EU version

Bezpečné vlaky a letiště? Kyberbezpečnostní zákon a NIS 2 ovlivní i dopravní sektor

Bezpečné vlaky a letiště? Kyberbezpečnostní zákon a NIS 2 ovlivní i dopravní sektor
foto: vygenerováno AI/ilustrativní obrázek
09 / 11 / 2024

Česko zpřísňuje ochranu kritických systémů v dopravě – NIS 2 a nový zákon o kyberbezpečnosti pod taktovkou NÚKIB má zajistit bezpečnější infrastrukturu. Jaká nová pravidla čekají dopravní firmy a jak může sektor ovlivnit ochrana před kyberhrozbami?

Dne 30. října hostila Hospodářská komora ČR setkání odborníků k projednání nového návrhu zákona o kybernetické bezpečnosti, vycházejícího z evropské směrnice NIS 2, kterou připravil Národní úřad pro kybernetickou bezpečnost (NÚKIB). Setkání organizovala Dopravní sekce Hospodářské komory, vedená Janem Sechterem.

Návrh zákona, který NÚKIB předložil, reflektuje požadavky evropské legislativy na bezpečnost síťových a informačních systémů (NIS 2). Zákon prošel prvním čtením v Poslanecké sněmovně a nyní je v rámci příslušných výborů připravován k dalšímu projednání a úpravám. V listopadu mají členové výborů možnost se detailně věnovat různým aspektům návrhu a navrhovat změny, které by usnadnily implementaci nových pravidel a zohlednily potřeby specifických odvětví, včetně sektoru dopravy, aniž by došlo k narušení základních principů a cílů směrnice.

NIS 2 a podoba zákona o kybernetické bezpečnosti, spolupráce s NÚKIBem je klíčovým faktorem

 

Účelem jednání, které vedl předseda Dopravní sekce Jan Sechter, bylo získat konkrétní odpovědi od zástupců NÚKIBu a diskutovat, jak se nové požadavky dotknou podniků v oblasti dopravy a dopravní infrastruktury. Podle návrhu zákona je totiž sektor dopravy zařazen mezi Strategicky významné služby, což znamená, že případné narušení jeho bezpečnosti by mohlo mít vážné dopady na stabilitu a bezpečnost České republiky.

Jan Sechter zdůraznil, že pro efektivní implementaci zákona je nezbytná intenzivní komunikace s NÚKIBem. Tato spolupráce má přispět k lepšímu pochopení specifických potřeb různých odvětví kritické infrastruktury, jako je doprava. Jak informoval portál Security Magazín, kromě telekomunikačních a technologických firem by se do dialogu měly více zapojit i podniky působící v železniční dopravě a infrastruktura, aby byly jejich zájmy zohledněny a konkurenceschopnost zachována.

 

Komplexní změny pro podniky: Nový zákon o kybernetické bezpečnosti a směrnice NIS 2

 

JUDr. Daniela Kovalčíková, právní expertka, vyjádřila na setkání řadu obav, které mají podniky ohledně návrhu nového zákona o kybernetické bezpečnosti. Podle ní podniky stále nemají jasnou představu, jak se v návrhu o dvou stovkách stran zorientovat a zjistit, zda se na ně nová pravidla vztahují, včetně toho, zda se budou řídit přísnějšími podmínkami pro strategicky významné subjekty, nebo na ně dopadnou mírnější požadavky. Směrnice NIS 2 je účinná od 18. října, a i když Evropská komise již vydala prováděcí nařízení, které se stane účinným 18. listopadu, pro podniky zůstává řada nejasností.

Zástupci NÚKIBu, konkrétně Jiří Dočekal a Patrik Fráňa, vysvětlili, že směrnice NIS 2 zásadně rozšiřuje počet subjektů, které budou muset dodržovat nové kybernetické bezpečnostní standardy, a to napříč celým spektrem odvětví. Přijetí příslušného zákona a jeho prováděcích vyhlášek se očekává k 1. červenci 2025. Současná legislativa, která platí od roku 2015, již vyžaduje rozsáhlou aktualizaci a úpravu, zejména s ohledem na rychlý rozvoj digitálního prostoru a nová bezpečnostní rizika.

NIS 2 a zákon o kybernetické bezpečnosti NÚKIB definuje nové přístupy

 

Diskuse mezi zástupci NÚKIBu, podniků a regulačních institucí zdůraznila, že se prozatím pro podniky nic zásadního nemění. Jak uvedl Security Magazín, má zákon postupně zavést povinnosti pro zhruba 6000 organizací, přičemž upravuje požadavky pro více než 107 služeb ve 22 odvětvích, od energetiky přes zdravotnictví až po veřejnou správu a dopravu. Kritéria pro výběr subjektů se zaměřují především na velikost podniku, jeho zaměstnaneckou strukturu a finanční profil.

Subjekty budou rozděleny do dvou kategorií podle rozsahu povinností, které mají dodržovat. Pravidla budou performativní, což znamená, že zodpovědnost za dosažení požadované úrovně kybernetické bezpečnosti bude v rukou jednotlivých organizací. Zástupci NÚKIBu zdůraznili, že u podniků s nižšími povinnostmi mnoho nového zaváděno nebude – většina již základní kybernetická opatření plní.

Klíčová pozornost se soustředí na bezpečnost dodavatelských řetězců, kde se přísnější povinnosti budou vztahovat na přibližně 150 poskytovatelů strategicky významných služeb. V případě, že některý z poskytovatelů podá hlášení o bezpečnostně významné dodávce, NÚKIB ve spolupráci s ministerstvy a bezpečnostními institucemi posoudí potenciální rizika a v případě potřeby přijme opatření obecné povahy, která budou předložena Bezpečnostní radě státu k vydání.

 

Smlouvy jako rizikový faktor pro zákon o kybernetické bezpečnosti a NIS 2

 

Během setkání zaznělo, že zákaz spolupráce s rizikovými dodavateli by měl být až posledním krokem. Lze mu předejít dobře zvolenými bezpečnostními opatřeními, která zajistí ochranu a kontinuitu strategických služeb. Zástupci organizací rovněž diskutovali roli vlády, zvláště v kontextu případných soudních sporů, pokud by odmítnutý dodavatel požadoval odškodnění. V situaci, kdy by vláda návrh opatření pouze projednala a neschválila, by hlavní odpovědnost nesl NÚKIB, což by oslabilo pozici organizací napadených za nedodržení smluvních podmínek.

Jiří Dočekal z NÚKIBu upozornil na skutečnost, že v oblasti kybernetické bezpečnosti představuje špatně napsaná smlouva jeden z největších rizik hned po lidském faktoru. Přísnější pravidla v sektoru dopravy se budou primárně týkat výstavby a provozu infrastruktury, zatímco ostatní subjekty budou muset splňovat nižší nároky, které již většina z nich v praxi aplikuje. Detailní a přesná definice požadavků v zákoně i vyhláškách je proto zásadní, aby organizace mohly efektivně fungovat v předvídatelném právním prostředí.

Reklamní aktivity třetích stran a implementace směrnice NIS 2

 

Jan Sechter upozornil na agresivní reklamní kampaň externích firem, které nabízejí podnikům poradenství v oblasti NIS 2 a její implementace. Jelikož návrh zákona dosud prochází Poslaneckou sněmovnou a prováděcí vyhlášky ještě neprošly připomínkovým řízením, jsou tyto marketingové aktivity často zavádějící. Vzhledem k tomu, že konečná podoba pravidel není dosud určena ani samotným NÚKIBem, je reálná implementace nemožná.

Diskuse mezi NÚKIBem a zástupci podniků byla nicméně označena za přínosnou a naznačila, jak důležité je dosáhnout společné shody při úpravě zákona a vyhlášek. Další vývoj bude záviset na průběhu legislativního procesu a jednáních výborů Poslanecké sněmovny

pastedGraphic.png

Zdroje: Security Magazín

Tagy