Hned tři výbory a jeden sněmovní podvýbor jednaly minulý týden o návrhu zákona o kybernetické bezpečnosti. Atmosféra na nich se lišila podle toho, z jakého úhlu pohledu se zákonodárci na navrženou regulaci dívali. Zatímco na výborech pro obranu a pro bezpečnost převažovaly hlasy volající po tom, že Česko normu potřebuje včetně kontroverzního mechanismu prověřování bezpečnosti dodavatelského řetězce, z Hospodářského výboru odcházeli zástupci Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s hlavou svěšenou. I koaliční poslanci totiž vůči návrhu nešetřili kritikou, a to nejen kvůli kvalitě materie samotné, ale i způsobu, jakým prošla Legislativní radou vlády (LRV).
Lupa všechny důležité hlasy, které na Výboru pro bezpečnost a Hospodářském výboru zazněly, zaznamenala, a v rámci seriálu věnovanému kybernetické bezpečnosti může dění ve Sněmovní ulici zprostředkovat.
Nenechme stát bezbranný, žádal Řehka
Šéf NÚKIBu Lukáš Kintr na úvod projednání v bezpečnostním výboru zopakoval, že stát nemá ve stávajícím právním řádu žádný nástroj, kterým by byl schopen řešit strategickou závislost na dodavateli, a jeho nutnost ilustroval vývojem ruské invaze na Ukrajinu. Podotkl, že zbavit se dlouhodobě neřízené závislosti na ruském plynu a ropě je pořád jednodušší než vyměnit technologický celek. „Taková závislost v celé oblasti ICT existuje a my ji pozorujeme. Pro stát je z dlouhodobého hlediska nevýhodná a neakceptovatelná. Přestože tato rizika jsou dávno známa, v současnosti nemá stát efektivní rámec, jak je řešit,“ uvedl Kintr.
Náčelník generálního štábu a Kintrův předchůdce v čele úřadu Karel Řehka podpořil nutnost mít kvalitní regulaci kyberbezpečnosti několika příklady z nedávné doby. Zmínil kyberútoky na železnice v Polsku, kdy se v minulém roce hackerům podařilo vysíláním na určitých frekvencích aktivovat systém nouzového zastavení a vyřadit tak na několik hodin z provozu 20 vlaků. Připomenul také útok z roku 2017, který paralyzoval energetickou síť Ukrajiny, letošní případ CrowdStrike nebo útoky na lodní dopravu. Ty se jen v loňském roce dotkly více než tisícovky lodí.
„Chcete-li příklad, jak je nebezpečné, když si nehlídáte dodavatelský řetězec, stačí se zeptat Hizballáhu pár dní nazpátek,“ uvedl v narážce na vybuchující pagery a vysílačky Řehka a dodal: „Nemyslete si, že to neprobíhá i v České republice. Máme nějakou mlčenlivost, ale velcí hráči – a těch se to tady taky týkalo, to ne vždy zvládli se ctí.“
Odolnost civilní infrastruktury je podle něj naprosto zásadní i z obranného hlediska. Zmínil přitom regionální alianční plány, kdy ještě za mírového stavu je nutné při určitých varováních zabezpečit rychlé pohyby a přesuny a přijmout opatření, která odstraší nepřítele. „Funkčnost a rychlost může znamenat rozdíl mezi mírem a válkou, jestli se povede odstrašit protivníka, a pokud narušíte přepravu nebo energetickou síť, významně narušíte i proveditelnost tohoto plánu,“ varoval Řehka.
Zároveň vyjádřil obavu, aby stejně jako při každé podobné regulaci projednávané Sněmovnou nebyl návrh pod různými záminkami „vykosťován“, když už teď je podle něj na minimu, pod nějž už by postrádal smysl. „Dopadne to tak, že se to bude zdržovat, až se to vyzdržuje, spadne to a dalších několik let nebude mít tato země nástroje, jak se bránit. Jim to vyhovuje, že stát tyto nástroje nemá, a rádi by to tak nechali nastaveno. Za armádu bych apeloval, nenechme stát bezbranný,“ uzavřel svou promluvu Řehka.
Hostem bezpečnostního výboru byl i senátor Pavel Fischer, který má tuto problematiku na starosti v horní komoře. Podle něj nelze zapomínat na to, že Česko je členem NATO. „Je v pořádku, že chceme mít v zákoně víc, než je podle EU nezbytné. Zkomplikujeme si spolupráci se Spojenými státy v oblasti obrany a bezpečnosti – jen kvůli tomu, že ten zákon ještě nemáme,“ varoval.
Operátoři chtějí předvídatelnost
Poslanci dále odhlasovali, že na výboru může jako host vystoupit šéf Asociace provozovatelů mobilních sítí Jiří Grund. Podle něj je kybernetická bezpečnost pro telekomunikační sektor zásadní věc, aby vůbec mohly tyto služby fungovat.„Základní rozpor s předkladatelem je v síle opatření. My se domníváme, že je možné dosáhnout kyberbezpečnostních cílů pro náš stát s daleko nižšími náklady a chytřejším přístupem,“ řekl a přirovnal navržený instrument zákazu dodavatelů ke kanonu na vrabce, který nepřinese kýžený efekt.
Čeští operátoři podle Grunda po varování NÚKIBu před Huawei a ZTE v roce 2018 sami přijali rozhodnutí, že do konce roku 2026 kritické systémy v jejich sítích nebudou mít žádné prvky čínské provenience. To sklidilo mezi přítomnými posměch, když osmiletá reakční doba není dostatečná.
„Největší problém, který my se zákonem máme, není to, že stát chce mít schopnost dodavatele zakázat, ale že je to pro nás nepředvídatelné,“ upozornil Grund, že zákon sice pracuje s daňovými odpisy, ale nerespektuje životní cyklus nakoupených investic. Tyto technologie tak lze používat v sítích i poté, co jsou v účetnictví daňově odepsány.
„Vymlčet to, shodit to dál, o to vám jde,“ reagoval Řehka na Gruntovo vystoupení a pokračoval: „Vzpomínám si, že jako ředitel NÚKIBu jsem jednal s šéfem operátorů a snažil se ho přesvědčit, že dřív nebo později ta doba přijde, že bude potřeba regulovat dodavatele. A on se mi vysmál, že nevěří tomu, že se toto opatření někdy prosadí.“
Opozice kritizovala fígl s legislativní radou
Proti tomu Hospodářský výbor byl vůči návrhu kyberbezpečnostního zákona ještě kritičtější. Jeho předseda, koaliční poslanec za ODS Ivan Adamec si několikrát nebral servítky. „Je to průšvih. Vy nevíte, kolik to bude stát. My řešíme, aby to bylo co nejlevnější a nejefektivnější,“ prohlásil směrem k zástupcům NÚKIBu.
Roman Kubíček z hnutí ANO následně použil paralelu se zaváděním GDPR. „Stejná panika, nakonec víme, jak to dopadlo. Ale kolik lidí se na tom přiživilo? Já mám strach, abychom se nedostali do módu, že na tom někdo dobře vydělá, ale skutek utek,“ vyjádřil své obavy.
Jeho spolustraník Marek Novák se zajímal o analýzu dopadů RIA. A ptal se zástupců NÚKIBu, zda úřad zkoušel udělat průzkum ve firmách, kterých se regulace dotkne, jak jsou s opatřeními pro lepší kyberbezpečnost daleko a jaké další náklady odhadují. Regulátor odvětil, že průzkumů vznikla celá řada, ale není jednotná metodika, která by dokázala odlišit běžné náklady na ICT od těch souvisejících s kyberbezpečností. „Data, která se vracejí, jsou natolik různorodá, že jakýkoliv závěr z nich vypovídací hodnotu nemá,“ uzavřel zástupce úřadu.
Jiří Grund tentokrát i bez hlasování o udělení slova zopakoval, že mechanismus bezpečnosti dodavatelského řetězce je bolavým místem celého návrhu, protože vytváří nepředvídatelnost podnikatelského prostředí.
„Nedokážeme si představit, že za dva roky za námi přijde úředník, který řekne, že musíme nějaké technologie ze sítě vyhodit. Nás to děsí a právem. My chceme tu bezpečnost předvídatelnou. Chceme, aby bylo jasně stanoveno, kde začíná a končí regulace. Když něco vyhodíme z jádra, jestli to bude dostačující,“ prohlásil a zkritizoval snahu NÚKIBu o neomezené pravomoci. Za operátory označil hrozbu, že zákon bude fungovat jako bianco šek pro úřad a ten na základě vyhlášek bude rozhodovat, kde regulace začíná a kde končí.
Stejně jako Grunt se i poslankyně za ANO Berenika Peštová dotkla způsobu, jakým návrh doputoval vlády. Připomeňme, že tomu předcházel nutný mezikrok, a to Legislativní rada vlády, která projednání zákona napoprvé přerušila a vrátila NÚKIBu k přepracování. Na její dotaz Lukáš Kintr potvrdil, že podruhé se už upravený zákon na plénum LRV nevrátil.
Peštová pak poznamenala, že tento scénář je u současné vládní koalice čím dál častější. „Na plénu vás roztrhají, vrátí to na úřad, a pak máte jít do komisí. Tam jsou ty největší právnické kapacity. A tam by vám řekli, jestli jste zapracovali připomínky správně, nebo ne. Kdybyste s tím šli zpátky na plénum, tak vás rozcupují korporátní právníci, že je to špatně a že nemáte vypořádané připomínky vznesené Hospodářskou komorou,“ poukázala Peštová na to, že návrh prošel pouze souhlasným stanoviskem předsedy LRV Michala Šalomouna.
Prázdný zákon pro úředníky
Před závěrečným hlasováním o přerušení tohoto bodu předseda výboru Adamec směrem k NÚKIBu prohlásil: „Rozhodně vám to zadarmo nedáme. Zákon je naprosto prázdný a vše se dělá vyhláškami. Úředníci vítězí nad politiky. To fakt nechci.“
Nejkratší termín pro pozměňovací návrhy stanovil Výbor pro obranu. Očekává je do 25. října. Výbor pro bezpečnost a Hospodářský výbor přijímají návrhy na změnu o čtyři dny déle. Znovu se tak zákonem budou příslušné výbory zaobírat v listopadu. Je tak jasné, že se nestihne nejen transpoziční lhůta, která končí 17. října, ale reálná není ani posunutá představa regulátora, že by zákon mohl platit od začátku příštího roku.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU