Vláda se bude brzy zabývat novou podobou zákona o kybernetické bezpečnosti. Dosavadní úprava byla totiž koncipována pouze pro úzkou skupinu několika stovek nejdůležitějších a nejvýznamnějších organizací s velkým dopadem na celou společnost. S růstem kyberkriminality však celospolečenské riziko roste – i pokud jde o menší organizace.
V této souvislosti proběhl na půdě Poslanecké sněmovny seminář, který si kladl otázky, zda „firmy chrání svoji kritickou infrastrukturu dostatečně“ a zda má „stát své regulační úsilí ještě zvýšit“?
Cílem semináře, který uspořádal poslanec Marek Novák (ANO), předseda podvýboru pro ICT, telekomunikace a digitální ekonomiku, bylo podle jeho slov představit, „jak správci kritické informační infrastruktury přistupují k bezpečnosti svých sítí, jak konkrétně zabezpečují svůj dodavatelský řetězec a co reálně přináší nově navrhovaná regulace bezpečnosti dodavatelského řetězce, kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v rámci návrhu nového zákona o kybernetické bezpečnosti“.
Častým argumentem pro zavádění regulací je, že firmy se starají o generování zisku a nezabývají se kybernetickou bezpečností, uved Jiří Grund, prezident Asociace provozovatelů mobilních sítí (APMS).
Podle Daniela Rouse, prezidenta Asociace kritické infrastruktury ČR, hrozby v oblasti kybernetické bezpečnosti „ve světě rostou geometricky a my na to musíme reagovat“. Zákon je podle Rouse určitá „norma“, ale firmy, které se v této oblasti pohybují, „nemohou čekat na nějaký zákon a dávno tyto věci musejí řešit, protože je to nedílnou součástí jejich byznysu“.
Ve zkratce, stát by měl přimět poskytovatele služeb, správce informačních systémů nebo prvků kritické informační infrastruktury, aby zvýšily bezpečnost sítí.
Návrh zákona, který vypracoval NÚKIB, projednává legislativní rada vlády, než jej pošle ke schválení vládě ČR. Zákon má doprovázet vydání celkem sedmi vyhlášek. Ovlivnit má minimálně 6 000 organizací v České republice.
Podle ředitele NÚKIBu Lukáše Kintra budou prioritou nové regulace sektory energetiky a telefonní komunikace. Dalšími pak např. sektor potravinářství či zdravotnictví, který podle něj kybernetickou bezpečnost prozatím „neřešil“.
Návrh je dle Kintra motivován nově přicházející směrnicí Evropské unie NIS2, která má být do českého právního řádu zapracována a motivem je podle Kintra také potřeba aktualizace zákona a jeho doplnění o nové vnitrostátní požadavky.
„Regulace jako taková dopadá vždy na konkrétní IČO,“ vysvětluje Kintr, kdo bude konkrétně spadat pod navržené regulace o kybernetické bezpečnosti.
Novelizovaný zákon bude dle něj největší výzvou pro „typicky střední firmy pravděpodobně ze segmentu průmyslu ve smyslu výrob, kterých se do této doby žádná regulace netýkala, nikdo jim neříkal, že musejí něco zabezpečovat“.
Jaká odvětví budou regulována a jaká budou kritéria pro zahrnutí organizace do regulace (zde)
Jaké budou kategorie regulovaných organizací (zde)
Problémové části návrhu zákona
Jako problémové vidí členka představenstva Hospodářské komory ČR Tereza Rychtaříková zejména „mechanismus prověřování dodavatelů“. V řadě oblastí došlo podle Rychtaříkové během diskuse k dohodě, ale některé oblasti stále zůstávají „nedořešené“.
Mnohé firmy si podle Rychtaříkové „neuvědomují, že na ně bude nový zákon také dopadat“. Může se jednat i o střední nebo menší firmy, které se nezabývají digitální technologií. I ty se budou muset zabývat kybernetickou bezpečností. „I jim se může něco stát a může to i ten jejich byznys stát hodně peněz,“ říká Rychtaříková.
Polovina opatření bude v zásadě organizačního charakteru. Pro menší firmy to může být „šok“, protože to bude vyžadovat personální obsazení a nejenom nákup nějakého softwaru nebo hardwaru.
Podle Grunda je kybernetická společnost „problémem dneška a možná celého 21. století a musíme toto téma začít brát vážně“ a dodává, že „jsou sektory, které si třeba ještě neuvědomují, že ta rizika mají“.
