V bruselských kaviarňach tečie káva aj pivo, no najmä sa tam debatuje o kybernetickej bezpečnosti. Slovenský vyslanec Národného bezpečnostného úradu v Bruseli priblížil, čo sa dnes v Európe reguluje, prečo to firmy cítia v nákladoch a kam sa agenda posúva. Tu je zrozumiteľné zhrnutie bez úradníckeho žargónu.
Čo sa v Bruseli naozaj rieši
Kybernetická bezpečnosť sa stala veľkou témou až po roku 2016, keď prišla prvá smernica o bezpečnosti sietí a informácií (neskôr aktualizovaná na NIS2). Rozšírila okruh povinných subjektov a zvýšila požiadavky na ochranu, čo firmám prinieslo nové investície do súladu s pravidlami. Popri tom sa učíme rozdielu medzi smernicou, ktorá stanovuje minimá a členské štáty ju preklápajú do vlastného práva, a nariadením, ktoré platí jednotne naprieč Úniou.
V „bruselských kaviarňach“ pri káve či pive preto často znejú praktické otázky: komu a dokedy nahlásiť incident, aké doklady treba a aký výklad vlastne platí. Nejednotnosť notifikačných povinností naprieč viacerými predpismi zvyšuje administratívnu záťaž. Úlohou národných úradov je preto včas konzultovať s podnikmi a pomáhať im zorientovať sa v nových pravidlách.
Nové priority: od odolnosti po krízové scenáre
Na stole je akt o kybernetickej odolnosti, ktorý sa zameriava na zariadenia pripojené k internetu – od kamier až po hračky – a na ich dodávateľské reťazce. Popri tom sa pripravuje revízia mechanizmu na riadenie veľkých kybernetických incidentov, aby v prípade útoku bolo jasné, kto a kedy koná a nevládol chaos. Zvláštnu pozornosť dostáva aj postkvantová kryptografia: krajiny majú zosúladiť plány, lebo úroveň pripravenosti nie je všade rovnaká.
ENISA, európska agentúra pre kyberbezpečnosť, ostáva kľúčovým poradným hráčom a postupne dostáva širší mandát. Bez spoločných certifikačných schém sa totiž iné pravidlá ťažko pretavia do praxe, čo je téma najbližších rokov. Nová Európska komisia avizuje aj dôraz na cloud – vrátane schémy pre úrovne záruky, ktorá môže ovplyvniť prístup firiem k verejným zákazkám.
Medzinárodná spolupráca a slovenský hlas
„Kyber“ v bruselskom chápaní presahuje IT: patrí doň aj obrana, diplomacia a boj proti kyberzločinu. Slovenský vyslanec v pracovných skupinách vysvetľuje európske zámery doma a zároveň prináša spätnú väzbu do Bruselu; Slovensko je pri týchto diskusiách dlhodobo prizývané. Pomáha aj nové európske kompetenčné centrum v Bukurešti a národné pobočky, ktoré firmám uľahčujú prístup ku komunitárnym výzvam mimo klasických eurofondov.
Transatlanticky sa hľadá prienik medzi Európou a USA: kým ENISA vydáva usmernenia a odporúčania, americká CISA sa podieľa na štandardoch a harmonizácii postupov. Spoločné projekty sľubujú zjednotenie hlásenia incidentov a „známky dôvery“ pre produkty. Debata o „príliš striktných“ reguláciách tak smeruje k praxi: menej zbytočnej byrokracie, no bezpečnosť ako nevyhnutný základ každého digitálneho výrobku a služby.
