Jak uvádí Bezpečnostní strategie České republiky z roku 2011, jedním ze strategických zájmů ČR je prevence a potlačování bezpečnostních hrozeb, které ovlivňují bezpečnost státu a jeho spojenců. Na základě provedené analýzy bezpečnostního prostředí u nás byly kybernetické útoky a ohrožení funkčnosti kritické infrastruktury zařazeny mezi devět nejzávažnějších bezpečnostních hrozeb.

Na Bezpečnostní strategii České republiky navázala Strategie pro oblast kybernetické bezpečnosti, která definovala, že hlavním cílem v této oblasti je ochrana komunikačních a informačních systémů před kybernetickými hrozbami a snížení potenciálních škod způsobených v případě útoků na ně.

Nově stanovený legislativní rámec je základním nástrojem pro naplnění cíle chránit kybernetické prostředí České republiky. Měl by vymezit činnosti jednotlivých orgánů při koordinaci postupu veřejné moci v oblasti kybernetické bezpečnosti, zajistit její základní organizační rámec, stanovit minimální požadavky na určené subjekty k zajištění prevence, detekce, reakce a vymezit opatření, které mají vést ke zvýšení odolnosti jednotlivých komunikačních a informačních systémů před stále rostoucím počtem kybernetických útoků. Zákon se nesnaží zavádět nové přístupy. Vychází naopak z praxí prověřených standardů a best practices v této oblasti, zejména z řady norem ISO 27000 a COBITu. Jeho cílem je zavést u povinných subjektů v podstatě celý rámec ISMS prostřednictvím požadavku na vytvoření rozsáhlé bezpečnostní dokumentace a určit odpovědnosti za oblast IT bezpečnosti definováním bezpečnostních rolí, které mají být u povinných subjektů zavedeny. Jsou jimi manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, auditor kybernetické bezpečnosti a garant aktiva. Prostřednictvím organizačních a technických nástrojů by se u každého povinného subjektu měl nastavit základ kvalitního bezpečnostního systému.

Prostor pro zlepšení tu určitě je

Cílem zákona je zavést fungující systém, který zahrnuje bezpečnostní opatření, detekci kybernetických bezpečnostních událostí, hlášení kybernetických bezpečnostních incidentů, systém opatření k reakci na kybernetický bezpečnostní incident a činnost dohledových pracovišť (národní CERT a vládní CERT). Zákon přináší kvalitní rámcovou úpravu oblasti kybernetické bezpečnosti, některé jeho části ale obsahují prostor pro úpravu a zpřesnění.

Nová právní úprava sice zavádí povinnost detekovat kybernetické bezpečnostní události, ale povinnost hlásit jejich výskyt národnímu nebo vládnímu CERTu se týká až kybernetických bezpečnostních incidentů. O detekovaných bezpečnostních událostech si subjekty mohou vést evidenci jen pro svou vlastní potřebu. Pokud ale tuto povinnost budou ignorovat, nehrozí jim podle zákona žádná sankce. Povinné subjekty by si proto měly uvědomit, že to, co je u jednoho subjektu bezpečnostní událostí s nízkým stupněm ohrožení, která se do bezpečnostního incidentu nepřerodí a zůstane jen na úrovni „hrozby“, může být u jiného subjektu významným bezpečnostním incidentem s velkým dopadem.

Povinné subjekty musí hlásit bezpečnostní události bezodkladně po jejich detekci, nicméně zákon nestanovuje žádné časové vymezení pro zpětnou vazbu vládnímu nebo národnímu CERTu, ve které by mohl zasažený subjekt „počítat“ s expertní pomocí a radou. Zákon pouze obecně definuje právo NBÚ vydat reaktivní opatření, ve kterém uloží povinnost provést reaktivní opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem. Přičemž opět ukládá povinnost subjektům bez zbytečného odkladu oznámit Úřadu provedení reaktivního opatření a jeho výsledek. Jediným vstřícným krokem pro povinné subjekty je oprávnění NBÚ vydat varování, pokud ve své činnosti identifikuje hrozbu v kybernetickém prostoru.

Zákon dále upravuje pouze hlášení bezpečnostních incidentů, ale nezabývá se příčinou, tedy odstraněním původu hrozby resp. vyřešením hrozby, je tedy v tomto směru pouze reaktivní. Prostor pro zlepšení tedy vidíme v oblasti proaktivní identifikace kybernetických hrozeb a provázaností s trestněprávními předpisy. V trestním zákoníku je sice upraven trestný čin Neoznámení trestného činu, ten se ale nevztahuje na kybernetickou kriminalitu. Poškozené podnikatelské subjekty se tak často ve snaze ochránit své dobré jméno nebo chod podnikání nejspíš trestněprávního prošetření kybernetického bezpečnostního incidentu nebo události dožadovat nebudou, což může být ve výsledku na škodu celé společnosti.

Zákon o kybernetické bezpečnosti nově zavádí pojem kritická informační infrastruktura resp. subjekty a prvky kritické informační infrastruktury. Ty jsou podřazené kritické infrastruktuře, která je upravena zákonem č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon) a nařízením č. 432/2010 Sb., o kritériích pro určení prvků kritické infrastruktury. Podle krizového zákona subjekty kritické infrastruktury odpovídají za ochranu prvku kritické infrastruktury, jsou povinny vypracovat plán krizové připravenosti, umožnit vykonání kontroly tohoto plánu a ochrany prvku kritické infrastruktury, umožnit vstup a vjezd na pozemky a do prostorů, ve kterých se prvek nachází, oznámit bez zbytečného odkladu informace o organizační, výrobní nebo jiné změně (informace o trvalém zastavení provozu, ukončení činnosti nebo restrukturalizaci). Z novelizovaného znění nařízení o kritériích pro určení prvků kritické infrastruktury vyplývá, že se výše uvedené povinnosti krizového zákona budou od 1. ledna 2015 vztahovat i na subjekty kritické informační infrastruktury zejména ve vztahu k povinnosti zpracování plánu krizové připravenosti a poskytování údajů příslušným úřadům pro zpracování krizových plánů. Ani jeden ze zákonů výslovně neuvádí, zda je možné za obdobu plánu krizové připravenosti považovat vytvoření požadované kompletní bezpečnostní dokumentace podle zákona o kybernetické bezpečnosti.

Autoři zákona deklarují, že je založen na principu spolupráce veřejného a soukromého sektoru. Přitom norma ukládá definovaným subjektům mnoho povinností, ale nabízí velmi málo jako protislužbu ze strany státu, zejména subjektům kritické informační infrastruktury, které jsou převážně ze soukromého sektoru. Povinnosti tak nejsou adekvátním způsobem vyváženy benefity nebo poskytnutím součinnosti ze strany dohledových orgánů. Prostor vidíme v úzké spolupráci v oblasti vzdělávání, školení, řešení případových studií a provádění simulací kyberútoků tak, aby se zvýšila připravenost a odolnost informačních a komunikačních systémů, které považuje Česká republika v oblasti kritické informační infrastruktury za klíčové.

Co se týče kontrolních orgánů, je zde prostor pro zpřesnění kompetencí a odpovědností Vládního a Národního CERTu a provázání zákona o kybernetické bezpečnosti v oblasti kritické informační infrastruktury na krizový zákon a kritickou infrastrukturu.

Jak nastavit sankce?

V praxi se často setkáváme s dotazy, kdo vlastně bude povinným subjektem, tj. například správcem informačního systému, z pohledu regulace kybernetické bezpečnosti. Z důvodové zprávy k zákonu o kybernetické bezpečnosti vyplývá, že za správce informačního nebo komunikačního systému je považován ten, kdo určuje účel daného systému a podmínky jeho provozování (takovou osobou bývá typicky vlastník daného systému). Pokud provozovatel informačního systému, jenž je považován za kritickou informační infrastrukturu, bude pouhým dodavatelem služeb pro vlastníka tohoto systému, např. vlastníka elektrárny, povinnou osobou dle zákona o kybernetické bezpečnosti bude vlastník elektrárny a ne společnost, která informační systém řídící elektrárnu provozuje. Tento koncept odpovídá i právní úpravě krizového zákona.

Otazník visí také nad sankcemi, které budou uloženy osobám, které se dopustily přestupku nebo správního deliktu podle zákona o kybernetické bezpečnosti. Takovým správním deliktem je například neoznámení kontaktních údajů povinného subjektu NBÚ, neohlášení kybernetického bezpečnostního incidentu nebo nesplnění povinnosti uložené Národním bezpečnostním úřadem v jeho rozhodnutí či opatření obecné povahy. Pokuty za taková porušení zákona se pohybují ve výši do 100 tisíc Kč. Taková výše sankcí je z pohledu mnoha povinných subjektů zanedbatelná a je otázkou, zda pro ně bude představovat účinnou motivaci k dodržování zákonem uložených povinností. Skutečností, která by mohla povinné subjekty od porušování zákona mnohem spíše odstrašit, je zákonem definovaná možnost NBÚ zakázat povinnému subjektu používání systému, v němž byl při kontrole zjištěn nedostatek, který by mohl způsobit jeho ohrožení kybernetickým bezpečnostním incidentem, který jej může významně poškodit nebo zničit, a to do doby, než bude takový nedostatek odstraněn.

Zákon prověří až praxe

Na přípravě zákona se kromě odborné veřejnosti podílely též subjekty, kterých se bude přímo týkat. Jeho výsledné znění je proto do značné míry kompromisem mezi dotčenými subjekty a regulátorem a má sloužit jako první krok k formalizaci pravidel v oblasti kybernetické bezpečnosti v České republice. Nelze předpokládat, že první znění zákona bude dokonalé a neměnné. Až jeho používání v praxi ukáže, jak je zákon funkční, jak je nastavený bezpečnostní systém účinný a případně odhalí, kde je prostor pro provedení změn. V současné době existují názory, že zákon by měl být striktnější, na druhé straně i názory, že komplexní právní úprava této oblasti není vůbec potřeba. Domníváme se, že zákon ustanovuje kvalitní rámec pro ochranu kybernetického prostoru České republiky, nicméně jak uvádíme výše, některé oblasti by ale mohly být předmětem další úpravy a rozvoje.

Renata Dvořáková pracuje v Deloitte Advisory jako senior konzultantka v sekci Security & Privacy. Renata je absolventkou provozně ekonomické fakulty České zemědělské univerzity a rovněž oboru Krizové řízení ve veřejné správě na Policejní akademii České republiky v Praze. Renata se soustředí na poradenství v oblasti v oblasti interního auditu, projektového řízení, řízení rizik a řízení kontinuity činností.

Jaroslava Ignáciková je advokátkou v Ambruz & Dark Deloitte Legal. Je absolventkou Právnické fakulty Univerzity Karlovy v Praze. Studovala rovněž právo a management na univerzitě v Innsbrucku. Specializuje se na obchodní právo, zejména na právo obchodních společností se zaměřením na akvizice, odpovědnost managementu a corporate governance.