Národní úřad pro kybernetickou a informační bezpečnost obdržel z trhu a od státních institucí včetně ministerstev tisíc připomínek k chystanému novému zákonu o kybernetické bezpečnosti. Více než sto subjektů (řada připomínek se tedy opakuje) se často výrazně vymezuje proti mechanismu posuzování rizikových dodavatelů, který je, společně s evropskou směrnicí NIS2, součástí chystané legislativy.
Aktuální podoba mechanismu počítá s tím, že NÚKIB bude moci zakazovat dle jeho názoru rizikové dodavatele technologií a ty nevpouštět do infrastruktury kritické pro chod států, jde o asi 150 subjektů. Tato akce primárně míří na Huawei a ZTE, úřad by ale dostal pravomoc cílit i na další hráče. Podle toho, jak si je vyhodnotí.
Jde mimo jiné o hru velkých peněz. Tři hlavní i několik středních a menších operátorů už pohrozilo, že pokud je stát donutí vyndat ze sítě Huawei, budou požadovat nižší desítky miliard korun kvůli zmařeným investicím.
Ředitel odboru regulace NÚKIBu Adam Kučínský slíbil, že úřad připomínky vypořádá. Některé zdroje z ministerstev uvádí, že se tak nemusí stát a že návrh kyberzákona rovnou poputuje do mezirezortního připomínkového řízení. Na trhu tyto drby kolují, jednotliví hráči se ale prozatím drží slibu Kučínského a věří, že k vypořádání připomínek skutečně dojde.
Soukromý sektor také přišel s tím, že by bylo dobré z připravovaného zákona vyčlenit samotný mechanismus a nechat tam jen NIS2 – na jejich podobě se více méně všichni shodují.
“Vzhledem k tomu, že na návrhu provedení implementace směrnice NIS2 panuje mezi podnikatelským sektorem de facto shoda, není důvodu termín jejího přijetí ohrožovat v důsledku naopak významné neshody v otázkách tzv. mechanismu regulace dodavatelského řetězce. Zástupci profesních asociací proto navrhují oddělení NIS2 od problematiky mechanismu regulace dodavatelského řetězce do dvou na sobě nezávislých iniciativ,” napsala třeba Hospodářská komora ČR.
Čtyři důležité organizace sdružující velkou část telekomunikačního a IT sektoru připravily své prezentace o tom, co je z jejich pohledu na návrhu mechanismu špatně. Tyto materiály je možné si pročíst zde: Asociace provozovatelů mobilních sítí, Asociace kritické infrastruktury ČR, ICT Unie a Výbor nezávislého ICT průmyslu.
Trhu vadí třeba to, že si NÚKIB píše regulaci sám pro sebe a nepřipravuje jí třeba nějaké ministerstvo. Mluví se o vzniku “superúřadu” s možností určovat si rozsah regulace, zasahování NÚKIBu do působnosti ministerstva zahraničních věcí a vlády, neexistenci povinnosti zohledňovat okolnosti uložení opatření a tak dále.
“Problematickými jsou zejména způsob určování regulovaných činností, netransparentní hodnocení kritérií rizikovosti dodavatelů a zemí, utajování podkladových informací a hodnotících parametrů, nemožnost podat řádný opravný prostředek proti zákazu obchodních vztahů, ale i možné ingerence NÚKIB do výsostných pravomocí vlády České republiky v oblasti mezinárodní politiky a národní bezpečnost,” uvedla Asociace kritické infrastruktury.
Kritická vůči zákonu jsou rovněž ministerstva. NÚKIB zároveň pracuje z pověření Bezpečnostní rady státu, aby mechanismu posuzování rizikových dodavatelů připravil, takže se má o co opřít.
ČLÁNKY DO MAILU