On-line služby veřejné správy, které už nyní můžete využívat přes internet.

VÍCE INFORMACÍ

On-line služby veřejné správy, které se plánují zpřístupnit přes internet.

VÍCE INFORMACÍ

On-line služby veřejné správy, které si přejete, aby byly dostupné přes internet.

VÍCE INFORMACÍ

Dušan Navrátil: Chceme zvýšit kybernetickou bezpečnost ČR, ne rozdávat pokuty

23.02.2017

Česko se pomalu chystá na novelu zákona 181/2014 Sb. o kybernetické bezpečnosti. Tu vyvolala nová směrnice Evropského parlamentu a Rady EU 2016/1148, o síťové bezpečnosti, která je známá jako NIS. Státy ji musí implementovat do 9. května 2018. Česká republika to zvládne o rok dřív. V kybernetické bezpečnosti má totiž náskok. O tom, co novela zákona přinese a proč, jsme si popovídali s Dušanem Navrátilem, někdejším ředitelem Národního bezpečnostního úřadu a nyní vládním zmocněncem pro oblast kybernetické bezpečnosti.

Proč vznikla směrnice NIS?

Bezpečnostní rizika se ve světě zvyšují, a to dost prudce. Tato oblast přitom byla na úrovni států dlouhodobě dost podceňována. Kvůli reálným útokům se však ukazuje, že je to velký problém. Bezpečnostních incidentů s rozsáhlými ekonomickými dopady přitom přibývá. Známý je třeba případ nejmenovaných hutí v Německu, kde vinou kybernetického útoku na systém řídící chod výroby zatuhla vysoká pec, což způsobilo škody v řádu desítek milionů eur.

Evropská komise v čele s Neelie Kroesovou zveřejnila 7. 2. 2013 novou strategii počítačové bezpečnosti a návrh směrnice o bezpečnosti sítí a informací. Směrnice byla schválena 6. července 2016 a navrhovaná opatření mají zajistit zvýšení kybernetické odolnosti informačních systémů, snížit počítačovou kriminalitu a posílit kybernetickou obranu.

Evropské státy totiž tuto oblast doteď legislativně povětšinou nijak neřešily. Výjimkou byly například Česká republika nebo Nizozemsko, které už v této oblasti měly zavedenou platnou legislativu.

Je skutečně nutné řešit kybernetickou bezpečnost soukromých subjektů formou zavádění zákonných povinností?

V České republice jsme si tuto otázku položili už v roce 2011. Tehdy již v ČR existovala iniciativa na zvyšování kybernetické bezpečnosti, a to od komerčních subjektů. Mělo ji na starosti sdružení CZ.NIC, které už od 16. prosince 2010 na základě memoranda s ministerstvem vnitra provozoval Národní CSIRT (Computer Security Incident Response Team). Před ním tuto problematiku od roku 2008 řešilo sdružení vysokých škol a Akademie věd ČR CESNET. Česká republika tedy v této otázce byla vždy hodně napřed.

V roce 2011 jsme nicméně začali vnímat, že problematika kybernetické bezpečnosti není problém jen akademické sféry či soukromého sektoru. Informační systémy začaly čím dál víc ovlivňovat i chod státu (1. 7. 2012 měl být například spuštěn Informační systém základních registrů) a stát na nich začínal být závislý, a to nejen v kontextu jednotlivých úřadů, ale i kritické infrastruktury, za kterou má stát zodpovědnost. Proto jsme se touto otázkou začali intenzivně zabývat.

Svou představu o tom, jak tuto problematiku řešit, jsme coby NBÚ předložili vládě, která svým usnesením č. 781/2011 mimo jiné nařídila vznik jako součásti NBÚ. Tomu uložila vytvoření Strategie pro oblast kybernetické bezpečnosti ČR na období let 2011 až 2015 a předložení návrhu zákona o kybernetické bezpečnosti.

Co bude implementace NIS pro ČR obnášet?

Díky tomu, že jsme se kybernetickou bezpečností zabývali již dříve, že jsme byli velice aktivní při vyjednáváních o znění směrnice NIS a že do Bruselu na jednání o směrnici jezdili odborníci na kybernetickou bezpečnost z NBÚ, těch změn vlastně nebude tolik. Naše stávající legislativa je zhruba z 80 % kompatibilní se směrnicí NIS. Základní odlišností je, že zatímco my jsme se při tvorbě kybernetického zákona zabývali tím, jak zajistit bezpečný chod státu, a vycházeli jsme z tzv. krizových zákonů, NIS klade důraz na o něco širší kontext v podobě zachování konkurenceschopnosti.

Nově tak přibude regulace kybernetické bezpečnosti u provozovatelů digitálních služeb (např. vyhledávačů či velkých e-shopů), kde směrnice NIS přesně vyjmenovává, které typy subjektů mají být regulovány. Mírně se rozšíří také počet regulovaných provozovatelů tzv. základních služeb – tedy služeb důležitých pro chod státu. Přibyla zde digitální infrastruktura a NBÚ se rozhodl přidat i regulaci chemického průmyslu. Výroba dnešních chemiček je totiž obvykle řízena elektronickými výrobními systémy a napadení hackery by tak mohlo způsobit narušení výroby v krajním případě až do míry ohrožující obyvatelstvo. Česká republika však nebude zdaleka první zemí, která bude řešit bezpečnost IS/IT v chemickém průmyslu. Obdobně tuto otázku legislativně pokrývají například v USA.

Jak moc se novela zákona o kybernetické bezpečnosti dotkne soukromých subjektů?

V současné době teprve nastavujeme jednotlivá kritéria na meziresortních jednáních. Směrnice NIS v tomto ohledu členským státům ponechává určitý stupeň volnosti. Proto jsme osobně přizvali veřejné i soukromé subjekty, kterých by se regulace mohla nově dotýkat, abychom jim dali možnost se na tvorbě zákona podílet. Tento přístup se nám velice vyplácí, protože při tvorbě zákona panuje atmosféra spolupráce.

V současné době to vypadá, že počet regulovaných subjektů se odhadem zvýší asi jen o 15 %, přičemž přibližně polovina nových subjektů bude z řad státních a veřejných institucí (např. velké nemocnice) a druhá polovina z řad soukromoprávních subjektů (např. některé banky, telekomunikační společnosti, rafinerie a klíčové chemické podniky).

Jak bude probíhat implementace novely kybernetického zákona?

Až novela zákona nabude účinnosti, což by s přihlédnutím k průběhu legislativního procesu mohlo být někdy během května letošního roku, budou mít dotčené subjekty rok na to, aby nová opatření uvedly v praxi. Faktem je, že zákon o kybernetické bezpečnosti nebude pro dotčené subjekty až tak těžké naplnit. Jeho znění do značné míry vychází z řady norem ISO/IEC 27000 o managementu bezpečnosti informací, kterou dotčené subjekty už většinou splňují. Jde ale o to, aby ji splňovaly nejen formálně, ale i věcně v praxi.

Po uplynutí roční lhůty totiž máme právo zkontrolovat, zda bylo vše nařízené zákonem implementováno, a plánujeme to také dělat. Budeme však zpočátku postupovat obdobně jako v případě implementace první verze zákona o kybernetické bezpečnosti. Půjde tedy spíše o metodické vedení subjektů k tomu, jak zjednat nápravu případných nedostatků a jak zajistit faktickou kybernetickou bezpečnost systémů. Zkrátka jde nám o to, aby ty subjekty měly své systémy zabezpečené, ne o to, abychom jim dávali pokuty. Nechceme být drábem, co se bude bavit jen o pokutách. Spíš se chceme domlouvat, komunikovat, metodicky vést.

Co přinese tato novela občanům ČR?

Občanům novela kybernetického zákona přinese právě onu kybernetickou bezpečnost. Zlepší se zabezpečení jejich lékařských záznamů v nemocnicích a zvýší se kybernetická bezpečnost systémů klíčových pro elektronické obchodování. Od toho si ostatně eurokomisařka (vysoká představitelka Evropské unie pro zahraniční věci a bezpečnostní politiku a místopředsedkyně Evropské komise Federica Mogheriniová, pozn. red.) slibuje i zvýšení konkurenceschopnosti evropských zemí.

Dušan Navrátil stál přes deset let v čele NBÚ. Letos v únoru z něj odešel a byl jmenován vládním zmocněncem pro oblast kybernetické bezpečnosti. Vystudoval stavebnictví na Vysokém učení technickém v Brně. Od roku 1991 byl aktivní v politice, v roce 1996 byl zvolen poslancem za ODA, od září 1998 je bezpartijní. V letech 1998 až 1999 působil jako náměstek ředitele pro ekonomiku NBÚ, v letech 1999 až 2006 byl náměstkem ředitele BIS a od 28. 9. 2006 do 31. 1. 2017 byl ředitelem NBÚ.

Sdružení pro internetový rozvoj (SPIR) je profesní sdružení spojující na 48 členů, které v Česku působí v oblasti internetu již od roku 2000. Kromě provozování NetMonitoru, respektovaného výzkumu návštěvnosti českého internetu, se zabývá i pravidelným vytvářením studie o české internetové ekonomice. Nejen o výsledcích této studie jsme si popovídali s výkonnou ředitelkou SPIR Kateřinou Hrubešovou. Co vás vedlo […]
Dnes byly na konferenci Internet ve státní správě a samosprávě vyhlášeny výsledky ankety o nejoblíbenější službu eGovernmentu v roce 2017. Ve finálovém výběru, ve kterém rozhodovaly hlasy občanů, byly dvě krajské služby, dvě služby Ministerstva průmyslu a obchodu ČR a jedna služba Českého úřadu zeměměřického a katastrálního. A vítězem se stal… Elektronické objednání k lékaři pro občany […]
Bývalý náměstek několika ministrů spravedlnosti a partner v advokátní kanceláři Havel, Holásek & Partners se dlouhodobě zabývá problematikou práva informačních technologií a eGovernmentu. Zeptali jsme se ho na to, kde a jestli vůbec pokulhává současná legislativa, která bývá často zmiňována jako hlavní bariéra rozvoje eGovernmentu. Která jsou podle vás nejpalčivější legislativní témata, jež je teď […]