Kybernetická Bezpečnost & Růst
Publikováno dne
Legislativa

Kybernetická bezpečnost: jednotné hlášení incidentů

Autor

Kybernetická bezpečnost: jednotné hlášení incidentů

V oblasti kybernetické bezpečnosti dnes není výzvou jen zvládání samotných útoků, ale i administrativní a regulatorní zátěž, která s nimi souvisí. Firmy, které řeší vážnější incident, často paralelně bojují s otázkou, komu, kdy a v jaké podobě incident nahlásit.

Právě tuto roztříštěnost povinností se snaží řešit nový legislativní návrh Evropské komise známý jako Digital Omnibus, jehož cílem je zjednodušit digitální regulaci napříč EU a vytvořit jednotný proces pro hlášení incidentů. Návrh počítá zejména se zavedením jednoho evropského portálu, přes který budou moci organizace splnit povinnosti podle více předpisů současně.

Jeden incident dnes totiž může spadat pod několik různých právních režimů. Výsledkem je, že v době, kdy by se tým měl plně soustředit na zvládnutí incidentu, vyplňuje několik různých hlášení, v různých formátech, pro různé autority. Evropská komise to sama popisuje jako významnou zátěž, která firmy může odrazovat od včasného a kompletního reportování.

1. Co přesně Digital Omnibus navrhuje

Digital Omnibus představuje:

  • Jednotné vstupní místo pro hlášení incidentů (single-entry point).
  • Platformu má zřídit a provozovat ENISA – EU agentura pro kybernetickou bezpečnost.
  • Firma podá jedno hlášení přes jednotný portál → to se „počítá“ jako splnění povinnosti podle více předpisů najednou.

Podle Komise má single-entry point pokrýt především:

  • NIS2
  • GDPR
  • DORA
  • CER
  • budoucí eIDAS2
  • a postupně i další sektorové režimy (např. energie, letectví)

Důležité nuance

  • Single-entry point nenahrazuje samotné povinnosti, ty zůstávají v jednotlivých předpisech.
  • Platforma bude sloužit jako společný kanál, který přepošle hlášení příslušným národním orgánům.
  • Komise i ENISA podle návrhu nemají automaticky přístup k obsahu hlášení, pokud to konkrétní legislativa výslovně neumožní.

2. Jak vypadá realita dnes

Dnes typicky platí, že:

  • pod NIS2 hlásíte incident CSIRTům / kompetentním orgánům,
  • pod GDPR dozorovému úřadu pro ochranu osobních údajů,
  • pod DORA finančnímu dohledu / národnímu regulátorovi,
  • pod CER dalším orgánům dle sektoru.

Prakticky to znamená:

  • 3–6 různých formulářů,
  • různé termíny a prahové hodnoty,
  • různé detaily (jiné otázky, jiné definice „významného incidentu“).

3. Přínosy pro firmy a bezpečnostní týmy

Z pohledu kyberbezpečnostní praxe je single-entry point jedna z nejkonkrétnějších a nejvíc „hands-on“ změn v Digital Omnibus.

3.1 Méně administrativy

Hlavní výhoda SEP pro praxi:

  • jedno hlášení → splnění více povinností současně,
  • nižší riziko opožděných hlášení,
  • nižší pravděpodobnost, že některá povinnost bude přehlédnuta,
  • méně nekonzistencí napříč úřady.

3.3 Kvalitnější data pro regulátory

Z pohledu dohledových orgánů zvyšuje SEP šanci na:

  • jednotnější datové výstupy,
  • lepší detekci trendů a systemických hrozeb (supply-chain útoky, ransomware kampaně…),
  • efektivnější řízení rizik na úrovni celé EU.

4. Rizika a otevřené otázky

Digital Omnibus přináší reálné výhody, ale také několik oblastí, které bude nutné v legislativním procesu vyjasnit.

4.1 Centralizace citlivých dat

Jednotný portál bude:

  • obsahovat extrémně citlivá data o incidentech, slabinách a dopadech,
  • sloužit jako centrální uzel pro celou EU.

Otázky, které bude nutné vyřešit:

  • Jak robustně bude portál zabezpečen?
  • Jak bude řešená autentizace, audit, segregace přístupů?

Komise uvádí, že řešení bude mít robustní bezpečnost a že ENISA staví na zkušenosti z existující platformy podle Cyber Resilience Act, ale konkrétní technická podoba ještě není definována.

4.2 Jak detailní budou hlášení?

Jednotný formulář musí sladit výrazně rozdílné režimy:

  • Bude požadovaný detail stejný pro všechno, nebo adaptivní?
  • Jak se sladí:
    • poměrně stručné notifikace podle GDPR,
    • detailní reporty podle DORA nebo NIS2?

Hrozí dvě extrémní varianty:

  • některé režimy budou „přitvrzeny“, aby se vešly do společného formátu,
  • nebo vznikne komplexní mega-formulář.

4.3 Role ENISA vs. národní regulátoři

Digital Omnibus počítá s tím, že:

  • ENISA portál provozuje,
  • jednotlivé autority v členských státech zůstávají příjemci hlášení,
  • ENISA ani Komise nemají automaticky přístup k obsahu, pokud to neumožní konkrétní předpis.

Přesto to otevírá otázky:

  • Posune se reálně mocenské těžiště ve prospěch ENISA?
  • Budou národní úřady trvat na vlastních doplňujících požadavcích?
  • Nebudou národní orgány tlačit na to, aby si „své“ detaily řešily mimo portál?

6. Závěr

Digital Omnibus je aktuálně ve stádiu návrhu, ale směr je zřejmý: Evropská komise chce snížit administrativní zátěž a zlepšit kvalitu informací o incidentech na úrovni EU.

Firmy, které se připraví včas, mohou později významně těžit z efektivnější governance a jednotných reportingových procesů.

Klíčové bude sledovat:

  • legislativní vývoj v Evropském parlamentu a Radě,
  • a také to, jak nakonec ENISA SEP implementuje v praxi.

Související příspěvky