačních středisek v celé EU. Každý zúčastněný stát si určí národní bezpečnostní operační středisko, a to bude fungovat jako referenční bod a brána k dalším veřejným, ale i soukromým organizacím na vnitrostátní úrovni. Bude shromažďovat a analyzovat informace o kyberhrozbách a incidentech na svém území. Počítá se tu s využitím i pokročilých technologií umělé inteligence.

Vedle toho vzniknou přeshraniční bezpečnostní operační střediska. Ta tvoří konsorcia nejméně tří členských států a zajišťují sdílení informací mezi státy. Během první fáze byla v rámci programu Digitální Evropa, z jehož prostředků mají být jednotlivá operační střediska vybudována, vybrána tři konsorcia, která sdruží veřejné subjekty z celkem 17 zemí a Islandu. Nad tím vším bude mít dohled Evropské centrum kompetencí pro kybernetickou bezpečnost.





V těžkých časech půjde povolat rezervy

Akt o kybernetické solidaritě dále zavádí mechanismus pro mimořádné události. Mechanismus stanoví opatření na podporu připravenosti, včetně koordinovaného testování subjektů působících ve vysoce kritických odvětvích. Evropská komise by měla po konzultaci s agenturou ENISA a skupinou pro spolupráci v oblasti bezpečnosti sítí a informací pravidelně určovat příslušná vysoce kritická odvětví. Subjekty do nich spadající pak budou na celoevropské úrovni podrobeny pravidelnému koordinovanému testování, pokud jde o potenciální nedostatky, které by je mohly vystavit kybernetickým hrozbám.

Druhým pilířem mechanismu bude vytvoření rezervy EU pro kybernetickou bezpečnost. Tu tvoří služby reakce na incidenty ze strany důvěryhodných poskytovatelů. Rezervu EU pak budou moci využít národní regulátoři, týmy CSIRT a další instituce unie v případech, které nebudou schopni zvládat vlastními silami. Předpokládá to tedy, že napřed se pokusí přijmout vlastní opatření ke zmírnění dopadů incidentů. Žádosti o pomoc pak bude posuzovat agentura ENISA.

Její význam Akt o kybernetické solidaritě posiluje nejen směrem k EU, kdy tato agentura bude nejen prodlouženou rukou Komise, ale své úkoly má i u soukromého sektoru, kde bude budovat cesty pro výměnu informací se specializovanými poskytovateli, včetně poskytovatelů řízených bezpečnostních řešení. ENISA se rovněž zapojí do přezkumu a posouzení hrozeb, zranitelných míst a opatření ke zmírnění dopadů v souvislosti s každým významným nebo rozsáhlým kyberincidentem. Po dokončení přezkumu ENISA vypracuje zprávu, v níž se zaměří na posouzení příčin, dopadů a zmírnění následků incidentů.

Jak jsme naznačili, štít EU pro kybernetickou bezpečnost a mechanismy pro mimořádné situace budou podpořeny z programu Digitální Evropa. V něm je celkově k dispozici 842 milionů eur. 100 milionů z toho bude alokováno na vybudování národních bezpečnostních operačních středisek a na podporu zřízení rezervy EU.