V mediálních výstupech, z nichž mnohé jsou publikované na Lupě, je zhusta v komentářích používaná mediální zkratka návrhu nového Zákona o kybernetické bezpečnosti. Nový ZKB je označovaný jako „kladivo na Číňany“ či „Zákon proti Huawei“. To je, myslím, hodně nepřesný popis toho, o co vlastně v zákoně jde.
Asociace podnikatelů včetně Hospodářské komory opravdu nekritizovaly na návrhu Zákona o kybernetické bezpečnosti českou zahraniční politiku. To, co nám vadí, je naprosto bezprecedentní možnost kyberbezpečnostního úřadu zasahovat do soukromého podnikání v míře, kterou stát měl naposledy za minulého režimu.
Návrh, předložený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), by v podstatě znamenal, že se podnikatelé budou obávat nákupu jiných technologií nežli explicitně „předschválených“ úřadem. Ten chce po zákonodárcích, aby mu dali možnost si libovolně stanovit, kdo bude regulovaný subjekt, jaký bude rozsah regulace, pravidla, na základě kterých některé dodavatele omezí nebo zakáže, a pak možnost vydat samotné omezení způsobem, který v podstatě neumožňuje efektivní obranu.
Navrhovaný extrémní rozsah regulované infrastruktury operátorů včetně okrajových částí sítě nedává z pohledu zkušených bezpečnostních manažerů soukromých firem žádný smysl. Rizika spojená s využíváním zařízení od jakéhokoliv dodavatele jdou v okrajových částech sítě minimalizovat technickými opatřeními, které operátoři tak jako tak provádí. Připomínky asociací jsou v podstatě jednoduché:
- Možnost zákazu využívání dodavatele je legitimní, ale je nutné ji omezit pouze na jádro sítě. Jádro skutečně představuje zranitelnou část, kde nemůžeme ani komplexními technickými opatřeními vyloučit možnost zásahu třetí strany. Dopad takového zásahu by mohl mít závažné důsledky. Tak jako tak dochází již několik let k postupnému odstraňování technologií z nespojeneckých zemí z řídicích systémů sítě, jejichž vyřazením lze provoz sítě ohrozit.
- Pokud bude stát prostřednictvím úřadu chtít konkrétního dodavatele zakazovat, nemůže to dělat úřad, protože jde o vysoce politické rozhodnutí. Po vzoru Zákona o prověřování zahraničních investic je nutné, aby na takovém rozhodnutí participovalo více ústředních orgánů státní správy, včetně odvětvových regulátorů, jako jsou ČTÚ a ERÚ, a rozhodnutí přijala vláda. Jakýkoliv zásah do technologické báze privátní sféry by měl, při hodnocení jeho proporcionality, snést zkoumání dopadu také do gescí, které nemá NÚKIB ve své kompetenci.
- Regulace je nakažlivá. Menší operátoři poskytují svoje služby velkým operátorům. Zákaz nebo omezení využití jednoho výrobce tak „proteče“ od velkých celonárodních subjektů na malé a střední podniky, které ovšem nemají takovou vyjednávací sílu u dodavatelů. Reálně hrozí, že kvůli opatření regulátora vůči některému z velkých podniků budou muset měnit okrajové prvky sítě i jeho velkoobchodní partneři, od kterých si pronajímá část infrastruktury. V žádném případě nelze vyloučit opakování scénáře nucené výměny okrajových prvků sítě na základě opatření kyberregulátora. Takové náklady povedou k omezování spolupráce a budou mít nutně dopad na rozvoj sítí zejména v rurálních oblastech.
- Naprosto nejasná kritéria, podle kterých bude NÚKIB rozhodovat, kdo bude regulovaný subjekt. To, na které operátory zákon dopadne přímo, není vůbec jasné, protože v návrhu příslušné vyhlášky je napsáno „bude doplněno“. Úřad tak chce po zákonodárcích, aby mu schválili oprávnění si toto kritérium nastavit dle libosti. To není možné – kdo má povinnosti, musí být jasné ze zákona (přinejmenším pak z nařízení vlády). Ačkoliv NÚKIB změnil návrh vyhlášek a objemová kritéria skryl, naše připomínka stále platí. Změna vyhlášky je pro úřad jednoduchá úloha.
- Nedostatečně vypracovaný dopad regulace na trh. Úřad vůbec nedokázal jasně vyčíslit, jaké dopady na soukromý sektor bude nově zaváděná regulace mít. Asociace provozovatelů mobilních sítí je vyčíslila až na 18 miliard, pro malé a střední operátory odhadujeme, že extrémní aplikace nově navrhovaných pravomocí by mohla znamenat náklady až 4 miliardy. Navrhovatel nového kyberzákona svoji dopadovou analýzu RIA odevzdal ve stavu hodnotitelném na školní stupnici toliko jako nedostatečná. Dopady na regulované subjekty jsou buďto zlehčované, anebo nezpracované.
- Obtížná přezkoumatelnost rozhodnutí regulátora. Vydávání nikoliv formativních, ale zákazových rozhodnutí prostřednictvím opatření obecné povahy je obtížně přezkoumatelné, či vůbec nepřezkoumatelné. Nejasná kritéria rozhodnutí nedávají podnikatelům reálnou šanci bránit se proti dopadu rozhodnutí soudní cestou.
To nejhorší, co se může pro další rozvoj vysokorychlostního přístupu k internetu hlavně v regionech stát, je investiční nejistota. Návrh zákona o kybernetické bezpečnosti, pokud by byl přijatý v současné podobě, může úplně změnit to, jak trh vypadá.
V podstatě donutí podnikatele jednat pouze s úzkým okruhem dodavatelů, kteří nebudou muset nijak zvlášť usilovat ve změněném tržním prostředí o přízeň svých odběratelů. Zmizí soutěžní prvek, naopak, poskytovatelé služeb budou muset soutěžit o dodávky dodavatelů. Jak v tomto prostředí dopadnou menší a střední firmy, které nemají takový „výtlak“ jako operátoři s celonárodní působností, nemusím napovídat.
Český stát by přijetím zákona zopakoval stejnou chybu, jakou v minulosti udělal už mnohokrát – volbu specificky české cesty místo využití evropského řešení. Směrnice NIS2 ve svém článku 22 bezpečnost dodavatelského řetězce řeší na základě stejných kritérií, která NÚKIB prosazuje už několik let a která vložil i do svého doporučení z předminulého roku o volbě dodavatelů technologií do 5G sítí.
V zákoně je i explicitní nástroj, jak závěry z takového koordinovaného posouzení na evropské úrovni vynucovat i v Česku. Podle nás úřad vůbec nezdůvodnil, proč potřebuje specificky česká pravidla a nevyužije ta evropská. Vláda a zákonodárci by po něm měli chtít vysvětlení a podrobnou analýzu toho, z jakého důvodu je potřeba naše specifická národní úprava, která významným způsobem zatíží české podnikatele.