Rozpočty krajů a obcí s rozšířenou působností by nejpozději pro příští rok už měly počítat s náklady souvisejícími s povinnostmi podle nového zákona o kybernetické bezpečnosti. Právě obce III. typu se po účinnosti transpoziční normy směrnice NIS2 ocitnou v režimu nižších povinností a bude se na ně vztahovat regulace dozorovaná Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).
Identifikaci a správu aktiv, hodnocení rizik a plánování bezpečnostních opatření v souladu se ZoKB nabízí aplikace CSA od české společnosti Gordic. V jednom přehledném a uživatelsky přívětivém prostředí zajistíte komplexní a efektivní řízení kybernetické bezpečnosti dle požadavků vyplývajících ze směrnice NIS2, a to bez nutnosti vysokých investic a znalostí.
Gordic, partner seriálu Regulace podle NIS2.
Evropská směrnice přitom povinně vyžaduje regulaci pouze centrálních orgánů veřejné moci (na úrovni ministerstev a ústředních orgánů státní správy). Zahrnutí regionálních a lokálních autorit (tzn. obcí a krajů) je na rozhodnutí každého ze členských států. NÚKIB jako zpracovatel zákona určil, že se pravidla kyberbezpečnosti nebudou automaticky aplikovat pouze na nejmenší obce (prvního a druhého typu).
Ostatní už dnes musejí počítat s tím, že se ve druhé půli letošního roku pravděpodobně spustí lhůty, na konci nichž od nich bude NÚKIB očekávat odpovídající aktivitu. Připomeňme, že návrh zákona po třetím čtení ve Sněmovně čeká před odesláním do Senátu na zapracování pozměňovacích návrhů a legislativně-technických oprav. Norma už nemá pevně danou účinnost, ale obsahuje dvouměsíční legisvakační lhůtu. Prakticky to znamená, že pokud by ji horní komora stihla projednat v červenci a v srpnu by po podpisu prezidenta vyšla ve Sbírce zákonů, nastala by její účinnost 1. listopadu.
Od chvíle nabytí účinnosti zákona už jsou další lhůty pevně dané. Dle našeho příkladu by tak do konce roku bylo nutné splnit ohlašovací povinnost vůči NÚKIBu, když zákon předpokládá, že k samoidentifikaci dojde nejpozději do 60 dnů od účinnosti nového zákona.
Rok času na přípravy
Obce a pochopitelně i kraje dále budou mít rok na to, aby kybernetickou bezpečnost začaly řídit. K tomu si budou muset „vykolíkovat pole“. Stanovit si, co má být ochráněno, a kam naopak upírat pozornost netřeba. V procesu analýzy rizik je prvním krokem identifikace aktiv, jež si zaslouží ochranu. Za aktiva je přitom považováno vše, co může mít pro instituci hodnotu. Řadíme pod to software, hardware, ale i fyzické objekty a lidské zdroje. Zkrátka se jedná o vymezení těch součástí, jejichž poškození nebo ztráta může ohrozit chod organizace.
Aktiva se dále dělí na primární a podpůrná. V případě municipalit půjde o stanovení zpracovávaných informací a poskytovaných služeb v návaznosti na regulovanou službu vymezenou jako „Výkon svěřených pravomocí“. NÚKIB v tomto ohledu doporučuje vycházet z Registru práv a povinností, kde jsou evidovány všechny agendy, které daná obec vykonává.
V případě větších měst, kde může jít o vyšší desítky až stovky agend, pak je účelnější pro stanovení primárních aktiv sdružit více agend do větších celků, které spolu budou souviset věcně, procesně, organizačně nebo technicky. Například agendy odpadového hospodářství, ochrany zemědělského a půdního fondu, ochrany ovzduší nebo myslivosti tak mohou být sdruženy do primárního aktiva „životní prostředí“.
Od takto stanovených primárních aktiv je třeba oddělit podpůrná. Těmi se rozumí vše, co je potřeba k výkonu agend obce. Tedy, co slouží k tomu, aby obec mohla plnit úkoly, které má. Takovým aktivem může být například zaměstnanec, dodavatel, hardware či software, budova či jiný ohraničený prostor, ve kterém se nachází aktivum regulované služby.
I podpůrná aktiva je možné evidovat po skupinách podle určitého typu. Rozhodně není nutné při úvodním stanovování rozsahu kybernetické bezpečnosti evidovat každý jednotlivý počítač či každého zaměstnance, stačí je seskupovat do typových podpůrných aktiv. Vždy se však evidují ve vazbě k primárním aktivům. V dokumentaci tak vznikne relace mezi skupinou vykonávaných agend, primárním aktivem a souborem podpůrných aktiv.
Systémy na evidenci docházky je možné vyjmout
Úvodní analýza může obsahovat i negativní vymezení aktiv, které nesouvisí s regulovanou činností a nespadají do povinností podle kyberbezpečnostního zákona. Těm obec nebude muset později věnovat odpovídající pozornost. Bude se jednat například o různé docházkové či objednávkové systémy zaměstnaneckých programů, stravenek či intranet. Je ale třeba pro pozdější kontrolu vždy řádně odůvodnit, proč daná služba nesouvisí s výkonem svěřených pravomocí.
Standardně obce a kraje pracují s centrálními informačními systémy, které zároveň neprovozují. Typicky půjde o Základní registry, odkud obce čerpají údaje, ale samy je nespravují. Podobně na tom bude Informační systém datových schránek provozovaný Českou poštou. Při používání těchto systémů jsou obce v postavení uživatele. A nemají proto možnost zavádět bezpečnostní opatření ve vztahu k těmto systémům. Tato povinnost dopadá na jejich správce.
Rovněž tak není možné tyto systémy nepoužívat. Jejich využívání totiž přímo nařizuje zákon. Nejedná se tedy o klasický vztah odběratel-dodavatel, když stát s obcemi neuzavírá smlouvy o poskytování daného systému. Obec v takových případech nemusí stát evidovat jako svého významného dodavatele a jakkoliv jej řídit, informovat či evidovat.
Co ale musí, to je zavádět bezpečnostních opatření, aby nedocházelo například k neoprávněným přístupům do centrálních systémů. Obce by se tak měly řídit pravidly bezpečného chování uživatelů, které za ně správce systému stanovil.
S výjimkou hlavního města Prahy, pokud se v ostatních městech obec člení na městské obvody nebo městské části s vlastními orgány samosprávy, tyto nebudou samostatným regulovaným subjektem. NÚKIB je bude pro účely ukládání povinností či sankcí považovat za jeden celek s městem, a to i v případech, kdy využívají svou vlastní oddělenou IT infrastrukturu, specifický hardware či software a mají tak i odlišné dodavatele oproti samotnému statutárnímu městu.
Podobné platí i ve vztahu k obecní či městské policii. I přesto, že zvláště ve větších městech jde o vcelku samostatnou entitu. Strážníci typicky mají vlastní personální strukturu, procesy, agendy a postupy k výkonu své působnosti. I tak na ně regulátor bude pohlížet jako na celek se zřizovatelem. To ale nijak nebrání tomu, aby obecní policie měla vlastní rozsah kybernetické bezpečnosti, částečně nebo zcela oddělený od zbytku obce. Pro strážníky je tak možné nastavit vlastní politiky a procesy vyžadované vyhláškou. Anebo sdílet bezpečnostní opatření, jak organizační, tak i technická, pokud to vyhovuje potřebám na obou stranách.
Pokud máme identifikovaná aktiva, je potřeba je řádným způsobem chránit. Na to pamatuje vyhláška o bezpečnostních opatřeních pro poskytovatele služby. Jak bude konkrétně zavádění bezpečnostních opatření vypadat v případě obcí a krajů, to vysvětlíme v příštím díle seriálu.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
