Úvodní stránka

Národní úřad pro kybernetickou a informační bezpečnost

Logo NÚKIB


Relevantní a přehledné informace k nové směrnici NIS2 najdete na nis2.nukib.cz


Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

Stát vstupuje do závěrečné fáze přípravy návrhu zákona o snižování rizik spojených s dodavateli informačních a komunikačních technologií

Po prvotních úvahách o tom, které dodavatele v jakém rozsahu prověřovat a na jakou infrastrukturu má omezení využití rizikových dodavatelů dopadnout, nyní Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dokončuje přípravu vlastního textu zákona, který by měl významně omezit vliv rizikových dodavatelů na nejvýznamnější infrastrukturu České republiky.

Připravit návrh zákona, zavádějící mechanismus prověřování dodavatelů, uložila Bezpečnostní rada státu NÚKIB v červnu 2022, s termínem předložení návrhu vládě v květnu 2023. „Jsem rád, že se nám i přes složitost této problematiky daří plnit harmonogram přípravy návrhu zákona a že se již nyní blížíme okamžiku, kdy budeme moci s partnery ze státní správy, soukromého a akademického sektoru konzultovat konkrétní znění této mimořádně významné legislativy,“ říká k postupu ředitel NÚKIB Lukáš Kintr a dále dodává: „Věřím, že pokud budou všechny strany zapojené do přípravy aktivní a konstruktivní, může mít Česká republika do dvou let komplexní systém pro omezení závislosti státu na nedůvěryhodných zahraničních dodavatelích. V oblasti informačních technologií tak do budoucna doufejme předejdeme situaci, jakou nyní pozorujeme například v souvislosti s dodávkami ropy a zemního plynu z Ruské federace.“

Mechanismus prověřování dodavatelů, jak je hlavní produkt návrhu zákona zkráceně nazýván, by měl státu umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury České republiky, vyhodnotit riziko spojené s těmito dodavateli a v případě vysokého rizika omezit využití takových dodavatelů v dané infrastruktuře.

Jak již označení „nejvýznamnější“ napovídá, připravovaný zákon by se neměl vztahovat na všechny systémy a služby regulované zákonem o kybernetické bezpečnosti, ale pouze na jejich podmnožinu s největším dopadem na stát a společnost. Ze současného členění povinných osob zákona o kybernetické bezpečnosti by měl nový zákon dopadnout na kritickou informační infrastrukturu a část informačních systémů základních služeb.

Do budoucna se nicméně kategorizace regulovaných osob v oblasti kybernetické bezpečnosti změní v důsledku aktualizace směrnice EU o kybernetické bezpečnosti, tzv. NIS2. Jelikož však provedení NIS2 do vnitrostátního práva připravuje NÚKIB jako gestor pro oblast kybernetické bezpečnosti, jsou obě legislativní změny chystány společně a v synergii. Výsledné návrhy by tedy měly plně odpovídat jak českým, tak celounijním potřebám a požadavkům. NIS2 tak ve vztahu k mechanismu prověřování dodavatelů změní pouze pojmy, nijak ale nezmění rozsah subjektů, kterých se mechanismus dotkne.

Prověřování by měl podle návrhu mechanismu provádět NÚKIB ve spolupráci s ministerstvy, zpravodajskými službami a dalšími organizačními složkami státu, majícími relevantní informace pro posouzení důvěryhodnosti dodavatele. Základem mechanismu však budou elementární informace o dodavatelích, poskytnuté jednotlivými správci regulované infrastruktury. Tyto informace stát spojí s vlastními informacemi a informacemi získanými od zahraničních partnerů a vyhodnotí na jejich základě naplnění či nenaplnění konkrétních kritérií pro prověření dodavatele. Daná kritéria budou zkoumat otázky existence a závažnosti hrozeb plynoucích z dodavatelských řetězců pro národní bezpečnost nebo veřejný pořádek prostřednictvím možnosti cizího státu převzít dodavatele, využít jej ke státní špionáži, narušit dostupnost cizí kritické infrastruktury a jiných rizik.

Samotné prověřováni bude stát moci provádět jak se zaměřením na dodavatele, kteří již svá plnění do strategické infrastruktury dodávají, tak na jejich poddodavatele a na potenciální dodavatele. Pokud bude identifikováno riziko spojené s dodavatelem, bude stát moci využití takového dodavatele v regulované infrastruktuře omezit obdobou současného varování dle zákona o kybernetické bezpečnosti či přímo zakázat formou opatření obecné povahy, směřujícího na množinu strategické infrastruktury. Na prověření dodavatele nebude existovat nárok a není ani ambicí státu prověřit všechny dodavatele, ale pouze ty, u kterých bude možná hrozba nějak indikována, například na základě aktuální bezpečnostní situace.

Cílem mechanismu je prověřovat zejména budoucí dodavatele. S omezením by tedy měly být všechny strany seznámeny nejlépe ještě před výběrem konkrétního dodavatele a uzavřením smlouvy. Může se ale stát, že bude některý dodavatel vyhodnocen jako nedůvěryhodný až po uzavření smlouvy. V takovém případě bude správci infrastruktury dána přiměřená lhůta pro to nahradit plnění od nedůvěryhodného dodavatele jiným, tak aby omezení zasáhlo do jeho podnikání či jiných činností co nejméně. Celý proces bude tedy maximálním způsobem chránit práva správce infrastruktury i samotného dodavatele a bude co možná nejvíce transparentní, včetně možnosti dotčených orgánů a osob vyjádřit se k rozsahu zamýšleného zákazu využití dodavatele.

Dne 7. prosince 2022 plánuje NÚKIB uspořádat seminář k připravovanému návrhu zákona (více viz pozvánka), kde účastníkům umožní diskutovat o prověřování dodavatelů v širších souvislostech. Tato akce volně navazuje na předchozí diskuse o této problematice, které se odehrály v červenci a v listopadu 2022 na půdě Poslanecké sněmovny Parlamentu České republiky a v září 2022 na konferenci CyberCon Brno či panelu v CEVRO Institutu v Praze. Možnost seznámit se s návrhem zákona a vyjádřit se k němu budou mít v následujících týdnech organizační složky státu zapojené do přípravy, v prvním čtvrtletí příštího roku pak bude možnost vyjádření se otevřena široké odborné veřejnosti.

Informace o dalším postupu, včetně možnosti vyjádření se k návrhu, budou uvedeny na webových stránkách NÚKIB.

Jednotná pravidla kybernetické bezpečnosti subjektů EU jsou opět o něco blíž

V pátek 18. listopadu 2022 schválila Rada Evropské unie (EU) obecný přístup k návrhu nařízení o kybernetické bezpečnosti orgánů, institucí a jiných subjektů Unie. Jedná se o společnou pozici všech členských zemí a zároveň o naplnění další z priorit Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) v rámci předsednictví České republiky v Radě EU. Návrh nařízení si klade za cíl nastavit jednotná pravidla kybernetické bezpečnosti jednotlivých subjektů a posílit tak jejich odolnost vůči kybernetickým hrozbám. Výsledkem má být napravení dosavadního nevyhovujícího stavu, kdy existují na úrovni kybernetické bezpečnosti unijních subjektů velké rozdíly a chybí jednotná úprava pravidel v této oblasti.

Návrh předložený Evropskou komisí v březnu 2022 byl významně rozpracován a finalizován pracovní skupinou Rady EU, které po dobu českého předsednictví předsedá NÚKIB. Schválený obecný přístup směřuje k nastavení pravidel pro unijní subjekty na obdobné úrovni, jakou předpokládá návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2, pro povinné subjekty v členských státech. Podporuje posílení pravomocí a rozšíření činností CERT-EU, stejně jako zřízení Interinstitucionálního výboru pro kybernetickou bezpečnost, který má dohlížet na implementaci nařízení a dodržování stanovených pravidel. V neposlední řadě vyzdvihuje nutnost posílení sdílení informací o incidentech mezi unijními subjekty, CERT-EU a také členskými státy, stejně jako kolektivní koordinaci reakcí na kybernetické incidenty.

Dosažením obecného přístupu Rady EU legislativní proces k uvedenému nařízení nekončí. Tato společná pozice všech členských států bude předmětem dalšího vyjednávání, a to v rámci tzv. trialogů, tedy jednání probíhajících mezi Radou EU, Evropským parlamentem a Evropskou komisí. Bude k nim přistoupeno, jakmile Evropský parlament schválí svou pozici k danému vyjednávání, pravděpodobně v první polovině příštího roku.

O závěrech jednání Rady si můžete přečíst také zde: Cybersecurity at the EU institutions, bodies, offices and agencies: Council adopts its position on common rules - Consilium (europa.eu)

V Praze a Brně se uskutečnil odborný workshop zaměřený na budoucí evropské certifikační schéma EUCC

Ve dnech 2. a 3. listopadu 2022 pořádal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v Praze a Brně workshop pro budoucí certifikační orgány, zkušební laboratoře a odbornou veřejnost se zájmem o nadcházející evropské schéma certifikace kybernetické bezpečnosti založené na Common Criteria (EUCC). Cílem setkání bylo vytvořit prostor pro předání vědomostí a zkušeností s budováním, provozem a financováním certifikačního orgánu a zkušební laboratoře v kontextu již zmíněného schématu EUCC.

Mezi účastníky workshopu patřili odborníci z NÚKIB, Českého institutu pro akreditaci, Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví, Cybersecurity Hubu, Elektrotechnického zkušebního ústavu, NAKIT, CERT-ACO a Masarykovy univerzity.

Za NÚKIB přivítal v Praze účastníky náměstek Sekce informační bezpečnosti Martin Smrčka, v Brně pak ředitel Odboru regulace Adam Kučínský. Oba ve svých úvodních projevech zdůraznili potřebu posilvoat vědomí o produktové certifikaci kybernetické bezpečnosti v České republice a záruku maximální podpory partnerům v této oblasti ze strany našeho úřadu. Pražský dopolední program zahájil Cyber Attaché Adam Botek, v Brně pak Markéta Šilhavá, vedoucí oddělení výzkumu a mezinárodních spoluprací, prezentací návrhu Cyber Resilience Actu, který představuje pro certifikační orgány zajímavou příležitost v oblasti certifikace produktů informačních a komunikačních technologií (ICT). Na naše kolegy z NÚKIB navázal přednáškou vedoucí pracovní skupiny agentury ENISA pro EUCC Philippe Blot, ve které se účastníci dozvěděli jak a proč se stát certifikačním orgánem pro schéma EUCC. Dopolední část workshopu završily kolegyně z BSI Klementina Geyer a Yona Raekow prezentací o stávající německé infrastruktuře pro EUCC a metodice provádění auditu a certifikace systému řízení bezpečnosti informací. Odpolední část byla v režii zástupců francouzské zkušební laboratoře Red Alert Labs, kdy Ronald Atoui a Ayman Khalil seznámili účastníky s procesy budování, řízení a financování laboratoře pro potřeby certifikace ICT produktů kybernetické bezpečnosti a také se podělili o velmi cenné zkušenosti s budováním expertního týmu.

Hlavním cílem workshopu bylo, kromě navázání nových kontaktů, otevřít tuzemské odborné veřejnosti a stakeholderům bránu do světa evropských certifikací kybernetické bezpečnosti pro produkty, služby a procesy a vytvořit podpůrnou a komunikační linku pro další budoucí partnery.

Kybernetické incidenty pohledem NÚKIB - říjen 2022

Vydali jsme přehled Kybernetických incidentů pohledem NÚKIB za říjen 2022.

Počet kybernetických útoků se v říjnu dostal vysoko nad průměr a jde o dosud nejvyšší hodnoty od letošního dubna. Velký podíl na tom mají DDoS útoky, jejichž počet dosahuje téměř souhrnných hodnot od začátku letošního roku.

DDoS útokům se tak věnujeme i v sekci Trendy v kybernetické bezpečnosti.

Celý dokument naleznete zde: https://www.nukib.cz/download/publikace/vyzkum/2022-10.pdf