Poslanci chtějí co nejvíce omezit možnost vlády a Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) zasahovat do dodavatelských řetězců. Zásahy by se měly týkat jen nejkritičtějších systémů a infrastruktur, například v bankovnictví nebo energetice. Bezpečnostní výbor Poslanecké sněmovny se v tomto směru přiklonil k pozměňovacímu návrhu hospodářského výboru.
Šlo o závěrečné jednání garančního výboru před plenárním projednáváním návrhu zákona o kybernetické bezpečnosti. Ředitel NÚKIB Lukáš Kintr v rozhovoru pro Českou justici a Ekonomický deník varoval, že úřady kvůli této úpravě nebudou mít kontrolu nad důležitou částí dodavatelských řetězců českých firem.
Ačkoliv se projednávání návrhu zákona o kybernetické bezpečnosti neustále protahuje, čtvrteční jednání bezpečnostního výboru bylo až překvapivě rychlé a hladké. Na všech usneseních panovala mezi členy výboru poměrně jednoznačná shoda. Jak to hodnotíte?
Jsem především rád, že se zákon konečně posouvá legislativním procesem směrem k účinnosti. Můžeme mít různé názory na jeho podobu, ale to, o co nám všem jde, je bezpečnost České republiky. A zdlouhavé přešlapování na místě nás všechny poškozuje. Naše stanovisko jsme přednesli jasně: respektujeme, že se politická reprezentace chystá rozhodnout jinak, než bychom si přáli.
Mohlo by vás zajímat
Výbor pro bezpečnost se ve výsledném usnesení odchýlil od vašeho odborného doporučení, aby měl možnost NÚKIB kontrolovat systémy na úrovni „kritická“ a „vysoká“ a vláda mohla na stejných úrovních zakazovat využití problémových dodavatelů. Co to podle vás bude znamenat pro kybernetickou bezpečnost České republiky?
Je potřeba si uvědomit, že nemluvíme o obecném dozoru podle zákona o kybernetické bezpečnosti, ale pouze o části týkající se dodavatelských řetězců. Podle současného návrhu se omezuje okruh aktiv, na která bude vláda moci primárně uplatňovat svá omezení. Zároveň nám budou provozovatelé systémů hlásit dodavatele jen u těchto kritických aktiv.
Z našeho pohledu by bylo výrazně lepší, kdyby Česká republika, potažmo vláda, měla širší mantinely a mohla se v nich citlivě pohybovat, než když jsou mantinely úzké a následně se hledají způsoby, jak je obejít nebo rozšířit. Širší nastavení je ve výsledku čitelnější. Hlavně by se tím jasně deklarovalo, kam až stát vidí. Pokud dojde k vyjmutí určité úrovně, nemusíme se ani dozvědět, že se v úrovni „vysoká“ nachází nějaký problematický dodavatel, protože nám ho nikdo nebude muset nahlásit.
Na které typy firem a institucí tedy neuvidíte?
Nepůjde ani tak o typy subjektů jako spíše o části jejich systémů. Každý správce totiž dělí svá aktiva do čtyř kategorií. A my se teď bavíme o tom, zda budou muset hlásit dodavatele jen u těch dvou nejvyšších kategorií, nebo pouze u té nejvyšší. Nejde tedy o to, že bychom obecně neviděli na určitý typ subjektu, ale o to, že stát nebude mít dostatečnou vizibilitu do jejich klíčových systémů.
Z toho ale vyplývá, že i tak budete se všemi těmi společnostmi a institucemi v kontaktu, budete s nimi moci komunikovat. Jde o tak výrazné omezení?
Ano, protože už dnes vidíme snahy některých subjektů podhodnocovat aktiva a zařazovat je do nižších kategorií. V takové chvíli se může stát, že ani na aktiva, která by měla být kritická, neuvidíme. A to se už děje v jiných oblastech. To, že s někým zůstáváme v kontaktu, ještě neznamená, že se o všem skutečně dozvíme.
Z úst poslance Petra Letochy (STAN) na jednání bezpečnostního výboru zaznělo, že v návrhu zákona se udělala řada ústupků oproti původní představě NÚKIB a často to bylo i na úkor kvality toho zákona. Sdílíte tento názor?
Příprava zákona nezačala klasickým mezirezortním připomínkovým řízením, ale už od roku 2018 k němu probíhala řada veřejných konzultací – konkrétně například k bezpečnosti dodavatelského řetězce. Návrh se během těch let výrazně konkretizoval. A v poslední fázi – řekněme za poslední dva roky – se začal postupně zužovat jeho rozsah. Například v tom, kam bude vláda moci na návrh NÚKIB zasahovat. Zúžení aktiv je tím posledním krokem.
Řešil se i respekt k životnímu cyklu produktů – dohodlo se, že bude zachován, pokud to bude možné. Mantinely, ve kterých se vláda, NÚKIB a celá bezpečnostní komunita mohou pohybovat, se postupně zmenšily na naprosté minimum.
Jaký efekt to bude mít na celkovou kybernetickou bezpečnost Česka?
Pozitivní je, že vůbec budeme mít nějaký mechanismus pro omezování problémových dodavatelů. Díky tomu budeme moci jako stát řídit naši závislost na nedůvěryhodných partnerech. Dosud takový nástroj v Česku nemáme. Bavíme se o tom, zda ho mít širší, nebo užší, ale nikdo nezpochybňuje, že ho mít budeme – a to je zásadní.
Když ještě zůstaneme u dodavatelských řetězců, proč je vlastně potřebujeme upravit nad rámec evropské směrnice?
Evropská unie je především hospodářské společenství a z principu by neměla zasahovat do otázek národní bezpečnosti. A právě oblast dodavatelských řetězců je otázkou ryze národní bezpečnosti. Proto jde nad rámec směrnice o kybernetické bezpečnosti. EU si to uvědomuje – ve směrnici NIS 2 je obsažen jen obecný požadavek na zvládání rizik v dodavatelském řetězci.
Jak vlastně vy osobně hodnotíte význam právní úpravy dodavatelských řetězců z pohledu funkčnosti celého zákona o kybernetické bezpečnosti, o kterém mluvíme?
Už od roku 2019 víme, že je potřeba tento nástroj mít, a řešíme to až v roce 2025. Ale konečně máme návrh, který má šanci projít sněmovnou. A to je zásadní – v kontextu bezpečnostní situace ve světě je to zcela nezbytný krok.
Dnešní debata na výboru pro bezpečnost proběhla hladce, nicméně jak to známe ze zkušenosti s jinými zákony a zvláště v předvolební době, na plénu to ve třetím čtení tak být nemusí. Co by se stalo, kdyby se zákon o kybernetické bezpečnosti nepodařilo do voleb přijmout?
Česká republika by přišla o důležitou normu. Nezvýšil by se standard zajišťování kybernetické bezpečnosti, neměli bychom schopnost řešit závislost na dodavatelích. A protože návrh obsahuje i transpozici evropské legislativy, nebyli bychom spolehlivým členským státem. Evropská komise má nástroje, jak takové země sankcionovat.
Je to reputační riziko opravdu tak velké? Hotový zákon nemá více než polovina členských zemí EU.
Česká republika se dlouhodobě profilovala jako lídr v oblasti kybernetické bezpečnosti – ztratit tuto pozici by byla škoda. Pokud ale zákon přijmeme rychle, můžeme se sankcím i ztrátě reputace vyhnout.
Říkáte, že Česko se profilovalo jako lídr kybernetické bezpečnosti. Jaký význam má nový standard pro jeho ekonomiku, pro fungování zdejších institucí?
Není mnoho oblastí, ve kterých Česká republika patří mezi lídry. Právě proto bychom si tuto výhodu měli udržet. Česko má co nabídnout – v oblasti vývoje bezpečnostních systémů tu vznikly firmy už v 90. letech, které vyvíjely antiviry používané po celém světě. Máme společnosti, které vyrábějí síťové sondy, sledují datový provoz. Pokud budeme jako stát vnímáni jako lídr, pomůže to i vnímání zde vyvíjených produktů.