Kybernetická bezpečnost v Česku: 50% nárůst incidentů, nové legislativní výzvy a AI jako nová hrozba

Kybernetická bezpečnost v Česku: 50% nárůst incidentů, nové legislativní výzvy a AI jako nová hrozba

02. 07. 2024
Je nový kybernetický zákon pozitivní změnou, nebo jen dalším složitým nařízením? Legislativní rada vlády doporučila schválení, ale co to znamená pro nás? Podniky se obávají nákladů, hackeři zneužívají umělou inteligenci a my se ptáme: jsme připravení na tyto nové výzvy? V tomto článku si projdete labyrintem kybernetické legislativy a zjistíte, jak se to všechno dotkne vašeho každodenního života.

Legislativní rada vlády (LRV) doporučila schválení kybernetického zákona 

Předseda Legislativní rady vlády (LRV) ve čtvrtek 13. 6. doporučil vládě schválit návrh nového zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) předložil upravený návrh po důkladném projednání a zapracování připomínek z jarních komisí LRV. 

„Při zapracovávání podnětů LRV jsme byli s některými jejími členy v úzkém kontaktu a dovolím si říct, že to byla oboustranně přínosná diskuze. Nebyl tedy důvod očekávat jiný výsledek než doporučující stanovisko předsedy LRV,“ uvedl ředitel odboru regulace Adam Kučínský.  

Návrh je plně v souladu s právem EU a v současné době čeká na projednání vládou, která se zaměří i na zbývající rozpory z mezirezortního připomínkového řízení. Schválený návrh pak poputuje do Poslanecké sněmovny Parlamentu ČR. 

 

Senát schválil výroční zprávu ÚOOÚ za rok 2023 

Senát Parlamentu České republiky schválil výroční zprávu Úřadu pro ochranu osobních údajů (ÚOOÚ) za rok 2023. Předseda Úřadu Jiří Kaucký zdůraznil důležitost regulace zpracování osobních údajů kvůli narůstajícím snahám o jejich zneužití, zejména u velkých zpracovatelů. 

Výroční zpráva poskytuje přehled o dozorové činnosti ÚOOÚ, která zahrnuje:  

  • kontroly,  
  • správní řízení,  
  • komunikaci se správci a zpracovateli osobních údajů  
  • a upozorňování na možná porušení předpisů.  

Důraz je kladený na ochranu soukromí jednotlivců a zajištění kybernetické bezpečnosti. ÚOOÚ rovněž dohlíží na šíření nevyžádaných obchodních sdělení a má pravomoci v oblasti svobodného přístupu k informacím. V roce 2023 byl zaznamenaný výrazný nárůst mediálního dopadu a informovanosti o ochraně osobních údajů, s meziročním nárůstem mediálního zásahu o 113 %. 

 

Celoevropské cvičení pro připravenost na kybernetické útoky v energetice 

ENISA organizovala cvičeni Cyber Europe 2024 zaměřeného na testování připravenosti na rozsáhlé kybernetické útoky v energetickém sektoru EU. Cvičení prověřovalo koordinaci, schopnosti spolupráce a krizové řízení s cílem posoudit odolnost energetické infrastruktury. Účastnilo se:  

  • 30 národních agentur pro kybernetickou bezpečnost,  
  • různé EU agentury, instituce a sítě (např. ENISA, CERT-EU, EE-ISAC, NIS Cooperation Group, CSIRT Network) 
  • a přes 1000 odborníků.  

Komisař Thierry Breton zdůraznil, že kybernetická bezpečnost je prioritou. Jen v roce 2023 se více než 200 kybernetických incidentů zaměřilo na odvětví energetiky a více než polovina z nich byla namířená konkrétně proti Evropě. Komisařka Kadri Simsonová dále uvedla, že cvičení posiluje schopnost čelit kybernetickým hrozbám, což je klíčové vzhledem k rostoucí propracovanosti inteligentních sítí. 

Analytická zpráva z cvičení poskytne pokyny k posílení odolnosti energetického sektoru. Komise pracuje na aktualizaci doporučení z roku 2017 ohledně reakce na kybernetické incidenty. Více informací najdete na stránkách EU agentury pro kyberbezpečnost.  

 

Přijetí aktu o kybernetické odolnosti je o krok blíže 

NÚKIB oznámil, že proces přijetí aktu o kybernetické odolnosti (CRA) pokročil. Komise očekává přijetí nařízení na podzim 2024, s účinností od druhé poloviny roku 2027 po tříletém přechodném období. 

Nařízení zavádí povinnosti pro výrobce digitálních produktů (hardware i software) s cílem zvýšit kybernetickou bezpečnost po celou dobu jejich životního cyklu. Produkty budou rozdělené do tří kategorií:  

  • obecné,  
  • významné  
  • a kritické 

To vše s jasně definovanými bezpečnostními požadavky pro vstup na unijní trh. Komise připravuje prováděcí nařízení, které upřesní kategorie významných a kritických produktů. Od 25. 6. do 17. 7. 2024 proběhnou specializované konzultace pro výrobce, zaměřené na technické specifikace a zpětnou vazbu.  

 

Rekordní počet kybernetických útoků na českém území: Hackeři zneužívají AI 

Rok 2023 byl pro české firmy kritický z hlediska kybernetické bezpečnosti. NÚKIB zaznamenal rekordních 262 kybernetických incidentů, což je nárůst o téměř 50 % oproti předchozímu roku. Hackeři stále častěji využívají umělou inteligenci k vytváření sofistikovaných útoků, což představuje rostoucí hrozbu pro české organizace. 

Závažnost situace podtrhuje i fakt, že dva z incidentů byly klasifikované jako nejzávažnější. Policie ČR hlásila nárůst útoků na bankovní klienty o 15 % jen v prvním pololetí roku 2023, s celkovými škodami ve výši stovek milionů korun. 

Firmy čelí nejen rostoucím hrozbám, ale i výzvám souvisejícím s novým zákonem o kybernetické bezpečnosti, který přinese nové povinnosti vyplývající z evropské směrnice NIS2. Pouze 28 % organizací začalo s implementací opatření, což může mít vážné následky. Náklady na zavedení nových bezpečnostních opatření jsou vysoké, ale mohou být částečně kryté dotačními programy. Celý 72 % firem tedy zatím s implementací nezačalo, což je alarmující

Ačkoli Česko vede v kybernetické bezpečnosti v rámci EU, čtvrtina firem stále nemá dostatečnou ochranu. Důraz je kladený na prevenci a školení, aby se české firmy lépe chránily proti stále sofistikovanějším útokům.  

Tip: V předchozím květnovém bulletinu jsme vás informovali o tom, že Evropská unie hodlá regulovat AI

 

Klimatická krize a podnikové normy: ISO a IAF zavádějí nové směrnice 

Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní akreditační fórum (IAF) oznámily nové požadavky, aby normy pro systémy řízení zahrnovaly aspekty změny klimatu. Od 23. února 2024 musí podniky a organizace posuzovat relevanci změny klimatu a zohledňovat požadavky zainteresovaných stran. 

Změny jsou zakotveny v kapitolách 4.1 - Porozumění organizaci a jejímu kontextu a 4.2 - Porozumění potřebám a očekáváním zainteresovaných stran a zahrnují následující: 

  • Kapitola 4.1: Organizace určí, zda je změna klimatu relevantním tématem. 
  • Kapitola 4.2: POZNÁMKA: Relevantní zainteresované strany mohou mít požadavky související se změnou klimatu. 

Cílem je zajistit, aby organizace aktivně řešily klimatické výzvy. Pro certifikované společnosti se nic nemění, ale při auditech se budou nové požadavky přezkoumávat. Organizace musí přijmout vhodná opatření na základě posouzení rizik. 

Tyto požadavky budou zahrnuté do norem jako ISO 27001:2022, ISO 22301:2019 a ISO 20000-1:2018. Podrobné pokyny pro implementaci poskytuje Auditing Practices Group

 

Nový zákon o kybernetické bezpečnosti čelí kritice a zpoždění 

Nový zákon o kybernetické bezpečnosti, připravený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), se setkal s výraznou kritikou od českých firem a operátorů. Tento zákon, který má implementovat evropskou směrnici NIS2 a zavést prověřování bezpečnosti dodavatelského řetězce, vyvolává obavy z vysokých nákladů a nepředvídatelnosti investičního prostředí. 

Asociace provozovatelů mobilních sítí (APMS) varuje, že podnikatelé by mohli utratit až 65 miliard Kč kvůli nové regulaci, která překračuje směrnici NIS2. Hlavní body sporu zahrnují rozsah regulace a koncentraci pravomocí v rukou NÚKIB, což podle kritiků narušuje předvídatelné podnikatelské prostředí a zvyšuje administrativní zátěž

Kritici také poukazují na nedostatečné hodnocení ekonomických dopadů této regulace, které by mohly ohrozit konkurenceschopnost českých podniků. Pokud se zákon nepřijme do 17. října, hrozí Česku sankce od Evropské unie. Ředitel NÚKIB Lukáš Kintr nicméně uvedl, že zákon bude pravděpodobně platit až od příštího roku. 

Tip: Přečtěte si náš článek Směrnice NIS2 dopadne na 6000 subjektů – začněte s přípravou už dnes

 

Nová strategie AI směřuje do mezirezortního připomínkového řízení 

Ministerstvo průmyslu a obchodu předložilo aktualizaci Národní strategie umělé inteligence (NAIS) do mezirezortního připomínkového řízení. Tato strategie, navazující na veřejnou konzultaci, určuje priority v oblasti AI do roku 2030 a je součástí širší koncepce Digitální Česko. NAIS se zaměřuje na:  

  • výzkum,  
  • vývoj a inovace,  
  • vzdělávání,  
  • dovednosti,  
  • etické a právní aspekty,  
  • bezpečnost,  
  • průmysl a veřejnou správu.  

Cílem je posílit výzkumné kapacity, zlepšit výuku, podporovat rekvalifikace, zajistit ochranu práv, zvýšit kyberbezpečnost a podpořit firmy v adaptaci na AI technologie. Akční plán, který bude pravidelně aktualizovaný, obsahuje konkrétní iniciativy, finanční nároky a termíny plnění. Tento krok navazuje na výsledky veřejné konzultace k aktualizace Národní strategie umělé inteligence z října 2023. 

 

Posilujeme bezpečnost spoluprací s Palo Alto Networks 

Jsme hrdým partnerem Palo Alto Networks, americké společnosti specializující se na kybernetickou bezpečnost. Palo Alto Networks nabízí širokou škálu produktů a služeb zaměřených na zabezpečení sítí, včetně:  

  • firewallů nové generace,  
  • ochrany koncových bodů,  
  • cloudové bezpečnosti  
  • a bezpečnostní analýzy. 

Díky tomuto partnerství mohou zákazníci NGSS využívat nejmodernější bezpečnostní řešení, která chrání jejich digitální infrastrukturu a zajišťují vysokou úroveň ochrany proti kybernetickým hrozbám. 

Palo Alto Networks je celosvětově uznávaným lídrem v oblasti kybernetické bezpečnosti, který pomáhá organizacím bezpečně přejít na digitální technologie a poskytuje inovativní bezpečnostní platformy kombinující nejnovější pokroky v oblasti bezpečnosti, automatizace a analytiky.  

 

Webinář o TISAX 6.0 a aktualitách NIS2 

Dne 5. června 2024 se uskutečnil webinář na téma „TISAX 6.0 a aktuality NIS2“, který vedli naši kolegové a odborníci na danou problematiku Antonín Šefčík a Martin Juhás. Účastníci se dozvěděli o novém legislativním rámci pro kybernetickou bezpečnost NIS2 a o klíčové bezpečnostní normě TISAX pro automobilový průmysl. Zákon musí být implementovaný do národního práva do října 2024. 

Účastníci webináře získali přehled o změnách ve směrnici NIS2, včetně zavedení dvou režimů regulace („essential“ a „important“), a seznámili se s aktualizacemi, které se týkají výzkumu, vývoje, vzdělávání, bezpečnosti a průmyslu.  

Diskutovalo se také o TISAX 6.0, kde byly představené nové labely a změny v dotazníku VDA ISA. Tyto změny kladou důraz na krizový management, použití schváleného softwaru a zvládání incidentů, přičemž se zaměřují na integritu a dostupnost informací v kontextu hrozeb, jako je ransomware. 

Podrobnosti o těchto aktualizacích a jejich implementaci najdete v dostupné prezentaci nebo záznamu na YouTube. Vzhledem k nedostatku odborníků na kybernetickou bezpečnost doporučujeme svěřit implementaci potřebných opatření do rukou zavedených specializovaných společností. 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.