„Nejúspěšnější útoky jsou ty nejjednodušší.“ EU přitvrzuje v boji s hackery. Přichází NIS 2: Nová pravidla hry se u nás dotknou tisíců subjektů

Na INFO.CZ jsme vám v živě vysílané debatě s odborníky představili připravovanou unijní směrnici NIS 2, která má posílit úroveň obrany proti kyberútokům. Ty se totiž už dávno netýkají jen největších institucí, ale také menších firem a dokonce i jednotlivců. O co jde a na co se připravit? Tady je to hlavní ze středečního streamu, pořádaného ve spolupráci se společností Cyberblog.

Šéfredaktor INFO.CZ Michal Půr debatu uvedl slovy, že od roku 2004 k nám z Evropské unie přišlo již mnoho směrnic a nařízení. Mnozí si možná dnes neuvědomují nebo si nejsou jisti, co vlastně NIS 2 představuje a co se bude odehrávat. Vladěna Sasková z NÚKIB vysvětlila, že jde o směrnici, která má sjednotit základní úroveň kybernetické bezpečnosti napříč členskými státy a stanoví její minimální požadavky.

Technický ředitel společnosti Datasys Pavel Štros upřesnil, že směrnice NIS 2 je spíše rozšířením povinností současné úrovně kyberbezpečnosti na větší pole subjektů, technologicky se o významnější posun nejedná.

Michal Půr se zeptal třetího účastníka debaty, advokáta Pavla Martiníka z kanceláře Martiník Legal, na jaké úrovni se bude pohybovat právní náročnost změn spojených s NIS 2, které dopadnou na firmy. Podle Martiníka to ještě nelze přesně určit, neboť se čeká na formální schválení NIS 2.

Vladěna Sasková z NÚKIB upřesnila, že úprava v NIS 2 se dá rozdělit na dvě větve – politickou, která se týká pravomocí a působnosti orgánů odpovědných za kyberbezpečnost a spolupráce napříč členskými státy a na větev povinností, které budou mít jednotlivé společnosti ohledně zabezpečení systémů. Ve větší míře se podle Saskové změny týkají první větve. V té druhé se principiálně nic nemění, již nyní máme zákon o kybernetické bezpečnosti, který věci z NIS 2 do velké míry reguluje.

Michala Půra zajímalo, zda například klienti firmy Datasys, která firmám zajišťuje bezpečí v online prostředí, o připravovaných změnách vědí. Podle Pavla Štrose se Datasys zaměřuje primárně na střední a větší firmy, kterých se NIS 2 bude týkat, tyto firmy už podle něj většinou odpovídající změny řeší. Projeví se ovšem efekt, kdy NIS 2 rozšiřuje povinnosti i na dodavatelský řetězec těchto firem, do této kategorie už mohou spadat i menší firmy, pokud budou zásadní z hlediska dodávek.

NIS 2 zatím není mediálně tak popularizována, jako byla před svým uvedením do praxe například směrnice GDPR, uvedl Štros. Mimo odbornou veřejnost je tak téma zatím do značné míry skryto a mnohé při implementaci může NIS 2 překvapit a donutit je, aby se kyberbezpečnosti začali věnovat systematicky.

Podle advokáta Pavla Martiníka na provozovatele elektronických komunikací budou nové povinnosti spojené s NIS 2 dopadat bez ohledu na jejich velikost, zatímco u bank a dalších bude záležet na velikosti podniku. „Malá firma o 10 zaměstnancích, která provozuje internet v malé obci, bude tyto povinnosti mít také, což může mít dopad na dostupnost poskytování těchto služeb,“ upozornil.

EU přitvrzuje v boji s hackery. Co nová pravidla znamenají a jak se týkají právě vás? Sledujte záznam debaty

Michala Půra v té souvislosti zajímalo, zda existují nějaké analýzy dopadů těchto změn na byznys a na uživatele. Podle Vladěny Saskové jsou nyní odhady zpracovávány, existuje i varianta, že by se míra požadavků na subjekty lišila s tím, že ty „méně důležité“ by měly povinností, a tím i nákladů méně. Podle Saskové se budou změny týkat zhruba 5 až 6 tisíc subjektů, plné kvantum povinností pak dopadne zhruba na 10 % „velkých a důležitých“.

Co tedy bude směrnice NIS 2 vyžadovat třeba po operátorech? Podle Pavla Štrose z Datasys nepřináší směrnice technologicky nic zásadně nového, jde o systematické řešení kyberbezpečnosti. Firmy budou mít povinnost zpracovat si například plány kontinuity, ovšem ty větší organizace, kterých se toto bude týkat, s tím podle Štrose již mnohdy počítají a tyto procesy mají ošetřeny. Advokát Pavel Martiník navázal s tím, že pro menší firmy se může jednat u NIS 2 o překvapení z hlediska rozsahu dokumentace, kterou budou muset nově vést. Budou také muset podrobněji prověřovat své dodavatele, a to celé pro ně může znamenat velkou byrokratickou zátěž.

Nastane tedy i pro větší firmy povinnost, aby prověřovaly své dodavatele třeba na základě jejich původu? Podle Vladěny Saskové je původ relevantní otázkou, která může být při dodávkách kritické infrastruktury posuzována. Podle Pavla Štrose tuto problematiku zatím dodavatelé řeší neformálně, na bázi vlastní iniciativy. Ve výběrových řízeních tak lze často nalézt třeba požadavek, aby komponenty nepocházely ze zemí, které jsou ve válečném stavu apod. V souvislosti s tím byl zmíněn jako příklad ruský antivirus Kaspersky, pro který válka znamenala podstatný odliv zákazníků.

Vladěna Sasková za NÚKIB odmítla jmenovat konkrétní firmy, uvedla ovšem, že NÚKIB varoval před používáním produktů a služeb z Ruska, a to kvůli existujícímu riziku, že dodávky služeb mohou být náhle ze strany poskytovatele zastaveny.

Přinášejí tato omezení, kladená na dodavatelský řetězec, firmám vícenáklady? Podle Pavla Štrose pouze nepřímo. „Spektrum dodavatelů je většinou pořád dostatečně široké, nijak zásadně se to neprojeví,“ ujistil technický ředitel Datasys. Firmy navíc podle něj v souvislosti s geopolitickým děním už samy cítí potřebu výměny některých komponent.

Od Michala Půra přišla otázka, zda by firma měla šanci dosáhnout na kompenzace, pokud by o ně v souvislosti s těmito změnami požádala. Podle advokáta Pavla Martiníka záleží na konečné formě zákona. „Když někdo jinému omezí možnost podnikání nebo získání levnějšího zboží a služeb, tak by kompenzace měla přicházet v úvahu,“ upřesnil. Vladěna Sasková za NÚKIB uvedla, že panuje maximální snaha připravit znění návrhů zákonů v takové kvalitě, aby komplexně pokrývaly celou problematiku, problém však nastává ve Sněmovně, kde jsou návrhy často torpédovány, případně si do nich jednotliví poslanci snaží promítnout vlastní zájmy.

„Chtěl bych vyvrátit mýtus – to, že NÚKIB vydá restrikce, může mít pro ty operátory nakonec pozitivní efekt, protože do budoucna eliminuje některá rizika,“ upřesnil Pavel Štros s tím, že konečný efekt může být i navzdory počátečním nákladům pozitivní.

Nejúspěšnějšími kyberútoky jsou podle něj ty nejjednodušší. Zneužití slabého lidského faktoru, jeden laxní zaměstnanec z tisíce. Typicky se jedná o situace, kdy pracovník obdrží třeba phishingový email a zareaguje.

„Kyberbezpečnost nejsou jen ‚tlačítka a drátky‘ – významným prvkem je i to, odkud je váš dodavatel. Ten produkt může být technologicky bezvadný, ale když se dodavateli znelíbíte a má tam vzdálený přístup, tak vás prostě vypne. Je na firmách, zda chtějí tomuto riziku čelit,“ otevřela Sasková debatu o dalším z rizik současnosti. Michala Půra zajímalo, zda k takovým případům skutečně dochází. „Nebudu mluvit konkrétně, ale je to možné,“ odmítla to Sasková specifikovat.

Pavel Štros upřesnil, že takovou možnost firmy mají, v praxi se s tím ale zatím nesetkal. Za důležité považuje, aby firmy aktualizovaly svůj software, i zde se však najdou úskalí. Výrobce softwaru z rizikového regionu by mohl mít teoreticky zájem svého zákazníka poškodit, v takovém případě by prakticky neexistovala obrana. Problematická může být i nedbalost. Vladěna Sasková zmínila případy ze světa, kdy chybné aktualizace softwaru shodily celé systémy, nebo ohrozily bezpečnost. „Hlavně jsme se setkali s tím, že už několikrát software dělal věci, které dělat neměl, například odposlechy, posílaní dat,“ doplnil Pavel Štros. Podle něj se to týká i výrobků západních firem, které se v Česku běžně používají.

Směrnice NIS 2. Tisícům soukromých společností a veřejné správě mohou vzniknout nové kyberbezpečnostní povinnosti

sinfin.digital