Evropská směrnice o kyberbezpečnosti: Pirátský úhel pohledu
<p><img width="1920" height="1267" src="https://www.forum24.cz/wp-content/uploads/2022/07/AdobeStock_207766680.jpeg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="AdobeStock" loading="lazy" srcset="https://www.forum24.cz/wp-content/uploads/2022/07/AdobeStock_207766680.jpeg 1920w, https://www.forum24.cz/wp-content/uploads/2022/07/AdobeStock_207766680-300x198.jpeg 300w, https://www.forum24.cz/wp-content/uploads/2022/07/AdobeStock_207766680-1024x676.jpeg 1024w, https://www.forum24.cz/wp-content/uploads/2022/07/AdobeStock_207766680-768x507.jpeg 768w, https://www.forum24.cz/wp-content/uploads/2022/07/AdobeStock_207766680-1536x1014.jpeg 1536w" sizes="(max-width: 1920px) 100vw, 1920px" /></p>Síťové a informační systémy. NIS 2. Zdánlivě zapomenutelný název pod sebou skrývá zásadní změny v oblasti evropské kyberbezpečnosti. Po několika měsících práce a vyjednávání ve výborech Evropského parlamentu se podařilo dát dohromady dokument, který zásadně aktualizuje unijní odolnost proti útokům. Jako Piráti jsme v tomto procesu sehráli svou roli a do vylepšené legislativy dostali několik svých priorit. V roce 2016 Evropská unie vytvořila první celounijní kyberbezpečnostní legislativu pod příliš dlouhým názvem, ale zkratkou <a href="https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=uriserv%3AOJ.L_.2016.194.01.0001.01.ENG&toc=OJ%3AL%3A2016%3A194%3ATOC" target="_blank" rel="noopener noreferrer">NIS</a> (Network and Information Systems). Kyberútoky byly tou dobou už na denním pořádku, a to v podstatě ve všech členských státech. Od té doby se počet útoků dramaticky <a href="https://www.instagram.com/p/CRl2WiNrtbi/" target="_blank" rel="noopener noreferrer">zvyšuje</a> spolu s tím, jak globálně roste počet kyberzločinců a jak se zdokonalují jejich technologické schopnosti. Speciální místo mezi útočníky pak patří těm, kterým se dostalo elitního výcviku v autoritářských režimech, jako je Rusko nebo Čína. Právě ti se v posledních letech stali závažnou hrozbou pro kritickou infrastrukturu demokratických zemí. Nová směrnice NIS 2, kterou jsem <a href="https://www.pirati.cz/tiskove-zpravy/kyberbezpecnost-tematem-vyboru-europarlamentu.html" target="_blank" rel="noopener noreferrer">přesně před rokem</a> provedla zahraničním výborem coby zpravodajka, dnes právě na tento dynamický vývoj reaguje. Pokrývá střední i větší entity této kritické infrastruktury z daleko širší škály sektorů, které jsou zásadní pro ekonomiku i společnost. Co tedy budou muset státy více chránit před kyberútoky? Třeba poskytovatele veřejných komunikačních služeb, digitálních služeb, ale také systémy odpadních vod a dalších. „Hacknout“ se dá dnes již skoro vše a nějaký software či propojení využívá naprostá většina institucí. Pirátský rukopis v nové legislativě Kyberprostor neuznává hranice, útoky proto mohou přijít z kteréhokoli internetového připojení kdekoli na Zemi a zacílit na evropské občany, instituce i byznys. Sjednocené minimální bezpečnostní standardy pro celou EU jsou proto správnou, ba dokonce jedinou cestou, jak se s takovou výzvou vypořádat. Při tolik potřebné aktualizaci této směrnice jsme se na textu podíleli, především s kolegou Marcelem Kolajou, v rámci svých výborů. A do finálního textu se dostalo nemálo našich priorit. Za všechny jmenujme tyto, které považujeme za klíčové: Software a technologie s otevřeným (open-source) zdrojovým kódem hrají významnou roli ve zvyšování online bezpečnosti. Členské státy EU by nyní měly do veřejných zakázek zahrnout požadavky související s kybernetickou bezpečností pro informační a komunikační technologie, včetně certifikace kybernetické bezpečnosti a požadavků na šifrování a používání produktů s otevřeným zdrojovým kódem. To povede k celkovému zlepšení a ochraně zranitelných veřejných sítí v celé EU. Koordinované odhalování chyb skupinami pro reakci na počítačový stav nouze CSIRT. Od nynějška budou mít tyto týmy, které zřizovala už původní NIS, snazší přístup k informacím o zranitelnostech zaznamenávaných v evropském registru zranitelnosti a výrazně se prohloubí vnitrostátní spolupráce. Koordinace v této kriticky důležité oblasti zkrátí odezvu pro všechny sítě v EU, jakmile alespoň jeden členský stát identifikuje chybu. Mezinárodní spolupráce mezi podobně smýšlejícími lidmi a národy. Práce národních týmů CSIRT a dalších příslušných orgánů musí zahrnovat spolupráci se stejně smýšlejícími zeměmi a organizacemi, jedině tak může být tento globální bezpečnostní problém podchycený odpovídajícím způsobem. Členské státy budou také akceschopnější se společně koordinovat. Školení a vzdělávání v oblasti kybernetické bezpečnosti musí být dostupné a otevřené všem občanům i malým a středním podnikům. Téměř každý v EU vlastní alespoň jedno zařízení připojené k internetu – sami ostatně právě čtete tento článek na jednom z nich. Rozšířené a bezplatné vzdělávání a podpora ze strany příslušných vnitrostátních orgánů se nyní výrazně zlepší. Čím více investujeme do základního školení a vzdělávání v oblasti kybernetické bezpečnosti, tím odolnější budeme jako občané, státy i Unie vůči kyberútokům. Novinkou jsou také zjednodušení oznamovací povinnosti pro napadené subjekty – cílem je získat čas a flexibilitu k bezprostřední reakci na útok a zároveň poskytnout příslušným orgánům dostatek času na aktivní podporu a pomoc. Zabezpečení by měly vyztužit rovněž nové zásady pro velké společnosti týkající se používání šifrování a vícekrokové autentizace. Vrcholný management by se pak také nově měl zodpovídat za neplnění povinností v oblasti kybernetické bezpečnosti, a to i pokutami až do výše 2 % z celkového ročního obratu. Jsem přesvědčená, že tato kombinace nových a vylepšených opatření povede k bezpečnějšímu evropskému kyberprostoru. <strong>Autorka je europoslankyně za Piráty.</strong>
Publikováno: 9.7.2022
