Co jsou regulované služby z hlediska pravidel kyberbezpečnosti?
Regulované služby představují z pohledu zákona o kybernetické bezpečnosti specifickou a jasně vymezenou kategorii služeb, které jsou považovány za naprosto zásadní pro bezproblémové fungování moderního státu a společnosti jako celku.
Kritéria a důvody regulace
Klíčovým kritériem pro zařazení určité služby do kategorie regulovaných služeb je skutečnost, že případný výpadek nebo narušení její funkčnosti v důsledku kybernetického útoku by mělo závažný a potenciálně katastrofický dopad na ekonomiku státu, veřejné zdraví obyvatelstva nebo na stav životního prostředí. Právě z tohoto důvodu jsou tyto služby označovány jako služby klíčové státní infrastruktury a jsou podrobeny přísnému právnímu dohledu a regulaci ze strany příslušných státních orgánů, přičemž míra jejich zranitelnosti a zásadní nenahraditelnost v každodenním životě společnosti jsou hlavními faktory, které odůvodňují zvýšenou pozornost věnovanou jejich ochraně před kybernetickými hrozbami.
Konkrétní oblasti regulovaných služeb
Mezi regulované služby patří zejména odvětví energetiky, zahrnující výrobu, přenos a distribuci elektrické energie, plynu nebo tepla, dále zdravotnictví včetně nemocnic, záchranných složek a systémů zdravotní péče, oblast veřejné správy a státních institucí, poskytovatelé telekomunikačních a datových sítí zajišťující konektivitu a komunikaci, bankovnictví a finanční infrastruktura, jakož i vodní hospodářství zahrnující zásobování pitnou vodou a správu odpadních vod, přičemž všechna tato odvětví jsou propojena a vzájemně závislá natolik, že narušení jediného z nich může mít řetězový efekt na ostatní.
Povinnosti poskytovatelů regulovaných služeb
Všichni poskytovatelé regulovaných služeb jsou ze zákona povinni plnit bezpečnostní ustanovení zákona o kybernetické bezpečnosti, což v praxi znamená povinnost zavádět a pravidelně aktualizovat technická a organizační bezpečnostní opatření, hlásit kybernetické incidenty příslušným orgánům, provádět pravidelné bezpečnostní audity a testy odolnosti svých systémů, udržovat bezpečnostní dokumentaci a zajišťovat odpovídající úroveň vzdělání a odborné způsobilosti svých zaměstnanců v oblasti kybernetické bezpečnosti, a to vše s cílem minimalizovat rizika a zajistit kontinuitu poskytování těchto pro společnost nepostradatelných služeb i v případě sofistikovaných kybernetických útoků.
