08.07.2022

Evropská směrnice o kyberbezpečnosti: Pirátský úhel pohledu

Síťové a informační systémy. NIS 2. Zdánlivě zapomenutelný název pod sebou skrývá zásadní změny v oblasti evropské kyberbezpečnosti. Po několika měsících práce a vyjednávání ve výborech Evropského parlamentu se podařilo dát dohromady dokument, který zásadně aktualizuje unijní odolnost proti útokům. Jako Piráti jsme v tomto procesu sehráli svou roli a do vylepšené legislativy dostali několik svých priorit.

V roce 2016 Evropská unie vytvořila první celounijní kyberbezpečnostní legislativu pod příliš dlouhým názvem, ale zkratkou NIS (Network and Information Systems). Kyberútoky byly tou dobou už na denním pořádku, a to v podstatě ve všech členských státech. Od té doby se počet útoků dramaticky zvyšuje spolu s tím, jak globálně roste počet kyberzločinců a jak se zdokonalují jejich technologické schopnosti.

Speciální místo mezi útočníky pak patří těm, kterým se dostalo elitního výcviku v autoritářských režimech, jako je Rusko nebo Čína. Právě ti se v posledních letech stali závažnou hrozbou pro kritickou infrastrukturu demokratických zemí.

Nová směrnice NIS 2, kterou jsem přesně před rokem provedla zahraničním výborem coby zpravodajka, dnes právě na tento dynamický vývoj reaguje. Pokrývá střední i větší entity této kritické infrastruktury z daleko širší škály sektorů, které jsou zásadní pro ekonomiku i společnost. Co tedy budou muset státy více chránit před kyberútoky? Třeba poskytovatele veřejných komunikačních služeb, digitálních služeb, ale také systémy odpadních vod a dalších. „Hacknout“ se dá dnes již skoro vše a nějaký software či propojení využívá naprostá většina institucí.

Pirátský rukopis v nové legislativě

Kyberprostor neuznává hranice, útoky proto mohou přijít z kteréhokoli internetového připojení kdekoli na Zemi a zacílit na evropské občany, instituce i byznys. Sjednocené minimální bezpečnostní standardy pro celou EU jsou proto správnou, ba dokonce jedinou cestou, jak se s takovou výzvou vypořádat.

Při tolik potřebné aktualizaci této směrnice jsme se na textu podíleli, především s kolegou Marcelem Kolajou, v rámci svých výborů. A do finálního textu se dostalo nemálo našich priorit. Za všechny jmenujme tyto, které považujeme za klíčové:

  1. Software a technologie s otevřeným (open-source) zdrojovým kódem hrají významnou roli ve zvyšování online bezpečnosti. Členské státy EU by nyní měly do veřejných zakázek zahrnout požadavky související s kybernetickou bezpečností pro informační a komunikační technologie, včetně certifikace kybernetické bezpečnosti a požadavků na šifrování a používání produktů s otevřeným zdrojovým kódem. To povede k celkovému zlepšení a ochraně zranitelných veřejných sítí v celé EU.
  2. Koordinované odhalování chyb skupinami pro reakci na počítačový stav nouze CSIRT. Od nynějška budou mít tyto týmy, které zřizovala už původní NIS, snazší přístup k informacím o zranitelnostech zaznamenávaných v evropském registru zranitelnosti a výrazně se prohloubí vnitrostátní spolupráce. Koordinace v této kriticky důležité oblasti zkrátí odezvu pro všechny sítě v EU, jakmile alespoň jeden členský stát identifikuje chybu.
  3. Mezinárodní spolupráce mezi podobně smýšlejícími lidmi a národy. Práce národních týmů CSIRT a dalších příslušných orgánů musí zahrnovat spolupráci se stejně smýšlejícími zeměmi a organizacemi, jedině tak může být tento globální bezpečnostní problém podchycený odpovídajícím způsobem. Členské státy budou také akceschopnější se společně koordinovat.
  4. Školení a vzdělávání v oblasti kybernetické bezpečnosti musí být dostupné a otevřené všem občanům i malým a středním podnikům. Téměř každý v EU vlastní alespoň jedno zařízení připojené k internetu – sami ostatně právě čtete tento článek na jednom z nich. Rozšířené a bezplatné vzdělávání a podpora ze strany příslušných vnitrostátních orgánů se nyní výrazně zlepší. Čím více investujeme do základního školení a vzdělávání v oblasti kybernetické bezpečnosti, tím odolnější budeme jako občané, státy i Unie vůči kyberútokům.

Novinkou jsou také zjednodušení oznamovací povinnosti pro napadené subjekty – cílem je získat čas a flexibilitu k bezprostřední reakci na útok a zároveň poskytnout příslušným orgánům dostatek času na aktivní podporu a pomoc.

Zabezpečení by měly vyztužit rovněž nové zásady pro velké společnosti týkající se používání šifrování a vícekrokové autentizace. Vrcholný management by se pak také nově měl zodpovídat za neplnění povinností v oblasti kybernetické bezpečnosti, a to i pokutami až do výše 2 % z celkového ročního obratu.

Jsem přesvědčená, že tato kombinace nových a vylepšených opatření povede k bezpečnějšímu evropskému kyberprostoru.