Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je mladý a relativně malý úřad s asi 370 lidmi. Přesto už nějakou dobu připravuje zákon s potenciálně velkým dopadem. V soukromé sféře a mezi úředníky a politiky tím působí řadu emocí.
Chystaný nový zákon o kybernetické bezpečnosti má implementovat evropskou směrnici NIS2 kladoucí vyšší nároky na zabezpečení ICT systémů. A zároveň integruje mechanismus pro posuzování rizikových dodavatelů. NÚKIB by mohl získat pravomoc je v kritické infrastruktuře státu zakázat či omezit. To aktuálně hrozí hlavně čínské společnosti Huawei, která má v sítích zdejších velkých i malých operátorů a providerů stále značné zastoupení.
Zákon dlouhodobě čelí z více směrů ostřelování a kritice. Odpůrci návrhu úřadu vyčítají jeho postup, řadu právních a dalších technikálií a také investiční nejistotu nebo snahu o přílišnou koncentraci moci. Aktivní je také lobbing kolem operátorů a Huawei. Legislativní rada vlády minulý týden návrh zákona vrátila k přepracování, což se obecně čekalo. Své námitky už nevyjadřují „pouze“ operátoři, kteří hrozí miliardovými náhradami, ale také energetický sektor v čele s ČEZem. Ředitel NÚKIBu Lukáš Kintr v rozhovoru pro Lupu popisuje svůj pohled na věc.
Na NÚKIB i vaši osobu už je nějakou dobu vyvíjen velký lobbistický a další tlak spojený s přípravou nového zákona o kyberbezpečnosti. Jak se s tím vypořádáváte?
Samozřejmě nejde o nic příjemného a není to nic, co bych vyhledával. Na druhou stranu to k naší práci patří. Ať už se připravuje jakákoliv legislativa s dopadem na soukromé subjekty, vždy to vyvolá určitý odpor, protože nikdo z nás nemá rád, když se mu lajnuje pole působnosti. Svým způsobem tlak chápu a rozumím i tomu, že každý se na problematiku dívá jinak. My máme být garantem toho, že kritická infrastruktura bude fungovat bezpečně.
První ředitel NÚKIBu Dušan Navrátil, který vydal varování proti Huawei a ZTE, se v minulosti nechal slyšel, že zaznamenal tlaky i ze strany čínských osob. S tím se také setkáváte?
Nic takového neeviduji. Tlak bych přirovnal k významnější regulaci v jakémkoliv odvětví. Subjekty to vidí jinak, chtějí si zachovat volnost a jejich pohled je řekněme byznysový. Střetáváme se názorově a v mediálním prostoru občas z jedné či druhé strany zazní zkratky. Snažím se, abychom k tvorbě zákona přistupovali co nejotevřeněji a abychom se chovali férově a nikoho nepoškozovali.
Velcí i menší operátoři a provideři ovšem zejména v minulosti často říkali, že NÚKIB vůbec otevřený není a že se snažíte prosadit svou nehledě nalevo a napravo.
Nad zněním kyberzákona zkraje loňského roku proběhly veřejné konzultace. Tam, kde to bylo možné, jsme se snažili zpětnou vazbu reflektovat a návrh upravit. Na druhou stranu, když vám chodí připomínky a komentáře typu „tuto oblast neřešte a celou jí škrtněte“, těžko se na to reaguje. I z toho pohledu, že máme zadání bezpečnostní rady státu. Na to nelze reagovat jinak než zamítnutím. Pokud to někdo považuje za netransparentní chování, nevím, co bych na to řekl.
Dále jsme kromě veřejných konzultací za loňský rok napočítali více než sto jednání, seminářů či workshopů, a to jde jen o hlavní akce. K diskusi byl prostor daný. Loni na podzim jsme se dostali do fáze, kdy jsme spolu se sektorem déle než měsíc komunikovali a dále se neposouvali směrem ke shodě. I po dohodě s lidmi z Úřadu vlády jsme dospěli k tomu, že některé otázky související s debatou o návrhu nového kyberzákona jsou politického rázu, typicky zda budou, či nebudou kompenzace (za případné vyřazení čínských dodavatelů – poznámka redakce), a rozhodli jsme se návrh zákona předložit legislativní radě vlády a pokračovat v procesu dále.
Takže je pravda, že od určité chvíle operátoři mluvili svou, vy jste mluvili svou a z žádné strany nebyl prostor uhnout?
Kolegy jsem instruoval, abychom využili sebemenší náznak vůle nalézt souhlas. Někde se to podařilo, někde ne. Když už si každý hájil své hranice, nedávalo smysl to natahovat.
Na NÚKIBu je během procesu tvorby kyberzákona, zejména jeho mechanismu posuzování rizikových dodavatelů, vidět, že si jdete za svou, skoro až hlava nehlava. Byla to dobře zvolená cesta, když jste si během ní možná až znepřátelili soukromé subjekty, které by měly být v boji za lepší kyberbezpečnost vašimi partnery?
Zvenku to takto mohlo působit. Debata běží od roku 2018, kdy bylo vydáno varování vůči Huawei a ZTE. Za tu dobu proběhlo možná až tisíc jednání. Debata byla uzavřená, ale za účasti soukromého sektoru a asociací. Původní představy utrpěly střet s realitou, byly narovnány a dostali jsme se do aktuální fáze. Současný návrh zákona zdaleka není takový, jaká byla původní vize.
Několikrát se tomu věnovalo i zasedání bezpečnostní rady státu. Jednalo se o dvou třech variantách. Už za předchozí vlády došlo k nasměrování a omezení manévrovacího prostoru. Stát dlouhodobě deklaruje, že směrem, jakým postupuje, se hodlá vydat. Na jaře roku 2022 například bylo pro sektor telekomunikací vydáno doporučení (ohledně nepoužívání Huawei a spol. – poznámka redakce). Mechanismus ma dopad i mimo telekomunikace. Není záhodno dělat jednomu sektoru výjimky nekoncepčního postupu.
Takže vláda chce v rámci mechanismu tvrdší postup odpovídající vašemu návrhu?
Mám za to, že ano. Na žádném z dosavadních jednání včetně bezpečnostní rady státu nezaznělo, že bychom na zpracování úkolu měli přestat pracovat. K tomu tvrdému přístupu: mechanismus navrhuje mantinely, ve kterých se bude hrát. Neříká, jak se někteří snaží podsunout v mediální debatě, že přijetí zákona znamená zákaz pro jakoukoliv konkrétní firmu. To se neděje. Podle zákona bude možné vydat takové opatření. Zda se bude týkat jádra sítě, celku, zda bude všude stejně tvrdé, bude až věc následná.
Trh je ale kvůli tomu v investiční nejistotě, protože neví, co z mechanismu může vzejít.
Chápu. Na druhou stranu je zde zmiňované doporučení na výběr dodavatelů, které jasně ukazuje, jak o tom stát bude uvažovat.
To ale není právně závazný dokument.
To není, ale je zde dokument, který nejistotu může zmenšit. Není to závazný dokument, ale podepsaly se pod něj NÚKIB, zpravodajské služby, Ministerstvo průmyslu a obchodu a Ministerstvo zahraničí. Není to výstřel jednoho úřadu, ale široká deklarace.
Dále v mediálním prostoru zaznívá, že NÚKIB bude ten, kdo bude rozhodovat. Formálně ano, ale budeme se muset vypořádat se vstupy řady dalších institucí, které nebude možné jen tak přejít kvůli správnímu řádu a podobně.
Lze předjímat, že po případném schválení zákona přistoupíte k zákazům určitých dodavatelů?
K nějakým opatřením by došlo. Tušíme, kdy by zákon mohl být účinný. To nám dá oprávnění začít agregovat informace, které budeme moci využít. Je otázkou, jak to celé v daném čase bude položené. V tuto chvíli, kdybych se měl pouštět do předpokladů, by nějaké omezení bylo vydáno. Ale nejsme v situaci, kdy bychom operátorům nenechali dostatečně dlouhou lhůtu respektující například daňové odpisy. Jinými slovy, aby technologie nemusela být vyměněna ze dne na den. V tuto chvíli pro takovou výměnu nevidím důvody, ale to se může ze dne na den změnit.
Takže by omezení dodavatelů zasáhlo už stávající generaci technologií, zjednodušeně 5G?
Mechanismus je nastavený tak, že NÚKIB ve spolupráci s partnery může vyhodnocovat stávající i nové kontrakty na technologie. Na základě vstupů můžeme dospět ke třem stavům. Ten, který si přejeme všichni nejvíce, je ten, kdy dodavatel nebude z pohledu České republiky rizikový a bude důvěryhodný. Pakliže s dodavatelem budou spojena rizika, může na pomyslném semaforu dostat oranžovou. Pak by například mohlo dojít k tomu, že by technologie bylo možné dále používat, ale s povinností zavedení určitých opatření.
Existuje scénář, kdy by tuto oranžovou barvu dostali dodavatelé z Číny?
V tuto chvíli nechci předjímat. Každopádně pak je zde třetí, krajní varianta, a sice ta, že dodavatel nebude důvěryhodný. Pak budeme chtít, aby technologie byla odstraněná. Podle zákona to lze udělat s respektem k daňovým předpisům, což je ve většině případů aktuálně pětiletá odpisová lhůta. V té době zde tyto technologie mohou fungovat. Takže kdybychom dnes vydali takové opatření, za pět let by sítě měly být bez dané technologie.
Pokud by riziko bylo opravdu extrémní, lze zasáhnout i v kratší lhůtě, ale budou s tím muset souhlasit ministerstva vnitra, zahraničních věcí a průmyslu a obchodu. Bez jejich souhlasu to nepůjde udělat dřív. U opatření vždy budeme muset informovat bezpečnostní radu státu a bude na jejích členech, jak s informací naloží a zda do procesu budou chtít aktivně vstoupit.
Vytvořením mechanismu vás pověřila bezpečnostní rada státu. Je v tomto zadání jasně uvedeno, jak má mechanismus vypadat či jak daleko má mít možnost zajít? Nebo je to obecné zadání a je na vás, jak ho pojmete?
Dokumentů bylo více a postupně se zpřesňovaly. Řešily se varianty, zda stát bude k problému přistupovat na úrovni jednotlivých dodavatelů, zemí, regionů nebo zda se zavede blacklist či whitelist. Vykrystalizovalo z toho zadání, že se máme věnovat jednotlivým dodavatelům, abychom nebyli nepatřičně plošní. Zadání jako takové je v určité míře obecnosti. Výsledek je postavený na širší debatě v rámci státu. Není to deklarace politická, ale institucionální.
Někteří větší i menší operátoři stále nakupují prvky od čínských dodavatelů, i když jste jim z vašeho pohledu jasně řekli, jak se na tyto dodavatele díváte. Považujete proto operátory za nezodpovědné?
Předpokládám, že každý z nich pracuje minimálně nikoliv s bezpečnostní, ale obchodní analýzou rizik a jdou do rizika, že firmu vystavují tomu, že pokud v budoucnu přijde rozhodnutí, bude to pro ně větší zásah, než kdyby byli obezřetnější a varování přičítali větší váhu.
Na druhou stranu Český telekomunikační úřad v aukci na 5G frekvence definoval rozvojová kritéria ohledně výstavby a pokrytí. Operátoři tedy museli začít stavět a nemohli čekat na zákon, který přijde v budoucnu.
Právě proto jsme společně s dalšími subjekty vydali ono doporučení. V případných budoucích rozhodnutích podle navrhovaného mechanismu by však i tato rozvojová kritéria a jejich závaznost musela být zohledněna jako jeden z mnoha aspektů.
Operátoři v souvislosti s případnou nucenou demontáží technologií mluví o mnohamiliardových náhradách, které by chtěly po státu. Vy už jste zmínil, že toto je politické rozhodnutí. Co vám na to řekli třeba na Ministerstvu financí?
Je otázka, kolik času operátoři na výměnu dostanou. Pokud to bude pět a více let, musíme se bavit o tom, zda by výměna přinesla vícenáklady, protože technologie by už i tak obměňovány byly (v rámci životního cyklu – poznámka redakce). Tam už se bude těžko prokazovat, jak velké vícenáklady jsou.
Pokud se bavíme o kratší lhůtě, odpovím analogií. Máme za sebou začátek ruské invaze na Ukrajinu a energetickou krizi, během které stát ze dne na den řešil náhradu dodavatele energetických surovin. Stát a všechny občany to stálo nemalé prostředky a ke kompenzaci bylo přistoupeno. Je otázkou, jaké v danou dobu budou argumenty a v jaké situaci zrovna stát bude. Jak čtu vyjádření jednotlivých představitelů státu, podle toho by ke kompenzacím chtěli v jednotlivých případech také přistupovat.
Takže případné kompenzace jsou ze strany státu ve hře?
Pokud k tomu budou okolnosti směřovat, je to otázka, která bude na stole. Když se k tomu stát nepostaví proaktivně, je zde ještě nezávislá soudní soustava, která státu může říci, že takto to nelze dělat.
Co vám osobně na toto téma řekli politici?
Rozhodně se všichni zdráhají podepsat jakýkoliv bianco šek. To je no-go. Cokoliv dalšího je otázkou debaty. Jistý kompromis, kterého jsme dosáhli s Ministerstvem financí, je zahrnutí odpisových lhůt a rozdělení procesu do dvou linií. Pokud budou respektovány odpisy, vůli cokoliv kompenzovat nevidím. Ale je to můj osobní vhled do situace a nechci detailně komentovat uzavřená jednání.
Ke kritice mechanismu se nedávno k operátorům připojil energetický sektor v čele s ČEZem, což je velká síla. Co to pro vás znamená?
Jejich připojením k dopisu jsem byl překvapen. Jsme v dlouhodobém a velmi úzkém kontaktu a spolupráce probíhá korektním způsobem. Do podpisu dopisu jsem ze strany ČEZu neevidoval žádný komentář, který by proti zákonu směřoval. Mnoho lidí má více rolí a je těžké poznat, v jaké roli zrovna vystupují. Překvapilo mně to tím spíš, že energetický sektor byl ten, kdo za námi přišel v době vydání doporučení nákupu důvěryhodných chytrých elektroměrů. Sektor sám přišel s tím, že je to pro ně aktuální téma a že jsou si vědomí hrozeb s tím spojenými. Měl jsem za to, že jsme na jedné lodi. V návaznosti na dopis jsme začali s ČEZem i v této věci komunikovat, ale zatím nemáme obsáhlejší zpětnou vazbu.
Je to pro vás velký zásah?
Zatím se snažíme zorientovat a zjistit, co je jádrem problému a jak by šel vyřešit. Ale k závěru jsme se ještě nedostali.
Budete v návrhu zákona dělat nějaké změny v kontextu toho, co se děje na legislativní radě vlády? (Otázka padla ještě před zasedáním rady, která zákon vrátila k přepracování.)
Teď jsme na legislativní radě vlády, která k návrhu má sadu doporučení. Zatím za sebou máme jednání čtyř pracovních komisí a čekáme na finální stanovisko. Zpětnou vazbu máme načtenou. Legislativní rada vlády může přistoupit k přerušení projednávání zákona, nebo pouze bude chtít, abychom návrh na vládu předložili se zapracováním připomínek.
V obou případech je jasné, že dojde k celé řadě zpřesnění, legislativně-technických úprav tak, aby vše hrálo po legislativní stránce. Dotýká se to i některých procesně-věcných oblastí. Příklad: tam, kde jsme zamítali možnost podat rozklad, bude tato možnost přiznána, ale nebude mít odkladný účinek. To znamená, že rozhodnutí bude platit, bude možné podat rozklad, ale vedle toho bude stejně nutné rozhodnutí plnit. Počítáme s úpravami tohoto typu. Někde se upraví „wording“, abychom dosáhli toho, co jsme zamýšleli, ale text k tomu doposud perspektivou LRV nesměřuje.
Následně na vládě budou otevřeny dvě otázky, a sice kompenzace a kdo by měl vydávat opatření v případě rozhodnutí o výměně technologií nerespektující jejich životnost a odpisy. K tomu zazní politické postoje.
Zmizí prováděcí předpisy?
Na podnět legislativní rady vlády dojde ke zpřesnění zmocnění, na jejichž základě je NÚKIB bude vydávat. Rozhodně nezmizí všechny.
Věříte tomu, že zákon dotáhnete do podoby, která se hodně blíží tomu, co jste si na začátku vytyčili?
Počítám s tím, že to, co navrhujeme s přihlédnutím k politické debatě, bude snad schváleno. Pokud se k tomu zaváže vláda, věřím, že to bude schopná schválit také sněmovna.
Ve sněmovně lze očekávat značnou mobilizaci lobbingu.
S tím počítáme. Je otázkou, jak se k tomu vládní koalice jako celek postaví. Stanoviska vnímáme a načítáme. Zatím jsem nezaznamenal silnější odpor, což neznamená, že někdo nepřijde s pozměňovacím návrhem.
Jaká část sněmovny se k návrhu staví negativně?
V otevřeném prostoru jsem nezaznamenal žádnou výraznější výtku.
A když nějaká byla, na jaké téma?
Řeší se, zda finální rozhodnutí má dělat NÚKIB, či nikoliv. K tomu zaznívají názory z celého spektra. Předchozí vláda nám dala úkol připravit mechanismus pro prověřování dodavatelů ICT a tato vláda to potvrdila. Jedeme v souladu s tím, co nám bylo zadáno, takže nepředpokládám, že by do schválení mělo být zasahováno.
Do výběru dodavatelů do kritické infrastruktury chce mluvit také Ministerstvo vnitra, které o tuto možnost žádá v návrhu zákona o kritické infrastruktuře. Co to pro vás znamená?
Vnitro postupuje v návaznosti na implementaci evropské směrnice CER. Jaká je za tím motivace, si netroufám odhadovat. V rámci připomínkového řízení jsme vznesli otázky a komentáře na základě našich zkušeností. Uvidíme, jak bude probíhat meziresortní připomínkové řízení. Pakliže by oba mechanismy měly fungovat vedle sebe, nevyhneme se úzké kooperaci. Ale zdá se, že vnitro necílí tolik na ICT, ale na krizový management ve fyzickém světě.
V důvodové zprávě ke kyberzákonu poněkud mlžíte o tom, kolik bude plnění zákona o kyberbezpečnosti stát firmy. O jaké sumy půjde? ČEZ mluví o nákladech 2,5 miliardy korun a najmutí 80 nových odborníků na kyberbezpečnost.
NIS2 se rozkročila do šíře a velmi těžko se to predikuje. Jde o velké množství subjektů v různých prostředích a úrovni zohledňování kyberbezpečnosti. Je těžké říci, kolik to bude stát, když nevíte, v jakém stavu daná firma je a jaké systémy jsou pro ni klíčové. Říct jakékoliv číslo je věštění z křišťálové koule. Regulované subjekty jsou různě velké s různou závislostí na ICT. Pokud firma řeší kyberbezpečnost, tak to pro ni v nižším režimu nebude znamenat příliš velkou zátěž. Kromě toho, že nám nahlásí kontaktní osobu a bude nám hlásit incidenty. To může generovat nároky v řádu hodin ročně. Pokud někdo kyberbezpečnost neřeší, změna to pro něj bude velká.
Má NÚKIB, případně jiné státní bezpečnostní složky, něco konkrétního na společnost Huawei? Debata, zda její technologie zakázat, či nikoliv, je vedena spíše z pohledu možných rizik či nutnosti spolupracovat s čínským státem, ale konkrétní pochybení veřejnosti předložena nebyla.
Zde budu velmi obecný. Pro nás situace neskončila varováním, v určitých periodách se k tématu vracíme a vyhodnocujeme, zda důvody, které k varování vedly, jsou stále platné. Jde o kontinuálně probíhající proces a chci být opatrný. Nebudu komentovat nic, co by řízení ovlivnilo.
Takže možná máte, možná nemáte.
Kdybychom neměli, nemůžeme vydávat takto zásadní dokumenty.
Jde o věci technického, nebo politicko-špionážního rázu?
Bez komentáře.
Proč se NÚKIB s Huawei odmítá bavit?
S ohledem na mou zdrženlivost ohledně odpovědí na předchozí otázky mně i mým předchůdcům dávalo smysl komunikaci držet v písemné podobě. Pak je možné si zhodnotit, zda se setkávat, či nikoliv. V tomto duchu jsme opakovaně reagovali na žádosti o schůzky. To platí doteď.
Jak vznikne podnět, že se začnete zabývat nějakou firmou či službou jako potenciálně nebezpečnou?
Ze zákona máme povinnost aktivně vyhledávat hrozby, které působí na regulované subjekty. Probíhá to na všech možných úrovních – od technických až po analýzu otevřených zdrojů včetně mediálního prostředí. Nicméně pouze na základě jednoho článku bychom nikdy nerozjeli nic, z čehož by vzešlo varování před kybernetickou hrozbou.
Dále dochází k výměně informací s partnery na národní i mezinárodní úrovni. Ve chvíli, kdy k nám dorazí větší množství méně závažných informací, nebo jedna opravdu závažná, zaměříme se na daný případ konkrétněji a provedeme zhodnocení. Když je to případ aktuálně pod prahem našeho vnímání, informace si uložíme a po čase se k nim vrátíme. Tedy celé je to postavené na naší činnosti a výměně informací s partnery.
Varování jsou někdy poněkud obecná, což vytváří prostor k pochybnostem. Proč jsou takto psána?
Pracujeme s informacemi, které hovoří v neprospěch nás jako republiky s ohledem na to, že existuje hrozba, které se bráníme. Nebuďme naivní, varování si nečtou pouze ti, na které dopadá, ale také ti, před kým varujeme. Těm to může pomoci v lepší kamufláži. Regulace není vždy psána kvůli těm dobrým, ale kvůli těm, před kterými se potřebujeme bránit.
Objevuje se ohledně varování či používání jistých dodavatelů tlak z jiných zemí?
Na naší úrovni ne, my jsme apolitičtí. Na druhou stranu všichni vnímáme politickou kulturu, kde k takovým věcem dochází. V našem případě jde hodně o sdílení informací a těch logicky získáváme nejvíce od našich spojenců v NATO či EU.
Podmiňovaly někdy některé země vaše rozhodnutí v tom smyslu, že to může mít dopady na mezinárodní, politické a další vztahy?
To je spíše politická rovina. Na druhou stranu, pokud jsme v nějaké alianci a někdo z členů řekne, že někdo je pro něj nepřítel z určitých důvodů, a vy na to nezareagujete a budete svojí strategicky významnou infrastrukturu pořád stavět na prvcích takových společností, je jasné, že to sníží ochotu některých států sdílet s vámi informace.
Na úroveň dejme tomu vydírání se to nedostává?
Minimálně v rovině apolitické spolupráce na expertní úrovni ne.
A na úrovni politické?
To nebudu komentovat, u jednání nejsem.
Česko se připojilo k prohlášení Bílého domu i sítích 6G. Co to v praxi bude znamenat?
Naše varování z roku 2018 zvedlo nadnárodní debatu a otevřelo téma, které bylo řešeno spíše na pozadí. I tento nový dokument naznačuje, jak o technologiích přemýšlíme jako stát. V prohlášení se kromě jiného mluví o ochraně dat jednotlivců, udržitelnosti a dostupnosti technologií a klade se důraz na to, od jakých dodavatelů čerpat prvky na stavbu sítí. Telekomunikační infrastruktura je v dnešní době klíčová. Je pro nás důležité řešit třeba to, na koho se při její stavbě budeme spoléhat.
Lze dokument číst i tak, že se rozjely přípravy na standard 6G, kde Západ bude chtít hrát, na rozdíl od 5G, oproti Číně větší roli? Podíl na standardu má vliv na politiku, úspěch firem a tak dále.
Na evropské úrovni byl přijat EU 5G Toolbox mluvící o potřebě diverzity dodavatelských řetězců. V Evropě velmi zarezonovalo, jak málo alternativ k některým technologiím máme. Takže ano, dokument lze tímto způsobem vnímat. I geopolitický vývoj na Ukrajině či na Blízkém východě ukazuje, že alespoň v základní míře musíme být soběstační. Obávám se, že v tuto chvíli nejsme.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU