Evropa v oblasti kybernetické bezpečnosti přitvrzuje. Směrnice NIS2 (Network and Information Systems Directive) klade nové nároky na bezpečnost organizací a klíčových infrastruktur v EU. Aby byla zajištěna plynulá transpozice NIS2 do české legislativy, musí ještě projít zákon o kybernetické bezpečnosti, který má firmám přinést konkrétní pravidla. Jak to celé probíhá a proč se zákon stále odkládá?
V platnosti, ale bez vymahatelnosti
Evropská komise zveřejnila finální znění prováděcího nařízení, které doplňuje NIS2 a konkretizuje požadavky na kybernetickou bezpečnost v organizacích. Nařízení nabylo platnosti 7. listopadu 2024. Přestože je směrnice v platnosti, její skutečná vymahatelnost je podmíněna přijetím českého zákona, který nařízení včlení do českého právního rámce.
Český zákon – odklady a nejistoty
Plán na schválení tohoto zákona už prošel několika změnami. Původně měl začít platit na podzim 2024, následně byl odložen na duben 2025 a nyní se zdá, že termín je posunut na červenec 2025. Upřímně doufám, že tento termín bude konečný. Schvalovací proces se komplikuje nejen z důvodu organizačních odkladů, ale také kvůli výrazným lobbistickým tlakům. Návrh zákona prošel složitými konzultacemi s NÚKIB a přinesl stovky připomínek, které návrh významně ovlivnily.
Kompromis a riziko dalšího oslabení. Kde je problém?
Možná ještě důležitější než samotný odklad je ale obsah zákona. Návrh, který v současnosti čeká na projednání ve druhém a třetím čtení v Poslanecké sněmovně, již prošel složitým procesem vypořádání připomínek od dotčených subjektů a představuje určitou formu kompromisu. NÚKIB obdržel v průběhu veřejných konzultací přes tisíc (včetně duplicních) připomínek, které vypořádával. Mám velké obavy, že po dalším projednávání z návrhu zůstane jen „ohlodaná kost“. Vliv zájmových skupin, které se snaží zákon změkčit, totiž roste.
Jedním z klíčových argumentů některých odpůrců jsou náklady na implementaci zákona. Například někteří operátoři tvrdí, že požadavky kladené zákonem mohou negativně ovlivnit jejich ziskovost. Tato argumentace však přehlíží, že potenciální náklady na zvládání kybernetických incidentů by mohly být mnohonásobně vyšší. Podobně je tomu i v případě obcí, které se obávají vysokých výdajů na kybernetickou bezpečnost. Ve většině případů by ale měly být schopny prostředky na implementaci zákona ve svých rozpočtech nalézt. Dopady kybernetických útoků by byly pro jejich fungování mnohem nákladnější.
Dalším z argumentů je nedostatek kvalifikovaných pracovníků v oblasti kybernetické bezpečnosti. I tento problém je ale možné řešit. Vzděláváním zaměstnanců nebo externím zajištěním služeb kybernetické bezpečnosti.
Rostoucí vliv zahraničních hráčů
Český zákon o kybernetické bezpečnosti se zaměřuje i na bezpečnost dodavatelského řetězce, což je oblast, kde přichází ke slovu zahraniční vlivy. Příkladem může být nedávná návštěva českého poslance v Číně, který se na pozvání Čínské hospodářské komory setkal se zástupci společnosti Huawei. Tento krok vyvolal vlnu kontroverze – společnost Huawei je často spojována s čínským vojenským zpravodajstvím a čelí obviněním z možné špionáže skrze své technologie, což vyvolává obavy v Evropě i jinde ve světě. Vzhledem k těmto okolnostem může zákon přinést skutečnou ochranu, pouze pokud politici budou přistupovat k jeho prosazování odpovědně, odolají vnějším tlakům a vyhnou se příležitostem zviditelňovat se ve spojitosti s představiteli států a firem, jejichž zájmy jsou v rozporu se zájmy ČR, EU a NATO.
V polovině října letošního roku vyšel na serveru Page Not Found článek od novináře Jakuba Zelenky, který se dlouhodobě zabývá tématy spojenými se společností Huawei. V článku Zelenka podrobně popisuje tlak, který Huawei vyvinula po vydání varování NÚKIB v roce 2018, a dopady tohoto tlaku na klíčové osoby NÚKIB. Informace z článku jsou relevantní a potvrzené lidmi ze samotného úřadu. NÚKIB tehdy tlak ustál, ale otázkou zůstává, zda to dokáže i nyní, kdy se zákon o kybernetické bezpečnosti projednává a zahrnuje i důležitá ustanovení o bezpečnosti dodavatelského řetězce. Právě tato ustanovení by mohla omezit vliv zahraničních technologických dodavatelů s vazbami na státy, kde je běžnou praxí propojení státního aparátu s technologickými firmami.
Proč by organizace měly jednat už teď? Bezpečnost českých firem je v našich rukou
Doba čekání na nový zákon představuje pro společnosti ideální čas na přípravu. Je nejvyšší čas poohlédnout se po firmě, která nabízí pokročilé nástroje a odbornou podporu, pomůže českým organizacím vyhovět novým standardům a připravit je na budoucí hrozby. Kybernetická bezpečnost už není jen záležitostí IT oddělení, ale prioritou pro vedení všech firem, které pracují s citlivými daty. Směrnice NIS2 posouvá nároky na ochranu o několik stupňů výš. Nejde jen o to, vyhovět požadavkům NIS2, ale i zefektivnit řízení dat a bezpečnostních opatření. Ať už jde o ochranu před úniky informací nebo efektivních řešení, která přispějí k dlouhodobé ochraně citlivých informací.
Autor Bohdan Kadlec, NIS2 product manager, TOVEK
PŘEDPLATNÉ
ČLÁNKY DO MAILU