Možnosti metodické pomoci Národního úřadu pro kybernetickou a informační bezpečnost zadavatelům veřejných zakázek.
Národní úřad pro kybernetickou a informační bezpečnost (dálen jen „NÚKIB“) vydal dne 17. prosince 2018 varování před použitím technických nebo programových prostředků společností Huawei Technologies Co., Ltd., a ZTE Corporation. Na základě mnohých dotazů potenciálně dotčených subjektů NÚKIB nyní přistoupil k vydání příslušné metodiky.
Metodika konkretizuje možné postupy správců informačních a komunikačních systémů spadajících pod zákon o kybernetické bezpečnosti a je určena primárně odborníkům, zabývajícím se kybernetickou bezpečností.
Metodika vysvětluje institut varování, popisuje princip řízení rizik a nastiňuje možnosti při zajištění plnění povinností podle zákona o kybernetické bezpečnosti v souladu s předpisy regulujícími zadávání veřejných zakázek.
Varování neznamená bezpodmínečný zákaz používání daných technických a programových prostředků, ale nutnost zvážit případné bezpečnostní riziko související s jejich užíváním. Dovolí-li to výsledky analýzy rizik, uvedené technické nebo programové prostředky je tedy možné i nadále používat.
Správci nebo provozovatelé informačních a komunikačních systémů kritické informační infrastruktury, správci nebo provozovatelé významných informačních systémů a správci nebo provozovatelé informačních systémů základních služeb jsou povinni podle vyhlášky kybernetické bezpečnosti pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, významný informační systém
a informační systém základní služby provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit.
Na základě vyhodnocení rizik zavádějí a provádějí bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti v souladu s příslušnými legislativními normami, přičemž v souvislosti s řízením rizik musejí zohlednit mimo jiné i vydaná varování.
Na základě vydaného varování tedy musejí povinné osoby v rámci zavedeného řízení rizik provést analýzu rizik, ve které zohlední hrozbu, a následně na riziko reagovat přijetím bezpečnostních opatření, která musí být v souladu s nastavenými metrikami pro akceptovatelnost rizika a hodnotou daného rizika.
Výše zmíněné povinné osoby jsou současně povinny stanovit pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací, seznamovat s nimi tyto dodavatele a vyžadovat po dodavatelích plnění těchto pravidel.
Zjednodušeně lze celý proces postupu shrnout v následujících krocích:
- Analýza prostředí a prošetření, zda a kde jsou dané technické nebo programové prostředky
v rámci informačních a komunikačních systémů využívány (např. v seznamu podpůrných aktiv nebo v seznamu majetku organizace). - U aktiv souvisejících s vydaným varováním je potřeba provést aktualizaci analýzy rizik
a zohlednit nové hrozby plynoucí z vydaného varování. V rámci tohoto kroku je důležitá spolupráce manažera kybernetické bezpečnosti, který má znalost procesu analýzy rizik,
s garantem aktiva, který je schopný ohodnotit aktivum, jehož je garantem. - Výsledkem aktualizace analýzy rizik je nová hodnota rizika. V případě, že je překročena akceptovatelná míra rizika, kterou má povinná osoba stanovenu v souladu s požadavky vyhlášky o kybernetické bezpečnosti, je nutné přistoupit k zavedení bezpečnostních opatření
a tím ke snížení rizika. - Jedním z možných opatření může být postupná náhrada daných technických a programových prostředků a jejich vyloučení z výběrového řízení. Další možností je např. úprava pravidel pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací organizace, seznámení dodavatelů s těmito pravidly a vyžadování plnění těchto pravidel po dodavatelích.
Z hlediska výběrového řízení v rámci zadávání veřejných zakázek je třeba zvolit odpovídající postupy ve vztahu k tomu, v jaké fázi se dané výběrové řízení nachází:
- Fáze přípravy na veřejnou zakázku.
- Fáze probíhajícího zadávacího řízení.
- Fáze po skončení zadávacího řízení a zadání zakázky uchazeči.
- Ve fázi přípravy na veřejnou zakázku (tj. příprava zadávací dokumentace/zadávacích podmínek vč. smluvních podmínek) musí povinná osoba řídit rizika spojená s dodavateli. Je tedy nutné provedení analýzy rizik a následné zapracování jejího výsledku přímo do zadávací dokumentace.
- Pokud se jedná o fázi probíhajícího zadávacího řízení, materiál rozlišuje následující situace:
- a) V rámci zadávacího řízení neuplynula lhůta pro podání žádosti o účast, předběžných nabídek nebo nabídek
- b) V rámci zadávacího řízení již uplynula lhůta pro podání nabídek
3) Pokud se jedná o fázi po skončení zadávacího řízení a zadání zakázky uchazeči, je nutné provedení analýzy rizik podle vyhlášky o kybernetické bezpečnosti a na základě jejího výsledku provést jedno z následujících opatření:
- a) V případě potřeby zvážit nasazení bezpečnostních opatření ke snížení rizik.
- b) V případě, že není možné přijmout bezpečnostní opatření ke snížení rizika, nahradit technické a programové prostředky na základě nového zadávacího řízení.