Úvodní stránka

Národní úřad pro kybernetickou a informační bezpečnost

Logo NÚKIB


Relevantní a přehledné informace k nové směrnici NIS2 najdete na nis2.nukib.cz


Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

Nový zákon o kybernetické bezpečnosti, NÚKIB vyzývá odbornou veřejnost ke konzultacím

Česká republika vstupuje do další fáze transpozice směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Evropské unii, tzv. směrnice NIS2, do českého právního řádu. Poté, co směrnice vstoupila v polovině ledna v platnost, začala členským státům EU běžet 21 měsíců dlouhá lhůta, během které musí transponovat tento předpis a změny z něj vyplývající do národních legislativ. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), jako ústřední správní orgán, v jehož gesci je daná problematika, se však na přijetí připravuje mnohem delší dobu.

Již v srpnu loňského roku NÚKIB spustil webové stránky nis2.nukib.cz. Jejich cílem je podat přehledné a ucelené informace o tom, co nová směrnice přináší, popsat největší změny stávajících požadavků a způsob, jak budou evropské požadavky promítnuty do národní legislativy. Jak NÚKIB již při spuštění stránek avizoval, informace na nich bude průběžně aktualizovat a doplňovat. Největší změnou, ke které došlo k 26. lednu 2023 a kterou jsme se rozhodli dát na vědomí také touto cestou, je přidání informací o tom, jak vypadají legislativní návrhy pro národní úpravu.  

Vzhledem ke skutečnosti, že přijetí směrnice NIS2 požaduje provést v oblasti regulace kybernetické bezpečnosti řadu změn, bylo nutné vypracovat nový zákon o kybernetické bezpečnosti a 8 prováděcích vyhlášek. Návrh těchto předpisů nyní dává NÚKIB k dispozici na zmíněném webu nis2.nukib.cz ke konzultacím veřejnosti. Připomínky a podněty lze zasílat prostřednictvím formuláře zveřejněného na výše uvedených webových stránkách. Prostor pro jejich zaslání má veřejnost do 26. února 2023. Spolu s těmito dokumenty web obsahuje také články popisující v deseti tematických okruzích největší změny, které předložené návrhy přibližují. Mimo transpozici požadavků směrnice NIS2 je pak obsahem zveřejněných materiálů i návrh nové legislativy mechanismu prověřování rizikovosti dodavatelů, tj. problematika bezpečnosti dodavatelského řetězce.

NÚKIB zároveň zdůrazňuje, že se jedná o návrh právní úpravy, který dává k dispozici pro konzultace již necelý měsíc po zveřejnění směrnice NIS2, ke kterému došlo 27. prosince 2022. Nejedná se tedy o finální legislativní návrhy. Cílem této veřejné konzultace je zapojit odbornou veřejnost do tvorby legislativy ještě před samotným oficiálním legislativním procesem. Tato veřejná konzultace zároveň nenahrazuje standardní mezirezortní připomínkové řízení ani další fáze legislativního procesu, které teprve nastanou. „Konzultace s odbornou veřejností jsou ze strany NÚKIB osvědčenou praxí. Obzvláště v takto významných případech chceme znát názor expertů mimo náš úřad, tedy zástupců subjektů, kterých se regulace přímo týká. Cílem je najít určitý konsenzus, pro všechny strany co nejoptimálnější řešení. Při rozhodování o definitivní podobě ale vždy musíme mít na paměti, že nám jde především o maximální bezpečnost České republiky,“ sdělil k tomuto kroku ředitel NÚKIB Lukáš Kintr.

„Aktuálně jde o návrhy legislativy, které se ještě budou měnit, finalizovat, právě na základě podnětů veřejnosti, nebo případně pak v rámci standardního legislativního procesu. Našim záměrem bylo dát odborné veřejnosti tyto návrhy ke konzultacím a diskusi co nejdříve. Při jejich zpracování jsme se opírali o kvalitní původní zákon o kybernetické bezpečnosti a o zkušenosti získané při jeho aplikaci,“ dodává za NÚKIB ředitel odboru regulace Adam Kučínský.

 

Dřívější aktuality související s NIS2:

Národní úřad pro kybernetickou a informační bezpečnost - NÚKIB spouští webové stránky ke směrnici NIS2 (nukib.cz)

Národní úřad pro kybernetickou a informační bezpečnost - NÚKIB představuje evropskou směrnici NIS2 (nukib.cz)

Národní úřad pro kybernetickou a informační bezpečnost - Rada Evropské unie přijala znění nové směrnice NIS2 (nukib.cz)

Díky práci NÚKIB během CZ PRES se zvyšuje kyberbezpečnost EU

Půlroční předsednictví v Radě Evropské unie (CZ PRES) je za námi. Zatímco pro Českou republiku se jednalo o historicky druhé předsednictví, pro Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), jakožto ústřední správní orgán pro kybernetickou bezpečnost České republiky, který vznikl teprve před 5 lety, bylo premiérou. Byla to však premiéra zdařilá. Zvládli jsme vedení několika pracovních skupin v Radě i mimo ni, úspěšně zorganizovali široké spektrum výjezdních zasedání, konferencí, seminářů a povedly se nám také naplnit 3 definované priority. Těmi byly:

nalezení shody napříč členskými státy ohledně podoby návrhu nařízení Evropského parlamentu a Rady EU, který stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech EU, projednávání návrhu Aktu o kybernetické odolnosti (Cyber Resilience Act), posilování tématu kybernetické bezpečnosti dodavatelského řetězce (BDŘ) v informačních a komunikačních technologií (ICT).

Přestože se NÚKIB daným problematikám věnoval již před samotným předsednictvím, v čemž hodláme v budoucnu nadále pokračovat, CZ PRES nám nabídlo jedinečnou příležitost vzít otěže do vlastních rukou a pokročit v daných věcech. V tomto duchu se také v září vyjádřil ředitel NÚKIB Lukáš Kintr na jednání Skupiny pro spolupráci NIS: „Uděláme maximum pro to, abychom agendu kybernetické bezpečnosti posunuli výrazně kupředu a posílili tak odolnost Evropské unie jako celku.“ Naplnění všech tří priorit NÚKIB napomohlo dosáhnout cílů ČR v oblasti kybernetické bezpečnosti stanovených pro CZ PRES a vybudovat podstatný základ pro další směřování státu i celé Unie v daných oblastech. Podařilo se nám tak splnit závazek, který jsme si pro předsednictví stanovili.

Co konkrétně se nám podařilo? V říjnu Rada EU přijala závěry týkající se BDŘ v ICT, které vyzdvihly důležitost společného postupu v řešení tohoto tématu a nastínily konkrétní kroky a iniciativy potřebné k posílení této oblasti napříč státy EU. Mělo by tak výhledově dojít k omezení vlivu rizikových dodavatelů na nejvýznamnější informační infrastrukturu jednotlivých států. NÚKIB již nyní dokončuje přípravu textu návrhu zákona, který bude tento cíl reflektovat a navýší kybernetickou bezpečnost České republiky.

Další pro CZ PRES stanovená priorita byla naplněna v listopadu, kdy Rada EU schválila obecný přístup a vyjádřila tak jednotnou pozici všech 27 členských států k návrhu nařízení o kybernetické bezpečnosti orgánů, institucí a jiných subjektů Unie. Přijetím tohoto nařízení má být výhledově napraven současný nevyhovující stav, kdy neexistují společná pravidla jednotlivých subjektů, přičemž v úrovních jejich kybernetické bezpečnosti panují velké rozdíly. Sjednocení pravidel povede k posílení kybernetické bezpečnosti celé EU. Obecný přístup byl vyjednán na pracovní skupině, které předsedal právě NÚKIB.

Naší poslední prioritou bylo zahájit projednávání návrhu Aktu o kybernetické odolnosti, jenž stanovuje pravidla pro uvádění produktů s digitálními prvky na evropský trh. Cílem Aktu je zajistit kybernetickou bezpečnost těchto produktů během jejich celého životního cyklu a také zlepšit informovanost jejich uživatelů. Po pročtení návrhu byla během CZ PRES připravena také první revize textu k rozsahu působnosti nařízení a schválena zpráva o pokroku, kterou připravoval náš Úřad. Nyní bude na našich švédských kolezích, aby učinili v dané věci další potřebné kroky pro přijetí tohoto legislativního návrhu.

NÚKIB v rámci CZ PRES uspořádal v Brně, Praze i Bruselu přibližně šestnáct akcí mezinárodního charakteru, jichž se zúčastnily fyzicky či virtuálně celkově stovky lidí. Mezi nimi bylo také první neformální setkání delegátů Horizontální pracovní skupiny pro kybernetické otázky Rady EU a Výboru pro kybernetickou obranu NATO za účelem posilování spolupráce mezi EU a NATO, což byla jedna z hlavních priorit ČR. Šlo vůbec o první setkání tohoto formátu, na které by do budoucna ráda navázala i nadcházející předsednictví. Bezpochyby největší a nejvýznamnější akcí však byla prestižní Prague Cyber Security Conference, které se 3. listopadu 2022 zúčastnilo na 500 expertů na kybernetickou bezpečnost z více než 80 zemí světa, EU i NATO. Cílem všech aktivit byla nejen výměna zkušeností z praxe, ale také prohloubení vzájemné spolupráce. Společným záměrem pro všechny pak během CZ PRES bylo, je a v průběhu toho švédského nadále bude posílení bezpečnosti EU, k čemuž se naplněním stanovených priorit minimálně v „kyber“ oblasti povedlo významně přispět.

Kybernetické incidenty pohledem NÚKIB - prosinec 2022

Vydali jsme přehled Kybernetických incidentů pohledem NÚKIB za prosinec 2022.

Počet kybernetických incidentů se pohyboval na podprůměrných hodnotách. Klesla také jejich závažnost, kdy za tento měsíc nebyl evidován významný ani velmi významný incident. Nejpočetnějším typem incidentu se poprvé za rok 2022 stala kategorie škodlivý kód.

V trendech se zaměřujeme na kyberkriminalitu jako službu (cybercrime-as-a-service). Je to model, v rámci kterého kyberkriminální aktéři nabízejí za úplatu nástroje a služby určené pro provádění kybernetických útoků.

Celý dokument naleznete zde.

Upozornění na účinnost ochranného opatření k zabezpečení e-mailové komunikace

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 11. října 2021 ochranné opatření, které zavazuje správce a provozovatele informačních systémů regulovaných dle zákona o kybernetické bezpečnosti, jejichž součástí je elektronická pošta, ke zvýšení zabezpečení a zavedení požadovaných technologií.

Toto opatření má dělenou účinnost, kdy v prvních dvou vlnách se týkalo organizací, které se účastnily předsednictví České republiky v Radě EU. Třetí vlna se týká všech orgánů a osob uvedených v § 3 písm. c) až f) zákona o kybernetické bezpečnosti, jejichž elektronická pošta je součástí informačního nebo komunikačního systému, na který se vztahují požadavky zákona o kybernetické bezpečnosti. Relevantní body z opatření měly být takovými subjekty splněny nejpozději do 1. ledna 2023. Česká republika se i díky tomuto ochrannému opatření a úsilí správců informačních systémů dle Evropské komise stává lídrem v zavádění vyžadovaných technologií, tedy i ve zvyšování bezpečnosti elektronické komunikace.

Ochranné opatření bylo vydáno s ohledem na důležitost e-mailových systémů a zvyšující se intenzitu kybernetických bezpečnostních incidentů týkajících se právě elektronické komunikace. Česká republika se tak stala průkopníkem komplexní regulace v této oblasti minimálně z pohledu států Evropské unie a je inspirací i pro další státy. Zároveň jako druhý stát na světě vyžaduje pro veřejné instituce implementaci technologie DANE, která účinně brání možnosti čtení nebo modifikaci e-mailových zpráv při přenosu.

NÚKIB pravidelně kontroluje dodržování tohoto opatření a může konstatovat, že postupně dochází ke zvyšování bezpečnosti těchto systémů díky zavádění požadovaných technologií. Největší výzvou pro organizace je zavádění technologie DNSSEC a DANE, která stále není podporována některými dodavateli technologií nebo cloudovými poskytovateli e-mailových služeb. Také proto NÚKIB v minulém roce v dané věci komunikoval s některými poskytovateli, aby nastínil situaci regulovaných subjektů a napomohl tak k jejímu zlepšení.

Jednotlivé body opatření doporučuje NÚKIB zavést i v případě, že vaše organizace nebo váš e-mailový systém nespadá pod regulaci zákona o kybernetické bezpečnosti. Pro ověření funkčnosti některých bezpečnostních technologií je možné využít například službu Internet.nl provozovanou nizozemskou vládou.