Obce s rozšířenou působností bude zavazovat nový zákon
Obce v České republice byly dlouho mimo působnost zákona o kybernetické bezpečnosti a jediný požadavek na zavádění kybernetické bezpečnosti tak pro ně představovalo všeobecné nařízení o ochraně osobních údajů – GDPR, které stanovovalo povinnost zavádět opatření k zajištění kybernetické bezpečnosti spravovaných osobních údajů. Bez dalších podrobností či požadavků na to, co je dostatečné zajištění bezpečnosti těchto osobních údajů, je však tento požadavek složitě převoditelný do praxe v systematické podobě.
V roce 2022 vešla v platnost nová směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2. Směrnice NIS2 s sebou přináší odklon od původního přístupu založeného na dopadech, kdy kybernetická bezpečnost byla otázkou těch organizací v rámci státu, které mohou způsobit ty nejzávažnější dopady na jeho fungování a poskytování služeb občanům. Novou premisou této právní úpravy tak je, že by se do určité míry měly kybernetickou bezpečností zabývat všechny organizace v důležitých odvětvích, které jsou dostatečně velké na to, aby mohly kybernetickou bezpečnost zajistit. Směrnice NIS2 rovněž přichází s požadavkem na regulaci organizací v rámci veřejného sektoru, který původní směrnice neobsahovala.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil novou podobu zákona o kybernetické bezpečnosti, který je v současné době v mezirezortním připomínkovém řízení a jeho účinnost je vzhledem k transpoziční lhůtě naplánována na říjen 2024.
Pozadí regulace obcí s rozšířenou působností
Důležitost zajišťování kybernetické bezpečnosti roste globálně, útočníci se však v současné době více než dříve zaměřují právě na samosprávy, a i Česká republika již zaznamenala úspěšné útoky, které poškodily fungování samospráv, které se staly obětí těchto útoků.
Současně jsou právě obce s rozšířenou působností těmi, které jsou občanům velmi blízko a služby, které poskytují jsou pro většinu populace právě těmi, které potřebují využít nejčastěji. Kromě toho, že jejich služby občané při vyřizování svých záležitostí používají nejběžněji, shromažďují obce s rozšířenou působností také významné množství informací a osobních údajů, které jsou pro útočníky zajímavé a bez nichž jsou obce své služby schopny poskytovat jen složitě.
Požadavky zákona o kybernetické bezpečnosti na obce
Obce s rozšířenou působností budou primárně spadat mezi subjekty, kterým nový zákon o kybernetické bezpečnosti stanovuje nižší úroveň povinností, budou poskytovateli regulovaných služeb v režimu nižších povinností. Zatímco druhá úroveň – úroveň vyšších povinností nejvíce odpovídá původním povinnostem plynoucím ze zákona v současnosti regulovaným povinným osobám, úroveň nižších povinností představuje skutečný základ na poli kybernetické bezpečnosti.
Obce s rozšířenou působností budou zavázány čtyřmi základními povinnostmi. Těmi jsou povinnost registrace a sdělení kontaktních údajů, zavádění bezpečnostních opatření, hlášení incidentů a implementace protiopatření vydaných NÚKIB.
Povinnost registrovat se a sdělit kontaktní osobu je prvotním krokem, který po účinnosti zákona musí obec s rozšířenou působností splnit. Jde o navázání oficiálního kontaktu a o sdělení toho, kdo je v dané organizaci pověřen jednat jako kontaktní osoba s NÚKIB či národním CERT a jeho kontaktních údajů pro případ nutnosti rychlé komunikace.
Povinnost zavádět bezpečnostní opatření je pak samotnou páteří regulace kybernetické bezpečnosti. Obce s rozšířenou působností by se měly řídit vyhláškou o povinnostech pro poskytovatele regulované služby v režimu nižších povinností v rámci níž jsou stanoveny jednotlivá opatření, která je třeba v organizaci implementovat. Jedná se o opatření technického charakteru (zajišťování bezpečnosti sítí, implementace bezpečnostních softwarových prvků jako jsou například antiviry apod.) i organizačního charakteru (školení uživatelů, stanovení politiky bezpečného chování uživatelů apod.).
Poskytovatelé regulované služby v režimu nižších povinností hlásí pouze významné incidenty s původem v kybernetickém prostoru. Tedy předně nejsou hlášeny incidenty nepocházející z kybernetického světa jako případy překopnutí kabelů či vyplavení serverovny. Vyhláška obsahující bezpečnostní opatření se věnuje i postupu dle kterého lze posoudit významnost incidentu a vyhodnotit tak, zda je nutné jej hlásit či nikoli. Poskytovatelé regulovaných služeb v režimu nižších povinností pak hlásí incidenty národnímu CERT, který v současné době provozuje sdružení CZ.NIC.
Co se týče protiopatření vydávaných NÚKIB, jedná se o úkony, kterými NÚKIB reaguje na aktuální situaci v kyberprostoru. Poskytovatelé regulovaných služeb v režimu nižších povinností jsou pak vázáni reaktivními protiopatřeními, která stanovují přesný postup, jak reagovat na incident (ať již incident právě probíhá, hrozí či proběhl a je třeba zavést opatření pro budoucí ochranu proti obdobným incidentům). Vzhledem k tomu, že varování jako typ protiopatření se vztahuje k analýze rizik, kterou primárně subjekty v nižším režimu nezpracovávají, varování se na obce s rozšířenou působností vztahovat nebude.
S čím mohou obce začít již nyní
Jako přípravu na splnění požadavků zákona o kybernetické bezpečnosti lze doporučit primárně zanalyzovat stávající stav kybernetické bezpečnosti v rámci organizace. Zjistit, které služby organizace poskytuje, jaká aktiva (informace a návazně technologie, zaměstnance, dodavatele…) pro jejich poskytování potřebuje a jak by narušení dostupnosti, důvěrnosti či integrity mohlo organizaci a zejména jí poskytované služby ovlivnit. Následně v návaznosti na posoudit, která opatření jsou již zavedena a v rámci dalších prioritizovat dle potřeb dané organizace. Začít s řešením největších problémů, které v dané obci jsou a stanovit si plán do budoucna. V obecnosti lze vždy doporučit školení relevantních osob – uživatelů či vedoucích pracovníků; zavést řešení pro zálohování potřebných dat, firewally a antivirové řešení.
Obce jsou častým zřizovatelem organizací, které mohou být novou regulací dotčeny rovněž – jedná se například o některé subjekty v odvětví zdravotnictví, vodohospodářství či odpadního hospodářství. Přestože na tyto subjekty bude regulace dopadat samostatně a budou poskytovateli regulovaných služeb sami o sobě, je dobré s takovou situací z pozice zřizovatele počítat a přiměřeně se na ni připravit.
Pro sledování vývoje implementace směrnice NIS 2 a postup tvorby nového zákona o kybernetické bezpečnosti NÚKIB zřídil webovou stránku, kde je možné nastudovat další informace či se seznámit se současnou podobou návrhu zákona a jeho prováděcích předpisů. Tento web je dostupný na následujícím odkazu https://nis2.nukib.cz/. V případě jakýchkoliv dotazů je vám rovněž k dispozici e-mail regulace@nukib.cz.
Daniela Procházková
Národní úřad pro kybernetickou a informační bezpečnost
www.nukib.cz
Ilustrace: Odvětví regulovaných služeb podle nového zákona o kybernetické bezpečnosti
Vláda schválila Plán autonomní mobility
