[Partnerský rozhovor] – Letos v dubnu proběhl velký kybernetický útok prostřednictvím kompromitované služby Bitwarden. Samostatně se replikující červ kradl citlivé informace, včetně přístupových údajů například do cloudových služeb nebo na GitHub.
Předtím v březnu proběhla další aféra — někdo už asi před rokem koupil 30 pluginů do WordPressu a vložil do nich backdoor. Po několika měsících se zranitelnost aktivovala a začala na webech instalovat škodlivý kód. Zasaženo mohlo být několik desítek tisíc zákazníků.
Ve stejném měsíci proběhl velký útok na opensourcový javascriptový balíček Axios, kde se malware také snažil krást přihlašovací údaje. To jsou příklady několika velkých útoků prostřednictvím takzvaného dodavatelského řetězce, které proběhly je v několika uplynulých týdnech. Každou chvíli se přitom dozvídáme o dalších.
V Česku platí od loňského listopadu nový zákon o kybernetické bezpečnosti, který implementoval evropskou směrnici NIS2. Týká se mimo jiné i ochrany kritických systémů proti podobným útokům.
Jaké povinnosti firmy mají, jak se s nimi mohou vypořádat, co by měly udělat, aby měly všechno podle toho zákona zabezpečené? O tom mluvíme s advokátem Samuelem Králem z advokátní kanceláře ROWAN LEGAL, která je partnerem tohoto vydání našeho seriálu Regulace podle NIS2.
Rozhovor si můžete poslechnout ve formě podcastu na svých oblíbených podcastových službách nebo přímo zde:
Níže vám nabízíme přepis části podcastového rozhovoru do textu:
Na Lupě dlouhodobě píšeme nejen o novém kyberbezpečnostním zákonu, ale také o tom, že ještě nejsou přijaté všechny prováděcí předpisy. Jde zejména o nařízení vlády o nepominutelných funkcích stanoveného rozsahu, které bylo loni na jaře předloženo do připomínkového řízení a dosud není schváleno. Vedla se kolem něj velká debata. Firmy, kterých se mělo týkat, říkaly, že by narušilo svobodu podnikání a že by menším firmám zvýšilo náklady. Naopak Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), říká, že jde o zásadní opatření, aby byly strategické systémy opravdu dobře zabezpečeny. O co se vedl ten největší spor?
Už v době, kdy se přijímal zákon, šlo o nejvíce připomínkovanou část, a doteď budí emoce. Největší spor se odehrává ve dvou zásadních oblastech. Jednou je diskuze o tom, kdo všechno pod tento rigidní mechanismus týkající se strategických služeb spadne. Druhý spor se vedl o to, jak rigidní bude mechanismus, který určí, jakým způsobem budou subjekty, které pod regulaci spadnou, muset řídit svoje dodavatele.
Asi jedna z největších diskuzí se vedla o tom, že podle zákona má NÚKIB možnost za určitých okolností vydat opatření, které stanoví, že konkrétní dodavatelé z konkrétních zemí, případně obecně dodavatelé z konkrétních zemí, nemohou specifickým strategicky významným subjektům dodávat. To by pro tyto subjekty znamenalo potřebu výměny dodavatele a v některých sektorech je to opravdu velice problematické. Zvláště v sektorech, kde začíná být trnem v oku například Čína a kde je závislost na čínských dodavatelích obrovská.
Vzhledem ke geopolitické situaci už se mluví i o amerických dodavatelích. Takže debata o tom, od jakých dodavatelů, z jakých zemí, brát software, a jestli nemít suverénní evropské dodavatele, určitě bude živá v následujících měsících a možná i letech. Máme tedy nařízení vlády, které ještě neplatí, protože se zaseklo. Ale řada dalších vyhlášek k zákonu o kybernetické bezpečnosti přijata byla, tak se pojďme podívat na to, co už teď platí. Koho se povinnost řešit dodavatelské řetězce týká?
Rozdělil bych to primárně na dva okruhy subjektů: subjekty, které spadají pod zákon o kybernetické bezpečnosti, a subjekty, které spadají pod nařízení DORA. Nařízení DORA je evropské nařízení a vztahuje se na všechny finanční subjekty, banky, pojišťovny a podobně. Ty mají svou specifickou speciální úpravu, byť se na ně vztahují také některé věci ze zákona o kybernetické bezpečnosti, třeba povinnosti týkající se hlášení incidentů, ale primárně se řídí nařízením DORA.
Vedle toho máme zákon o kybernetické bezpečnosti, pod který spadají zpravidla střední a větší podniky — nad 50 zaměstnanců a nad 10 milionů eur v obratu. K zákonu existuje vyhláška o regulovaných službách, která stanoví různé oblasti podnikání spadající pod regulaci. Například jde o energetiku — třeba řízení infrastruktury, poskytování služeb s tím spojených, nebo vybrané služby, pro které je třeba získat licence, které vydává Energetický regulační úřad (ERÚ). Ale týká se také chemického průmyslu, potravinářského průmyslu a tak dále.
Pak je tam specifická kategorie, takzvaní digitálové, což jsou poskytovatelé cloudových služeb, hostingových či bezpečnostních služeb apod. Ty také technicky spadají pod zákon o kybernetické bezpečnosti, ale mají i vlastní nařízení Evropské komise, které jim stanoví povinnosti v oblasti kybernetické bezpečnosti. Toto jsou okruhy subjektů, které řízení dodavatelského řetězce musejí řešit.
Všechny firmy nemají úplně stejné povinnosti, zákon obsahuje různé režimy. Jak se tyto režimy s vyššími a nižšími povinnostmi liší a koho se týkají?
Je to tak, zákon o kybernetické bezpečnosti je takzvaně dvourežimový. Myšlenka je taková, že máme režim nižších povinností, který se vztahuje na menší subjekty poskytující menší nebo méně významné služby. A čím se subjekty zvětšují a čím více mají prostředků na přijímání opatření a řešení bezpečnosti, tím více povinností jim zákon stanoví.
Pak samozřejmě existují výjimky z pravidla — třeba podle toho, jakou službu subjekt poskytuje, podle její významnosti pro stát. Zároveň to není všespásné. Jsou tam i subjekty, které jsou menší než střední podniky, ale poskytují něco specifického, co je pro stát naprosto významné — třeba jde o zcela specifickou službu v oblasti kryptografie.
Předpokládám, že velké firmy si své povinnosti hlídají. Ale jak má vědět menší nebo středně velká firma, do jaké kategorie spadá? Pokud vím, musí si to zjistit sama — úřad jí to automaticky neřekne. NÚKIB sice má portál, který informace o zákonu poskytuje, ale znamená to, že se všechny firmy musí aktivně zajímat o to, jaké povinnosti mají a co musejí plnit?
V podstatě ano, ale s příchodem nového zákona je to jednodušší. Starý zákon se vztahoval na nějakých 300–400 subjektů, které si musely samy říct, jestli pod něj spadají, nebo nespadají. Byly tam mechanismy a předpisy pro určení, jestli pod něj spadají, ale bylo to celé trošku nejisté.
Nový zákon říká, že pokud si myslím, že pod něj spadám, mám povinnost se nahlásit, a když si myslím, že pod něj nespadám, měl bych si to vyhodnotit a říct si, proč pod něj nespadám. Ale zákon nemusím plnit do doby, než dostanu rozhodnutí NÚKIBu, na základě, kterého dojde k registraci mé regulované služby. Ve chvíli, kdy rozhodnutí dostanu, dozvím se také, v jakém jsem režimu. Nemusí to být napsané přímo v rozhodnutí, ale dá se to zjistit z portálu NÚKIBu. Tím pádem máte jistotu, kdy jste byli určeni poskytovatelem regulované služby, zároveň víte, v jakém jste režimu, a máte 12 měsíců na to, abyste začali zavádět opatření. Není to tak, že byste museli mít hned zavedená všechna opatření, ale měli byste začít dělat přiměřené kroky k jejich zavedení.
Proč se regulace hodně věnuje právě dodavatelskému řetězci? Souvisí to se stoupajícím počtem útoků, o kterých jsem mluvil na začátku?
Je to z několika důvodů, vypíchl bych tři zásadní. První souvisí s tím, odkud dodavatelé jsou. Víme, že některé země, hlavně ty autoritářské, mají rozvolněný přístup k ochraně dat z jiných zemí. Například ve východní části zeměkoule jsou často přijaté zákony, podle kterých dodavatelé cloudových služeb mají hlásit zranitelnosti v systému jenom své vládě. Ta je potom může využít. To je jedna oblast.
Druhá oblast, kvůli které se téma dostávat více do popředí, byla pandemie, kdy se ukázalo, že závislost na dodavatelských řetězcích je opravdu vysoká. A posledním důvodem je, že kvůli globalizaci se dodavatelské řetězce daleko více komplikují. A čím více komplikací je, tím větší je riziko, že se v některém z uzlů řetězce něco stane a může to způsobit problém na konci.
Pojďme se podívat na to, jaké povinnosti zákon o kybernetické bezpečnosti a další regulace firmám v praxi dávají. Co musí firma udělat, aby vyhověla požadavkům dnešních regulací ve vztahu k dodavatelským řetězcům?
Odpověď není úplně jednoduchá, protože zákon pracuje s režimem rizika. Stanoví kostru toho, jak se subjekt má chovat, ale už nestanoví, co konkrétně má dělat. To by měl dělat na základě rizik, která má v dodavatelském řetězci své organizace.
Ideální průběh by měl být takový, že ve chvíli, kdy subjekt zjistí, že je třeba středním nebo větším podnikem, se podívá do vyhlášky o regulovaných službách a zamyslí se nad tím, jestli některou z takových služeb poskytuje a jestli by to měl řešit. V tu chvíli by se měl ideálně nahlásit NÚKIBu, že by mohl být poskytovatelem regulované služby. NÚKIB je přístupný úřad —můžete zkusit na NÚKIB zavolat nebo napsat dotaz ještě předtím, než uděláte oficiální hlášení, abyste se dozvěděli více informací o tom, jak postupovat.
Ve chvíli, kdy máte rozhodnutí, a víte, v jakém jste režimu, měli byste si v prvním kroku identifikovat, jaká aktiva v rámci organizace máte. Nezapomínejme na to, že mezi aktiva nepatří jen hardware a software, ale jsou jimi i dodavatelé, zaměstnanci a podobně.
Ve chvíli, kdy si aktiva identifikujete, měli byste si určit takzvaný stanovený rozsah. To znamená rozsah aktiv, na kterých budete řídit kybernetickou bezpečnost podle zákona. Pokud to neuděláte, zákon zjednodušeně říká, že celá organizace a všechna její aktiva spadají pod režim zákona a musíte je řešit všechna. To znamená, že stanovení aktiv je výborný moment, kdy si můžete říct: ano, tato aktiva skutečně souvisejí se službou, kterou poskytuji a která spadá pod zákon o kybernetické bezpečnosti, a tím pádem nad těmito aktivy budu zavádět opatření.
Ve chvíli, kdy máte stanovený rozsah, podíváte se do vyhlášky — buď v režimu vyšších, nebo nižších povinností — a tam jsou stanovené věci, které byste měli ve vztahu k rizikům řešit. Jde o výběr těch minimálních věcí, které musíte řešit. Ale podle zákona musíte postupovat na základě rizik a máte přijímat opatření, která jsou přiměřená. Není to tak, že například najednou musíte mít všude dvoufaktorovou autentizaci a logování přístupů. Ale na základě rizik, která by mohla nastat ve chvíli, kdy by nějaká zranitelnost v řetězci způsobila incident, musíte na ně být schopni adekvátně reagovat. Takže máte-li dejme tomu systém pro sledování přístupů, potřebujete jej mít zabezpečený pořádně, aby si někdo nemohl vytvořit účet a zřídit si přístup. Ale dejme tomu systém, přes který organizujete teambuildingové akce nebo něco podobného, třeba nemusí být zabezpečený stejným způsobem.
Takže ty povinnosti nejsou jen „papírové“ — nestačí napsat „byl jsem proškolen" a „všichni byli seznámeni se vším" a do smluv s dodavateli napsat, že za všechny problémy odpovídají oni? Není to jen o „papírech“, je tedy potřeba dělat konkrétní opatření?
Určitě. Nechci říct, že papírová část není důležitá, ale daleko důležitější je faktická část — to, jak je opatření v organizaci nasazeno, jak funguje. Na druhou stranu bych měl mít na papíře minimálně úvahu nad riziky, protože bez ní nejsem opatření schopen rozumně nastavit tak, aby rizikům odpovídala. Ale důležitější je opravdu faktická stránka věci.
Kontroluje to nějak NÚKIB? Nebo odpovědnost přichází až ve chvíli, kdy se něco stane a úřad pak zjistí, že jsem dostatečná opatření nepřijal?
NÚKIB veřejně vydává plán svých kontrol, ve kterém se někdo případně může najít — minimálně podle nějakých oblastí. Úřad provádí kontroly spíše u kritičtějších subjektů, u významnějších služeb. Ale nikdy nevíte — může přijít třeba nějaké anonymní oznámení nebo něco podobného.
A ve chvíli, kdy nějaký incident nastane, je to už větší poprask. A v tu chvíli se úřad může začít zajímat o to, proč k tomu došlo a proč třeba nějaká opatření přijata nebyla.
Dodavatelé, to je hodně široký pojem. Když jsem na začátku zmiňoval různé ukázky útoků, někde šlo o opensourcový balíček a něco byly softwary zavedených firem. Můžete v rámci povinností zákona rozlišovat mezi tím, jaké dodavatele používáte, a uplatňovat na ně různá kritéria?
Určitě ano. Když se ještě dotknu finančního sektoru, tak jak DORA, tak zákon o kybernetické bezpečnosti rozlišují mezi dodavateli podle jejich kritičnosti. U DORA je to podle toho, do čeho dodávají — máme „běžné dodavatele“ a pak dodavatele, kteří dodávají do zásadních nebo důležitých funkcí finančního subjektu. Výčet základních věcí, které musejí být ve smlouvách s dodavateli ošetřené, najdete v rámci DORA v článku 30.
V zákoně o kybernetické bezpečnosti je seznam věcí, které by měly být ošetřené ve smlouvě s dodavateli, pro režim nižších povinností v příloze 2 příslušné vyhlášky a pro režim vyšších povinností v příloze 5 dotyčné vyhlášky, která se týká významných dodavatelů. Pro nevýznamné tam nic stanoveno není, na druhou stranu je tam stanovená povinnost, že musíme řídit všechny dodavatele. Pokud chcete hledat inspiraci pro nevýznamné dodavatele, můžete se u dodavatelů, kteří nejsou významní, odpíchnout od toho, co musí dělat povinná osoba v režimu nižších povinností.
Pak je tu ještě korektiv rizikovosti. DORA je v tom trošku rigidnější — říká, že věci, které chce vidět ve smlouvách, tam chce vidět vždycky. Zákon o kybernetické bezpečnosti říká, že chce ve smlouvě vidět relevantní ustanovení z příloh. A relevantní znamená právě to, že jsou stanovená na základě rizik. To znamená, že bych u dodavatelů neměl mít jeden dokument pro všechny — v režimu vyšších povinností tedy dva dokumenty, jeden pro běžné dodavatele, druhý pro ty významné. Měl bych se vždycky zamyslet nad tím, jaké pro mě konkrétní dodavatel představuje riziko, kam mi dodává, odkud je a jaké riziko přináší mým aktivům a systémům. A podle toho bych měl upravit povinnosti, které po něm chci. Jinými slovy mohu mít dodavatele, u kterého budu mít z výčtu v přílohách třeba jen polovinu věcí. Druhá polovina nemusí být relevantní, protože mi dodává něco, u čeho mi z posouzení rizik vyplývá, že to řešit nemusím.
Můžete dát nějaké příklady opatření v těch dvou úrovních, která by ve smlouvách měla být ošetřena?
Takový svatý grál jsou ustanovení o základním řízení bezpečnosti informací, ustanovení o možnosti zákaznického auditu ze strany objednatele služeb, možnost kontroly ze strany NÚKIBu nebo jiného odpovědného orgánu — v případě DORA to bude České národní banka (ČNB). Pak to jsou třeba ustanovení o autorství kódu — jaká práva mám k dodávce a podobné věci. A takhle bychom mohli pokračovat, těch bodů je víc a mohou se lišit i například podle jejich kritičnosti.
Například DORA v rámci exitu u kritičtějších dodavatelů nejen říká, že byste si měli zajistit exit, ale měli byste mít konkrétně zpracovaný i exitový plán, kde jdete do větší hloubky. U běžného dodavatele stačí jednodušší ujednání o ukončení poskytování služeb.
A co open source? Různé knihovny a softwarové nástroje pro vývojáře se poměrně často používají i ve velkých firmách. Ale za otevřeným softwarem ne vždy stojí firma, s kterou bych mohl uzavřít smlouvu, a většinou jde o kód ze zahraničí, ze zemí mimo EU… Jak se to řeší?
Důležité je říct si, že zákon po nás chce, abychom na základě rizik řídili dodavatele, ale nutně po nás nechce, abychom s nimi měli smlouvu podle našich pravidel. Pokud mám například nějakého poskytovatele cloudových služeb a vyhodnotím si, že přináší nějaká rizika, a ta jsou pro mě akceptovatelná, můžu akceptovat to, jak on řídí bezpečnost u sebe v organizaci, a nemusím nutně po něm chtít to, jak to řídím já. To zákon umožňuje.
V případě open source bude dodavatelem komunita nebo někdo, kdo ho u vás nasadí, (pokud si ho nebudete nasazovat sami). Měli byste si udělat analýzu rizik a zamyslet se: jsou to akceptovatelná rizika? Chci je podstoupit? Třeba to, že nebudu mít podporu, nebo mi nikdo neručí za to, že v kódu bude něco přebývat – viz. incidenty, které jste zmiňoval na začátku.
Ve chvíli, kdy je riziko pro mě akceptovatelné, můžu kód nasadit. Pokud je riziko neakceptovatelné, můžu se rozhodnout, že přijmu opatření na svých aktivech, třeba tím, že open source zapouzdřím, nasadím ho do nějakého kontejneru nebo sandboxu. Anebo mi vyjde tak vysoké riziko, které nedokážu pokrýt sám, a potřebuji dodavatele, který mi riziko pokryje. Nebo ho kvůli neakceptovatelnému riziku mít nemůžu, a tím pádem bych ten open source v organizaci nebo v rámci služby mít neměl.
O dodavatelských řetězcích zatím mluvíme z pohledu firmy, která spadá pod regulaci. Ale co ti dodavatelé? Co když se mnou někdo odmítne uzavřít smlouvu nebo nechce přijmout moje požadavky, kterými bych regulaci vyhověl? Třeba je to firma mimo Evropskou unii. Jak se tyhle problémy řeší?
Jak už jsem naznačil, lze to řešit tím způsobem, že přijmu opatření přímo u sebe — třeba dodávku zapouzdřím. A ve chvíli, kdy dodavatel není úplně přístupný, je vždy možné rozdělit byznysový vztah na menší principy a mluvit o těch konkrétních principech. Je dost možné, alespoň z mé zkušenosti, že přijdete na řešení, která jsou výhodná pro obě strany. Buď proto, že je dodávka určitou referencí nebo dodavateli otevírá nové pole zákazníků, anebo proto, že ta opatření nejsou tolik pracná a dala by se udělat a můžete sdílet ten náklad. Najednou třeba zjistíte, že to ve výsledku není zase tak velký strašák, jak to vypadalo.
Ve chvíli, kdy v dodavatelském řetězci narazíte na dodavatele, který nespolupracuje a představuje neakceptovatelné riziko, tak bohužel dál nemůže být vaším dodavatelem.
Až bude přijato vládní nařízení, které jste na začátku zmiňoval, bude to trošku jiné. Do té doby se dá říct, že když narazíte na nespolupracujícího dodavatele, nemusíte s ním nutně hned ukončit spolupráci. Zákon po nás chce, abychom řídili rizika s ním spojená. Buď přijmete dočasná opatření a postupně dodavatele nahrazujete, anebo máte plán, že v horizontu několika let dodavatele kvůli neakceptovatelným rizikům nahradíte a přijmete nového dodavatele, který rizika nenese.
Neznamená to tedy nutně, že najednou musím skončit. Na druhou stranu lze doporučit komukoli, aby si u dodavatelů dával rozumné podmínky pro ukončení smluv, kdyby tahle situace nastala. Rozumné znamená, že to musí být vyvážené pro obě strany. Zároveň nechcete s dodavatelem, který vám dodává kritické servisní služby, ukončit spolupráci ze dne na den. Potřebujete nějaký výběh, exit, strategii, aby nedošlo k výpadku služby.
Říkal jste, že firma má od registrace docela slušnou lhůtu, aby si vztahy s dodavateli vyřešila — není to tedy ze dne na den.
To je jedna věc. Zákon říká, že bych měl plnit povinnosti ze zákona do 12 měsíců. Ale domnívám se, nemusíte nutně splňovat všechny povinnosti na 100%, ale musíte mít plán, jak se k tomu dostanete, a musíte jít tímto směrem.
Nutno také říct — a tohle se asi nebude úplně líbit vedoucím orgánům subjektů spadajících pod regulaci — že jak DORA ve finančním sektoru, tak zákon o kybernetické bezpečnosti pracují s osobní odpovědností vedení společnosti. Nově po nich chce, aby bylo v docela velkém detailu, aby se opravdu orientovali v nasazených opatřeních a aby byli odpovědní za to, že se organizace chová v souladu se zákonem.
Je tam i „hezké“ ustanovení, které říká, že vedoucí orgány by na to měly alokovat dostatečné prostředky. Takže je možné, že se při kontrole někdo bude ptát: nastavili jste si přiměřená opatření, ale dali jste na ně přiměřené prostředky s ohledem na vaši velikost? Opět opakuji — přiměřené. To neznamená, že si malý subjekt do 60 lidí musí najednou pořídit drahé nástroje pro řízení přístupů a logování. Vždycky musí být přiměřené organizaci a rizikům.
Dosud jsme mluvili víceméně o dvou článcích dodavatelského řetězce — o mně jako firmě a mém přímém dodavateli. Jak daleko sahá moje povinnost řešit rizika? Mám řešit i dodavatele svého dodavatele, nebo si to mám vyřešit posouzením rizik svého primárního dodavatele?
Tohle je trošku ošemetná otázka, protože zákon nutně neříká, kde ta hranice leží. Říká ale, že bych měl vynaložit přiměřené úsilí. Zároveň vždycky řešíte jen svého přímého dodavatele, protože pouze s ním můžete uzavřít smlouvu — a ve zbytku spoléháte na to, že si primární dodavatel smluvně pokryl další část řetězce.
Zároveň se může stát, že jste v pozici, kdy poskytujete službu, která je natolik významná, že se vás regulátor bude ptát, jestli jste se podívali do smluv s druhým dodavatelem v řetězci, nebo i s třetím. To se stát může, ale je to opravdu o přiměřenosti. Nikdo pravděpodobně nebude chtít po organizaci o šedesáti lidech, aby se ptala Microsoftu na všechny jeho dodavatele až do posledního programátora. Tak to opravdu není a nerad bych, aby to tak vyznělo.
V podnikání se neustále mění situace — dodavatelé končí, přicházejí noví. Proces tedy nejspíš nekončí jedním posouzením rizik, ale firma je musí dělat pořád dokola?
Vyhodnocení rizik by organizace měla dělat pravidelně — v režimu vyšších povinností je to v podstatě na roční bázi. Posouzení je třeba dělat v pravidelných intervalech anebo v návaznosti na nějakou významnou změnu. Třeba když nahradím klíčový systém novým systémem, měl bych si znovu vyhodnotit rizika ve vztahu k celku a říct si, jaký to má dopad pro mě i pro mé dodavatele.
Totéž platí ve chvíli, kdy se stane významnější změna na straně dodavatele. V zákoně se například zmiňují dvě základní změny, které je třeba řešit — ale pokud jsou rizika vysoká, u nich to nutně nekončí. Jednou ze změn je situace, kdy dojde ke změně ovládání společnosti — to znamená, že ji někdo koupí. Měl bych si vyhodnotit, jestli to nepředstavuje nějakou změnu v rizicích. Nebo dojde k významné změně na aktivech nebo na dodávce. Když třeba dodavatel nasadí úplně novou, upgradovanou verzi softwaru, který mi dodává, měl bych se zamyslet nad tím, jestli by nebylo vhodné udělat nové vyhodnocení rizik.
Kdybyste to měl shrnout — jaké základní rady byste dal firmě, která se teď dozvěděla, že má povinnosti v rámci regulace kybernetické bezpečnosti? Co by měla udělat nejdřív a jaké kroky byste jí doporučil?
Jeden z prvních kroků by bylo zamyslet se nad tím, jestli nemůže spadnout pod některou z regulací. Pokud poskytuje služby ve finančním sektoru, podívat se do DORA, kde jsou vyjmenované jednotlivé regulované služby. U finančního sektoru je to bez ohledu na velikost firmy, ale ve vztahu k zákonu o kybernetické bezpečnosti je potřeba říct si, jestli má firma více než 50 zaměstnanců a 10 milionů obratu, aby mohla pod zákon spadat. Pak bych se měl podívat do vyhlášky o regulovaných službách, kde je poměrně hezky popsáno, kam by subjekt mohl spadat.
Pokud to vypadá tak, že bych mohl, měl bych se nahlásit NÚKIBu — jít na portál, podat oznámení, že bych mohl být regulovanou službou. Oznámení musí podat statutární orgán, protože NÚKIB ověřuje oprávnění jednat za společnost. Bohužel to nemůže udělat někdo z vašeho IT, ale měl by to udělat někdo, kdo je napsaný v obchodním rejstříku jako osoba, která může za společnost jednat.
Když to uděláte, přijde vám rozhodnutí o registraci služby a dozvíte se, v jakém jste režimu. A pak byste měli začít provádět opatření. Prvním krokem bude identifikovat aktiva, vyhodnotit, která jsou důležitá pro poskytovanou službu, kterou mám určenou v rozhodnutí od NÚKIBu. A když tohle udělám, vypracovat si plán přijímání dalších opatření.
Jaké máte za první měsíce platnosti nového zákona o kybernetické bezpečnosti zkušenosti z praxe? Jak se firmy s dodavatelským řetězcem vypořádávají a jaké nejzapeklitější případy jste řešil?
Nejdřív nastala trošku panika, ale teď už k tomu všichni začínají přistupovat odpovědně. Všem klientům, kteří za námi přicházejí, vždycky říkáme: pojďme postupovat systematicky. Řešíme s nimi nejdřív, jestli jsou regulovanou službou, jestli můžou pod některý ze zákonů spadat, nebo ne. To je vždycky první věc, kterou si společně vyhodnotíme, než začneme panikařit.
Spolupracujeme i s techniky, takže klientům říkáme: můžeme vám pomoci s analýzou rizik po právní stránce a máme tu i technické poradce. Vždycky říkáme: nedělejme papír pro papír do doby, než si fakticky vyhodnotíme rizika, abychom věděli, kam směřujeme.
Ve chvíli, kdy si vyhodnotíme rizika, jsou právní předpisy relativně přímočaré. Okruhy, které se musí řešit, jsou stanovené, a pak je spíš oříšek v tom, jak je propsat do praxe. Někteří klienti ve snaze být co nejdříve v souladu se zákonem začnou jít podle předpisů a odškrtávat ustanovení a povinnosti. A my jim říkáme: je důležité, jestli máte popsaná rizika a jestli je vidět, že opatření přijímáte právě podle nich. Protože jeden z problémů, na který narážíme, je určitá arbitrárnost — neopakovatelnost věcí.
Jednou z chyb je, že si firma řekne: mám klíčového dodavatele, tak s ním uzavřu smlouvy a budu ho řídit tímto způsobem. A vedle má jiného dodavatele, který je stejně klíčový, ale u něj to dělá jiným způsobem. Jenže pokud pro to nemá důvod v rizicích, měla by to řešit stejným způsobem. Ve chvíli, kdy různé dodavatele řídím jinak a nemám pro to jasný důvod, tak je vlastně neřídím způsobem, který vyplývá z rizik.
Jaké další chyby firmy dělají, když se snaží regulaci ve smlouvách vyhovět?
Nejčastější je takové to: mám tady několik regulací, třeba zákon o kybernetické bezpečnosti a GDPR, a vytvořím si pro každou z nich separátní přílohu, která implementuje všechno, co je v zákoně, a uzavírám ji se všemi dodavateli. Na jednu stranu to vypadá logicky, ale na druhou stranu jsou v tom dva problémy. Prvním je, že ve chvíli, kdy se všemi dodavateli uzavírám stejné smlouvy, neřídím rizika spojená s konkrétními dodavateli — takže striktně vzato nejsem v souladu se zákonem o kybernetické bezpečnosti.
Druhým problémem je, že se pak stává, že mám jedno ustanovení na třech místech. Mám třeba ve smlouvě ustanovení o tom, jakým způsobem budu dodavatele auditovat, včetně podmínek, jak často to můžu dělat a podobně. Ale v příloze týkající se GDPR to mám napsané trošku jinak. A v příloze týkající se kybernetické bezpečnosti to mám zase jinak. A ve chvíli, kdy nastane spor, co s tím má dělat třeba soudce? Jak mu budete vysvětlovat, proč to je pokaždé jinak? A navíc ještě, pokud jste smlouvu vytvářeli vy jako objednatel, bude ji soud vykládat ve váš neprospěch. Může to prostě způsobit zbytečné množství problémů.
S klienty to řešíme tak, je fajn mít věci týkající se regulací na jednom místě. V samotné smlouvě je ideální mít ustanovení, která upravují vztah objednatele vůči dodavateli. Třeba to, jak budeme dodavatele auditovat. A při jednom auditu zkontrolujeme všechno najednou — nepůjdeme tam jednou kvůli GDPR a jednou kvůli kybernetické bezpečnosti, ale zkontrolujeme to při jednom.
Pak je další oblast, která propisuje opatření podle právních předpisů do kvality samotné dodávky. To je možné zanést do přílohy, která specifikuje, co mi má být dodáno, jak bude software vypadat, jak má být zabezpečen.
A pak jsou požadavky na to, jak má dodavatel ve své organizaci řídit svou bezpečnost, aby vůči mně nezpůsoboval nějaká rizika. Dává smysl, aby to řešila separátní příloha, která říká: „Milý dodavateli, byl bych rád, aby ve chvíli, kdy se tvoji zaměstnanci budou připojovat do mých systémů, používali moji VPN, aby měli dvoufaktorové ověření a tak dále, aby mi na mých sítích nezpůsobili nějaký problém."
Takhle se s tím snažíme pracovat a dává nám to velký smysl. Protože když je to ve smlouvě na různých místech, nakonec dojdeme k tomu, že nikdo neví, podle čeho to má vyhodnocovat.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU