Teprve v srpnu vstoupila v účinnost evropská směrnice o informační a síťové bezpečnosti (NIS). Národní bezpečnostní úřad a jeho centrum kybernetické bezpečnosti už ale v půli července přispěchaly s novelou, která má požadavky směrnice zapracovat do českého právního rámce.

Základním stavebním kamenem nové regulace je vymezení tzv. základních služeb, jejichž poskytování je závislé na sítích nebo informačních systémech a jejichž narušení by mohlo mít významný dopad na zabezpečení společensky či ekonomicky významných odvětví. Na některé, jako jsou například orgány veřejné správy, pamatuje už současná verze zákona, pro jiné, kupříkladu ze sféry zdravotnictví nebo chemického průmyslu, budou pravidla pro zajištění kybernetické bezpečnosti novinkou.

Po transpozici směrnice NIS do českého právního rámce je tak čeká podobná cesta, jakou si musely projít instituce už dříve spadající pod zákonnou regulaci. "Nováčci mají dost často vyřešeno monitorování, řeší provoz, mají antiviry, dokážou řídit počítače, sledovat, jestli se něco děje, nebo neděje - takové běžné operace související s bezpečností. Co jim ale chybí, jsou nadstavbové systémy, které by dokázaly všechny události, které se v informačním systému dějí, dostávat na jedno místo, tam je zpracovávat, korelovat a dělat z toho nějaké výstupy," popisuje situaci firem a institucí, na něž nově zákon dolehne, ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel.

Delikty se prodraží

Novela zákona počítá dále také se zvýšením pokut a s rozšířením okruhu správních deliktů, za něž je může Národní bezpečnostní úřad "hříšníkům" udělit. Tak například pokud povinný subjekt nepřijme nařízená bezpečnostní opatření nebo o nich nevede řádnou dokumentaci, bude mu hrozit pokuta až pět milionů korun.

Ač se může zdát, že jde o velký skok - doposud zákon znal pokutu maximálně 100 tisíc korun -, drží se podle některých expertů předkladatel návrhu při zdi. "Dokázal bych si představit i vyšší sankce, pokud chceme, aby ta hrozba pokuty byla účinná, protože se tady bavíme o povinných subjektech, které mají charakter orgánů veřejné moci nebo relativně velkých firem," míní Radim Polčák, vedoucí Ústavu práva a technologií Masarykovy univerzity.

Ani zvýšení pokut ovšem neznamená, že Národní bezpečnostní úřad bude vystavovat účty za porušení povinností denně. Jak zdůrazňují jeho zástupci i experti na kybernetickou bezpečnost - tuzemský systém budování kybernetické bezpečnosti staví především na důvěře mezi státem a soukromými subjekty.

Navíc ani rozšíření okruhu správních deliktů neznamená, že jejich prokazování bude v praxi jednodušší. "Vysoká komplexnost systémů v kombinaci s vysokým počtem organizací výrazným způsobem úřadu ztíží dokazovací proces, který je nevyhnutelný pro udělování peněžitých sankcí," tvrdí Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC, které provozuje Národní bezpečnostní tým CSIRT.CZ. Dokazování porušení některých paragrafů by si tak podle ní vyžádalo velké množství lidských zdrojů, navíc je do něj vtahován výrazný prvek subjektivity. "Jedním z příkladů může být samotné označení incidentu. Ačkoliv je pojem 'bezpečnostní incident' v zákoně popsaný, v každém systému může znamenat něco jiného," vysvětluje analytička.

Více mlčení

Zákon se ale nebude doplňovat zdaleka jen o nová pravidla plynoucí z bruselské směrnice, jako jsou třeba vyšší pokuty. "Za rok a půl účinnosti zákona jsme identifikovali určitá bílá místa," říká ředitel odboru právního a legislativního NBÚ Jiří Malý a dodává: "Nejzásadnější je potřeba chránit údaje o zabezpečení systémů, aby se neotvírala cesta k útokům."

Novinkou, kterou plánuje NBÚ do zákona přidat, je povinnost orgánů a firem spadajících pod regulaci zachovávat mlčenlivost o připravovaných a přijatých bezpečnostních opatřeních. Zejména státní instituce spadající do kritické či základní infrastruktury nebo spravující významný informační systém by tak například již napříště nemusely informovat o citlivých prvcích své infrastruktury v reakci na žádosti podané podle zákona o svobodném přístupu k informacím nebo je volně vypouštět do světa v rámci zadávacích řízení k veřejným zakázkám.

Méně transparentnosti tak přiblíží státní sektor tomu, co je už dnes běžné v soukromé sféře. "Soukromoprávní subjekty si tato data velmi úzkostlivě chrání, protože to jsou velmi citlivé informace, které mohou být zneužity," upozorňuje Polčák.

Ani připravovaná novela ale zřejmě neodstraní všechna slabá místa. Nepočítá se například s uzákoněním tzv. aktivních protiopatření, tedy možnosti odpovědět na útok útokem. "Jsou určité typy kybernetických útoků, proti kterým je jedinou možností obrany útok. Pokud dochází k zahlcení cílového místa, v některých případech je jediným efektivním způsobem zahltit toho útočníka," vysvětluje přínos takových opatření Polčák.

Na evropské špičce

I přes nedodělky se ale jak právníci, tak technici a odborníci na bezpečnost shodují v jednom - Česko má kvalitní zákon, na němž může stavět a který nám řada evropských zemí závidí. "Jeden z důvodů je, že jiné členské státy zákon o kybernetické bezpečnosti vytvořený vůbec nemají. Právě směrnice NIS by to měla řešit a stanovit určitou společnou legislativu v této oblasti," říká Duračinská ze sdružení CZ.NIC.

Podle Polčáka bylo Česko první evropskou zemí vůbec, která předpis komplexně řešící otázku kybernetické bezpečnosti přijala. "Směrnice NIS je postavená na úplně stejných principech jako náš zákon, takže ostatní členské státy teď mají velký zájem na tom, dozvědět se, jak to u nás funguje," dodává právník.

Ostatně Češi na rozdíl třeba od Italů nebo Chorvatů výrazně promlouvali už do samotného formování směrnice. Kromě NBÚ a jeho Národního centra kybernetické bezpečnosti své připomínky do Bruselu poslalo také CZ.NIC, vyhledávač Seznam.cz nebo ministerstvo vnitra.