Do kritické infrastruktury státu nepatří například nemocnice nebo média, varoval Adam Kučínský, ředitel odboru regulace NÚKIB.
Praha 22. ledna 2025 – Pokud Poslanecká sněmovna omezí dosah částí zákona o kybernetické bezpečnosti řešících bezpečnost dodavatelského řetězce pouze na nejkritičtější části infrastruktury, mechanismus nebude správně fungovat. Na kulatém stolu společnosti APPSEC pro novináře to v pondělí řekl Adam Kučínský, ředitel odboru regulace Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Podle jeho slov sněmovní hospodářský výbor předložil pozměňovací návrh, podle něhož by se mechanismus prověřování dodavatelského řetězce netýkal vysoce důležité infrastruktury, do které spadají například dispečerské řídící systémy.
„Přes ty se řídí například energetické sítě, takže pokud bychom chránili pouze jádra těchto sítí, ale nikoli řídící body, postrádalo by to smysl,“ vysvětlil Kučínský s tím, že na omezování rozsahu působnosti zákona se NÚKIB jako předkladatel legislativy s nikým nedohodl. Úřadu naopak podle Kučínského nevadí, pokud by pravomoc rozhodovat o tom, které společnosti z dodavatelských řetězců představují bezpečnostní riziko, měla vláda, a nikoli přímo NÚKIB. K tomu podotkl Adam Paclt, generální ředitel bezpečnostní společnosti APPSEC: „Žádná vláda ani premiér nemají takové znalosti kybernetické bezpečnosti, aby sami od sebe dokázali rozlišit, jaká společnost představuje bezpečnostní riziko. Takže by stejně rozhodovali na základě doporučení NÚKIB.“
Proč je důležité řešit dodavatele nejen kritických částí infrastruktury?
Podle pozměňovacího návrhu hospodářského výboru Poslanecké sněmovny by o případném rozšíření účinnosti zákona i na dodavatele do vysoce důležitých infrastruktur mohla rozhodnout pouze vláda, a nebylo by to nativní součástí zákona. Takový proces by ale neúměrně časově prodloužil případný zásah proti potenciálnímu kybernetickému riziku, upozornil Adam Kučínský. Ředitel odboru regulace NÚKIB rovněž podotkl, že i vysoce důležité části infrastruktury jsou pro řádné zajištění kritických služeb nezbytné.
Proč nejsou nemocnice mezi kritickou infrastrukturou?
Nemocnice se stále častěji stávají terčem kybernetických útoků, při nichž dochází k částečné nebo úplné ztrátě citlivých dat. V současné době však nejsou nemocnice zařazeny mezi prvky kritické infrastruktury, protože kritéria, která jsou pro tuto oblast nastavena nařízením vlády, žádná nemocnice nesplňuje. Tento problém přetrvává roky a na řadě platforem na to upozorňujeme, nemáme však tuto oblasti v gesci a nejsme schopni s tím nic udělat, řekl Kučínský. Dopady narušení kybernetické bezpečnosti nemocnic jsou přitom velmi vážné.
„Nejde jenom o finanční ztráty. Známý je případ z německého Düsseldorfu, kde ransomwarový útok na nemocnici nepřímo vedl k úmrtí pacientky, kterou do nemocnice vezla sanitka k akutnímu zákroku. Ten však nebylo možné kvůli zašifrovaným zařízením provést a žena zemřela při převozu do jiné, vzdálenější nemocnice,“ upozornil Jan Kolouch, metodik kybernetické bezpečnosti sdružení CESNET. Ten také varoval před upřednostňováním levnějších dodavatelů technologických řešení pro kriticky důležité sítě oproti dražším, ale zpravidla bezpečnějším. Technologické firmy, na něž by se vztahovalo omezení výběru dodavatelského řetězce, by se ale podle Koloucha nemusely obávat, že je zákon okamžitě donutí změnit dodavatele. Současně upozornil na to, že nelze spoléhat jen na technologická řešení, ale je třeba vhodně nastavit procesy v regulované organizaci, jakož i budovat dostatečné lidské kapacity na zavádění a řešení kybernetické bezpečnosti. Právě procesy a lidé jsou mnohdy důležitější než technologie.
Nebude rozhodovat nikým nevolený úředník z Brna, ujišťuje NÚKIB
„Pokud by zákon prošel legislativním procesem tak, že by platil od 1. července, jak se nyní předpokládá, účinnost těchto opatření by byla posunuta v řádu měsíců, aby se na to všechny subjekty mohly včas připravit,“ řekl Jan Kolouch. Podle Adama Kučínského je důležité, aby nový zákon o kybernetické bezpečnosti, který do české legislativy zavádí evropskou bezpečnostní směrnici NIS 2, byl schválen ještě během letošního prvního pololetí. „Pokud se to nestihne, další schvalovací proces bude ovlivněn podzimními parlamentními volbami, a to by znamenalo oddálení minimálně o rok, možná i o dva. Už teď Česká republika nesplňuje lhůtu pro transpozici směrnice NIS 2 a hrozí nám kvůli tomu vysoká pokuta,“ podotkl Adam Kučínský, který zároveň vyvrátil několik mýtů, které provázejí schvalování nového kyberzákona.
„Často se objevuje názor, že jsme byli při tvorbě zákona papežštější než papež nebo že jako jediná země zavádíme mechanismus bezpečnosti dodavatelských řetězců. To ale není pravda, naopak jsme jedni z mála v Evropě, kteří ho ještě nemají,“ upozornil Kučínský, podle něhož také neplatí, že v případě přijetí zákona bude na naplňování zákona dohlížet „nikým nevolený úředník z Brna“. „NÚKIB spadá pod vládu a vláda jmenuje i odvolává jeho ředitele. Zároveň je NÚKIB kontrolován poslaneckou komisí, tedy na NÚKIB dohlíží jak moc výkonná, tedy vláda, tak moc zákonodárná, tedy sněmovna. Navíc NÚKIB v rámci svých činností a rozhodování musí postupovat podle správního řádu a samozřejmě podléhá také kontrole moci soudní. Rozhodně to není tak, že si NÚKIB může dělat, co chce,“ vysvětlil Adam Kučínský.
Poslanecká sněmovna zahájila na včerejší schůzi druhé čtení zákona, během něhož jednala o pozměňovacích návrzích výborů i jednotlivých zákonodárců. Návrh zákona a pozměňovací návrhy se nyní vrátí na garanční výbor, který k pozměňovacím návrhům zaujme stanovisko a následně se o návrhu zákona a o pozměňovacích návrzích bude hlasovat na plénu Poslanecké sněmovny. Záznam z druhého čtení je dostupný zde: 127. schůze Poslanecké sněmovny – Odpolední jednání od: 21.01.2025 14:00 do: 21.01.2025 21:01
O APPSEC
APPSEC je projekt společnosti Apptc.me s.r.o., která se zabývá privátními a public řešeními pro cloud orchestraci, kde je aspekt bezpečnosti velkou prioritou. Společnost Apptc.me s.r.o. se rozhodla sdílet své zkušenosti s bezpečností prostřednictvím projektu APPSEC a pomáhat tak zákazníkům s širokou škálou palčivých problémů, se kterými se dnes v informační bezpečnosti můžeme setkat.