O dodavatelích rozhodnou úředníci, vadí operátorům na kyberzákonu. ‚Tak to nebude,‘ reaguje poslanec
ČR měla do čtvrtka přijmout unijní kybernetickou směrnici. Podle kritiků dává příliš velkou moc Národnímu úřadu pro kybernetickou a informační bezpečnost. „Pokud se má rozhodovat o zákazu dodavatelů, tak ať to dělá vláda,“ navrhuje prezident Asociace provozovatelů mobilních sítí Jiří Grund. „Kybernetický úřad nebude jediný, který se bude vyjadřovat k zákazu dodavatele,“ ujišťuje poslanec Petr Letocha (STAN) v Pro a proti na Českém rozhlase Plus.
Největší kontroverze vyvolává mechanismus prověřování bezpečnosti dodavatelského řetězce, který by umožnil kybernetickému úřadu vyloučit firmy, které považuje za rizikové. Pane poslanče, řekl jste, že návrh je kompromisem a už teď je hodně osekaný. Zároveň že je potřeba ho přijmout. Není to nástroj, který se může vymknout z rukou úředníků a neadekvátně omezovat svobodu podnikání?
Petr Letocha: To si určitě nemyslím. Tady jde opravdu o bezpečnost kritické informační infrastruktury České republiky. Doufám, že ti, kteří mají v tuto chvíli připomínky ke kybernetickému zákonu, chrání ekonomické zájmy zdejších společností a municipalit.
NÚKIB jako superúřad? O pravomocech, které má získat po přijetí kybernetického zákona, debatují prezident Asociace provozovatelů mobilních sítí Jiří Grund a poslanec Petr Letocha (STAN)
NÚKIB a zastánci tohoto zákona také chrání bezpečnost. Paradoxně těch stejných společností a municipalit.
A tyto konkrétní společnosti, o kterých mluví nový zákon, byly vybrány, protože jejich případné napadení v kyberprostoru se může dotknout právě kritické informační infrastruktury České republiky.
Pořád zapomínáme, že bezpečnost dodavatelského řetězce se týká cca 150 klíčových subjektů. Ve chvíli, kdy by byl napadený třeba operátor, tak to může významně narušit bezpečnost občanů.
Rizikovost dodavatelů
Šéf kyberúřadu: Musíme se vymanit z technologické závislosti. Chceme být připraveni, ne překvapeni
Číst článek
Připouštíte si tuto obavu v Asociaci provozovatelů mobilních sítí? Nedáváte své ekonomické zájmy nad hledisko bezpečnosti?
Jiří Grund: Já jsem přesvědčený o tom, že absolutně ne. Naprosto rozumíme tomu, co říká stát. Naprosto rozumíme geopolitickým hrozbám, které naše země má. Chápeme, že jsou situace, kdy například díky zpravodajskému aparátu České republiky má stát víc informací o potenciálních hrozbách, než máme my jako podnikatelé. V tom jsme se státem zajedno.
O to více jsme ale přesvědčeni o tom, že pokud se má rozhodovat o tak zásadních otázkách, jako je zákaz dodavatelů, tak o tom má rozhodovat vláda České republiky.
Nebojujeme proti tomu, aby stát v případě silných hrozeb dodavatele zakázal. Ale jsme naprosto v nesouladu v tom, že by tento zákaz měl dělat jeden úřad prostřednictvím podpisu jednoho úředníka. Protože nakonec pod rozhodnutím bude podepsán jeden úředník kybernetického úřadu.
Jsme přesvědčeni o tom, že tak závažné rozhodnutí by měla udělat vláda České republiky.
Skutečně je na místě obava, že rozhodnutím jednoho úředníka by byl zakázán nějaký dodavatel? Který by na základě rozhodnutí jednoho úřadu byl vyhodnocen jako rizikový?
Letocha: Na místě to není a pan kolega to ví, protože směrnici velmi dobře zná. NÚKIB rozhodně nebude jediný, který se bude vyjadřovat k tomu, jestli bude, nebo nebude nakonec nějaký dodavatel zakázán.
Řehka: Nový kyberzákon posílí odolnost civilní infrastruktury. Částečně na ní závisí i armáda
Číst článek
NÚKIB bude identifikovat na základě toho, co jim společnost předloží, dodavatele, kteří by mohli být rizikoví. A pak, pokud by je měli v plánu skutečně zakázat, to budou komunikovat s ministerstvy průmyslu a vnitra a s místními regulátory.
A potom je tu také nějaká doba, kterou mají operátoři na to, aby případně toho dodavatele vyměnili. Ta doba je určena na základě účetních odpisů, což bývá pět let.
Nemluvě o tom, že se o tomto zákonu mluví již šestý rok a legislativní proces začal v únoru roku 2022. Byl tady poměrně velký prostor na to, aby se operátoři připravili.
Námitka, že o bude jenom rozhodovat kybernetický úřad? Nebude.
Pokud by nastal opravdu vážný případ, kdy by bylo zapotřebí dodavatele vyměnit rychleji, než v ochranné lhůtě pěti let, tak o tom nerozhoduje NÚKIB, ale vláda. Takto vláda přijala zákon na svém zasedání a takto doputoval do Poslanecké sněmovny.
‚Hra se slovíčky‘
Pane Grunde, není vaše tvrzení o podpisu jednoho úředníka zavádějící? Když bude rozhodovat hned několik dalších institucí včetně ministerstev.
Grund: Je to trochu hra se slovíčky. Celé to bude začínat tím, že NÚKIB si sám připraví vyhlášky, na základě kterých bude rozhodování činit, což už mu samo o sobě dává obrovskou schopnost si určovat, kde regulace začne a kde skončí.
Univerzity se nevyhnou větší ochraně ve virtuálním prostoru. Na všechny by měl dohlížet kyberúřad
Číst článek
Pan Letocha sice správně říká, že kybernetický úřad bude mít příležitost se ptát orgánů, jako je ministerstvo zahraničí, nebo regulátoři jednotlivých odvětví, ať jsou to telekomunikační regulátoři nebo energetičtí regulátoři v případě energetiky.
Už ale neříká, že zákon vůbec neřeší situaci, kdy regulátor bude proti.
NÚKIB si to může přečíst a může říct: Tak fajn, tady mi sice jeden regulační úřad říká, že toto opatření je moc silné, ale to je všechno, co já si z toho vezmu.
To je právě ten problém, ďábel je v detailu.
Kdo tedy bude mít hlavní slovo, když se budou vyjadřovat dotčené orgány? Bude je kybernetický úřad muset respektovat? Nebo se bude moct rozhodnout i přes nesouhlasné vyjádření některého z dotyčných?
Letocha: Uvědomte si jednu věc. NÚKIB je zkratka pro Národní úřad pro kybernetickou a informační bezpečnost. Za mě je to úřad, který má oprávnění rozhodovat o těchto důležitých věcech.
Já jsem reagoval na to, že má rozhodovat jeden úředník. Není to tak. Ano, v závěru rozhodne Národní úřad pro kybernetickou a informační bezpečnost. Ve chvíli, kdy o něčem rozhodne vláda, tak se úřad pro kybernetickou bezpečnost určitě nezachová jinak než na doporučení vlády.
Poslechněte si celou debatu, audio je nahoře v článku.