Nové nařízení EU o kybernetické bezpečnosti se dotýká nás všech

Změny zákona pocítíme všichni

Toto nařízení vytváří mimo jiné jednotný rámec pro evropské certifikáty kybernetické bezpečnosti pro výrobky, procesy a služby, které budou platné v celé EU. Jedná se o průlomový vývoj, protože je to první zákon o vnitřním trhu, který se prostřednictvím těchto certifikátů snaží zvýšit bezpečnost připojených produktů, zařízení Internet of Things i kritickou infrastrukturu.

Je třeba si uvědomit, že Akt o kybernetické bezpečnosti znamená začátek budování systematické kybernetické bezpečnosti v EU a jako takový bude mít velmi významné dlouhodobé praktické dopady na compliance aktivity a tedy na činnost veřejných institucí i soukromých podnikatelských subjektů, a to postupně na všechny, nejen na ty, které mají již nyní uložené významné povinnosti podle zákona o kybernetické bezpečnosti a jejích prováděcích vyhlášek. Významné dopady bude mít tento systém také na nás, na občany. Postupně bychom se měli více než dnes spolehnout na to, že produkty, které používáme a služby které si objednáváme, budou bezpečné a minimálně rizikové, což se dnes opravdu nedá uvést. 

Lze určitě tyto budoucí dopady srovnat minimálně s dopady GDPR. Evropská infrastruktura pro jednotné certifikace pro účely kybernetické bezpečnosti se bude vyvíjet řadu let a své první praktické obrysy v ČR začne mít někdy koncem příštího roku, kdy tuzemský akreditační orgán (ČIA, jak uvádím dále) bude snad připravený vydávat první akreditace certifikačním subjektům, tzv. CAB, jak také rozebírám níže. 

Úvod do systému kybernetické bezpečnosti v EU

Blížící se poskytování certifikačních služeb prvním tuzemským CAB a aktivita národního dozorového regulátora v oblasti kybernetické bezpečnosti – NÚKIB znamená, že všichni bychom měli co nejdřív začít věnovat kybernetické bezpečnosti mnohem větší pozornost než nyní. Tento článek má za cíl představit nutný úvod do systému kybernetické bezpečnosti v EU. V příštím článku někdy v průběhu příštího roku mohu rozebrat konkrétní oblasti dopadů Aktu o kybernetické bezpečnosti do naší praxe, tak aby to bylo zřejmé i dnešním laikům v této oblasti. 

Pro EU je v tomto ohledu důležitá zejména spolupráce SOG-IS (Senior Officials Group Information Systems Security), užší spolupráce několika evropských členů Common Criteria, kteří jsou svázáni hlubší důvěrou a ve vzájemné spolupráci tvoří nová schémata a uznávají si certifikáty vyšší bezpečnostní úrovně než ostatní členové), neboť první schéma ENISA, které je v současné době ve schvalovacím procesu, je právě schéma nahrazující SOG-IS, tedy v podstatě EU implementace Common Criteria. Jde o návrh schématu pro certifikaci produktů.

V České republice ani v Unii se před tímto novým akreditačním a certifikačním systémem nevyskytoval model certifikace kyber-bezpečnostních technologií. V Unii se vyskytují certifikace pro účely nařízení eIDAS (což je svým uspořádáním velice podobný a již fungující systém), nebo nepříliš používaná úprava certifikací pro účely GDPR. V oblasti kybernetické bezpečnosti se sice vyskytuje směrnice NIS, ale ta na problematiku certifikace nedopadá. V ČR je funkční certifikace v případě utajovaných informací a jsou přijímány certifikáty autorizačních členů systému Common Criteria. Přicházející úprava v podobě Aktu o kybernetické bezpečnosti tak dopadá na téměř neoranou půdu. 

ENISA

Správa celého evropského certifikačního rámce byla primárně svěřena ENISA (2)(dále také jako Agentura) pod záštitou Evropské komise. Agentura bude s pomocí nově vzniklé „Evropské skupiny pro certifikaci kybernetické bezpečnosti“ (dále jen jako „ECCG“) připravovat jednotlivá certifikační schémata, na kterých stojí kvalita celého systému a jedná se o jeden z nejnáročnějších úkolů. Za tím účelem může Agentura ustavovat ad hoc pracovní skupiny (na které, podle momentálního nastavení Aktu, bude pravděpodobně přenášet značnou část svých povinností v této oblasti). 

Komise je pověřena přípravou Pracovního programu (dále jen jako „Program“). Dále může pověřit Agenturu vypracováním návrhu schématu, které je uvedené v Programu, příp. může Agenturu pověřit i mimořádnou přípravou schématu, které není uvedeno v Programu (tato pravomoc je dána i Skupině, jejíž žádost ale na rozdíl od té „komisní“ může Agentura v odůvodněných případech odmítnout) a nakonec může připravené návrhy schémat vydávat ve formě implementačních aktů. Teprve vydáním schématu jako implementačního aktu se stává schéma účinné a může podle něj probíhat certifikace. Aby bylo zabráněno dalšímu tříštění unijního trhu, musel být vyřešen vztah evropských a národních certifikačních schémat. Pokud existuje národní schéma, které dopadá na stejnou oblast jako nové evropské schéma, toto nové schéma ho v momentě účinnosti schématu nahradí. Stará národní schémata tak vyhasnou a členské státy pak již nesmí vydávat nové v oblasti upravené evropským schématem. Bude tak zachován primát evropského certifikačního rámce.

K dalším prioritám ENISA, tedy k budoucím návrhům schémat, patří zejména následující:

• schéma pro certifikaci cloudových služeb;
• schéma pro certifikaci IoT; nebo
• schéma pro certifikaci procesů.

CAB

Subjekty, označované jako Conformity Assessment Bodies (CAB) jsou faktickými vykonavateli certifikace, přičemž CAB pracují ve spojení s testovacími laboratořemi. K výkonu hodnocení musí splnit vcelku náročné podmínky, které Akt stanovuje ve své Příloze. Jenom takové CAB mohou být akreditovány národním akreditačním orgánem (v českém prostředí se jedná o Český institut pro akreditaci, o.p.s.; ČIA) a jenom akreditované CAB mohou provozovat certifikaci. Pokud evropské certifikační schéma stanoví speciální požadavky na CAB, provádět certifikaci podle takového schématu může jen takový CAB, který byl pro naplnění speciálních podmínek k takové certifikaci autorizován od národního akreditačního orgánu (v ČR jde o ČIA, jak je uvedeno výše). 

Podmínky provozu CAB jsou natolik přísné, že není nereálné, že by v některých státech CAB vůbec nevznikly, nebo vznikly až s odstupem více let.

Přípravy vzniku tuzemského CAB

CAB se stane mezinárodně uznávaným certifikačním orgánem pro oblasti své činnosti. Navíc k certifikačním činnostem podle Aktu vzniká příležitost pro CAB, aby certifikoval také podle čistě tuzemských regulačních požadavků, souvisejících přímo či nepřímo s kybernetickou bezpečností, tedy podle národních schémat, která netvoří schémata ENISA podle Aktu.

V České republice pokročil proces vzniku prvního tuzemského CAB (CAB ČR), který vzniká společným úsilím předních tuzemských vysokých škol (3). To je důležité, protože CAB ČR tak bude moci využívat odborné a technologické zdroje, které jsou na těchto vysokých školách k dispozici. S ohledem na okolnosti, zejména nedokončený schvalovací proces prvního schématu ENISA a nepřipravený akreditační postup v tuzemsku, lze očekávat zahájení činnosti CAB ČR v průběhu příštího roku, a to spíše v jeho druhé polovině. 

 1Tento rámec obsahuje základní pravidla fungování celého systému a též pravidla pro sestavování certifikačních schémat. Tato schémata budou vždy obsahovat konkretizaci, certifikační postup a bezpečnostní požadavky pro určitou technologii.

2 Evropská agentura pro bezpečnost sítí a informací, sídlící v Řecku, je jedna z agentur Evropské unie. Je centrem odborných znalostí v oblasti kybernetické bezpečnosti v Evropě a v její gesci je správa zabezpečení kyberprostoru Unie. Primárně pomáhá členským státům, unijním orgánům a dalším zúčastněným stranám s prevencí, odhalováním a řešením kyber-incidentů, poskytuje rady a vedení a usnadňuje spolupráci a výměnu informací ohledně incidentů mezi členskými státy. ENISA je zároveň konzultována při přípravě nové legislativy a dalších krocích EU ve vztahu ke kyberprostoru.

3 PRK Partners asistuje při tomto úkolu v rámci projektu Národního centra pro kyberbezpečnost.