Co přineslo a přinese schválení směrnice NIS?

Směrnice NIS je první dokument na úrovní Evropské unie, který se snaží zasáhnout do řízení kybernetické bezpečnosti na celoevropské i na národní úrovni. Finální znění této směrnice bylo po dlouhých diskusích mezi jednotlivými členskými státy schváleno 6. července Evropským parlamentem. Rozdíly mezi jednotlivými členskými státy na legislativní úrovni jsou v současnosti poměrně zásadní a proto je jedním z hlavních cílů této směrnice právě harmonizace standardů napříč všemi členskými státy.

Základní části této směrnice zůstaly od začátku téměř beze změny. Jde například o povinnost mít na úrovni států fungující CSIRT tým a to v režimu 24/7, přijmout strategii kybernetické bezpečnosti či spolupracovat s ostatními státy při řešení incidentů. Co se však při schvalování finálního textu měnilo nejvíce byl seznam subjektů, na které se povinnosti ze směrnice budou vztahovat. Postupně se k seznamu základních služeb jako je třeba energetika či zdravotnictví přidali také takzvaní „digital service providers“. Těch se týkala velká diskuze o tom, nakolik jsou subjekty mezi něž patří i doménové registry a registrátoři kritické a jaký dopad bude mít jejich regulace na volný trh a případné zlepšení zabezpečení jejich infrastruktury. Zdůvodnění, proč se vyskytly hlasy bojující za to, aby dané subjekty nebyly součástí směrnice, najdete například ve vyjádření Board of directors organizace CENTR. Výsledkem dlouhých diskusí je rozdělení subjektů spadajících pod směrnici na dvě skupiny. Provozovatele základních služeb, mezi které patří také internet exchange pointy (IXP), doménové registry či provozovatelé DNS služeb a provozovatelé digitálních služeb, kam budou patřit online tržiště, služby cloud computingu a vyhledávače.

Definice všech těchto skupin jsou však dost vágní a tak se zatím přesně neví, na koho se povinnosti ze směrnice budou vztahovat. Pro provozovatele digitálních služeb bude situace o to těžší nebo lehčí (?), že se budou muset v zákoně sami identifikovat. Nové zákony, které na základě směrnice v jednotlivých členských státech EU vzniknou, budou také muset určit sankce pro tyto subjekty, například za nenahlášení incidentů. Jakým způsobem bude pak probíhat kontrola, však není jasné. Od vstupu směrnice v platnost, tedy od srpna 2016, budou mít členské státy 21 měsíců na implementaci směrnice do národních legislativ. Pro Českou republiku však změny, které tato směrnice přinese, nebudou vzhledem k již implementovanému Zákonu o kybernetické bezpečnosti zásadní.

Přijatá směrnice by měla také vytvořit dvě skupiny podporující spolupráci mezi státy a to jak po technické, tak po strategické stránce. „Cooperation group“ a „CSIRT Network“ se budou skládat ze zástupců jednotlivých států a věnovaly by se primárně otázkám vládních a národních týmů. K již dlouholetému fungovaní skupiny TF-CSIRT, která seskupuje bezpečnostní týmy od akademických až po komerční, se tak vytvoří nové seskupení, kterému se budou muset národní a vládní týmy věnovat a to především z pohledu uvolnění lidských zdrojů.

Nakolik bude směrnice úspěšná, to ukáže až čas. Našeho sdružení se směrnice přímo dotkne hned dvakrát. Jako provozovatele základní služby – registru domény nejvyšší úrovně a jako národního CSIRT týmu; část subjektů bude mít povinnost reportovat incidenty právě tomuto našemu bezpečnostnímu týmu. Zároveň se staneme členy jedné z mezinárodních pracovních skupin pro podporu bližší spolupráce mezi ostatními národními a vládními CSIRT týmy. Zásadní změny však po přijetí směrnice neočekáváme. Základní body směrnice se dočtete zde.

Autor:

Komentáře (2)

  1. Zdeněk říká:

    Tvrdit, že změny v České republice nebudou zásadní je trochu troufalé? Mohli byste uvést, kolik subjektů (z odhadovaných cca. 2 500) Vám již nahlásilo kontaktní údaje? Pokud bude totiž schválena novela ZKB, z CZ.NIC / CSIRT.CZ se totiž snadno stane „bonzák“, který bude muset v rámci kontroly předávat NBÚ např. seznamy kontaktních údajů, což dosud nemusel a nikde jsem nenašel, že by toto (tj. povinnost provozovatelů národních CERT „bonzovat“ státu přímo vyplývala z NIS). NBÚ zároveň zvedá dost citelně sankce za neplnění povinností – ze 100 tis. na několik mil. A nemluvě o tom, že po novele ZKB nově dopadne na celou řadu nových subjektů a samotné NBÚ náklady na přípravu pro jednu organizaci opatření dle NIS/ZKB odhaduje na několik mil. Podle paní Duračinské však změny nejsou zásadní. Možná pro ni.

    • Zuzana Duračinská říká:

      Dobrý den,
      kolik subjektů nahlásilo kontaktní údaje národnímu CSIRTu zdělit nemůžeme. Vzhledem k tomu, že národní CERT doposud nepředával kontaktní údaje, úřad nemohl zjistit, nakolik jsou plněny povinností vyplývající ze zákona. Sankce za neplnění části povinností jsou sice poměrně vysoké, avšak týkají se jen menší části subjektů a jen několika specifických případů. Podle naší komunikace s NBÚ by měly být sankce uplatňovány jenom ve výjimečných případech.
      Co se týče nákladů na opatření dle ZKB, je důležité poznamenat, že do vysoké míry se požadavky ZKB prolínají s ISO 27001. Pokud organizace základní bezpečnostní pravidla dle této normy plní (bez ohledu na to, či formální certifikace má nebo nemá) náklady by měly být minimální. To, že pro některé organizace budou náklady na zavedení opatření dle ZKB resp. novely ZKB vyšší, je fakt.

Zanechte komentář