foto: Knorr-Bremse / Public domain/Cybersecurity in rail transport
Hackerským útokům čelí i česká železnice. NÚKIB se proto zaměřil na kyberbezpečnost provozu na kolejích. Jaké jsou nové povinnosti pro dopravce?
Legislativním procesem nyní prochází návrh nového zákona o kybernetické bezpečnosti. Byť jej nyní Legislativní rada vlády vrátila předkladateli, Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), zákon by měl přinést řadu novinek, přičemž tou nejzásadnější je mimo jiné i rozšíření počtu povinných osob. NÚKIB odhaduje, že zákon se oproti současnému stavu dotkne nejméně až patnáctinásobně více subjektů, protože přinese tzv. prověřování bezpečnosti dodavatelského řetězce.
Dalšími novinkami by měly mimo jiné být i změny způsobu identifikace tzv. povinných osob, doplnění požadavků na zavádění bezpečnostních opatření, nové požadavky na proces hlášení kybernetických bezpečnostních incidentů, větší odpovědnost vrcholného managementu povinných osob za zajišťování kybernetické bezpečnosti, zvýšení pokut a nové formy správního trestání apod. Novinek je opravdu hodně a s ohledem na to je ostatně vydáván i zcela nový zákon a starý zákon č. 181/2014 Sb., o kybernetické bezpečnosti, by měl být s účinností nového zákona, která je nyní směřování k datu 18. října 2024, zrušen. O tom, zda bude možné plánovanou účinnost dodržet po nynějším zásahu Legislativní rady vlády, jsou nicméně velké pochybnosti.
Návrh zákona zachovává a rozpracovává čtyři základní povinnosti uložené tzv. regulovaným osobám: hlášení údajů, zavádění a provádění bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a provádění protiopatření. Nově ale přibývá pátá základní povinnost, kterou je stanovení rozsahu řízení kybernetické bezpečnosti.
Dosavadní princip, kdy právní regulace byla spíše minimalistická, je opouštěn, a to na základě transpozice povinností ze směrnice 2022/2555 o opatřeních k zajištění vysoké úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) č. 2018/1972 a o zrušení směrnice (EU) č. 2016/1148. Pro tuto směrnici, která byla vydána již 14. prosince 2022, je zažitý název NIS2.
Směrnice NIS2 byla vydána z několika důvodů. Jednak dlouhodobě dochází k prudkému rozšíření prostředí kybernetických hrozeb, kdy i ministr dopravy Martin Kupka (ODS) v rozhovoru pro The Financial Times uvedl, že se Rusko opakovaně pokusilo ochromit evropskou železniční síť, přičemž se jedná o dlouhodobou snahu Moskvy destabilizovat Evropskou unii a sabotovat její kritickou infrastrukturu.
Psali jsme
Redakce RAILTARGET přináší rozhovor s CEO společnosti VP Rail Consult, Veronikou Petrovou. Vlajkovým produktem její společnosti je nejen Monitoring…
Druhým důvodem k vydání NIS2 nicméně byla roztříštěnost národních úprav členských států, které měly škodlivý účinek na fungování jednotného trhu a ohrožovaly kybernetickou bezpečnost Evropské unie jako celku. Roztříštěnost se projevovala mimo jiné i v oblasti určení subjektů, na které dopadaly povinnosti podle NIS1, takže se přistoupilo k jednotnému stanovení kritérií, na něž dopadají povinnosti podle směrnice NIS2. Takovým kritériem pak je zejména velikost dané společnosti, ale hlavně to, aby tyto společnosti vykonávaly klíčovou úlohu pro společnost, ekonomiku nebo pro konkrétní odvětví či druhy služeb. Směrnice NIS2 tak zavádí dvě kategorie povinných subjektů: základní subjekty a důležité subjekty, a to s přihlédnutím k míře kritické důležitosti, pokud jde o odvětví nebo druh služby, kterou tyto společnosti poskytují.
V příloze I směrnice NIS2 jsou pak vydefinována vysoce kritická odvětví, přičemž mezi ně patří jako doprava letecká, vodní nebo silniční, ale i železniční. Z ní pak jde o provozovatele železniční infrastruktury ve smyslu čl. 3 bodu 2 směrnice č. 2012/34/EU (jde tedy o každý subjekt nebo podnik pověřený zejména zřízením, správou a udržováním železniční infrastruktury, včetně řízení dopravy a zabezpečení a signalizace, v českém prostředí tedy hlavně Správa železnic), ale i o železniční podniky podle čl. 3 odst. 1 téže směrnice (veřejné nebo soukromé podniky, jejichž hlavní činností je železniční přeprava zboží nebo cestujících, přičemž tento podnik zajišťuje trakci; jsou zde rovněž zahrnuty podniky, které pouze poskytují trakci) anebo tzv. provozovatele zařízení služeb podle čl. 3 odst. 12 téže směrnice. Za ty jsou považovány veřejné nebo soukromé subjekty odpovědné za řízení jednoho nebo více zařízení služeb nebo za poskytování jedné nebo více služeb železničním podnikům uvedených v příloze II bodech 2 až 4 téže směrnice (jde například o služby osobních nádraží, nákladních terminálů, odstavných kolejí, poskytování trakčního proudu, poskytování telekomunikačních služeb apod.).
Obdobně i návrh zákona o kybernetické bezpečnosti vnímá dopravu jako jedno z odvětví, pro která jsou stanovena kritéria pro identifikaci regulované služby s tím, že v jejich rámci mají být prováděcím právním předpisem vydaným ze strany NÚKIB stanovena kritéria pro identifikaci regulované služby. Samotný zákon se ale v otázce definice odvětví, pododvětví a subjektu obrací zpětně na směrnici NIS2, takže lze předpokládat, že okruh povinných subjektů bude totožný se směrnicí a zákon tak bude dopadat na největší české dopravce a přepravce, jako jsou České dráhy, a.s., anebo ČD Cargo, a.s.
Novinkou, která se dotkne i hodně subjektů na železnici, jsou nové požadavky na řešení problematiky bezpečnosti dodavatelského řetězce. Nově by poskytovatelé regulovaných služeb měli provádět tzv. prověřování bezpečnosti dodavatelského řetězce, čímž se myslí především to, že tento poskytovatel bude mít povinnost zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele, tyto požadavky bude muset zasmluvnit a v případě nějakého bezpečnostního rizika případně takový smluvní vztah ukončit.
K zavedení prověřování dodavatelského řetězce mířila i zásadní připomínka Ministerstva dopravy, které na jednu stranu uznává nezbytnost bezpečných dodavatelských vztahů, ale na straně druhé poukazovalo na možnost selekce možných dodavatelů tak, že zbydou pouze dodavatelé realizující dodávky za ekonomicky neúnosných podmínek. Z této připomínky nicméně ministerstvo ustoupilo a zákon se tak dostal na projednání Legislativní rady vlády, která jej, jak bylo zmíněno výše, vrátila předkladateli.
„Nutno říct, že zákon obsahoval řadu nejasností a velkou část právní úpravy ponechával až na prováděcí vyhlášky NÚKIB. V tomto ohledu lze tedy hodnotit důvody Legislativní rady vlády k vrácení návrhu k přepracování rozhodně kladně. I pro naše klienty z řad železničních společností bylo velmi těžké hodnotit konkrétní dopady, neboť zákon je neobsahoval. Situace je o to složitější, že nově mají být prověřovány i dodavatelé těchto firem, tedy jen samotná příprava na implementaci nové právní úpravy nebude úplně snadná. S napětím očekáváme, jaká bude nová verze zákona“, uvedla Veronika Petrová, CEO společnosti VP Rail Consult.
Co vlastně bude znamenat tento zákon pro dodavatele českých železničních gigantů a na základě čeho byl návrh zákona vrácen k přepracování si rozebereme v dalších článcích tohoto seriálu.