Bude kyberúřad moci zakázat nedůvěryhodnou firmu? Podle kritiků je nový zákon ‚bezbřehý‘

Česko by si mohlo určovat, které technologické firmy si pustí do kritické infrastruktury. Ty od rizikových dodavatelů by mohl zakázat Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Navrhuje to nový zákon o kyberbezpečnosti, který je teď ve Sněmovně. Některým opozičním i vládním poslancům se nelíbí, protože podle nich přinese zvýšené náklady a dá úřadu velkou moc.

Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Serverovna datového centra  T-Mobile DC7

Jakou firmu pustit dovnitř a jakou ne? To by podle novely měl rozhodnout Národní úřad pro kybernetickou a informační bezpečnost | Foto: Zuzana Jarolímková | Zdroj: iROZHLAS.cz

„Oni nás prostě můžou vypnout. Kdybychom se zítra ocitli ve válečném konfliktu, tak tím, že někdo, komu nemůžeme věřit, je jakkoliv přítomen v jakémkoliv řetězci, tak tím si úplně podkopáváme svoji bezpečnost,“ popsala na konferenci v Poslanecké sněmovně Tatjana Jakšičová z ministerstva zahraničí, proč může být závislost na potenciálním nepříteli problém.

Přehrát

00:00 / 00:00

Poslechněte si příspěvek Kateřiny Gruntové

Národní kyberúřad během uplynulých dvou let nachystal nový zákon o kyberbezpečnosti, díky kterému by nově mohl zakázat přístup rizikových technologických firem do kritické infrastruktury Česka, kam patří třeba elektrárny, telekomunikace nebo dopravní systémy. Toto prověřování dodavatelů by se mělo dotknout asi 150 pro stát nejdůležitějších společností a úřadů.

Doposud mohl úřad před problematickými technologiemi jen varovat. Už před šesti lety to udělal v případě hardwaru a softwaru čínských firem Huawei a ZTE.

Konkrétní zemi nebo společnost návrh nového zákona obsahovat nebude. Ale třeba Bezpečnostní informační služba (BIS) dlouhodobě upozorňuje na kyberútoky a kyberšpionáž z Číny nebo Ruska.

O tom, jaký význam má funkční civilní infrastruktura pro armádu, mluvil před poslanci výboru pro obranu na konci září náčelník generálního štábu Karel Řehka, který byl v letech 2020 až 2022 ředitelem kyberúřadu.

„V kolektivní obraně (NATO) máme regionální obranné plány, které spoléhají především na rychlost a na schopnost dělat spoustu věcí v mírovém stavu. Co to asi znamená pro rychlost, když vám najednou vyřadí klíčový přístav z provozu?“ uvedl Řehka.

Náklady a moc

Návrh zákona z dílny kyberúřadu ale narazil u některých firemních asociací a části opozičních i vládních poslanců.

4:53

Šéf kyberúřadu: Musíme se vymanit z technologické závislosti. Chceme být připraveni, ne překvapeni

Číst článek

Třeba Patriku Nacherovi (ANO) vadí, že není jasné, kolik bude firmy případná výměna dodavatele stát a o kolik pak zvednou ceny zákazníkům.

„To samozřejmě dají do té ceny. Takže my do toho všeho zdražování ještě budeme obhajovat jako politici lidem, že se jim zdraží, protože se tady dělá nějaká kybernetická bezpečnost,“ řekl Nacher během jednání poslaneckého Hospodářského výboru

Některým dalším zákonodárcům se nelíbí, že Národní úřad pro kybernetickou a informační bezpečnost náklady sám nevyčíslil. Podle jeho ředitele Lukáše Kintra ale nejde říct, kolik by případná výměna technologií stála, protože samotný zákon nic nezakazuje, pouze dává úřadu možnost to udělat.

Hospodářská komora nebo Asociace provozovatelů mobilních sítí se zase obávají, že nový zákon dá kyberúřadu příliš velkou moc.

„Náš největší strach je ta bezbřehost. My třeba odstraníme podezřelé nebo potenciálně podezřelé dodavatele z nervové soustavy sítí, a zítra vám úředním řekne, že mu to nestačí a že by chtěl, abychom to vyndali odevšad, kde to podle našich odborníků nedává racionální ekonomický ani bezpečnostní smysl,“ řekl Radiožurnálu prezident asociace Jiří Grund.

Nový zákon o kybernetické bezpečnosti

NÚKIB připravil nový zákon o kybernetické bezpečnosti, teď ho projednávají poslanci. Původně měl platit od začátku roku 2025. Nahradí stávající zákon o kybernetické bezpečnosti z roku 2014. Nový zákon „přenáší“ do českého právního řádu evropskou směrnici NIS2. Ta rozšíří počet institucí a firem, na které bude NÚKIB dohlížet – ze současných čtyř stovek na asi šest tisíc. Řeší také bezpečnost dodavatelských řetězců, tedy to, jaké dodavatele Česko pustí do své nejkritičtější infrastruktury. Pod tuto nejpřísnější regulaci bude spadat přibližně 150 subjektů, například telekomunikace či elektrárny.

To ředitel kyberúřadu Kintr odmítá. Který dodavatel je rizikový, sice rozhodne jeho úřad, konzultovat to ale bude s ministerstvem vnitra nebo zahraničí a také s tajnými službami.

„Ty technologie budou moci dožívat v těch sítích minimálně pět let, pokud není stanovená lhůta delší,“ vysvětlil Radiožurnálu Kintr. Pokud by kyberúřad chtěl některého dodavatele zakázat rychleji, musela by to schválit vláda. Podle Grunda by o tom ale vláda měla rozhodovat vždy.

„My chceme jenom předvídatelné investiční prostředí. Abychom s jistotou v klidu mohli zainvestovat dvacet miliard a věděli jsme, že dalších deset let tady díky té investici můžeme poskytovat špičkové služby,“ vysvětluje Grund. 

Zákon měl původně platit od Nového roku, to se ale už nestihne. Kromě mechanismu na prověřování dodavatelských řetězců také rozšiřuje počet úřadů a firem, které budou muset klást větší důraz na kyberbezpečnost a které bude Národní úřad pro kybernetickou a informační bezpečnost kontrolovat.

Kateřina Gruntová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme