Regulace podle NIS2: navrh narizeni obsahuje pojistku proti kreativite operatoru

V meziresortnim pripominkovem rizeni jsou uz kompletne vsechny kybernetickym zakonem predvidane provadeci predpisy. Jako posledni Narodni urad pro kybernetickou a informacni bezpecnost (NUKIB) predlozil k pripominkam Narizeni vlady o strategicky vyznamnych sluzbach a Narizeni vlady o nepominutelnych funkcich stanoveneho rozsahu. K navrhum na jejich upravu je NUKIB otevren do 20. cervna, kdy konci lhuta pro uplatneni pripominek.

Obema predpisum se budeme v dnesnim dile naseho serialu podrobne venovat. Pro jistotu pripomenme, ze na rozdil od kyberbezpecnostniho zakona, ktery prochazi standardnim legislativnim procesem (a momentalne ceka na projednani v senatnich vyborech), u narizeni vlady je to kabinet, ktery navzdory pripadne uplatnenym pripominkam urcuje finalni podobu tohoto pravniho aktu.

Brnenske hejtmanstvi chce zkratit minimalni hesla

Mimochodem, ty uz zacinaji prichazet ke drive zverejnenym navrhum vyhlasek. Napriklad u vyhlasek o bezpecnostnich opatrenich poskytovatele regulovane sluzby v nizsim rezimu a vyssim rezimu uplatnil Jihomoravsky kraj hned nekolik pozadavku. Chce ulevu v minimalni delce pouzivanych hesel pro ucty technickych aktiv. Namisto NUKIBem prosazovanych 22 znaku navrhuje brnenske hejtmanstvi hesla o dva znaky kratsi. ,,Pozadavek na 22 znaku je v praxi obtizne realizovatelny a muze vest k obchazeni pravidel, napriklad ukladani hesel v nezasifrovane podobe. Delka 20 znaku je dostatecne bezpecna a zaroven lepe vyvazena vuci pouzitelnosti," zduvodnuje urad, proc ve 20znakovych hesel vidi tak vyznamny posun k lepsimu.

Navrhuje take nastavit pevne datum ucinnosti vyhlasky, idealne od 1. ledna pristiho roku. Audity kyberneticke bezpecnosti pak maji byt ne kazde 2, ale 3 roky, podobne i vybor pro rizeni kyberneticke bezpecnosti pohledem krajskeho uradu neni potreba svolavat kazdy rok, ale staci jednou za 18 mesicu. U dalsi vyhlasky hejtmanstvi dokonce vystupuje proti pouzitemu patkovemu pismu, ktere ubira textu na citelnosti... Do konce lhuty pro podani pripominek k vyhlaskam zbyva mene nez tyden a da se cekat, ze dalsi hodnotne podnety k vylepseni jeste pribydou.

Na operatory narizeni pamatuje

Ale zpet k navrhum vladnich narizeni. Zacneme u nepominutelnych funkci stanoveneho rozsahu. Ta bude nejvice zajimat telekomunikacni operatory, protoze jim je venovana cela priloha vymezujici, co vsechno se u poskytovatelu verejne dostupnych sluzeb elektronickych komunikaci a provozovatelu verejnych komunikacnich siti automaticky povazuje za nepominutelne funkce. To ma vliv na to, nakolik bude moci vlada operatorum mluvit do otazky dodavatelskeho retezce.

Uprava nepominutelne funkce je definovana tak, ze jde o aktivum strategicky vyznamne sluzby, ktere poskytovatel v rezimu vyssich povinnosti sam ohodnotil jako vysoke. V pripade telekomunikacnich operatoru to navic jsou funkce uvedene v priloze, kde jsou rozdeleny do tri kategorii: pro verejne komunikacni site souvisejici s rizenim sitovych zdroju, se smerovanim a jinou kontrolou nebo s rizenim provozu koncovych uzivatelu s vyznamnym dopadem na sitovy provoz, dale pro funkce siti 4. generace a funkce siti 5. generace.

Nachazime zde funkce souvisejici s data retention, funkce spojujici jadro site s externimi aplikacemi, fakturacni a backendove systemy, i funkce pro rizeni radiove pristupove site a rizeni zakladnovych stanic. Dale sem narizeni radi gateway propojujici paketovou sit s uzivatelskym zarizenim, funkce odpovedne za handovery mezI BTSkami, nebo funkce ridici uzivatelske relace. At uz si tyto casti sve infrastruktury operatori zaskatulkuji z hlediska dulezitosti jakkoliv, pravomoc u techto funkci promlouvat do toho, jake provenience maji byt dodavatele techto prvku, bude mit vlada vzdy.

,,Stanovenim konkretnich nepominutelnych funkci bude zamezeno pripadnemu rozdilnemu pristupu k provedeni identifikace kritickych aktiv jednotlivymi poskytovateli regulovanych sluzeb, (...) coz bude mit pozitivni vliv na bezpecnost statu," netaji se v hodnotici zprave RIA ucelem takovehoto konkretniho stanoveni povinnosti NUKIB.

Potvrzuji se tak puvodni predpoklady, ze ve Snemovne vyjednana uleva v podobe vyskrtnuti aktiv kategorie vysoka ze zakona bude od prvniho okamziku vyvazena presunem do vladniho narizeni, ktere navic vlada sama muze kdykoliv upravit a dalsi funkcionality site do seznamu pridat. Zopakujme, ze na navrh snemovniho Hospodarskeho vyboru primo v zakone zustala moznost zasahovat do dodavatelskeho retezce jen u aktiv nejvyssi kategorie kriticka.

NUKIB si toto prerazeni ze zakona do provadecich predpisu, proti kteremu ve vyborech zpocatku brojil, nyni pochvaluje. ,,Z hlediska technicke proveditelnosti je tato varianta (seznam nepominutelnych funkci zakotveny primo v zakone - pozn. redakce) zasadne nevhodna. Jakakoliv zmena nebo aktualizace vyctu funkci by musela probihat formou legislativni novely zakona v Parlamentu," napsal urad do hodnotici zpravy RIA s dovetkem, ze ,,bez moznosti pruzne reakce by mechanismus dodavatelskeho retezce postupne ztracel ucinnost".

Dopady hodnocene poctem potencialnich obeti

Druhe narizeni, o strategicky vyznamnych sluzbach v jednotlivych odvetvich, definuje regulovane sluzby, ktere stat povazuje za klicove. U statni spravy je to vzdy vykon sverenych pravomoci ze strany ministerstev a jinych spravnich uradu s celostatni pusobnosti. Patri sem i kancelare prezidenta, Senatu a Poslanecke snemovny, centralni banka, Policejni prezidium, Generalni inspekce bezpecnostnich sboru, celostatni policejni utvary, a hasici od krajskeho reditelstvi vyse.

V oboru energetika to budou velci vyrobci elektriny s vykonem nad 100 MW, provozovatele prenosove a distribucni soustavy, provozovatele ropovodu a plynovodu nebo Energeticke datove centrum. U dopravy Rizeni letoveho provozu a letecti meteorologove a Sprava zeleznic.

Upresneni se dockalo vymezeni strategicky vyznamne sluzby v odvetvi digitalni infrastruktura a sluzby. Sem bude patrit kazdy operator, ktery bude mit ve sve siti aspon 350 tisic aktivnich SIM karet nebo 100 tisic aktivnich pevnych internetovych pripojek. Pak to take bude spravce a provozovatel registru narodni domeny a v neposledni rade poskytovatel cloudu zarazeneho do nejvyssi bezpecnostni urovne podle podminek pro statni cloud computing.

S takto vymezenymi regulovanymi sluzbami souvisi stanoveni nezbytneho rozsahu strategicky vyznamne sluzby. Pomeruji se zavaznosti nasledku, ktere by vyvolala pripadna nedostupnost. U verejne spravy se bere v uvahu riziko zraneni vice nez 2500 lidi nebo ztraty zivota vice nez 250 lidi. Stejne tak negativni ovlivneni diplomatickych vztahu, vazne a dlouhodobe naruseni schopnosti vysetrovat trestnou cinnost, zpusobit hromadne nepokoje nebo narusit verejny poradek v celostatnim meritku. Vypadek take nesmi statu zpusobit hospodarske ztraty nad 0,5 % hrubeho domaciho produktu, u rozpoctu na nizsich urovnich se nesmi jednat o ztratu nad 10 % beznych rocnich vydaju, a soucasne ale musi jit o ujmu vyssi nez 10 milionu korun. Poslednim moznym kriteriem je zavazny zasah do kazdodenniho zivota postihujici alespon 125 tisic lidi.

Ropovody a plynovody maji nezbytny rozsah strategicky vyznamne sluzby vymezen prumerem potrubi, resp. tlakem. U vnitrostatniho ropovodu nejmene 20 cm, u tranzitniho 50 cm, u distribucni soustavy jsou v teto kategorii vsechny vysokotlake a strednetlake plynovody.

Digitalni infrastruktura ma tento rozsah definovan v navaznosti na zakon o elektronickych komunikacich. Pujde o sluzby pristupu k internetu a interpersonalni komunikacni sluzbu. Pro obyvatelstvo tak musi byt zajisteno datove, hlasove i SMS spojeni.

Regulator take znovu pripomnel svuj odhad, ze pravidla pro strategicky vyznamne sluzby se maji dotknout priblizne 150 subjektu. Pocita pak i s prezkumem ucinnosti prijateho narizeni, a to po dvou letech, kdy by uz mel mit dostatek poznatku o tom, jak se nove regule v praxi zabehly.