Regulace podle NIS2: cloudum pro statni spravu se zmirni pravidla certifikace

Senat si pro posouzeni navrhu noveho kybernetickeho zakona nechal maximalni moznou lhutu. Normu pripravenou Narodni uradem pro kybernetickou a informacni bezpecnost (NUKIB) projedna na plenu 11. cervna, tedy den pred vyprsenim zakonneho terminu. Do te doby ma material projit garancnim vyborem pro zahranici veci, obranu a bezpecnost (4. cervna), Vyborem pro hospodarstvi, zemedelstvi a dopravu (termin zatim nebyl stanoven) a Ustavne-pravnim vyborem (take 4. cervna). Horni komora ma na posouzeni normy cas do 12. cervna.

Mezitim NUKIB poslal do meziresortniho pripominkoveho rizeni radu provadecich predpisu k novemu zakonu, a to vcetne tech, u kterych puvodne u ministra spravedlnosti a soucasne sefa Legislativni rady vlady Pavla Blazka zadal ulevy. Ve vladni Knihovne pripravovane legislativy (eKlep) tak nalezneme i vyhlasku o Portalu Uradu a o pozadavcich na vybrane ukony, u niz se chtel pripominkoveho rizeni zcela vyhnout.

Co zde zatim chybi, to je dvojice navrhu narizeni vlady, a to o nepominutelnych funkcich (upravujicich, ktere funkce strategicky vyznamnych sluzeb jsou vzdy zahrnuty v mechanismu proverovani bezpecnosti dodavatelskeho retezce), a o strategicky vyznamnych sluzbach (stanovi, koho se bude proverovani bezpecnosti dodavatelskeho retezce tykat). Reditel NUKIBu Lukas Kintr u techto dvou vladnich narizeni ministra Blazka zadal o ulevu v podobe odpusteni povinnosti zpracovat hodnotici zpravu RIA.

Nyni regulator na svem webu neprimo uvadi, ze s vypracovanim analyzy dopadu regulace pocita a k verejnym pripominkam zasle dvojici navrhu pozdeji. ,,Vzhledem ke zmenam v navrhu zakona, ktere probehly v souvislosti s temito predpisy v poslanecke snemovne, a novym pozadavkum na zpracovani RIA, ktere drive nebyly, doslo k posunu terminu odeslani techto dvou predpisu a budou do MPR zaslany pozdeji," pise NUKIB.

Presun ze zakona do narizeni

Pozornost smerem k temto dvema narizenim pritahl pozmenovaci navrh B-9 vzesly ze snemovniho hospodarskeho vyboru. Ten zmenou v SS 27 odst. 2 pism. b) kyberbezpecnostniho zakona sesneroval moznost vladnich politiku stanovenou zakonem mluvit firmam do vyberu dodavatele jen na aktiva hodnocena jako kriticka, kdyz dle puvodniho navrhu zde byla zahrnuta i kategorie vysoka. Zakonodarce tak ucinil s vedomim, ze sama vlada muze kdykoliv toto omezeni svym narizenim zmenit.

Az NUKIB navrhy techto dvou vladnich narizeni dokonci a da k dispozici k verejnym pripominkam, bude jasne, jestli odolal pokuseni zmirneny zakon hned od zacatku pritvrdit zadnimi vratky, nebo se zmenou pocka na okamzik, kdy to vlada bude povazovat skutecne za nutne.

My se ale dnes zamerime na jiny provadeci predpis, ktery NUKIB v techto dnech take dostal do meziresortniho pripominkoveho rizeni, a pritom s kyberbezpecnostnim zakonem primo nesouvisi. Vztahuje se totiz k zakonu c. 365/2000 Sb., o informacnich systemech verejne spravy, a nastavuje pravidla pro provozovatele cloudu, jejichz zakaznikem bude stat, resp. jednotlive organy statni spravy. Jedna se o vyhlasku o nekterych pozadavcich pro zapis do katalogu cloud computingu. Jeji ctyri roky starou a dosud platnou verzi najdeme ve Sbirce zakonu pod c. 316/2021 Sb.

Katalog sluzeb cloud computingu vede Digitalni a informacni agentura a v nem zapsanym provozovatelum cloudovych sluzeb se dostava privilegovaneho postaveni dodavat tyto sluzby statnim institucim. Zapisu se totiz docka jen ten, kdo vyhovi cele rade pozadavku, zejmena na bezpecnost a zajisteni provozu bez vypadku.

Dvakrat a dost

Jinak posuzovana bude bezuhonnost takoveho provozovatele. Nove uz se neodviji od vyse ulozene pokuty, ale zkouma se, jestli provozovatel nebo jeho ovladajici osoby nemaji v poslednich peti letech ,,skraloup" v podobe spachani nektereho z prestupku v oblasti kyberneticke bezpecnosti. Vyhlaska v teto souvislosti vyjmenovava prestupek spocivajici v neplneni ulozenych napravnych opatreni, kde zavadi princip ,,jednou a dost". Staci jedine pravomocne rozhodnuti o vine, a prestupce muze na zapis do katalogu na pristich pet let zapomenout.

Vedle toho vymezuje 21 prestupku, u kterych prvni ,,zaskobrtnuti" toleruje a tresta az druhe pravomocne uznani viny. Tyka se to treba i povinnosti urcit a evidovat primarni aktiva a posuzovat jejich souvislost s regulovanou sluzbou, pochybeni pri zvladani bezpecnostniho incidentu, nebo prekroceni stanoveneho casu ci kvality pro obnoveni dostupnosti strategicky vyznamne sluzby. Tady az druhe provineni u tehoz prestupku je pro datacentrum pomyslnou stopkou pro moznost uchazet se o dodavky statu.

Datacentra nabizejici cloudove sluzby vyhlaska deli do ctyr bezpecnostnich urovni: nizka, stredni, vysoka a kriticka. Podle toho na ne klade rozdilne naroky. Odlisne je napriklad uzemni omezeni, kde mohou byt zpracovavana a ukladana zakaznicka data. U dvou nejvyssich urovni se predpoklada, ze az na vyjimky se tak bude dit pouze v tuzemsku. Provozovatel takoveho datacentra bude opravnen a dokonce povinen odmitat zadosti o poskytnuti soucinnosti tretich stran, hlavne z rad zpravodajskych sluzeb a organu cinnych v trestnim rizeni cizich statu.

U nizsich urovni geograficka omezeni nebudou tak striktni. Zakaznicka data u nich mohou opustit uzemi Ceska, dokonce i Evropske unie, ale za predpokladu, ze datacentra budou vuci uradum maximalne transparentni a priznaji, kam vsude data mohou doputovat. Povinnosti je rovnez vymezit, z jakych zemi se budou k datacentru prihlasovat administratori dohlizejici na chod sluzby, nebo spravujici data zakazniku.

A odstupnovana je take auditni povinnost, resp. podminka ziskani certifikace. U nizke bezpecnostni urovne staci soulad s certifikaci ISO 27001, u narocneji klasifikovanych datacenter bude nutne dolozit bud auditni zpravu SOC 2 Type 2 nebo nove i auditni zpravu C5 Type 2, ktera na rozdil od prve zminene nevyzaduje zvlastni akreditaci auditora.

Tato certifikace potvrzuje nejen to, ze poskytovatel datacentra ma implementovane bezpecnostni opatreni, ale ze jsou tato opatreni efektivni a funguji v prubehu delsiho casoveho useku. Tim se lisi od zpravy C5 Type 1, ktera se zameruje pouze na vhodnost bezpecnostnich opatreni.

Soucasti povinnych opatreni je pravidelne skenovani zranitelnosti, ktere ma odhalit nedostatky v zabezpeceni. Uz se nebude muset provadet kazdy mesic, jako to ukladala stavajici podoba vyhlasky, ale sken zranitelnosti jako soucast penetracniho testu (nikoliv jeho nahrada) bude postacovat jednou za kvartal.

Pokud datacentrum se zadosti o zapis do katalogu uspeje, musi pocitat s tim, ze si stat bude prubezne plneni podminek kontrolovat. U informacnich systemu verejne spravy na scenu vedle NUKIBu vstupuje i Digitalni a informacni agentura. Ta bude mit starosti dohled nad temi systemy, ktere nepodlehaji zakonu o kyberneticke bezpecnosti. Naopak informacni systemy pod touto regulaci si ohlida brnensky regulator.