Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spustil v pilotním režimu nový Portál NÚKIBu a dal tak nahlédnout, jak si po účinnosti nového zákona o kybernetické bezpečnosti představuje komunikaci s regulovanými subjekty. Vesměs veškeré povinné kroky vůči regulátorovi, ať už půjde o registraci regulované služby, hlášení incidentů, provedení protiopatření nebo nápravného opatření nebo hlášení informací o dodavatelích, to vše bude probíhat touto cestou.
Nedostatek formy zákon potrestá
Jedinou výjimkou, kdy bude možné plnit zákonem dané povinnosti jiným způsobem, tedy buď datovou schránkou, nebo e-mailem na podatelnu úřadu, resp. CSIRTu, je nefunkčnost Portálu. Krkolomným jazykem návrhu kyberbezpečnostního zákona se jedná o situaci, kdy „není z důvodů nezávislých na vůli osoby provádějící úkon možné využít k provedení úkonu Portál úřadu“.
Navrhovaný zákon dává regulátorovi účinný nástroj postihovat všechny ty, kdož by chtěli povinnou formu komunikace přes formuláře na Portálu obcházet. Na rozdíl od finanční správy, kde u daňových subjektů se zřízenou datovou schránkou hrozí při podání daňového přiznání v nežádoucí papírové podobě pokuta 1000 korun (ale až po neuposlechnuté k výzvě ze strany správce daně k opravě podání v závadné formě), NÚKIB rovnou považuje takové podání za neúčinné (§ 45 odst. 2 připravovaného zákona) a k opravě nevyzývá. To znamená, že třeba bezpečnostní incident bude považovaný za nenahlášený, a za tento přestupek hrozí pokuta až 100 milionů korun.
Zpřístupnění veřejné části Portálu NÚKIBu je dozajista krokem správným směrem. Donedávna totiž veškerý obsah tohoto portálu byl skryt až za přihlašovacím formulářem, přes který se dostal jen velmi omezený okruh subjektů spadajících pod regulaci dle stávajícího zákona o kyberbezpečnosti (zák. č. 181/2014 Sb.). Ostatní měli smůlu. Nyní ještě před přihlášením do neveřejné části je k dispozici celá řada užitečných informací k danému tématu, a jak NÚKIB sám naznačil, brzy sem hodlá přesměrovat web věnovaný kyberbezpečnostní osvětě nis2.nukib.gov.cz.
Z užitečných nástrojů zmiňme například „rychlou kalkulačku“, které by spíše slušelo pojmenování Moudrý klobouk z bradavické školy čar a kouzel, když na základě výběru odvětví a poskytované služby, případně dalších relevantních parametrů, provádí rozřazování mezi regulované a neregulované služby, resp. mezi režimem vyšších a nižších povinností. Stačí vybrat třeba odvětví Digitální infrastruktury a služby, se službou poskytování systému překladu doménových jmen, a další krok, tj. zaškrtnutí buď veřejně dostupného rekurzivního DNS, nebo autoritativního DNS pro více než deset tisíc hostovaných domén druhého řádu, vás posune rovnou do režimu přísnější regulace.
Tento rozřazovač zatím ale má své mouchy. Tak třeba telekomunikační operátory a internetové providery rozděluje podle počtu aktivních SIM karet, resp. aktivních pevných internetových přípojek dle kritérií, které z verze NÚKIBem připravené vyhlášky pro jednání vlády zmizely, lépe řečeno byly nahrazeny poznámkou „bude doplněno“. (Do verze po projednání vládou se však vrátily v původní podobě – pozn. redakce) Pro základní přehled očekávatelného dopadu regulace je však tato pomůcka určitě přínosná.
Chybí předvyplněné formuláře pro budoucí hlášení
Zklamán zatím bude ten, kdo by se na Portálu NÚKIBu chtěl dopředu seznámit s podobou nových formulářů pro komunikaci s úřadem, případně s CSIRTem pro subjekty regulované mírněji podle požadavků připravovaného zákona. Hodilo by se to minimálně kvůli přípravě informačních systémů pro automatizované generování takových podání, ať už jde o hlášení incidentů, či o návazné oznamovací povinnosti při jejich zvládání. Zatím Portál nenabízí v tomto směru nic, čeho by bylo možné se chytnout. Ani obyčejný webový formulář, natož XML specifikaci pro webovou službu. Regulátor k tomu uvádí, že „formuláře k plnění povinností dle nového zákona o kybernetické bezpečnosti s předvyplňováním údajů budou doplněny až s účinností nové právní úpravy“.
A ta je zatím v nedohlednu. Jak víme, zákon nyní leží v Poslanecké sněmovně jako sněmovní tisk č. 759, tady ho čeká ještě dlouhá cesta plná košatých debat ve všech třech čteních, nemluvě pak o obdobné proceduře v horní komoře. Tedy odhady NÚKIBu, že se jím budeme řídit od začátku nového roku, jsou asi na podobné úrovni optimismu, jako že se na olympiádě podle počtu získaných medailí umístíme v první desítce nejlepších zemí… Ale nechme se překvapit.
Na druhou stranu, právě s ohledem na poslanecké pozměňovací návrhy, v jejichž důsledku se může výsledná podoba kyberzákona ještě radikálně proměnit, dává tato předběžná zdrženlivost regulátora smysl. Dnes, kdy není jasné, v jaké podobě a zda vůbec nový zákon o kybernetické bezpečnosti bude schválen, není ekonomicky rozumné investovat čas a peníze do přípravy na plnění budoucích povinností vůči úřadu, které ve výsledku mohou být zhola jiné. Co však samozřejmě má smysl už nyní, je investice do posílení vlastní kybernetické bezpečnosti, nezávisle na tom, zda to bude uloženo zákonem a v jaké podobě. Navíc návrh kyberzákona obsahuje vcelku velkorysé lhůty pro přípravu na nové povinnosti. Pokud je postupně využijeme, otevírá se nám minimálně 14měsíční časové okno pro úpravu informačních systémů, což představuje dostatečnou rezervu pro vyvinutí jakékoliv míry automatizace. Takže chybějící formuláře v pilotním režimu Portálu NÚKIBu nemějme až tak za zlé.
Zatím jsou nám k dispozici pouze tři webové formuláře, všechny se ale vztahují ke stávajícímu zákonu (zák. č. 181/2014 Sb.) a nutno podotknout, že některé vynikají snahou odradit od jejich používání. Tak například, využijete-li formulář k hlášení incidentů a přiznáte, že jej vyplňujete jako fyzická osoba, hned v dalším kroku se vám dostane poučení: „Pokud se vám stal kybernetický incident a jste fyzická osoba, obraťte se na Policii ČR.“ I tak ale formulář nakonec dovolí regulátora o incidentu informovat.
Nepůjde touto cestou zasílat škodlivý vzorek závadného kódu, například malwaru. Brněnský úřad v takovém případě vyzývá ke kontaktu přes e-mail, kde škodlivý vzorek bude přiložen jako zazipovaný soubor s heslem infected.
V příštím díle našeho seriálu se podíváme na východ od našich hranic. Také Slovensko řeší problematiku kybernetické bezpečnosti a i tam záměr nové regulace provází čilá veřejná diskuse.