V meziresortním připomínkovém řízení jsou už kompletně všechny kybernetickým zákonem předvídané prováděcí předpisy. Jako poslední Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) předložil k připomínkám Nařízení vlády o strategicky významných službách a Nařízení vlády o nepominutelných funkcích stanoveného rozsahu. K návrhům na jejich úpravu je NÚKIB otevřen do 20. června, kdy končí lhůta pro uplatnění připomínek.
Oběma předpisům se budeme v dnešním díle našeho seriálu podrobně věnovat. Pro jistotu připomeňme, že na rozdíl od kyberbezpečnostního zákona, který prochází standardním legislativním procesem (a momentálně čeká na projednání v senátních výborech), u nařízení vlády je to kabinet, který navzdory případně uplatněným připomínkám určuje finální podobu tohoto právního aktu.
Brněnské hejtmanství chce zkrátit minimální hesla
Mimochodem, ty už začínají přicházet ke dříve zveřejněným návrhům vyhlášek. Například u vyhlášek o bezpečnostních opatřeních poskytovatele regulované služby v nižším režimu a vyšším režimu uplatnil Jihomoravský kraj hned několik požadavků. Chce úlevu v minimální délce používaných hesel pro účty technických aktiv. Namísto NÚKIBem prosazovaných 22 znaků navrhuje brněnské hejtmanství hesla o dva znaky kratší. „Požadavek na 22 znaků je v praxi obtížně realizovatelný a může vést k obcházení pravidel, například ukládání hesel v nezašifrované podobě. Délka 20 znaků je dostatečně bezpečná a zároveň lépe vyvážená vůči použitelnosti,“ zdůvodňuje úřad, proč ve 20znakových hesel vidí tak významný posun k lepšímu.
Navrhuje také nastavit pevné datum účinnosti vyhlášky, ideálně od 1. ledna příštího roku. Audity kybernetické bezpečnosti pak mají být ne každé 2, ale 3 roky, podobně i výbor pro řízení kybernetické bezpečnosti pohledem krajského úřadu není potřeba svolávat každý rok, ale stačí jednou za 18 měsíců. U další vyhlášky hejtmanství dokonce vystupuje proti použitému patkovému písmu, které ubírá textu na čitelnosti… Do konce lhůty pro podání připomínek k vyhláškám zbývá méně než týden a dá se čekat, že další hodnotné podněty k vylepšení ještě přibydou.
Na operátory nařízení pamatuje
Ale zpět k návrhům vládních nařízení. Začneme u nepominutelných funkcí stanoveného rozsahu. Ta bude nejvíce zajímat telekomunikační operátory, protože jim je věnována celá příloha vymezující, co všechno se u poskytovatelů veřejně dostupných služeb elektronických komunikací a provozovatelů veřejných komunikačních sítí automaticky považuje za nepominutelné funkce. To má vliv na to, nakolik bude moci vláda operátorům mluvit do otázky dodavatelského řetězce.
Úprava nepominutelné funkce je definována tak, že jde o aktivum strategicky významné služby, které poskytovatel v režimu vyšších povinností sám ohodnotil jako vysoké. V případě telekomunikačních operátorů to navíc jsou funkce uvedené v příloze, kde jsou rozděleny do tří kategorií: pro veřejné komunikační sítě související s řízením síťových zdrojů, se směrováním a jinou kontrolou nebo s řízením provozu koncových uživatelů s významným dopadem na síťový provoz, dále pro funkce sítí 4. generace a funkce sítí 5. generace.
Nacházíme zde funkce související s data retention, funkce spojující jádro sítě s externími aplikacemi, fakturační a backendové systémy, i funkce pro řízení rádiové přístupové sítě a řízení základnových stanic. Dále sem nařízení řadí gateway propojující paketovou síť s uživatelským zařízením, funkce odpovědné za handovery mezI BTSkami, nebo funkce řídící uživatelské relace. Ať už si tyto části své infrastruktury operátoři zaškatulkují z hlediska důležitosti jakkoliv, pravomoc u těchto funkcí promlouvat do toho, jaké provenience mají být dodavatelé těchto prvků, bude mít vláda vždy.
„Stanovením konkrétních nepominutelných funkcí bude zamezeno případnému rozdílnému přístupu k provedení identifikace kritických aktiv jednotlivými poskytovateli regulovaných služeb, (…) což bude mít pozitivní vliv na bezpečnost státu,“ netají se v hodnotící zprávě RIA účelem takovéhoto konkrétního stanovení povinností NÚKIB.
Potvrzují se tak původní předpoklady, že ve Sněmovně vyjednaná úleva v podobě vyškrtnutí aktiv kategorie vysoká ze zákona bude od prvního okamžiku vyvážena přesunem do vládního nařízení, které navíc vláda sama může kdykoliv upravit a další funkcionality sítě do seznamu přidat. Zopakujme, že na návrh sněmovního Hospodářského výboru přímo v zákoně zůstala možnost zasahovat do dodavatelského řetězce jen u aktiv nejvyšší kategorie kritická.
NÚKIB si toto přeřazení ze zákona do prováděcích předpisů, proti kterému ve výborech zpočátku brojil, nyní pochvaluje. „Z hlediska technické proveditelnosti je tato varianta (seznam nepominutelných funkcí zakotvený přímo v zákoně – pozn. redakce) zásadně nevhodná. Jakákoliv změna nebo aktualizace výčtu funkcí by musela probíhat formou legislativní novely zákona v Parlamentu,“ napsal úřad do hodnotící zprávy RIA s dovětkem, že „bez možnosti pružné reakce by mechanismus dodavatelského řetězce postupně ztrácel účinnost“.
Dopady hodnocené počtem potenciálních obětí
Druhé nařízení, o strategicky významných službách v jednotlivých odvětvích, definuje regulované služby, které stát považuje za klíčové. U státní správy je to vždy výkon svěřených pravomocí ze strany ministerstev a jiných správních úřadů s celostátní působností. Patří sem i kanceláře prezidenta, Senátu a Poslanecké sněmovny, centrální banka, Policejní prezidium, Generální inspekce bezpečnostních sborů, celostátní policejní útvary, a hasiči od krajského ředitelství výše.
V oboru energetika to budou velcí výrobci elektřiny s výkonem nad 100 MW, provozovatelé přenosové a distribuční soustavy, provozovatelé ropovodů a plynovodů nebo Energetické datové centrum. U dopravy Řízení letového provozu a letečtí meteorologové a Správa železnic.
Upřesnění se dočkalo vymezení strategicky významné služby v odvětví digitální infrastruktura a služby. Sem bude patřit každý operátor, který bude mít ve své síti aspoň 350 tisíc aktivních SIM karet nebo 100 tisíc aktivních pevných internetových přípojek. Pak to také bude správce a provozovatel registru národní domény a v neposlední řadě poskytovatel cloudu zařazeného do nejvyšší bezpečnostní úrovně podle podmínek pro státní cloud computing.
S takto vymezenými regulovanými službami souvisí stanovení nezbytného rozsahu strategicky významné služby. Poměřují se závažnosti následků, které by vyvolala případná nedostupnost. U veřejné správy se bere v úvahu riziko zranění více než 2500 lidí nebo ztráty života více než 250 lidí. Stejně tak negativní ovlivnění diplomatických vztahů, vážné a dlouhodobé narušení schopnosti vyšetřovat trestnou činnost, způsobit hromadné nepokoje nebo narušit veřejný pořádek v celostátním měřítku. Výpadek také nesmí státu způsobit hospodářské ztráty nad 0,5 % hrubého domácího produktu, u rozpočtů na nižších úrovních se nesmí jednat o ztrátu nad 10 % běžných ročních výdajů, a současně ale musí jít o újmu vyšší než 10 milionů korun. Posledním možným kritériem je závažný zásah do každodenního života postihující alespoň 125 tisíc lidí.
Ropovody a plynovody mají nezbytný rozsah strategicky významné služby vymezen průměrem potrubí, resp. tlakem. U vnitrostátního ropovodu nejméně 20 cm, u tranzitního 50 cm, u distribuční soustavy jsou v této kategorii všechny vysokotlaké a střednětlaké plynovody.
Digitální infrastruktura má tento rozsah definován v návaznosti na zákon o elektronických komunikacích. Půjde o služby přístupu k internetu a interpersonální komunikační službu. Pro obyvatelstvo tak musí být zajištěno datové, hlasové i SMS spojení.
Regulátor také znovu připomněl svůj odhad, že pravidla pro strategicky významné služby se mají dotknout přibližně 150 subjektů. Počítá pak i s přezkumem účinnosti přijatého nařízení, a to po dvou letech, kdy by už měl mít dostatek poznatků o tom, jak se nové regule v praxi zaběhly.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU