Európska normalizácia v kybernetickej bezpečnosti
Dosiahnutie primeranej odolnosti voči kybernetickým bezpečnostným hrozbám sa v posledných rokoch stalo jednou z hlavných priorít Európskej únie. Dôležitosť tejto témy sa odráža v dlhodobom rozpočte EÚ, ale aj v legislatívnom programe Európskej komisie, ktorá už v tomto roku plánuje schváliť niekoľko dôležitých právnych aktov. V rámci finančných programov Digitálna Európa a Horizont Európa bude EÚ financovať výskum, inovácie, infraštruktúru a spôsobilosti a podporovať odvetvia, ktoré poskytujú výrobky a služby v kybernetickej bezpečnosti a kybernetickej obrany.
Právne akty Európskej únie majú textáciu navrhovanú všeobecne, s ohľadom na potrebu vyhovieť rôznym kultúram a rôznej výkonnosti ekonomík členských štátov. Od nariadení a smerníc EÚ, ktoré implementujú požiadavky na ochranu súkromia a požiadavky na kybernetickú bezpečnosť, nie je možné efektívne očakávať špecifické detaily. To je typickou úlohou technických noriem. Z toho dôvodu bola kybernetická bezpečnosť identifikovaná ako jedna z priorít európskej technickej normalizácie.
Technická normalizácia v Európskej únii je zastrešená Európskym výborom pre normalizáciu (CEN – z francúzskeho „Comité Européen de Normalisation“). Podobne ako v Medzinárodnej organizácii pre normalizáciu (ISO) sú technické normy v oblasti informačnej a kybernetickej bezpečnosti vydávané spoločne s Medzinárodnou elektrotechnickou komisiou (IEC), sú aj v európskej technickej normalizácii normy pripravované, preberané a publikované spoločne s Európskym výborom pre normalizáciu v elektrotechnike (CENELEC – z francúzskeho „Comité Européen de Normalisation Électrotechnique“). A rovnako ako v ISO, sa aj CEN/CENELEC opiera o štruktúru technických komisií1). Z nich sú pre oblasť informačnej a kybernetickej bezpečnosti podstatné najmä nasledujúce dve:
CEN-CLC/JTC 13 „Kybernetická bezpečnosť a ochrana údajov“ je horizontálna technická komisia, ktorej úlohou je:
- prevziať príslušné medzinárodné normy (najmä z technickej komisie ISO/IEC JTC 1 SC 272) a
- vyvinúť vlastné európske normy (EN) na podporu právnych aktov EÚ (napr. GDPR, CSA, CRA, DORA, ePrivacy, DSA, DMA, RED, Chips Act, AI Act, eIDAS, eIDAS2, NIS, NIS2, a mnohých iných).
CEN-CLC/JTC 13 v zmysle svojho plánu činnosti3) úzko spolupracuje aj s Agentúrou Európskej únie pre kybernetickú bezpečnosť (ENISA) v kontexte európskych certifikačných schém a s Európskou komisiou v rámci požiadavky na štandardizáciu v oblasti kybernetickej bezpečnosti podľa Smernice o rádiových zariadeniach (RED).
- CLC/TC 65X „Meranie, riadenie a automatizácia priemyselných procesov“ je ďalším hlavným zdrojom technických noriem súvisiacich s kybernetickou bezpečnosťou operačných technológií (OT). Táto technická komisia pripravuje a preberá technické normy pre systémy a prvky používané v automatizácii priemyselných procesov.
V pôsobnosti technickej komisie CLC/TC 65X už bola vytvorená napríklad séria noriem EN IEC 62443 pre operačné technológie, ktoré sa nachádzajú v priemyselných a kritických infraštruktúrach, najmä v energetike, v systémoch vodného hospodárstva, zdravotnej starostlivosti a dopravných systémoch.
V pláne programu rozvoja technickej normalizácie Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky pre rok 2022 sú v kontexte kybernetickej bezpečnosti zahrnuté viaceré technické normy, napríklad:
- STN EN ISO/IEC 27002 Informačné technológie. Bezpečnostné metódy. Pravidlá dobrej praxe riadenia informačnej bezpečnosti (ISO/IEC 27002: 2022);
- STN EN ISO/IEC 27005 Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti (ISO/IEC 27005: 2018);
- STN EN ISO/IEC 27032 Informačné technológie. Bezpečnostné metódy. Návod na kyberbezpečnosť (ISO/IEC 27032: 2012);
- STN EN ISO/IEC 27037 Informačné technológie. Bezpečnostné metódy. Návod na identifikáciu, zber, získavanie a uchovávanie digitálnych dôkazov (ISO/IEC 27037: 2012);
- STN EN ISO/IEC 27013 Informačné technológie. Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Návod na spoločnú implementáciu ISO/IEC 27001 a ISO/IEC 20000-1 (ISO/IEC 27013: 2021).
Trieda 27xxx pozostáva z niekoľkých desiatok noriem. Niektoré z nich sú prevzaté do sústavy STN, či už prekladom, alebo v origináli. Treba tiež zdôrazniť, že kybernetickou odolnosťou, alebo ochranou údajov sa zaoberajú aj normy v iných triedach, predovšetkým 29xxx, 24xxx, alebo 20xxx. Za zmienku stoja napríklad:
- STN EN ISO/IEC 29147: 2018 Informačné technológie. Bezpečnostné metódy. Zverejňovanie zraniteľností (ISO/IEC 29147: 2018); alebo
- STN EN ISO/IEC 29100 Informačné technológie. Bezpečnostné metódy. Rámec ochrany osobných údajov (ISO/IEC 29100: 2018).
Niektoré technické normy sú v súčasnosti vo fáze vývoja. Jedným z použiteľných štandardov nepochybne bude ISO/IEC DIS 27557 Informačné technológie. Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Riadenie rizika ochrany súkromia v organizáciách, ktorá sa vypracúva v ISO/IEC JTC 1/SC 27 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Tento dokument je aktuálne vo vývojovom štádiu4) DIS (t.j. „Draft International Standard“). Štádium technickej normy DIS je finálnym výsledkom činnosti príslušnej pracovnej skupiny, schválený technickou komisiou. V tejto fáze vývoja sa ISO norma posúva na schvaľovacie hlasovanie pre všetkých 89 členských štátov ISO. Na hlasovanie majú členovia 12 týždňov. Akékoľvek navrhované zmeny, ktoré sú výsledkom tohto hlasovacieho procesu, musí riešiť spoločná technická komisia ISO/IEC a tieto môžu byť zahrnuté do návrhu, alebo zamietnuté, už bez ďalšieho hlasovania členských štátov o zmene.
Upravený dokument DIS sa posiela hlasujúcim krajinám ako štádium FDIS (t.j. „Final Draft International Standard“) na záverečné 8 týždňové hlasovanie. Schválený FDIS dokument musí ISO vydať ako platnú normu ISO do 60 dní od schválenia FDIS. To všetko však znamená, že kým sa návrh normy ISO/IEC DIS 27557 dostane do záverečného štádia, uplynie ešte najmenej 8 mesiacov. Po odporučení národnej technickej komisie TK 37 Informačné technológie, môže byť tento dokument zaradený do plánu technickej normalizácie na prevzatie do sústavy STN.
O finančných zdrojoch pre kybernetickú bezpečnosť bude už v najbližšom období v zmysle nariadenia Európskeho parlamentu a Rady EÚ č. 2021/887 rozhodovať Európske centrum odvetvových, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti (ECCC) a sieť národných koordinačných centier (NCC) spolu s komunitnými partnermi, ktorými sú výskumné subjekty, dodávateľské a odberateľské subjekty a verejný sektor. Úlohy Národného koordinačného centra v Slovenskej republike z poverenia Národného bezpečnostného úradu podľa § 5 ods. 1 písm. z) zákona č. 69/2018 Z. z. kybernetickej bezpečnosti plní Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.
V programe NCC sú plánované aj výzvy, ktorými bude podporená technická normalizácia v oblasti informačnej a kybernetickej bezpečnosti a ochrane údajov.
Autor odborného článku (originál bol publikovaný na portáli ÚNMS):
Ing. Ivan Makatura, CRISC, CDPSE
člen TK 37 Informačné technológie
Kompetenčné a certifikačné centrum kybernetickej bezpečnosti