Do jisté míry jsme se docela dlouho těšili, a možná i obávali, existence nového Zákona o kyberbezpečnosti. Nyní máme již jasno, zákon je zde a 1.11. 2025 na nás dopadne celou svou vahou. Vyplývá z něj řada povinností jak pro velké množství úřadů, které se doposud zákonem řídit nemuseli, tak pro samotný regulační úřad, kterému právě díky velkému množství nových povinných subjektů skutečně skokově vzroste práce. I proto jsme se nejen o Zákonu bavili s ředitelem NÚKIB Lukášem Kintrem.

Lukáš Kintr zdůraznil, že je skutečně rád, že po deseti letech máme v ČR doopravdy soudobý kybernetický standard, protože za těch deset let od vzniku poslední normy došlo k výraznému posunu a stávající zákon skutečně přestával vyhovovat, neboť nedržel krok s technologiemi, a tedy neodpovídal současné době.

                  Nový zákon bude účinný od 1. listopadu 2025, ale před NÚKIBem je do té doby ještě dost práce na prováděcích předpisech, které by měly být k tomuto datu připraveny. Samozřejmě, jak bylo již řečeno, znamená to celé spoustu práce navíc pro samotný úřad. Ale je to práce, o které NÚKIB dlouho dopředu věděl, počítal s ní a je zřejmé, že se musí adaptovat na větší počet institucí, jimž musí být partnerem. Mimo jiné to dává i prostor k tomu zvažovat, kde a jak využít v tomto směru nástroje AI. Je jisté, že některé dotazy bude nutné agregovat tak, aby je NÚKIB zvládal odbavit včas v předpokládaném množství, ale to by neměl být problém. U samotných subjektů Lukáš Kintr rovněž nepředpokládá problémy, neboť, jak věří, jedná se o firmy a instituce, které se kyberbezpečnosti věnovaly už před dopadem samotného zákona, a to čistě z pudu sebezáchovy.

                  Tento Zákon míří především na střední a velké podniky, malých se dotýká jen v některých specifických případech.  Stejně tak v případě veřejné správy je cíleno především na obce s rozšířenou působností, tedy subjekty, které mají pro celkový chod nějaký zásadnější význam. A v těchto případech považujeme za zcela samozřejmé, že se zabývají otázkami kyberbezpečnosti, protože se jedná o hrozby, které mohou být například pro střední firmy ve svém důsledku až likvidační, když taková napadená firma stojí před dilematem, zda s vyděračem vyjednávat, zaplatit či nezaplatit. Plnění požadavků zákona je tedy v tomto směru skutečně něco, co je jejich vlastním zabezpečením a samozřejmostí.

                  K samotnému, poněkud zdlouhavému, procesu přijímání nového zákona Lukáš Kintr uvedl, že je asi velice těžké připravovat normu, která má takto široký regulační dopad. Čím více subjektů pod něj má spadat, tím více se objevuje komentářů a podnětů, a to často i protichůdných. Probrat se jimi je tedy skutečně minimálně časově velice náročné.  Je tedy těžké odhadnout, co bylo možné urychlit. Berme to spíše tak, že žijeme v nedokonalém světě a cokoliv nového připravujeme, má nějaké porodní bolesti a je provázeno komplikacemi. Ale teď to vypadá, že se podařilo připravit komplexní zákon, který kvalitně postihuje současnou situaci a o kterém je možné předpokládat, že s námi stráví, respektive my se jím budeme řídit, dalších deset let.

                  Samozřejmě implementace evropské normy (NIS2) do českého prostředí není úplně jednoduchá. NÚKIB se soustředil především na to, aby se podařilo text co nejvíce přizpůsobit české realitě. Je jasné, že evropské znění míří na celou Evropu obecně a je tedy nutné jej nějak konkrétně zasadit do racionální rámce konkrétního regionu tak, aby skutečně fungoval. Největším zádrhelem debat ve Sněmovně byla bezpochyby bezpečnost dodavatelského řetězce. To přímo nesouvisí s transpozicí NIS2, ale jedná se o reakci na zadání ještě předchozí vlády, tedy reakci na určité národní požadavky národní bezpečnosti. Celý mechanismus je nyní navržen tak, že NÚKIB bude ve spolupráci s celou řadou zapojených institucí vyhodnocovat dodavatelské řetězce u cca 150 subjektů poskytujících strategicky významnou službu. Na základě těchto vyhodnocení bude pak vládě navrhovat konkrétní opatření.

NEJEN ZÁKON, ALE I INCIDENTY

V rámci ČR došlo v nedávném období k několika bezpečnostním incidentům, dokonce i v rámci MZV. Právě tento případ ukázal, že schopnost státu koordinovaně postupovat v oblasti kyberbezpečnosti je velice vysoká, a to i v porovnání se zahraničím. Je samozřejmé, že úplně ideální by bylo, kdyby k takovým situacím nedocházelo, ale pokud k nim dochází, je potěšující, že jsme schopni reagovat, a to na světové úrovni.

                  Samotná oblast kyberbezpečnosti se podle Lukáše Kintra, i přes nástup umělé inteligence, bez zásahu lidského faktoru ještě zcela neobejde. Ale samozřejmě je nutné všechny tyto prostředky akceptovat a využívat k obraně, protože je zřejmé, že jsou používány na té druhé straně, ze strany útočníků. A ta „soutěž“ s útočníkem nikdy nekončí a je vždy jen otázkou, kdo je schopen reagovat rychleji a efektivněji a tomu samozřejmě nástroje AI mohou výrazně napomoci.

NÁRODNÍ STRATEGIE

Národní strategie kyberbezpečnosti navazuje na předchozí období, pracuje s několika premisami a je navázána na mezinárodní spolupráci. Ve svém důsledku se dotýká odolnosti naší společnosti. Aby však dávala jakákoliv strategie smysl, musí zapadat do právního rámce a být uplatnitelná v praxi, tedy reagovat na skutečnou situaci. Vedle umělé inteligence je tématem současnosti i kvantová hrozba. Musíme jako stát přecházet na odolné šifrování, protože jenom tak si zajistíme odolnost našich informací, našich dat i do budoucna. Zároveň je třeba reflektovat i určitý nedostatek personálních kapacit, což je problém pro státní i soukromý sektor. Musí zde být dostatečná motivace, a to nejen finanční, která bude skutečně atraktivní pro zajištění expertů do této oblasti. A kromě samotného hledání je samozřejmě dobré vytvořit i podmínky pro jejich výchovu – v rámci studia.

                  Samotná strategie má pětiletý horizont, ze zákona je povinnost ji minimálně jednou za pět let aktualizovat, což je proces, kterým jsme právě prošli. Nyní tedy pokrýváme období 2026–2030 a někdy v průběhu tohoto období, kdy budeme cítit, že přestává vyhovovat či stačit, bude nutná její další aktualizace.