Zatím nepovinně mají mít digitální firmy možnost získat evropský certifikát bezpečnosti. Návrh novely zakotvuje, že se z certifikace může stát v budoucnosti povinnost. Jde o implementaci nařízení Evropské unie o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a lhůta pro ni uplynula už loni v létě. Vláda proto navrhuje schválit novelu už v prvním čtení. Podle experta na kyberbezpečnost ze společnosti Tesco SW Martina Křepelky mohou certifikáty výrazně pomoci odstranit nejistotu a obavy z úrovně zabezpečení cloudů a dalších služeb.
Vyplývá to z vládního návrhu novely o kybernetické bezpečnosti. Zákon je nyní v prvním čtení ve sněmovně a má složitou historii: Tento návrh novely zákona byl v roce 2020 předložen vládě, následně vládou schválen a předložen sněmovně. Protože vládní návrh zákona nebyl do konce volebního období sněmovny schválen, Národní úřad pro kybernetickou bezpečnost (NÚKIB) zpracoval nový návrh, který znovu schválila nová vláda a nyní ho na nadcházející schůzi znovu předkládá poslancům.
Cloud computing byl podle experta na kybernetickou bezpečnost Martina Křepelky doposud pro veřejnoprávní osoby velmi problematický právě vzhledem k nejisté úrovni kybernetické bezpečnosti cloudů, zabezpečení osobních údajů, dostupnosti služeb a podobně. „Avšak EU certifikáty mohou právě tuto nejistotu odstranit. Podaří-li se tuto psychologickou bariéru zbořit, může to znamenat podstatnou změnu na trhu IT. Místo klasických informačních systémů, které vyžadují komplikovanou údržbu, budou zákazníci jen jednoduše konzumovat cloudové služby podle jejich potřeb. IT firmy, které tuto změnu nepochopí mohou začít velmi brzo ztrácet v konkurenčním boji,“ vysvětluje ředitel kyberbezpečnosti společnosti Tesco SW.
Podle něj nemá smysl posuzovat EU certifikáty samostatně, ale v kontextu připravované nové EU směrnice o opatřeních k zajištění vysoké úrovně kybernetické bezpečnosti (tzv. NIS 2.0 The Network and Information Security ).
Tato směrnice bude umožňovat členským státům požadovat prokázání splnění požadavků na kybernetickou bezpečnost tímto certifikátem. Ve vazbě na NIS 2.0 se připravuje i novela českého zákona č. 181/2014 o kybernetické bezpečnosti a bylo by nelogické, kdyby ČR EU certifikáty nevyužila. Dá se očekávat, že pokud bude ČR tyto certifikáty vyžadovat, bude to právě v oblasti služeb cloud computingu.
Bude-li ČR vyžadovat certifikaci např. pro služby cloud computingu, bude podle něj Tesco SW zcela jistě usilovat o získání certifikátu pro některé své produkty a služby.
Dobrovolné, nestanoví-li budoucí právo jinak
Certifikace má být zatím dobrovolná: „Certifikace je podle aktu o kybernetické bezpečnosti dobrovolná, nestanoví-li budoucí unijní nebo vnitrostátní právo jinak. Certifikací se osvědčí, že produkty, služby a procesy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, důvěrnosti a integrity. Certifikaci samotnou budou provádět tzv. subjekty posuzování shody, které budou akreditovány Českým institutem pro akreditaci a v určitých případech také autorizovány vnitrostátním orgánem certifikace kybernetické bezpečnosti,“ uvádí se v novele, která implementuje nařízení EU o agentuře ENIA
V České republice má hlavní roli hrát NÚKIB: „Národní úřad pro kybernetickou a informační bezpečnost bude fungovat jako vnitrostátní orgán certifikace kybernetické bezpečnosti, který bude dohlížet na pravidla zahrnutá v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, napomáhat vnitrostátním subjektům akreditace při monitorování činnosti subjektů posuzování shody a při dozoru nad touto činností a poskytovat uvedeným subjektům akreditace,“ stojí v důvodové zprávě.
Stanovení odpovědného úřadu je jedním z důvodů vzniku novely: „V aktuálně platné a účinné právní úpravě není stanoven nositel role vnitrostátního orgánu certifikace kybernetické bezpečnosti na území České republiky a ani nejsou stanovena pravidla pro sankce za porušení aktu o kybernetické bezpečnosti, což jsou povinnosti stran normativní právní úpravy stanovené členským státům právě aktem o kybernetické bezpečnosti,“ uvádí se dále v důvodové zprávě.
Úplné znění nově navrhovaného § 22b vypadá takto:
§ 22b
Autorizace subjektů posuzování shody podle aktu o kybernetické bezpečnosti
(1) Stanoví-li přímo použitelný předpis Evropské unie vydaný na základě aktu o kybernetické bezpečnosti konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti rozhoduje o žádostech o autorizaci subjektu posuzování shody, a pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti1 nebo přímo použitelného předpisu Evropské unie vydaného na základě aktu o kybernetické bezpečnosti, o pozastavení vykonatelnosti, o změně nebo o zrušení rozhodnutí o autorizaci.
(2) Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti.
(3) V rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci podle odstavce 1 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nezjedná nápravu, rozhodne Úřad o změně či zrušení rozhodnutí o autorizaci.
(4) Úřad rozhodne v řízení o žádosti o autorizaci podle odstavce 1 nejdéle do 120 dnů od zahájení řízení, v mimořádných případech do 180 dnů.
S digitalizací se společnost stává zranitelnější
Sankcí obsahuje návrh celou řadu stejně jako řadu nových skutků. Části přestupků se dopustí výrobce nebo poskytovatel služby, který je současně vydavatelem EU prohlášení o shodě například tím, že vydá prohlášení, aniž by pro něj byly splněny podmínky nebo neposkytuje ze zákona povinné informace, neuchovává dokumenty podle zákona.
Držitelé evropského certifikátu se pak dopustí přestupku mimo jiné tím, že zneužijí certifikát nebo prohlášení o shodě padělají ho nebo budou vystupovat jako subjekt autorizovaný k posuzování shody bez autorizace.
Za výše uvedené přestupky, o které se do zákona doplňuje ustanovení o přestupcích, budou moci být pachatelé potrestány pokutou až ve výši 5 milionů korun.
Stejně jako celý zákon o kybernetické bezpečnosti je i jeho novela určena jen velkým technologickým firmám – poskytovatelům digitální služby se sídlem v České republice, nikoli mikropodnikům. Na zpravodajské služby, Policii ČR a GIBS se zákon vztahuje částečně respektive na tyto instituce se vztahují jen některá ustanovení týkající se kritické infrastruktury státu.
„Nárůst digitalizace a propojenosti zvyšuje kybernetická bezpečnostní rizika, což způsobuje, že společnost jako celek se stává zranitelnější vůči kybernetickým hrozbám a zvyšuje se nebezpečí pro jednotlivé uživatele. Za účelem zmírnění těchto rizik je třeba přijmout opatření, která přispějí ke zlepšení kybernetické bezpečnosti v celé Evropské unii. Smyslem certifikace kybernetické bezpečnosti jako takové, která je upravena přímo aktem o kybernetické bezpečnosti, je zvyšování důvěry v produkty, služby a procesy v oblasti informačních a komunikačních technologií skrze jejich bezpečnost,“ uvádí se k důvodům zavádění certifikace v důvodové zprávě.
Irena Válová, Eva Paseková