Pět podnikatelských organizací včetně Hospodářské komory vyzvalo premiéra Petra Fialu (ODS), aby přerušil schvalování zákona o kybernetické bezpečnosti. Může to ohrozit nebo zdržet jeho přijetí? Jaká bezpečnostní opatření má nový zákon zavést? „Prakticky se jedná o povinnosti, které již platný zákon o kybernetické bezpečnosti diktuje," popisuje pro Radiožurnál ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr. Dvacet minut Radiožurnálu Praha 0:09 21. června 2024

Asociace provozovatelů mobilních sítí a další tři podnikatelské organizace se obrátily na premiéra kvůli novému zákonu o kybernetické bezpečnosti, který připravil váš úřad. Vnímáte to jako vážné ohrožení jeho dalšího schvalování?

Pevně věřím, že nikoli.

Jsou subjekty, které kyberbezpečnost řeší, uvědomují si to a jsou zodpovědní. Pokud ale kyberbezpečnost někdo přehlíží a neošetřuje hrozby a rizika, která z fungování v daném prostoru plynou, budou pro něj náklady opravdu vysoké, popisuje Lukáš Kintr

Náčelník generálního štábu české armády Karel Řehka na nedávném semináři v Poslanecké sněmovně mluvil o enormních lobbistických tlacích, které projednávání a přípravu zákona provází. Vnímáte to stejně?

Ano, v průběhu přípravy, která se zdaleka netýká jen posledních týdnů a měsíců vzhledem k tomu, že se zákon připravuje déle než rok a debaty o určitých částech běží v podstatě delší období, bylo tlaků za danou dobu v různé intenzitě a z různých směrů opravdu velké množství.

Pojďme k tomu, co má nový zákon reálně přinést. První důležitou věcí je, že má výrazně rozšířit okruh firem, na které se bude vztahovat. Ze současných řádově čtyř set na více než šest tisíc. Máte to spočítané? O kolik více než zmíněný počet by to mělo být?

V průběhu příprav jsme se na základě určujících kritérií přejímaných z evropské směrnice snažili české prostředí modelovat a počítat, na kolik subjektů může regulace dopadnout, z čehož právě vychází zmíněný odhad šest tisíc a více.

Ne vždy se nám podařilo získat objektivní data, z nichž bychom byli schopni s jistotou říct, že to bude přesně jen daných šest tisíc.

Co všechno budou příslušné firmy muset nově splňovat? Jaké povinnosti jim má zákon přinést?

Přichází s několika základními povinnostmi. Plošně a pro všechny platící bude například to, aby se nám ohlásili cestou portálu, který k tomu připravujeme a daný proces tak byl elektronický s minimální administrativní zátěží. Současně budou mít vůči nám veškeré subjekty povinnost v hlášení o incidentu v jejich rámci.

Další a možná i tou nejzásadnější je zavedení určitých bezpečnostních opatření, kterým je zákon s jeho prováděcími vyhláškami upravován a definován.

„Požadavky zákona stojí na určitých mezinárodních standardech, kterým je jasné, že ne hned na vše mohou být peníze. “

Dané podmínky se dále dělí do dvou základních skupin, do takzvaného vyššího režimu pro dané subjekty a nižšího režimu pro ty, kterých bude přibližně tisíc z celkového množství. Tam máme přesný odhad, že to daný počet opravdu bude. Prakticky se jedná o povinnosti, které již dnes platný zákon o kybernetické bezpečnosti diktuje.

‚Hrozby a rizika‘

V dopise premiérovi zástupci podnikatelů tvrdí, že přijetí zákona bude pro firmy znamenat náklady v řádech desítek miliard korun. Považujete to za realistický odhad?

Spočítat náklady je velmi obtížné, neboť se zde bavíme o neurčité skupině šesti tisíc a více subjektů, z nichž někteří již dnes podléhají regulaci. Pro ně by to v podstatě žádné nové výrazné náklady přinést nemělo. Jedná se o zmíněných čtyři sta subjektů, případně ty ze státního sektoru, kde se množina zvětšovat nebude.

To znamená, že dopady na státní rozpočet jako takový by neměly enormně růst a záleží, jak dnes každý ke kybernetické bezpečnosti přistupuje. Jsou subjekty, které ji řeší, uvědomují si to a jsou zodpovědní, protože to je v jejich zájmu. I pro ně by se nic zásadně měnit nemělo.

Pokud dnes ale kybernetickou bezpečnost někdo přehlíží a neošetřuje hrozby a rizika, která z fungování v kyberprostoru plynou, budou pro něj náklady opravdu vysoké. Požadavky zákona nicméně stojí na určitých mezinárodních standardech, kterým je jasné, že ne hned na vše mohou být peníze.

Proto jsou tam nástroje, kdy lze zátěž kontinuálně rozložit, a po několik let si naplánujete, jak se tomu budete věnovat. To umožní, že budete činit v souladu se zákonem, byť ne hned ze startu na sto procent.

Kyberútoky

Kolika kyberútokům aktuálně české firmy a čeští občané denně čelí?

Podíváme-li se na počet incidentů, které Národní úřad pro kybernetickou bezpečnost řeší, bylo jich za loňský rok řádově 260. Když půjdeme dál, incidentů řešených národním CSIRT týmem provozovaným CZ.NIC bylo 2750. Trestných činů, kterými se zabývala policie, bylo za stejné období přes 19 500. Nicméně jde jen o zlomek toho, co se reálně děje.

Minulý týden jste na facebooku sdíleli vcelku působivé video o tom, co umělá inteligence dokáže vytvořit z pár snímků dítěte. Vychází to z reálných případů? Opravdu se již děje to, že z toho někdo dokáže vytvořit dětskou pornografii nebo další věci, které slouží k šikaně?

Ne zcela se to kryje s činností NÚKIBu, byla by to tudíž otázka spíše na policii. Nicméně ano, pro šikanu a další věci, kterými se náš úřad, byť třeba okrajově, zabývá, se to využít dá. Prozatím se případy objevují v řádu jednotek.

Jaké bude mít zákon dopady do státního rozpočtu? Proč v dané problematice nestačí osvěta? A eviduje v poslední době kyberúřad hackerské útoky, kde je vážné podezření, že byly napojené na cizí státy nebo jejich tajné služby? Poslechněte si celý rozhovor v nahrávce v úvodu článku.