Regulace cloud computingu v České republice

Jaká platí pravidla pro využití cloudu organizacemi veřejného sektoru? Na co si dát pozor?

Regulace cloud computingu v České republice

Bez cloudu nebudou inovace

Cloud computing představuje zásadní technologií nutnou pro rozvoj digitální společnosti. Důležitost cloud computingu spočívá v tom, že umožňuje firmám i jednotlivcům využívat nejnovější technologie bez nutnosti velkých investic do vlastní infrastruktury. Cloudové služby de-facto “demokratizují” přístup k pokročilým technologiím a nástrojům, což podporuje rovnost příležitostí, stimuluje konkurenceschopnost trhu a přináší prostor pro inovace.

Využívání cloud computingu s sebou ovšem také nese řadu rizik, zejména z oblasti kybernetické bezpečnosti a ochrany dat. Není proto divu, že se i oblast cloud computingu stala předmětem regulace. Právní a regulatorní rámec cloud computingu se týká zejména subjektů veřejné správy, ale dotýká se i dalších oblastí, jako jsou ochrana osobních údajů, kritická informační infrastruktura a kybernetická bezpečnost.

Ambicí tohoto článku je přinést stručný přehled regulace cloud computingu v České republice, nastínit principy jejího fungování a stručně představit tzv. Cloudové vyhlášky:

  • vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro používání cloud computingu

  • vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu

  • vyhláška č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu).

V článku používám sousloví “cloud computing”, neboť je takto používán i v české legislativě (např. v zákoně č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů).

Co je to cloud computing

Cloud computingem rozumíme poskytování výpočetních služeb a IT infrastruktury, kterými mohou být servery, operační systémy, databáze či aplikace, prostřednictvím internetu. Služby cloud computingu nabízí mnoho výhod, jako jsou škálovatelnost, flexibilita, cenová efektivita a bezpečnost. Cloud computing transformuje způsob, jakým firmy a organizace fungují, umožňuje přístup a správu jejich dat a aplikací odkudkoli, kdykoli, z jaké jakéhokoliv zařízení a přenášejí odpovědnost za významnou část IT provozu na poskytovatele cloudových služeb.

Rozeznáváme tři základní druhy (třídy) cloud computingu podle toho, jaké vrstvy IT infrastruktury jsou využívány a jaká je úroveň poskytovaných služeb ve smyslu jejich kontroly uživatelem.

  • IaaS (Infrastruktura jako služba): Tento model cloud computinu představuje poskytování výpočetních zdrojů prostřednictvím vzdáleného přístupu (přes internet). IaaS v podstatě představuje pronájem IT infrastruktury, jako jsou servery, databáze, sítě a operační systémy... IaaS umožňuje uživatelům nakonfigurovat a spravovat tyto zdroje podle svých potřeb a platit jen za to, co skutečně využijí. Jedná se o flexibilní a škálovatelné řešení, které umožňuje uživatelům získat výpočetní zdroje podle aktuálních potřeb. Příklady poskytovatelů IaaS jsou Microsoft Azure nebo Google Cloud Platform.

  • PaaS (Platforma jako služba): Cloudový produkt typu platforma jako služba poskytuje vývojářům nástroj (platformu) a prostředí pro vývoj, testování a provoz a správu softwarových aplikací. PaaS šetří vývojářům čas a náklady, které by jinak museli vynaložit na nákup a správu hardwaru a softwaru potřebného pro vývoj aplikací. Uživatel se nemusí starat o hardware ani software, ale soustředí se na vlastní kód a funkčnost aplikace. Příklady poskytovatelů PaaS jsou Microsoft Azure nebo IBM Cloud.

  • SaaS (Software jako služba): Uvedený model znamená poskytování (provozování) aplikací prostřednictvím internetu. Uživatel nemusí instalovat žádný software, ale pouze využívá službu provozovanou někým jiným. Služba je obvykle dostupná na základě předplatného. Příkladů SaaS  služeb je nepřeberné množství, jako příklad můžeme uvést Gmail nebo Microsoft Office 365.

Z pohledu subjektů cloud computingu zde tedy vystupují uživatel (např. subjekt veřejné správy) a třetí strana – poskytovatel cloudových služeb. Poskytovatelů cloudových služeb existuje velké množství od globálních hráčů typy Microsoft Azure, Google Cloud Platform a IBM Cloud, až po lokální poskytovatele O2 cloud, Seznam.cz apod. Cloudové vyhlášky, které představíme dále v článku, stanovují řadu povinností jak pro uživatele cloudových služeb (z veřejného sektoru), tak pro poskytovatele cloudových služeb.

Proč používat cloud

V úvodu tohoto článku bylo nastíněno několik výhod použití cloud computingu. Podívejme se na ně podrobněji.

  • Škálovatelnost: Jednou z hlavních výhod cloudových služeb je škálovatelnost, která umožňuje uživatelům snadno a rychle zvyšovat nebo snižovat množství využívaných IT zdrojů podle aktuální potřeby. Příkladem může být například navýšení kapacit IT zdrojů na konci měsíce (např. při zpracování účetní závěrky) a následně jejich snížení na začátku dalšího měsíce.

  • Nákladová efektivnost: Z uvedeného příkladu je zřejmé, že musí existovat rovněž flexibilní model placení za cloudové služby. Takovým modelem je model pay-as-you-go, který představuje platbu jen a pouze za využívané IT zdroje a dobu jejich využití. Tento model je zásadně odlišný od tradičních modelů financování IT prostředků (licencování SW nebo investování do HW). Model pay-as-you-go snižuje počáteční náklady a mění kapitálové výdaje (CAPEX) na provozní výdaje (OPEX), zásadně tedy mění způsob financování IT a řízení IT financí. Tato flexibilita pomáhá efektivněji řídit alokaci zdrojů a může vést k úspoře nákladů.

  • Dostupnost: S cloudovými službami mají uživatelé možnost přistupovat k datům a aplikacím z jakéhokoli místa na světě, kde je internetové připojení, a v podstatě z jakéhokoliv zařízení (domácí počítač, notebook, tablet nebo i chytrý telefon). Tato výhoda cloudových služeb má zásadní vliv na pracovní flexibilitu uživatelů služeb, podporuje týmovou práci a umožňuje práci z domova.

  • Bezpečnost: Oblast bezpečnosti představuje velmi důležitý aspekt cloud computinu a je rovněž předmětem regulace, o které budeme hovořit dále. Dříve, než představíme výhody cloud computingu z pohledu kybernetické bezpečnosti, je třeba poznamenat, že využívání cloudových služeb představuje určitý posun v bezpečnostním paradigmatu ochrany informací a ve vnímání zajišťování kybernetické bezpečnosti obecně. Podstatou změny je, že uživatel cloudových služeb přenáší odpovědnost za některé aspekty kybernetické bezpečnosti (v závislosti na typu cloud computingu) na poskytovatele cloudových služeb. Vztah mezi uživatelem a poskytovatelem cloudových služeb musí být tedy založen na maximální důvěře. Samozřejmě tuto důvěru je třeba podložit určitými minimálními bezpečnostními požadavky, které musí poskytovatel cloudových služeb splňovat (tyto požadavky jsou definovány např. v Cloudových vyhláškách).

    Cloud computing má z pohledu kybernetické bezpečnosti několik zásadních výhod. Poskytovatelé cloudových služeb vynakládají značné úsilí a finanční prostředky na ochranu své infrastruktury. Používají pokročilé bezpečnostní nástroje, nezřídka založené na využívání nejmodernějších technologií jako je AI, ale i standardní bezpečnostní nástroje jakými jsou pokročilé firewally, systémy pro zamezení průniku do systému apod. Vzhledem k tomu, že bezpečná infrastruktura je pro poskytovatele cloud computingu klíčovým prvkem, bývá úroveň zabezpečení cloud computingu velmi vysoká. Často jsou využívány velmi sofistikované bezpečnostní nástroje, které by si uživatel, kdyby nevyužíval služby cloud computingu nemohl dovolit.

    Provoz cloudových služeb je obvykle na velmi vysoké úrovni. Z pohledu kybernetické bezpečnosti je důležité, že poskytovatelé cloudu průběžně aktualizují systémy nejnovějšími bezpečnostními opravami. Cloudové služby také většinou zahrnují automatické zálohování dat a zahrnují plány obnovy po katastrofách. To znamená, že data jsou pravidelně zálohována a v případě potřeby mohou být snadno obnovena, což snižuje riziko ztráty dat.  Z pohledu řízení kybernetické bezpečnosti může být výhodou centralizace – vzhledem k tomu, že aplikace a data jsou umístěna v cloudu, je i centralizována i správa bezpečnosti. Poskytovatelé cloudových služeb poskytují své služby širokému spektru zákazníků v různých regionech, a proto disponují různými certifikacemi bezpečnosti a souladu s regulatorními požadavky nebo bezpečnostními standardy (ISO, NIST).

Regulace cloud computingu v České republice

Pojem „cloud computing“ byl do českého práva zaveden novelou zákona o kybernetické bezpečnosti č. 205/2017 Sb., platnou od 1.8.2017, která byla především motivována potřebou implementace směrnice NIS 1. Pojem cloud computing byl také začleněn do zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a to dvěma novelami č. 12/2020 Sb. a č. 261/2021 Sb. Tyto novely specifikují další požadavky jak pro poskytovatele, tak i pro uživatele služeb cloud computingu.

Podle zákona o kybernetické bezpečnosti č. 181/2014 Sb. je cloud computing specifikován jako:

Digitální služba informační společnosti, která umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet.

Zákon o kybernetické bezpečnosti také definuje některé povinností pro orgány veřejné moci ve vztahu k poskytovateli služeb cloud computingu, zejména následující:

Orgány veřejné moci jsou povinny před uzavřením smlouvy s poskytovatelem služeb cloud computingu zařadit poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému podle prováděcího právního předpisu a zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase.

A také:

Poskytovatel služby cloud computingu a orgán veřejné moci si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel a realizaci bezpečnostní politiky odběratele.

Bezpečnostní úrovně cloudu

Další povinností uloženou zákonem o kybernetické bezpečnosti v oblasti cloud computingu je povinnost Národního úřadu pro kybernetickou a informační bezpečnost stanovit vyhláškou obsah a rozsah bezpečnostních pravidel pro služby cloud computingu, včetně definice bezpečnostních úrovní pro používání služeb cloud computingu orgány veřejné moci. Na základě této povinnosti byla vydána vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro používání služeb cloud computingu orgány veřejné správy.

Vyhláška stanoví rámec, který umožňuje orgánům veřejné moci provést hodnocení důležitosti informačního nebo komunikačního systému, který si přeje provozovat prostřednictvím služeb cloud computingu (podrobněji viz dále).

Jak bylo uvedeno výše, je cloud computing v České republice regulován také zákonem č. 365/2000 Sb., o informačních systémech veřejné správy, který obsahuje další povinnosti, ale také odlišnou definici cloud computingu. Podle tohoto zákona je cloud computing definován jako:

Způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.

Z pohledu kybernetické bezpečnosti není odlišnost těchto definic podstatná, důležité je, že orgány veřejné správy mají při využívání cloud computingu postupovat podle bezpečnostních pravidel podle právního předpisu upravujícího kybernetickou bezpečnost. Zákon o informačních systémech veřejné správy stanovuje řadu pravidel pro využívání cloud computingu orgány veřejné správy a požadavků na poskytovatele cloud computingu i samotné služby cloud computingu.

Na základě těchto požadavků byla vytvořena tzv. druhá cloudová vyhláška č. 316/2021. Bezpečnostní požadavky nejsou stanoveny pouze pro poskytovatele cloud computingu, ale i pro orgány veřejné moci využívající služby poskytovatelů cloud computingu. Tyto bezpečnostní požadavky jsou definovány ve třetí cloudové vyhlášce č. 190/2023 Sb.

Katalog cloud computingu

Dalším důležitým prvkem definovaným v zákoně o informačních systémech veřejné správy je tzv. Katalog cloud computingu. Jedná se o seznam, ve kterém se vedou údaje o poptávkách cloud computingu, akceptovaných poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy. Orgány veřejné správy mohou uzavírat smlouvy o poskytování cloudových služeb pouze s poskytovateli zapsanými v tomto katalogu. Struktura katalogu cloud computingu je definována vyhláškou č. 433/2020 Sb.

Hlavními bezpečnostními požadavky jsou, že služby cloud computingu musí splňovat alespoň základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací a bezpečnostní pravidla a postupy musí být nastavena podle stávajících předpisů v oblasti kybernetické bezpečnosti. Dále musí cloud computing dosahovat stejné nebo vyšší úrovně bezpečnosti než informační systém veřejné správy nebo jeho část, kterou se používá k provozu.

ISO normy pro bezpečné použití cloudu

Pro získání uceleného přehledu o současném stavu regulace cloud computingu v České republice je třeba zmínit, že byly přijaty také české verze mezinárodních ISO norem v oblasti cloud computingu.

  • Norma ČSN ISO/IEC 27017 je zaměřená na kybernetické bezpečnostní požadavky cloudových služeb. Představuje de facto směrnici pro implementaci bezpečnostních opatření v cloud computingu (norma je českou verzí mezinárodní normy ISO/IEC 27017:2015).

  • Norma ČSN ISO/IEC 27018 - Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PI. Tato norma jezaměřená na specifické požadavky související s PII v cloudových službách (je českou verzí mezinárodní normy ISO/IEC 27018:2019).

Cloudové vyhlášky jako součást systému řízení kybernetické bezpečnosti v ČR

Tři cloudové vyhlášky byly připraveny Národním úřadem pro kybernetickou a informační bezpečnost na základě dokumentu Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025 a dokumentu Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 - 2025, který definuje konkrétní kroky v oblasti budování kybernetické bezpečnosti v České republice.

Všechny tři vyhlášky regulují vztahy mezi orgány veřejné správy a poskytovateli služeb cloud computingu a stanovují určité požadavky, které by měly být oběma stranami splněny. Vyhlášky se vzájemně doplňují (v některých aspektech překrývají) a dohromady představují základ pro regulaci využití cloud computingu veřejným sektorem.

V následujících odstavcích si tyto vyhlášky krátce představíme.

První cloudová vyhláška

Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci, která nabyla účinnosti dne 1. září 2021, se zaměřuje na klasifikaci informačních systémů z pohledu bezpečnosti. Jak bylo uvedeno výše, povinností orgánu veřejné moci je provést nejdříve bezpečnostní klasifikaci informačního systému, který hodlá provozovat prostřednictvím služeb cloud computingu.

Jedná se o rozsahem velmi krátkou vyhlášku, která definuje jednoduché klasifikační schéma – rámec, který umožní orgánu veřejné moci posoudit důležitost informačního nebo komunikačního systému, který hodlá provozovat prostřednictvím služeb cloud computingu. Hodnocení se provádí z hlediska nejhoršího možného dopadu (v různých kategoriích) v případě porušení důvěrnosti, dostupnosti nebo integrity systému nebo jeho části.

Rámec definuje čtyři úrovně možného dopadu porušení kybernetické bezpečnosti: Nízký-Střední-Vysoký-Kritický, a dopad by měl být hodnocen z hlediska devíti perspektiv možného dopadu. Jedná se o následující oblasti:

  • bezpečnost a zdraví lidí

  • ochrana osobních údajů

  • trestní řízení

  • veřejný pořádek

  • mezinárodní vztahy

  • řízení a provoz

  • důvěryhodnost

  • finanční model

  • zajišťování služeb

Výsledná bezpečnostní úroveň cloud computingu je určena nejvyšší úrovní dopadu získanou z hodnocení všech jednotlivých oblastí dopadu (nejhorší scénář v konkrétní oblasti dopadu určuje celkovou úroveň bezpečnosti). Metodologie hodnocení je jednou z běžně používaných kvalitativních metod pro hodnocení rizik (kvalitativní matice hodnocení rizik).

Vyhláška také definuje zvláštní požadavky pro dvě specifické kategorie informačních systémů: Významný informační systém a Kritická informační infrastruktura.

V případě, že bude prostřednictvím cloud computingu provozován Významný informační systém jako celek, pak musí být minimální bezpečnostní úroveň nastavena na Vysokou (pokud není podle této vyhlášky kategorizován jako Kritický).

V případě, že bude prostřednictvím cloud computingu provozována Kritická informační infrastruktura jako celek, pak musí být bezpečnostní úroveň Kritická.

Druhá cloudová vyhláška

Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, nabyla účinnosti také dne 1. září 2021 a implementuje některé požadavky definované v zákoně o informačních systémech veřejné správy.

Tato vyhláška stanovuje vybranou sadu požadavků pro registraci poskytovatelů služeb cloud computingu a cloudových služeb do Katalogu cloud computingu. Tyto požadavky jsou rozděleny do čtyř bezpečnostních úrovní podle první cloudové vyhlášky

Hlavní skupiny požadavků pro zápis do katalogu jsou následující:

  • Požadavky na způsobilost poskytovatele zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy

  • Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem

  • Seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, doklady o jejich splnění a intervaly pro předkládání těchto dokladů

  • Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu a intervaly pro její předkládání

  • Požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii

  • Požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik

  • Požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací

Jednotlivé skupiny požadavků jsou rozpracovány do konkrétních bodů v přílohách vyhlášky. Aplikovatelnost jednotlivých požadavků závisí na úrovni bezpečnosti a rovněž na typu (třídě) cloud computingu (IaaS, PaaS, SaaS).

Ambicí tohoto článku není podrobná analýza jednotlivých požadavků, nicméně obecně je možno říci že obsahuje standardní požadavky na bezpečnost systémů odvozené od mezinárodních standardů řady ISO 27000. Jako příklad můžeme uvést požadavky na dostupnost služby cloud computingu (pro bezpečnostní úroveň kritická musí být 99,99%), požadavek na existenci plánu kontinuity podnikání a plánu obnovy po havárii, požadavek na ochranu zákaznických dat šifrováním (data při přenosu i uložená data), požadavek na bezpečnostní monitoring, nebo bezpečnostní testování formou penetračního testování.

Poskytovatel služeb cloud computingu může prokázat splnění bezpečnostních požadavků zprávou z certifikace ISO/IEC 27101 nebo zprávou SOC Typu 2.

Třetí cloudová vyhláška

Vyhláška č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu, nabyla účinnosti 1. července 2023. Je tedy relativně čerstvým přírůstkem do regulatorního prostředí oblasti cloud computingu.

Vyhláška stanovuje bezpečnostní požadavky pro orgány veřejné moci, které využívají služby cloud computingu. Přináší tak určitou symetrii do vztahu mezi poskytovatelem a uživatelem služeb cloud computingu.

Vyhláška nicméně obsahuje nejen bezpečnostní požadavky týkající se orgánů veřejné moci, např. v oblasti řízení přístupu, existence plánu pro ukončení využívání služby cloud computingu („exit strategie“) nebo požadavek na využívání nástroje nebo služby pro zvýšení odolnosti vůči útokům typu odepření služby (DoS/DDoS), ale obsahuje i některé povinnosti, které se týkají i poskytovatele služeb nebo vztahu mezi poskytovatelem a uživatelem služeb.  Mezi ně patří požadavek na poskytování provozních a bezpečnostních údajů (logů) orgánu veřejné moci nebo požadavek na zajištění souladu bezpečnostní politiky poskytovatele cloud computingu s bezpečnostní politikou uživatele (orgánu veřejné moci).

Orgán veřejné moci, který využívá službu cloud computingu na základě smlouvy s poskytovatelem uzavřené přede dnem nabytí účinnosti této vyhlášky, je povinen zajistit dodržování bezpečnostních pravidel stanovených touto vyhláškou od 1. ledna 2024.

Jste v souladu s cloudovou regulací?

Cloud computing představuje jednu z klíčových oblastí pro zajištění rozvoje digitální společnosti, inovací a konkurenceschopnosti. Cloud přináší mnoho příležitostí, ale rovněž mnoho rizik, týkajících se zejména bezpečnosti a ochrany informací. Regulace této oblasti z pohledu kybernetické bezpečnosti je nezbytná.

I když se regulace týká zejména orgánů veřejné moci a poskytovatelů cloud computingu, bezpečnostní požadavky v nich uvedené představují de facto best-practice pro řízení využívání cloudových služeb. Promítnutí některých požadavků do smluv mezi poskytovateli a uživateli cloud computingu by tedy mohlo být s úspěchem využito i v komerční sféře.

Pro orgány veřejné moci je důležitá informace, že mají zajistit dodržování bezpečnostních pravidel pro poskytování služby cloud computingu již od 1. ledna 2024.

Jste v souladu?