Nedostatok odborníkov, málo osvety aj slabá pripravenosť odolávať kybernetickým incidentom. To je iba časť výziev, ktoré sú súčasťou v oblasti kybernetickej bezpečnosti. O budúcnosti legislatívy na Slovensku a európskej úrovni celkovo sme sa rozprávali so Štefanom Pilárom, právnikom advokátskej kancelárie Bukovinský & Chlipala.
Aké sú teda legislatívne výzvy v oblasti KB na rok 2022?
Legislatíva má svoju príjemnú stránku, a to predvídateľnosť. Kým konkrétny predpis nadobudne účinnosť, adresáti majú dostatok času na oboznámenie sa s jeho obsahom v podobe návrhu. Vybrané subjekty môžu návrh predpisu pripomienkovať. Pokiaľ hovoríme o európskej legislatíve, tam je toho času podstatne viac. Niektoré predpisy totiž vznikajú roky. Mnohé predpisy poskytujú povinným osobám prechodné obdobie, počas ktorého majú priestor na implementáciu a splnenie povinností.
Nanešťastie, táto predvídateľnosť ostáva často nevyužitá. So zákonom o kybernetickej bezpečnosti na Slovensku žijeme vyše štyri roky a jeho prechodné obdobia už dávno uplynuli. Aj napriek tomu máme na Slovensku subjekty, ktoré na požiadavky tohto zákona nereflektujú vôbec alebo len veľmi málo. Česť výnimkám. Dokonca si dovolím tvrdiť, že počet takýchto subjektov prevláda, mnohí audítori kybernetickej bezpečnosti by vedeli rozprávať. Svedčia o tom aj záverečné správy z auditov.
Výziev je teda veľké množstvo. Nedostatok odborníkov, prakticky neexistencia vzdelávania, málo osvety, nedostatočná pripravenosť odolávať kybernetickým bezpečnostným incidentom či nedostatočné chápanie účelu a podstaty legislatívy vyžadujúcej ochranu informácií. Tento stav tu máme roky a pred nami sú rozhodne ďalšie spolu s nepoznanými výzvami.
Nemá teda význam pozerať sa dopredu?
Určite má, napokon takto by to malo štandardne fungovať. Poznanie prichádzajúcej legislatívy a jej nových požiadaviek je nutnosťou. Ale uzavrieť to, že pozerať sa máme len na horizont a vyčkávať na ďalšiu reguláciu, by nebolo veľmi správne. Na Slovensku totiž máme veľký dlh ešte voči už roky platnej legislatíve, napr. už spomínanému zákonu o kybernetickej bezpečnosti.
Aký dlh máte na mysli?
Závisí to od uhla pohľadu, resp. kde začať. Začnime tým, že pojem kybernetická bezpečnosť je ešte stále pojmom abstraktným. Najhoršie je, že aj pre tých, ktorí by sa ňou zo zákona mali zaoberať. Mnohí tento pojem a jeho obsah vnímajú ako ďalší byrokratický výmysel Európskej únie, záťaž pre biznis, alebo ako niečo, čo vôbec nie je potrebné. Veď kto by už útočil práve na neho? No a keď sa dostaneme na druhú stranu spektra, iní tento pojem a jeho obsah vnímajú ako vynikajúcu marketingovú a obchodnú príležitosť. Pozor, ich výstupy často nemajú potrebnú kvalitu.
Prečo je tomu tak?
Dôvodov je viacero a problematika nedostatočného plnenia požiadaviek zákona o kybernetickej bezpečnosti nie je čiernobiela. Tvrdiť, že za všetko môžu adresáti týchto povinností, by bolo nesprávne a nefér. Je potrebné uvedomiť si, že problematika kybernetickej bezpečnosti je náročná. Nielen na Slovensku, ale v celom svete chýbajú kvalifikovaní odborníci. Nemôžeme sa čudovať takémuto výsledku, ak chýba dostatočná informovanosť a osveta alebo ak je vysvetľovanie podstaty novej legislatívy s jej jednoznačnou pridanou hodnotou slabé.
Aké je podľa Vás riešenie tohto stavu?
Aj riešení je viacero a názory na ich efektívnosť sa rôznia. Niekoho budovanie povedomia a osveta nezaujíma, skôr uprednostňuje represiu. A treba povedať, že tá v prípade zákona o kybernetickej bezpečnosti nie je zanedbateľná. Iní uprednostňujú zvyšovanie povedomia a osvetu pred pokutami. Možno netradične, ale ja ako právnik sa prikláňam práve k potrebe budovania povedomia. Pokuta je totižto len donucujúcim, možno zároveň „motivačným faktorom“, ktorý však reprezentuje skôr negatívnu emóciu a donútenie namiesto presvedčenia z prínosu. Zvyšovanie povedomia, to je cesta k pochopeniu podstaty a smerovania k racionálnemu presvedčeniu, že niečo potrebujem alebo chcem. Nie preto, lebo musím, ale preto, lebo je to dôležité. Kybernetická bezpečnosť je najmä o ľuďoch. Ľudia, v tomto kontexte zamestnanci, sú tou najväčšou a často opomínanou hodnotou. A tí istí ľudia aj značne vplývajú na bezpečnosť. Pod hrozbou sankcií konajúci manažment toho veľa nezmôže, kým zamestnanci nebudú rozumieť rizikám a nebudú chápať, aké hodnoty chránia. A platí to aj naopak. Kybernetická bezpečnosť bez podpory vedenia organizácií nemá šancu na úspech.
Tak to nie sú najlepšie vyhliadky.
Nechcel som byť zase úplne negatívny. (Smiech.) A treba povedať, že v tejto oblasti sa už vykonalo veľa práce, pričom nie všade je možné výsledky očakávať ihneď a všade. Typickým príkladom je toľko zmieňované vzdelávanie, ktoré je určite behom na dlhú trať. Podstatné je konečne sa na štart tejto trate postaviť.
Keď súčasnú situáciu porovnáme s rokom 2018, sme vo všeobecnosti omnoho ďalej. Každoročne sa uskutoční množstvo konferencií, seminárov, školení, kde zaznamenávame zvýšený záujem a účasť. Kybernetická bezpečnosť dostáva stále viac priestoru aj v médiách. Zlepšeniu situácie veľmi napomáhajú aj vykonané audity, na základe ktorých sú povinné osoby bezprostredne konfrontované s reálnym stavom. No a v neposlednom rade tému kybernetickej bezpečnosti posúva aj súčasná zlá bezpečnostná situácia.
Takže registrujeme aj pozitívne správy. A čo teda legislatíva a rok 2022?
Pokiaľ ide o súčasnú legislatívu a staré hriechy, dôležité bude správne odstránenie nedostatkov identifikovaných auditmi. Napokon, z dostupných informácií vieme, že percentá súladov sú prevažne nízke. Takže do ďalšieho auditu, v ideálnom prípade v rámci nasledujúcich dvoch rokov, budú mať tieto subjekty veľmi veľa práce. Zostáva veriť, že tejto práce sa chopia zodpovedne a so správnymi ľuďmi.
A prichádzajúca legislatíva? Čiastočne sa vieme ako na novú legislatívu pozerať aj na Cybersecurity Act. Na úrovni Európskej únie sa totiž pracuje na viacerých certifikačných schémach pre produkty, procesy či služby pre oblasť kybernetickej bezpečnosti. Spomeňme už skoro hotovú schému pre cloud – EUCS, pripravované schémy pre 5G, HW, SW a služby. Tieto schémy budú následne prebrané do vnútroštátnych podmienok, kde budú certifikáciu vykonávať na to akreditované subjekty (v SR akreditované SNAS-om). Certifikácia by mohla pomôcť nielen lepšej orientácii v rámci veľkého množstva aj nekvalitných produktov či služieb dnes dostupných na trhu, ale aj zrýchleniu procesu verejného obstarávania, pokiaľ ide o vyhodnocovanie splnenia podmienok účasti na strane uchádzačov.
Ďalej je to pripravovaná Smernica NIS 2, teda legislatíva nadväzujúca na prvú smernicu, ktorej môžeme ďakovať za slovenský zákon o kybernetickej bezpečnosti. Pri správnej transpozícii novej smernice do nášho právneho poriadku (zrejme v podobe novelizácie zákona o kybernetickej bezpečnosti) môžeme očakávať rozšírenie sektorov a podsektorov, povinných osôb či bezpečnostných požiadaviek.
No a za zmienku určite stojí aj pripravovaný Cyber Resilience Act, ktorý by mal nadväzovať ako aj na úpravu zavedenú Smernicou NIS, tak aj na Cyber Security Act. Tento predpis zavedie spoločné pravidlá kybernetickej bezpečnosti (odolnosti) pre digitálne produkty a súvisiace služby umiestňované na trh v EÚ.
Môžeme očakávať legislatívnu aktivitu aj na Slovensku?
Na úrovni Slovenskej republiky môžeme v roku 2022 očakávať vydanie vyhlášky stanovujúcej znalostné štandardy pre určité bezpečnostné roly (napr. manažér kybernetickej bezpečnosti) a možno aj novelizáciu vyhlášky č. 362/2018 Z. z., ktorá reflektuje na znenie zákona o kybernetickej bezpečnosti spred 1. 8. 2021 vo vzťahu k oblastiam, pre ktoré sa prijímajú bezpečnostné opatrenia.
Dalo by sa povedať, že na Slovensko sa najmä z EÚ valí relatívne rozsiahla legislatíva pre oblasť kybernetickej bezpečnosti. Na pozore by sa mali mať subjekty, ktoré pod dnešný zákon o kybernetickej bezpečnosti nespadajú, ale počíta sa s nimi v rámci novej Smernice NIS 2. V zmysle súčasného znenia návrhu vieme povedať, že ide najmä o sektory energetiky (vodík), odpadového hospodárstva, výroby (napr. motorové vozidlá), potravinárskeho priemyslu či vesmíru. Ďalej je potrebné pripraviť sa na to, že aj keď zamýšľaná certifikácia produktov, procesov či služieb pre oblasť kybernetickej bezpečnosti by nemala byť povinná, nie je vylúčené, že certifikácia bude predstavovať podmienku účasti v rámci určitých typov verejných obstarávaní (Cyber Security Act to vyslovene pripúšťa).
Čaká nás teda veľa práce, a to nielen vo vzťahu k existujúcim, ale aj budúcim požiadavkám pre oblasť kybernetickej bezpečnosti. S kybernetickou bezpečnosťou je nutné počítať, intenzívne sa jej venovať a začať ju vnímať ako ucelený systém pravidiel, procesov a opatrení chrániaci organizáciám to najcennejšie, čo majú. Ich aktíva, bez ktorých nevedia fungovať tak ako oni, tak ani spoločnosť alebo štát. A my ostatní budeme naďalej trpezlivo vysvetľovať, pomáhať a hľadať ďalších nadšencov pre túto zaujímavú a dôležitú tému.
Mohlo by Vás zaujímať: Právna zodpovednosť pri cloude je zdieľaná. O čo ide?