Jak víme z předminulého dílu našeho seriálu, jedinou poslaneckou aktivitu na plénu ve druhém čtení k návrhu nového zákona o kybernetické bezpečnosti vyvinula poslankyně za SPD Vladimíra Lesenská, když ve dvou variantách zkouší prosadit omezení ukládání dat spravovaných státem. Osobní údaje v těchto uložených datech obsažené by dle jejích představ v ideálním případě neměly opustit hranice země, nebo za určitých podmínek hranice Evropské unie. Přísnější varianta potom v podstatě nepřipouští výjimky a nedovoluje ani používání cloudu jinde než na českém území, a dokonce ani pod zahraničním provozovatelem.
Už jsme na Lupě rozebírali, že oba pozměňovací návrhy jsou problematické, mají celou řadu nedostatků, nepracují vůbec se sankcemi a jejich reálná šance na přijetí je méně než pramalá, a to rozhodně ne (jen) proto, že přicházejí od opozice. Otázkou jinou, více praktickou a pragmatickou, je, zda by stát, který vynakládá značné prostředky na výstavbu a provoz vlastních bezpečných datových center, měl outsourcování cloudových služeb do komerční sféry už z důvodů finančních úspor využívat. Lze si ale představit scénáře, kde bude takový outsourcing ve prospěch cloudů v rukou zahraničních technologických gigantů dávat smysl. Proto není rozumné se takových možností kyberbezpečnostním zákonem dopředu vzdávat.
Navíc izolace vůči okolnímu světu a odstřižení od velkých zahraničních cloudových poskytovatelů jde obecně nejen proti filozofii směrnice NIS2, proti principům fungování Unie, ale jak si představíme v dnešním díle, i proti trendu bourat překážky bránící přenositelnosti cloudových služeb k jinému poskytovateli.
Směrnice s cloudem v třetích zemích počítá
NIS2 přitom cloud computing přímo vyjmenovává jako jednu ze služeb, která má přeshraniční povahu, a musí proto podléhat vysokému stupni harmonizace na úrovni Sedmadvacítky. Jednotná pravidla napříč Evropou mají zajistit, že cloud provozovaný kdekoliv na území členských států bude mít zajištěnu alespoň nejnižší definovanou úroveň zabezpečení, aby splnil nároky NIS2.
Aby to bylo možné kontrolovat a případně zjištěné nedostatky odstraňovat, směrnice k tomu říká, že poskytovatelé cloudu by měly spadat pod pravomoc toho státu, kde mají svou hlavní evropskou provozovnu. A pokud ji nemají a poskytují v EU služby, nebo jsou usazeni ve více státech, pak samostatně podléhají dohledovým orgánům souběžně v každém z těchto členských států. Jedná-li se o mimoevropského provozovatele, který nikde na území Unie není usazen, ale poskytuje zde své služby, potom směrnice počítá s tím, že si musí určit svého zástupce pro Evropu.
Regulace kybernetické bezpečnosti s respektem k základnímu evropskému pilíři v podobě volného pohybu zboží a služeb nevylučuje využití cloudů nejen v jiném členském státě, ale ani v třetí nečlenské zemi. Samozřejmě jen za předpokladu, že i tam bude zajištěna odpovídající úroveň ochrany dat. A to nejen z hlediska NIS2, ale i podle předpisů přidružené regulace, například GDPR.
Přenos osobních údajů mimo EU je tak možný jen za podmínky, že cílová země poskytuje adekvátní úroveň ochrany, nebo její dodržení je zajištěno smluvními zárukami. U cizích jurisdikcí je třeba pamatovat na to, že v některých zemích místní zákony umožňují tamním institucím zjednat si k datům přístup, a to pak může být v rozporu s evropskými požadavky na ochranu soukromí. Řešením může být nasazení end-to-end šifrování a dalších bezpečnostních opatření garantujících, že poskytovatel služby nezíská k obsahu dat přístup.
Internet věcí bude otevřenější
Brusel však vymezil i okruh dat, ke kterým je naopak žádoucí neschovávat je před světem a zajistit k nim jednoduchý přístup. Příslušné nařízení č. (EU) 2023/2854 se jmenuje Data Act a začneme se podle něj řídit už letos v září. Dopadá zejména na podnikatelský sektor operující v oboru internetu věcí. Jedná se tedy o senzory, chytrá měřidla, na dálku ovládané termohlavice, výrobky obsluhované virtuálními asistenty a další dnes už běžné součásti takzvaných chytrých domácností.
Tato připojená zařízení tak budou muset být navrhována takovým způsobem, aby bylo technicky možné je zákazníkovi zpřístupnit, a to i pro účely předání jejich dat libovolné třetí straně. Lze si to představit na příkladu kávovaru připojeného k internetu věcí. Dosud k datům shromažďovaným tímto zařízením má přístup jen výrobce, ale už ne majitel kavárny. Akt o datech tento přístup zajišťuje oběma.
Podobně zemědělec hospodařící na poli, kde využívá senzorů různých výrobců monitorujících kyselost půdy, půdní vlhkost, teplotu a další veličiny, dosud nemá možnost zanalyzovat sesbíraná data hromadně, protože ta jsou v držení příslušných výrobců. Od září si však takovou analýzu bude schopen zadat. Nařízení stanoví, že uživatel má právo na přístup k datům bez zbytečného odkladu, bezplatně, případně i průběžně a v reálném čase.
Padnou překážky k migraci cloudu
Druhou velkou oblastí, kterou Data Act upravuje (dokonce celou jednou kapitolou VI), je zajištění prostupu mezi jednotlivými poskytovateli služby zpracování dat. To se týká i cloudových služeb. Dosud často problematická migrace by se tím měla rozhýbat, což nejspíše zásadně změní trh s SaaS (software jako služba) řešením. Měly by zmizet překážky, které dosud snadnému přechodu od jednoho provozovatele k druhému bránily. O datech se tu mluví jako o digitálních aktivech a od zapojených stran je vyžadováno, aby k nim jako k cenné komoditě přistupovaly.
V zájmu zachování kontinuity poskytování služby tak spolu budou muset opouštěný a přejímající provozovatel cloudu spolupracovat a pomáhat mu v tom, aby přenos byl hladký, a pokud možno bez výpadku.
Postupně se také budou rušit poplatky za změnu poskytovatele. Ještě dva roky budou moci poskytovatelé za přenos účtovat poplatky maximálně ve výši jejich skutečných nákladů, které s tím mají. Od ledna 2027 bude takový přenos muset být zásadně bezplatný.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU