Kybernetické bezpečnosti se profesně věnuje od roku 2014. Zabývá se zejména řízením bezpečností informací, krizovým řízením, problematikou ochrany klíčových informačních a komunikačních systémů státu a regulatorními otázkami s tím spojenými. Ještě pod hlavičkou Národního bezpečnostního úřadu pracoval na vzniku prvního zákona o kybernetické bezpečnosti a podílel se na vzniku Národního úřadu pro kybernetickou a informační bezpečnost. Od roku 2018 působí jako ředitel odboru regulace na Národním úřadě pro kybernetickou a informační bezpečnost. Jeho hlavní odpovědností je implementace a dohled nad zákonem o kybernetické bezpečnosti, nastavení regulatorních požadavků a příprava legislativy a bezpečnostních standardů v oblasti kybernetické bezpečnosti. Vedle toho již několik let spolupracuje jako externí lektor s vysokými školami a dalšími vzdělávacími institucemi a o problematice kybernetické bezpečnosti přednáší na odborných konferencích.
Jaké jsou hlavní cíle transpozice směrnice NIS2 do českého práva?
Cílem směrnice je sjednotit úroveň kybernetické bezpečnosti napříč EU. Cílem transpozice směrnice do českého práva je překlopit požadavky směrnice do daného členského státu, do našeho právního řádu a zvednout kybernetickou bezpečnost organizací.
A jaké jsou klíčové změny oproti stávajícímu právnímu rámci?
Tou největší změnou je rozšíření počtu povinných osob. Dneska je zhruba 450 regulovaných organizací, ať už státních nebo soukromých. Tato směrnice přináší velké rozšíření přidáním dalších odvětví a služeb a mění se způsob určování. Už se neurčuje přes dopady, ale přes velikost a přes to, že firma nebo organizace poskytuje regulovanou službu. A těch organizací podle našich výpočtů bude minimálně šest tisíc.
Jak jste sám zmínil, spadnou tam další tisíce organizací. Jakými orgány budou kontrolovány, aby bylo možné hlídat dodržování právního základu?
Dohlížet na to bude Národní úřad pro kybernetickou a informační bezpečnost.
Jaký je postup pro spolupráci mezi sektorem veřejné správy a soukromým sektorem při řešení kybernetických hrozeb?
Jde zejména o předávání informací. Typicky pokud se někde stane incident. V určitých organizacích je povinnost takový incident nahlásit, případně to ostatní organizace mohou nahlásit dobrovolně. V tu chvíli se spouští určitá sekvence činností, zjišťuje se, co se stalo, co se o tom incidentu ví. Podle nahlášených incidentů sledujeme určité trendy, kdy vidíme, jestli na nás útočí nějaká skupina, zda je to součástí nějaké širší kampaně nebo jde o náhodný útok. Pokud je to něco většího, informujeme o tom organizace, které spadají do regulace, aby si dali pozor, zašleme jim indikátory kompromitace apod. Spolupracujeme také s dalšími státními úřady a partnery, jako je třeba policie nebo tajné služby.
A jaké jsou plánované kroky pro zvýšení povědomí o kybernetické bezpečnosti u občanů a firem, které se připraveným zákonem budou řídit?
Já bych to rozdělil, protože firmy řeší trošku něco jiného než občané, byť se to samozřejmě schází. Je potřeba mít odolnost jak na úrovni firem, tak na úrovni občanů, protože v těch firmách pracují. A co my děláme ohledně firem? Máme speciální web nis2.nukib.gov.cz, kde se snažíme srozumitelně informovat. Za minulý rok jsme jen na toto téma vystoupili na 107 konferencích, což není úplně málo. Aktivně komunikujeme s různými oborovými sdruženími a svazy. Promujeme informace na sociálních sítích a těmito kanály. Takže doufám, že ten, kdo informace potřebuje, najde si je. Cestou jsou určitě také nějaké odborné články.
U občanů je samozřejmě úroveň znalostí hrozeb trochu jiná. Typicky se jich to dotýká v rámci nějakých podvodů, krádeží, peněz apod. Ve spolupráci s policií máme např. kampaň „Velké odhalení“. V klipech se vysvětluje problematika, ukazuje se na příkladech, jak vypadá spoofing, na co si dát pozor, co nedělat. Snažíme se ty klipy dostat i do plošných médií. Nejde to samozřejmě ze dne na den, je to o nějakém jednání. Další otázkou jsou finanční prostředky, protože reklamní čas něco stojí. Záleží na tom, zda jsou nám média nakloněna, že to třeba udělají za nějakou lepší cenu, protože je to přece jenom neziskové. Neprodáváme žádné služby nebo něco takového, naším cílem je informovat občany o rizicích. A firmy mají povinnost vzdělávat zaměstnance, vysvětlovat svým zaměstnancům nějaké základy, které ochrání jejich byznys, což ve výsledku pomůže i v soukromém životě. Pokud má někdo nápad, jak bychom to mohli dělat lépe, tak určitě může dát vědět.
Které oblasti jsou nejvíc kontroverzní? Myslíte si, že by mohly později podléhat dalším úpravám?
Velmi diskutovaný je samozřejmě rozsah regulace, kolik firem to zasáhne. Nicméně tam moc úprav není možných, protože jde o požadavek té směrnice, od které se nemůžeme odchylovat. Hodně diskutovaným tématem je mechanismus bezpečnosti dodavatelského řetězce, kdy stát chce mít za určitých podmínek možnost do něj zasahovat u těch nejkritičtějších služeb. A pokud je ten dodavatel rizikový, chce mít možnost ho omezit nebo vyloučit. Samozřejmě to není tak jednoduché, je tam řada podmínek, které se musejí splnit, podléhá to soudnímu přezkumu apod. Ale je důležité mít ten mechanismus v České republice. Další je otázka financí. Potřebujeme se na to dívat tak, že IT zásadně zvyšuje efektivnost, schopnosti, rychlost ty činnosti provádět, což šetří peníze. Ale ruku v ruce s tím jde ta bezpečnost, která prostě nějaké peníze stojí. Pokud se na IT chci spolehnout, musím vědět, že je bezpečná a zabezpečená.
Kdo ukládá pokuty v dodavatelském řetězci a je možné se na ně odvolat?
Pokuty ukládá regulátor, tudíž NÚKIB, a samozřejmě je možné se odvolat. To už jsou potom standardní procesy právního řádu. Není to nějak specifický zákon, postupy jsou stejné, jako když dostanete pokutu za parkování, postupuje se podle stejného procesního zákona. Pokud s tím nesouhlasíte, můžete proti pokutě podat rozklad. NÚKIB nemá nadřízený orgán, takže funguje rozkladová komise, což jsou lidé nejen z NÚKIB, ale jsou tam i externisté, kteří dávají doporučení řediteli, který na jejich základě rozhoduje. Pokud s rozhodnutím i tak nesouhlasíte, můžete jít k soudu.
Každý subjekt, který bude spadat pod nový zákon, bude mít zodpovědnou osobu. Jaké jsou podmínky pro vyloučení této osoby z funkce?
Jednou ze sankcí je pozastavení výkonu funkce statutárnímu zástupci, který je odpovědný za to, jak firma funguje. Vždy je ve firmě někdo odpovědný – generální ředitel, předseda představenstva, ve firmě s ručeným omezením to bude jednatel. Nejedná se ale o běžný prostředek. Tato sankce může přijít za nesplnění nápravného opatření. Funguje to tak, že povinná osoba něco ze zákona poruší, přijde kontrola, uloží nápravné opatření a dá na to nějakou lhůtu. Pokud to subjekt nenapraví a přijde se na to, může přijít sankce v podobě zastavení výkonu statutárnímu zástupci, protože ten je za to odpovědný.
A jaký je postup zapojení odborné veřejnosti do tvorby zákona?
Určitě se ji snažíme zapojovat. Není to tak, že by si NÚKIB myslel, že na to má patent a rozumí tomu nejlépe. Když vznikala první verze zákona, probíhaly veřejné konzultace, což bylo v prvním kvartálu 2023. Sešlo se přes 1 100 připomínek, 58 % z nich bylo zapracováno. Ve chvíli, kdy identifikujeme nějaký problém, snažíme se ho zapracovat. Takže určitě dává smysl, aby to veřejnost konzultovala, připomínkovala. Všechny dokumenty jsou veřejné, takže se s nimi každý může seznámit. Pokud někdo něčemu nerozumí nebo si myslí, že by to mělo být upravené jinak, tak se může ozvat na e-mail Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript..
A když pomineme veřejnost, jak byly zapojeny do konzultací organizace a subjekty?
Řada podnětů přišla a už v těch veřejných konzultacích, podněty podávaly jak jednotlivci, tak firmy a potom proběhlo meziresortní připomínkové řízení. To už je oficiální legislativní proces. Přístup těch povinných připomínkových míst je nějak vydefinovaný. My jsme ten meziresort udělali co nejširší, dali jsme tam přes 50 organizací, které tohle můžou dělat. A dalších 11 organizací nám to poslalo vlastně i nad rámec, aniž by byly osloveny. Přesto jsme ty připomínky vzali a vypořádali. Takže opravdu máme zájem a chceme se o tom bavit. Dává to smysl, někam to tu danou oblast posouvá a dokáže to reagovat na nějaké problémy v sektorech, které tak neznáme. Není to o tom, že by NÚKIB znal všechny sektory a věděl, jak to tam přesně do detailu funguje. To samozřejmě vědí lidé, kteří ty služby dělají. Pokud jim něco nedává smysl nebo by to mělo být podle nich jinak, můžou se ozvat. Na druhou stranu je celá ta regulace dost přizpůsobitelná všem odvětvím. Není to dogma, které musíte zavést, i když toho nejste schopni. Existuje mechanismus, jak to upravit a přizpůsobit.
Jaký je postup pro případné úpravy?
V tuto chvíli už je zákon v pokročilé fázi legislativního procesu. Jsme na legislativní radě vlády, takže věcné změny by se v něm už dělat neměly. Řeší se teď spíš legislativně technické otázky a potom zákon půjde do sněmovny. Tam se změny dít můžou. Poslanecká sněmovna je právě ten zákonodárný sbor, který předpis může upravovat. Dělá se to poslaneckými pozměňovacími návrhy. A těžko nyní předjímat, co se tam bude dít. Důležité je ale dodat, že vyhlášky budou mít ještě samostatný legislativní proces. To znamená, že k nim ještě bude probíhat další meziresortní připomínkové řízení a v něm se změny dít mohou.
Jaký je harmonogram pro přijetí a implementaci nového zákona? Nastínil jste, že už jsme v pokročilé fázi. Co nás ještě čeká?
Zákon v tuto chvíli čeká ještě posouzení legislativní radou vlády. Jedno posouzení už proběhlo, měli k tomu připomínky, které jsme zapracovali a znovu předložili. Legislativní rada vlády zapracování posoudí, a pokud s tím bude spokojená, předloží to se stanoviskem vládě. Vláda projedná rozpory, které tam přetrvávají z toho meziresortu. A až se toto vyřeší, vláda zákon předloží poslanecké sněmovně. Tam proběhnou tři čtení, následně to jde do senátu, pak k prezidentovi a následně do sbírky zákonů.. Co se týká časového harmonogramu, transpoziční termín směrnice končí 17. října tohoto roku. To se s největší pravděpodobností nestihne, takže my pracujeme s termínem 1. ledna 2025.
Jaký je vztah mezi připraveným zákonem a dalšími právními předpisy v oblasti kyberbezpečnosti?
Obecně platí, že pokud je tu nějaký speciální zákon nebo speciální úprava, která je třeba sektorová, má přednost, pokud upravuje stejnou věc. Dá se říct, že zákon o kybernetické bezpečnosti je v tomto ohledu obecný předpis. Speciální zákony, jako je třeba nějaká úprava v energetice nebo regulace finančního trhu, má přednost v oblastech, kde se to překrývá. V oblastech, kde se to nepřekrývá, platí zákon o kybernetické bezpečnosti.
A poslední otázka… Spadá letectví do zákona o kybernetické bezpečnosti jenom v České republice nebo i jinde?
Letectví spadá do regulace kybernetické bezpečnosti všude. Je to velmi důležité odvětví, kde je bezpečnost klíčová. A je to i je jedno z odvětí, které požaduje regulovat NIS2.
Děkuji za rozhovor.
Za DSM se ptala Daniela Vacíková.