Úvodní stránka

Logo NÚKIB

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dnes vydal VAROVÁNÍ podle zákona o kybernetické bezpečnosti před hrozbami plynoucími z použití technických nebo programových prostředků sloužících k chytrému měření elektřiny tzv. smartmeteringu (tj. chytrých elektroměrů), které nepochází ze zemí s důvěryhodným právním prostředím.  Varování se týká provozovatelů distribučních soustav elektřiny, kteří jsou povinni při nákupu technologie smartmeteringu zvážit hrozbu v analýze rizik a přijmout adekvátní opatření ke snížení identifikovaného rizika v procesu výběru dodavatele technologií.

Varování se netýká soukromých osob ani jiných společností, které jsou pouhými odběrateli elektrické energie a neprovozují distribuční soustavu elektřiny. Stejně tak se varování netýká technologií, které jsou dnes v distribuční síti nasazeny, tyto technologie neumožňují realizaci negativních dopadů popsaných ve Varování a není potřeba se jich obávat.

Hrozba popsaná ve varování spočívá v použití technologie smartmeteringu nepocházející ze států Evropské unie, Evropského hospodářského prostoru, Organizace pro hospodářskou spolupráci a rozvoj či Severoatlantické aliance. Varování se dotýká sektoru energetiky, který je klíčový pro zajištění základních potřeb státu, ale i pro veškerá další odvětví. Naplnění hrozby, na kterou Varování upozorňuje, by mohlo způsobit zásadní narušení spolehlivého provozu přenosové soustavy. To by vyvolalo dominový efekt, který by zasáhl veškerá odvětví lidské činnosti v Česku, a to i s možným přeshraničním dopadem.

NÚKIB tuto hrozbu z hlediska pravděpodobnosti hodnotí na úrovni Vysoká, tedy hrozba je pravděpodobná až velmi pravděpodobná. V rámci přípravy Varování byli ke konzultacím přizváni zástupci Ministerstva průmyslu a obchodu, Ministerstva zahraničních věcí i energetického sektoru.

„K vydání tohoto Varování přistupujeme v reakci na nutnost instalace chytrých elektroměrů v rámci distribučních soustav elektřiny. Tuto povinnost ukládá distributorům evropská legislativa a v současné době je třeba zahájit nákup chytrých elektroměrů a s tím spojená zadávací řízení. Zároveň dopady realizace popsané hrozby jsou potenciálně obrovské, až na úrovni celostátního blackoutu, proto bylo nutné ze strany Úřadu na tuto hrozbu reagovat,“ říká ředitel NÚKIB Karel Řehka.

„Volba důvěryhodných strategických partnerů je v kontextu současného dění na mezinárodním poli důležitější než kdy předtím. Stát tím deklaruje podporu energetickým společnostem v jejich snaze zajistit bezproblémové fungování energetického sektoru. Bezpečnost je naší jednoznačnou prioritou,“ říká ministr zahraničí Jan Lipavský.

„Vítám opatření Národního úřadu pro kybernetickou a informační bezpečnost k podpoře zajištění bezpečnosti a spolehlivosti provozu elektrizační soustavy České republiky. Tato snaha umožní energetickému sektoru opřít se při hodnocení rizik o stanovisko vydané národní autoritou,” říká Jozef Síkela, ministr průmyslu a obchodu.

„Varování NÚKIB nebereme na lehkou váhu a plně nastavená opatření podporujeme. Lépe nám to umožní chránit naši kritickou informační infrastrukturu,“ dodává Martin Zmelík, předseda představenstva a generální ředitel ČEZ Distribuce.

„Realizace popsané hrozby by měla zásadní dopad na bezpečný provoz přenosové soustavy a zabezpečení dodávek elektrické energie. Data ze smartmeteringu budou zcela zásadní i pro provoz budoucího energetického datového centra pro novou energetiku a poskytování agregace flexibility. Jsme proto rádi, že NÚKIB jako klíčový partner ČEPS v oblasti kybernetické bezpečnosti na tuto hrozbu zareagoval,“ říká Martin Durčák, předseda představenstva ČEPS, a.s.

Celé Varování naleznete na odkazu: Národní úřad pro kybernetickou a informační bezpečnost - Úřední deska (nukib.cz)

Otázky a odpovědi:

  1. Proč NÚKIB varování vydal?

NÚKIB vydává varování v souladu s § 12 zákona o kybernetické bezpečnosti (ZKB) v případě, že se dozví o hrozbě v oblasti kybernetické bezpečnosti.

V souladu se ZKB tedy NÚKIB vydá varování, dozví-li se zejména z vlastní činnosti, z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti. S ohledem na výše uvedené musí NÚKIB k vydání varování přistoupit, pokud se dozví o hrozbě v oblasti kybernetické bezpečnosti. Na základě toho NÚKIB varování vydal.

V současné době stojí provozovatelé distribučních soustav elektřiny před důležitým nákupem nové technologie, která umožňuje vzdálené ovládání odběrného místa a kterou musí do svých distribučních sítí implementovat na základě evropské legislativy. Hrozba spočívající v dodavatelském řetězci, který bude obsahovat dodavatele ze států s méně důvěryhodným právním prostředím, je tak bezprostřední. Dopady realizace takové hrozby jsou pro Českou republiku zásadní, jelikož nejčernější scénář připouští i blackout na úrovni přenosové soustavy, tedy na úrovni celého státu.

Varování se v souladu se zákonem zveřejňuje na úřední desce NÚKIB a o jeho vydání jsou následně informovány také organizace povinné dle ZKB, které s ním musejí dále pracovat.

  1. Co varování znamená?

Varování v prvé řadě upozorňuje na hrozbu, respektive její zvýšenou úroveň.

Dle § 12 ZKB prostřednictvím varování NÚKIB upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti. V tomto konkrétním případě se hrozba týká provozovatelů distribučních soustav elektřiny a tyto subjekty by tak měli tuto hrozbu zohlednit ve svých analýzách rizik a na základě výsledků těchto analýz případně příslušně upravit zadávací dokumentaci tak, aby bylo riziko realizace dopadů této hrozby pokud možno minimalizováno.

  1. Je varování závazné? Pro koho?

Varování je závazné pro okruh organizací povinných dle ZKB, zde konkrétně pro provozovatele distribučních soustav elektřiny, kteří spadají pod ZKB. Tyto organizace jsou povinny vyhodnocovat hrozby spojené s jejich ICT systémy a na tyto hrozby reagovat. Běžného občana se varování nedotýká.

  1. V čem hrozba spočívá?

Hrozba, na kterou Varování upozorňuje, spočívá v použití technických nebo programových prostředků, které nepochází ze států Evropské unie, Evropského hospodářského prostoru, Organizace pro hospodářskou spolupráci a rozvoj či Severoatlantické aliance, pro implementaci technologie chytrých měřáků elektřiny. Zásadní pro její výši je zejména to, že se dotýká sektoru energetiky, který je klíčový pro veškerá další odvětví a realizace dopadu této hrozby představuje možnost blackoutu na úrovni přenosové soustavy, tedy na celém území České republiky. Blackout by pak spustil dominový efekt, který by zasáhl veškerá odvětví lidské činnosti v Česku, a to i s možným přeshraničním dopadem.

  1. Co tedy mají subjekty dělat?

Osoby povinné dle ZKB musí hrozbu zohlednit v rámci své analýzy rizik. Pokud výsledkem analýzy bude neakceptovatelné riziko, musí tomuto výsledku přizpůsobit svůj další postup při výběru dodavatele poptávané technologie a svou zadávací dokumentaci. Výsledným postupem bude buď nákup technologie, která pochází ze států EU, EHP, NATO a OECD, nebo volba jiného způsobu ošetření (snížení) identifikovaného rizika, pokud to ovšem bude možné a účelné.

  1. Co znamená, že je hrozba hodnocena jako Vysoká, tedy pravděpodobná až velmi pravděpodobná?

Označení, že je hrozba vysoká, v terminologii ZKB vyjadřuje, že její realizace je pravděpodobná až velmi pravděpodobná. Jde o třetí stupeň z celkem čtyřstupňové škály používané zákonem k hodnocení hrozeb. Jedná se o kvantifikaci hodnoty hrozby pro účely jejího vyhodnocení v analýze rizik, kterou musejí povinné osoby ze zákona provádět. Osobám povinným dle ZKB tak dává vodítko, s jak závažnou hrozbou pracují a také jakou hodnotu použít v rámci hodnocení rizik podle § 5 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.

  1. Mohu varování použít v rámci veřejných zakázek?

Osoby povinné podle ZKB jsou povinny zohlednit zvýšenou míru hrozby v rámci svých analýz rizik. V případě, že jim následně riziko spojené s technologiemi pocházejícími ze zemí mimo okruh Evropské unie, Evropského hospodářského prostoru, Severoatlantické aliance a Organizace pro hospodářskou spolupráci a rozvoj vyjde jako neakceptovatelné, měly by tuto situaci řešit. To se může projevit i v rámci požadavků na předmět plnění v rámci zadávání veřejných zakázek. Právě pro tento postup je pak varování podkladem s právní závazností. Tedy, jak lze nalézt i v rámci samotného varování, zohlednění požadavků vyplývajících z varování v míře nezbytné nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.

  1. Co pro mě varování znamená jako pro běžného občana či firmu a pro mé odběrné místo?

Varování se nedotýká provozu v současné době instalovaných elektroměrů, které nemají schopnost způsobit dopady, které jsou popsány ve varování (např. odpojení odběrného místa). V současné době tedy nehrozí žádná neplánovaná výměna zařízení či náhlé odpojení od elektřiny pro domácnost či firmu.

  1. Máme počítat s omezením trhu všech technologií na okruh států s důvěryhodným právním prostředím?

Ne, při nákupu jiných technologií není potřeba reagovat na vyjmenované organizace (EU, EHP, NATO a OECD). Varování je třeba chápat jako preventivní krok, ke kterému NÚKIB přistoupil vzhledem k chystanému velkému rozsahu implementace chytrých elektroměrů (smartmeterů), vysoké míře dopadů realizace hrozby a akutnosti jejich nákupu ve vztahu k sektoru energetiky, konkrétně pak elektřiny. Pro další odvětví či technologie NÚKIB k takovému kroku nepřistoupil.

  1. Jak byl zvolen okruh států s důvěryhodným právním prostředím?

Jak je uvedeno i v samotném varování, státy EU, EHP, NATO a OECD jsou ekonomickými a vojenskými spojenci České republiky a jejich právní prostředí odpovídá právnímu prostředí států, se kterými má Česká republika zájem úžeji spolupracovat v zásadních oblastech mezinárodní spolupráce i národní bezpečnosti.

  1. Proč Úřad vydává varování právě nyní?

Provozovatelé distribučních soustav musí bezodkladně zahájit zadávací řízení pro nákup technologie smartmeteringu, aby bylo možné stihnout implementaci těchto zařízení ve lhůtách, které stanovuje legislativa Evropské unie. Na tuto je potřeba reagovat bezprostředně.