Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dnes vydal v souvislosti se vzrůstající hrozbou nedodržení smluvních závazků ze strany dodavatelů ICT služeb a produktů s významným vztahem k Ruské federaci VAROVÁNÍ podle zákona o kybernetické bezpečnosti.
Hrozba spočívá v dopadech ekonomických sankcí vůči i ze strany Ruské federace, které mohou vést k nedodržení smluvních závazků ze strany ICT dodavatelů, kteří mají významný vztah k Ruské federaci.
NÚKIB doporučuje organizacím podléhajícím zákonu o kybernetické bezpečnosti podniknout preventivní kroky k tomu, aby možné nedodržení smluvních závazků ze strany dodavatelů s významným vztahem k Ruské federaci neomezilo funkčnost jimi spravovaných systémů. Dále doporučuje zohlednit tuto hrozbu v plánech kontinuity činností tak, aby bylo možno zajistit poskytování služeb i pokud se hrozba realizuje.
„K vydání tohoto Varování přistupujeme z preventivních důvodů. Varujeme před zvýšenou mírou hrozby, kterou se osoby povinné podle zákona o kybernetické bezpečnosti mají zabývat i běžně. Jedná se o hrozbu, že některý jejich důležitý dodavatel ICT nedodá potřebné produkty či služby. NÚKIB Varováním stanovuje úroveň této hrozby, která souvisí s dodavateli, u kterých je vzhledem k aktuálním ekonomickým sankcím vyšší šance, že nebudou schopni plnit své závazky,“ říká ředitel NÚKIB Karel Řehka.
NÚKIB tuto hrozbu z hlediska pravděpodobnosti hodnotí na úrovni Vysoká, tedy hrozba je pravděpodobná až velmi pravděpodobná. V souvislosti s touto hrozbou doporučuje provedení úkonů, které jsou popsány ve VAROVÁNÍ.
Varováním se správci a provozovatelé systémů regulovaných zákonem o kybernetické bezpečnosti musí zabývat, zejména ji musí zohlednit v analýze rizik a přijmout adekvátní opatření. Návrh možných opatření obsahuje vydané Varování. Osobám, které nespadají pod zákon o kybernetické bezpečnosti, lze rovněž doporučit, aby zvážily provedení kroků doporučovaných Varováním, pokud to pro své potřeby shledají jako relevantní.
Celý text Varování najdete Varování NÚKIB a na tomto odkazu: https://nukib.gov.cz/cs/uredni-deska/
Doplnění informací k Varování NÚKIB a aktualizované otázky a odpovědi ze dne 31. května 2022 naleznete zde: https://nukib.gov.cz/cs/infoservis/hrozby/1839-doplneni-informaci-k-varovani-nukib-v-souvislosti-s-ekonomickymi-sankcemi-spojenymi-s-ruskou-federaci/
Otázky a odpovědi
- Proč NÚKIB varování vydal?
NÚKIB vydává varování v souladu s § 12 zákona o kybernetické bezpečnosti (ZKB) v případě, že se dozví o hrozbě v oblasti kybernetické bezpečnosti.
V souladu se ZKB tedy NÚKIB vydá varování, dozví-li se zejména z vlastní činnosti, z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti. S ohledem na výše uvedené musí NÚKIB musí k vydání varování přistoupit, pokud se dozví o hrozbě v oblasti kybernetické bezpečnosti. Na základě toho NÚKIB varování vydal.
Konkrétně jde ze strany NÚKIB o preventivní krok, protože hrozba nedodržení smluvního závazku ze strany dodavatelů s významným vztahem k Ruské federaci vzrůstá. Dochází k tomu zejména v důsledku ekonomických sankcí uvalovaných na i ze strany Ruské federace. Vedle toho i některé soukromé společnosti působící v oblasti ICT přestávají na území Ruské federace poskytovat služby a podporu. Vzhledem k tomu hrozí, že v případě závislosti na ICT produktech a službách dodavatelů s významnou vazbou na Ruskou federaci může být ohrožena kontinuita takto závislých informačních a komunikačních systémů.
Varování se v souladu se zákonem zveřejňuje na úřední desce NÚKIB a o jeho vydání jsou následně informovány také organizace povinné dle ZKB, které s ním musejí dále pracovat.
- Co varování znamená?
Varování v prvé řadě upozorňuje na hrozbu, respektive její zvýšenou úroveň.
Dle § 12 ZKB prostřednictvím varování NÚKIB upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti. Hrozba se může týkat blíže neurčeného počtu povinných subjektů a tyto subjekty by na ni měly adekvátním způsobem reagovat. Varování obsahuje i doporučení, jak s hrozbou nakládat.
- Je varování závazné? Pro koho?
Varování je závazné pro okruh organizací povinných dle ZKB. Tyto organizace, jsou povinny vyhodnocovat hrozby spojené s jejich ICT systémy a na tyto hrozby reagovat. Pro ostatní organizace jsou postupy v něm obsažené využitelné jako doporučení. Občané nejsou povinni tuto hrozbu reflektovat, nicméně mohou využít jeho obsah, který pro ně může mít obecnou informační hodnotu.
- V čem hrozba spočívá?
Hrozba, na kterou Varování upozorňuje, spočívá v možném nedodržení závazků dodavatelů s významnou vazbou na Ruskou federaci. Jinými slovy tedy hrozí, že vzhledem k ekonomickým sankcím uvalovaným na Ruskou federaci ze strany států, nebudou ICT dodavatelé s významným vztahem k Ruské federaci schopni dodávat své ICT služby a produkty tak, jako doposud. Tato situace může v některých případech vést k narušení kontinuity provozu informačních a komunikačních systémů, které jsou na těchto dodávkách závislé. Výše popsanou situaci může dále zintenzivnit i omezování služeb nadnárodních společností v Ruské federaci (například výrobci ICT komponentů a platforem).
Pokud by se tato hrozba realizovala, může to mít dopad na zachování funkčnosti informačních a komunikačních systémů, které jsou významné pro chod České republiky nebo pro naplňování potřeb jejích občanů.
- Co tedy mají subjekty dělat?
Osoby povinné dle ZKB musí hrozbu zohlednit v rámci své analýzy rizik, tedy zvýšit hodnotu typové hrozby „nedodržení smluvního závazku ze strany dodavatele“ vůči dodavatelům u kterých identifikují významný vztah k Ruské federaci na hodnotu určenou varováním a příslušně přizpůsobit následné procesy řízení bezpečnosti informací.
Varování obsahuje doporučení, jak situaci, kdy nebudou dodány klíčové ICT služby nebo produkty, předcházet. Může však nastat také případ, kdy této hrozbě účinně předejít nepůjde. V takovém případě, je nutno se připravit na situaci, kdy bude potřeba službu zajistit náhradním způsobem, tedy bez použití systémů, které jsou na dodávce ICT služeb či produktů ze strany dodavatelů s vazbou na Ruskou federaci závislé.
- Co znamená, že je hrozba hodnocena jako Vysoká, tedy pravděpodobná až velmi pravděpodobná?
Označení, že je hrozba vysoká, v terminologii zákona o kybernetické bezpečnosti vyjadřuje, že je pravděpodobná až velmi pravděpodobná. Jde o třetí stupeň z celkem čtyřstupňové škály používané zákonem o kybernetické bezpečnosti k hodnocení hrozeb. Jedná se o kvantifikaci hodnoty hrozby pro účely jejího vyhodnocení v analýze rizik, kterou musejí povinné osoby ze zákona provádět. Osobám povinným dle zákona o kybernetické bezpečnosti tak dává vodítko, s jak závažnou hrozbou pracují a také jakou hodnotu použít v rámci hodnocení rizik podle § 5 vyhlášky o kybernetické bezpečnosti.
- Jsou nyní ICT produkty a služby společností s vazbou na Ruskou federaci zakázány?
Nejsou. Varování pouze upozorňuje na zvýšenou hrozbu nedostupnosti ICT produktů a služeb, závislých na dodavatelích s významným vztahem k Ruské federaci. Pokud je na těchto produktech závislý informační nebo komunikační systém důležitý pro chod státu nebo poskytování služeb občanům je třeba s tímto počítat a přijmout odpovídající opatření. Návrh možných opatření je součástí varování.
- Je důvodem pro vydání tohoto varování legislativní prostředí Ruské federace, které zavazuje soukromé společnosti řídící se ruským právem k tomu, aby se státem významně spolupracovaly a poskytovaly jim informace svých zákazníků?
Legislativní prostředí Ruské federace není přímým důvodem pro vydání tohoto Varování. Varování stojí na objektivní skutečnosti, že ekonomické sankce ze strany nebo vůči Ruské federaci mohou mít vliv na spolehlivost dodávek ICT služeb či produktů ze strany dodavatelů s významným vztahem k Ruské federaci.
Ve vztahu k povaze ruského právního prostředí vydal NÚKIB Upozornění na svém webu. To, co je v něm obsaženo i nadále platí. Upozornění je dostupné zde https://nukib.gov.cz/cs/infoservis/aktuality/1820-ruske-firmy-a-dopady-na-ict/
- Kdo je „dodavatel s významnou vazbou na Ruskou federaci“?
Definice dodavatele s významnou vazbou na Ruskou federaci není jednoduchá. Obecně je třeba vzít v úvahu jeden či více znaků. Ve Varování je uveden tento jejich demonstrativní výčet:
- Dodavatel má sídlo v Ruské federaci, nebo je závislý na dodávkách z území Ruské federace.
- ICT produkt nebo služba podstatná pro funkčnost spravovaného či provozovaného informačního či komunikačního systému je dodávána prostřednictvím pobočky dodavatele v Ruské federaci.
- ICT produkt nebo služba podstatná pro funkčnost spravovaného či provozovaného informačního či komunikačního systému má svůj vývoj či výrobu lokalizované v Ruské federaci.
- Mohu varování použít v rámci veřejných zakázek?
Osoby povinné podle zákona o kybernetické bezpečnosti jsou povinny zohlednit zvýšenou míru hrozby v rámci svých analýz rizik. V případě, že jim následně riziko v důsledku zvýšené míry hrozby vyjde ve vztahu k dodavatelům, kteří mají významný vztah k Ruské federaci, jako neakceptovatelné, měly by tuto situaci řešit. To se může projevit i v rámci požadavků na dodavatele v rámci zadávání veřejných zakázek. Právě pro tento postup je pak varování podkladem s právní závazností. Tedy, jak lze nalézt i v rámci samotného varování, zohlednění požadavků vyplývajících z varování v míře nezbytné nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.