Kybernetická bezpečnost v Evropské unii prochází generační obměnou, která se nese ve znamení směrnice NIS2. V některýchoborech ale nejde o jedinou regulaci oblasti ochrany informací a důležitých informačních a komunikačních systémů. Patří mezině i civilní letectví, v němž klíčovou roli hrají letiště, aerolinky a subjekty řídící letecký provoz.
Evropská unie NIS2 civilní letectví Aviation CyberTrust regulace informační bezpečnost ochrana směrnice
Civilní letectví patří mezi silně regulované obory. Do značné míry pro něj platí, že regulace určuje jeho strategii. Na Letišti Václava Havla Praha proběhla počátkem března konference Aviation CyberTrust, která se tematicky zaměřila právě na stávající a nadcházející výzvy regulace informační a kybernetické bezpečnosti v oboru. Se zástupci českých mezinárodních letišť a státního podniku Řízení letového provozu se na ní setkali představitelé Národního úřadu pro informační a kybernetickou bezpečnost a Úřadu pro civilní letectví. Hlavní téma vystoupení a diskusí nepřekvapí. Jak se tuzemské civilní letectví vypořádá s regulačním tlakem v oblasti kybernetické bezpečnosti a ochrany informací?
Na vlně NIS2
Stejně jako v jiných odvětvích zasáhne nový zákon o kybernetické bezpečnosti, jenž do tuzemského právního řádu transponuje směrnici NIS2, mnohem více subjektů působících v civilním letectví. Vedle aerolinek, mezinárodních letišť a poskytovatelů navigačních služeb se dotkne také provozovatelů pomocných zařízení letišť nebo poskytovatelů odbavovacích služeb. Stranou zájmu zákonodárců nezůstanou ani výrobci letecké techniky a servisní organizace, jakkoli budou spadat mezi poskytovatele jiných typů regulovaných služeb.
V případě, že subjekt působící v civilním letectví nenaplní některá kritéria nového zákona o kybernetické bezpečnosti, stále to nemusí znamenat, že se na něj nebude vztahovat povinnost řídit bezpečnost informací. V oboru totiž existují další specifické regulace.
Ochrana civilního letectví před protiprávními činy
Od roku 2016 je účinné Prováděcí nařízení Komise (EU) 2015/1998, kterým se stanoví prováděcí opatření ke společným základním normám letecké bezpečnosti. Do něj legislativci zařadili kapitolu 1.7 Identifikace kritických informačních a komunikačních systémů a údajů v civilním letectví a jejich ochrana před kybernetickými hrozbami. Požadavky nařízení jsou propsány do tzv. národních programů a figurují např. i v rámci bezpečnostních programů letišť, jakkoli se netýkají pouze jich. Kontrolní či dozorovou činnost zajišťuje Úřad pro civilní letectví.
Předpis v relativně obecné formě specifikuje základní požadavky na zajištění bezpečnosti informací v oboru. Vznikl přibližně ve stejné době jako první směrnice NIS a na její a jí podobné národní nebo evropské normy pamatuje. Znamená to, že automaticky nezdvojuje povinnosti kladené na regulované subjekty.
Pro tuzemské subjekty spadající do působnosti zákona o kybernetické bezpečnosti představuje formálně deklarovaná kompatibilita těchto předpisů s nařízením 2015/1998 velkou výhodu. Prokazování souladu se díky ní stává spíše formální záležitostí. Stále ovšem platí, že v centru zájmu tohoto předpisu stojí ochrana systémů a informací kritických pro civilní leteckou dopravu. A toto očekávání musejí povinné subjekty naplnit.
Nařízení EASA jako ekvivalent NIS2
Druhou oborovou regulací, která ovlivní kybernetické dění v civilním letectví, je nařízení EU stanovující požadavky na řízení rizik bezpečnosti informací s potenciálním dopadem na bezpečnost letectví, resp. nařízení Komise v přenesené pravomoci (EU) 2022/1645. Účinným se stane v říjnu 2025. Garantem nařízení je Agentura Evropské unie pro bezpečnost letectví známá pod zkratkou EASA. Dohled a kontrolní činnost v České republice opět zajistí Úřad pro civilní letectví, který problematiku diskutuje a koordinuje ve spolupráci s Národním úřadem pro informační a kybernetickou bezpečnost.
Nařízení 2022/1645 (dále nařízení EASA) má charakter komplexní normy, která se svým věcným zaměřením a do jisté míry i rozsahem povinností blíží směrnici NIS. A právě od ní odvíjí možné prokazování souladu. Pokud subjekt splňuje požadavky aktuálně platné generace směrnice NIS, existuje předpoklad, že vyhoví i nařízení EASA.
Popsaný stav neindikuje regulační duplicitu, jakkoli to na první pohled působí. Nařízení EASA se úzce zaměřuje na ochranu informací významných pro bezpečnost civilního letectví. V podstatě jde o právní rámec či lépe nástroj, jenž zajišťuje, že oborová specifika nebudou podceněna nebo přehlédnuta. Vyžaduje, aby povinné subjekty identifikovaly a řídily rizika bezpečnosti informací, která mají nebo mohou mít potenciální dopad na bezpečnost letectví. K tomu přidává nečetnou sadu povinností vůči oborovému regulátorovi. Jde např. o hlášení incidentů a zranitelností nebo o smluvní zajištění možnosti kontroly dodavatele v oblasti kybernetické bezpečnosti.
Subjekty působící v civilním letectví mohou požadavky nařízení EASA, pokud se na ně vztahují, naplnit poměrně snadno pouhou úpravou nebo doplněním několika specifických procesů. Předpokládá to ale, že provozují systém řízení bezpečnosti informací v souladu s normou ISO 27001 nebo se směrnicí NIS/NIS2. Díky němu disponují v podstatě všemi potřebnými či výchozími organizačními a technickými bezpečnostními opatřeními. Stačí je jen rozšířit na informace a systémy podporující bezpečnost letectví, pokud už je samozřejmě nezahrnují. A stejný postup zohledňující oborová specifika lze aplikovat i na požadavky již zmíněného nařízení 2015/1998.
V České republice se nařízení EASA dotkne mimo jiné všech mezinárodních letišť. Vedle Prahy jde o Ostravu, Brno, Pardubice, Karlovy Vary a České Budějovice. Letiště Praha se na účinnost nové regulace intenzivně připravuje už dnes. Využívá k tomu i probíhající revizi svého systému řízení bezpečnosti informací, který přizpůsobuje požadavkům nového zákona o kybernetické bezpečnosti a norem řady ISO 27000:2022.
Regulační rámec civilního letectví je mnohem širší a samozřejmě se neomezuje pouze na oblast kybernetické bezpečnosti. Nově jej také posílí zákon o kritické infrastruktuře, který do tuzemského právního řádu transponuje směrnici CER. Ta ale počítá s existencí směrnice NIS2, v oblasti ochrany informací a kybernetické bezpečnosti jsou tudíž obě normy komplementární.
Lukáš Kříž
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.