Září začalo v dynamickém regulačním tempu a lobbisti neví, kam dříve skočit. V CEVRO Institutu proběhla toto úterý konference na téma bezpečnosti dodavatelského řetězce v sítích elektronických komunikací v České republice. Ano, po konferenci v Poslanecké sněmovně v červenci tohoto roku a po dvou panelech na konferenci CyberCon v Brně minulý týden, je to další akce k tématu, jak nastavit mechanismus určení důvěryhodných dodavatelů do strategicky významné infrastruktury.
Téma je to super zajímavé, na konferenci vystoupilo pár řečníků s názorem, ale dokud na stole není paragrafovaný návrh, dá se celá tříhodinová akce shrnout takto:
Zástupci operátorů: „Bezpečnost dodavatelského řetězce je důležitá, ale my si to posoudíme sami, technicky to umíme.“
Zástupci NÚKIB a poslanci: „My vám to věříme, že to technicky umíte, ale bezpečnost dodavatelského řetězce není jen technika a my vám s tím rádi pomůžeme. Až budeme mít návrh zákona, budeme to s vámi zase rádi diskutovat, teď nás nechte pracovat.“
Rada EU a Evropský parlament dosáhly 22. července předběžné dohody o „Cestě k digitální dekádě“, která stanoví digitální vizi EU do roku 2030 (psali jsme zde).
Připomeňme, že předběžná dohoda drží původní digitální cíle, jichž má být dosaženo do roku 2030, a to:
1) digitálně kvalifikovaná populace s vysoce kvalifikovanými odborníky, včetně genderové vyváženosti,
2) bezpečné, odolné, výkonné a udržitelné digitální infrastruktury,
3) digitální transformace podniků, která bude vyžadovat, aby alespoň 75 % podniků v EU využívalo cloud computing, big data nebo umělou inteligenci, a
4) digitalizace veřejných služeb, která zahrnuje cíl, aby 100 % občanů EU mělo přístup k bezpečnému elektronickému průkazu totožnosti (EU wallet).
Předběžná dohoda rovněž vybízí země k účasti na přeshraničních projektech, které mají usnadnit dosažení digitálních cílů, a uvádí příkladný seznam činnosti, v nichž by takové projekty mohly být realizovány (například evropská infrastruktura blockchainových služeb, dovednosti a odborná příprava v oblasti kybernetické bezpečnosti).
V červenci 2022 vydala Evropská parlamentní výzkumná služba zajímavou studii s názvem „Splinternets“. V této studii zkoumá dopad nově přijímané digitální legislativy na digitální trh v Evropské unii (možná trochu pozdě?). Studie konstatuje, že legislativní iniciativy EU mohou být „považovány za hnací sílu pozitivních příležitostí, ale také za katalyzátor zhoršování“ možné roztříštěnosti internetu. Pokud jde o současné iniciativy, jako je Akt o digitálních službách (DSA), studie zdůrazňuje, že uložení povinnosti zprostředkovatelských služeb také poskytovatelům služeb DNS by mohlo být „v rozporu s vizí EU o jednotném a otevřeném internetu a s jejím závazkem k přístupu více zúčastněných stran při správě internetu“.
Pokud jde o předschválený návrh NIS 2, autoři studie zdůrazňují, že zahrnutí služby kořenových jmen do oblasti působnosti směrnice bude znamenat nový regulační dohled ze strany EU, což by potenciálně mohlo vést k protichůdným regulačním požadavkům, které by mohly způsobit roztříštění systému kořenových serverů. Studie nicméně zdůrazňuje, že některé současné iniciativy by mohly posílit model sjednocování internetu, například nařízení o elektronických důkazech, které by mělo extrateritoriální rozměr tím, že by zreformovalo přeshraniční přístup soudních orgánů k elektronickým důkazům.
Nařízení eIDAS „signalizuje ambice Evropské komise podporovat evropské normy ve vztahu k elektronické identifikaci a certifikaci internetových stránek“, a proto by podle závěrů studie mohlo mít efekt i na globální úrovni.
Tato zpráva je zajímavá v několika ohledech. Co je klíčové i z pohledu budoucích geopolitických konfliktů, tak celkem jasně poukazuje na fakt, že fragmentace internetu, resp. snaha se jí vyhnout, bude s největší pravděpodobností jednou z otázek, kolem nichž se v blízké budoucnosti přetvoří geopolitická a řídící rovnováha (nejen) internetu. A příklad (bohužel) už máme. Ať už se jedná o rusko-čínský přístup ke správě internetu nebo realizace kambodžského „kill-switche“. Mimochodem zajímavou přednášku k možnému odtržení Ruska od internetu měl výkonný ředitel sdružení CZ.NIC Ondřej Filip na brněnském CyberConu organizovaném Národním úřadem pro kybernetickou a informační bezpečnost. Záznam přednášky bude jistě brzy dostupný online.
Dne 25. srpna vydala Rada EU pod českým předsednictvím svůj třetí kompromisní návrh týkající se návrhu EUID. Cílem kompromisního návrhu je podpořit zavádění navrhovaných evropských peněženek pro digitální identitu jejich „bezproblémovou integrací do ekosystému veřejných a soukromých digitálních služeb, které jsou již zavedeny na vnitrostátní, místní nebo regionální úrovni, včetně řešení fungujících v přeshraničních regionech“. Kompromisní návrh rovněž předkládá nová ustanovení týkající se požadavků na kybernetickou bezpečnost pro poskytovatele důvěryhodných služeb. Zdůrazňuje například, že úkolem orgánů definovaných NIS 2 bude poskytovat dozorovým orgánům informace o tom, zda kvalifikovaní poskytovatelé důvěryhodných služeb dodržují opatření pro řízení rizik v oblasti kybernetické bezpečnosti podle článku 18 NIS 2 (tj. technická a organizační opatření, jako je analýza rizik, řešení incidentů).
V červenci 2022 vydal Evropský parlament také studii o evropské dimenzi PegasusGate v návaznosti na odhalení, že vlády po celém světě, včetně EU, používají software Pegasus ke špehování „novinářů, právníků, aktivistů, politiků a vysoce postavených státních úředníků“. Studie obsahuje seznam „nápadů“, které mají veřejnému i soukromému sektoru pomoci čelit hrozbě zneužívání špionážního softwaru.
Pro veřejný sektor by jednou z možných cest byla podpora kybernetické odolnosti prostřednictvím vládních pobídek a pověření k řízení rizik kybernetické bezpečnosti. Studie v této souvislosti zmiňuje, že sice není jisté, zda NIS 2 „přispěje k omezení útoků spywaru“, protože řízení rizik a ohlašovací povinnost by se s největší pravděpodobností „nevztahovaly na samotné spotřebitelské produkty nebo služby“. Nicméně může dojít k přelévání „ve prospěch odolnosti zařízení a služeb pro koncové uživatele“, například tam, kde „zmírnění zranitelnosti produktů a služeb pro koncové uživatele je předpokladem pro zajištění dostatečné kybernetické bezpečnosti“. Studie rovněž zmiňuje, že připravovaná regulace o kybernetické odolnosti, může „posílit smluvní povinnosti a uložit poskytovatelům povinnost informovat uživatele v případě, že se poskytovatel dozví o narušení bezpečnosti“.
Pokud jde o soukromý sektor, studie zdůrazňuje, že „plán ošetření zranitelností, správné postupy zveřejňování a rychlý cyklus identifikace a zmírňování zranitelností by mohly zvýšit kybernetickou odolnost“. Z těchto důvodů studie doporučuje, aby průmysl spolupracoval s občanskou společností a existoval zde dobrovolný systém výměny informaci o kybernetické odolnosti. Rovněž vyzývá zprostředkovatele služeb, aby odmítali nelegální vládní příkazy k provádění dohledu občanů, a společnosti, aby zavedly „postup náležité péče“ v oblasti lidských práv, „který by zahrnoval posouzení dopadu na lidská práva, klasifikaci rizik a vyčlenění opatření ke zmírnění dopadů“. Je to téma i v Česku? Kdo se toho chopí?