Samostatný zákon o kybernetické bezpečnosti (ZoKB), s plánovanou účinností k 1.1.2015, se v ČR připravuje již poměrně dlouhou dobu. Vlastně již od října roku 2011, kdy usnesením vlády č. 781/2011 přešla gesce v oblasti kybernetické bezpečnosti z pasivního resortu vnitra na podstatně aktivnější Národní bezpečnostní úřad.
Na první pohled by se mohlo zdát, že tak dlouhá doba na přípravu zákona je snad až zbytečná. Ale realita je očividně jiná, dnes už času nazbyt rozhodně není. Dosti dlouhou dobu například zabrala diskuse NBÚ s odbornou veřejností ohledně toho, jakou koncepci kybernetické bezpečnosti vlastně zvolit. Nakonec zvítězila varianta „se dvěma pilíři“ v podobě vládního a národního CERT-u. Ta pochopitelně není jedinou možnou variantou, protože existují i jiné, ale není také nijak ojedinělá.
Další zdržení pak návrh zákona „nabral“ kvůli pádu vlády Petra Nečase v loňském roce a obměně Poslanecké sněmovny. Kvůli tomu musel být jeho návrh skoro půl roku „zaparkován“ na legislativní radě vlády, aby „nespadl pod stůl“ a mohlo se pokračovat v jeho projednávání jak na vládě, tak hlavně v nově obsazené sněmovně. Zejména na ní pak záleželo, zda se s návrhem zákona, i s navrhovanou celkovou koncepcí zákona o kybernetické bezpečnosti ztotožní, nebo zda si prosadí nějakou jeho zásadnější změnu. Případně zda zákon zcela „smete ze stolu“.
Jak jsem již psal zde na Lupě v polovině února, návrh zákona poslala do nové sněmovny počátkem roku ještě úřednická vláda Jiřího Rusnoka. První čtením návrh úspěšně prošel 14.2.2014, no a následně jej začaly projednávat sněmovní výbory (podrobněji).
Co naznačilo první čtení?
Již první čtení přitom naznačilo, že někteří poslanci přeci jen mohou mít snahu změnit celkovou koncepci zákona. Například poslanec Matěj Fichtner dal najevo, že má pochybnosti o té části zákona, která se týká národního CERTu. Nelíbila se mu jeho exkluzivita („výhradní licence“), a také neřešené ekonomické aspekty. Argumentoval přitom zkušenostmi z předražených a nefunkčních státních IT zakázek, a požadoval vyvrácení svých pochybností. V opačném případě deklaroval připravenost změnit celkovou koncepci zákona:
„V případě, že argumenty nebudou věrohodné, zvážím předložení pozměňovacího návrhu, který v podstatě z návrhu zákona odstraní část týkající se národního CERT, tak aby součinnost mezi NBÚ a soukromými provozovateli CERT probíhala i nadále v režimu neformální spolupráce, která ve svém důsledku nepovede k outsourcingu bezpečnostních funkcí státu“.
Jaké byly pozměňovací návrhy?
Poslanec Fichtner očividně spokojen nebyl, a tak skutečně předložil pozměňovací návrh, který „fakticky odstraňuje část týkající se národního CERTu“.
K objasnění podstaty tohoto návrhu si připomeňme, že koncepce zákona „se dvěma pilíři“ předpokládá, že oba CERTy (vládní a národní) mají určitým způsobem rozdělenou působnost, kterou asi nejvýstižněji popisuje následující tabulka (převzatá z důvodové zprávy k návrhu zákona). Ta současně ukazuje rozdělení těch subjektů, kterým zákon ukládá určité povinnosti v oblasti kybernetické bezpečnosti, do pěti skupin. Označme je po řadě písmeny a) až e), v souladu s §3 navrhovaného zákona.
dle §3 |
Typ orgánu nebo osoby |
Základní povinnosti |
Povinnosti – stav kybernetického nebezpečí |
---|---|---|---|
a) |
Poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací |
Hlásit kontaktní údaje národnímu CERT |
Hlásit kontaktní údaje národnímu CERT, provádět reaktivní opatření vydaná NBÚ |
b) |
Subjekty zajišťující významné sítě |
Hlásit kontaktní údaje národnímu CERT, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty národnímu CERT |
Hlásit kontaktní údaje národnímu CERT, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty národnímu CERT, provádět reaktivní opatření vydaná NBÚ |
c) |
Správci významných informačních systémů |
Hlásit kontaktní údaje NBÚ, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty NBÚ, provádět opatření vydaná NBÚ |
Hlásit kontaktní údaje NBÚ, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty NBÚ, provádět opatření vydaná NBÚ |
d) |
Správci komunikačních systémů zařazených do kritické informační infrastruktury |
Hlásit kontaktní údaje NBÚ, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty NBÚ, provádět opatření vydaná NBÚ |
Hlásit kontaktní údaje NBÚ, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty NBÚ, provádět opatření vydaná NBÚ |
e) |
Správci informačních systémů zařazených do kritické informační infrastruktury |
Hlásit kontaktní údaje NBÚ, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty NBÚ, provádět opatření vydaná NBÚ |
Hlásit kontaktní údaje NBÚ, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty NBÚ, provádět opatření vydaná NBÚ |
S touto tabulkou a s rozdělením působností mezi národní a vládní CERT souvisí i určitý „řez“ dopadů zákona mezi subjekty z privátní a veřejné sféry: pod národní CERT spadají subjekty skupin a) a b), což by měly být výlučně privátní subjekty. Naproti tomu subjekty c) (správci významných informačních systémů) by měly být pouze z veřejné sféry.
Předpokládanými příklady takových „významných informačních systémů“ jsou například základní registry, datové schránky, CzechPOINTy, Portál veřejné správy, registr řidičů atd. Ovšem mezi subjekty d) a e) již opět mohou být (a určitě budou) i privátní subjekty, protože velká část komunikačních systémů a informačních systémů, které budou zařazeny do tzv. kritické informační infrastruktury, je v privátních rukou.
Jinými slovy je navržený model (se dvěma CERTy, popsaný výše uvedenou tabulkou) i určitým výsledkem dlouho a pečlivě hledaného kompromisu mezi tím, jak moc (či spíše málo) chce NBÚ zasahovat do privátních systémů a řešení, a jejich provozovatelům a správcům ukládat nějaké povinnosti a něco nařizovat.
Zpět ale k pozměňovacímu návrhu poslance Fichtnera (který najdete zde): jeho základem je posunutí onoho „řezu“ a výsledného kompromisu, a to směrem od národního CERTu k CERTu vládnímu. Ve výše uvedené tabulce by se to projevilo změnou ve sloupečku „Základní povinnosti“ u subjektů a) i b): ty by se již neobracely (s kontaktními údaji i s hlášením bezpečnostních incidentů) na národní CERT, ale rovnou na vládní CERT.
Tím by se výrazně oslabila role národního CERTu: zůstal by jen jakýmsi „expertním orgánem“, vůči kterému by nikdo neměl ani oznamovací povinnost: pouze by poskytoval metodickou podporu, pomoc a součinnosti subjektům a) a b), sám by prováděl vlastní výzkum (hodnocení zranitelností v oblasti kybernetické bezpečnosti), a pokud by se přeci jen dozvěděl o nějakém bezpečnostním incidentu, okamžitě by to reportoval Úřadu (tj.- NBÚ).
Navíc poslanec Fichtner chtěl, aby takto „redukovaný“ národní CERT dělal vše zadarmo (bezúplatně), nestranně, nebyl zahraniční osobou a nebyl založen či zřízen výlučně za účelem zisku. Současně chtěl změnit způsob jeho ustanovení: místo „veřejnoprávní smlouvou“ jen „smlouvou“.
Jak dopadlo 3. čtení?
Minulý týden, konkrétně ve středu 18. 6. 2014, návrh zákona o kybernetické bezpečnosti úspěšně prošel třetím čtením (záznam). A tak již víme, že k radikálnějším změnám, které navrhoval poslanec Fichtner, nedošlo. O jeho pozměňovacím návrhu (pod písmenem D) se nakonec ani nehlasovalo, protože se v průběhu hlasování stal nehlasovatelným – poté, co byl přijat jiný pozměňovací návrh. Konkrétně návrh, pocházející od výboru pro obranu (hlasovaný pod písmenem A).
Návrh výboru pro obranu přitom převzal některé prvky z návrhu poslance Fichtnera (D). Konkrétně požadavky na to, aby národní CERT nebyl zahraniční osobou, nebyl založen či zřízen výlučně za účelem zisku, při plnění svých povinností postupoval nestranně, a činnosti vyplývající ze zákona vykonával bezplatně (s výjimkou poskytování metodické podpory, pomoci a součinnosti při výskytu kybernetického bezpečnostního incidentu, kde by měl mít možnost poskytovat své služby na zpoplatněné bázi). Kromě toho naopak může vykonávat i další „hospodářskou činnost“ na poli kybernetické bezpečnosti neupravené zákonem, ovšem „na vlastní triko“ (vlastním jménem a na vlastní odpovědnost), a jen, pokud to nenaruší plnění jeho povinností ze zákona.
Z mého pohledu jde celkově jen o určité zpřesnění způsobu fungování toho subjektu, který se nakonec stane národním CERTem. Nikoli o nějakou zásadnější změnu jeho role, povinností a odpovědnosti.
Výběr dodavatelů
Jak jistě již tušíte z označení pozměňovacích návrhů, výše popsané návrhy A a D nebyly jedinými, o kterých se hlasovalo. Vedle nich byly do třetího čtení předloženy ještě návrhy B a C, které spolu souvisely – oba se týkaly výběru dodavatelů služeb elektronických komunikací pro ty subjekty, které spadají do skupin c) až e), ve smyslu výše uvedené tabulky. Jejich záměrem přitom bylo zpřísnit tento výběr ve prospěch požadavků na bezpečnost.
Rozdíl byl ale v konkrétní podobě požadavků: návrh pod písmenem B, který předložil poslanec Jiří Valenta, požadoval, aby dodavatelé služeb elektronických komunikací (pro subjekty ze skupin c) až e)) mohli být vybíráni jen z určitého omezeného okruhu, který navíc nebyl úplně přesně definován:
budou požadovat, aby takový dodavatel byl zároveň subjektem zajišťujícím veřejnou komunikační síť, která má zásadní vliv na bezpečnost příslušného systému
Tento návrh neprošel, a místo něj byl ve 3. čtení přijat návrh pod písmenem C, který předložil poslanec Jan Birke. Netýká se jen dodávek služeb elektronických komunikací, ale obecně všech dodávek pro subjekty skupin c) až e). A požaduje pouze to, aby tyto subjekty při výběru svých dodavatelů „zohlednily požadavky vyplývající z bezpečnostních opatření“.
Navíc tento návrh (pod písmenem C) pamatuje i na pravidla hospodářské soutěže a říká, že zohlednění požadavků na bezpečnost nepředstavuje narušení hospodářské soutěže. Což návrh pod písmenem B nedělal.
A co vyhlášky?
Zákon o kybernetické bezpečnosti tedy úspěšně prošel 3. čtením v Poslanecké sněmovně, a nyní míří do Senátu. Za dveřmi jsou sice prázdniny, ale přesto je stále šance na to, aby návrh zákona včas prošel Senátem a mohl nabýt účinnosti k plánovanému 1. lednu 2015.
Jenže samotný zákon není to jediné, co musí být k 1. 1. 2015 hotové. Kromě něj musí být včas připraveny a přijaty také nezbytné prováděcí předpisy. Jejich úkolem je upřesnit „provozní“ záležitosti, týkající se zejména bezpečnostní dokumentace, bezpečnostních opatření, kybernetických incidentů a jejich hlášení, reaktivních opatření a protiopatření atd. Dále jde o určení toho, které konkrétní subjekty a systému budou spadat do skupin b) až e), ve smyslu výše uvedené tabulky.
V současné době jsou připravovány dvě prováděcí vyhlášky a jedna novela nařízení vlády. Podle aktuálních informací z NBÚ je stav jejich přípravy následující:
1. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
- Návrh této vyhlášky připravuje NBÚ. Vyhláška o kybernetické bezpečnosti byla v prvním čtvrtletí tohoto roku konzultována s odbornou veřejností – k vyhlášce přišlo cca 300 připomínek od odborné veřejnosti, jejich vypořádání se uskutečnilo 11. 4. 2014 v budově NBÚ. Nyní finalizují práce na jejím konečném znění, přičemž její rozeslání do meziresortního připomínkového řízení se předpokládá v červenci 2014.
2. Vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria
- Návrh této vyhlášky připravuje NBÚ ve spolupráci s Ministerstvem vnitra a její rozeslání do meziresortního připomínkového řízení se předpokládá v září 2014.
3. Novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
- NBÚ se podílel na tvorbě části předmětné novely, konkrétně na stanovení odvětvových kritérií pro určení prvku kritické infrastruktury v oblasti kybernetické bezpečnosti. Návrh této novely je však v gesci Ministerstva vnitra a termín jejího rozeslání do meziresortního připomínkového řízení doposud nebyl pevně stanoven.