V rámci EU se postupně tvoří jednotný rámec pro certifikaci kybernetické bezpečnosti.

Český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se v posledních dnech stal příslušným orgánem této certifikace. Jde rovněž o formální zahájení možnosti získat evropskou certifikaci kybernetické bezpečnosti.

V současnosti neexistuje v rámci EU jednotný systém posuzování kybernetické bezpečnosti, nebo existuje pouze na národní úrovni či v rámci určitého průmyslového odvětví. Základním smyslem nové regulace je zvýšení důvěry v produkty, služby a procesy v oblasti informačních a komunikačních technologií skrze jednotnou dobrovolnou certifikaci jejich bezpečnosti.

V návaznosti na přijetí Nařízení Evropského Parlamentu a Rady (EU) 2019/881 („Akt o kybernetické bezpečnosti“) byl novelizován také zákon č. 181/2014 Sb., o kybernetické bezpečnosti, který nově především stanovuje, že tzv. vnitrostátním orgánem certifikace kybernetické bezpečnosti je právě Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). V návaznosti na svou novou roli vydal NÚKIB podpůrný materiál s názvem Evropský rámec certifikace kybernetické bezpečnosti, který výstižně shrnuje celou problematiku.

Hlavní přínosem novely je zavedení evropského systému certifikací. V národním prostředí tak bude NÚKIB dohlížet na celoevropsky stanovená pravidla a tato pravidla také vymáhat. Za případné přestupky, např. za zneužití známky nebo označení evropského systému certifikace kybernetické bezpečnosti, hrozí pokuta až do výše pěti milionů korun.

NÚKIB měl přitom s certifikací zpoždění: „Tímto právním předpisem napravujeme dluh, který jsme měli v tomto ohledu vůči EU,“ sdělil ředitel NÚKIB Lukáš Kintr a připomněl tak, že lhůta na začlenění unijního aktu o kyberbezpečnosti do českého právního řádu uplynula v červnu 2021. „Rád bych poděkoval všem kolegům, kteří se na přípravě novely zákona podíleli. Odvedli skvělou práci,“ dodal ředitel Kintr.

Jak to vlastně chodí?

Evropský systém certifikace kybernetické bezpečnosti počítá s vícero úrovněmi záruky, a to konkrétně s úrovněmi „základní“, „významná“ nebo „vysoká“. Certifikací se osvědčí, že konkrétní produkty, služby a procesy splňují stanovené bezpečnostní požadavky pokud jde o ochranu dostupnosti, důvěrnosti a integrity. Certifikace bude v obecné rovině dobrovolná, pro vybrané subjekty se však dá předpokládat povinnost naplnění určité úrovně standardu. Certifikáty vydané v rámci těchto systémů budou platit ve všech zemích EU, a tím vznikne jednotný systém, díky kterému koncoví uživatelé snadněji získají důvěru v bezpečnost těchto technologií. Naopak společnostem usnadní tento systém přeshraniční podnikání a zajistí certifikaci napříč Unií.

Zdroj: nukib.cz, AN