- Kateřina Kubíková
- David Polách
Směrnice NIS2 vytvořila dvě kategorie subjektů regulovaných služeb. Jedná se o základní subjekt (essential subject) a důležitý subjekt (important subject). Ty se pak liší požadavky, které musí organizace splňovat.
V českém právním řádu bude NIS2 přenesená do nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek. Návrh zákona o kybernetické bezpečnosti k tomuto přistupuje mírně odlišně a zavádí jeden subjekt – poskytovatele regulované služby se dvěma režimy. Setkáme se tedy s režimem vyšších povinností, který odpovídá kategorii základní subjekt dle NIS2 a režimem nižších povinností, který odráží kategorii důležitý subjekt.
Pokud je organizace poskytovatelem regulované služby, povinnosti, které bude muset plnit závisí na tom, v jakém režimu je zařazená. Více o české legislativě, která vychází z NIS2 si můžete přečíst zde.
Bezpečnostní opatření ve vyšším režimu povinností
Návrh zákona o kybernetické bezpečnosti rozděluje bezpečnostní opatření do dvou skupin. Na opatření organizační (14) a opatření technická (11). Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností pak uvádí konkrétní obsah těchto povinností.
Organizační opatření
- systém řízení bezpečnosti informací
- požadavky na vrcholné vedení
- stanovení bezpečnostních rolí
- řízení bezpečnostní politiky a bezpečnostní dokumentace
- řízení aktiv
- řízení rizik
- řízení dodavatelů
- bezpečnost lidských zdrojů
- řízení změn
- akvizice, vývoj a údržba
- řízení přístupu
- zvládání kybernetických bezpečnostních událostí a incidentů
- řízení kontinuity činností a
- provádění auditu kybernetické bezpečnosti
Technická opatření
- fyzická bezpečnost
- bezpečnost komunikačních sítí
- správa a ověřování identit
- řízení přístupových práv a oprávnění
- detekce kybernetických bezpečnostních událostí
- zaznamenávání událostí
- vyhodnocování kybernetických bezpečnostních událostí
- aplikační bezpečnost
- kryptografické algoritmy
- zajišťování dostupnosti regulované služby
- zabezpečení průmyslových, řídících a obdobných specifických technických aktiv
Nově budou muset organizace ve vyšším režimu mít osoby zastávající bezpečnostní role: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti.
Pro představu obsahu opatření se blíže podíváme například na opatření k bezpečnostním rolím. Nově budou muset organizace ve vyšším režimu mít osoby zastávající role manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti. Vrcholové vedení organizace má povinnost tyto osoby určit. Každá z těchto bezpečnostních rolí by měla splňovat požadavky stanovené vyhlášku a doporučuje se řídit i její přílohou, která role ještě více rozvádí.
-
Manažer kybernetické bezpečnosti
Manažerem kybernetické bezpečnosti je osoba, která bude odpovědná za dodržování pravidel systému řízení bezpečnosti informací, je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí nebo studiem na vysoké škole. Bude odpovídat za informování vrcholového vedení. Zároveň tato role nesmí být pověřena výkonem jiných rolí odpovědných za provoz regulované služby. -
Architekt kybernetické bezpečnosti
Architekt kybernetické bezpečnosti zodpovídá za zajištění návrhu implementace bezpečnostních opatření, musí mít také určité odborné znalosti a praxi. -
Garand aktiva
Garant aktiva je bezpečnostní role, která odpovídá za zajištění rozvoje, použití a bezpečnost aktiva. -
Auditor kybernetické bezpečnosti
Auditor kybernetické bezpečnosti pak odpovídá za provádění auditu kybernetické bezpečnosti, má odbornou znalost a praxi, audit vykonává nestranně a je výslovně stanoveno, že nesmí zastávat žádnou jinou bezpečnostní roli.
Bezpečnostní opatření v režimu nižších povinností
Pro poskytovatele regulované služby v režimu nižších povinností zákon organizační a technická opatření zvlášť nevyjmenovává, ale jsou uvedeny dohromady. Jedná se tak celkem o 13 bezpečnostních opatřeních uvedených v návrhu nového zákona o kybernetické bezpečnosti, kdy v aktuálním znění návrhu vyhlášky v režimu nižších povinností jich je rozvedeno pouze 11. Chybí v ní zakotvení řízení aktiv a řízení rizik. Jaké všechny povinnosti budou definitivně pro nižší režim (případně i vyšší režim) stanovené se dozvíme zřejmě až potom, co nová právní úprava projde schválením v Parlamentu.
Bezpečnostní opatření v nižším režimu:
- systém zajišťování minimální kybernetické bezpečnosti
- požadavky na vrcholné vedení
- řízení aktiv
- řízení rizik
- bezpečnost lidských zdrojů
- řízení kontinuity činností
- řízení přístupu
- řízení identit a jejich oprávnění
- detekce a zaznamenávání kybernetických bezpečnostních událostí
- řešení kybernetických bezpečnostních incidentů
- bezpečnost komunikačních sítí
- aplikační bezpečnost
- kryptografické algoritmy
Oproti bezpečnostním rolím rozvedeným výše ve vyšším režimu povinností je v tom nižším takto nenajdeme. Pod bezpečnostním opatřením zajišťování kybernetické bezpečnosti se však objevuje povinnost určit osobu odpovědnou za kybernetickou bezpečnost. Tato osoba bude odpovídat u organizací v nižším režimu za řízení a rozvoj kybernetické bezpečnosti a komunikaci s vrcholovým vedením.
Touto rolí může být pověřena osoba, která pro tuto činnost absolvuje odborné školení specifikované vyhláškou nebo prokáže odbornou způsobilost. Tuto roli může vykonávat již některý ze stávajících zaměstnanců, například osoba odpovědná za provoz IT. Na tomto příkladu si můžeme hezky ukázat, že nižší režim je opravdu mírnější než režim vyšších povinností.
Spadáte pod novou legislativu?
Zvláštní povinnosti v odvětví digitální infrastruktury a služeb
Návrh zákona o kybernetické bezpečnosti ve stavu, kdy byl předložen v dubnu 2024 Legislativní radě vlády, přichází se speciálním ustanovením pro poskytovatele regulovaných služeb v odvětví digitální infrastruktury a služeb. Jedná se o poskytovatele regulované služby, který je poskytovatelem regulované služby:
- systému překladu jmen domén,
- služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie,
- služby správy a provozu registru domény nejvyšší úrovně,
- služby cloud computingu,
- služby datového centra,
- služby sítě pro doručování obsahu,
- služby on-line tržiště,
- služby internetového vyhledávače ve smyslu přímo použitelného právního předpisu Evropské unie,
- služby platformy sociální sítě,
- řízené služby a
- řízené bezpečnostní služby.
Organizace poskytující některou z těchto služeb budou muset ve vztahu k těmto službám zavést a provádět bezpečností opatření, která zahrnují alespoň: řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činnosti, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit.
Detaily teprve stanoví Evropská komise, a tyto požadavky budou mít přednost před povinnostmi stanovenými českými právními předpisy. Jedná se o zpřísnění bezpečnostních opatření pro všechny poskytovatele některé z výše uvedených regulovaných služeb a míra zpřísnění bude záviset na znění prováděcího předpisu Evropské komise. Lehce povzbudivé může být, že toto zpřísnění se má týkat poskytovatele regulované služby pouze ke konkrétním regulovaným službám. Ostatní regulované služby, které může tato organizace poskytovat a nespadají pod prováděcí předpis Komise se budou řídit podle režimu poskytovatele regulované služby, a tedy zákonem o kybernetické bezpečnosti a jeho vyhlášek.
