Nařízení EU o kybernetické bezpečnosti obnovuje a posiluje Agenturu EU pro kybernetickou bezpečnost (ENISA) a poprvé zavádí celoevropský rámec certifikace kybernetické bezpečnosti pro digitální produkty, služby a procesy. Co to znamená a jaký prospěch budou mít z této certifikace společnosti podnikající v EU?
Evropa doslova žije digitálními technologiemi, otevřela nové možnosti e-commerce, usnadnila vzájemnou komunikaci i šíření informací. Lze tedy říci, že digitální technologie je páteří rozvoje evropské ekonomiky. Každý prudký rozvoj s sebou však nese určitá rizika. Při zakládání nového podnikání a pro jeho fungování se s největší pravděpodobností budete spoléhat na různá IT zařízení, počítače nebo i cloudové aplikace, v nichž budete shromažďovat údaje o zaměstnancích, zákaznících, ale i obchodní tajemství, jako je třeba design vašeho nového produktu.
Na obratu a velikosti vašeho podniku nezáleží. Všechny údaje výše zmíněné jsou pro kybernetické zločince velmi zajímavé. Právě proto je základní porozumění možným hrozbám v kybersvětě naprosto stěžejní pro ochranu vašeho majetku, duševního vlastnictví a podnikání jako takového. Mezi nejčastější kybernetické hrozby můžete určitě zařadit únik citlivých dat, phishing nebo blokování systému do doby, dokud neuhradíte částku požadovanou zločinci. Jedná se o takzvaný ransomware. Podle předsedy Evropské Komise Jean-Claude Junckera, údaje z posledních roků jednoznačně napovídají tomu, že kybernetická kriminalita má rostoucí tendenci a významně dopadá na evropské hospodářství. Takovéto zvýšení objemu kybernetických hrozeb vedlo k revizi právního rámce strategie Jednotného digitálního trhu EU a přijetí klíčových návrhů v zájmu zvýšení kolektivní kybernetické bezpečnosti Evropy.
Jedním z klíčových prvků této strategie je v současnosti již účinné Nařízení EU o kybernetické bezpečnosti. Nařízení bylo přijato 27. března 2019 se dvěma stěžejními oblastmi úpravy. V první řadě dává agentuře ENISA, Agentuře Evropské unie pro kybernetickou bezpečnost, trvalý mandát stálé agentury EU a posiluje její dozorčí úlohu. Zároveň je trvale pověřena incidentní pomocí členským státům a orgánům EU v oblasti zavádění bezpečnostních opatření sítě a informačních systémů. Je nutno zmínit, že český zákon č. 181/2004 Sb. o kybernetické bezpečnosti, který strategický zájem prevence bezpečnostních hrozeb uvádí do lokální praxe velmi zdařilým způsobem, jednak implementoval mechanismus aktivní spolupráce mezi soukromým sektorem a veřejnou správou a jednak soubor oprávnění a povinností těchto subjektů pro ochranu infrastruktur klíčových odvětví, jako je energetika, doprava, bankovnictví a zdravotnictví.
Protože se stále zvyšuje počet elektronických zařízení připojených k internetu, která hrají důležitou roli v klíčových odvětvích ekonomiky, přesto však nejsou dostatečně zabezpečena proti kybernetickým hrozbám, byl do Nařízení zařazen celoevropský rámec certifikace kybernetické bezpečnosti pro digitální produkty, služby a procesy. Je nutné uvést, že zatímco směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (NISD) se soustřeďovala právě na digitální služby v klíčových odvětvích, tak Nařízení vybízí všechny podniky k investicím do zabezpečení svých produktů a společného budování důvěry v kybernetickou bezpečnost digitálních produktů v Evropě.
Certifikace kybernetické bezpečnosti produktů nebo zařízení IT je v současnosti využívána spíše omezeně na úrovni zavedených průmyslových standardů nebo jen na úrovni členských států. Harmonizovaná úprava pomocí průběžného pracovního programu postupně vypracovává evropskou standardizaci mechanismů a podmínek pro získání certifikace splnění bezpečnostních požadavků pro jednotlivé produkty nebo služby. Certifikaci může společnost získat pro svoje IT produkty nebo služby na základě žádosti podané příslušnému národnímu bezpečnostnímu úřadu, a získat tak jednu z úrovní záruk (úrovně zabezpečení): „základní“, „významná“, nebo „vysoká“ vycházejíc i z hladiny potenciálního rizika pro celou společnost v případě úniku dat. Certifikace je vždy udělována na pět let s možností jejího obnovení v případě splnění nových podkladových požadavků zabezpečení. Ty jsou totiž aktualizovány vždy po pěti letech Evropskou skupinou pro certifikaci kybernetické bezpečnosti a Agenturou ENISA.
Harmonizovaný přístup k certifikaci by tak měl pro podnikatele být prvotně příležitostí pro sebekritické zjištění mezer bezpečnosti svých produktů a prostoru pro jejich zlepšení. Přičemž počáteční certifikace bude dobrovolná a do roku 2023 Evropská Komise vyhodnotí, do jaké míry by se celý systém měl stát povinným pro určité IT produkty a služby. Povinný systém by pak mohl přinést značnou důvěru spotřebitelů v produkty certifikované podnikateli již dříve a mohl by mít tak stejný efekt jako v případě označování potravin nebo léčiv.
Podnikatel může nejprve zvážit získání certifikace odpovídající úrovni zabezpečení „základní“, které proběhne zjednodušeně na základě vlastního posouzení shody, zda určitý produkt nebo služba odpovídá předem stanoveným technickým požadavkům. Institut posuzování shody se může ukázat jako nejvhodnější méně komplexním IT produktům, službám nebo procesům, tedy ty například takovým, které představují pro veřejnost nízké riziko úniku dat. Z důvodu své jasnosti a nenákladnosti je velmi pravděpodobné, že právě tento typ certifikace bude využíván například malými podnikateli a různými startupy, otázkou ale zůstává, jakou důvěru zákazníka základní úroveň zabezpečení IT produktu nebo služby vzbudí.
Kromě toho mají podnikatelé možnost podstoupení procedury formální certifikace (tj. úroveň zabezpečení „významná“ a „vysoká“). Je třeba zároveň zmínit, že i když před uvedením do rozšířenější praxe nelze plně odhadnout celkové náklady podnikatele související s formálnější procedurou certifikace, je jisté že když se dostane do širšího povědomí, může produkt podnikatele získat na tomto základě konkurenční výhodu. Je totiž zřejmé, že problematika kybernetické bezpečnosti IT produktů a služeb se dostala v posledních letech do popředí pozornosti i řádových spotřebitelů. Už i menší byznysy si uvědomují, že pro udržení zákazníka je obranné řešení pro ochranu jakéhokoli systému připojeného k internetu před kybernetickými hrozbami a útoky naprosto nutné.
Určitá kritika Nařízení a NISD byla vznesena nad svěřením komplexní správy IT rámce do rukou Agentury ENISA, nedostatku definic v evropské legislativě, které se týkají odolnosti systémů a nejistoty ohledně právního rámce reakce v případě rozsáhlejšího kybernetického útoku, a to i přes značné posílení kapacit kybernetické obrany. Nevyhnutelně se také projevila trvající nespokojenost odborníků nad zjevným vyhýbáním se sjednocení evropského přístupu v boji proti kybernetické kriminalitě, i když se například oblast působnosti rozšířila i například na transakce prostřednictvím virtuálních měn.
Nařízení nicméně může způsobovat i jistou míru potenciální roztříštěnosti, kterou lze očekávat od různých národních regulátorů a orgánů dohledu při interpretaci či aplikaci. Pro okamžitý referenční rámec lze nastínit určité výkladové problémy při zohlednění NISD v zákoně o kybernetické bezpečnosti a aplikaci a přednosti PSD2, nebo i GDPR způsobených malými rozdíly napříč členskými státy.
Ekonomika Evropy v současnosti nepopiratelně stojí na datech. Vzájemná podpora a postup členských států při posuzování společenských, právních, hospodářských a regulačních dopadů technologických inovací na bezpečnost sítí a informací, zejména na kybernetickou bezpečnost, je klíčovou prioritu při zajišťování vnitřní bezpečnosti Evropské unie. Zpráva o stavu kybernetické bezpečnosti za rok 2018, publikována českým Národním úřadem pro kybernetickou a informační bezpečnost, přitom uvádí, že za největší zranitelnost jsou považovány právě koncoví uživatelé informačních technologií. Dalším esenciálním krokem pro úspěšný postup v této problematice je tedy nejen to, aby podnikatelé zaváděli bezpečnější a inovativní technické řešení, ale zároveň se i zdůrazňovalo šíření osvěty o kyberbezpečnosti a jejích důsledcích.
Marek Poloni, právník v pražské pobočce advokátní kanceláře Noerr
