Kybernetická hrozba v době pandemie | Marwick.cz
Marwick.cz

Kybernetická hrozba v době pandemie

Právo 27.3.2020 Martin Čapek, Filip Horák
Kybernetická hrozba v době pandemie
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nařídil v návaznosti na nedávný kybernetický útok na Fakultní nemocnici Brno vybraným nemocnicím, aby lépe zabezpečily své informační systémy. Vůbec poprvé k tomu využil institut tzv. reaktivního opatření.

Kybernetický útok na FN Brno dne 13. března 2020 přišel nikoliv zcela překvapivě v době, kdy je bezproblémový chod zdravotnických zařízení zásadní. Dnes, kdy celý svět sužuje koronavirová pandemie, nelze dopustit ochromení informačních systémů zdravotnických zařízení, zejména pokud jde o klíčové nemocnice. NÚKIB proto podle § 13 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB) vydal rozhodnutí, ve kterém uložil provést reaktivní opatření s cílem minimalizovat riziko dalších podobných incidentů.

Tímto reaktivním opatřením nařídil vybraným subjektům z oblasti zdravotnictví podniknout nezbytné kroky, které povedou k zabezpečení důležitých informačních a komunikačních systémů před kybernetickým bezpečnostním incidentem. Reaktivní opatření vydal pouze vůči konkrétním subjektům, nikoliv plošně. Z důvodu zachování bezpečnosti NÚKIB nesdělil, jaké konkrétní povinnosti dotčeným subjektům uložil.

Kromě reaktivního opatření NÚKIB zároveň zaslal vybraným subjektům doporučení k zabezpečení informačních a komunikačních systémů, které je ale na rozdíl od vynutitelných reaktivních opatření dobrovolného charakteru.

Historicky první rozhodnutí, ve kterém NÚKIB uložil provést reaktivní opatření, je dle ustanovení § 13 odst. 1 ZoKB možné vydat ve dvou případech – k řešení kybernetického bezpečnostního incidentu, anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem.

Předmětem reaktivního opatření může být jakákoliv povinnost, která je v souladu s jeho účelem, tj. řešení reálně nastalého nebo probíhajícího kybernetického bezpečnostního incidentu. Vedle účelové restrikce musí být konkrétní povinnosti zároveň vnímané ve smyslu ústavní doktríny omezeného testu proporcionality.

Z dikce ustanovení § 13 ZoKB se nabízí, že reaktivní opatření jsou zákonem zakotvena k okamžitému a vysoce efektivnímu řešení závažných bezpečnostních hrozeb. S tím koresponduje i jejich teoreticky neomezený rozsah, velice omezené podmínky pro jejich vlastní užití a zároveň také jejich procesní konstrukce.

Standardně (jako i v s uvedeném případě) jsou totiž vydávána ve formě správního rozhodnutí jako první úkony ve věci (vůči blíže neurčenému okruhu orgánů nebo osob lze vydat i formou opatření obecné povahy), přičemž případné podání opravného prostředku (rozkladu) nemá odkladný účinek. Z procesního hlediska se v rámci českého správního práva jedná o nejrychlejší možný způsob reakce na kybernetický bezpečnostní incident, jaký má NÚKIB k dispozici. Prostřednictvím oznamovací povinnosti zakotvené v ustanovení § 13 odst. 4 ZoKB může navíc efektivně monitorovat provedení reaktivního opatření a jeho výsledek.

S ohledem na často zastaralé informační systémy subjektů ve zdravotnictví je vydání reaktivního opatření vítané. Zároveň je nutné souhlasit s názorem NÚKIB, že podniknuté kroky nesmí za žádnou cenu ohrozit poskytování zdravotnické péče a jiných důležitých služeb. Nezbývá než doufat, že podobné kybernetické útoky se nebudou v této, ani v jiné době opakovat, a pokud ano, tak ohrožené subjekty budou připraveny.

autor
Martin Čapek, Filip Horák

Nástrahy inteligentní domácnosti pohledem právníka

Nástrahy inteligentní domácnosti pohledem právníka

Kdo odpovídá za škodu způsobenou umělou inteligencí? Výrobce, majitel přístroje, nebo dodavatel dat? Také tento hlavolam zkouší vyřešit Evropská unie.

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.