STAV V EVROPSKÉ UNII

V Evropské unii ke dni 12. 10. 2019 neexistuje žádná plně účinná právní úprava unifikující nebo alespoň harmonizující materii obecné certifikace v oblasti kybernetické bezpečnosti (jak bylo zmíněno, část Aktu

109Viz POLČÁK; HARAŠTA; STUPKA, op. cit., s. 80.

110Viz § 2 9 vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). In:CODEXIS ACADEMIA [právní informační systém]. ATLAS consulting [vid. 6. listopadu 2018].

o kybernetické bezpečnosti věnující se jednotnému certifikačnímu rámci je stále ještě z velké části neúčinná a běží implementační lhůta, která končí 27. června 2021). Vyskytují se sice úpravy certifikací pro účely nařízení eIDAS (což je svým uspořádáním velice podobný a již fungující systém), téměř nepoužívaná úprava certifikací pro účely nařízení GDPR, ale v oblasti kybernetické bezpečnosti se vyskytuje pouze směrnice NIS a ta certifikaci neupravuje. Přitom se stav kybernetické bezpečnosti v rámci EU zhoršuje.¹¹¹

Celý stav je ještě umocněn skutečností, že vnitřní kyberbezpečnostní trh Unie byl v absenci jednotného certifikačního systému plně roztříštěn. Je rozpadlý na jednotlivá národní a sektorová řešení bez možnosti vzájemného uznávání certifikátů mezi členskými státy, různé interní standardy, a nejvíce připomíná jakousi širší spolupráci dohoda SOG-IS MRA. Počet různých druhů certifikátů pohybujících se na vnitřním trhu je tím pádem nesmírný.¹¹² Takováto roztříštěnost trhu způsobuje až absurdní situaci, kdy výrobce, který chce svůj produkt prodávat ve Francii, Německu a Nizozemí, musí tento svůj produkt nechat certifikovat podle „Certification Cécuritaire de Premier Niveau“ ve Francii, „Baseline Product Assessment“ v Nizozemí a podle speciálně upraveného modelu Common Criteria v Německu (tzv. „Německý certifikát“). Je tak nucen podstoupit tři zdlouhavé a nákladné procedury, což před mnoho podnikatelů staví překážku, kterou nejsou ochotni/schopni překonat.¹¹³

Panující stav je opakem myšlenky jednotného digitálního trhu, o který Evropská unie usiluje. Již dříve zmíněná směrnice NIS nebo nařízení eIDAS byly významné kroky, které Unii posunuly směrem k unifikaci digitálního

111Ekonomický dopad kyber-incidentů se v roce 2016 pohyboval celosvětově okolo jedné miliardy dolarů. Podle Evropské komise se v roce 2016 uskutečnilo více než 4 000 ransomware-útoků denně, což je nárůst o víc jak 300 % oproti roku 2015. Viz NEGREIRO ACHIAGA, Maria Del Mar.EU Legislation in Progress - Briefing: ENISA and a new cybersecurity act (stav ke dni 16. 1. 2018) [online]. B.m.: European Parliament Research Service. [vid. 11. říjen 2018].

112Viz DROGKARIS, op. cit. ; Pracovní dokument útvarů komise - Souhrn posouzení dopadů k návrhu aktu o kybernetické bezpečnosti [online]. B.m.: Evropská komise. 2017 [vid. 12.

červenec 2018].

113Viz NEGREIRO ACHIAGA, op. cit.

trhu, ale jak je ze stávající situace patrné, bez sjednocení kyberbezpečnostní certifikace nebude pokrok možný.¹¹⁴ Členské státy nejsou bez dalšího schopny nebo ochotny hlubší kooperace, která by vedla ke zlepšení kyberbezpečnostní situace v rámci EU, což způsobuje částečnou neúčinnost výhod vnitřního trhu.¹¹⁵

Spolupráce v Evropské unii na poli certifikace kyberbezpečnostních technologií je alespoň částečně upravena dohodou SOG-IS, kterou mezi sebou uzavřely některé členské státy.¹¹⁶ Toto seskupení bylo vytvořeno na základě rozhodnutí Rady ze dne 31. 3. 1992 č. 92/242/EEC, o bezpečnosti informačních systémů, a doporučení Rady ze dne 7. 4. 1995 č.

1995/144/EC, o obecných kritériích pro posuzování bezpečnosti informačních systémů. Jedná se o sdružení 14 členských států (zejména pokročilé státy s vlastními testovacími laboratořemi) a Norska. Toto sdružení mezi sebou úzce spolupracuje na vytváření nových CC schémat, koordinuje své standardizační a certifikační aktivity a členové vzájemně uznávají CC certifikáty až do bezpečnostní úrovně EAL 4.¹¹⁷ Česká republika není členem dohody SOG-IS a ani nemá zájem se do budoucna jejím členem stát.¹¹⁸

Popsaný stav dlouho beze změny přetrvával nejen v České republice, ale především v Unii navzdory tomu, že poptávka po certifikaci byla a je značná,¹¹⁹ a to zejména ze strany povinných subjektů. Pro ty, na které dopadly compliance povinnosti vycházející z regulace kybernetické

114Srovnej s JEŽOVÁ, Daniela. EU Digital Single Market - Are we there yet?Ad Alta: Journal of Interdisciplinary Research [online]. 2017, roč. 7, č. 2, s. 1–3.

115V i z Pracovní dokument útvarů komise - Souhrn posouzení dopadů k návrhu aktu o kybernetické bezpečnosti [online]. B.m.: Evropská komise. 2017 [vid. 12. červenec 2018].

116Viz SOG-IS Mutual Recognition Agreement of Information Technology Security Evaluation Certificates, verze 3.0 [online]. 2010 [vid. 27. říjen 2018].

117V i z MITRAKAS, Andreas. The emerging EU framework on cybersecurity certification.

Datenschutz und Datensicherheit [online]. 2018, roč. 42, č. 7, s. 3–5 [vid. 11. září 2018].

118Získáno na základě konzultací s odborníky z NÚKIB. Dále viz SOG-IS - Home.SOG-IS [online]. [vid. 12. říjen 2019]. Získáno z: http://sogis.org/index_en.html.

119To je patrné hlavně u vyspělejších kyberbezpečnostních trhů s velkým počtem povinných subjektů. Velice žádaný je např. Německý certifikát, stejně tak i některá další národní schémata, případně pak i certifikace podle CC v režimu schémat vytvořených spoluprací SOG-IS. Pro podrobnější informace, viz kapitoly 5 a 6.

bezpečnosti,¹²⁰ totiž představuje certifikace jedinou možnost spolehlivého řešení compliance. Větší zájem panuje samozřejmě ve státech, kde je dodržení určité compliance povinnosti navázané na možnost podnikání v určité oblasti. Tak je tomu např. ve Francii, kde je naplnění daného bezpečnostního standardu nutným předpokladem k obchodování se státním sektorem (v oblasti zařízení připojitelných na internet).¹²¹ P r o veřejnoprávní subjekty má certifikát význam i kvůli tomu, že bezpečnostní opatření financují z nejrůznějších projektů (dotací). Jakmile drží certifikát, mohou fungovat bez obavy z toho, že by se později zjistilo nedodržení standardu (který většinou funguje jako závazná podmínka pro udělení dotace), což by dále vedlo k povinnosti dotaci vrátit. Pro členy statutárních orgánů jak soukromoprávních, tak veřejnoprávních subjektů mají certifikáty ještě jeden velice lákavý účinek – mohou posloužit jako štít před osobní odpovědností těchto členů.¹²²

4. PERSPEKTIVNÍ ÚPRAVA V EU