Kdo hřeší na to, že zatím nespadá pod zákon o kybernetické bezpečnosti, ten se bude divit, varuje Aleš Špidla.
Poměrně dlouho je řešena kybernetická a informační bezpečnost institucí a firem, u kterých by se to dalo očekávat. Z principu, respektive svým určením, daným tím, co dělají, to po nějaké době přestalo ostatním vadit, tedy býti divné. To je pochopitelné. Ve světle toho, co se ve světě v současné době děje, to nepřijde zvláštní ani těm nejzarputilejším odpůrcům všeho. Kybernetická a informační bezpečnost bank, mobilních operátorů, výrobců a dodavatelů energií, je automaticky braná nutnost. Jenže. To, co je na první pohled zřejmé, to, co by normálně uvažující člověk považoval za více samozřejmé než zřejmé, není tak vnímáno ze strany vedení institucí.
Jak je možné, že se ředitelé nemocnic vymlouvají na to, že nespadají pod regulaci zákona o kybernetické bezpečnosti, a tudíž nemusí své informační systémy chránit před útoky kyberdarebáků? A proč stejnou výmluvu používají vedoucí představitelé obcí? V současném nastavení legislativy nespadá žádná obec pod regulaci zákonem o kybernetické bezpečnosti. Tedy pokud se sama dobrovolně a dalo by se říci i tak trošku sebevražedně pod kuratelu této legislativy nezahrnula. Zkušenosti z praxe říkají, že pokud se takováto obec našla a zahrnula, tak si to brzy rozmyslela a radši se „vyhrnula“.
No dobrá, ale co s tím. Obce poskytují služby občanům a poskytování těchto služeb je bytostně závislé na správném a kupodivu i bezpečném chodu informačních a komunikačních technologií. Postavit se do výše zmíněné pozice „pod zákon o kybernetické bezpečnosti nespadám, tudíž neřeším“ je cesta do pekla. Touto cestou se vydala spousta institucí a i obcí. Potom už se jenom divily. Bolestně. Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy. V kyberprostoru jde o to, jak nezahubit sám sebe, nezahubit druhého, nenechat se zahubit druhým. To je ten absolutní základ. Pokud vedení instituce a také obce toto nemá na paměti, tak se do té záhuby řítí.
Stále ještě panuje, zvláště pak u úředníků, postoj „pokud mi něco nenařizuje zákon, tak nemám důvod se pohnout“. Zákon o kybernetické bezpečnosti 181/2014 Sb. je tady 8 let. Spolu s prováděcími předpisy nám říká, co jak dělat pro posílení kybernetické a informační bezpečnosti. Jenže je tady ten přístup spadám versus nespadám. A když nespadám, nic nedělám. A když nic nedělám, tak nic nepokazím. A to je ta cesta do pekla. Pohodlného, ale přece jenom pekla. Jenže došla trpělivost, škody jsou velké, kyberdarebáci jsou čím dál tím drzejší a tím pádem také bohatší. S výše zmíněnou filosofií „bez zákonu ani krok a nikdy jinak“ bylo nutno něco udělat. A teď jsme u toho. Autoritám došlo, že musí dojít ke změně. A proto tady máme novou směrnici o bezpečnosti sítí a informací, známou pod zkratkou NIS2.
Když vám někdo přijde nabídnout, že váš úřad připraví na splnění požadavků NIS2, vyhoďte ho. Je to nesmysl. NIS2 míří na členské státy, ne na jednotlivé instituce. Definuje jim rámec pro národní legislativu. Na jednotlivé subjekty (úřady, firmy atd.) míří až národní legislativa. Když vám někdo nabídne, že vás připraví na novelu zákona o kybernetické bezpečnosti, vyhoďte ho taky. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nepřipravuje novelu zákona o kybernetické a informační bezpečnosti. NÚKIB připravil a k diskusi v odborné veřejnosti vydal nový zákon. A to je pěkně velký rozdíl.
Podívejme se na některé, pro obce podstatné novinky v novém zákoně o kybernetické a informační bezpečnosti. Začněme tím, že se bude týkat obcí. Tedy pokud ve své NÚKIBem navržené podobě projde bez úhony legislativním procesem. Asi by mi vadil postoj, který se uplatnil v případě již zmíněného zákona o kybernetické bezpečnosti, kdy masivním lobbingem byly z povinností vůči tomuto zákonu vyřazeny obce. A že nikdo nevyslyšel názory odborníků? No proč by měl. Lobbisté tomu přece rozumí lépe. Ale teď, alespoň doufám, přichází změna. Zdůrazním jen některé zásadní změny, které nový zákon o kybernetické bezpečnosti přinese.
První změna je v tom, že ruší určení osob povinných vůči zákonu podle §3 a konečně se zabývá poskytováním služeb, v řeči nového zákona těch regulovaných. Služby poskytované občanům ze strany obcí tam spadnou také. A to je dobře. Jejich výpadek, způsobený nefunkčností informačních systémů obce, může mít totiž významný dopad na život občanů, na věrohodnost reprezentace obce, na její rozpočet a podobně.
A z toho také plyne to, kdo za kybernetickou a informační bezpečnost zodpovídá. Je to vedení obce. Prováděcí předpisy k tomuto zákonu zavádějí něco, co nikdy v legislativě kybernetické a informační bezpečnosti nebylo. Dovolím si citovat jen některá ustanovení bez odkazů na další paragrafy, neboť to překračuje rozsah tohoto článku:
Vrcholové vedení povinné osoby s ohledem na zajišťování minimální úrovně kybernetické bezpečnosti
- e prokazatelně účastní školení (o kybernetické a informační bezpečnosti – pozn. autora)
- zajistí stanovení bezpečnostní politiky a strategických cílů zajišťování minimální úrovně kybernetické bezpečnosti
- zajistí dostupnost zdrojů potřebných pro zajišťování minimální úrovně kybernetické bezpečnosti v souladu s plánem zavádění bezpečnostních opatření
- informuje zaměstnance o významu zajišťování minimální úrovně kybernetické bezpečnosti a významu dosažení shody s jeho požadavky se všemi dotčenými stranami
- zajistí podporu k dosažení zamýšlených strategických cílů
- se podílí na vypracování analýzy dopadů (kybernetických incidentů – pozn. autora)
- prosazuje neustálé zlepšování zajišťování minimální úrovně kybernetické bezpečnosti
- určí osoby zastávající bezpečnostní role a stanoví příslušné pravomoci
- podporuje bezpečnostní role v oblastech její odpovědnosti
- přijímá bezpečnostní opatření vedoucí ke kontinuálnímu zlepšování zajišťování minimální úrovně kybernetické bezpečnosti
Z výše uvedeného je zřejmý posun od zodpovědnosti nešťastného zaměstnance úřadu, který vnímá potřebnost a důležitost zajištění kybernetické a informační bezpečnosti, nicméně je na to sám a nikdo mu nerozumí, k vedení obce. A že pod zákon „spadnou“ všechny obce od III. typu výše, je už teď nabíledni. A co se stane, když vedení obce nebude konat? I na to legislativa myslí. A to s nebývalo razancí. Za neplnění povinností, vyplývajících ze zákona o kybernetické bezpečnosti pokuta až 250 000 000 korun, ale i pozastavení výkonu řídící funkce.
Jak už jsem uvedl, nelze v rozsahu tohoto článku provést kompletní analýzu nastupující legislativy kybernetické bezpečnosti, nicméně na podzim roku 2024 skončí veškerá sranda a s ní spojený benevolentní přístup ke kybernetické bezpečnosti, a to i v obcích. Je také nutno si uvědomit, že nárůst počtu osob povinných vůči zmíněné legislativě (ze současných cca 360 a na odhadovaných cca 6 až 10 tisíc – možná i víc), vyhladoví trh s odborníky na kybernetickou a informační bezpečnost. Už tak nás je málo.
Při zajišťování kybernetické a informační bezpečnosti v obcích mi nezbývá než jejich vedení popřát hodně štěstí.
Nový zákon připravovaný NÚKIB je zveřejněn zde.
Aleš Špidla
Čestný prezident Českého institutu manažerů informační bezpečnosti
Pracuje jako manažer kybernetické bezpečnost v Centru kardiovaskulární a transplantační chirurgie a jako manažer kybernetické bezpečnosti Úřadu městské části Praha 5 a spolupracuje na řadě projektů s kyberbezpečnostní problematikou.
Je čestným prezidentem Českého institutu manažerů informační bezpečnosti, garantem a pedagogem MBA studijního programu „Management a kybernetická bezpečnost“ a spolugarantem a pedagogem LL.M programu „Ochrana informací“ na Vysoké škole CEVRO Institut. Je zarputilý evangelizátor problematiky kybernetické a informační bezpečnosti ve všech jejích aspektech. Přednáší na konferencích, vystupuje v médiích, publikuje články s touto tématikou.
Plzeňské drony slaví deset let
