Právní rámec certifikace kybernetické bezpečnosti v Evropské unii
V dnešní době se lidstvo stále více spoléhá na informační a jiné digitální a komunikační technologie. Ať už se jedná o klíčové společnosti v rámci energetiky či bankovnictví, hromadné dopravy, telefonní operátory, nemocnice, či jakékoliv orgány státní správy, platí, že veškeré tyto subjekty i orgány jsou vysoce závislé na bezproblémovém fungování svých informačních a komunikačních systémů a sítí. Ať tedy chceme, nebo ne, je v současnosti využití digitálních technologií naprosto nepostradatelnou součástí většiny procesů. S rostoucím trendem využití tak rovněž ruku v ruce průběžně přibývají počty kybernetických útoků v případech, ve kterých mají subjekty nedostatečnou ochranu kybernetické bezpečnosti, a to nejen na subjekty kritické infrastruktury, ale v zásadě všude tam, kde z útoku lze získat jakýkoliv majetkový prospěch. Z toho důvodu se nejen v rámci Evropské unie neustále vyvíjejí nové procesy a opatření, jak co nejefektivněji kybernetickým hrozbám předcházet.
V rámci jednotlivých států Evropské unie doposud více či méně fungovaly vlastní certifikační autority zabývající se právě certifikací úrovně kybernetické bezpečností. Vzhledem k značné rozdílnosti (či dokonce absencích, jako například v České republice) certifikačních autorit v rámci jednotlivých unijních států a celkové unifikační snaze Evropské unie došlo k přijetí Aktu o kybernetické bezpečnosti[1], jehož cílem je celkové posílení kybernetické odolnosti zřízením celounijního certifikačního rámce pro produkty, služby a procesy informačních a komunikačních technologií. Právě sjednocení kyberbezpečnostní politiky a certifikace jakožto součástí Jednotného digitálního trhu je jednou z priorit strategie Digitální agendy pro Evropu z roku 2015, která si klade za cíl zajištění spravedlivého, otevřeného a bezpečného digitálního prostředí v rámci Evropské unie.
Agentura Evropské unie pro kybernetickou bezpečnost
Akt o kybernetické bezpečnosti je rozdělen do dvou klíčových oblastí. První z těchto oblastí je rozšíření a posílení pravomoci Agentury Evropské unie pro kybernetickou bezpečnost (tzv. ENISA), která se stala hlavním unijním odborným orgánem podílejícím se na evropské kyberbezpečnostní politice. Úkolem ENISA je především podílet se na přípravě politik a práv v rámci Evropské unie v oblasti kybernetické bezpečnosti, jakož i shromažďovat a vytvářet kyberbezpečnostní know-how, které má jakožto službu podpory a prevence poskytovat jednotlivým členským státům Evropské unie při uplatňování unijních kyberbezpečnostních práv a politik. V tomto ohledu má ENISA povinnost stále sledovat situaci na poli kybernetické bezpečnosti, a to za účelem tvorby nových kyberbezpečnostních certifikačních schémat, které jsou klíčovým podkladem pro certifikaci kybernetické bezpečnosti jednotlivých produktů, procesů a služeb informačních a komunikačních technologií.
Certifikace kybernetické bezpečnosti
Druhou klíčovou oblastí Aktu o kybernetické bezpečnosti je kapitola věnovaná samotné certifikaci kybernetické bezpečnosti. V rámci této kapitoly byl představen tzv. Evropský rámec pro certifikaci kybernetické bezpečnosti. Nedochází tak k zavedení jednotlivých přímo použitelných certifikačních schémat, ale pouze k vytvoření mechanismu pro zřizování evropských systémů certifikace kybernetické bezpečnosti a pro osvědčení, že veškeré skutečnosti hodnocené v souladu s těmito schématy splňují stanovené bezpečnostní požadavky dle Aktu o kybernetické bezpečnosti. Jednotlivé návrhy systémů certifikace kybernetické bezpečnosti vypracovává ENISA, a to buď na základě průběžného pracovního programu Unie vydaného Evropskou komisí, anebo na výslovnou žádost Evropské komise či Evropské skupiny pro certifikaci kybernetické bezpečnosti. Akt o kybernetické bezpečnosti ukládá na tvorbu systémů certifikace kybernetické bezpečnosti přísné nároky. V prvé řadě musí systém certifikace kybernetické bezpečnosti naplňovat bezpečnostní cíle. Za jedny ze stěžejních bezpečnostních cílů systémů certifikace kybernetické bezpečnosti lze považovat ochranu údajů proti náhodnému nebo neoprávněnému ukládání, zpracování, přístupu, sdělování, zničení, ztrátě, změně nebo proti nedostupnosti, a to během celého životního cyklu produktu, služby nebo procesu informační a komunikační technologie. Mezi další zásadní bezpečnostní cíle patří například identifikace a dokumentace známých případů závislosti a zranitelnosti a zajištění, aby certifikované produkty, služby nebo procesy informačních a komunikačních technologií žádné známé zranitelnosti neobsahovaly, aby byly zabezpečeny na úrovni standardního nastavení a výchozího návrhu a aby byly poskytovány s aktualizovaným softwarem a hardwarem, které již neobsahují veřejně známé zranitelnosti, a zároveň aby obsahovaly mechanismy pro jejich bezpečné aktualizace.
Druhy certifikace kybernetické bezpečnosti a včetně subjektů certifikaci udílející
Evropský systém certifikace kybernetické bezpečnosti je členěn na několik úrovní záruky jejich bezpečnosti, přičemž úroveň záruky je přiměřená úrovni rizika z hlediska pravděpodobnosti a dopadu incidentu, který je spojen se zamýšleným užitím produktu, služby nebo procesu informačních a komunikačních technologií. Certifikaci kybernetické bezpečnosti na národních úrovních pak provádí rozdílné subjekty, a to v závislosti právě na konkrétní poskytované úrovni záruky, případně bude v určitých případech možné provést tzv. vlastní certifikaci kybernetické bezpečnosti.
Nejvyšší úroveň záruky – stupeň vysoká – poskytuje záruku, že produkty, služby a procesy informačních a komunikačních technologií, pro které je certifikát vydán, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat rizika sofistikovaných kybernetických útoků prováděných subjekty s významnými dovednostmi a zdroji. Evropský certifikát kybernetické bezpečnosti odkazující na úroveň záruky stupně vysoká vydává v České republice Národní úřad pro kybernetickou informační bezpečnost, ten však k této činnosti může rovněž pověřit jakýkoliv subjekt posuzování shody (viz dále).
Střední úroveň záruky – stupeň významná – poskytuje záruku, že produkty, služby a procesy informačních a komunikačních technologií, pro které je certifikát vydán, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá kybernetická rizika a rizika incidentů a kybernetických útoků prováděných subjekty s omezenými dovednostmi a zdroji. Evropský certifikát kybernetické bezpečnosti odkazující na úroveň záruky stupně významná vydávají v České republice tzv. subjekty posuzování shody, které vykonávají činnosti posuzování shody, a to včetně kalibrace, zkoušení, certifikace a inspekce ve smyslu nařízení Evropského parlamentu a Rady (ES) č. 765/2008.[2] Tyto subjekty budou akreditovány národní certifikační autoritou, kterou je pro Českou republiku rozhodnutím Ministerstva průmyslu a obchodu České republiky pověřen Český institut pro akreditaci. Akt o kybernetické bezpečnosti stanovuje bezpočet požadavků, které musí subjekty posuzování shody naplňovat, především se jedná o určité formální (zřízení podle vnitrostátního práva a právní subjektivita), materiální (pojištění) reputační (důvěryhodnost všech propojených společností v podnikatelském seskupení, je-li zde takové) či personální požadavky (dostatečně edukovaný, zkušený a nezávislý personál).
Nejnižší úroveň záruky – stupeň základní - poskytuje záruku, že produkty, služby a procesy informačních a komunikačních technologií, pro které je certifikát vydán, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá základní rizika incidentů a kybernetických útoků. Základní stupeň certifikace kybernetické bezpečnosti provádí subjekty posuzování shody, anebo je mimo institucionální rámec certifikace kybernetické bezpečnosti prováděno tzv. vlastní posuzování shody, což znamená, že výrobce nebo poskytovatel produktů, služeb či procesů informačních a komunikačních technologií může provádět posuzování shody, a to na základě své vlastní výhradní odpovědnosti. Vlastní posuzování shody tak bude z praktického hlediska vhodné pouze pro takové produkty, služby či procesy s nízkou složitostí, které představují pouze nízké riziko pro veřejnost.
Závěr
Je zřejmé, Akt o kybernetické bezpečnosti představuje v dnešní době zásadní unijní předpis, jehož potenciál je nejen vytvoření relativně bezpečnějšího digitálního prostředí na unijní úrovni, ale rovněž rozšíření kyberbezpečnostních certifikačních subjektů v rámci unijní „sedmadvacítky“ a posílení vlivu Evropské unie v tomto odvětví rovněž i v měřítku globálním. Bude zajímavé sledovat, jakým způsobem bude život Aktu o kybernetické bezpečnosti implementován do praxe, jakým způsobem budou fungovat nové certifikační autority a nakolik bude mít předmětná regulace pozitivní vliv, nebo zda se bude spíše jednat o byrokratickou a nepříliš funkční úpravu.
[1] Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („Akt o kybernetické bezpečnosti“).
[2] Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93.