Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spustil redesignovanou verzi Portálu NÚKIB. Jako se základní komunikační platformou mezi regulovanými subjekty a regulátorem s ním počítá připravovaný zákon o kybernetické bezpečnosti. Ten však stále čeká na své schválení ve Sněmovně a stejně tak otálí i NÚKIB se vpuštěním širší veřejnosti na tuto platformu.
Přes moderně vypadající layout tak pořád marně budeme hledat dnes již ve veřejné správě běžné přihlašování prostřednictvím Identity občana. Do Portálu se dostanou jen ti s pozvánkou a registrací přímo od kybernetického úřadu. Nejméně do schválení nové právní úpravy tomu nebude jinak.
Občane, obracej se raději na policii
Odrazující stejně jako v minulosti zůstává formulář pro hlášení kybernetického incidentu. Ačkoliv návrh počítá i s oznamováním těchto problémů na dobrovolné bázi, a to kýmkoliv, v okamžiku, kdy na úvodní otázku „Kdo nahlašuje incident?“ odpovíte, že fyzická osoba, bude se vás NÚKIB snažit od dalšího vyplňování odradit upozorněním, že formulář slouží primárně pro regulované subjekty dle zákona o kybernetické bezpečnosti (toho stávajícího, nikoliv toho připravovaného). „Pokud se vám stal kybernetický incident a jste fyzická osoba, obraťte se na Policii ČR,“ nabádá Portál.
Není to však tak, že by aplikace neumožnila podání dokončit. Přes tento odrazující blok se dá proklikat k dalším částem formuláře. Tady NÚKIB zjišťuje, jaké povahy nahlašovaný incident je, kdy k němu došlo, jak hodnotná technická aktiva byla napadena či zda vyžadujete pomoc od úřadu s analýzou. Další políčka formuláře se liší podle toho, o jaký typ útoku se jedná. Například u ransomwaru regulátora zajímá, jaký je vyděračský vzkaz od útočníka, takzvaný ransomnote. U DDoS útoku je zase potřeba vyplnit, kdo je vaším poskytovatelem připojení k internetu a zda s ním máte nasmlouvánu nějakou ochranu proti tomuto typu hrozeb.
Teprve předposlední krok je tím, který občanům bez alespoň živnostenského listu vystavuje stopku. Vyplňují se zde kontaktní informace. Jako fyzická osoba bez přiděleného identifikačního čísla budete mít problém, protože IČO je zde povinný údaj a formulář ověřuje, jestli má správný tvar. Zkrátka a dobře s dobrovolným hlášením ze strany laické veřejnosti se tu stále nepočítá.
Zklamán bude i ten, kdo by doufal, že takto vyplněný formulář jedním kliknutím úřadu rovnou pošle. V posledním kroku se pouze vygeneruje PDF, které je třeba e-mailem na NÚKIB doručit (na adresu [email protected]). Přitom, jak regulátor sám v tomto PDF upozorňuje, formulář není nutné elektronicky podepisovat. Tím ale odpadá jakýkoliv důvod, proč by podání nemohlo být dokončeno rovnou z webového formuláře.
Vygenerované PDF s hlášením o kybernetickém incidentu
Jediné záchranné pozitivum, které na vygenerovaném dokumentu lze najít, je, že všechny zadané údaje jsou součástí přílohy k PDF, a to ve formátu JSON. Nebude tedy nutné na straně úřadu nahlášená data ručně přepisovat, ale půjde je zpracovávat strojově. Jinak ale vygenerované PDF není ani ze strany NÚKIBu opatřeno časovým razítkem (stvrzujícím, ke kterému okamžiku byl formulář vygenerován) nebo elektronicky podepsáno (certifikováno). Pouze splňuje standard PDF/A-3B pro dokumenty určené k archivaci. Neobsahuje ani žádný identifikátor nebo čárový kód, který by naznačoval, že NÚKIB údaje zadané do webového rozhraní na pozadí eviduje a po doručení PDF je spáruje s konkrétním odesílatelem.
Zúžení množiny odesílatelů jen na instituce a právnické osoby na jednu stranu má své opodstatnění. Brněnský úřad se zjevně nechce zaobírat hlášeními o zavirovaných počítačích domácích uživatelů a logicky využívá nejjednodušší možnosti, jak se tomuto druhu oznámení efektivně vyhnout. Na druhou stranu tento selektivní přístup by podle připravované právní úpravy neobstál ani z jiného důvodu.
Kromě už zmíněných dobrovolných hlášení, která bude moci podat kdokoliv, projednávaný zákon počítá i s tím, že regulace se v určitých případech bude dotýkat i OSVČ, tedy fyzických osob podnikajících. Bude tak muset být možné, vlastně to bude nutné, aby se do Portálu mohli plnohodnotně přihlásit i lidé bez vazeb k právnické osobě nebo k orgánu veřejné moci, jako je tomu doposud. Jestliže NÚKIB upozorňuje, že „fyzická osoba bez příslušnosti k některé z uvedených institucí účet v Portálu získat nemůže“, platí to jen potud, co je v účinnosti stará právní úprava.
Jako zavádějící se pak v tomto kontextu jeví odpověď regulátora na otázku, jaké změny nastanou po účinnosti nového zákona o kybernetické bezpečnosti, kdy NÚKIB uvádí, že z pohledu uživatelských účtů zůstane i nadále zachován vztah mezi úřadem a konkrétní institucí. „Registrace organizace však již nebude na základě registračního formuláře, nýbrž po vyplnění formuláře ohlášení regulované služby,“ uvádí brněnský strážce kybernetického bezpečí. Můžeme pouze předpokládat, že i tyto pasáže Portálu ještě projdou revizí a aktualizací.
Kalkulačka napoví, s jak přísnou regulací počítat
Abychom jen nekritizovali, na redesignovaném portálu lze najít několik povedených počinů. Prvním z nich je přepracovaná kalkulačka slibující odpověď na otázku, zda poskytovaná služba bude regulovaná a do jakého režimu (zda mírnější, nebo přísnější regulace) bude spadat. NÚKIB si dal při vývoji záležet a nástroj předělal v duchu dobré UX praxe.
A názorně přistoupil i k vysvětlení rozdílu mezi původní směrnicí NIS a novou směrnicí NIS2 co do oborů služeb, na které nově dopadá. Jak ale okamžitě dodává, Bruselem definovaná odvětví se od těch českých liší, a to proto, že ani tady NÚKIB neodolal pokušení využít pravomoci některé sektory pro regulaci upravit.
Množiny odvětví spadajících pod regulaci NIS a NIS2
Vedle těchto drobností od inovovaného Portálu příliš proměn zatím očekávat nelze. Hmatatelným posunem je snad jen upřesnění odhadu, odkdy NÚKIB počítá s tím, že by zákon měl začít platit. Zatímco doposud neochvějně prezentoval, že se tak stane od poloviny roku 2025, nyní už je po sérii předchozích opravovaných odkladů opatrnější a používá příslovce „pravděpodobně“ nebo „nejdříve“.
Není se čemu divit. Do Velikonoc se poslanci sejdou už jen v jednom jednacím týdnu. A na třetí čtení čeká celá řada i dalších zákonů. Čas se přitom krátí. Předpisy, které Sněmovnu neopustí do začátku letních prázdnin, mají jen pramalou šanci začít platit ještě v tomto volebním období, což by vzhledem k probíhajícímu procesu infringementu ze strany Bruselu byl pro Česko vážný problém.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
