Evropská unie v tomto směru nezůstává pozadu a dlouhodobě apeluje na schopnosti předcházet útokům a katastrofám, chránit se před mimořádnými událostmi, reagovat na ně, zvládat je, zotavovat se a poučit se z nich a zvyšovat odolnost. Nařízení o digitální provozní odolnosti finančního sektoru DORA, směrnice NIS2 a směrnice CER jsou všechny dobrým příkladem. V tomto článku se zaměříme na poslední z nich – budeme se zabývat tím, jak měnící se rizikové prostředí klade nové požadavky na naše přístupy ke kybernetické bezpečnosti a proč je důležité se neustále přizpůsobovat a reagovat na dynamické výzvy.

Co je směrnice CER a na koho se vztahuje

Critical Entities Resilience (CER) označuje směrnici o odolnosti kritických subjektů z roku 2022 z pera orgánů Evropské unie, jejímž cílem je zlepšení schopnosti důležitých entit odolávat různým rizikům a nepředvídatelným událostem. Její znění představuje aktualizaci a náhradu směrnice o evropské kritické infrastruktuře z roku 2008 (směrnice Rady 2008/114/ES), která se vztahovala pouze na odvětví energetiky a dopravy. Nová pravidla však budou platná pro další řadu sektorů a služeb, které jsou klíčové pro zachování kritických funkcí a činností, veřejného zdraví a bezpečnosti nebo životního prostředí, jako je energetika a související služby, doprava (letecká, železniční, vodní, silniční, veřejná) a služby spojené se správou a údržbou infrastruktury, bankovnictví, digitální infrastruktura včetně služeb, jako je poskytování a provozování internetových výměnných bodů, systém doménových jmen, správu domén nejvyšší úrovně, cloud computing a datová centra, infrastruktura finančního trhu, vodohospodářství, výroba, zpracování a distribuce potravin, zdraví, veřejná správa a také vesmír.

Právě v těchto odvětvích směrnice definuje „kritické entity“ i entity zvláštního evropského významu a stanovuje pravidla pro jejich určení, která se odvíjí zejména od rozsahu poskytování základních služeb v rámci EU (v šesti nebo více členských státech). Samotná identifikace těchto kritických subjektů pro jednotlivá odvětví a pododvětví stanovené ve směrnici CER je zodpovědností jednotlivých členských států, a to konkrétně do termínu 17. července 2026. Jednotlivé subjekty by pak měly pravidelně provádět hodnocení vlastní odolnosti vůči rizikům a aktualizovat své postupy v souladu s aktuálními požadavky.

Identifikace rizik – na co si dle CER dát pozor?

Pro zlepšení odolnosti kritických entit nelze spoléhat pouze na implementaci určitých preventivních kroků. Nejprve je nutné identifikovat možná rizika a hrozby, abychom věděli, na co se připravit a jakými nástroji jsme schopni reagovat. Je tedy zcela zásadní uvědomit si, jaké faktory pro nás představují hrozbu – například přírodní katastrofy, kybernetické útoky, terorismus, ale i další méně přímočaré události, včetně dopadů změny klimatu nebo mimořádných událostí v oblasti zdraví. Důkladná analýza rizik umožňuje entitám lépe se připravit na takové potenciální krizové situace.

Existuje několik metod používaných při identifikaci rizik v CER. Jsou to analýza rizik, scénáře hrozeb (Threat Scenarios), SWOT analýza a pravidelný audit. I s jejich pomocí lze dosáhnout cílů směrnice CER. Jedním z nich je zajištění bezpečnosti občanů EU. CER klade důraz na ochranu životů a majetku občanů a zaměřuje se na posílení odolnosti kritických institucí, jako jsou elektrárny, nemocnice, banky a dopravní infrastruktura vůči různým hrozbám. Uvědomuje si totiž, že přerušení či selhání v těchto zásadních odvětvích by mohlo vést k vážným následkům pro veřejné zdraví a bezpečnost.

Druhým zásadním úmyslem prostupující CER i jinými legislativními nástroji je zajištění a ochrana ekonomické stability, která mimo jiného úzce souvisí se stabilními dodávkami elektřiny, poskytováním finančních služeb či dopravní infrastrukturou. I proto je nutné tyto sektory systematicky chránit a zlepšovat jejich odolnost.

V kontextu rostoucích hrozeb se kritické subjekty stávají také čím dál více potenciálními cíli teroristických útoků. Ochrana proti terorismu je tedy dalším aspektem, ke kterému CER přihlíží. A v reakci na teroristické hrozby zavádí řadu opatření a postupů s cílem celkově snížit dopady útoků teroristických skupin a zároveň poskytnout nástroje pro reakci v případě, že k nim dojde.

Stejně tak přírodní katastrofy jako zemětřesení, povodně nebo požáry představují vážnou hrozbu pro kritické subjekty a jejich operace. Tyto nepředvídatelné události mohou mít zásadní dopad na infrastrukturu a služby, které jsou klíčové pro společnost. V rámci směrnice CER jsou proto popsány postupy a opatření zacílené na minimalizaci důsledků těchto pohrom.

V neposlední řadě je cílem CER také zvyšování efektivity provozu – lepší plánování, rychlejší obnovení provozu po krizi a snížení provozních rizik.

Jak je vidět, minimalizace dopadů různých krizových situací jde právě ruku v ruce se zvyšováním efektivity a odolnosti provozu v každodenních podmínkách. Dodržování a implementace kroků, které tyto dva cíle podporují, proto představují klíč k bezpečné a odolné kritické infrastruktuře. Kromě strategií identifikace, analýzy, hodnocení a minimalizace hrozeb je tedy důležité se zaměřit také na konkrétní taktiky, které vedou k soustavnému celkovému zlepšování, zvyšování připravenosti a na doplnění reaktivních kroků proaktivitou.

Strategie zlepšování – čemu věnovat pozornost?

V rámci snah o zvyšování provozní odolnosti existuje široká škála strategií, které lze rozdělit do dvou základních kategorií odrážející časový horizont jejich aplikace a dopadů – jedná se o základní počáteční kroky a dlouhodobé strategické iniciativy.

Klíčovým prvním krokem obou z nich je identifikace aktuálních slabých míst ve vlastní odolnosti. To zahrnuje přehodnocení stávajících bezpečnostních opatření a identifikaci potenciálních rizik a zranitelností. Následovat pak mohou první kroky, které dodají stavební základnu pro další strategické aktivity. V první řadě je nezbytné vytvořit nebo aktualizovat plány pro řízení krizových situací a záložní opatření. Důležitou součástí tohoto kroku je vytvoření jasné komunikační strategie a koordinace s relevantními orgány a autoritami. Zároveň je nezbytné zajistit, aby všichni zaměstnanci byli informováni o krizových postupech a byli schopni efektivně na nečekané události reagovat. Toho lze dosáhnout například prostřednictvím krizových cvičení a simulací.

V dlouhodobějším horizontu je pak klíčovým prvkem investice do modernizace infrastruktury, což zahrnuje technologické inovace a vylepšení, jež přispívají k celkové odolnosti. Taková modernizace může zahrnovat zdokonalení bezpečnostních systémů, aktualizaci stávajícího vybavení a využití automatizace, která může usnadnit monitorování a celkovou dobu reakce na potenciální hrozby. Součástí dlouhodobé strategie by měla být také pravidelná analýza rizik a preventivních opatření. To umožňuje identifikovat nové hrozby a včas zavést opatření k jejich předejití a minimalizaci. Dlouhodobá spolupráce s odborníky a orgány dohledu je také klíčovým prvkem zajištění trvalé odolnosti, na který není dobré zapomínat.

Závěrem lze říci, že směrnice CER představuje klíčový návod pro členské státy EU pro posílení bezpečnosti a odolnosti subjektů operujících v rámci jejich hranic. Přestože představuje nutnost se přizpůsobit změnám v legislativě a vyžaduje větší aktivitu a investice, z dlouhodobého hlediska napomáhá posílení spolupráce, sdílení informací a celkové připravenosti na náročné situace. Implementace CER je tedy klíčem k udržitelnější a bezpečnější budoucnosti, umožňující entitám v EU efektivně čelit hrozbám a zajistit vysokou úroveň odolnosti a bezpečnosti. V České republice bude směrnice transponována v podobě nového zákona o odolnosti subjektů kritické infrastruktury, který bude tak základním zdrojem specifických požadavků a sankcí.

Pokud se chcete dozvědět více, neváhejte a podívejte se na náš web o směrnici CER.