Útoků v kybernetickém prostoru přibývá: jsou součástí válečných konfliktů, formou terorismu i kriminality. Opakují se případy, kdy kyberútoky ochromí chod firem, napadají i klíčovou infrastrukturu státu. Nově důraz na kybernetickou bezpečnost nařídí širokému okruhu firem zákon; jen v Česku půjde o zhruba šest tisíc subjektů.

Přijmout nová pravidla při řešení kybernetické bezpečnosti nařizuje členským státům Evropské unie směrnice NIS2. Dvouletá lhůta na zavedení této směrnice do národního práva právě dobíhá, nový zákon by měl začít platit od počátku příštího roku. „Kybernetický svět založený na internetu, na všeobecném sdílení informací je stále více propojen. Informace o útocích na osobní emailové schránky, na firmy, na rafinerie a podobně tu byly již dávno, před válkou na Ukrajině. Ta to ale vystupňovala a přinesla blíž k nám, i vzhledem k české angažovanosti. Směrnice NIS2 a zákonná úprava tedy reaguje na to, jak moc je toto pro náš dnešní svět zásadní a jak velkým rizikům jsme vystaveni; a je to naopak snaha tato rizika minimalizovat,“ vysvětluje Kamil Blažek, advokát a partner právní kanceláře Kinstellar.

Rozhovor je písemnou verzí podcastu Bruselská setba, ve zvukové podobě jej najdete ve všech běžných aplikacích.

Co je podstatou směrnice NIS2?

Původní směrnice o kybernetické bezpečnosti se vztahovala na mnohem méně subjektů, primárně na ty, jež jsou součástí takzvané užší kritické infrastruktury. Nyní se ale platnost rozšiřuje. Nedávno jsme viděli, jak i v světovém měřítku malý subdodavatel, který řeší kybernetickou bezpečnost a programy pro Microsoft, může – byť neúmyslně – způsobit velký problém řadě firem od rafinérií po letecké společnosti po celém světě. Takže si můžeme představit, co by mohl způsobit plánovaný úmyslný útok na ještě citlivější oblasti. NIS2 požaduje po členských zemích EU, aby v této oblasti přijaly novou legislativu, speciální zákon, který definuje základní bezpečnostní limity a národní strategii pro kybernetickou bezpečnost: koho se to týká, kdo za to zodpovídá a aby na to byly zdroje ve státním rozpočtu…

Zavádí i strategickou spolupráci mezi členskými státy EU, zejména výměnu informací, což je klíčové, protože online svět není vázán na státní hranice. Směrnice definuje okruh povinných subjektů – soukromých firem i státních organizací – poměrně široce a nařizuje jim i povinné hlášení bezpečnostních incidentů. Chybami se člověk učí, je potřeba ty informace sdílet a hlavně na ně reagovat. Ne je zametat pod koberec, což by leckdy mohlo být pro nějakou konkrétní firmu lákavé. Je tam naopak zavedena odpovědnost firem, aby měly plány nejen pro případ incidentu, ale i pro řešení následků. Tak, aby byly nadále zachovány například dodávky plynu, pohonných hmot, elektřiny, potravin či léků.

V rámci státní správy jsou segmenty, které jsou už dlouho cílem mnohem větších rizik špionáže či teroristických útoků: tajné služby, armáda nebo třeba ministerstvo zahraničních věcí, které jsou asi připraveny lépe než jiné.

Jde tedy o zachování provozu i mimo kyberprostor: v energetice, drážní a letecké dopravě, telekomunikacích, ve veřejné správě… Jsou tohle ty nejdůležitější oblasti v rámci těch zhruba šesti tisíc firem a organizací, jichž se nový zákon bude týkat?

Ano, je to ale asi něco, co se ještě bude průběžně vyhodnocovat. Jsou tam ale jmenovány základní entity, které mají vyšší důležitost a zahrnují mimo jiné energetiku, dopravu, zdravotnictví, ale i digitální infrastrukturu, vodovodní služby, finance, vesmír, veřejnou správu. Zrovna ten vesmír může někoho překvapit, ale dnes leckdo nenajde cestu bez GPS ani na druhý konec vlastní čtvrti a bez vesmíru GPS fungovat nebude. Druhou oblastí jsou takzvané důležité entity; ty zahrnují možná méně životně důležité oblasti, ale stále podstatné: poštovní a kurýrní služby, chemický průmysl, odpadové hospodářství, výzkum, potravinářský průmysl či poskytovatele digitálních služeb.

Přiznám se, že zrovna kurýrní služby mě překvapily. Ale možná je to obraz toho měnícího se světa, když kurýrní služby dnes už patří do systému jaksi nepostradatelných služeb…

Ono nejde jen o to, že vám dnes kurýrní služba doručuje až domů předměty denní potřeby, od knížek po zubní pastu, jde spíše o dodávky pro výrobu. Spousta firem a výrobních podniků funguje na principu dodávek just in time: dodávky součástek přicházejí do výroby průběžně. Může to být stejně dobře z druhého konce města nebo republiky či světa. A bez těchto kurýrních služeb se v průmyslové oblasti leckde fungovat nedá a logistické kurýrní cargo společnosti mají enormní důležitost pro spoustu odvětví.

Pokud jde o kyberbezpečnost, vysoko v prioritách je přirozeně státní správa. Je tam spousta citlivých dat, důležitých informací a útoků na různá ministerstva a úřady jsme už zaznamenali spoustu. Myslíte, že zrovna státní správa je na něco takového připravená?

V rámci státní správy jsou segmenty, které jsou už dlouho cílem mnohem větších rizik špionáže či teroristických útoků: tajné služby, armáda nebo třeba ministerstvo zahraničních věcí, které jsou asi připraveny lépe než jiné. Naopak třeba oblast zdravotnictví, sociálních služeb, tam bude ta připravenost určitě mnohem nižší, protože doposud se to po těchto částech státu tolik nevyžadovalo. Zde je před námi jistě dlouhá cesta, kterou bude problematizovat nedostatek lidí a personálu, který to bude muset všechno znát, umět implementovat a které bude potřeba zaplatit. Státní správa dnes sice je v některých odvětvích schopná přetahovat lidi soukromé sféře, ale zrovna v oblasti IT to tak není.

V textu je nyní to, že NÚKIB může vydávat opatření, tedy závazné právní akty, které řeknou, že nějaký typ technologie je z nějakého důvodu nebezpečný, rizikový, a proto se nesmí používat. Jak směrem do budoucna, tak i zpětně.

Je dobré říct, že směrnice NIS2 není pouhé doporučení. Jde o nové povinnosti, za jejichž nedodržení mohou být vyměřeny až desetimilionové pokuty.

Ten zákon je velmi důležitý, respektive je velmi důležité to, co se snaží chránit a na jaká rizika se snaží upozornit. Umíme si jistě každý vymyslet katastrofické scénáře pokud by se naplnil nějaký skutečně velký kybernetický útok. Proto se ten zákon vztahuje na hodně rozšířený okruh firem, je jich teď kolem šesti tisíc, ale žádný definitivní seznam neexistuje. Podstatná jsou kritéria a to, zda se do nich daná firma vejde, nebo ne. Můžou to být velké sofistikované firmy, stejně tak jako malé firmy a střední firmy – a vy potřebujete, aby to případné neplnění zákona zabolelo i toho velkého.

Opatření se týká organizací „poskytujících alespoň jednu službu uvedenou v přílohách směrnice“ a zároveň je středním nebo velkým podnikem – tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).

Přepis té směrnice NIS2 do národního práva je v Česku nyní ve finiši. Zákon schválila vláda v polovině července, leží již v Poslanecké sněmovně. Národní úřad pro kybernetickou bezpečnost (NÚKIB) počítá s účinností v českém právním řádu někdy počátkem roku 2025. Je v přípravách nějaký zádrhel, problém, zásadní sporný bod?

Příprava probíhala v zásadě podle harmonogramu, ale debaty tam byly a jsou. Na čas byl ten zákon i pozdržen, protože se řešila navrhovaná specifická pravomoc NÚKIB: to, jak bude moct zasahovat, s jakou intenzitou a razancí, do dodavatelských řetězců firem, primárně do výběru dodavatelů technologií. V textu je nyní to, že NÚKIB může vydávat opatření, tedy závazné právní akty, které řeknou, že nějaký typ technologie je z nějakého důvodu nebezpečný, rizikový, a proto se nesmí používat. Jak směrem do budoucna, tak i zpětně – musel by se pak nahradit jinou technologií. Je to jistě vedené dobrým záměrem, ale kritika míří na to, kdo a jak zjistí, že je něco závadné a škodlivé? To už ale zabíháme do oblasti utajovaných skutečností a informací o tom, jak ta která konkrétní technologie opravdu funguje. Plus – i když to rozhodnutí může být motivováno jak politicky, vojensky, zahraničně-politicky nebo opravdu čistě technologicky – to bude mít potenciálně zásah do ekonomiky firem. Když někdo dostane nařízeno sundat třeba všechny své vysílací věže a koupit si nové, tak ta firma do toho bude muset dost investovat.

No právě. Dá se čekat, že firmy se v takovém případě budou třeba soudní cestou domáhat po státu náhrady škody?

On to bude zákonný právní předpis, ale samozřejmě jakékoliv opatření, které stát udělá vůči soukromému sektoru, občanům, firmám, lze posuzovat tím pohledem, zda je to ústavní, jestli to je v souladu se zákonným režimem, jestli je to přiměřené… Jako když je vyvlastněna vaše půda pro stavbu dálnice nebo jaderné elektrárny, má to být v rámci zákonů a za náhradu. Lze pak řešit, zda je ta náhrada odpovídající. I zde bychom byli asi v tematice odškodnění, a nebo i toho, jestli třeba zákazem určitých technologií jednomu, nezpůsobíte někomu jinému konkurenční výhodu.

Takže se dá očekávat, že ten zákon, respektive směrnice může mít i zajímavé ekonomické a byznysové dopady?

Je podstatné říct, že současný návrh zákona počítá s tím, že ve chvíli, kdy by ta opatření vyústila v to, že by ty subjekty, na které se zákon vztahuje, musely přestat používat (zbavit se jich, nahradit je jinými) technologie, které ještě nemají odepsány, tak se to posouvá na úroveň Vlády České republiky, která by v té věci finálně rozhodla. Takže je tam nějaká smírčí dohadovací možnost reflektovat požadavky bezpečnosti a požadavky reálné ekonomiky.

Mluví se v té směrnici nebo třeba v důvodové zprávě v českém návrhu zákona o nějakých konkrétních rizikových zemích? V souvislosti s kyberútoky se běžně mluví o Rusku, o Číně… Lze tam dohledat nějaké konkrétní varování před konkrétními zeměmi, případně i konkrétními výrobci?

Zákon není od toho, aby někoho takto přímo jmenoval nebo něco zjišťoval. Něco jiného jsou faktické poznatky třeba zpravodajských služeb. A jde právě o to, aby v té oblasti, kterou tento zákon upravuje, či bude upravovat, měl NÚKIB a další související bezpečnostní složky dost informací; a když pak identifikují, že je něco hrozbou a rizikem, aby využili možnosti, které tento zákon dává.