|
!!! Upozorňujeme na přetrvávající podvodné telefonáty zneužívající telefonní čísla a jména zaměstnanců našeho úřadu !!! NÚKIB v rámci své činnosti nekontroluje převod financí. V dané věci jsme podali trestní oznámení na neznámého pachatele. Více o podvodných telefonátech včetně doporučení, jak se jim bránit, najdete v našem článku:
|
|
Relevantní a přehledné informace k nové směrnici NIS2 najdete na Portálu NÚKIB.
Informace k Národnímu koordinačnímu centru výzkumu a vývoje v oblasti kybernetické bezpečnosti (NKC) v České republice najdete na nkc.nukib.gov.cz.
Informace k projektu Černá pole 3 - Kyberbezpečnost naleznete zde.
|
Vybrané aktuality, hrozby a doporučení
NÚKIB a české zpravodajské služby spolu s NSA a FBI upozorňují na ruskou kybernetickou kampaň proti subjektům podporujícím Ukrajinu
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil spolu s Bezpečnostní informační službou a Vojenským zpravodajstvím České republiky a partnery ze Spojených států, Spojeného království, Německa, Polska, Austrálie, Kanady, Dánska, Estonska, Francie a Nizozemska k upozornění na dlouhodobou kybernetickou kampaň vedenou aktéry podporovanými Ruskem. Tyto útoky jsou cíleny zejména na logistické a technologické firmy zapojené do zahraniční pomoci Ukrajině.
Za kampaní stojí jednotka ruské vojenské rozvědky GRU č. 26165, známá pod označením APT28 (též Fancy Bear, Forrest Blizzard aj.). Tato skupina již více než dva roky vede špionážní operace proti subjektům z obranného a dopravního sektoru, zahrnující leteckou, námořní a železniční dopravu. Zasahují také vládní instituce a komerční společnosti v členských státech NATO, na Ukrajině i v sousedních zemích.
Útočníci využívají známé taktiky jako password spraying, cílené phishingové e-maily, změny nastavení e-mailových schránek v prostředí Microsoft Exchange a zneužívání zranitelností v softwaru, jako je Outlook (NTLM) nebo WinRAR. Získávají tak přístup do systémů, kde následně instalují malware sloužící k udržení přítomnosti a odcizování dat.
Jednotka 26165 rovněž aktivně monitorovala přepravu pomoci na Ukrajinu prostřednictvím přístupu k IP kamerám umístěným na hraničních přechodech, železničních uzlech a dalších strategických bodech. V rámci sledované kampaně se zaměřili především na IP kamery využívající protokol RTSP, přičemž použili veřejně známé výchozí přihlašovací údaje nebo techniky brute force pro prolomení přístupu. Získaná data zahrnovala statické snímky a metadata z kamer. Z analýzy více než 10 000 cílených kamer vyplývá, že většina z nich (81 %) se nacházela na Ukrajině. Další se vyskytovaly v Rumunsku, Polsku, Maďarsku a na Slovensku.
Aktéři GRU se dále zaměřovali na jednotlivce odpovědné za koordinaci dopravy a společnosti spolupracující s napadenými organizacemi. Zneužívali důvěryhodné obchodní vztahy k dalšímu šíření v cílových sítích. Identifikovali také subjekty zapojené do výroby komponent pro systémy průmyslového řízení (ICS), které se používají např. v železniční dopravě.
Ve zprávě upozorňujeme, že tyto aktivity budou pravděpodobně pokračovat. Technologické a logistické společnosti, stejně jako organizace v oblasti dopravy, by proto měly posílit monitorování, aktivně vyhledávat známky kompromitace (threat hunting) a zavést odpovídající ochranná opatření proti těmto sofistikovaným hrozbám. Indikátory kompromitace a taktiky a techniky útočníků naleznete v plném znění dokumentu zde.
21.05.2025
Prováděcí právní předpisy k novému zákonu o kybernetické bezpečnosti odeslány do mezirezortního připomínkového řízení
V pátek 16. 5. 2025 byly odeslány prováděcí právní předpisy k novému zákonu o kybernetické bezpečnosti do mezirezortního připomínkového řízení (MPŘ). Byl tak spuštěn oficiální legislativní proces k prováděcím právním předpisům.
Nyní mohou instituce, které jsou součástí připomínkového řízení, podat k prováděcím právním předpisům připomínky. Lhůta na připomínky je standardních 15 pracovních dnů (dle legislativních pravidel).
Po uzavření připomínkového řízení budou připomínky vypořádány a poté bude návrh předpisů předložen Legislativní radě vlády (LRV). Ta návrhy předpisů posoudí z pohledu právní čistoty a dalších legislativních náležitostí. Po vypořádání připomínek LRV budou předpisy předloženy k podpisu řediteli Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a vydány ve Sbírce zákonů.
Termín finálního vydání předpisů bude záviset na počtu podaných připomínek a délce jejich vypořádání. Odhadujeme, že k vydání předpisů by mohlo dojít v říjnu nebo listopadu 2025.
Do mezirezortního připomínkového řízení byly odeslány tyto předpisy:
Vyhláška o regulovaných službách Upravuje kritéria pro určení regulovaných osob a kritéria pro stanovení režimu regulace (vyšší/nižší). Vyhláška o bezpečnostních opatřeních pro vyšší režim Upravuje v detailu bezpečnostní opatření pro povinné osoby ve vyšším režimu. Vyhláška o bezpečnostních opatřeních pro nižší režim Upravuje v detailu bezpečnostní opatření pro povinné osoby v nižším režimu. Upravuje způsob identifikace incidentů s významným dopadem (pro účely hlášení incidentů). Vyhláška o Portálu NÚKIB Upravuje technické a procesní náležitosti řešení automatizace a elektronizace procesů NÚKIB. Upravuje procesní a technické náležitosti pro hlášení údajů, incidentů, přístupu k informacím a elektronickým službám poskytovaným NÚKIB a plněným vůči NÚKIB ze strany povinných subjektů. Vyhláška o bezpečnostních úrovních pro využívání cloud computingu Úprava existující vyhlášky č. 315/2021 Sb. V souvislosti s přesunem zmocnění ze zákona o kybernetické bezpečnosti do zákona o informačních systémech veřejné správy dojde ke zrušení stávající vyhlášky č. 315/2021 Sb. a je tedy nutné vydat vyhlášku znovu i s úpravami, které reflektují změny definic v zákoně apod. Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu Úprava existující vyhlášky č. 190/2023 Sb. V souvislosti s přesunem zmocnění ze zákona o kybernetické bezpečnosti do zákona o informačních systémech veřejné správy dojde ke zrušení stávající vyhlášky č. 190/2023 Sb. a je tedy nutné vydat vyhlášku znovu i s úpravami, které reflektují změny definic v zákoně apod.V přímé souvislosti s novým zákonem se předpokládá vydání ještě dalších dvou předpisů, konkrétně:
Nařízení vlády o nepominutelných funkcích Upravuje, které funkce strategicky významných služeb jsou vždy zahrnuty v mechanismu prověřování bezpečnosti dodavatelského řetězce. Nařízení vlády o strategicky významných službách Upravuje, koho se bude mechanismus prověřování bezpečnosti dodavatelského řetězce týkat.Vzhledem ke změnám v návrhu zákona, které proběhly v souvislosti s těmito předpisy v poslanecké sněmovně, a novým požadavkům na zpracování RIA, které dříve nebyly, došlo k posunu termínu odeslání těchto dvou předpisů a budou do MPŘ zaslány později.
V nepřímé souvislosti s novým zákonem se rovněž předpokládá nové vydání:
Vyhlášky o některých požadavcích pro zápis do katalogu cloud computingu Úprava existující vyhlášky č. 316/2021 Sb. V souvislosti se změnami v novém zákoně o kybernetické bezpečnosti je nutno provést technické úpravy – například návaznost na přestupky v novém zákoně a další detaily. Rovněž na základě praxe s aplikací vyhlášky a podnětů k jejímu zlepšení, budou ve vyhlášce zapracovány změny a přepracována formální struktura pro zvýšení přehlednosti. Z tohoto důvodu bude vyhláška vydána znovu. 19.05.2025
Veřejná konzultace Evropské komise k revizi Aktu o kybernetické bezpečnosti
Evropská komise spustila veřejnou konzultaci k vyhodnocení a revizi tzv. Aktu o kybernetické bezpečnosti (nařízení Evropského parlamentu a Rady č. 2019/881). Účelem veřejné konzultace je sběr postojů a dosavadních zkušeností s implementací Aktu o kybernetické bezpečnosti, a to napříč širokou veřejností, a jejich zohlednění v rámci plánované revize Aktu. Zapojení do veřejných konzultací může pomoci při identifikaci problémů, kterým je třeba se v rámci revize věnovat, a ve výsledku může přispět k efektivnějšímu nastavení systému certifikace kybernetické bezpečnosti v Evropské unii, mandátu agentury ENISA (Evropská agentura pro bezpečnost sítí a informací) či řešení výzev v oblasti bezpečnosti dodavatelského řetězce informačních a komunikačních technologií.
Iniciativa usiluje o zjednodušení stávajících procesů, usnadnění implementace platné legislativy, omezení byrokracie a podporu podnikatelsky příznivého prostředí.
Orgány pro kybernetickou bezpečnost, průmyslová a obchodní sdružení, výzkumní pracovníci, akademická obec, spotřebitelské organizace, ale i občané se mohou do 20. června 2025 zapojit do dotazníku EU či jinak vyjádřit svůj názor.
Národní úřad pro kybernetickou a informační bezpečnost tuto veřejnou konzultaci neadministruje. Veškeré informace ke konzultaci naleznete na stránkách Evropské komise zde: Commission opens consultation on revising EU Cybersecurity Act | Shaping Europe’s digital future.
16.05.2025
Návrh nového zákona o kybernetické bezpečnosti byl předán do Senátu
V úterý 13. 5. 2025 převzal Senát návrh nového zákona o kybernetické bezpečnosti. Lhůta pro jednání v Senátu končí dnem 12.6.2025. Návrh zákona se zapracovanými změnami z Poslanecké sněmovny je možné najít zde (senátní tisk 109) a návrh doprovodného zákona zde (senátní tisk 110).
Návrh zákona bude v Senátu projednávat:
Výbor pro zahraniční věci, obranu a bezpečnost (jako garanční výbor), Výbor pro hospodářství, zemědělství a dopravu (má např. i podvýbor pro energetiku), Ústavně-právní výbor.Pro přehlednost připojujeme shrnutí pozměňovacích návrhů z Poslanecké sněmovny. Ty schválené jsou již propsány v aktuálním znění návrhu zákona, který najdete pod odkazem výše.
Pozměňovací návrhy Výboru pro bezpečnost Došlo k přesunu rozhodování o omezení či zákazu dodavatelů v rámci mechanismu dodavatelského řetězce na vládu. NÚKIB v této věci vede řízení a navrhuje případná opatření, ale rozhoduje o nich vláda. Vláda stanovuje strategicky významné služby a seznam nepominutelných funkcí nařízením, nikoliv NÚKIB vyhláškou. Pozměňovací návrhy Hospodářského výboru Zúžení mechanismu prověřování bezpečnosti dodavatelského řetězce pouze na aktiva úrovně „kritická“. Původně měla být zahrnuta i aktiva úrovně „vysoká“. Komplexní úprava § 33 – zajištění dostupnosti strategicky významných služeb nebyla přijata. Pozměňovací návrhy paní poslankyně Lesenské Dvojí zpracování lokalizace státních dat na uložištích v ČR/EU nebylo přijato. Legislativně technické návrhy Přijata řada legislativně technických oprav textu bez dopadu na věcnou stránku zákona. Úprava účinnosti zákona z 18. října 2024 na „první den třetího kalendářního měsíce následujícího po jeho vyhlášení“.Co má nyní zákon za sebou:
Veřejné konzultace, které tvoří nepovinnou část legislativního procesu, při níž se mohla široká odborná veřejnost zapojit do procesu tvorby legislativy. Meziresortní připomínkové řízení, které je povinnou částí legislativního procesu. V této fázi zákon připomínkovali zástupci ministerstev, samospráv i soukromého sektoru. Doporučující stanovisko předsedy Legislativní rady vlády (LRV) k projednání návrhu zákona vládou. LRV je odborný poradní orgán vlády tvořený právními specialisty, kteří hlídají legislativní čistotu a soulad s platnými principy tvorby legislativy a právního státu. Schválení vládou. Vláda ČR je vrcholný exekutivní orgán, který po schválení předává návrh zákona moci zákonodárné, tedy Poslanecké sněmovně Parlamentu České republiky. Schválení Poslaneckou sněmovnou Parlamentu České republiky ve znění přijatých pozměňovacích návrhů.Co má zákon před sebou:
Zákon bude projednán v Senátu a v případě, že ten jej schválí, dostává zákon prezident. Po prezidentově podpisu putuje zákon do sbírky zákonů, která jej vydá, a tím je zákon platný. Následně běží lhůta pro nabytí účinnosti. Po nabytí účinnosti se musí zákonem řídit všichni adresáti. 14.05.2025