Když se 13. května objevil tweet z Výboru pro průmysl, výzkum, telekomunikace a energii Evropského parlamentu, který potvrdil brzkou dohodu v takzvaném „trialogu“, tedy mezi Evropským parlamentem, Evropskou radou a Evropskou komisí, bylo jasné, že přijetí druhé verze směrnice „o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii“, neboli NIS 2, už je jenom formalitou. Unie systematicky pracuje už mnoho let na sjednocení politik v oblasti kybernetické bezpečnosti napříč členskými státy, a to s ohledem na rozvíjející se digitální transformaci a již několik let probíhající kybernetickou válku. Směrnice NIS 2 nejenom sjednocuje požadavky napříč státy, ale také podstatně rozšiřuje počty regulovaných subjektů – od podniků po orgány veřejné správy.
Důležitý je ale její dopad především na malé a střední podniky, které jsou zároveň podnikateli podle zákona o elektronických komunikacích.
Směrnice NIS 2 totiž rozšíří oblast působnosti stávající směrnice NIS 1 o nová odvětví na základě jejich ekonomické a společenské důležitosti. Zároveň – aby neregulovala úplně všechny podniky – se vztahuje pouze na střední a velké společnosti podnikající ve vybraných odvětvích. To by bylo samozřejmě pro regionální telekomunikační operátory dobré, protože hranice středně velkého podniku podle unijních definic je docela daleko. Jen málo regionálních poskytovatelů internetu má více nežli 250 zaměstnanců a obrat v přepočtu vyšší než 1,23 miliardy korun. Je tu ale háček. Směrnice totiž považuje oblast telekomunikační infrastruktury za tak zásadně důležitou pro ochranu, že se evropští zákonodárci rozhodli označit poskytovatele služeb za regulované subjekty bez ohledu na jejich velikost nebo typ právní subjektivity. Dopad bude značný, i malý operátor, který svojí sítí pokrývá třeba dvě městečka a okolní vesnice v krkonošském podhůří, bude muset časem (tedy až dojde k transpozici do českého právního řádu, což by mělo být přibližně za dva roky) plnit nové regulační povinnosti.
Malé a střední podniky včetně podnikajících fyzických osob tak budou muset zavádět nové procesy podle zákona. Všechny jsme je vypsali v Analýze NIS 2, kterou najdete na stránkách Výboru nezávislého ICT průmyslu. Každému operátorovi, i malému živnostníkovi nebo mikrofirmě, která poskytuje služby podle ZEK, hrozí povinnost pro každou samostatně řízenou část sítě:
- Vytvářet analýzu rizik a bezpečnostní politiku informačních systémů
- Dohlížet na řízení incidentů a vytváření eskalačních schémat
- Zajistit kontinuitu podnikání a krizového řízení
- Zajistit bezpečnost při pořizování, vývoji a údržbě sítí, včetně odhalování zranitelností
- Vytvářet bezpečnostní audity k posouzení účinnosti opatření
- Splnit povinnost používání kryptografie a šifrování
- Hlídat bezpečnost dodavatelského řetězce
NIS 2 není nařízení, ale směrnice, proto bude možné o podobě jednotlivých opatření při transpozici do tuzemského právního řádu vyjednávat, nikoli však o tom, zda je, či není nutné je zavést – to už je nyní jasné. Není třeba panikařit, nicméně zavádění opatření vyplývajících z NIS 2 může být pro řadu firem složitější nežli zajištění souladu s obecným nařízením o ochraně údajů (GDPR). Ne, že by GDPR byla až taková selanka, má však výhodu v jednoduchosti pochopení. Ochrana osobních údajů nevytěžuje IT odborníky kontinuálně, ale procesy nutné ke splnění požadavků NIS 2 bude muset udržovat v chodu IT odborník s dobrým právním povědomím a bude nutné zavádět předepsaná eskalační schémata. Digitální legislativa tak způsobí nutnost zaměstnat další odborníky na IT či zvýšit kvalifikaci těm stávajícím. A všichni víme, jak to na pracovním trhu s „ajťáky“ je, je jich významný nedostatek.
To ale neznamená, že menší poskytovatelé to nezvládnou. Kybernetická bezpečnost je samozřejmě velmi důležitým tématem pro každého provozovatele jakékoliv telekomunikační infrastruktury už celá léta. Samoregulace u operátorů funguje v tomto ohledu velmi dobře. Úspěšné útoky na jejich sítě by se negativně podepisovaly na dobrém jménu firmy. A samozřejmě by stály spoustu peněz. Útoky backdoor viru Motherfucker na zařízení americké firmy Ubiquity přesvědčily i těch několik málo „statečných“, kteří neměli důkladně oddělenou řídicí a uživatelskou rovinu.
Dnes nikdo nepostaví síť jinak nežli izolovanou, izolují se i jednotlivá zařízení. Síťoví inženýři tak předchází jakýmkoli úmyslným či neúmyslným chybám. Na bezpečnost sítí běžně dohlížejí prvky umělé inteligence. Pravidla pro zajištění vysoké úrovně kybernetické bezpečnost jsou součástí DNA podnikatelů v oboru telekomunikací daleko déle, nežli si tématu všimli první zákonodárci.
Největší zátěž pro menší, regionální podniky tak představují především požadavky na zabezpečení dodavatelského řetězce. NÚKIB nedávno představil svůj Návrh mechanismu posuzování a omezování rizik spojených s dodavateli do infrastruktury elektronických komunikací. Dosavadní vývoj přípravy regulace vypadá podle známého rčení „ode zdi ke zdi“, tedy zhruba takto: NÚKIB v dříve představených plánech, později dokonce i ve věcném návrhu zákona, chtěl regulovat pouze provozovatele sítí 5G a doslova uváděl, že regulace se malých a středních podniků nebude týkat. Bylo to s podivem, protože návrh NIS 2 je na stole od roku 2020. V přestaveném návrhu Mechanismu se NÚKIB (v souladu se směrnicí NIS 2) rozhodl roztáhnout regulatorní křídla nad celou telekomunikační infrastrukturou. Snad v každé konzultaci, kterou NÚKIB i za mé osobní přítomnosti absolvoval, od zástupců telekomunikačních podnikatelů zaznívalo doporučení identifikovat v síti ty části nebo funkcionality, které jsou z bezpečnostního hlediska zásadní. Úředníkům to možná bude znít nabubřele, ale my sítě stavíme mnoho let, Úřad nikoliv. NÚKIB si neumí ani představit, jak obrovský problém pro výstavbu vytvoří se svojí ambicí ex-ante schvalovat investice i do okrajových částí sítí. Druhou důležitou připomínkou bylo pro zopakování upozornění: regulovanými subjekty nebudou pouze mobilní operátoři a několik velkých podniků. Evropská legislativa vytvoří tisíce regulovaných subjektů, kteří budou oprávněně očekávat co nejrychlejší souhlasy s dodávkami zařízení. Odhady mluví až o šesti tisících nově regulovaných subjektech, z toho možná dva tisíce telekomunikačních operátorů.
Chápeme se správně. Součástí telekomunikační infrastruktury jsou i přístupové body a přijímací zařízení namontovaná někde na střeše libovolného domečku připojené domácnosti. Navzdory faktu, že kyberbezpečnostní analýzy rizika u okrajových částí sítě považují za mizivá a plně ošetřitelná bezpečnostními opatřeními v síti, regulátor představil svoji vizi regulace založené na geopolitických rizicích, argumentuje lidskými právy a přezkoumatelností soudních rozhodnutí někde v Číně.
NÚKIB ve své představě schvalovacího procesu vytváří principy nikoli nepodobné martyriu stavebního řízení. Aktuální podoba Návrhu předpokládá, že se v případě požadavku na nákup technologií do sítí elektronických komunikací půjdeme zeptat na názor tajných služeb, Ministerstva zahraničních věcí, Ministerstva průmyslu a dalších institucí. Všechny připomínky dotčených úřadů a služeb posoudí Národní úřad pro kybernetickou bezpečnost a teprve POTOM si budeme moct objednat nový model antének na střechu. Následky podobné bariéry pro nákupní oddělení jsou nasnadě. Naroste cena zařízení a s tou podstatně vzroste cena služby. Výpadky dodavatelského řetězce, zejména dnes citlivé téma, povedou ke zpomalení obměny technologií v telekomunikačních sítích, notně přibrzdí rychlost výstavby sítí nových. Nákupčí se potýkají s dříve nevídanou situací – dodavatelé jim odmítají poskytnout i nabídku, protože se soustředí na jiný segment trhu. Poskytovatelé služeb elektronických komunikací jsou technologické firmy. Výpadky dodávek technologií – i ze zemí v Evropské unii – nebude možné prostě objednat, otestovat a začít používat. V Rumunsku nedávno nedodala Nokia potřebné podklady pro bezpečnostní certifikaci a byla vyřazena z možnosti dodávat do části rumunské infrastruktury. Nevíme, zda to samé nečeká i české podnikatele.
Přitom se přímo nabízí řešení. Certifikační a schvalovací procesy mají respektovat roli zařízení v síti. Máme funkční úspěšné způsoby, jak zajistit vysokou míru kyberbezpečnosti, a přitom neudusit malé a střední poskytovatele, u jiných států v EU, pro inspiraci je kam sahat. Ostatně jakákoliv součást telekomunikační infrastruktury je spravovaná telekomunikačními experty a její provoz je monitorovaný. Daleko nebezpečnějším prvkem kybernetických hrozeb jsou zařízení do telekomunikační sítě připojená. Operátoři nemají právo zasahovat do přenášených dat, napadení nemocničního serveru prostřednictvím neaktualizované verze databázového systému nemá s přenosovou infrastrukturou telekomunikační sítě nic společného.
Pokud jde o vztah k jiným předpisům Evropské unie, návrh směrnice NIS 2 se týká zejména směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví Evropský kodex elektronických komunikací (dále jen „Evropský kodex elektronických komunikací“ nebo „EECC“), který se považuje za lex specialis pro směrnici NIS 2 (jakmile bude přijata). Směrnice NIS 2 rovněž doplní návrh směrnice Evropského parlamentu a Rady o odolnosti kritických subjektů (dále jen „návrh směrnice CER“),který je rovněž stále v legislativním procesu – v podstatě na stejné úrovni jako návrh směrnice NIS 2. Směrnice NIS 2 je tedy ve skutečnosti úzce spojena s návrhem směrnice CER, jejímž cílem je posílit odolnost kritických subjektů vůči fyzickým hrozbám v mnoha odvětvích. Tento návrh má zajistit, aby příslušné orgány přijímaly doplňující se opatření podle obou právních aktů a aby si podle potřeby vyměňovaly informace jak o kybernetické, tak o nekybernetické odolnosti a aby zejména klíčové subjekty v odvětvích považovaných za zásadní podle tohoto návrhu podléhaly také obecnějším povinnostem zaměřeným na posílení odolnosti s důrazem na nekybernetická rizika.
ČLÁNKY DO MAILU