Po většinu dvou desetiletí se prověřování zaměstnanců v evropských organizacích pohybovalo v nejednoznačné šedé zóně. Bylo všeobecně považováno za dobrou praxi. Doporučovalo se v normě ISO 27001 a v různých odvětvových kodexech chování. Bylo běžné ve finančních službách a letectví, kde regulátoři dlouhodobě vyžadovali integritu personálu. Pro drtivou většinu evropských zaměstnavatelů, včetně těch, kteří provozují kritickou infrastrukturu, však bylo volitelné.
To se změnilo s příchodem směrnice NIS2. A v České republice se to změnilo znovu s aktualizovaným Zákonem o kybernetické bezpečnosti – národním kybernetickým zákonem, který implementuje NIS2 s konkrétními domácími ustanoveními. Prověřování zaměstnanců se v poměrně krátké době přesunulo z diskrečního rozhodnutí HR oddělení na zákonnou povinnost s právními důsledky.
Co NIS2 skutečně vyžaduje
Směrnice NIS2 – oficiálně směrnice (EU) 2022/2555 – vstoupila v platnost v lednu 2023 a vyžadovala transpozici členskými státy do října 2024. Její rozsah je širší než u její předchůdkyně, směrnice NIS1, a pokrývá výrazně rozšířený soubor odvětví a subjektů. Mezi základní subjekty patří energetika, doprava, bankovnictví, infrastruktura finančního trhu, zdravotnictví, pitná voda, odpadní vody, digitální infrastruktura, řízení služeb IKT a veřejná správa. Důležité subjekty zahrnují poštovní služby, nakládání s odpady, výrobu kritických produktů, výrobu potravin a digitální poskytovatele.
Směrnice vyžaduje, aby subjekty v těchto kategoriích zavedly vhodná technická a organizační opatření k řízení kybernetických rizik. Článek 21 stanoví, že tato opatření musí zahrnovat politiky týkající se bezpečnosti lidských zdrojů, řízení přístupu a správy majetku. Bod odůvodnění 89 výslovně uvádí, že politiky bezpečnosti lidských zdrojů by měly zahrnovat opatření k řešení rizik, která představují zaměstnanci a dodavatelé.
Nejedná se o nejednoznačné znění. Je to přímé prohlášení, že bezpečnost personálu – systematické posuzování důvěryhodnosti osob s přístupem ke kritickým systémům a datům – je požadovaným prvkem souladu s NIS2. Dozorové orgány v členských státech jsou oprávněny kontrolovat, vyžadovat důkazy a sankcionovat selhání v této oblasti.
Český ZKI: specifičtější standard
Implementace NIS2 v České republice prostřednictvím aktualizovaného zákona o kybernetické bezpečnosti zavádí povinnosti, které jsou v některých ohledech specifičtější než samotná směrnice. ZKI se vztahuje na značný počet českých subjektů, včetně těch, které provozují kritickou infrastrukturu podle souběžného zákona o kritické infrastruktuře, a těch, které Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) označil za regulované subjekty.
V rámci ZKI musí regulované subjekty zavést opatření pro bezpečnost personálu, která mimo jiné zahrnují ověření spolehlivosti zaměstnanců a dodavatelů před udělením přístupu k citlivým systémům. Zákon nepředepisuje konkrétní metodiku prověřování, ale je zřejmé, že spoléhání se na pouhý životopis je nedostatečné. Od subjektů se očekává, že v případě auditu prokážou, že podnikly přiměřené kroky k ověření minulosti osob s přístupem ke kritickým systémům.
NÚKIB zveřejnil pokyny, které naznačují, že prověrky rejstříku trestů, ověření totožnosti a ověření historie zaměstnání patří mezi vhodná opatření pro personál s privilegovaným přístupem. Termín pro plné dodržení uplynul v roce 2024, což znamená, že regulované subjekty, které dosud nezavedly procesy prověřování, jsou již v rozporu se zákonem.
Koho se to týká a rozsah dopadu
Počet českých subjektů podléhajících povinnostem ZKI se počítá v tisících, pokud se sečtou provozovatelé kritické infrastruktury, poskytovatelé základních služeb a důležité subjekty. V Německu NIS2UmsuCG – národní prováděcí legislativa – ukládá podobné povinnosti napříč ještě větší průmyslovou základnou, vzhledem k rozsahu Německa a jeho koncentraci kritické výroby, energetiky a finančních služeb.
Pro Polsko transpozice NIS2 vytvořila povinnosti pro subjekty v odvětvích energetiky, dopravy a digitální infrastruktury, přičemž pravomoc k vymáhání je svěřena národnímu regulátorovi kybernetické bezpečnosti. V celém regionu střední a východní Evropy je kombinovaný účinek NIS2 a jejích národních implementací významným posunem v právním základu pro bezpečnost personálu.
Sankce za nedodržení jsou značné. NIS2 stanoví minimální pokuty pro základní subjekty ve výši nejméně 10 milionů eur nebo 2 % celkového ročního obratu, podle toho, která hodnota je vyšší. Pro důležité subjekty je minimum 7 milionů eur nebo 1,4 % obratu. Nejedná se o symbolické pokuty. Jsou nastaveny tak, aby byly finančně významné i pro velké organizace.
Propast mezi povinností a praxí
Navzdory jasnosti povinnosti a rozsahu důsledků mnoho evropských organizací podléhajících NIS2 dosud nezavedlo systematické procesy prověřování. Důvody se liší. Některé organizace jsou v procesu mapování svých povinností v oblasti dodržování předpisů a dosud se nedostaly k oblasti bezpečnosti personálu. Jiné dospěly, nesprávně, k závěru, že jejich stávající ověřování referencí splňuje požadavek. Další stále čekají, zda orgány pro vymáhání práva tuto oblast upřednostní.
Zkušenosti z vymáhání GDPR nabízejí relevantní paralelu. Když GDPR vstoupilo v platnost v roce 2018, mnoho organizací zaujalo vyčkávací přístup a sázely na to, že vymáhání bude pomalé a že procesní soulad postačí k odvrácení sankcí. Vymáhání bylo zpočátku pomalé. Ale zrychlilo se. Pokuty udělené od roku 2020 byly značné a vzorec vymáhání sledoval jasnou trajektorii: počáteční kroky proti nejviditelnějším selháním, následované stále systematičtější kontrolou organizačních postupů.
Vymáhání NIS2 se řídí podobným vzorcem. NÚKIB a jeho protějšky v Německu a Polsku zahájily kontrolní inspekce regulovaných subjektů a postupy zabezpečení personálu spadají do rozsahu.
Jak vypadá program prověřování v souladu s předpisy
Program zabezpečení personálu v souladu s NIS2 a ZKI nemusí být složitý. Musí být přiměřený, zdokumentovaný a důsledně uplatňovaný.
Pro zaměstnance a dodavatele s přístupem k citlivým systémům nebo datům zahrnuje minimální obhajitelný standard ověření totožnosti, kontroly rejstříku trestů odpovídající zemi bydliště a státní příslušnosti jednotlivce a ověření historie zaměstnání nebo angažmá, kterou uvedli organizaci. Pro role s privilegovaným přístupem – správce systémů, bezpečnostní personál, osoby s přístupem k osobním údajům ve velkém rozsahu – jsou vhodné rozšířené kontroly, včetně prověřování negativních zmínek v médiích a, je-li to relevantní, kontroly finanční bezúhonnosti.
Klíčové je, že program musí být zdokumentován. Organizace, která provedla prověřování, ale nemůže prokázat, co, kdy a pro koho udělala, je ve slabé pozici vůči regulátorovi, který hledá důkazy o souladu. Proces prověřování by měl generovat záznamy, které lze na vyžádání předložit.
A konečně, program se musí vztahovat na dodavatele, dočasné zaměstnance a agenturní pracovníky, nejen na stálé zaměstnance. NIS2 a ZKI nerozlišují podle typu zaměstnání. Pokud má jednotlivec přístup k regulovaným systémům, měl by spadat do rozsahu vašeho prověřovacího programu bez ohledu na to, jak je angažován.
Příležitost pro proaktivní soulad
Organizace, které dosud nezavedly strukturované prověřování, k tomu mohou stále přistupovat proaktivně, nikoli reaktivně. Zavedení prověřovacího programu nyní, s jasnou dokumentací toho, co je pokryto, na jaké úrovni a jak jsou výsledky zaznamenávány a řešeny, vytváří obhajitelnou pozici proti regulační kontrole.
Alternativa – čekání, dokud inspekce neodhalí nedostatky – je výrazně méně atraktivní možností. Dozorové orgány nejsou oprávněny pouze ukládat pokuty: mohou vyžadovat nápravu v krátkých lhůtách, ukládat provozní omezení a zveřejňovat donucovací opatření způsobem, který vytváří reputační i finanční důsledky.
Prověřování minulosti již není jen „hezké mít“. V regulovaných odvětvích po celé Evropě je to zákon.
