Další krok v řešení výzev kyberbezpečnosti
Bezpečnost v digitálním prostředí je významným tématem posledních let a je zřejmé, že této otázce bude všeobecně nutné i v budoucnu věnovat zvýšenou pozornost. Evropský rámec pro certifikaci kybernetické bezpečnosti má za cíl zaručit vyšší standard kybernetické ochrany a bezpečnosti jak pro nabízené produkty, služby a procesy, tak pro koncového uživatele. Není přitom zásadní, v jakém postavení se nacházíte, neboť téma kyberbezpečnosti se týká jak jednotlivců, obchodních společností, tak i států a jeho orgánů. Ostatně v souvislosti s kyberbezpečností jsme již několikrát publikovali na blogu HAVEL & PARTNERS na téma kyberbezpečnosti: Kybernetické útoky – nelehká ochrana, závažné následky, KYBERBEZPEČNOST V DOBĚ COVIDOVÉ, nebo Předcházet kyberútokům se vyplatí, zvlášť v době koronaviru.
Unijní a národní předpisy
V rámci zlepšení kybernetické odolnosti a zvýšení standardu ochrany učinila Evropská unie již v roce 2019 zásadní krok, když bylo přijato Nařízení Evropského Parlamentu a Rady (EU) 2019/881 („Akt o kybernetické bezpečnosti“). Ten zavádí komplexní systém certifikace kybernetické bezpečnosti napříč Evropou, přičemž vybrané povinnosti musí členské státy reflektovat i na národní úrovni. Úvod do problematiky názorně shrnuje materiál Evropské rady a Rady Evropské Unie s názvem: Kybernetická bezpečnost: jak EU řeší kybernetické hrozby (dostupný zde). Základním smyslem regulace je zvýšení důvěry v produkty, služby a procesy v oblasti informačních a komunikačních technologií skrze certifikaci jejich bezpečnosti. Tato jednotná evropská certifikace osvědčí, že produkty, služby a procesy splňují stanovené bezpečnostní požadavky Aktu o kybernetické bezpečnosti co do ochrany dostupnosti, důvěrnosti a integrity.
S blížícím se termínem pro splnění povinností byla již v předchozím roce předložena novela zákona o kybernetické bezpečnosti („Novela“), jejímž je adaptace českého právního řádu a reflektování požadavků Aktu o kybernetické bezpečnosti. Novela ovšem v příslušném volebním období nebyla projednána. S ohledem na skutečnost, že lhůta pro adaptaci právního řádu na Akt o kybernetické bezpečnosti uplynula dne 28. června 2021, byla udělena výjimka z povinnosti provést k návrhu zákona meziresortní připomínkové řízení, návrh Novely schválila vláda (dostupné zde), a nynější Sněmovna chce požádat, aby poslanci s Novelou vyslovili souhlas rovnou v prvním čtení.
Celounijní certifikace kybernetické bezpečnosti
V současné době neexistuje v rámci Unie ucelený systém certifikace kybernetické bezpečnosti produktů, služeb a procesů. Pokud již nějaký rámec existuje, pak převážně na úrovni členských států nebo v rámci určitého průmyslového odvětví. Je tedy zřejmé, že i případná osvědčení vykazují významné nedostatky, liší se z hlediska pokrytí produktů, úrovní záruk, podstatných kritérií; jejich faktické využití je tak limitováno, když nejsou a ani nemohou být uznávaná napříč členskými státy. Žadatelé proto musí podstoupit certifikaci v několika členských státech, a tím se i zvyšují jejich náklady. Právě na tyto problémy míří Akt o kybernetické bezpečnosti, který vytváří Evropský rámec pro certifikaci kybernetické bezpečnosti, který bude jednotně zaveden ve všech členských státech Unie.
Styčným bodem Evropského rámce bude Evropská agentura pro bezpečnost sítí a informací (ENISA), která tímto významně posílí na svém mandátu a stane se z ní stálá agentura EU pro kybernetickou bezpečnost. ENISA bude také koordinovat jednání členských států, orgánů EU a dalších zúčastněných stran v oblasti kyberbezpečnosti. ENISA bude také provozovat internetovou stránku poskytující informace o evropských systémech certifikace kybernetické bezpečnosti, o evropských certifikátech kybernetické bezpečnosti a EU prohlášeních o shodě, včetně informací o zrušení a pozbytí platnosti těchto certifikátů a prohlášení.
Novelou má být Národní úřad pro kybernetickou a informační bezpečnost („NÚKIB“) určen tzv. vnitrostátním subjektem certifikace kybernetické bezpečnosti. NÚKIB bude dohlížet na dodržování pravidel zahrnutých v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, v příslušných případech autorizovat nebo pověřovat subjekty posuzování shody k udělování certifikací a řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti. V návaznosti na svoji novou pozici vydal NÚKIB podpůrný materiál s názvem Evropský rámec certifikace kybernetické bezpečnosti (dostupný zde), který výstižně shrnuje celou problematiku.
Dalšími subjekty v procesu certifikace jsou Český institut pro akreditaci (ČIA), jako tzn. vnitrostátní subjekt akreditace, a posledním článkem jsou tzn. subjekty posuzování shody (CAB). Tyto subjekty posuzování shody (CAB) musí získat akreditaci od ČIA, případně autorizaci od NÚKIB, a poté mohou udělovat jednotlivé certifikace v rámci daného certifikačního systému. Akreditace bude vydávána na období nejvýše pěti let a je možné ji obnovit za stejných podmínek.
Proces certifikace produktů, služeb a procesů
Evropský systém certifikace kybernetické bezpečnosti počítá s vícero úrovněmi záruky, a to záruka „základní“, „významná“ nebo „vysoká“. Úroveň záruky je přiměřená úrovni rizika z hlediska pravděpodobnosti a dopadu incidentu, jež je spojeno se zamýšleným použitím produktu, služby nebo procesu. Akreditace bude vydávána na období nejvýše pěti let a je možné ji obnovit za stejných podmínek. Certifikace bude dobrovolná, pokud nebude závazným předpisem stanoveno jinak.
Jakmile bude přijat evropský systém certifikace kybernetické bezpečnosti, budou žadatelé moci podle své volby kdekoli v Unii předložit subjektu posuzování shody (CAB) žádost o certifikaci svých produktů nebo služeb, přičemž žadatelem může být fyzická nebo právnická osoba. V návaznosti na úspěšné hodnocení produktu, procesu či služby bude udělena certifikace a vydán evropský certifikát kybernetické bezpečnosti. V závislosti na úrovni záruky by evropský systém certifikace kybernetické bezpečnosti měl uvádět, zda evropský certifikát kybernetické bezpečnosti vydal soukromý nebo veřejný subjekt. Evropský certifikát kybernetické bezpečnosti se vydává na dobu určenou evropským systémem certifikace kybernetické bezpečnosti a může být obnoven, budou-li nadále plněny příslušné požadavky.
Certifikáty vydané v rámci těchto systémů budou platit ve všech zemích EU, a tím vznikne jednotný systém, díky kterému koncoví uživatelé snadněji získají důvěru v bezpečnost těchto technologií. Naopak společnostem usnadní tento systém přeshraniční podnikání a zajistí certifikaci napříč Unií.
Pokud máte zájem o evropskou certifikaci kybernetické bezpečnosti nebo se chcete dozvědět více o možném dopadu jednotného certifikačního systému na Vaše podnikání, rádi pro Vás připravíme komplexní službu na míru. Naše kontakty naleznete na uvedeném odkazu.
Zdroje článku
- Kybernetické útoky – nelehká ochrana, závažné následky /blog/kyberneticke-utoky-nelehka-ochrana-zavazne-nasledky/251
- KYBERBEZPEČNOST V DOBĚ COVIDOVÉ https://www.havelpartners.cz/kyberbezpecnost-v-dobe-covidove/
- Předcházet kyberútokům se vyplatí, zvlášť v době koronaviru http://www.havelpartners.blog/blog/predchazet-kyberutokum-se-vyplati-zvlast-v-dobe-koronaviru/191
- zde https://www.consilium.europa.eu/cs/policies/cybersecurity/
- zde https://apps.odok.cz/veklep-detail?pid=KORNC8UR9WB3
- zde https://www.nukib.cz/download/publikace/vyzkum/Evropsky_ramec_certifikace_kyberneticke_bezpecnosti.pdf
- uvedeném odkazu https://www.havelpartners.cz/