Jak tak pročítám novou verzi návrhů kyberzákona, který má za sebou mezirezortní připomínkové řízení, tak jsem se rozhodl, že se podělím o nějaké své postřehy.

Pozn.: Ne vše, co najdete v jednotlivých postřezích nutně souvisí jen se změnami, které v návrzích vznikly na základě mezirezortu, něco zmiňuji jen proto, že to přináší změnu oproti současně platnému ZKB a považuji to za důležité.

Definice

Definic není nikdy dost, obzvlášť těch obsahujících běžný termín s přívlastkem. V návrhu novely ZKB se objevila např. Hrozba a Významná hrozba.

ISMS již i v zákoně

Zatímco dříve jsme s ISMS (nebo s procesy podle ISO/IEC 27001) měli spojenou především vyhlášku o kybernetické bezpečnosti, dnes základy ISMS najdeme již v zákoně, a to:

A) Stanovení rozsahu

• určení všech primárních aktiv

• stanovení rozsahu - určení těch primárních aktiv, které souvisí s regulovanou službou

  • ve stanoveném rozsahu - určení organizačních částí a podpůrných aktiv

B) Hodnocení aktiv a identifikace vazeb mezi aktivy

Bezpečnostní opatření - Srovnání režimů regulace (aktualizováno)

Níže naleznete srovnání, které již znáte z předchozího newsletteru. Velice pozitivně hodnotím, že se nám do bezpečnostních opatření pro nižší režim promítlo řízení aktiv a řízení rizik, které tam původně nebyly. Zatím to není upravené v návrhu prováděcí vyhlášky, ale očekávám, že se tomu tak stane.

Hlášení incidentů

Jak je to s hlášením kybernetických bezpečnostních incidentů?

• vyšší režim - hlásí všechny s původem v kyberprostoru, kde nelze vyloučit úmyslné zavinění

  • hlásí se na NÚKIB

  • jestliže NÚKIB vyhodnotí, že má incident významný dopad na stát, nutno dodat do 72 hod. upřesňující informace

• nižší režim - s původem v kyberprostoru, s významným vlivem na bezpečnost regulované služby a nelze vyloučit úmyslné zavinění

  • hlásí se Národnímu CERT (CSIRT.CZ)

• informační povinnost - oznámení incidentu uživatelům regulované služby

Protiopatření (výstraha, varování, reaktivní protiopatření)

• Regulované subjekty na ně musí reagovat, (až na výjimky) oznamovat NÚKIBu výsledek reakce na protiopatření.

• Pozor, v případě, že regulované subjekty nebudou na protiopatření reagovat, hrozí pokuty.

Strategicky významná služba

Pozn.: Strategicky významná služba je důležitý pojem, který je v nZKB novinkou a který je spjatý s mechanismem prověřování bezpečnosti dodavatelského řetězce.

Zpravidla se “Strategicky významná služba” určí podle:

A) odvětví:

• veřejná správa,

• energetika,

• doprava a

• digitální infrastruktura a služby, nebo

B) NÚKIBu, v případě, že by její narušení mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek.

Obecně by mělo platit, že NÚKIB takovou službu označí jako strategicky významnou službu v evidenci regulovaných služeb.

Mechanismus prověřování bezpečnosti dodavatelského řetězce

Prověřování rizik spojených s dodavatelem

Mechanismus prověřování bezpečnosti dodavatelského řetězce se vlastně týká, poměrně malého rozsahu z celkového počtu v budoucnu regulovaných služeb. Proč tomu tak je? Omezuje to právě ona definice Strategicky významné služby a pak taky níže uvedené pojmy:

• kritická část stanoveného rozsahu = aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle vyhlášky Úřadu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní vysoká nebo kritická; kritickou částí stanoveného rozsahu jsou vždy alespoň aktiva stanoveného rozsahu strategicky významné služby, která zajišťují nepominutelné funkce stanoveného rozsahu stanovené vyhláškou Úřadu,

• bezpečnostně významná dodávka = plnění směřující do kritické části stanoveného rozsahu spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu:

  • technického prostředku nebo vybavení s výpočetní kapacitou

  • programového prostředku nebo vybavení

  • informační či komunikační služby

• dodavatel bezpečnostně významné dodávky = ten, kdo poskytovateli strategicky významné služby poskytne přímo či jako poddodavatel bezpečnostně významnou dodávku.

Nepominutelné funkce stanoveného rozsahu má stanovovat NÚKIB svojí vyhláškou. Zatím by to podle současných návrhů měly být tyto funkce:

1. Nepominutelné funkce ve veřejné komunikační síti související s řízením síťových zdrojů, se směrováním a jinou kontrolou nebo řízením provozu koncových uživatelů ve veřejné komunikační síti, které mohou mít významný dopad na síťový provoz. Např.:

   1. Evidence, správa přístupu, ověřování a autorizace koncových uživatelů, přidělování síťových zdrojů koncovým uživatelům a správa připojení a relací koncových uživatelů.

   2. Registrace, autentizace a autorizace funkcí veřejné komunikační sítě a síťových služeb.

   3. Funkce umožňující přístup k údajům o zeměpisné poloze koncových zařízení zpracovávaných v rámci veřejné komunikační sítě nebo umožňující určení polohy zařízení pomocí prostředků veřejné komunikační sítě.

   4. atd.

2. Nepominutelné funkce sítí 4. generace - veřejná komunikační síť provozovaná s využitím standardu 3GPP LTE (Release 8 a vyšší) nebo standardem IEEE 802.16m

3. Nepominutelné funkce sítí 5. generace - veřejná komunikační síť vyhovující standardu sítí elektronických komunikací dle specifikace 3GPP/ETSI zahrnující minimálně standard přístupové rádiové sítě 5G NR (New Radio) v architektuře, která splňuje požadavky specifikací ETSI TS 123 501 (3GPP TS 23.501) a ETSI TS 138 401 (3GPP TS 38.401) nebo aktuálnějších.

Zjednodušeně dopadá mechanismus prověřování bezpečnosti dodavatelského řetězce na zvýrazněné oblasti na schématu:

Omezení rizik spojených s dodavatelem

NÚKIB může opatřením obecné povahy stanovit podmínky nebo zakázat využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, zjistí-li na základě vyhodnocení rizikovosti dodavatele možné významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku.

Pozn.: Připouští se i výjimky z omezení rizik spojených s dodavatelem.

Povinnosti spojené s prověřováním bezpečnosti dodavatelského řetězce

Poskytovatel strategicky významné služby musí:

• zjišťovat informace o dodavatelích bezpečnostně významných dodávek

• hlásit dodavatele bezpečnostně významných dodávek na NÚKIB

Pozor na jednu věc - všichni jsme se sice radovali, že NUKIB vydal sadu FactSheetů k novele ZKB, když se ale důkladně kouknete na datumy jejich verzí (většinou jde o verze 1.0), tak jsou z října 23. Některé z nich již nejsou aktuální, neboť se nZKB změnil v rámci mezirezortu. Např. tento, který se zabývá právě bezpečností dodavatelského řetězce je toho příkladem: https://osveta.nukib.cz/pluginfile.php/58363/course/section/1391/Factsheet_BDR_1.0.pdf

Zajištění dostupnosti strategicky významné služby

Poskytovatel strategicky významné služby musí

• Zajistit její dostupnost v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.

• Prověřovat schopnost zajištění jejího poskytování (testovat BCP/DRP) v nezbytném rozsahu z území České republiky nejméně jednou za 2 roky a o tomto prověření vyhotovit písemný záznam.

Pozor! Zatímco nezbytný rozsah dostupnosti strategicky významné služby má stanovit vyhláška NÚKIBu, stanovený čas a kvalitu služby stanoví poskytovatel strategicky významné služby zejména s ohledem na charakter a specifika jím poskytované strategicky významné služby, účel, pro nějž je poskytována, a závažnost dopadů narušení jejího řádného poskytování na uživatele služby. Uvidíme, jak to půjde v praxi realizovat…

Pokračování příště …

Zdroje

• https://www.odok.cz/portal/veklep/material/ALBSCSSFKU7S/

• FactSheety dostupné na NIS2.NUKIB.CZ