Minulý díl seriálu Regulace podle NIS2 jsme věnovali připomínkám, které se k návrhu zákona o kybernetické bezpečnosti sešly v eKlepu. Připomínky zatím Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB) nevypořádal, proto se můžeme vrátit k představování novinek, které transponovaná evropská směrnice NIS2 a s tím spojená národní legislativa nejpozději příští rok přinese. Vycházíme z toho, v jaké podobě je národní legislativa zaslaná do vlády. Pokud na základě připomínkového řízení v budoucnu dozná změn, upozorníme na to. Skončili jsme u řízení rizik, což je vedle inventury aktiv nejdůležitější povinnost subjektů s přísnější regulací (režim essential).
Velmi kontroverzní – alespoň soudě podle počtu a vyznění připomínek došlých do meziresortního řízení – je oblast řízení dodavatelů, které se budeme věnovat dnes. Tato oblast tvoří například v materiálu Hospodářské komory více než tři čtvrtiny připomínek ve čtyřicetistránkovém dokumentu. Sektor namítá, že mechanismus prověřování dodavatelského řetězce v národní úpravě jde nad rámec směrnice NIS2, nedělá rozdíly mezi tím, jak hodnotná aktiva jsou v sázce, a představuje zvýšenou administrativní a finanční zátěž jak pro povinné subjekty, tak pro jejich dodavatele.
Víme už z dřívějška, že v režimu vyšších povinností (essential) budou povinnosti plynoucí z NIS2 dopadat i na subdodavatele. „Požadavky na jejich splnění přitom nebude možné považovat za omezení hospodářské soutěže,“ zdůraznila advokátka Lucie Balýová.
Nezakazujte nám Huawei všude
Podle Komory by se omezení mělo vztahovat jen na nejkritičtější část strategické infrastruktury. Ukazuje to na příkladu z telekomunikací. Hospodářská komora brojí proti tomu, aby bylo možné okamžitým zásahem zakázat vybraného dodavatele, u kterého se objeví významná hrozba, bez ohledu na to, o jakou část sítě se jedná. Navrhuje, aby se regulace týkala jen kritických částí, kde daná hrozba vede k výpadku regulované služby. V telekomunikacích se má jednat o jádro sítě, případně části přenosové sítě.
Mezi řádky lze vyčíst, co má sektor, potažmo Asociace provozovatelů mobilních sítí, jejíž rukopis je v připomínkách více než jasně patrný, vlastně za lubem. Operátoři by se rádi vyhnuli tomu, aby NÚKIB mohl šmahem zakázat v jejich sítích zařízení od určitých dodavatelů, například ZTE nebo Huawei, pokud představuje bezpečnostní riziko. Žádají tedy zúžit manévrovací prostor NÚKIBu, aby se takový zákaz mohl vztahovat jen na kriticky důležitou část infrastruktury.
Důvody jsou nasnadě. Zatímco O2 bezdrátovou část 5G sítě staví na komponentách od švédského Ericssonu, zbylí dva operátoři využívají Huawei měrou více než vrchovatou. Tento čínský výrobce má ve 4G/LTE sítích zastoupení 92 procent, u 5G sítí je to podíl více než poloviční, a rozhodně se nejedná jen o rádiovou část, kde je hrozba úniku přenášených informací z podstaty věci minimální. Huawei vyhrává výběrová řízení nízkou cenou, na niž tuzemská velká trojka pochopitelně slyší.
Ačkoliv se o hrozbách souvisejících s elektronikou čínské provenience mluví dlouho, operátoři svůj východní kurs, co se týče investic, přehodnotit dobrovolně odmítají. A navíc loni přišli s tím, že pokud regulace nastupuje do rozjetého vlaku, pak by měli mít nárok na kompenzace. Představovali by si až několikamiliardové náhrady. Tehdejší šéfka telekomunikačního úřadu Hana Továrková dokonce takovým nápadům byla nakloněna, když prohlásila, že „v případě vyloučení některých dodavatelů je možná na místě se ptát, jak by stát mohl operátorům již uskutečněné investice kompenzovat“.
Kyberúřad tehdy přišel s myšlenkou přechodného období. NÚKIB by po určitou dobu toleroval problematická zařízení v síti, již instalované prvky by nechal „dožít“ a umořit uskutečněné investice. Zda by to bylo do konce plánované životnosti daného prvku, nebo by šlo o dobu kratší, to jasné nebylo a ani nyní není.
Na výjimky ze zákazu nebude právní nárok
Od tehdejšího vyjádření NÚKIBu uplynul rok, máme tu návrh nového kyberzákona, který dodavatelská rizika upravuje v § 28 až 32. Úřad by měl získat oprávnění zakázat opatřením obecné povahy dodávky od dodavatele „v kritické části stanoveného rozsahu“. Musí to předtím projednat s Ministerstvem financí a Bezpečnostní radou státu a takové omezení přezkoumávat co tři roky.
Do zákona je ale také zakomponována výjimka, v § 31. Na zvláštní povolení budou moci poskytovatelé strategicky významné služby získat úlevu proti opatření obecné povahy, a tedy provozovat i zařízení od „zakázaných“ dodavatelů. Bude ale na rozhodnutí NÚKIBu, zda ve správním řízení danou výjimku povolí. Na to se zjevně čeští mobilní operátoři spoléhat nechtějí, a proto hlasitě volají po tom, aby ruce kybernetických úředníků byly svázanější, než se nyní jeví.
V tomto ohledu má Hospodářská komora významného spojence. Český telekomunikační úřad by také rád nastavil mechanismus prověřování bezpečnosti dodavatelského řetězce jen na kritickou úroveň služby. Tedy by rád eliminoval prověřování dodavatelů u strategicky významných služeb na úrovni vysoká. Mimo jiné se obává významného navýšení hlášených incidentů.
Také ČTÚ akcentuje hledisko přiměřenosti. Chce umožnit providerům zaměřit se na ochranu těch aktiv, která jsou nejdůležitější pro bezpečné a spolehlivé poskytování telekomunikačních služeb. A za nejzásadnější vysočanský úřad považuje jádro sítě. Vše ostatní si podle ČTÚ regulaci dodavatelského řetězce nezaslouží. Regulátor tedy jde ve svých požadavcích ještě dál než Hospodářská komora, potažmo operátorská asociace. Ta by totiž „zkousla“ i to, že by se dodavatelská cenzura vztahovala na dodávky do části přístupové sítě.
Úpravu bezpečnosti dodavatelského řetězce kritizuje ale i Ministerstvo dopravy. To se obává, že regulace povede k eliminaci dodavatelů, s jejichž zapojením jsou spojena rizika o různé intenzitě. A zbydou jen tací, kteří buď poptávanou službu nebudou schopni dodat vůbec, nebo jen „za pro provozovatele rozpočtově neúnosných ekonomických podmínek“. Doprava tyto obavy vztahuje na strategické dopravní systémy státu, a to ať už na dráze, nebo na dálnicích, kdy podle ní jsou ohroženy systémy pro řízení dopravy, mýtného apod.
Reputaci poškodí autokratický režim i riziko mezinárodních sankcí
Pokud se podíváme na shora popsané připomínky, je nám jasné, čeho se jednotlivé subjekty bojí. O dost méně je ale zřejmý mechanismus, jak bude prověřování dodavatelského řetězce probíhat. Toto prověřování bude provádět NÚKIB, a to ve spolupráci s ministerstvy, zpravodajskými službami a dalšími orgány státu, které mají o důvěryhodnosti konkrétního dodavatele relevantní informace. Základem procesu ale mají být informace poskytnuté přímo jednotlivými poskytovateli strategicky významných služeb.
Co má do prověřování promlouvat? NÚKIB nijak nezastírá, že posuzovány mají být „znaky státu sídla dodavatele a jiných států působících na dodavatele. Dále pak znaky samotných dodavatelů a předchozí škodlivá aktivita jak dodavatelů, tak států majících na ně vliv“. Tato definice přesně pasuje na případy typické z Číny, kdy tamní vláda má nastaveny zákonné mechanismy, jak se dostat k některým citlivým informacím, se kterými firmy na jejím území přicházejí do styku.
NÚKIB si pro to vytvořil specifickou vyhlášku o kritériích rizikovosti dodavatele. Z ní se dozvídáme, že problém budou mít nejen firmy se sídlem v problematických zemích, ale i firmy, kde majitel má dle evidence skutečných majitelů místo pobytu, kde probíhají pravidelně schůze vedení dodavatele, nebo odkud je taková firma převážně ovládána.
Kritérií rizikovosti dodavatelů je 13 a zahrnují zkoumání typu, zda v posuzované zemi je demokratický politický systém, funguje tam dělba moci mezi moc zákonodárnou, výkonnou a soudní, existuje tam nezávislý soudní přezkum výkonu veřejné moci, nebo právní předpisy ukládají dodavatelům povinnost spolupráce s orgány veřejné moci. Nalézáme zde i otázku, zda na zemi mající vliv na dodavatele byly uvaleny mezinárodní sankce nebo existuje vysoká pravděpodobnost, že tyto sankce uvaleny budou. Tím už se nám okruh problematických zemí podstatně rozšiřuje.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU