Štítek: BDO

Pro firmy bude mít zákon o kybernetické bezpečnosti značný dopad, připravovat by se měly již nyní

Nový zákon o kybernetické bezpečnosti by měl být účinný nejpozději od října 2024. Aktuálně se návrh nachází v mezirezortním řízení a na přelomu léta a podzimu by měl být podstoupen Legislativní radě vlády. Do Poslanecké sněmovny by návrh zákona měl doputovat v průběhu listopadu 2023.

Vznikající zákonná úprava vychází z evropské směrnice NIS2 přijaté v prosinci 2022, která zavazuje subjekty v rámci EU, aby zajistily bezpečnost svých sítí a informačních systémů. Nová pravidla by se mohla podle dřívějších odhadů NÚKIB týkat více než 6 000 subjektů v Česku. Podle stávajících pravidel je povinných osob přibližně 400.

Nejdůležitější principy zákona

Nový zákon zavede nový postup pro určování povinných osob, a to zásadním způsobem a dojde k dramatickému nárůstu těchto povinných osob. Regulace dopadne především na střední a velké podniky.

Kromě zákonem vyjmenovaných služeb, které subjekty poskytují, bude pro určení povinných subjektů rozhodující i jejich velikost. Jsou definovány dva režimy povinností. Do vyššího, označovaného jako „essential“ by měla spadat zhruba tisícovka povinných subjektů, zbývající by měly naplňovat kritéria pro nižší režim označovaný jako „important“. Poskytovatelé by měli podle předpisu vyhodnotit sami, zda kritéria naplňují, NÚKIB ale bude moci zaregistrovat povinný subjekt podle vlastního vyhodnocení hodnotících kritérií.

Kromě kontaktních a dalších povinných údajů budou povinné subjekty muset nahlásit i kybernetické bezpečnostní incidenty a své zákazníky o incidentech a hrozbách informovat.

Povinné subjekty, které poskytují tzv. klíčové služby, budou mít povinnost zajistit bezpečnost dodavatelského řetězce. Tato pravidla se mají podle odhadu NÚKIB týkat asi 150 subjektů zařazených do kategorie strategicky významné infrastruktury státu. Jde například o subjekty z oblasti veřejné správy, energetiky, letecké a drážní dopravy, ale také poskytovatele digitální infrastruktury a služeb.

Mechanismus pro prověřování dodavatelů má umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury.

Dopad na regulované firmy bude značný

Tím, že s novým zákonem se značně rozšíří počet povinných osob, můžeme říct, že dopad na některé organizace bude velmi vysoký. Řeč je o subjektech, na které se stávající zákon o kybernetické bezpečnosti nevztahoval a jejich úroveň kybernetické bezpečnosti není příliš vysoká. Jistou výhodu zde mají subjekty, které jsou již v současné době regulovány, případně podniky, které mají dobře a funkčně implementováno ISO 27001, což může být dobrým začátkem.

Organizace, které budou novým zákonem ovlivněny, by v současné době měly aktivně sledovat legislativní dění a proces tak, aby měly k dispozici aktuální informace. Již z návrhů zákona a vyhlášek, které byly zveřejněny pro veřejné připomínky lze dobře připravit metodiku pro následnou implementaci jednotlivých opatření do prostředí organizace. V souvislosti s plánem jednotlivých částí je dobrým doporučením tvorba harmonogramu tak, aby organizace stihla zavést všechna opatření a vyplývající povinnosti včas.

Pro subjekty je velmi vhodné určit rozsah řízení kybernetické bezpečnosti a identifikovat primární a podpůrná aktiva. V souvislosti s tím by mělo dojít k revizi směrnic a interních předpisů, případně k jejich úpravě. Je vhodné také revidovat dodavatelské smluvní vztahy a zakotvenou oblast kybernetické bezpečnosti v nich.

Pokud v organizacích již neprobíhá školení zaměstnanců v oblasti kybernetické bezpečnosti v rámci rozvoje bezpečnostního povědomí, je také vhodné i nyní vytvořit metodiku, způsob a plán těchto školení a začlenit je do procesů organizace. Školení se v novém zákoně netýká pouze zaměstnanců, ale povinnost zvyšovat svoje bezpečnostní povědomí má i vrcholové vedení, které se musí školení účastnit.

Za nedodržování hrozí milionové sankce

Nový zákon s sebou přináší také razantní změny ve výši možných sankcí a pokut v případě nenaplnění zákonných povinností. Za přestupek bude možné uložit pokutu až do výše 250 mil. Kč nebo do výše 2 % čistého celosvětového ročního obratu v případě osob ve vyšším režimu plnění a do výše 175 mil. Kč nebo do výše 1,4 % čistého celosvětového ročního obratu v případě osob v nižším režimu povinností. Rozhodující částkou bude vždy ta vyšší.

V případě nesplnění povinností je dále možné pozastavit platnost certifikace o zajištění kybernetické bezpečnosti regulované službě v režimu vyšších povinností, a to až do doby odstranění nedostatků, které byly při kontrole zjištěny, nejméně však na 6 měsíců.

Soud může rovněž na základě návrhu NÚKIB pozastavit výkon řídící funkce až do doby odstranění zjištěných nedostatků, nejméně opět na 6 měsíců. Tento postih může být udělen opět regulovaným službám ve vyšším režimu plnění povinností, které opakovaně nebo závažně porušují povinnosti.

Pořádkové pokuty mohou být NÚKIBem ukládány do výše 100 000 Kč, a to i opakovaně. Jejich celková výše však nesmí přesáhnout 10 mil Kč. Nebo 1 % čistého obratu za poslední ukončené účetní období. Rozhodující je opět vyšší částka.

Legislativní proces

NÚKIB po uzavření diskuze s veřejností chtěl návrhy nového zákona posunout dále do mezirezortního připomínkového řízení původně v květnu 2023, což nebylo realizováno a dojde ke zpoždění jednoho až dvou měsíců. Očekává se však, že v průběhu června by měly být upravené návrhy zákona již v mezirezortním řízení.

Celkově NÚKIB obdržel v rámci diskuze s veřejností 1144 unikátních podnětů. Všechny tyto podněty i s vyjádřením jsou anonymně zveřejněny. 42 % podnětů bylo neakceptováno. 15 % bylo akceptováno plně, to znamená, že nebylo třeba terminologii ani formulace, 22 % podnětů bylo akceptováno jinak, tzn. že byly přeformulovány a zbylých 21 % byly podněty spíše dotazového typu, na které by mělo být odpovězeno.

Nový zákon by měl projít legislativní radou vlády v průběhu srpna 2023, přičemž s ohledem na již zřejmý posun v případě mezirezortního řízení lze odhadnout další posun opět v horizontu 1-2 měsíců. Do poslanecké sněmovny by zákon měl putovat na konci roku 2023.

Zákon by měl nabýt platnost nejpozději 17. října 2024 tak, jak vyplývá z požadavků NIS2.

Řízení dodavatelů podle návrhu nového kybernetického zákona

Řízení dodavatelů je velmi důležitou součástí kybernetické bezpečnosti, zejména z důvodu rizik, které plynou z těchto vztahů. NIS2 s sebou přináší povinnost řízení celého dodavatelského řetězce. Mechanismus prověřování bezpečnosti dodavatelského řetězce a řízení rizik se bude týkat osob regulovaných ve vyšším režimu plnění povinností. V tomto kontextu je rovněž připravována vyhláška o kritériích rizikovosti dodavatele, která definuje způsob vyhodnocení rizikovosti.

Stávající legislativa a hlavní principy

Stanovení bezpečnostních požadavků dodavatele je součástí organizačních opatření. V současném Zákoně o kybernetické bezpečnosti č. 181/2014 Sb. jsou dodavatelé uvažováni v §4 odst. 4 a ve Vyhlášce č. 82/2018 Sb. v § 8. Požadavky na smlouvy s dodavateli jsou ukotveny v příloze č. 7 vyhlášky.

V současné době je nutné stanovit pravidla pro dodavatele, která zohledňují požadavky bezpečnosti informací, evidovat všechny významné dodavatele a informovat je o evidenci, seznamovat je s pravidly organizace, řídit rizika plynoucí z jejich vztahu a napravovat zjištěné nedostatky. Smlouvy s významnými dodavateli by měly zahrnovat požadavky na bezpečnost informací, užívání dat, autorství, kontrolách či auditu, řetězení dodavatelů, řízení změn, ukončení smlouvy, řízení kontinuity, likvidace dat, sankcích aj. Smlouvy by měly být organizací pravidelně přezkoumávány z pohledu bezpečnosti informací a případně vydán návrh na úpravu či jejich doplnění.

Pokud se jedná o veřejnou zakázku, postupuje se v souladu se Zákonem o veřejných zakázkách č. 134/2016 Sb. Před jejím zadáním se provádí hodnocení rizik předmětu plnění veřejné zakázky je nutné zohlednit výsledky z analýzy při výběru dodavatele.

Pokud se NÚKIB dozví o hrozbě dodavatele v oblasti kybernetické bezpečnosti, může vydat varování, které pro povinné osoby není závazné, avšak doporučující.

Nové podmínky kyberbezpečnosti

Návrh nového zákona principiálně přebírá požadavky z dosavadního zákona, ale najdeme v něm několik změn. Dosavadní kategorie „provozovatelů“ je zrušena, ale jsou zachováni významní dodavatelé. Největší změnou, jak už bylo zmíněno, je povinnost řídit celý dodavatelský řetězec. Tato povinnost se bude týkat subjektů ve vyšším režimu plnění povinností a zároveň by se měla týkat pouze dodávek do stanovených částí významné a kritické infrastruktury. Povinné osoby budou zjišťovat a evidovat informace o dodavatelích významných dodávek a v případě změny budou reportovat NÚKIBu.

Dodavatelé budou posuzovány na základě jejich rizikovosti. Kritériem pro rizikovost je dle navrhované vyhlášky země dodavatele. Budou vydána opatření obecné povahy, která stanoví podmínky nebo využití dodávky od dodavatele, pokud by mělo dojít k ohrožení bezpečnosti ČR.

Kritéria posuzování bezpečnosti dodavatelů budou dle státu a dle jednání dodavatele. Měla by být vytvořena kategorie s důvěryhodným právním prostředím a měla by zahrnovat státy, ve kterých je např. demokraticky volená vláda nebo nezávislý soudní systém. Zároveň se bude jednat o státy, které nepovažují ČR jako nepřátelský stát a funguje v nich dělba moci. Z pohledu jednání dodavatele se bude jednat o ty, kteří respektují hospodářskou soutěž, nečelí mezinárodním sankcím, nejsou ovlivňováni zahraniční vládou nebo orgánem státní správy aj.

Autor: Libor Šrám, odborník na kybernetickou bezpečnost ze společnosti BDO 

O společnosti BDO

BDO je poradenská společnost poskytující auditorské, daňové, právní, účetní a poradenské služby. Na českém trhu působí již 30 let. S více než 500 odborníky a dlouholetou praxí se řadí k předním společnostem s tímto zaměřením v České republice, kde má kanceláře v Praze, Plzni, Brně, Domažlicích, Českých Budějovicích a Jindřichově Hradci.

BDO je v České republice zastoupena společnostmi BDO Audit s.r.o., BDO Czech Republic s.r.o., BDO Consulting s.r.o., BDO Legal s.r.o., advokátní kancelář a BDO ZNALEX, s.r.o. Společnost je součástí mezinárodní sítě BDO, která celosvětově tvoří jednu z největších sítí auditorských a poradenských skupin. Zaměstnává více jak 91 tisíc odborníků a působí ve 167 zemích, v nichž čítá více než 1 650 kanceláří.

Evropská unie si posvítí na útoky hackerů a lépe zabezpečí finanční sektor

Ochránit banky, další finanční instituce a společně s tím i účty milionů lidí má za cíl evropská směrnice DORA závazná pro Česko i všechny ostatní členské státy. Evropská unie tak reaguje na narůstající počet kybernetických útoků. Pro finanční instituce proto nastavuje jasná pravidla, jak se mají před digitálními riziky chránit a jak mají případně postupovat, pokud by je nějaký útok skutečně zasáhl. Zásadní změna to bude zejména pro menší finanční instituce, které doposud tuto otázku řešit příliš nemusely, a pro dodavatelské řetězce. Co evropská směrnice konkrétně přinese, rozebírá v komentáři Michael Kralert, ředitel oddělení společnosti BDO, poskytující poradenské služby bankám, pojišťovnám a subjektům kapitálovému trhu.

Finanční instituce mají relativně krátkou dobu na zajištění souladu s regulatorními požadavky. Lhůta jim běží od 16. ledna 2023, kdy směrnice DORA (Digital Operational Resilience Act) vstoupila v platnost, a potrvá po dobu dvou let.

Směrnice stanovuje, že všechny společnosti spojené s finančním sektorem musí být schopny zabezpečit své informační a komunikační systémy proti případným narušením a hrozbám a v případě problémů okamžitě reagovat. Tyto přísné standardy budou muset respektovat nejen banky a ostatní finanční instituce, ale také třetí strany poskytující tomuto sektoru kritické služby související s informačními a komunikačními technologiemi, jako například poskytovatelé cloudových služeb. Celkově se bude jednat o tisíce firem.

Cílem směrnice je zabránit kybernetickým útokům, aby narušily digitální ochranu finančních institucí, případně snížení dopadu úspěšných pokusů o narušení. Směrnice přitom reaguje na vzrůstající rizika v podobě vyšší propojenosti finančního sektoru a nárůstu digitalizace, zaměřuje se přitom i na sjednocení dosavadního poměrně roztříštěného systému kontroly.

Největší těžkosti s přípravou mohou mít zejména menší finanční instituce

Významné bankovní instituce byly již dříve pod drobnohledem kontrolních orgánů, díky čemuž pro ně nová regulace nebude zásadní změnou. Naopak menší instituce ve finančním sektoru zpravidla čeká náročná příprava. Nařízená ochrana jejich odolnosti před hackery v takovém rozsahu bude pro většinu z nich novinkou a na zajištění souladu s regulací již nemají příliš času. Zároveň však mohou počítat s tím, že rozsah nutných opatření bude přímo úměrný jejich velikosti a rozsahu poskytovaných finančních služeb.

Všechny dotčené instituce budou muset průběžně plnit řadu stanovených úkolů. Nejde přitom pouze o technické aspekty bezpečnosti, na rozdíl do některých předchozích nařízení se DORA zaměřuje i na provozní aspekty.

Zásadní bude testování odolnosti, odhalování rizik a sdílení informací o hrozbách a incidentech

Konkrétně budou muset jednotlivé instituce podle regulace DORA zavést vhodné řízení rizik v tom smyslu, že identifikují zranitelná místa a posoudí všechna relevantní rizika spojená se svými digitálními provozními systémy a jejich vzájemnou provázaností. Rizikovost by měla být vyhodnocována průběžně, pravidelně přezkoumávána a aktualizována. Kromě snahy o zmírnění rizik by instituce měly průběžně transparentně vyhodnocovat stav rizikovosti.

Pro případ kybernetického útoku instituce mají mít důkladný plán řízení incidentů a reakce na ně, a to včetně předem vyhodnoceného schématu komunikace s příslušnými zúčastněnými stranami a nástrojů ke zmírnění dopadu incidentu. Soustředit se dále mají primárně na ochranu dat a kontinuitu provozu. Do celého procesu musí být začleněn i celý dodavatelský řetězec, na což DORA klade oproti dřívějším regulacím značně větší důraz.

Druhým zásadním úkolem pro finanční instituce je hlásit incidenty neprodleně příslušným státním orgánům. Informace by měla obsahovat údaj o délce incidentu, přehled o všech dotčených organizacích a geografický rozsah incidentu, zvláště pokud probíhal na území více než dvou členských států. Případně by instituce měly uvést, zdali útok způsobil ztrátu dat, či narušil jejich integritu, a kolika transakcí či jaké částky se incident dotkl. Doplnit by měly také, jestli incident způsobil dopad na pověst a jaký je jeho hospodářský dopad v odhadnutých přímých a nepřímých nákladech a ztrátách.

Dále DORA nařizuje dotčeným subjektům regulace, aby prováděly pravidelné testování odolnosti svých IT systémů a procesů s cílem zajistit jejich účinnost a identifikovat potenciální problémy. Zavedení účinných bezpečnostních kontrol může být pro organizace výzvou, protože musí zajistit, aby odpovídaly velikosti, složitosti a rizikovému profilu své digitální infrastruktury a služeb. Kromě toho musí organizace zajistit, aby všechny bezpečnostní kontroly byly pravidelně monitorovány a testovány.

Kromě toho DORA předpokládá vzájemnou kooperaci a sdílení informací. Nařizuje, aby finanční instituce sdílely informace s jinými finančními institucemi a regulačními orgány v jiných zemích, což může představovat výzvu z hlediska ochrany údajů, důvěrnosti a regulačních požadavků.

Přitom lze očekávat, že některé rutinní činnosti spojené s testováním, sběrem a zpracováním dat v souvislosti s reportingem budou brzy v budoucnu vykonávány s minimálním zapojením lidské činnosti, kterou nahradí strojové učení a umělá inteligence, a to i z toho důvodu, že firmy nebudou mít dostatek zaměstnanců, kteří by se vyhodnocování stále většího objemu dat mohli věnovat.

Odborníků na kyberbezpečnost bude nedostatek

Lze také očekávat, že odborníků, kteří by ještě předtím řešili samotnou implementaci regulace, bude nedostatek, stejně tak jako na druhé straně inspektorů nastavených procesů. Ostatně nouzi o odborníky zažívají firmy již nyní.

Zejména pro menší firmy se zdá nerealistické, že by dokázaly sestavit trvalý plnohodnotný tým odborníků na kybernetickou bezpečnost. Proto lze očekávat větší zapojení externích partnerů, případně lze očekávat zajišťování některých komponent kybernetické bezpečnosti určitou formou sdílené služby.

Přitom sháňka po odbornících na kybernetickou bezpečnost naroste nejen vlivem přicházející regulace DORA, ale i dalších směrnic týkajících se kybernetické bezpečnosti jako NIS2.

Z  předlohy směrnice NIS2 vychází i vznikající zákon o kybernetické bezpečnosti, s jehož účinností česká legislativa předběžně počítá od druhé poloviny roku 2024 a který se dotkne tisíce českých firem. Na rozdíl od regulace DORA se ovšem týká vybraných klíčových subjektů napříč obory, zatímco DORA bude platná vyloženě pro finanční sektor. V případě rozporu u finančního sektoru, kterou směrnicí se má řídit, dostane vždy přednost DORA jakožto specifičtější zákonná úprava před NIS2.

Kdo bude předpis porušovat, čeká ho sankce

Příslušný státní orgán může v případě jakéhokoliv porušení regulace DORA uložit správní sankce a nápravná opatření, jejich výše pro finanční instituce nicméně zatím nebyla stanovena. Ovšem kritickým poskytovatelům informačních a komunikačních služeb mohou úřady uložit pokutu do 1 % jejich průměrného denního celosvětového obratu za předchozí hospodářský rok po dobu maximálně šesti měsíců, a to denně až do dosažení souladu s předpisy.

Jak finanční instituce, tak jejich dodavatelé by se měli na regulaci připravovat již v současné době. Lhůta, kterou na splnění zákonných podmínek mají, opravdu není příliš dlouhá.

O společnosti BDO

BDO je poradenská společnost poskytující auditorské, daňové, právní, účetní a poradenské služby. Na českém trhu působí již 30 let. S téměř 500 odborníky a dlouholetou praxí se řadí k předním společnostem s tímto zaměřením v České republice, kde má kanceláře v Praze, Plzni, Brně, Domažlicích, Českých Budějovicích a Jindřichově Hradci.

BDO je v České republice zastoupena společnostmi BDO Audit s.r.o., BDO Czech Republic s.r.o., BDO Consulting s.r.o., BDO Legal s.r.o., advokátní kancelář a BDO ZNALEX, s.r.o. Společnost je součástí mezinárodní sítě BDO, která celosvětově tvoří jednu z největších sítí auditorských a poradenských skupin. Zaměstnává více jak 91 tisíc odborníků a působí ve 167 zemích, v nichž čítá více než 1 650 kanceláří.

Weby kritické infrastruktury po celém světě čelí kybernetickým útokům. Jak se jim vyhnout?

Agentury pro kybernetickou bezpečnost aktuálně varují obránce sítí kritické infrastruktury po celém světě. Důvodem jsou útoky, za nimiž stojí hackerská skupina Killnet. Proruská skupina ve druhé polovině dubna zaútočila již v Rumunsku a také na webové stránky mnoha institucí v Česku. V pátek byly navíc pod její palbou také stránky italských úřadů a portál soutěže Eurovision. Snahy hackerů dostat se do důležitých systémů budou sílit i nadále s tím, jak se prohlubuje konflikt na Ukrajině. Na své operace odkazují ruské hackerské skupiny často tím, že jde o odvetu za pomoc ostatních států Ukrajině. Jak tyto zákeřné útoky odklonit a jak se před nimi ochránit, radí expert na kybernetickou bezpečnost Martin Hořický ze společnosti BDO ČR.

Poháněni motivací finanční odměny se skupiny kyberzločinců obvykle snaží zneužít lidské nebo bezpečnostní zranitelnosti, aby se k penězům dostaly napřímo např. získáním přihlašovacích údajů do banky, nebo je vymáhaly od oběti. Organizacím kritické infrastruktury útoky hrozí dennodenně. Od ruské invaze na Ukrajinu navíc některé hackerské skupiny nezávisle veřejně přislíbily podporu ruské vládě a hrozí provedením kybernetických operací jako odplaty za domnělé útoky proti Rusku či materiální podporu pro Ukrajinu. Aktivita těchto skupin, jako je např. Killnet, přitom není ojedinělou a dané operace jsou zcela veřejně podporované nebo tolerované Ruskou federací.

V tento moment jsou nejčastější zejména tzv. DDOS útoky, ale výjimkou nejsou ani úspěšné ransomware útoky. S přihlédnutím k nedávno zveřejněným informacím na síti Telegram je možné předpokládat další navýšení podobných aktivit, a to zejména s cílem nelegálního získání dat, úspěšné realizace ransomwarového útoku a následného vydírání výměnou za platbu v kryptoměnách,“ komentuje situaci Martin Hořický, IT expert ze společnosti BDO Česká republika.

Přehled komunikace skupiny Killnet na jejich profilu na sociální síti Telegram. Uveden je také seznam napadnutých webů. Hackerská skupina na Telegramu zveřejnila také svůj „útok na Itálii“.

Jak se tedy podobným útokům bránit?

  • Využívejte především aktuální software pro všechny operační systémy, zařízení a další provozované aplikace.
  • Kdykoliv je možné přihlásit se přímo z internetu, využívejte více faktorové přihlášení.
  • Služby typu RDP (vzdálená plocha) apod. využívejte jenom přes VPN.
  • Průběžně školte své uživatele v oblasti kybernetické bezpečnosti.
  • Realizujte testy zranitelností sítě a služeb publikovaných na internetu. Penetrační testování realizujte až poté, co máte dořešeny zranitelnosti.
  • Využívejte produkty, které Vám pomohou snížit rizika potenciálního útoku.
  • Korektně zálohujte Vaše prostředí, a to včetně eliminace potenciální kompromitace záloh.

Výše uvedené body představují pouze zcela základní balík opatření a nelze předpokládat, že se jedná o oficiální stanovisko společnosti zabraňující kybernetickému útoku. „Kyberprostor je velmi dynamický a je nezbytné umět pružně reagovat na změny, zranitelnosti je nutné identifikovat průběžně, a tím minimalizovat případná rizika. Rizika nejsou zanedbatelná, pro úspěšný kybernetický útok totiž stačí pouze jeden úspěšný průnik, který může vést až ke kompromitaci celé počítačové sítě, či úniku dat,“ uzavírá Martin Hořický.

Exit mobile version