Zakázat určité dodavatele v důsledku prověřování bezpečnosti dodavatelského řetězce podle připravovaného zákona o kybernetické bezpečnosti nebude jen hypotetická možnost pro budoucí případné zhoršení bezpečnostní situace, ale dojde k tomu prakticky s jistotou. Na jednání sněmovního výboru pro bezpečnost o tom takto jednoznačně mluvil zpravodaj návrhu zákona Petr Letocha z hnutí STAN poté, co bylo toto jednání zhruba na půl hodiny pro veřejnost uzavřeno a poslanci jednali ve vyhrazeném režimu. „Budou to potřebovat udělat a my už víme, že to potřebovat budou,“ uvedl bez bližších detailů s odkazem na informace v utajeném módu, co ho k takovým závěrům vede.
Letocha od začátku patří mezi stoupence původní právní úpravy připravené Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Měl proto výhrady k pozměňovacímu návrhu, který rozhodování o zákazu dodavatele odnímá NÚKIBu a svěřuje ho do rukou vlády. „Nelíbí se mi to, že by poslední slovo měla mít vláda, beru to za na výsost politické rozhodnutí,“ vysvětlil. Mnohem méně smířlivě se však postavil proti dalšímu z pozměňovacích návrhů, který by tuto pravomoc vlády zredukoval jen na subjekty kritické infrastruktury.
Operátoři slaví úspěch v tažení proti NÚKIBu
To by znamenalo prakticky úplné vítězství mobilních operátorů a jejich lobbingu. Připomeňme, že ti od počátku usilují o to, aby mechanismus prověřování bezpečnosti dodavatelského řetězce ze zákona buď úplně zmizel, nebo se tato pravomoc přesunula z úředníků na politiky a omezila se pouze na jádro sítě, kde problematické dodávky z nevítaných zemí má dosud jen O2 a postupně se jich zbavuje.
Po jednáních v obou klíčových sněmovních výborech (garančním pro bezpečnost a Hospodářském výboru) je zřejmé, že operátoři budou úspěšní přinejmenším z poloviny. Mezi vládou, NÚKIBem a poslanci totiž bylo dosaženo shody na tom, že konečné slovo v zákazech problematických dodavatelů bude mít vláda, a půjde tedy o ryze politické, nikoliv úřednické rozhodnutí.
Původně přitom regulátor nechtěl v této otázce ustoupit ani o píď, což několikrát deklaroval, a jeho odmítavý postoj legislativní cestu návrhu nejen zkomplikoval, ale hlavně radikálně zbrzdil. Teď už je jasné, že tento boj brněnský strážce kyberprostoru prohraje. Z pozice toho, kdo o nepohodlných dodavatelích rozhoduje, se NÚKIB propadl na úroveň pouhého navrhovatele omezení. „Souhlasím s tím, že je to výsledek složitých jednání. Z velké části se jedná po věcné stránce o racionální kompromis,“ zhodnotil výsledek šéf NÚKIBu Lukáš Kintr.
Navíc je však ve hře stále varianta, že vítězství operátorů bude úplné. To v případě, kdy by zákon pravomoc přenesenou na vládu dále omezil z původně vymezené množiny subjektů spadajících do úrovně vysoká a kritická jen na úroveň kritické infrastruktury. Pod tou si lze představit například systém monitorování řídicích soustav, SCADA systémy v energetice nebo jádro sítě v telekomunikacích.
Subjekty spadající do kategorie vysoká by se pak podle stávajících pravidel zákazům ze strany vlády vyhnuly, i když ne definitivně. Vláda i na méně důležité systémy regulačně dosáhne, pokud změní nařízení o neopominutelných funkcích. „Je to administrativně náročný proces a mimo jiné tím říkáme, že je to systém, o kterém víme, že ho budeme ohýbat. Z bezpečnostního hlediska s ohledem na potřebu efektivního a rychlého jednání to není správné řešení,“ komentoval úvahy o osekání pravomocí vlády Kintr. Uvedl, že považuje za efektivnější mít mantinely pro rozhodování nastaveny široce a nechat na vládě, aby je v konkrétních rozhodnutích zužovala.
Změna, která regulátorovi při přípravě návrhu utekla
Komplexní pozměňovací návrh, který měl být výsledkem shody mezi úřadem, vládou a poslanci, kvůli jejímuž dosažení oba klíčové sněmovní výbory své jednání začátkem listopadu přerušovaly, připravoval NÚKIB. K této části se ale nezná, a to je také důvod, proč k překvapení všech přítomných šéf úřadu vyslovil na Hospodářském výboru k pozměňovacím návrhům nesouhlas.
„Bod 9 se tam objevil až po nějakém zafinalizování a my jsme k tomu neměli možnost se dopředu vyjádřit,“ objasnil důvod, proč změnu jeho úřad nemůže podpořit. Právě bod 9 zužuje pravomoc vlády zakazovat dodavatele jen na kategorii kritické infrastruktury.
Změna nebyla po chuti ani zpravodaji zákona v gesčním výboru Petru Letochovi. Podle něj by znamenala riziko arbitráží ze strany firem kvůli nepředvídatelnému právnímu prostředí. „Zákon vyjde, oni si nakoupí zboží a následně vláda řekne, že si to může rozšířit i na kategorii vysoké, a vznikne problém. Neměli bychom si házet klacky pod nohy a omezovat to na víc, než je nezbytně nutné,“ vyhradil se vůči zúžení kategorií Letocha. Poukázal současně na to, že původně NÚKIB počítal i s možností mluvit do dodavatelů dvěma dalším nižším kategoriemi a ustoupil na to, že vláda bude pokrývat pouze dvě nejdůležitější.
Zatímco Výbor pro bezpečnost tyto argumenty vyslyšel a pozměňovací návrh na sešněrování vládních pravomocí nepodpořil, Hospodářský výbor vidí situaci jinak a všech 21 navržených změn hladce prošlo a bude se o nich dál jednat.
Příliš zvědavý úřad?
Pozornost poslanců vzbudila rovněž úprava, podle které bude moci NÚKIB kvůli prověřování rizik spojených s dodavatelem požadovat od Generálního finančního ředitelství informace o regulovaných subjektech. Poslanec za hnutí ANO Robert Králíček vyslovil podezření, že se z NÚKIBu tímto může stát další zpravodajská služba. Chtěl proto vědět, co brněnský regulátor může od berních úředníků chtít.
Od vedení regulátora se mu dostalo odpovědi, že půjde o majetkové vazby mezi regulovanými subjekty a o to, jestli si plní finanční závazky vůči státu, nebo nemají „škraloup“, který by v nejobecnější rovině upozorňoval na podezřelé chování. „Jde o triáž na základě prvotního screeningu, aby pak bylo možné zaměřit další šetření,“ upřesnil Kintr.
Králíček se s vysvětlením nespokojil a zdůvodnil, proč úpravu nepodpoří: „Když si vzpomenu na diskuse, jak chtěl rozšířit pravomoci ÚOHS, že ten chce získávat geolokaci telefonu, tak tady chce NÚKIB rozšířit přístup k majetkovým poměrům firem už jen při podezření, že jejich produkt může znamenat bezpečnostní riziko.“
Návrh zákona o kybernetické bezpečnosti je po projednání ve výborech stále před druhým čtením na plénu Sněmovny a je zařazen na pořad 119. schůze. Poslanci by se tak k němu mohli dostat ještě v prosinci.
Mezitím Evropská komise zahájila formální proceduru s 23 členskými státy, včetně Česka, které mají s implementací směrnice NIS2 zpoždění. Směrnice měla být do národní legislativy zapracována nejpozději do 17. října. S opozdilci Brusel zahajuje řízení o nesplnění povinnosti. V prvním kroku bude muset vláda reagovat na výzvu Komise a do dvou měsíců informovat o postupu ke splnění povinnosti. Pokud Komise s odpovědí nebude spokojena, může přistoupit k dalším krokům, které by už měly dopad na státní rozpočet.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU