Vláda schválila zákon o kyberbezpečnosti. Proti směrnici EU se bouřili firmy i operátoři
ZÁKON O KYBERBEZPEČNOSTI
Nový zákon o kybernetické bezpečnosti vláda na středečním zasedání po odkladu z minulého týdne schválila. Informoval o tom vicepremiér pro digitalizaci a ministr pro místní rozvoj Ivan Bartoš (Piráti). Předpis do českého práva zavádí evropskou bezpečnostní směrnici NIS2 a zároveň obsahuje možnost prověřit a vyloučit dodavatele, kteří představují pro stát bezpečnostní riziko. Novelu nyní projedná Parlament. Proti evropské směrnici se vymezují firmy i operátoři.
K novele měl připomínky podnikatelský sektor. Podle vyjádření premiéra Petra Fialy (ODS) z minulého týdne byly nutné drobné legislativní změny. Předpis vypracoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), výhrady k němu původně měli operátoři a další firmy zastoupené Asociací provozovatelů mobilních sítí (APMS) či Hospodářská komora.
Podle předkládací zprávy pro vládu má návrh posilovat kybernetickou bezpečnost ČR a v mnoha aspektech navazuje na stávající systém. Současně ale přináší i nové procesy a nástroje a zjednodušuje a zpřehledňuje právní úpravu. Návrh počítá s rozšířením okruhu orgánů a osob, na který dopadá a jehož ochrana a fungování jsou v ekonomickém a celospolečenském zájmu. Hlavním cílem je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti.
Vedle zavádění bezpečnostních opatření je další významnou povinností poskytovatele hlášení a zvládání kybernetických bezpečnostních incidentů. Primárním nástrojem pro veškerou komunikaci ze strany poskytovatelů s úřadem bude Portál NÚKIB jakožto jednotná platforma.
Návrh dále obsahuje mechanismus prověřování rizik spojených s dodavatelem. Smyslem zavedení mechanismu je přispět k zajištění dlouhodobě udržitelné bezpečnosti Česka prostřednictvím zabezpečení a zvýšení odolnosti osob a institucí, jež jsou nezbytné pro naplňování základních funkcí státu.
Zákon podle Bartoše pracuje s celou řadou aspektů kybernetického světa, zejména s infrastrukturou a citlivými sítěmi. „Čím víc je svět digitální, tak za kritickou infrastrukturu už můžete považovat poměrně velkou sadu věcí. Samozřejmě nejčastější otázka se týká mobilních sítí a systémů pro přenosy dat,“ poznamenal.
Při debatě kabinetu se podle něj řešila role vlády v případě náhlé události, kdy by bylo potřeba vyměnit určitou technologii za bezpečnější v případě například složité geopolitické události. „Byla poměrně složitá debata s poskytovateli internetového připojení a infrastruktury, zda něco takového může rozhodnout pouze NÚKIB jako garant kybernetické bezpečnosti, nebo je na to potřeba větší autority,“ dodal vicepremiér.
„Z logiky věci s takovým rozhodnutím přicházejí nějaké náklady pro komerční subjekty, které často poskytují tu infrastrukturu. Je správně, že takové rozhodnutí, které může mít dopady třeba i na nějaké výdaje státní rozpočtu, má dělat vláda,“ doplnil Bartoš.
Kritika firem a operátorů
Jak deník Echo24 dříve informoval, například Asociace provozovatelů mobilních sítí (APMS) se obává, že „podnikatelé budou muset vynaložit až 65 miliard Kč v důsledku nové regulace vyplývající z návrhu Zákona o kybernetické bezpečnosti.“
Zákon zahrnuje mechanismus prověřování bezpečnosti dodavatelského řetězce, který výrazně překračuje evropskou směrnici NIS2. APMS kritizuje, že NÚKIB může jednostranně zakázat technologie na základě země původu dodavatelů, což vytváří „velmi nepředvídatelné investiční prostředí“ a může vést k „znehodnocení investic soukromého sektoru v řádu desítek miliard korun“ bez zvýšení bezpečnosti.
Dalším problémem je rozsah mechanismu, který zahrnuje celou telekomunikační síť. APMS považuje za neopodstatnělé zahrnout „rádiovou přístupovou síť“ do kritické infrastruktury, jelikož jejich výpadky nemají „přímý okamžitý dopad na nedostupnost služeb mobilního operátora“. Navrhují, aby byl rozsah Mechanismu omezen na aktiva, jejichž nedostupnost má přímý dopad na kritickou úroveň regulované služby, tedy hlavně na jádro sítě a části přenosové sítě.
APMS také upozorňuje na „bezprecedentní koncentraci pravomoci v rukou jediného orgánu“, kdy NÚKIB může samostatně stanovovat rozsah regulace a hodnotící kritéria, což narušuje předvídatelné podnikatelské prostředí.
Jan Rafaj, prezident Svazu průmyslu a dopravy, zase nedávno v dopise, který má redakce Echo24 k dispozici, vystoupil proti návrhu zákona s důrazem na „značnou nejistotu v procesu rozhodování o zákazu či omezení dodavatele poskytovatelům strategicky významné služby v rámci mechanismu prověřování bezpečnosti dodavatelského řetězce“. Rafaj zdůrazňuje, že vláda České republiky není dostatečně zapojena do rozhodování, což považuje za problém, protože zákon tuto pravomoc přisuzuje primárně NÚKIB.
Rafaj také uvádí, že vydání opatření obecné povahy, označujícího dodavatele za „rizikového“, může mít „velmi zásadní dopady nejen na činnost dodavatele, ale zejména na daného poskytovatele strategicky významné služby“. Tento zásah do práva na podnikání by měl být založen na rozhodnutí politické reprezentace, podobně jako v případě sankcí nebo zahraničních investic.