Seriál o kybernetické a informační bezpečnosti obcí – 1. díl

Jak velkou radost mít z režimu nižších povinností.

Nejdříve dovolte citát sebe sama – „Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy“

Nový zákon o kybernetické bezpečnosti, navazující na evropskou směrnici NIS2 dopadne i na obce!

Ano, pokud Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nepodlehne lobbistickým tlakům, jejichž cílem je obce z povinností vůči zákonu o kybernetické bezpečnosti vyjmout úplně.

Prováděcí předpisy určují zavedení opatření pro zajištění kybernetické a informační bezpečnosti ve dvou režimech. Nižší a vyšší úroveň povinností. Detaily a rozdíly rozebereme hned v příštím článku.

Obce se stanou (tedy doufám) tzv. osobami povinnými vůči zákonu o kybernetické bezpečnosti. A to ty třetího typu a výše, takže ORP (Obce s rozšířenou působností). Jsou mezi nimi ale velké rozdíly. Primárně co do velikosti, tedy počtu občanů v jejich působnosti. Považuji za naprosto nešťastný přístup ze strany legislativy kybernetické bezpečnosti k míře povinností, které v této oblasti musí plnit jednotlivé obce. Jestliže nejmenší ORP má přibližně 2700 obyvatel a k tomu odpovídající počet uživatelů informačních systémů ve správě obce, tak by měl být z pohledu legislativy odlišný přístup k plnění povinností než u ORP velikosti městské části Hlavního města Prahy (vyšší desítky tisíc občanů), města Brna (stovky tisíc občanů) apod. Zařadit „velké“ ORP do režimu tzv. nižších povinností je cestou do pekla.

Snahy o „vyhnutí se“ povinnostem v kybernetické a informační bezpečnosti ovlivňuje „přesnocexperty“ živená hysterie, panující kolem směrnice NIS2 (evropská směrnice o bezpečnosti sítí a informací). Inzeráty typu „Jste připraveni na příchod směrnice NIS2? My vás připravíme“.

Směrnice NIS2 je tady od ledna 2023, nic nepřichází, už tu dávno je. A nedopadá na subjekty, úřady, firmy. Dopadá na stát, pro který z ní mimo jiné vyplývá povinnost transformovat tuto směrnici do národní legislativy. A až nová národní legislativa dopadne na subjekty, úřady, firmy atd. A proč ta hysterie? Někdo řekne „NIS2“ a už začíná panika. Protože to bude drahé – nesmysl, protože ty povinnosti jsou nové – další nesmysl a mnoho dalších nesmyslů.

V první řadě je nutno si říci pravdu. Co jsme v oblasti kybernetické bezpečnosti dělali dosud? To jsme opravdu nedělali nic a chceme začít až teď protože NIS2? Odpovědět si na otázku … co vlastně kybernetickou bezpečností chráníme? Víme to? Ví to vedení? Ví, že kybernetickou bezpečností chrání každý úřad (i ten obecní) schopnost poskytovat služby občanům? Plnit své zákonné povinnosti? Proč řešíme, jestli režim vyšších nebo nižších povinností? Buď pud sebezáchovy máme nebo ne. Buď služby občanům chceme poctivě a bezpečně poskytovat i zítra, pozítří, za týden, měsíc … nebo ne.

Připomíná mi to situaci, kdy ministerstvo zdravotnictví lobovalo za to, aby pod zákon o kybernetické bezpečnosti „nespadla“ žádná nemocnice. Potom už se všichni jenom divili. Útoky na nemocnice nás stály stovky miliónů korun a těžko lze dohledat, kdo ty škody vlastně zaplatil. A že některé z postižených nemocnic „nespadaly“ pod zákon o kybernetické bezpečnosti? To jim tváří v tvář mnohamilionovým škodám bylo slabou útěchou.

A jak na tom vlastě obce z pohledu kybernetické bezpečnosti jsou?

Kupodivu poměrně dobře. V rámci jednoho projektu jsem jich několik navštívil. Poznal jsem řadu „ajťáků“, kteří v rámci zdravého pudu sebezáchovy dobře nastavili technická opatření posilující úroveň kybernetické bezpečnosti. Jenom nevědí, že se některá opatření podle zákona tak jmenují. A tím pádem nevědí, že technická opatření vlastně „splňují“. Problém je spíše v organizačních opatřeních. To znamená dostat kybernetickou a informační bezpečnost do procesů, do každodenního života úřadu. Kybernetická a informační bezpečnost je klíčová pro zajištění schopnosti obce poskytovat služby svým občanům. Vím to moc dobře, protože jsem kybernetický útok na Úřad městské části Praha 5 zažil na vlastní kůži. A kdybychom nebyly připraveni, tak byly škody mnohem vyšší. Ale to je jiný příběh.

Příště si rozebereme jednotlivá opatření, jak jednoduše a rychle zjistit jak na tom s kybernetickou a informační bezpečností jsme, co můžeme v obci udělat snadno, rychle a levně a vlastními silami.

Ing. Aleš Špidla
přední expert na informační a kybernetickou bezpečnost, lektor a poradce pro společnost CATANIA GROUP s.r.o.