Autor fotografie: Pixabay|Popisek: Ilustrační foto
Bezpečnost internetu, soukromých sítí a informačních systémů se stává nevyhnutelnou podmínkou pro fungování moderní společnosti a pro vytvoření bezpečného celosvětového obchodu se službami. Narušení kybernetické bezpečnosti může způsobit lidská chyba, přírodní událost, technické selhání nebo i úmyslný útok. Tato narušení jsou přitom stále častější a komplexnější.
Podle studie z roku 2015, která analyzovala připravenost společností na kybernetický útok, bylo více jak 60 % společností terčem útoků narušitelů, kteří se snažili dostat do firemních sítí, a získat tak přístup k chráněným datům společností jako jsou například obchodní tajemství, duševní vlastnictví, záznamy zákazníků nebo informace o platbách. Celá čtvrtina společností přitom uvedla, že k podobným útokům dochází na denní bázi.
Nedostatečná bezpečnost sítí a informací, která může ohrozit zcela zásadní služby, jako jsou dodávka elektřiny, doprava (letecká, železniční) nebo bankovnictví, přivedla Evropskou komisi k přijetí směrnice o bezpečnosti sítě a informačních systémů (směrnice NIS), která vstoupila v platnost v srpnu tohoto roku. Směrnice NIS je vyjádřením strategie EU v oblasti kybernetické bezpečnosti a členské státy ji musí transponovat do svých právních řádů ve lhůtě 18 měsíců.
Směrnice ukládá minimální úroveň společné evropské ochrany před útoky na digitální technologie, sítě a služby a zároveň stanoví určitým subjektům povinnost hlásit významné případy porušení kybernetické ochrany. Zavedení požadavku na hlášení bezpečnostních incidentů se dotkne mimo jiné poskytovatelů digitálních služeb (internetové vyhledávače, sociální sítě, online obchody, atd.) a hospodářských subjektů v oblasti energetiky, zdravotnictví nebo například obchodování s cennými papíry. Tato oznamovací povinnost hospodářských subjektů o bezpečnostních incidentech, které mají významný dopad na jimi poskytované služby, tak ovlivní nejen činnost takových internetových gigantů, jako jsou Google, Amazon nebo PayPal, ale také činnost českých internetových obchodů.
Cílem směrnice je zabránit a adekvátně reagovat na kybernetické útoky nebo snahy o narušení kybernetické bezpečnosti. Připravenost členských států v této oblasti má být zajištěna vytvořením sítě bezpečnostních skupin CERT v jednotlivých členských státech (Skupina pro reakci na bezpečnostní hrozby), jejichž účelem je přispívat k budování důvěry mezi členskými státy a podporovat rychlou a účinnou operativní spolupráci. Česká skupina CERT bude podřízená českému odpovědnému orgánu, který bude vykonávat dohled nad bezpečností sítí a informačních systémů na vnitrostátní úrovni.
Směrnice NIS je poslední snahou Evropské komise reagovat na rychle se měnící povahu hrozeb s cílem vytvoření společné evropské vysoké úrovně ochrany ve všech členských státech.
Komise EU ve svém sdělení z 5. července 2016 vyzvala členské státy k aktivnímu využívání koordinačního mechanismu pro výměnu informací a přijímání opatření na bezpečnostní hrozby v kybernetickém světě. Opírajíc se o NIS směrnici, Komise dále plánuje návrh úpravy spolupráce v případě závažných kybernetických útoků.
Autor: Iveta Štefánková, právnička mezinárodní advokátní kanceláře PwC Legal
Článek byl zveřejněn v letošním 5. vydání SECURITY magazínu