Česká republika si je jako stát plně vědoma skutečnosti, že v dnešní době hrozí nemalé nebezpečí nejen ve světě reálném, ale čím dál častěji i ve virtuálním. Technologický rozvoj a stále vyšší míra digitalizace většiny odvětví lidské činnosti s sebou logicky přináší následek v podobě toho, že veškerá citlivá data jsou v ohrožení a jejich ztráta, odcizení nebo jakákoliv jiná forma útoku na ně by mohla mít v konečné fázi nedozírné následky.

Žijeme v zemi, která jako jedna z prvních do svého národního zákonodárství promítla ideje evropské směrnice vedoucí k zajištění bezpečnosti na kritické infrastruktuře počítačových sítí, známé jako NIS (Network and Information Security) směrnice. Od 1. ledna tohoto roku platí zákon č. 181/2014 Sb., o kybernetické bezpečnosti. V následujícím článku se pokusíme zhodnotit jeho přínos a následně i možné dopady.

Zákon začal vznikat už na podzim roku 2011, kdy oblast kybernetické bezpečnosti přešla z ministerstva vnitra na Národní bezpečnostní úřad. Po poměrně dlouhé diskusi s odbornou veřejností nad podobou zákona byl legislativní proces zpomalen pádem vlády. Po téměř třech letech od počátku práce na něm byl definitivně schválen v obou komorách Parlamentu, podepsán prezidentem a vydán ve Sbírce zákonů s platností od začátku roku 2015.

Zákon sám o sobě však příliš danou problematiku neřeší. Víceméně veškerá kritéria pro povinné subjekty a jednotlivé postupy pro řešení situací, které zákon předjímá, jsou stanoveny v prováděcích předpisech, které jsou nedílnou součástí zákonné úpravy kybernetické bezpečnosti jako takové. Těmito předpisy jsou vyhlášky o významných informačních systémech a jejich určujících kritériích a o kybernetické bezpečnosti.

Třetím důležitým podzákonným předpisem je novelizované vládní nařízení č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.

Způsob, jakým byly tyto prováděcí předpisy přijímány, spíše než aby věc vyjasnil, způsobil ještě větší nepřehlednost, jelikož na rozdíl od zákona jako takového, který v definitivním znění existoval a byl k nahlédnutí déle než půl roku před zamýšlenou účinností, se vyhlášky a novelizované nařízení objevily těsně před účinností zákona. Mnoho subjektů tak do poslední chvíle napjatě očekávalo, jaké podmínky budou nuceny v novém roce splňovat a jestli vůbec budou pod zákonný rámec spadat.

 

Koho se zákon týká?

Ze znění samotného zákona by se mohlo zdát, že je primárně cílen na společnosti v oblasti telekomunikací a providery internetových připojení, nicméně zákonodárce poměrně moudře stanovil mnohem širší okruh subjektů, které se režimem zákona musí řídit. Patří sem kromě institucí státní správy nejdůležitější instituce v odvětvích energetiky, vodohospodářství, dopravy, zdravotnictví, potravinářství, bankovnictví a finančních institucí a obecně všechny osoby poskytující hromadné služby, pokud tyto osoby naplní kritéria kritické infrastruktury stanovená určovací vyhláškou.

Zákon pak všechny subjekty dělí do pěti kategorií podle toho, jak velké na ně jsou kladeny požadavky a s jakým pracovištěm CERT (Computer Emergency Response Team) spolupracují v případě řešení bezpečnostních incidentů. Tato pracoviště existují dvě.

Národní pracoviště CERT spolupracuje se subjekty z prvních dvou kategorií. Jedná se o kategorie subjektů s nejméně povinnostmi, v praxi jsou to například subjekty zákona o elektronických komunikacích nebo subjekty zajišťující významnou síť elektronických komunikací definovanou předepsanými kritérii. Obecně je tímto kritériem míra, jakou se subjekt podílí na každodenním životě. U nemocnic se tak bude jednat o počet lůžek, u bank o podíl na trhu.

Kategorie 3 a 4 jsou vyhrazeny pro správci systémů vymezené kritické informační infrastruktury a nejpřísněji regulovaný stupeň 5 pro ve vyhlášce uvedený jmenovitý výčet správců nejvýznamnějších informačních systémů. Tyto tři kategorie pak spolupracují s vládním CERT, kterým je Národní centrum kybernetické bezpečnosti.

 

Pro mnohé společnosti nic nového

Valná většina společností se nemusí obávat, že by jim zákon způsobil problémy s nutným nákupem technologií či zaváděním nových pořádků na úseku ochrany dat. Zákon a prováděcí předpisy totiž z velké části vychází z osvědčených postupů používaných v praxi.

Jedním z hlavních východisek jsou technické normy ISO/IEC 27000, které už mnoho společností splňuje. Obzvláště u těch největších společností s nejcitlivější infrastrukturou, které denně operují s citlivými daty, je pochopitelné, že k obraně svých dat musely proaktivně přistoupit dávno před přijetím zákona.

Těmto společnostem pak nově vzniknou hlavně povinnosti administrativního charakteru, v prvé řadě nahlásit své kontaktní údaje příslušnému CERT. Tomu pak společnosti kategorií 2 a vyšší povinně hlásí i vymezené bezpečnostní incidenty.

Zákon rozlišuje mezi událostí a incidentem, přičemž za událost, kterou stačí interně evidovat, považuje potenciální ohrožení, a za incident už nastalé narušení bezpečnosti, které se povinně hlásí. Sankce za nedodržení této oznamovací povinnosti je potom relativně vysoká, může dosahovat až 100 tisíc korun.

Vyznat se v pravidlech je složité

Pokud je společnost na pochybách, jestli se na ni zákon vztahuje, a kybernetické zabezpečení v minulosti nikdy neřešila, vystavuje se poměrně značnému riziku, že se ocitne v situaci, kdy sama nebude vědět, jak jednat. Zjistit, zda spadá pod zákonný rámec, je ještě jednoduché, nastavit následně procesy a zakoupit a instalovat nutné vybavení už nikoli.

Specifikem zákona a s ním souvisejících předpisů je to, že v sobě kombinuje prvky právní, technologické a organizační a bez dokonalé znalosti všech těchto odvětví je obtížné se v něm vyznat a plně mu porozumět. Proto se dá očekávat, že o práci nebudou mít nouzi konzultantské společnosti IT, bezpečnostní i právní.

Rovněž rozdělení vzájemných práv a povinností mezi subjekty a dohledovými orgány a rozdělení pravomocí mezi jednotlivé CERT týmy a NBÚ může působit poněkud zmatečně. Nicméně investovat do toho, aby vše probíhalo v souladu se zákonnými požadavky, se určitě vyplatí. Nejde ani tak o to, že nesoulad může být stižen vysokou pokutou, ale hlavně o skutečnost, že se tím značně minimalizuje riziko samotného kybernetického útoku. A ten v důsledku může být mnohem horší než stotisícová pokuta. Pro společnost by mohl být zcela likvidační a v případě správců významných informačních systémů mít nedozírné následky rovněž pro všechny osoby, s jejichž daty se nakládá.

 

Zákon je rozhodně přínosem

Je chválihodné, že Česká republika je v rámci Evropy jedním z průkopníků zabezpečení kyberprostoru na zákonné úrovni. Nenalhávejme si však, že přijetím zákona o kybernetické bezpečnosti je jí i dosaženo. Zákon není cílem cesty k jejímu dosažení, ale spíše rozcestím, které nabízí zkratku.

Sama existence zákona je pozitivní i co do smyslu toho, že zvedá povědomí o nutnosti chránit data a může tak být inspirací i pro společnosti a jednotlivce, na které se zákon vůbec nevztahuje. Nejdůležitější je však stále lidský faktor.

I sebedokonalejší technické zabezpečení přichází vniveč v momentě, kdy právě ze strany člověka dojde k pochybení. Rozhodně je však lepší, když k takovému pochybení dojde za existence podobného zákona a je tak větší možnost k jeho vyhodnocení a předcházení mu do budoucna. Tento příspěvek by měl sloužit převážně jako úvodní zamyšlení k problematice a účelnosti kybernetického zákona. Konkrétní aspekty a dopady rozebereme příště.

JUDr. Jiří Matzner, Ph.D., LL.M.,
zakladatel advokátní kanceláře MATZNER et al