Čas navíc poskytnutý šéfy sněmovních výborů k jednání o podobě budoucí regulace kybernetické bezpečnosti, jak se zdá, přinesl ovoce. Podle informací Lupy se podařilo dosáhnout kompromisu mezi poslanci, vládou a Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) na hlavních třecích plochách v návrhu nového kybernetického zákona.
Těmi byl především takzvaný mechanismus bezpečnosti dodavatelského řetězce. Právě kvůli odmítavému přístupu regulátora k ústupkům Hospodářský výbor a garanční Výbor pro bezpečnost svorně na začátku listopadu projednávání přerušily, aby tím „vytvořily čas pro jednání“.
Zcela jasno bude ve čtvrtek, kdy se poslanci k materiálu vrátí. Jako první garanční výbor, vzápětí následovaný Hospodářským výborem. V obou těchto sněmovních orgánech se bude jednat o úvodní bod programu, a nehrozí tak opakování situace z minulé schůze, kdy se kvůli košaté diskusi k předřazeným zákonům poslanci ke kyberbezpečnostní regulaci dostali s více než čtyřhodinovým zpožděním.
Dvojkolejná varianta nebude
Podle zdrojů obeznámených s podobou dohod má v návrhu zákona zůstat pravomoc státu rozhodovat o problematických dodavatelích. Ve všech případech však má jít o rozhodnutí na úrovni vlády. Padá tedy dvojkolejná varianta, že by kabinet rozhodoval o zákazu jen tehdy, pokud by NÚKIB tlačil čas a chtěl nežádoucího dodavatele z české infrastruktury vykázat dříve, než by tyto dodávky byly alespoň daňově odepsány. Tam, kde by se regulátor spokojil s odložením účinnosti svého rozhodnutí do doby daňového umoření nákladů, by NÚKIB podle původního znění souhlas vlády nepotřeboval. Právě to ale má být jinak.
Operátoři, kteří dlouhodobě hlasitě brojili proti této části zákona, dosáhnou alespoň toho, že o tak důležité pravomoci má být rozhodováno v nejvyšších patrech politiky po zvážení všech pro a proti, a nikoliv úředníky v Brně. Právě mobilních sítí a energetiky se tento instrument může týkat. V případě telekomunikací jde zejména o dodávky od čínských firem Huawei a ZTE, před kterými už NÚKIB dříve varoval. Nyní chtěl dostat do rukou silnější nástroj pro případ, že by varování nestačila.
Dva ze tří operátorů už jádro sítě od dodávek problematických firem vyčistili. Třetí na tom pracuje. Všichni ale přístroje asijské provenience používají například v rádiových částech sítě. A tím pádem jim není po chuti, aby úředníci mohli kdykoliv škrtem pera jejich investici zmařit. Proto se od představení návrhu kyberbezpečnostního zákona stavěli proti mechanismu bezpečnosti dodavatelského řetězce.
Poslanci vyslyšeli argumenty bezpečností
A v minulých týdnech už to vypadalo, že operátorská lobby získá ve Sněmovně navrch. Ve hře bylo několik variant, jak se s požadavkem vypořádat. Jednou z vážně zvažovaných možností bylo přenechat tuto pravomoc ministerstvu vnitra v rámci jiné připravované normy, kde je rovněž obsažena, a to zákonu o kritické infrastruktuře. Jenže ten od února zamrzl na vládě a tím pádem není pravděpodobné, že by se do konce volebního období stihl přijmout.
Další z cest bylo tuto pravomoc státu vůbec nedopřát. Jenže proti tomu se nahlas ozvaly zpravodajské a bezpečnostní složky. Hlavně spojencem NÚKIBu byl jeho dřívější ředitel, dnes náčelník generálního štábu Karel Řehka, který na výborech zástupce operátorů hlasitě osočil, že se zákon snaží „vyzdržovat“, aby neplatilo vůbec nic. „Jim to vyhovuje, že stát tyto nástroje nemá, a rádi by to nechali takto nastaveno. Za armádu bych apeloval, nenechme stát bezbranný,“ řekl na jednání výboru pro bezpečnost.
Poslanci ve výborech těmto hlasům z armádní a bezpečnostní komunity naslouchají zejména kvůli obavám ze strategické závislosti. Ta se naplno odhalila například v energetice po vypuknutí konfliktu na Ukrajině, kdy stát musel urychleně řešit závislost na ruském plynu a ropě. NÚKIB dlouhodobě upozorňuje na to, že podobný problém může přijít i z dalších nedemokratických částí světa.
Regulátor upozorňuje především na rozdílné politické a právní prostředí Číny, možnou kybernetickou špionáž a vztah soukromé a veřejné sféry. Tamní firmy jsou státem podporované, ale zároveň právně zavázané ke spolupráci se zpravodajskými službami.
„Dnes v Číně platí zákon, který zavazuje veškeré firmy, které ve svých nebo cizích technologiích identifikují slabé místo, zranitelnost, kterou mohou využít útočníci. Takovou zranitelnost musejí hlásit v první řadě tamějšímu aparátu. Ne svým zákazníkům, ne svým obchodním partnerům, ale vedení Číny,“ rozvedl své obavy šéf NÚKIBu Lukáš Kintr.
Mechanismus bezpečnosti dodavatelského řetězce jde nad rámec směrnice NIS2, jíž má připravovaný zákon zavést do českého právního řádu. NÚKIB ho do návrhu zapracoval na základě požadavku Bezpečnostní rady státu. Dotknout se může omezené skupiny poskytovatelů v režimu přísnější regulace, tedy vyšších povinností, zařazených mezi poskytovatele strategicky významných služeb. NÚKIB odhaduje, že těchto subjektů nebude více než 150.
Dlouhé řady kritiků a roční zpoždění
Mechanismus od počátku budil pozornost nejen podnikatelského sektoru a v důsledku způsobil zpoždění v přijímání normy. Výhrady k němu měly v meziresortním připomínkovém řízení ministerstva financí, dopravy, i Český telekomunikační úřad, a na vládu tak návrh odcházel s rozpory. Spokojená s touto částí předpisu nebyla ani Legislativní rada vlády, která první verzi návrhu rozcupovala a nechala NÚKIB některé pasáže přepracovat. A zdržení pokračuje i v Poslanecké sněmovně, kde zákon leží od konce července a momentálně je stále ve fázi před druhým čtením.
To je ostatně důvod, proč NÚKIB na konci minulého týdne na svém portálu přehodnotil původně optimistický odhad, že by norma měla začít platit od ledna 2025. Nyní už pracuje s o něco reálnější variantou, že by se tak mohlo stát v polovině příštího roku. Pro firmy, které nově spadnou pod regulaci, to bude znamenat, že zdroje pro pokrytí nákladů na zákonem požadovaná opatření mohou z větší části alokovat až pro rozpočet roku 2026, když na splnění všech důležitých povinností budou subjekty mít rok čas.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
