Akt k posílení kapacit pro odhalování kybernetických hrozeb a reakci na ně
Evropská unie se v nově přijatém nařízení 2025/38 (tzv. „akt o kybernetické solidaritě“) snaží posílit obranu proti kybernetickým hrozbám.
Předpokládá se, že tato opatření zvýší ochranu digitálních infrastruktur a budou reakcí na stále častější a sofistikovanější kybernetické útoky. Myšlenka je to jistě chvályhodná, ovšem existuje zde jistá obava, že to nebude fungovat a dojde na známé rčení: „Mysleli jsme to dobře, ale dopadlo to jako vždycky.“
Výměna informací nebo analýzy do šuplíku?
Nařízení stanovuje povinnost členských států zakládat či posilovat národní centra a zapojovat se do přeshraničních kybernetických center, jež mají sloužit ke koordinovanému odhalování útoků a sdílení informací. Tato centra by měla rovněž umožnit rychlejší výměnu dat mezi veřejným a soukromým sektorem, přičemž klíčovým záměrem je zvýšit odolnost a schopnost reakce v situacích, kdy dojde k rozsáhlým kybernetickým incidentům.
Výměna informací s odvoláním na zajištění důvěrnosti a ochrany informací reálně nefunguje ani v současnosti na úrovni České republiky, kde máme zkušenosti s fungováním Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ten sice formálně zajišťuje sběr a vyhodnocování informací o hrozbách, nicméně v praxi bývá sdílení s dalšími organizacemi velmi, ale velmi omezené. Pokud už na úrovni jedné země existují obtíže v transparentním poskytování údajů, vyvolává to otázku, jak efektivně dosáhnout společného cíle na úrovni celé Evropské unie. Ostatně v článku 21 se píše, že ENISA může, takže také nemusí, že.
Vždy připravení důvěryhodní poskytovatelé aneb Rezerva není konzerva
Součástí zmíněného nařízení je i zřízení rezervy Evropské unie pro kybernetickou bezpečnost. Tuto rezervu mají tvořit „důvěryhodní“ poskytovatelé, kteří mohou členským státům, institucím či dalším subjektům v krizi nabídnout služby a kapacity rychlé reakce. Samotná existence této rezervy má zaručit, že členské státy nebudou hledat dodavatele až v době krize, ale budou mít předem definované týmy, jež se zavázaly k okamžité spolupráci. Předpokládá se, že soukromý subjekt, který se zaváže k účasti v rezervě důvěryhodných poskytovatelů, uzavře předběžnou smlouvu (případně rámcovou dohodu) s odpovědným orgánem – obvykle to může být buď přímo Evropská komise, nebo pověřený veřejný zadavatel v daném členském státě.
Vzhledem k tomu, že poskytovatel bude muset v takovém případě přerušit svůj business, tak je otázka, jaká firma do toho půjde. Poskytovateli bude samozřejmě náležet finanční kompenzace a to jak přímé náklady spojené se zásahem (cestovné, odpracované hodiny, materiál), tak i potenciální ztráty nebo paušální odměnu za to, že firma drží volné kapacity pro případnou krizovou situaci. Detaily se nastavují v konkrétní smlouvě, kterou firma s příslušným orgánem uzavře.
Koordinované testování připravenosti aneb Jsme dobří, zvládli jsme to
Aby nebyl mechanizmus jen „papírovou deklarací“, nařízení požaduje pravidelné penetrační testy, cvičení a audity připravenosti. Tyto testy mají probíhat napříč důležitými odvětvími (například energetikou, bankovnictvím, dopravou). Státy musí v určitých intervalech ohlašovat výsledky testování Evropské komisi a dalším příslušným strukturám. Při zjištění závažných slabin je nutné vypracovat a realizovat nápravný plán.
V kybernetické sféře se však dlouhodobě potýkáme s výrazným nedostatkem kvalifikovaných specialistů, kteří často raději volí zaměstnání v komerčních firmách. Pro úspěch nařízení tedy bude nezbytné přesvědčit experty, aby se zapojili do nově budovaných systémů, případně aby se na nich podíleli formou externí spolupráce. Otázkou však zůstává, jak toho dosáhnout. Může se to opět zvrtnout v pouhou „papírovou bezpečnost“, kdy se bude jezdit po světě, dělat table top cvičení, simulace v labech a plácat se po zádech, jak jsme v nich dobří a hlavně hojně reportovat, ale reálná ochrana zůstane pozadu.
Závěr: Z výše uvedených důvodů bude implementace nařízení 2025/38 významnou zkouškou reálných kapacit členských států i evropských institucí. Na jedné straně přináší příležitost k posílení kybernetické bezpečnosti a lepšímu sdílení zdrojů, na druhé straně však vyžaduje vysokou míru profesionality, dostatek finančních prostředků a intenzivní spolupráci soukromého a veřejného sektoru. Zda se podaří, ukáže teprve konkrétní realizace v následujících letech.
LITERATURA:
Nařízení (EU) č. 2025/38 ze dne 19. prosince 2024, kterým se stanovují opatření na posílení solidarity a kapacit v Unii na odhalování kybernetických hrozeb a incidentů, přípravu a reakci na ně a kterým se mění nařízení (EU) 2021/694 (akt o kybernetické solidaritě). [Online]. 2025. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=OJ:L_202500038&qid=1741157033364 [cit. 2025-02-23].
ČERMÁK, Miroslav. Akt k posílení kapacit pro odhalování kybernetických hrozeb a reakci na ně. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/akt-k-posileni-kapacit-pro-odhalovani-kybernetickych-hrozeb-a-incidentu-a-reakci-na-ne/. [cit. 2025-03-26].
K článku “Akt k posílení kapacit pro odhalování kybernetických hrozeb a reakci na ně” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
