1
Regulatorní prostředí v oblasti
kyberbezpečnosti aneb co vše (…) je
relevantní?
Pavel Loutocký
2
Celkový kontext datové legislativy!!!
3
Kyberbezpečnost v EU
NIS 2CRACSA
ECCC CSolA
Bezpečnost
produktů, služeb a
procesů
Bezpečnost zařízení
a software,
požadavky na
výrobce
Bezpečnostní
požadavky na
organizace a
provozovatele
infrastruktur
Spolupráce mezi
členskými státy,
využití kapacit
organizací
Spolupráce a
koordinace ve
výzkumu a
implementaci
inovací
Technologie Organizace Infrastruktury
Státy a
instituce
SpolupráceRegulace
AI Act
GDPR
CER
DORA
MDREPOC
související sektorové
Právo ČR
• Zahrnuje kyberkriminalitu,
kyberbezpečnost, kyberobranu
• Ochrana prostředí v ČR
• Zaměření na významné a
kritické infrastruktury
• Implementuje právo EU
Právo EU
• Základ v ochraně prostředí
jednotného digitálního trhu
• Oblastí kyberkriminality a
kyberobrany jen omezeně řešené
• Stále komplexnější konglomerát
obecné a sektorové regulace
• Harmonizace a vliv na podobu
právní úpravy členských států
Strategie kyberbezpečnosti v EU
Odolnost, technologicí suverenita a
vedoucí role
• Odolná infrastruktura a kritické
služby
• Budování evropského
kybernetického štítu
• Ultra-bezpečná komunikační
infrastruktura
• Zabezpečení nové generace
mobilních sítí
• Internet bezpečných věcí
• Vyšší globání bezpečnost internetu
• Posílení postavení v
technologickém dodavatelském
řetězci
• Cyber-skilled pracovní síla
Budování operativních kapacit pro
prevenci, odvracení a reakci
• Joint Cyber Unit
• Boj s kyberkriminalitou
• EU toolbox pro kyberdiplomacii
• Posilování kapacit kybernetické
obrany
Podpora globáního a otevřeného
kyberprostoru
• Vedoucí role v budování standardů,
norem a rámců v kyberprostoru
• Spolupráce s partnery a multistakeholder
komunitami
• Posilování globílních kapacit pro
zvýšení globlní odolnosti
6
NIS 2
Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické
bezpečnosti
7
Směrnice NIS2
Širší působnost
Úprava vztahu k sektorově specifické regulaci
Úprava jurisdikce
Posílení managementu rizik a incidentů
Požadavky na řízení bezpečnosti
Vazba na certifikace
Vyšší sankce
8
Regulované sektory
̶ Nově není určováno ze strany NS – jen omezení velikosti (mid-caps, large)
Původně regulované směrnicí NIS
• Infrastruktura bankovního a finančního trhu
• Digitální infrastruktura
• Poskytovatelé digitálních služeb
• Energetika
• Zdravotnictví
• Doprava
• Dodávka vody
Rozšířená působnost NIS2
• Digitální služby (sítě a datové služby)
• Potravinářství
• Výrobci vybraných kritických produktů (léčiva,
chemické výrobky, zdravotnické prostředky)
• Poštovní a kurýrní služby
• Orgány veřejné moci
• Poskytovatelé veřejných síťových a komunikačních
služeb
• Poskytovatelé veřejně dostupných služeb
elektronických komunikací
• Vesmír
• Zpracování odpadu a odpadních vod
• Výzkumné instituce
9
Sektorově specifická regulace
̶ EU předpisy by měly být v souladu s NIS2
̶ Lex specialis derogat legi generali
̶ V aspektech neupravených v sektorově specifické regulaci budou
dále účinná ustanovení NIS2
̶ Budou guidelines
̶ Nově vazba na poskytování služeb, nikoliv sídlo (podobné GDPR)
̶ Obecně: v místě sídla, případně místo sídla designovaného
zástupce
10
Management rizik a incidentů
̶ Harmonizace úprav členských států
̶ Požadavek na vhodné a proporciální technická, operační a organizační opatření za účelem
minimalizace rizik a reakce na hrozby
̶ Analytické výstupy (analýza rizik, analýza hrozeb)
̶ Opatření a policies (management rizik a hrozeb, incident handling, řízení dodavatelských řetězců, ochrana
business kontinuity, apod.)
̶ Technická opatření (šifrování, zálohování, autentizace a autorizace apod.)
̶ Reportování incidentů s významným dopadem na poskytování služby – stupňovaný přístup:
̶ Notifikace
̶ Na výzvu průběžná zpráva
̶ Finální zpráva ne později než měsíc od incidentu
̶ Informování uživatelů služby o významných hrozbách a jejich potenciálních dopadech
Analýza rizik a systém informační bezpečnosti
Zvládání incidentů
Nástroje zajištění kontinuity provozu (zálohy, disaster-recovery, krizový management)
Bezpečnost dodavatelského řetězce
Bezpečnost vývoje, údržby a akvizic
Zpracování a oznamování zranitelností
Postupy pro hodnocení opatření k pokrytí kyberbezpečnostních rizik
Školení a kybernetická hygiena
Využití kryptografických prostředků a šifrování
Bezpečnost lidských zdrojů, řízení přístupů a aktiv
Zabezpečení autentizace
Bezpečnostní opatření
12
Řízení bezpečnosti
̶ Organizace musejí zavázat svoje řídící struktury aby:
̶ zavedly systém řízení bezpečnosti informací a systémů,
̶ zavedly mechanismy pro dohlížení nad implementací opatření,
̶ zavedly mechanismy pro zvyšování kvalifikace.
̶ Byla rovněž zavedena odpovědnost managementu za neplnění
povinností vyplývajících z NIS2
̶ + certifikace
13
Sankce
̶ Ex-ante dozor v případě základních služeb, ex-post v případě
významných služeb
̶ Správní pokuty budou ukládat národní dozorové orgány
̶ Možnost uvalení sankce v podobě znemožnění výkonu
manažerské funkce v rámci regulovaných subjektů
14
CSA
Akt o kybernetické bezpečnosti (nařízení)
15
Akt o kybernetické bezpečnosti
̶ Poskytuje nezávislost a tvalý mandát agentuře ENISA
̶ Zavádí mechanismus kyberbezpečnostních certifikací
̶ V současné době se zpracovávají:
̶ EUCC – EU Common Criteria
̶ EUCS – EU Cloud scheme
̶ EU 5G – EU 5G scheme
̶ Role poradních orgánů ECCG a SCCG
̶ EURWP – pracovní program – plánování vývoje schémat
16
Rámec pro certifikace
CABSA AB
EU Cybersecurity Certification Framework
Evaluation process Requirements
ITSEF
Manufacturer
supervision accreditation
implementation
Product, process, service
(ICT artifact)
conformity declaration
(self-assessment)
conformity assessment
(basic and substatial)
conformity assessment
(high)
17
Certifikace
Úroveň Co se testuje? Cíle Minimální posouzení
Vysoká Compliance a
robustnost
Zajištění suverenity,
odolnosti klíčových
infrastruktur, ochrana
dat a informačních
systémů
Pentesting
State-of-the-art útoky
Významná Compliance a
robustnost
Prevence
škálovatelných útoků na
středně a vysoce
významné infrastruktury
a systémy
Absence známých
zranitelností
Testování compliance
Základní Compliance Prevence masivních
útoků na low-cost
zařízení a služby
Revize dokumentace
Self-assessment
18
CRA
Akt o kybernetické odolnosti
(nařízení)
19
Akt o kybernetické odolnosti
̶ Nastavuje podmínky pro uvádění produktů s digitálním
elementem na EU trh
̶ Nastavuje pravidla pro design, vývoj a produkci produktů s
digitálním elementem
̶ Stanovuje požadavky na nakládání se zranitelnostmi produktů s
digitálním elementem
̶ Produkty s digitálním elementem (jakýkoliv software či hardwer
umožňující vzdálené zpracování dat):
̶ Všeobecné
̶ Základní (třída I a II)
̶ Dohledové orgány na úrovni členských států
̶ Sankce až 15 mil EUR (2,5% celosvětového obratu)
20
Povinnosti podle CRA
̶ Podmínky zavádění na trh:
̶ Povinnost zajištění souladu se základními
kyberbezpečnostními požadavky
̶ Povinnost zajištění zpracování zranitelností
̶ Pořízení dokumentace k produktu
̶ Zajištění souladu s podmínkami:
̶ Self-assessment (declaration of conformity)
̶ Certifikace
̶ Potvrzení souladu s relevantním standardem
21
Návrh zákona o kybernetické bezpečnosti
22
Návrh ZoKB
̶ Nově jediný typ povinné osoby – tzv „poskytovatel regulované
služby“ (jiný přístup než v NIS 2)
̶ Poskytovatelem regulované služby je kdokoliv, kdo poskytuje
alespoň jednu regulovanou službu (dle § 4 obdobně jako NIS 2)
̶ Poskytovatel regulované služby:
̶ režim vyšších povinností (+- 1000 subjektů)
̶ režim nižších povinností (+- 5000 subjektů)
̶ + Strategicky významná služba (§ 25 a násl)
23
Návrh ZoKB - §8
̶ V režimu vyšších povinností je poskytovatel regulované služby,
který z důvodu své velikosti, počtu uživatelů, geografického
rozšíření služby, dopadu na fungování odvětví nebo jiného
poskytovatele regulované služby nebo rizikovosti provozu, je
značně ekonomicky, společensky nebo bezpečnostně významný
pro Českou republiku.
̶ V režimu nižších povinností je poskytovatel regulované služby,
který není v režimu vyšších povinností podle věty první.
24
Prověřování dodavatelského řetězce
̶ Podmínky pro strategicky významnou službu určenou NÚKIBem v
rámci poskytovatelů regulovaných služeb
̶ NÚKIB posuzuje napojení na dodavatele a možnost ohrožení
̶ „Úřad vydá opatření obecné povahy, kterým stanoví poskytovatelům strategicky významných služeb podmínky nebo zakáže využití
plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, zjistí-li na základě vyhodnocení rizikovosti
dodavatele významné ohrožení bezpečnosti České republiky nebo vnitřního pořádku.“ (§ 29)
̶ X výjimky (§ 30) – například ohrožení poskytování strategické služby
25
Aktuální stav
V současné verzi došlo k úpravě definic,
vhodnějším stanovení zmocnění pro vydání
vyhlášek k zákonu, další zjednodušení
procesu samoidentifikace a registrace
regulované služby, struktura ale zachována
Aktuální info – návrh zákona schválen
vládou, jde do legislativního procesu
26
Sector specific:
GDPR
AI ACT
…
Ochrana osobních údajů
Chceme chránit osobní údaje?
profiling / surveillance / TikTok / Google / Social Credit System
27
Ochrana osobních údajů
• NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU)
2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v
souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o
ochraně osobních údajů) (GDPR)
• Zákon č. 110/2019 Sb. Zákon o zpracování osobních údajů
28
Ochrana osobních údajů
• Čl. 4 odst. 1 „osobními údaji (se rozumí) veškeré informace o
identifikované nebo identifikovatelné fyzické osobě (dále jen
„subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická
osoba, kterou lze přímo či nepřímo identifikovat, zejména
odkazem na určitý identifikátor, například jméno, identifikační
číslo, lokační údaje, síťový identifikátor nebo na jeden či více
zvláštních prvků fyzické, fyziologické, genetické, psychické,
ekonomické, kulturní nebo společenské identity této fyzické
osoby“
• Přímá v. nepřímá identifikace
• Kontext!
29
Zpracovávání osobních údajů
̶ Čl. 4 odst. 2
• jakákoliv operace nebo soubor operací s osobními údaji
• shromáždění, zaznamenání, uspořádání, strukturování, uložení,
přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití,
zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění,
seřazení či zkombinování, omezení, výmaz nebo zničení
30
Zpracovávání - zásady
̶ Platí pro kohokoli, kdo zpracovává (správce, zpracovatel)
• Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány
korektně a zákonným a transparentním způsobem
• Zásada limitace účelem
• Zásada minimalizace údajů (nezbytný rozsah)
• Zásada přesnosti
• Zásada omezení uložení (souvisí s minimalizací; právo být
zapomenut)
• Zásada integrity a důvěrnosti
• Zásada odpovědnosti
31
Zákonnost zpracování – právní tituly (čl. 6 odst. 1
GDPR)
a) Souhlas se zpracováním
b) Zpracování nezbytné pro plnění smlouvy – e.g. ehop
c) Zpracování nezbytné pro dodržení právní povinnosti správce – zaměstnavatel předává
údaje úřadu práce
d) Ochrana životně důležitých zájmů subjektu údajů (souhlas bez zbytečného odkladu) –
zásah doktora
e) Zpracování nezbytné pro plnění úkolu ve veřejném zájmu, nebo při výkonu veřejné moci,
kterým je pověřen správce – veřejná bezpečnost
f) Nezbytnost zpracování pro ochranu práv a právem chráněných zájmů správce, příjemce
nebo jiné dotčené osoby (test proporcionality) – monitorování sítě, CCTV
32
Práva subjektu údajů (Čl. 13-23)
• Právo být informován o zpracování osobních údajů
• Čl. 13 (když pochází údaje přímo od subjektu)
• Čl. 14 (když jsou údaje sesbírané jinde)
• Právo na přístup k údajům (čl. 15)
• Právo na opravu (čl. 16)
• Právo na výmaz („právo být zapomenut“) (čl. 17)
• Právo na omezení zpracování (čl. 18)
• Právo na přenositelnost údajů (čl. 20)
• Právo vznést námitku (čl. 21)
• Když zpracování z důvodu: oprávněného zájmu NEBO plnění úkolu ve veřejném
zájmu NEBO přímý marketing
• Právo na ochranu před automatizovaným individuálním
rozhodování, včetně profilování (čl. 22)33
AI Act
• Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června
2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a
mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU)
2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU)
2016/797 a (EU) 2020/1828 (akt o umělé inteligenci)
• Důvěra v AI (omezení black box)
• Rozčlenění povinností dle charakteru AI a úrovně automatizace
• Evropský přístup k umělé inteligenci
• EU AI Act Compliance Checker34
35
Díky za pozornost
loutocky@muni.cz