NÚKIB byl pověřen přípravou zákona umožňujícím prověření dodavatelů do strategicky významné infrastruktury

by | Zář 30, 2022 | Nejnovější, NIS II | 0 comments

Snížení závislosti na dodavatelích, kteří představují strategickou hrozbu v oblasti kybernetické bezpečnosti, je zásadní nejen pro bezpečnost subjektů klíčových pro stát a společnost, ale také pro národní bezpečnost obecně. Bezpečnostní rada státu (BRS) proto pověřila Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) přípravou zákona, který bude umožňovat prověření dodavatelů do strategicky významné infrastruktury, a tím zajistit vyšší odolnost a bezpečnost České republiky.

V reakci na zhoršující se bezpečnostní prostředí uložila BRS v červnu 2022 NÚKIB do konce května 2023 předložit vládě České republiky návrh zákona umožňující státu prověřování dodavatelů do své strategicky významné infrastruktury. Hlavním cílem tohoto prověřování je zvýšit odolnost a bezpečnost České republiky.

Současný vývoj ukazuje, že bezpečnost dodavatelského řetězce a spolehlivost dodavatelů v oblasti informačních a komunikačních technologií má zcela zásadní dopad na bezpečnost subjektů klíčových pro stát i společnost a tím také na národní bezpečnost jako takovou. Hrozby v oblasti kybernetické bezpečnosti plynoucí z dodavatelských řetězců technologií jsou již dlouhodobě známy, dosud však v našem právním řádu neexistuje komplexní právní řešení umožňující rizika plynoucí z těchto hrozeb pro strategickou infrastrukturu cíleně a účinně vyhodnocovat a snižovat. Připravovaný zákon si klade za cíl tento nevyhovující stav změnit.

Mechanismus prověřování dá státu možnost vyloučit z dodávek do strategicky významné infrastruktury vysoce rizikové dodavatele a významně tak omezí dopad negativních zahraničních vlivů na zajištění základních funkcí státu. Tím se sníží závislost nejvýznamnější infrastruktury na dodavatelích představujících strategickou hrozbu v oblasti kybernetické bezpečnosti, což přispěje k zajištění dlouhodobě udržitelné bezpečnosti a odolnosti. Tento mechanismus napomůže předcházet podobně nežádoucí závislosti a následným negativním dopadům, jako je tomu nyní například v případě zemního plynu.

Připravovaný návrh zákona zmocní relevantní orgány státu k vyhodnocení a případnému omezení rizikových dodavatelů. Vyhodnocována budou kritéria spojená s oblastmi, jako jsou vliv cizího státu na dodavatele či případy zneužití technologií k narušení strategické infrastruktury. Konkrétní podoba procesu prověřování je momentálně diskutována napříč relevantními orgány státní správy.

„Rozsah dopadu regulace zatím není přesně vymezen a intenzivně na něm pracujeme. Když mluvíme o strategické infrastruktuře, vycházíme z množiny systémů kritické informační infrastruktury a provozovatelů základních služeb dle současného znění zákona o kybernetické bezpečnosti. Samozřejmě nás v této oblasti čekají změny v souvislosti s implementací směrnice NIS2, díky které naroste počet povinných orgánů a osob až na několik tisíc subjektů. Připravovaný mechanismus ale bere tyto změny v potaz a na většinu těchto nových povinných osob nedopadne. Cílem je pokrýt množinu institucí, která poskytuje či zabezpečuje služby s nejvyšším dopadem na fungování státu a společnosti,“ sděluje k celé věci ředitel NÚKIB Lukáš Kintr.

Úřad pod jeho vedením při přípravě návrhu zákona předpokládá dodržení dosavadní osvědčené praxe. Tzn. Jakmile to bude aktuální, nad rámec běžného meziresortního připomínkového řízení bude odborné veřejnosti dána možnost poskytnout NÚKIB podněty k návrhu zákona. Vzhledem ke skutečnosti, že se jedná o komplexní a citlivou problematiku, NÚKIB vede a plánuje nadále vést širokou, odbornou a především konstruktivní debatu.

Samotný mechanismus staví na principech zákona o kybernetické bezpečnosti (ZKB). Připravovaná legislativa tak bude doplňovat současný přístup k zajišťování kybernetické bezpečnosti v České republice, podle kterého se o komplexní zajištění bezpečnosti stará především správce systému či sítě. Mechanismus prověřování tak vnese do procesu nový vstup státu v podobě hodnocení strategické úrovně bezpečnosti dodavatelů. Jedná se o aspekty, které sami správci infrastruktury nejsou schopni provést a k jejichž posuzování a vyhodnocování je nejlépe vybaven právě stát se svým bezpečnostním a zpravodajským aparátem. Důležitou složkou mechanismu je nastavení procesu prověřování tak, aby pro splnění svého účelu co nejméně zatěžoval jak povinné subjekty, tak stát samotný. Prověřování se tedy bude týkat pouze dodávek do jasně, předem stanovených částí strategicky významné infrastruktury, která je kritická pro fungování České republiky. Dodávky, které nejsou relevantní pro bezpečnost této infrastruktury, prověřovány nebudou.

Do doby, než bude nový zákon připraven a přijat, jsou nadále platné a účinné aktuální právní normy v oblasti kybernetické bezpečnosti. V kontextu omezení rizikových dodavatelů se pro povinné orgány a osoby dle ZKB jedná zejména o povinnost řídit rizika spojená s dodavateli dle ZKB a vyhlášky o kybernetické bezpečnosti. Správci a provozovatelé kritické informační infrastruktury a další povinné orgány a osoby dle ZKB jsou také nadále povinny zohledňovat dříve vydaná varování NÚKIB. Nezávaznou pomůckou, jak hodnotit rizikovost dodavatelů, může pro správce povinných subjektů být „Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice“ zpracované NÚKIB s dalšími partnery bezpečnostní komunity a využitelné i mimo sektor telekomunikací.

Michael Fanta, redakce Cyberblog


Zdroj: NÚKIB


Foto: Unsplash

0 Comments
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

NÚKIB byl pověřen přípravou zákona umožňujícím prověření dodavatelů do strategicky významné infrastruktury