Předseda Legislativní rady vlády (LRV) ve čtvrtek 13. 6. doporučil vládě schválit návrh nového zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) předložil upravený návrh po důkladném projednání a zapracování připomínek z jarních komisí LRV.
„Při zapracovávání podnětů LRV jsme byli s některými jejími členy v úzkém kontaktu a dovolím si říct, že to byla oboustranně přínosná diskuze. Nebyl tedy důvod očekávat jiný výsledek než doporučující stanovisko předsedy LRV,“ uvedl ředitel odboru regulace Adam Kučínský.
Návrh je plně v souladu s právem EU a v současné době čeká na projednání vládou, která se zaměří i na zbývající rozpory z mezirezortního připomínkového řízení. Schválený návrh pak poputuje do Poslanecké sněmovny Parlamentu ČR.
Senát Parlamentu České republiky schválil výroční zprávu Úřadu pro ochranu osobních údajů (ÚOOÚ) za rok 2023. Předseda Úřadu Jiří Kaucký zdůraznil důležitost regulace zpracování osobních údajů kvůli narůstajícím snahám o jejich zneužití, zejména u velkých zpracovatelů.
Výroční zpráva poskytuje přehled o dozorové činnosti ÚOOÚ, která zahrnuje:
Důraz je kladený na ochranu soukromí jednotlivců a zajištění kybernetické bezpečnosti. ÚOOÚ rovněž dohlíží na šíření nevyžádaných obchodních sdělení a má pravomoci v oblasti svobodného přístupu k informacím. V roce 2023 byl zaznamenaný výrazný nárůst mediálního dopadu a informovanosti o ochraně osobních údajů, s meziročním nárůstem mediálního zásahu o 113 %.
ENISA organizovala cvičeni Cyber Europe 2024 zaměřeného na testování připravenosti na rozsáhlé kybernetické útoky v energetickém sektoru EU. Cvičení prověřovalo koordinaci, schopnosti spolupráce a krizové řízení s cílem posoudit odolnost energetické infrastruktury. Účastnilo se:
Komisař Thierry Breton zdůraznil, že kybernetická bezpečnost je prioritou. Jen v roce 2023 se více než 200 kybernetických incidentů zaměřilo na odvětví energetiky a více než polovina z nich byla namířená konkrétně proti Evropě. Komisařka Kadri Simsonová dále uvedla, že cvičení posiluje schopnost čelit kybernetickým hrozbám, což je klíčové vzhledem k rostoucí propracovanosti inteligentních sítí.
Analytická zpráva z cvičení poskytne pokyny k posílení odolnosti energetického sektoru. Komise pracuje na aktualizaci doporučení z roku 2017 ohledně reakce na kybernetické incidenty. Více informací najdete na stránkách EU agentury pro kyberbezpečnost.
NÚKIB oznámil, že proces přijetí aktu o kybernetické odolnosti (CRA) pokročil. Komise očekává přijetí nařízení na podzim 2024, s účinností od druhé poloviny roku 2027 po tříletém přechodném období.
Nařízení zavádí povinnosti pro výrobce digitálních produktů (hardware i software) s cílem zvýšit kybernetickou bezpečnost po celou dobu jejich životního cyklu. Produkty budou rozdělené do tří kategorií:
To vše s jasně definovanými bezpečnostními požadavky pro vstup na unijní trh. Komise připravuje prováděcí nařízení, které upřesní kategorie významných a kritických produktů. Od 25. 6. do 17. 7. 2024 proběhnou specializované konzultace pro výrobce, zaměřené na technické specifikace a zpětnou vazbu.
Rok 2023 byl pro české firmy kritický z hlediska kybernetické bezpečnosti. NÚKIB zaznamenal rekordních 262 kybernetických incidentů, což je nárůst o téměř 50 % oproti předchozímu roku. Hackeři stále častěji využívají umělou inteligenci k vytváření sofistikovaných útoků, což představuje rostoucí hrozbu pro české organizace.
Závažnost situace podtrhuje i fakt, že dva z incidentů byly klasifikované jako nejzávažnější. Policie ČR hlásila nárůst útoků na bankovní klienty o 15 % jen v prvním pololetí roku 2023, s celkovými škodami ve výši stovek milionů korun.
Firmy čelí nejen rostoucím hrozbám, ale i výzvám souvisejícím s novým zákonem o kybernetické bezpečnosti, který přinese nové povinnosti vyplývající z evropské směrnice NIS2. Pouze 28 % organizací začalo s implementací opatření, což může mít vážné následky. Náklady na zavedení nových bezpečnostních opatření jsou vysoké, ale mohou být částečně kryté dotačními programy. Celý 72 % firem tedy zatím s implementací nezačalo, což je alarmující.
Ačkoli Česko vede v kybernetické bezpečnosti v rámci EU, čtvrtina firem stále nemá dostatečnou ochranu. Důraz je kladený na prevenci a školení, aby se české firmy lépe chránily proti stále sofistikovanějším útokům.
Tip: V předchozím květnovém bulletinu jsme vás informovali o tom, že Evropská unie hodlá regulovat AI.
Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní akreditační fórum (IAF) oznámily nové požadavky, aby normy pro systémy řízení zahrnovaly aspekty změny klimatu. Od 23. února 2024 musí podniky a organizace posuzovat relevanci změny klimatu a zohledňovat požadavky zainteresovaných stran.
Změny jsou zakotveny v kapitolách 4.1 - Porozumění organizaci a jejímu kontextu a 4.2 - Porozumění potřebám a očekáváním zainteresovaných stran a zahrnují následující:
Cílem je zajistit, aby organizace aktivně řešily klimatické výzvy. Pro certifikované společnosti se nic nemění, ale při auditech se budou nové požadavky přezkoumávat. Organizace musí přijmout vhodná opatření na základě posouzení rizik.
Tyto požadavky budou zahrnuté do norem jako ISO 27001:2022, ISO 22301:2019 a ISO 20000-1:2018. Podrobné pokyny pro implementaci poskytuje Auditing Practices Group.
Nový zákon o kybernetické bezpečnosti, připravený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), se setkal s výraznou kritikou od českých firem a operátorů. Tento zákon, který má implementovat evropskou směrnici NIS2 a zavést prověřování bezpečnosti dodavatelského řetězce, vyvolává obavy z vysokých nákladů a nepředvídatelnosti investičního prostředí.
Asociace provozovatelů mobilních sítí (APMS) varuje, že podnikatelé by mohli utratit až 65 miliard Kč kvůli nové regulaci, která překračuje směrnici NIS2. Hlavní body sporu zahrnují rozsah regulace a koncentraci pravomocí v rukou NÚKIB, což podle kritiků narušuje předvídatelné podnikatelské prostředí a zvyšuje administrativní zátěž.
Kritici také poukazují na nedostatečné hodnocení ekonomických dopadů této regulace, které by mohly ohrozit konkurenceschopnost českých podniků. Pokud se zákon nepřijme do 17. října, hrozí Česku sankce od Evropské unie. Ředitel NÚKIB Lukáš Kintr nicméně uvedl, že zákon bude pravděpodobně platit až od příštího roku.
Tip: Přečtěte si náš článek Směrnice NIS2 dopadne na 6000 subjektů – začněte s přípravou už dnes.
Ministerstvo průmyslu a obchodu předložilo aktualizaci Národní strategie umělé inteligence (NAIS) do mezirezortního připomínkového řízení. Tato strategie, navazující na veřejnou konzultaci, určuje priority v oblasti AI do roku 2030 a je součástí širší koncepce Digitální Česko. NAIS se zaměřuje na:
Cílem je posílit výzkumné kapacity, zlepšit výuku, podporovat rekvalifikace, zajistit ochranu práv, zvýšit kyberbezpečnost a podpořit firmy v adaptaci na AI technologie. Akční plán, který bude pravidelně aktualizovaný, obsahuje konkrétní iniciativy, finanční nároky a termíny plnění. Tento krok navazuje na výsledky veřejné konzultace k aktualizace Národní strategie umělé inteligence z října 2023.
Jsme hrdým partnerem Palo Alto Networks, americké společnosti specializující se na kybernetickou bezpečnost. Palo Alto Networks nabízí širokou škálu produktů a služeb zaměřených na zabezpečení sítí, včetně:
Díky tomuto partnerství mohou zákazníci NGSS využívat nejmodernější bezpečnostní řešení, která chrání jejich digitální infrastrukturu a zajišťují vysokou úroveň ochrany proti kybernetickým hrozbám.
Palo Alto Networks je celosvětově uznávaným lídrem v oblasti kybernetické bezpečnosti, který pomáhá organizacím bezpečně přejít na digitální technologie a poskytuje inovativní bezpečnostní platformy kombinující nejnovější pokroky v oblasti bezpečnosti, automatizace a analytiky.
Dne 5. června 2024 se uskutečnil webinář na téma „TISAX 6.0 a aktuality NIS2“, který vedli naši kolegové a odborníci na danou problematiku Antonín Šefčík a Martin Juhás. Účastníci se dozvěděli o novém legislativním rámci pro kybernetickou bezpečnost NIS2 a o klíčové bezpečnostní normě TISAX pro automobilový průmysl. Zákon musí být implementovaný do národního práva do října 2024.
Účastníci webináře získali přehled o změnách ve směrnici NIS2, včetně zavedení dvou režimů regulace („essential“ a „important“), a seznámili se s aktualizacemi, které se týkají výzkumu, vývoje, vzdělávání, bezpečnosti a průmyslu.
Diskutovalo se také o TISAX 6.0, kde byly představené nové labely a změny v dotazníku VDA ISA. Tyto změny kladou důraz na krizový management, použití schváleného softwaru a zvládání incidentů, přičemž se zaměřují na integritu a dostupnost informací v kontextu hrozeb, jako je ransomware.
Podrobnosti o těchto aktualizacích a jejich implementaci najdete v dostupné prezentaci nebo záznamu na YouTube. Vzhledem k nedostatku odborníků na kybernetickou bezpečnost doporučujeme svěřit implementaci potřebných opatření do rukou zavedených specializovaných společností.