Brusel chce zabezpečit chytré televize nebo hračky. Regulace bude tvrdá

Riziko kyberútoku číhá všude.

Riziko kyberútoku číhá všude.

Plamenný projev „o stavu Evropské unie“ předsedkyně Evropské komise Ursuly von der Leyen minulý týden rozhodně nebyl nudný jako v předešlých letech. Šéfka komise ho pojala hodně politicky a mobilizačně, pochopitelně hlavní roli měla Ukrajina, ceny energií a jejich řešení a různé politicky nové iniciativy v oblasti využití vodíku nebo kritických materiálů. Oproti minulým projevům se skoro nedostalo na digitalizaci.

To ale neznamená, že by se v této oblasti nic nechystalo. Projev je totiž zároveň každoročně příležitost pro komisi vydat návrhy nových směrnic či nařízení, což se stalo i letos. Oblíbeným tématem stávající komise je regulace v oblasti kyberbezpečnosti, čerstvým přírůstkem tak je „akt o kybernetické odolnosti“. Ten doplňuje už dojednanou směrnici „o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v unii“, známou pod zkratkou NIS 2, jež už čeká jenom na formální vyhlášení.

Navrhované nařízení o kybernetické odolnosti je doslova všeobjímající. Bude vyžadovat po každém výrobci „produktu s digitálními prvky“ (což je dle definice jakýkoli hardware nebo software, který se dostane na unijní trh), aby byl navržen s ohledem na kybernetickou bezpečnost. Jde o miliony produktů, od telefonů, počítačů, Wi-Fi routerů přes chytré televize až po operační systémy a v podstatě jakékoli aplikace nebo hry, které máme v mobilech, tabletech a na herních konzolích. Prostě cokoli, co se dá připojit k internetu, bude muset splňovat nová pravidla.

Blesk Podcast: Hackerský útok stojí od milionu, říká hacker Studeník

Video placeholde
• Jiří Marek, Lukáš Červený

U méně citlivých zařízení či produktů nařízení požaduje „sebehodnocení“ výrobců nebo dovozců. Například aby produkty měly prokazatelně nějakou úroveň zabezpečení nastavenou už při prvním spuštění či zapnutí, prokazatelně chránily osobní data uživatelů a minimalizovaly rizika napadení (v příloze je jedenáct požadavků na to, jak má vypadat produkt, a osm na proces jeho výroby). A výrobci či dodavatelé musejí při případné kontrole prokázat, že se na to nevykašlali. U některých citlivějších produktů, jako jsou třeba síťové prvky, antivirový software nebo procesory pro počítače, už bude potřeba mít evropský certifikát. Pokuty za porušení jsou jako u každé nové evropské legislativy poslední doby mastné – až 15 milionů eur nebo 2,5 procenta z celosvětového obratu, podle toho, co zasáhne hříšníka víc. Samozřejmostí je povinnost reportování evropské kyberbezpečnostní agentuře ENISA, pokud výrobce „produktu s digitálními prvky“ zjistí, že se v něm nachází zranitelnost, a to do čtyřiadvaceti hodin.

Těžko namítat cokoli proti lepšímu zabezpečení produktů, které se dostávají na trh. Internet je plný zábavných i hrůzných historek na téma příšerné úrovně bezpečnosti některých spotřebičů připojených k síti. Třeba 24. srpna, na den nezávislosti Ukrajiny, se podařilo ukrajinským hackerům napadnout mnoho bezpečnostních kamer v Rusku a na těch, které byly i vybavené reproduktorem, nechali zahrát Rusům ukrajinskou hymnu a další vlastenecké písně. Celý svět tak dostal lekci o tom, jak důležité je zabezpečit podobné přístroje, ale také se mohl smát reakcím překvapených nic netušících Rusů. Zdokumentovaná jsou ale i napadení dětských chůviček nebo chytrých hraček, protože zabezpečení různých „smart“ zařízení je často to poslední, na co jejich výrobce myslí.

Otázka je ale, jak regulovat. Každé usměrňování má pochopitelně druhou stranu a to je cena za jeho plnění. Komise dle studie dopadů, která návrh doprovází, zvažovala čtyři varianty (od nedělat nic přes nějaká mírná doporučení až po tvrdou regulaci) a vybrala rovnou tu nejtvrdší. Euroúředníci a politici se často ptají, jak je možné, že tu nevznikne nový Google nebo Facebook – odpovědí je, že prostředí, kde si kaž­dý startup musí najmout právníka na soulad s celou řadou nařízení od GDPR až po tenhle nový návrh, zrovna k podnikavému duchu nevybízí. Komise odhaduje, že díky zabránění různým kyberútokům firmy v EU ušetří 180 až 290 miliard eur ročně, nicméně odhaduje náklady na splnění požadavků vyplývajících z regulace na 29 miliard eur ročně pro vývojáře a výrobce „produktů s digitálními prvky“. Ti si to pochopitelně promítnou do cen.

A to není všechno, nařízení předpokládá, že v každém státě bude nějaký úřad odpovědný za dohled. Ten bezpochyby s novou agendou bude požadovat nové lidi. Pro současnou vládu, jejíž ministři se zaklínají snižováním počtu úředníků díky digitalizaci, to bude docela paradox – právě kvůli digitalizaci a na ni reagující evropské legislativě bude muset nové lidi naopak přijímat. Už nyní varuje Národní úřad pro kybernetickou a informační bezpečnost, že bude chtít nižší desítky míst, aby byl schopen kontrolovat nově šest tisíc subjektů, jako jsou úřady, telekomunikační operátoři, elektrárny, plynovody, nemocnice a další subjekty, které spadnou pod novou kyberbezpečnostní směrnici NIS 2.

Autor je spolupracovník redakce