Podle studie z roku 2015[1], která analyzovala připravenost společností na kybernetický útok, bylo více než 60 % společností terčem útoků narušitelů. Ti se snažili dostat do firemních sítí, a získat tak přístup k chráněným datům společností, jako jsou například obchodní tajemství, duševní vlastnictví, záznamy zákazníků, informace o platbách či osobní údaje zaměstnanců. Celá čtvrtina společností přitom uvedla, že k podobným útokům u nich dochází skoro každý den.
Nedostatečná bezpečnost sítí a informací může ohrozit pro člověka zcela zásadní a nutné služby, jako jsou dodávka elektřiny, doprava (letecká, železniční, autobusová) nebo bankovnictví. Vzhledem k možným hrozbám přivedla ona absence bezpečnosti Evropský parlament a Radu EU k přijetí směrnice 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii ze dne 6. července 2016 (tzv. směrnice NIS), která vstoupila v platnost v srpnu minulého roku. Směrnice NIS je vyjádřením strategie EU v oblasti kybernetické bezpečnosti a členské státy ji musí transponovat do svých právních řádů do 9. května 2018.
Směrnice ukládá minimální úroveň společné evropské ochrany před útoky na digitální technologie, sítě a služby a zároveň určitým subjektům stanoví povinnost hlásit významné případy porušení kybernetické ochrany. Zavedení požadavku na hlášení bezpečnostních incidentů se dotkne mimo jiné poskytovatelů digitálních služeb (internetové vyhledávače, sociální sítě, online obchody, atd.) a hospodářských subjektů v oblasti energetiky, zdravotnictví nebo například obchodování s cennými papíry. Zmíněná oznamovací povinnost hospodářských subjektů o bezpečnostních incidentech, jež mají významný dopad na jimi poskytované služby, tak ovlivní nejen činnost takových internetových gigantů, jakými jsou Google, Amazon nebo PayPal, ale i činnost internetových obchodů na tuzemském trhu.
Hlavním cílem směrnice je zabránit a případně adekvátně reagovat na kybernetické útoky nebo snahy o narušení kybernetické bezpečnosti společnosti. Připravenost členských států EU v této oblasti má být zajištěna vytvořením sítě bezpečnostních skupin CERT v jednotlivých členských státech (Skupina pro reakci na bezpečnostní hrozby), jejichž účelem je přispívat k budování důvěry mezi členskými státy a podporovat rychlou a účinnou operativní spolupráci. Česká skupina CERT je podřízená Národnímu bezpečnostnímu úřadu, který vykonává dohled nad bezpečností sítí a informačními systémy na vnitrostátní úrovni jakožto gestor problematiky kybernetické bezpečnosti a zároveň národní autorita pro tuto oblast.
Směrnice NIS je poslední snahou Evropské komise reagovat na rychle se měnící povahu hrozeb digitálního světa s cílem vytvořit vysokou úroveň ochrany ve všech členských státech Evropské unie.
Ve svém sdělení z 5. července 2016 vyzvala Komise EU členské státy k aktivnímu využívání koordinačního mechanismu pro výměnu informací a přijímání opatření na bezpečnostní hrozby v kybernetickém světě. Opírajíc se o NIS směrnici, Komise dále plánuje návrh úpravy spolupráce v případě závažných kybernetických útoků.
Reakcí na danou směrnici je novela zákona o kybernetické bezpečnosti, která má za cíl zapracování požadavků směrnice. Aktuální zákon o kybernetické bezpečnosti požadavky nové směrnice už často plní a místy jde zákon již nyní dokonce nad rámec požadavků směrnice.
Hlavním účelem novelizace je tak rozšíření povinností vyplývajících ze směrnice na subjekty, na které aktuální zákon nedopadá.
Nové povinnosti týkající se kybernetické ochrany se tak budou nově vztahovat na společnosti provozující on-line tržiště, cloud computing a internetové vyhledávače (označované jako digitální služby), s výjimkou pro mikro podniky (mající méně než 10 zaměstnanců a obrat nebo rozvahu do 2 mil. EUR) a malé podniky (mající méně než 50 zaměstnanců a obrat nebo rozvahu do 10 mil. EUR).
Dále se bude zákon vztahovat na provozovatele základních služeb, čímž jsou myšleny především služby, jejichž poskytování je závislé na elektronických sítích nebo informačních systémech a jejichž narušení by mohlo mít významný dopad v některém z důležitých odvětví ekonomiky. Jedná se např. o oblast bankovnictví, dopravy, energetiky, zdravotnictví či chemického průmyslu.
Zákon se bude taktéž v této souvislosti vztahovat na správce informačních systémů základních služeb a provozovatele informačních systémů základních služeb.
Pro nově zahrnuté skupiny budou platit povinnosti zákona o kybernetické bezpečnosti, které od nich zejména vyžadují, aby přijaly odpovídající kroky eliminující bezpečnostní rizika a oznamovaly případné kybernetické incidenty Národnímu bezpečnostnímu úřadu.
-28951871.png)
[1] http://www2.fireeye.com/rs/848-DID-242/images/ISMG-2015-Breach-Preparedness-and-Response-Study.pdf?mkt_tok=3RkMMJWWfF9wsRolv6zAd%2B%25%202Fh%20mjTEU5z17%2B0tWaC0hYkz2EFye%2BLIHETpodcMT8ZhNbvYDBceEJhqyQJxPr3NKNgN3tx5RhPmCg%3D%3D
Diskuze k článku ()