Na základě Na základě novelizace Prováděcího nařízení komise EU 2015/1998 ve znění Prováděcího nařízení komise EU 2019/1583 a Prováděcího nařízení komise EU 2020/910, které posouvá platnost Prováděcího nařízení komise EU o rok, jsou od 1. 1. 2022 pro oblast kybernetické bezpečnosti vyžadovány nové povinnosti u subjektů a školitelů podílejících se na ochraně civilního letectví před protiprávními činy (dále jen „subjekty“):
1. Subjekty jsou povinny provést identifikaci kritických informačních a komunikačních systémů (IKS) za účelem určení, zda by narušení důvěrnosti, integrity nebo dostupnosti informací, uložených a používaných v těchto systémech, jejich funkcích a komponentech mohlo mít vliv na ochranu civilního letectví před protiprávními činy a na jeho základě stanovit rozsah zaváděných opatření v oblasti kybernetické bezpečnosti.
Cílem zaváděných opatření je, aby subjekty identifikovaly a chránily svoje IKS a údaje před kybernetickými útoky, které by mohly ohrozit ochranu civilního letectví před protiprávními činy.
Opatření se dělí na bezpečnostní, organizační a technické. Tato opatření k zajištění kybernetické bezpečnosti jsou součástí celého souhrnu opatření k zabezpečení ochrany civilního letectví před protiprávními činy
Pro hodnocení aktiv, rizik, zranitelností a hrozeb lze využít Přílohy 1 – 3, Vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat č. 82/2018.
2. Níže jsou uvedeny pouze některé příklady dat, které jsou identifikovány jako kritické v oblasti ochrany civilního letectví před protiprávními činy:
3. Na základě identifikace IKS je potřeba tyto systémy a informace v nich obsažené zabezpečit především proti neoprávněnému přístupu, změně a použití, zabránit narušení integrity nebo nedostupnosti, změně konfigurace IKS a zabránit neoprávněné manipulaci se systémy a jejich daty. Pro systematické nastavení zabezpečení u subjektů, které nespadají do působnosti zákona o kybernetické bezpečnosti, doporučujeme využít jako pomocný dokument „Minimální bezpečnostní standard“, připravený Národním úřadem pro kybernetickou a informační bezpečnost (dále jen NÚKIB“). Konkrétní opatření je nutno aplikovat na základě identifikace IKS a vyhodnocení rizik.
4. V bezpečnostních programech subjektů nebo v jiném relevantním dokumentu zaštiťujícím kybernetickou bezpečnost u subjektu, na který se bezpečnostní program odkazuje, se na základě posouzení rizik, která si zpracoval daný subjekt, podrobně stanoví opatření k zajištění ochrany před kybernetickými útoky, jejich odhalování a reakce na ně.
5. V oblasti odborné přípravy (výcvik) osob budou proškoleny všechny osoby, které musí absolvovat jinou odbornou přípravu dle NPBV a osoby, které mají přístup k aktivům dle bodu 2. Toto školení bude realizováno v průběhu roku 2022.
a) Osoba odpovědná za kybernetickou bezpečnost, uvedená v Bezpečnostním programu subjektu (může být shodná s osobou odpovědnou za bezpečnost v oblasti ochrany civilního letectví před protiprávními činy – školení B17 dle NPBV), absolvuje školení a test „Šéfuj kyber!“ zpracovaný NÚKIB a zpřístupněný přes odbor bezpečnostní Úřadu. Tato osoba bude řídit a zabezpečovat odbornou přípravu v oblasti zajištění kybernetické bezpečnosti pro ostatní zaměstnance, kteří nespadají do skupiny osob, která má absolvovat školení a test „Dávej kyber!“.
b) Fyzické osoby, které mají přístup k informačním a komunikačním prostředkům (např. PC, telefony, kamery, datové sítě a jejich součásti, datové, obrazové nebo tiskové vstupy a výstupy, bezpečnostní zařízení apod.), které obsahují aktiva dle bodu 2., absolvují školení a test NÚKIB “Dávej kyber!”
Tento druh odborné přípravy je určen především pro všechny bezpečnostní pracovníky a pro jiné fyzické osoby, které se seznamují, manipulují, či zpracovávají aktiva dle bodu 2.
c) Ostatní fyzické osoby, které jsou povinny absolvovat odbornou přípravu dle stávajícího NPBV, musí absolvovat školení z oblasti kybernetické bezpečnosti, které provede osoba odpovědná za kybernetickou bezpečnost s platným školením dle bodu a. nebo daná fyzická osoba musí absolvovat školení dle bodu b.
Tento druh odborné přípravy je určen především pro pracovníky, kteří v rámci svých pracovních povinností nepoužívají bezpečnostní zařízení nebo výpočetní a komunikační prostředky pro zpracovávání, zobrazování nebo přenos aktiv dle bodu 2.
Absolvování odborné přípravy v oblasti kybernetické bezpečnosti dokládají osoby uvedené v bodech a) a b) certifikátem, který je jim v elektronické podobě vydán po absolvování školení. Absolvování odborné přípravy u osob uvedených v bodě c) dokládá subjekt v podobě prezenčních listin provedeného školení, ve které budou uvedeny minimálně tyto náležitosti:
a) jméno a příjmení školené osoby;
b) místo kde školení proběhlo;
c) datum a čas školení;
d) časová dotace školení;
e) jméno a příjmení včetně podpisu odpovědné osoby, jenž školení provedla;
f) podpis školeného pracovníka.
Pro oblast odborné přípravy v oblasti kybernetické bezpečnosti nejsou aplikovány požadavky dle ustanovení § 85x Zákona o civilním letectví a o změně a doplnění zákona č. 455/1991 SB., o živnostenském podnikaní (živnostenský zákon), ve znění pozdějších předpisu (dále jen „letecký zákon“) jako na osoby poskytující odbornou přípravu dle NBPV (školitele).
Právnická nebo podnikající fyzická osoba je odpovědná za zabezpečení školení v oblasti kybernetické bezpečnosti pro své zaměstnance nebo členy (např. aerokluby). Vydání letištního identifikačního průkazu (IDC) nebo oprávnění k přístupu do neveřejného prostoru letiště není podmíněno předložením tohoto školení provozovateli letiště (subjektu, který IDC anebo oprávnění k přístupu do neveřejného prostoru letiště vydává).
6. Tato opatření se netýkají subjektů spadajících do působnosti Směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii a zákona o kybernetické bezpečnosti č. 181/2014 Sb., kteří jsou povinni naplnit požadavky stanovené těmito legislativními akty.
7. Upozorňujeme také na povinnost zajistit ověření spolehlivosti u osob s právy administrátora nebo s přístupem bez dozoru a bez omezení ke kritickým informačním a komunikačním systémům a údajům používaným k účelům ochrany civilního letectví před protiprávními činy, za podmínek stanovených pro provádění ověření spolehlivosti.