Česká republika se bude během českého předsednictví v Radě EU věnovat celé řadě iniciativ, které se týkají problematiky kybernetické bezpečnosti spadající do gesce NÚKIB. Mezi ty nejvýznamnější iniciativy budou patřit legislativní dokumenty pro vysokou společnou úroveň kybernetické bezpečnosti institucí, orgánů a agentur Evropské unie a k bezpečnosti ICT produktů a souvisejících služeb. Dalším zásadním a vlastním tématem ČR v oblasti kybernetické bezpečnosti, na které se ČR také připravuje, je kybernetická bezpečnost dodavatelského řetězce ICT. Nelze vyloučit, že nastavenou agendu předsednictví bude ovlivňovat také válka na Ukrajině a možné kybernetické hrozby z ní plynoucí pro Unii a její členské státy.
Návrh nařízení pro vysokou společnou úroveň kybernetické bezpečnosti unijních orgánů, agentur a institucí
Vedle kybernetické bezpečnosti členských států nelze opomíjet ani kybernetickou bezpečnost unijních institucí, které mohou představovat pro útočníky velmi atraktivní cíl. Tyto instituce přitom v současnosti potřebují posílit rámec nastavující pravidla jejich kybernetické bezpečnosti. I vzhledem ke skutečnosti, že případné útoky na unijní instituce mohou mít negativní dopady i na české subjekty, má ČR v úmyslu podstatně pokročit ve vyjednávání tohoto návrhu na půdě EU.
Návrh regulace bezpečnosti ICT produktů a souvisejících služeb
Tuto oblast by měl pokrývat tzv. Cyber Resilience Act, jehož návrh lze podle plánu legislativních prací Evropské komise očekávat ve třetím kvartálu roku 2022. Obsah návrhu ještě není znám, nicméně je jisté, že se bude jednat o předpis, který bude zásadní pro zajišťování kybernetické bezpečnosti ICT produktů a souvisejících služeb, které se budou prodávat na EU trhu a který bude mít pravděpodobně citelný dopad na vývojáře a výrobce ICT produktů a souvisejících služeb.
Kybernetická bezpečnost dodavatelského řetězce ICT
Předně je třeba připomenout, že ČR ovlivňuje podobu unijní i globální debaty o kybernetické bezpečnosti dlouhodobě, viz například zásadní role ČR při přípravě tzv. 5G EU Toolboxu či pořádání každoroční Prague 5G Security Conference. Jedním z témat, které aktuálně i s ohledem na současné geopolitické prostředí nabývají na významu na národní i mezinárodní úrovni, je otázka kybernetické bezpečnosti dodavatelského řetězce.
Toto téma chce ČR uchopit také v rámci svého předsednictví, v jehož rámci by ráda našla společné porozumění a shodu na dalším směřování v této oblasti na EU úrovni. Otázka bezpečnosti dodavatelského řetězce se tak například promítne i do obsahu hlavní předsednické konference v kybernetické a digitální oblasti. Rizika spojená s dodavatelským řetězcem představují bezpečnostní problém již řadu let. V poslední době byl však zaznamenán nárůst organizovanějších a sofistikovanějších útoků v této oblasti. Útoky skrze dodavatele jsou z pohledu útočníků velmi atraktivní, protože mohou mít dopad na velké množství zákazníků a vést ke kaskádovému efektu. Toto téma je proto z hlediska kybernetické bezpečnosti velmi významné. Jeho důležitost a aktuálnost dokládají zejména nedávné závažné útoky skrze dodavatelský řetězec jako např. Solarwinds. Rostoucí trend útoků poukazuje na potřebu přijetí nových ochranných opatření posilujících nejen prevenci útoků, ale také napomáhajících k jejich řešení a mírnění dopadů.
ČR byla také v minulosti v této oblasti aktivní, např. mezi prvními na světě prosazovala princip, že při volbě dodavatelů strategických technologií a jejich komponent je klíčová zejména důvěra mezi odběratelem a dodavatelem, neboť již není dostatečné kontrolovat možnou kompromitaci každého jednoho zařízení pouze technickými prostředky. Tento princip ČR již mnohokrát použila při budování své kritické infrastruktury a šlo i o jedno z hlavních témat prvního ročníku Prague 5G Security Conference v roce 2019. Stejným prizmatem se však musíme dívat nejen na koncového dodavatele zařízení a technologií, ale i na jejich subdodavatele, resp. naši dodavatelé by si tohoto principu měli být vědomi a přistupovat tak ke svým vlastním dodavatelům. Základní východiska jsou obsažena například i v Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice z letošního roku.
Akce CZ PRES
V souvislosti s CZ PRES bude NÚKIB pořádat několik předsednických akcí – tou nejvýznamnější je již zmíněná předsednická konference s názvem EU Secure and Innovative Digital Future, která se bude konat v termínu 3. – 4. 11. 2022 v Praze, kterou NÚKIB pořádá společně s Ministerstvem průmyslu a obchodu a Úřadem vlády ČR, v součinnosti s Ministerstvem zahraničních věcí. První den konference, Prague Cyber Security Conference, navazuje právě na předchozí iterace Prague 5G Security Conference. Tematicky se však posune od bezpečnosti 5G sítí a jejím hlavním tématem bude bezpečnost dodavatelského řetězce, a to v kontextu nových technologií.