S ohledem na velmi dynamický vývoj situace v kyberprostoru, který ne vždy jde pozitivním směrem, a také v souvislosti se současnou pandemií Covid – 19 je nutno si přiznat, že digitální svět vyžaduje větší kontrolu. Je zřejmé, že to, co pro kybernetickou a informační bezpečnost (KIB) v pozitivním slova smyslu „udělala“ evropská směrnice o bezpečnosti sítí a informací – NIS, je nutno aktualizovat. Což je v kyberprostoru nutnost, protože jeho dynamika si to prostě žádá. Žádné jiné prostředí a na něj navazující disciplíny negeneruje v čase tolik výzev jako kybernetická bezpečnost. Ukázalo se, že stávající rozsah regulace KIB prostě nestačí. Česká republika s tím má vlastní neblahou zkušenost v odvětví zdravotnictví.
Snaha o to, aby pod zákon o kybernetické bezpečnosti spadalo pokud možno co nejméně nemocnic (do nedávna žádná), se vymstila v podobě zhroucených zdravotnických zařízení. Řada institucí a bohužel i nemocnic žila v přesvědčení, že když na ně zákon o kybernetické bezpečnosti nedopadá, tak tuto oblast nemusí řešit. Vedení těchto institucí asi žilo v iluzi, že když pod zákon nespadají, tak na ně hackeři nebudou útočit. Jejich absence pudu sebezáchovy vedla k tragickým následkům. Zablokované informační systémy nemocnic, škody ve stovkách milionů a nikdo za nic nemůže.
Směrnice NIS 2 tuto situaci reflektuje. Nezodpovědnost vedení se promítá do nemalých škod a jinak než zákonem změnu přístupu asi vynutit nepůjde. Zákon bez odpovídajících sankcí je ale v tomto případě k ničemu. Zákon o kybernetické bezpečnosti v první verzi 2014 měl sankce tak nízké, že bylo jednodušší je zaplatit než smysluplně investovat do kybernetické bezpečnosti.
NIS 2 navrhuje sankce až 10 milionů euro nebo 2 % z celosvětového obratu instituce (v případě GDPR jsou dvojnásobné), která kybernetickou bezpečnost zanedbala a tím ohrozila své klienty, kritickou infrastrukturu, zdraví a životy lidí apod. NIS 2 také stírá rozdíl mezi poskytovateli základní služby a poskytovateli digitální služby – provozovatelé on-line tržišť (e-shopy), internetové vyhledávače a poskytovatelé cloudových služeb. To znamená, že poskytovatelé digitální služby už se nemohou spolehnout na to, že je k nim z pohledu regulace „měkčí“ přístup. Bezpečnost jejich informačních systémů musí být na stejné úrovni, jako by se jednalo o systémy základní služby, a tedy i systémy kritické informační infrastruktury. Bude zde ale bráno v úvahu i posouzení důležitosti poskytovaných služeb, a tak budou instituce rozděleny do základních a důležitých kategorií, v důsledku čehož by se na ně vztahovaly různé režimy dohledu ze strany regulátora – v České republice Národního úřadu pro kybernetickou a informační bezpečnost.
Co považuji za naprosto zásadní je výše uvedené slovo riziko. NIS 2 otáčí kormidlo směrem k tomu, že vše, co se týká kybernetické a informační bezpečnosti, musí být postaveno na řízení rizik.
Směrnice reaguje na zhoršující se bezpečnostní situaci dále tím, že přidává další odvětví, ve kterých je nutno kybernetickou bezpečnost regulovat, z mých zkušeností je asi lepší slovo „nařídit“. Takže k odvětvím, která spadají pod kategorii základní služba, tedy energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, vodní hospodářství, digitální infrastruktura a chemický průmysl, přibudou další, a to:
Veřejná správa
Vesmír – tzn. provozovatelé pozemní infrastruktury, která podporuje poskytování vesmírných služeb (mimo komunikačních)
Poštovní a kurýrní služby
Zpracování odpadu
Výroba a distribuce chemikálií
Výroba, zpracování a distribuce potravin
Výroba
zdravotnických prostředků
počítačů, elektronických optických zařízení
elektrických zařízení
strojů a zařízení
motorových vozidel, přívěsů a návěsů
ostatních dopravních prostředků a zařízení
Poskytovatelé digitálních služeb – zde jde o rozšíření na provozovatele sociálních sítí.
NIS 2 se také zaměřuje na hodnocení bezpečnosti dodavatelských řetězců, kdy se budou hodnotit z pohledu rizik pro kybernetickou a informační bezpečnost odběratele nejen dodavatelé, ale i jejich subdodavatelů v celém řetězci. A to i v netechnických parametrech, jako je legislativní prostředí, vymahatelnost práva, vliv nedemokratických režimů na činnost dodavatele apod.
Co považuji za naprosto zásadní je výše uvedené slovo riziko. NIS 2 otáčí kormidlo směrem k tomu, že vše, co se týká kybernetické a informační bezpečnosti, musí být postaveno na řízení rizik. Jejich identifikaci, analýze, vyhodnocení a přijetí opatření k jejich snížení. V podstatě to, co na Cevro institutu v MBA programu „Management a kybernetická bezpečnost“ učím už sedmý rok“. Vše musí být postaveno na řízení rizik, jinak se kybernetická a informační bezpečnost budovat, provozovat, řídit a rozvíjet prostě nedá. Vše ostatní je až pak. Když se zamyslíme nad rozšířením záběru NIS 2, tak je zřejmé, že je to výsledkem právě pečlivé analýzy rizik.
Dokument má s přílohou cca 125 stran, takže není možné jej zde rozebrat celý, nicméně jsem zvědav, jak se s tímto přitažením šroubů poperou provozovatelé systémů, které pod zákon o kybernetické bezpečnosti nově spadnou. Ti, co přistupovali zodpovědně ke kybernetické a informační bezpečnosti, tak můžou být klidní. Ti, co spoléhali na to, že pod zákon o kybernetické bezpečnosti nespadají, a tudíž KIB neřešili v odpovídající úrovni, ti se mají na co těšit. Těm doporučuji, aby nejlépe včera začali.
Je zřejmé, že dopady NIS 2 budou mimo jiné i na trh s odborníky na KIB. Mnohem více jich bude potřeba ve všech výše uvedených odvětvích, a také v orgánech, zodpovědných za regulaci KIB. Takže pořád bude co dělat. Musím říct, že jsem si dobře vybral.
Budu i nadále sledovat vývoj kolem této směrnice a bude-li o čem, budu v psaní pokračovat.
Na závěr mi dovolte jeden citát (Aleš Špidla poprvé někdy v roce 2014):
Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy!
![CI_Postgradualy_1200x627_09_17-1[2].gif](https://static.wixstatic.com/media/1b7813_a5b1fd6bf3b24042a33910ba617fbb3f~mv2.gif)
