Kybernetickou bezpečnost včetně ochrany utajovaných informací zpracovávaných v informačních a komunikačních systémech a kryptografickou ochranu má ze zákona na starost Národní úřad pro kybernetickou a informační bezpečnost. S jeho ředitelem Lukášem Kintrem jsme diskutovali o aktuálním stavu a vizích tohoto úřadu.
Kybernetická a informační bezpečnost na úrovni státu je jasně dána zákonem. Jaká je Vaše působnost ve vztahu k podnikatelskému sektoru?
Působnost NÚKIB je vymezena zákonem o kybernetické bezpečnosti. NÚKIB je národní autoritou v oblasti kybernetické bezpečnosti a ochrany digitálně zpracovávaných utajovaných informací. Současně plní další úlohy např. v oblasti bezpečnosti satelitních systémů. Mimo jiné plní roli regulátora, tedy toho, kdo nastavuje standardy a pravidla.
Povinnosti v oblasti kyberbezpečnosti lze rozdělit do 4 základních kategorií: hlásit kontaktní údaje (nastaví se tím komunikační kanály pro řešení krizových situací a další komunikaci), zavádět preventivní bezpečnostní opatření s cílem předcházet úspěšným útokům a být schopen na ně reagovat, hlásit incidenty (posilovat tím povědomí o dění napříč Českou republikou a zvyšovat kolektivní odolnost) a reagovat na opatření vydaná NÚKIB v rámci reakce na aktuální dění v kyberprostoru. Předchozí se týká subjektů, které spadají pod zákon o kybernetické bezpečnosti. Těchto subjektů je v současné době asi 450. Po transpozici evropské směrnice NIS2 to bude podle našich odhadů více než 6000 subjektů, které se budou dělit do dvou režimů – přísnějšího a mírnějšího.
Povinnosti v oblasti ochrany utajovaných informací zpracovávaných v informačních a komunikačních systémech dopadají pouze na firmy, které ke své činnosti potřebují takové informace zpracovávat v digitální podobě a za tímto účelem potřebují certifikovat dotčený systém. Jedná se pak o sadu velmi specifických opatření a postupů.
Ke všemu výše zmíněnému náš úřad pořádá velkou řadu vzdělávacích a také osvětových aktivit. Mimo jiné provozuje portál osveta.nukib.gov.cz, kde nabízí kurzy určené pro různé cílové skupiny, jakými jsou například pracovníci ve zdravotnictví, státní instituce anebo i děti všech věkových kategorií – od předškoláků po studenty středních škol. S osvětou souvisí také velké kampaně. V poslední době to byla například kampaň Velké odhalení. Zaměstnanci úřadu velmi často vystupují na řadě konferencí a také jsou účastníky různých přednášek. Kromě již zmíněné činnosti úřad také vydává řadu podpůrných materiálů a provozuje informační kanály na webu.
Upozorňujete na možná rizika při fungování firem. Na jaké úrovni je Vaše spolupráce s bezpečnostními manažery firem?
Spolupráce NÚKIB s firmami je na dobré úrovni. Odbornou veřejnost se snažíme zapojovat dlouhodobě v maximální možné míře, například i do tvorby legislativy, formou veřejných konzultací k novému zákonu o kybernetické bezpečnosti nebo aktuálně do tvorby strategických dokumentů, jako je Národní strategie kybernetické bezpečnosti. S bezpečnostními manažery firem se také setkáváme. Například ve veřejné správě máme skupinu manažerů kybernetické bezpečnosti ministerstev. NÚKIB pravidelně řeší také řadu dotazů a konzultací. Jen k evropské směrnici NIS2 řešíme měsíčně průměrně přes 40 dotazů. Pokud má někdo dotaz, má dveře otevřené.
K informování povinných subjektů dle zákona o kybernetické bezpečnosti navíc NÚKIB vytvořil webovou službu Portál NÚKIB. Bezpečnostní manažeři tedy mohou mít za svůj subjekt do Portálu přístup. Dle současně platného zákona o kybernetické bezpečnosti jsou pro povinný subjekt registrace a přístup do Portálu dobrovolným krokem. Dle připravovaného nového zákona o kybernetické bezpečnosti bude pro povinné subjekty registrace do Portálu povinná.
Firmy kritické infrastruktury jsou zranitelným místem demokratické společnosti. Úroveň jejich kybernetické ochrany je zásadní pro jejich úspěšné fungování. Dochází ke spolupráci i v rámci EU?
Členské státy EU si samozřejmě uvědomují klíčovou důležitost firem kritické infrastruktury a spolupracují spolu i v této oblasti, soukromý sektor nevyjímaje. Asi nejpodstatnějším počinem posledních měsíců jsou zde směrnice NIS a nyní i NIS 2, které reflektují i český zákon o kybernetické bezpečnosti a které stanoví základní podmínky, jež mají firmy dodržovat, aby byly chráněné a odolné vůči zranitelnostem.
V EU funguje agentura pro kybernetickou bezpečnost ENISA, která mimo další úkoly usnadňuje sdílení informací mezi státy i firmami, poskytuje odborné poradenství a podporuje vzdělávání a informovanost v oblasti kybernetické bezpečnosti. Mezi členskými státy EU existuje i mnoho platforem na pracovní úrovni, za zmínku stojí např. Síť CSIRT na technické a EU-CyCLONe na operativní úrovni.
V rámci Sítě CSIRT (Computer Security Incident Response Team Network) hrají roli národní i vládní CERTy (Computer Emergency Response Team), které jsou v úzkém kontaktu s firmami kritické infrastruktury. Když se stane závažný přeshraniční incident, jsou schopny rychle a efektivně sdílet informace, navíc poskytují firmám technickou podporu a odborné znalosti při analýze a mitigaci těchto incidentů. Spolupráce v rámci Sítě CSIRT zajišťuje, že incidenty, které by mohly mít přeshraniční dopady, jsou řešeny koordinovaným způsobem, což minimalizuje riziko eskalace a šíření útoků na další kritické systémy. Dojde-li však k situaci, kdy je třeba mobilizovat členské státy na více operativně-politické úrovni, zapojí se i EU-CyCLONe, což je síť styčných organizací pro řešení kybernetických krizí, která rovněž napomáhá k lepší připravenosti pro řešení rozsáhlých kybernetických incidentů a krizí, posuzuje jejich důsledky a dopady a koordinuje daná řešení. Dodatečně podporuje rozhodování na politické úrovni.
Je třeba zmínit i další důležitou část spolupráce v rámci EU a tou je finanční podpora pro firmy. Existují různé množnosti financování, které jsou navržené tak, aby pomohly firmám posílit jejich kybernetickou ochranu, zlepšit odolnost proti kybernetickým hrozbám a podpořit inovace v oblasti kybernetické bezpečnosti. Například se tak jedná o programy „Horizont Evropa“ nebo „Digitální Evropa“.
Děkujeme za rozhovor.
Text: redakce
Foto: NÚKIB
