První velký den pro tuzemskou regulaci kybernetické bezpečnosti podle směrnice NIS2 se přiblížil. Návrh zákona o kyberbezpečnosti a k němu doprovodný změnový zákon vláda zařadila na své středeční zasedání rovnou jako první a druhý bod. Začátek schůze kabinetu nemá pevný čas a řídí se tím, kdy skončí dopolední jednání Sněmovny. K prvním dvěma bodům s rozpravou je také přizván ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr. Jeho podřízení měli přípravu normy od počátku na starosti.

Jak víme z minulého dílu, zákon na vládě pro NÚKIB neznamená, že má definitivně odpracováno. Bude totiž muset ještě dopsat hodnocení dopadů regulace (RIA). Ministři tak budou zákon schvalovat bez tohoto nedodělku. RIA ale má být součástí sněmovního tisku, tedy souboru dokumentů, který dostanou poslanci pro své rozhodování k dispozici. Než se kyberbezpečnostní zákon přesune do Sněmovny, bude muset NÚKIB své resty dohnat.

Případným schválením zákona vládou však role regulátora v dalších fázích legislativního procesu ustoupí do pozadí. Pak už totiž půjde o vládní návrh zákona, který v obou komorách bude hájit k tomu zmocněný člen vlády.

Správci systémů pro veřejnou správu musejí být na pozoru

Doprovodný zákon, který mají ministři rovněž schvalovat, mění deset stávajících předpisů tím, že do nich zapracovává povinnosti související s kyberbezpečností. Jde například o zákon o poštovních službách, který České poště jako držiteli poštovní licence ukládá povinnost informovat o narušení bezpečnosti poštovní sítě nebo poskytování základních služeb, a to nad rámec situací, kdy narušení má původ v kyberprostoru.





Do zákona o informačních systémech veřejné správy pak přibudou ustanovení týkající se cloud computingu. Správcům takových systémů, kteří sami nejsou poskytovateli regulované služby, a nespadali by proto pod režim regulace podle nového kyberzákona, se ukládá povinnost zavádět opatření tak, jako by byly v režimu nižších povinností. NÚKIB si tak přidává své kompetence i do dalších oblastí, na které jím připravený kyberzákon přímo nedopadá.

I do zákona o elektronických komunikacích přibylo několik odstavců ke kybernetické bezpečnosti. Upravují třeba případy, kdy je vydáno protiopatření či opatření obecné povahy NÚKIBem a v důsledku toho se regulace uložená ze strany ČTÚ stane zcela, nebo zčásti nesplnitelnou.

A konečně, novelizace se dočká i daňový řád, zákon o bankách, o Policii ČR nebo o provádění mezinárodních sankcí. Vždy tak, aby příslušná instituce měla dánu buď informační, nebo součinnostní povinnost vůči NÚKIBu.

Na digitální služby přichází přímá regulace

Nejen na národní, ale i na evropské úrovni se daly věci kolem NIS2 do pohybu. Evropská komise na webu zveřejnila návrh prováděcího předpisu, který dopadne na poskytovatele digitálních služeb. Jedná se mimo jiné o služby cloud computingu, služby vytvářející důvěru, provozovatelé DNS systémů, vyhledávačů nebo online tržišť. Směrnice počítá s tím, že tato úzká skupina poskytovatelů bude mít odlišné podmínky od všech ostatních. Týká se to především definice významného incidentu a s tím spojených povinností. Že na tyto poskytovatele se nebudou vztahovat národní pravidla bezpečnostních opatření, s tím ostatně počítá i připravovaný návrh kyberzákona, který v § 18 působnost tuzemských pravidel vylučuje.

Prováděcí předpis je možné v rámci veřejné konzultace připomínkovat, a to až do 25. července. Podněty je možné uplatnit přímo na webu Komise. Návrh není nijak neobsáhlý, má jen 16 článků. Aby bylo zřejmé, co přináší, pojďme si ho stručně představit. Především stanovuje odlišně od národní úpravy pravidla, kdy se pro skupinu vybraných poskytovatelů hodnotí incident jako významný, a to vůči každé dílčí skupině poskytovatelů digitálních služeb, resp. k obecným pravidlům platným pro všechny se přidávají speciální platná jen například pro provozovatele DNS služeb či doménové registrátory.

V rámci obecných pravidel Komise navrhuje kritéria významnosti incidentu nastavit tak, že hranicí, kdy je incident považován za významný, je splnění jedné nebo více podmínek. Takto bude považován třeba tehdy, pokud způsobil nebo může způsobit škodu pro regulovaný subjekt přesahující buď 100 tisíc eur, nebo 5 % ročního obratu, podle toho, která hodnota je nižší. Dále, pokud má potenciál způsobit značnou újmu na pověsti, unikla při něm obchodní tajemství, incident způsobil něčí smrt či značnou újmu na zdraví, nebo například při něm došlo k úspěšnému a neoprávněnému průniku do sítě a informačních systémů.

Protože termín značná újma na pověsti je poněkud vágní a každý by si ho mohl vykládat různě, přispěchala Komise s dalšími výkladovými vodítky. O újmu na pověsti půjde vždy, když o incidentu informují média, nebo na něj přišly stížnosti od různých uživatelů. Když v jeho důsledku regulovaný subjekt ztratí schopnost plnit regulační požadavky, nebo ztratí zákazníky s významným dopadem na jeho podnikání. Naopak dopředu naplánované výpadky a údržbové práce se za významné incidenty nepovažují. Ale za významný incident se považuje také opakující se nevýznamný incident, který nesplňuje žádnou z definovaných hranic, pokud se vyskytne alespoň dvakrát během půl roku a má stejnou příčinu.

Hranice podle délky odezvy a počtu zasažených klientů

Speciální pravidla platí pro provozovatele DNS služeb. O významný incident se jedná, pokud je překlad DNS adres na autoritativním nebo rekurzivním serveru kompletně nedostupný déle než 10 minut. Stejně tak, když po dobu alespoň jedné hodiny překročí průměrná doba odpovědi serveru na požadavek 10 sekund, anebo pokud dojde k narušení integrity DNS záznamů.

U registrátorů domén stačí, pokud dojde ke kompletnímu výpadku autoritativního DNS serveru, latence odpovědí na požadavky po dobu alespoň jedné hodiny překračuje 10 sekund, nebo dojde ke kompromitaci uložených záznamů.

Podobně přísná pravidla mají platit i vůči provozovatelům cloudů. Kompletní nedostupnost po dobu alespoň 10 minut, částečná po dobu 1 hodiny ovlivňující více než 5 % zákazníků cloudů v Evropské unii, narušení integrity dat buď kvůli škodlivému kódu, nebo s dopadem na 5 % evropských klientů budou vždy významným kyberincidentem.

S hranicí 5 % v případě evropských zákazníků pracuje regulace i v případě online tržišť, sociálních sítí nebo internetových vyhledávačů. Pokud výpadky ovlivňují tak velkou množinu klientů, nebo jich je alespoň milion, bude se jednat o signifikantní problém hodný nahlášení.

O něco přísnější je Brusel vůči poskytovatelům služeb vytvářejících důvěru. Tam stačí, pokud dlouhá odezva, výpadek či narušení konzistence dat ovlivní i jen 1 % unijních uživatelů, aby to podléhalo zvláštní ohlašovací povinnosti.