Ilustrační foto: Profimedia

Kyberútoky na vzestupu. Firmy dostanou povinnost se bránit a hlásit incidenty

Napsal/a Robert Břešťan 29. srpna 2024
FacebookXPocketE-mail

Útoků v kybernetickém prostoru přibývá: jsou součástí válečných konfliktů, formou terorismu i kriminality. Opakují se případy, kdy kyberútoky ochromí chod firem, napadají i klíčovou infrastrukturu státu. Nově důraz na kybernetickou bezpečnost nařídí širokému okruhu firem zákon; jen v Česku půjde o zhruba šest tisíc subjektů.

Přijmout nová pravidla při řešení kybernetické bezpečnosti nařizuje členským státům Evropské unie směrnice NIS2. Dvouletá lhůta na zavedení této směrnice do národního práva právě dobíhá, nový zákon by měl začít platit od počátku příštího roku. „Kybernetický svět založený na internetu, na všeobecném sdílení informací je stále více propojen. Informace o útocích na osobní emailové schránky, na firmy, na rafinerie a podobně tu byly již dávno, před válkou na Ukrajině. Ta to ale vystupňovala a přinesla blíž k nám, i vzhledem k české angažovanosti. Směrnice NIS2 a zákonná úprava tedy reaguje na to, jak moc je toto pro náš dnešní svět zásadní a jak velkým rizikům jsme vystaveni; a je to naopak snaha tato rizika minimalizovat,“ vysvětluje Kamil Blažek, advokát a partner právní kanceláře Kinstellar.

Rozhovor je písemnou verzí podcastu Bruselská setba, ve zvukové podobě jej najdete ve všech běžných aplikacích.

Co je podstatou směrnice NIS2?

Původní směrnice o kybernetické bezpečnosti se vztahovala na mnohem méně subjektů, primárně na ty, jež jsou součástí takzvané užší kritické infrastruktury. Nyní se ale platnost rozšiřuje. Nedávno jsme viděli, jak i v světovém měřítku malý subdodavatel, který řeší kybernetickou bezpečnost a programy pro Microsoft, může – byť neúmyslně – způsobit velký problém řadě firem od rafinérií po letecké společnosti po celém světě. Takže si můžeme představit, co by mohl způsobit plánovaný úmyslný útok na ještě citlivější oblasti. NIS2 požaduje po členských zemích EU, aby v této oblasti přijaly novou legislativu, speciální zákon, který definuje základní bezpečnostní limity a národní strategii pro kybernetickou bezpečnost: koho se to týká, kdo za to zodpovídá a aby na to byly zdroje ve státním rozpočtu…

Zavádí i strategickou spolupráci mezi členskými státy EU, zejména výměnu informací, což je klíčové, protože online svět není vázán na státní hranice. Směrnice definuje okruh povinných subjektů – soukromých firem i státních organizací – poměrně široce a nařizuje jim i povinné hlášení bezpečnostních incidentů. Chybami se člověk učí, je potřeba ty informace sdílet a hlavně na ně reagovat. Ne je zametat pod koberec, což by leckdy mohlo být pro nějakou konkrétní firmu lákavé. Je tam naopak zavedena odpovědnost firem, aby měly plány nejen pro případ incidentu, ale i pro řešení následků. Tak, aby byly nadále zachovány například dodávky plynu, pohonných hmot, elektřiny, potravin či léků.

V rámci státní správy jsou segmenty, které jsou už dlouho cílem mnohem větších rizik špionáže či teroristických útoků: tajné služby, armáda nebo třeba ministerstvo zahraničních věcí, které jsou asi připraveny lépe než jiné.

Jde tedy o zachování provozu i mimo kyberprostor: v energetice, drážní a letecké dopravě, telekomunikacích, ve veřejné správě… Jsou tohle ty nejdůležitější oblasti v rámci těch zhruba šesti tisíc firem a organizací, jichž se nový zákon bude týkat?

Ano, je to ale asi něco, co se ještě bude průběžně vyhodnocovat. Jsou tam ale jmenovány základní entity, které mají vyšší důležitost a zahrnují mimo jiné energetiku, dopravu, zdravotnictví, ale i digitální infrastrukturu, vodovodní služby, finance, vesmír, veřejnou správu. Zrovna ten vesmír může někoho překvapit, ale dnes leckdo nenajde cestu bez GPS ani na druhý konec vlastní čtvrti a bez vesmíru GPS fungovat nebude. Druhou oblastí jsou takzvané důležité entity; ty zahrnují možná méně životně důležité oblasti, ale stále podstatné: poštovní a kurýrní služby, chemický průmysl, odpadové hospodářství, výzkum, potravinářský průmysl či poskytovatele digitálních služeb.

Přiznám se, že zrovna kurýrní služby mě překvapily. Ale možná je to obraz toho měnícího se světa, když kurýrní služby dnes už patří do systému jaksi nepostradatelných služeb…

Ono nejde jen o to, že vám dnes kurýrní služba doručuje až domů předměty denní potřeby, od knížek po zubní pastu, jde spíše o dodávky pro výrobu. Spousta firem a výrobních podniků funguje na principu dodávek just in time: dodávky součástek přicházejí do výroby průběžně. Může to být stejně dobře z druhého konce města nebo republiky či světa. A bez těchto kurýrních služeb se v průmyslové oblasti leckde fungovat nedá a logistické kurýrní cargo společnosti mají enormní důležitost pro spoustu odvětví.

Pokud jde o kyberbezpečnost, vysoko v prioritách je přirozeně státní správa. Je tam spousta citlivých dat, důležitých informací a útoků na různá ministerstva a úřady jsme už zaznamenali spoustu. Myslíte, že zrovna státní správa je na něco takového připravená?

V rámci státní správy jsou segmenty, které jsou už dlouho cílem mnohem větších rizik špionáže či teroristických útoků: tajné služby, armáda nebo třeba ministerstvo zahraničních věcí, které jsou asi připraveny lépe než jiné. Naopak třeba oblast zdravotnictví, sociálních služeb, tam bude ta připravenost určitě mnohem nižší, protože doposud se to po těchto částech státu tolik nevyžadovalo. Zde je před námi jistě dlouhá cesta, kterou bude problematizovat nedostatek lidí a personálu, který to bude muset všechno znát, umět implementovat a které bude potřeba zaplatit. Státní správa dnes sice je v některých odvětvích schopná přetahovat lidi soukromé sféře, ale zrovna v oblasti IT to tak není.

V textu je nyní to, že NÚKIB může vydávat opatření, tedy závazné právní akty, které řeknou, že nějaký typ technologie je z nějakého důvodu nebezpečný, rizikový, a proto se nesmí používat. Jak směrem do budoucna, tak i zpětně.

Je dobré říct, že směrnice NIS2 není pouhé doporučení. Jde o nové povinnosti, za jejichž nedodržení mohou být vyměřeny až desetimilionové pokuty.

Ten zákon je velmi důležitý, respektive je velmi důležité to, co se snaží chránit a na jaká rizika se snaží upozornit. Umíme si jistě každý vymyslet katastrofické scénáře pokud by se naplnil nějaký skutečně velký kybernetický útok. Proto se ten zákon vztahuje na hodně rozšířený okruh firem, je jich teď kolem šesti tisíc, ale žádný definitivní seznam neexistuje. Podstatná jsou kritéria a to, zda se do nich daná firma vejde, nebo ne. Můžou to být velké sofistikované firmy, stejně tak jako malé firmy a střední firmy – a vy potřebujete, aby to případné neplnění zákona zabolelo i toho velkého.


Opatření se týká organizací „poskytujících alespoň jednu službu uvedenou v přílohách směrnice“ a zároveň je středním nebo velkým podnikem – tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).


Přepis té směrnice NIS2 do národního práva je v Česku nyní ve finiši. Zákon schválila vláda v polovině července, leží již v Poslanecké sněmovně. Národní úřad pro kybernetickou bezpečnost (NÚKIB) počítá s účinností v českém právním řádu někdy počátkem roku 2025. Je v přípravách nějaký zádrhel, problém, zásadní sporný bod?

Příprava probíhala v zásadě podle harmonogramu, ale debaty tam byly a jsou. Na čas byl ten zákon i pozdržen, protože se řešila navrhovaná specifická pravomoc NÚKIB: to, jak bude moct zasahovat, s jakou intenzitou a razancí, do dodavatelských řetězců firem, primárně do výběru dodavatelů technologií. V textu je nyní to, že NÚKIB může vydávat opatření, tedy závazné právní akty, které řeknou, že nějaký typ technologie je z nějakého důvodu nebezpečný, rizikový, a proto se nesmí používat. Jak směrem do budoucna, tak i zpětně – musel by se pak nahradit jinou technologií. Je to jistě vedené dobrým záměrem, ale kritika míří na to, kdo a jak zjistí, že je něco závadné a škodlivé? To už ale zabíháme do oblasti utajovaných skutečností a informací o tom, jak ta která konkrétní technologie opravdu funguje. Plus – i když to rozhodnutí může být motivováno jak politicky, vojensky, zahraničně-politicky nebo opravdu čistě technologicky – to bude mít potenciálně zásah do ekonomiky firem. Když někdo dostane nařízeno sundat třeba všechny své vysílací věže a koupit si nové, tak ta firma do toho bude muset dost investovat.

No právě. Dá se čekat, že firmy se v takovém případě budou třeba soudní cestou domáhat po státu náhrady škody?

On to bude zákonný právní předpis, ale samozřejmě jakékoliv opatření, které stát udělá vůči soukromému sektoru, občanům, firmám, lze posuzovat tím pohledem, zda je to ústavní, jestli to je v souladu se zákonným režimem, jestli je to přiměřené… Jako když je vyvlastněna vaše půda pro stavbu dálnice nebo jaderné elektrárny, má to být v rámci zákonů a za náhradu. Lze pak řešit, zda je ta náhrada odpovídající. I zde bychom byli asi v tematice odškodnění, a nebo i toho, jestli třeba zákazem určitých technologií jednomu, nezpůsobíte někomu jinému konkurenční výhodu.

Takže se dá očekávat, že ten zákon, respektive směrnice může mít i zajímavé ekonomické a byznysové dopady?

Je podstatné říct, že současný návrh zákona počítá s tím, že ve chvíli, kdy by ta opatření vyústila v to, že by ty subjekty, na které se zákon vztahuje, musely přestat používat (zbavit se jich, nahradit je jinými) technologie, které ještě nemají odepsány, tak se to posouvá na úroveň Vlády České republiky, která by v té věci finálně rozhodla. Takže je tam nějaká smírčí dohadovací možnost reflektovat požadavky bezpečnosti a požadavky reálné ekonomiky.

Mluví se v té směrnici nebo třeba v důvodové zprávě v českém návrhu zákona o nějakých konkrétních rizikových zemích? V souvislosti s kyberútoky se běžně mluví o Rusku, o Číně… Lze tam dohledat nějaké konkrétní varování před konkrétními zeměmi, případně i konkrétními výrobci?

Zákon není od toho, aby někoho takto přímo jmenoval nebo něco zjišťoval. Něco jiného jsou faktické poznatky třeba zpravodajských služeb. A jde právě o to, aby v té oblasti, kterou tento zákon upravuje, či bude upravovat, měl NÚKIB a další související bezpečnostní složky dost informací; a když pak identifikují, že je něco hrozbou a rizikem, aby využili možnosti, které tento zákon dává.

Kde se to posr***? Chyby Václava Havla
Petr Pithart
Petr Pithart / předseda české vlády 1990–1992
„Od chvíle, kdy Havel přijal kandidaturu na prezidenta, se domácí politice věnoval jen okrajově a udělal v ní řadu chyb nebo opomenutí, o kterých se nevědělo, nechtělo vědět, nemluvilo nebo jen málo.“Petr Pithart
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Tragédie „české cesty“
Petr Pithart
Petr Pithart / předseda české vlády 1990–1992
„Klausova kuponovka byla ,česká cesta‘, bez cizáků, tedy hlavně Germánů, kterým prý Pithartova vláda jde za pár marek na ruku. A kde dnes nacházíme ty, co nás ostouzeli? Na krajní evropské nacionalistické pravici. Klausovi aplaudují sjezdy nahnědlé Alternativy pro Německo...“Petr Pithart
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Havlovi agenti
Jan Urban
Jan Urban / lídr Občanského fóra pro volby 1990
„Na klíčová místa ministrů vnitra a obrany v první Čalfově vládě se v prosinci 1989 dostali agenti vojenské kontrarozvědky Richard Sacher (krycí jméno Filip) a Miroslav Vacek (krycí jméno Srub). Se souhlasem prezidenta Havla, ale za zády Občanského fóra...“Jan Urban
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Havlovi hvězdopravci
Jan Urban
Jan Urban / lídr Občanského fóra pro volby 1990
„Havel prezident byl někdo úplně jiný. Nový Havel měl názor dřív, než kohokoliv vyslechl. Dokonce vydal příkaz: ,Nepouštějte ke mně nikoho se špatnými zprávami.‘ Obklopil se přitakávači a podivnými existencemi, mezi nimiž nechyběli agenti StB nebo hvězdopravci.“Jan Urban
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Nová smlouva s KGB
Jan Urban
Jan Urban / lídr Občanského fóra pro volby 1990
„Koncem února 1990 se na cestě na první státní návštěvu SSSR ministru vnitra Sacherovi v uličce mezi sedadly vysypaly z desek papíry. Když jsem je začal sbírat, najednou jsem měl v ruce připravený text nové tajné dohody s KGB. Hájil se tím, že prezident o tom ví. Havel se odmítl o věci bavit.“Jan Urban
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Soudcokracie
Aleš Rozehnal
Aleš Rozehnal / právník
„Snaha ,zachraňovat státu peníze‘ je buď projevem servility moci soudní k moci výkonné, nebo zřejmě nevědomou známkou jevu, který označujeme jako,soudcokracie‘. Tato tendence je o to nebezpečnější, že soudní moc je státní mocí nejmocnější a nejdůležitější.“Aleš Rozehnal
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Policejně gangsterský stát
Aleš Rozehnal
Aleš Rozehnal / právník
„Četnost případů a úroveň krytí nezákonností ze strany vysokých státních orgánů naznačuje, že se Česko posunulo do úrovně, kterou bychom mohli označit jako policejně gangsterský stát. V něm stát neovládají zločinci, ale je to právě stát, který kontroluje zločineckou infrastrukturu. Ta pak funguje ku prospěchu vyvolených úředních osob a osob pod jejich ochranou.“Aleš Rozehnal
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Rozkradené restituce
Jan Kalvoda
Jan Kalvoda / expolitik a právník
„Lex Schwarzenberg není zdaleka jediným příkladem, kdy český stát za dlouhodobé pomoci tuzemské justice systematicky obíral vlastní občany o jejich majetek. Odpudivou kapitolu polistopadových dějin představují i zemědělské restituce.“Jan Kalvoda
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Republika oligarchů
Ondřej Neumann
Ondřej Neumann / zakladatel HlídacíPes.org
„35 let od listopadu 1989 máme zoligarchizovanou, podinvestovanou ekonomiku, plnou neschopných politiků ve vládě i opozici, kteří nejsou schopni pochopit, jak vypadá ekonomika 21. století. Ti, kteří zde zbohatli, už většinou investují mimo Českou republiku.“Ondřej Neumann
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Privatizace pro vyvolené
Ondřej Neumann
Ondřej Neumann / zakladatel HlídacíPes.org
„Při privatizaci nakonec převážila vize známá z hasičského bálu ve filmu Miloše Formana Hoří, má panenko. Tedy zhasnout, určitý čas počkat a po rozsvícení sálu nechat každému, co si stihl ,zprivatizovat‘. Bohužel, o tom, že se zhasne a nastane ten správný čas, byli informováni jen vyvolení.“Ondřej Neumann
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Zombie českého práva
Tereza Engelová
Tereza Engelová / reportérka HlídacíPes.org
„Lex Schwarzenberg je zombie českého práva. Kauza v sobě spojuje vršící se bezpráví obou totalit minulého století a navazující bezpráví doby polistopadové...“Tereza Engelová
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Dotační feťáci
Robert Břešťan
Robert Břešťan / šéfredaktor HlídacíPes.org
„Peníze od evropských daňových poplatníků byly v mnohém promarněnou příležitostí. Lidé, firmy a vlastně celá tuzemská ekonomika si na ně navíc vytvořili velmi nezdravý návyk. Česko plíživě přešlo z tržní ekonomiky do ekonomiky silně závislé na dotacích.“Robert Břešťan
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Užiteční idioti Kremlu
Vojtěch Berger
Vojtěch Berger / reportér HlídacíPes.org
„Kauza ,radar v Brdech‘ ukázala Rusku, jak v bývalých středoevropských satelitech může znovu získat vliv. Nasvítila společenské rozložení i ,užitečné idioty‘, kteří se Kremlu můžou hodit v pozdější hybridní válce.“Vojtěch Berger
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Kde se to posr***? Stavitelé „mostů“
Vojtěch Berger
Vojtěch Berger / reportér HlídacíPes.org
„Rusko přitahovalo české prezidenty Klause i Zemana. Sen o Česku jako o mostu mezi Východem a Západem se ale zbortil nejpozději s odhalením ruské účasti v kauze Vrbětice.“Vojtěch Berger
Ukázka z nové knihy HlídacíPes.org„České průšvihy 1989–2024“

Publikaci lze získat pouze
jako poděkování za dar
v minimální výši 599 Kč.

Podpořte nezávislou žurnalistiku!
Kniha České průšvihy 1989–2024
Pop-up mobil Mobile (207451)
SMR mobil článek Mobile (207411)
SMR mobil článek 2 Mobile (207416)
SMR mobil článek 2 Mobile (207416-2)
SMR mobil článek 2 Mobile (207416-3)
SMR mobil pouze text Mobile (207431)
Skyscraper 2 Desktop (211796-4)