Dohled, koordinaci a zajištění realizace zákona bude mít na starosti Národní bezpečnostní úřad, který s jeho návrhem přišel a který bude jako ústřední orgán zařazen na úroveň složek typu policie či zpravodajské služby.

Vedle Národního bezpečnostního úřadu bude důležitou roli hrát také tzv. dohledové pracoviště národní úrovně, CERT (Computer Emergency Response Team). Půjde o právnickou osobu financovanou pravděpodobně ze státního rozpočtu, která bude mít na starosti sdílení informací z oblasti kybernetické bezpečnosti na národní a mezinárodní úrovni. Vedle organizačních schopností, zkušeností v dané oblasti, personálního zázemí a spolupráce s mezinárodními organizacemi, které se podílejí na kybernetické bezpečnosti, musí CERT splňovat několik obecných principů, jako je sídlo v ČR, transparentní vlastnická struktura a plnění finančních závazků vůči státu i soukromým subjektům.

Do CERT se budou hlásit všechny bezpečnostní incidenty, které budou následně vyhodnocovány a analyzovány, na základě čehož budou vydávána direktiva, tj. opatření, která dané firmy musejí přijmout. V 90 % dotčených firem tak bude hlavním úkolem nastavit procesy a vazby mezi vlastníky systému IT a bezpečnostními manažery. Svou roli při zajišťování kybernetické bezpečnosti pak sehraje také bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v ČR, CSIRT (Computer Security Incident Response Team), provozovaný sdružením CZ.NIC (správce české národní domény).

Koho se zákon dotkne?

Kterých firem a institucí se zákon přesně dotkne, zatím není zcela jasné. Při definici těchto subjektů se však bude vycházet z nařízení vlády číslo 432 z roku 2010 o prvcích kritické infrastruktury. Toto nařízení by se mělo měnit letos tak, že pod něj spadne větší počet subjektů.

Zákon definuje povinnosti pro správce „komunikačního systému kritické informační infrastruktury, informačního systému takové infrastruktury a správce významného informačního systému“. Tyto povinnosti jsou jak v rovině organizačních opatření, např. akvizice či vývoj a údržba významných systémů, tak technických, např. implementace nástrojů pro ochranu integrity komunikačních sítí před škodlivým kódem, aplikační bezpečnost nebo kryptografické prostředky apod.

Změny se s vysokou pravděpodobností dotknou celé řady zaměstnanců, od administrátorů systémů spadajících dle definice do kritické infrastruktury, až po finanční a provozní ředitele. Preventivní či reaktivní opatření budou z organizací nuceny provádět hlavně poskytovatelé a správci kritických systémů a dodavatelé technologií či aplikací pro tyto systémy.

Co by, kdyby?

Zkoušeli jste si představit, co by se stalo, kdyby náhle přestal fungovat systém, jako je internet, případně kdyby byly ochromené jiné kritické prvky infrastruktury ICT? Jelikož je na těchto zdrojích a prostředcích komunikace závislá drtivá většina velkých firem, nejspíš by byla ochromena ekonomika, přičemž důsledky by mohly být nedozírné. Již nyní jsou roční ztráty v důsledku kybernetických útoků podle Evropské komise celosvětově odhadovány zhruba na astronomických 290 miliard dolarů. Podle Komise během roku 2012 čelilo celých 93 procent velkých korporací nějaké formě kybernetického útoku.

Ani zákonodárci v Bruselu proto nezahálejí, vědomi si důležitosti kritické infrastruktury ICT tak letos schválili například tzv. NIS směrnici (Network and Information Security). Ta je v principu analogií českého zákona o kybernetické bezpečnosti, neboť i ona směřuje k zajištění bezpečnosti a kontinuity provozu kritické infrastruktury, a stanovuje povinnost spravujících organizací, potažmo členských států EU, hlásit bezpečnostní incidenty. Samotná integrace směrnice do zákonů a její podoba v jednotlivých zemích se přitom může lišit. EU však chce dosáhnout dohody o jejím včlenění mezi národní zákony všech členských států ještě do konce tohoto roku.

Důraz na tuto oblast klade také americký prezident Barack Obama, který adresoval požadavek americkým společnostem, v němž je vyzývá k aktivní účasti na hledání efektivního zabezpečení. Podobné snahy jsou evidentní i v rámci Evropské unie, kde by v roce 2015 měla začít fungovat síť propojující národní centra bezpečnosti (u nás již zmiňovaný Národní bezpečnostní úřad). Mezi největší rizika ovšem patří především lidský faktor, například v podobě útoků ze strany insiderů nebo z nedbalosti pramenící bezpečnostní incidenty.

Bezpečnost je proces

Vzhledem k aktuálnímu vývoji je jasné, že kybernetická bezpečnost získává své pevné místo v rámci státní správy a její působnosti. Kromě toho však přináší také zajímavý obchodní model, v němž spolupráce státu a soukromého subjektu přesahuje běžný dodavatelsko-odběratelský či poradenský vztah.

Společnosti, kterých se dotkne, si musí uvědomit, že jeho naplnění nespočívá jen v zajištění „technické stránky věci“, jako jsou například nejrůznější technologie nebo šifrování. Nutná je i integrace lidí do bezpečnostního procesu. Prostředkem k tomu je nastavení IT politik a pravidelné vzdělávání zaměstnanců.

JUDr. Jiří Matzner, Ph.D., LL.M.,