Už jen vyslovením názvu evropské směrnice NIS2 (2022/2555) se u řady podnikatelů mohou dostavit nepříjemné pocity související s tušením, že jako u ostatních nástrojů evropské regulace půjde o další nákladovou položku, která nepřináší mnoho prospěšného. Podobně jako svého času nařízení GDPR v oblasti osobních údajů se i NIS2 v otázkách kybernetické bezpečnosti už v průběhu schvalování stalo obávaným strašákem podniků využívajících informační systémy. A to jsou prakticky všechny.
Tak jako jsme v seriálu o datových schránkách rozebrali výhody i nevýhody datových schránek, rozhodli jsme se v novém seriálu o NIS2 přehledně představit povinnosti, které budou s touto směrnicí spojené.
Nečekejte však, že půjde o vyčerpávající právní rozbor jednotlivých ustanovení. Naším cílem je v jednotlivých dílech ukázat cestu, jak bruselským požadavkům prakticky vyhovět. Přineseme užitečné postřehy právníků, bezpečnostních manažerů i správců sítí, upozorníme na záludnosti, na které bude dobré dát si pozor a počítat s nimi. Budeme rádi, když na konci seriálu zbavíme NIS2 mýtů a každému bude jasné, jak a na co se připravit.
Času je relativně ještě dost. NIS2 se stala platnou letos 16. ledna. Od tohoto data běží transpoziční lhůta 21 měsíců. To znamená, že Česko by mělo nový rámec povinností do legislativy zakotvit nejpozději do 16. října příštího roku. Ještě delší lhůta pak bude stanovena pro zahájení plnění povinností u těch organizací, které dosud regulaci nepodléhaly.
Trocha historie na úvod
Regulace kybernetické bezpečnosti na evropské úrovni není úplnou novinkou. Aby mohla vzniknout směrnice NIS2, rozum velí, že jí zřejmě předcházela směrnice NIS1, nebo spíše jen NIS. Tu Evropský parlament přijal už v roce 2016, konkrétně 6. července 2016. Její celý název zní Směrnice Evropského parlamentu a Rady (EU) 2016/1148, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii. Tato norma dala na unijní úrovni základ pro sjednocení minimální úrovně bezpečnosti sítí a informačních systémů používaných v důležitých službách.
Do té doby se praktická stránka řešení kybernetické bezpečnosti na úrovni jednotlivých států výrazně lišila. Jen některé státy, a budiž přičteno ke cti České republiky, že mezi ně patřila, měly příslušné postupy upravené vlastní legislativou. Ale ne všude fungovaly týmy a mechanismy, jak kybernetickým hrozbám čelit. Proto Unie dala dohromady soubor nutného minima, které musejí splňovat všechny členské státy.
S tím, jak na důležitosti nabírají hodnoty dat shromažďovaných v informačních systémech, rostl i význam této regulace. Bylo tedy jen otázkou času, kdy se oblast kybernetické bezpečnosti dostane do centra pozornosti Evropské unie.
Už původní směrnice NIS rozdělovala ukládané povinnosti jednak na závazky organizačního a legislativního charakteru, jednak potom cílila přímo na okruhy definovaných povinných subjektů. Abychom později mohli rozebrat, co se s NIS2 mění, pojďme si projít, jaké povinnosti platily už předtím.
Z těch organizačně legislativních to byla povinnost každého členského státu dát dohromady národní strategii pro bezpečnost sítí a informačních systémů. Ta měla zahrnovat strategické cíle a konkrétní opatření, kterými je stát ochrání. Dále to byla povinnost zvolit nebo nově zřídit centrální orgán na řízení kybernetické bezpečnosti. Tato instituce vykonává funkci ústředního kontaktního místa pro přeshraniční spolupráci na úrovni EU a dále plní úkoly, jež mu směrnice ukládá vnitrostátně. V tuzemsku je tímto orgánem Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
CSIRT nebo CERT?
Vedle něj ještě NIS ukládala povinnost zřídit CSIRT (Computer Security Incident Response Team) tým. Těžko přeložitelný a hlavně v médiích zjednodušitelný název má v českém překladu směrnice pojmenování Skupina pro reakci na incidenty v oblasti počítačové bezpečnosti. Uznáte jistě sami, že to není žádný sexy název, a jako by toho nebylo málo, dalším z prvků boje proti kyberkriminalitě jsou bezpečnostní týmy typu CERT (Computer Emergency Response Team).
Ačkoliv každá z těchto zkratek má trochu jiný význam, a hlavně jinou historickou genezi, ve skutečnosti je jejich úkol do značné míry podobný – každý je ve svém jasně definovaném poli působnosti zodpovědný za řešení bezpečnostních incidentů. Z pohledu uživatelů nebo jiných týmů je to tedy místo, na které se mohou obrátit se zjištěným bezpečnostním incidentem, nebo i jen podezřením.
CSIRT týmy přitom vznikají na úrovni jednotlivých organizací, a to jak těch, které zprostředkovávají chod internetu (ISP, poskytovatelé obsahu), tak těch, pro které je internet klíčovým prostředkem k zajištění jejich hlavní činnosti (banky).
Každý CSIRT tým řeší incidenty v rámci jeho pole působnosti. Navzájem pak jednotlivé CSIRT spolupracují. Základním požadavkem komunity proto je, aby CSIRT tým veřejně deklaroval své kontaktní údaje a pravidla činnosti. Tím se odlišuje od bezpečnostních týmů, které má každý větší podnik. U CSIRT by mělo být jasné, kdo jsou jeho členové, způsob, jak a kdy je možné je zastihnout, jaké služby nabízejí, a zejména pak, jakému odvětví se věnují (autonomní systémy, síť, domény, služby). Na základě toho je pak tým kontaktován a je v jeho pravomoci řešit příslušné bezpečnostní incidenty.
Výraz řešit bezpečnostní incident přitom může nabývat různých podob v závislosti na nastavení týmu a jeho interní politice. Může to být prostá eliminace útoku, například jeho odpojením od sítě, dohledání pachatele nebo rychlé obnovení provozu napadené služby nebo části sítě.
Podle toho, jak je CSIRT tým nastaven, mluvíme o interním (institucionálním) týmu, nebo o koordinačním. Liší se v tom, že tým interního typu obvykle má možnost bezodkladně zasáhnout a přímo odpojit zdroj problému nebo zavést filtraci provozu v síti, zatímco tým koordinačního typu tuto možnost přímého zásahu nemá. Jeho funkce je komunikační, musí spolupracovat a zprostředkovávat informace. V této roli jsou obvykle tzv. národní CSIRT týmy.
Jejich úloha je nezastupitelná u případů, kde je dlouhý vektor mezi zdrojem a cílem útoku. Pokud totiž problém leží v působnosti jednoho CSIRT týmu, je řešení jednoduché a rychlé. Nalezne se konkrétní odborník v místě problému, který jej dokáže rychle a předvídatelně řešit. Pokud ale napadený nenalézá odpovídající protějšek, ať už proto, že neexistuje, nebo o sobě nedává žádné použitelné informace či odmítá problém řešit, hodí se najít někoho, kdo má „dlouhé prsty“ a je připravený pomoc zprostředkovat. Tím jsou obvykle národní nebo vládní vrcholové CSIRT týmy.
Jak jsme zmínili, zpravidla nevládnou nad fyzickou infrastrukturou, takže na rozdíl od interního/institucionálního typu nemají možnost přímo zasáhnout. Jejich role spočívá ve zprostředkování kontaktu, případně v koordinaci postupu jednotlivých řešitelů (odtud pojmenování koordinační).
Národní tým je vrcholová, někdy se též říká poslední instance. Dostává se k němu jen zlomek bezpečnostních incidentů. Většinu se jich totiž podaří zvládnout v rámci komunikace napřímo, bez nutnosti eskalace problému. O co nižší četnost, o to vyšší závažnost ale musejí řešit. Půjde o případy, kdy bude obtížné identifikovat, do čí působnosti problém spadá, nebo jej řešit odmítá, případně, kdy se jedná o velmi závažné nebo opakující se incidenty.
Ač se na první pohled může jevit opak, všechny CERT/CSIRT týmy jsou navzájem rovnocenné. Neexistuje mezi nimi žádná hierarchie, která by jeden z nich činila nadřazený jinému. Z hlediska komunikace, spolupráce a výměny informací jsou na stejné úrovni a nejsou nijak limitovány. Větší akceschopnost vrcholovému týmu může dát jedině legislativa, která upraví jeho pravomoci třeba v oblasti požadované reakce ze strany provozovatelů sítí a služeb.
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, u nás platí od roku 2015. Upravuje koexistenci a roli Národního i Vládního týmu a definuje, které subjekty jsou povinny tomu kterému týmu hlásit bezpečnostní události a incidenty. Poměrně komplexně také definuje, co by týmy měly s těmito získanými informacemi dělat, jak by s nimi měly nakládat a jak by mělo vypadat prostředí pro jejich efektivní sběr.
To si ale podrobně rozebereme příští týden, kdy budeme pokračovat tím, na koho se vztahovala NIS a jak se její působnost nyní rozšiřuje.
