Jisté je, že jsou zde normy, které jsou skutečně důležité pro naši republiku, budou mít dopad na mnoho podnikatelských subjektů a fyzických osob, prostě na běžného občana České republiky. Přitom se týkají stále důležitější problematiky kybernetické bezpečnosti. Také proto jsem před časem uspořádal s kolegou Robertem Králíčkem seminář s názvem „Směrnice NIS2 a co pro ni udělat“. A vzhledem k široké problematice zavádění prvků kybernetické bezpečnosti a jejího vlivu na život u nás to není rozhodně seminář poslední.

Chci nejen upozorňovat na možné komplikace v souvislosti s implementací nové evropské normy o kybernetické bezpečnosti, na očekáváné problémy, které u nás tento dokument způsobí. Půjde totiž bezesporu o potřebné definování zpřísnění pravidel pro bezpečnost firem kritické infrastruktury. Pro Českou republiku to např. znamená rozšíření subjektů kritické infrastruktury z dnešních zhruba čtyř set na minimálně šest tisíc organizací. Česká republika by přijetí této celoevropské normy měla legislativně stihnout do října tohoto roku. Pokud však bude současná vláda dávat přednost normám, které jsou v jejích očích prioritou, nebude dostatek času na projednání této normy ve sněmovně a od vlády budou vysílány argumenty, že je třeba normu rychle přijmout, protože České republice hrozí pokuta z EU. Klasický paradox Fialovy vlády… Máme času dost, ale ne teď…

NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, softwaru a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Jde také o segment, kterému se v rámci rozvoje schopností věnuje Armáda České republiky. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v těchto dnech poslal na Legislativní radu vlády novou verzi návrhu zákona o kybernetické bezpečnosti, ve které údajně vypořádal všechny klíčové rozpory včetně těch s ministerstvy financí a dopravy.

Ale zpět na seminář. Hlavními vystupujícími byli zástupci NÚKIB, agentury DIA, ČTÚ, společnosti Bankovní identita s.r.o. nebo Agentury rozvoje a podpory kritické infrastruktury. Směrnice NIS2 není jediný dokument, který má pomoci zvyšovat odolnost určité části subjektů. Kromě zákona o kybernetické bezpečnosti by jako další směrnice, která by měla být implementována do české legislativy je takzvaný CER (Critical Entities Resilience). Jde o směrnici zaměřenou na zvýšení odolnosti subjektů v členských státech, které jsou klíčové pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností v následujících odvětvích: energetika, doprava, bankovnictví, infrastruktura finanční trh, zdravotnictví, pitná voda, odpadní voda.

Jak jsem uvedl a nyní zopakuji: Vzhledem k potřebě obrovských změn v dotčených subjektech je potřeba co nejvíce o chystané implementaci směrnice hovořit a hledat takové postupy, které nebudou paralyzovat Českou republiku. Přijetí této normy pro domácí bezpečnost kyberprostoru, ale také pro důvěryhodnost ČR vůči ostatním evropským státům důležité to beze sporu. Ale jak jsem uvedl pro časopis CZ DEFENCE: „Tato změna s sebou přinese potřebu velkých investic pro nově definované subjekty kritické infrastruktury, ale zejména potřebu personálního zajištění. Vzhledem k tomu, že by se měl tento nový zákon dotknout například obcí, je otázka, zda na to budou finanční prostředky. Dalším problémem je, aby se zástupci všech 6 000 subjektů o své nové roli a povinnostech včas dozvěděli.