Nejnovější pnutí na poli české kybernetické bezpečnosti nezpůsobil hackerský útok, ani únik dat. Stojí za ním příprava nového kybernetického zákona v gesci Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Redakce Euractiv.cz zjistila, že hned několik klíčových hráčů upozorňuje na hrozbu přesahování kompetencí a chaotické jednání ze strany kybernetického úřadu.
Centrem rozporu je transpozice evropské směrnice NIS2 do českého právního řádu. Směrnice přináší souhrn opatření, která mají zajistit bezpečné komunikační sítě napříč zeměmi EU.
Podle aktualizované legislativy bude muset celá řada aktérů plnit přísnější bezpečnostní procesy. Jen v Česku by se to mělo týkat více než 6 000 subjektů. I proto NÚKIB přípravu kybernetického zákona, pod který se transpozice evropské směrnice schovala, vzal zevrubně.
Proti připravovanému zákonu se nyní hlasitě ozývají mobilní operátoři.
Jak vysvětlil redakci viceprezident společnosti Vodafone Jan Klouda, jeden z největších problémů je koncentrace moci ze strany kybernetického úřadu, která mu údajně umožní „měnit rozsah regulace a zakazovat dodavatele napříč odvětvími, aniž by musel respektovat názor oborových regulátorů nebo vlády.“
Český návrh zákona je podle něj mnohem přísnější, než vyžaduje směrnice EU nebo pokyny Evropské komise k bezpečnosti 5G sítí (tzv. EU 5G toolbox), a vymyká se i od přístupu jiných evropských zemí.
Podobné argumenty zaznívají i od Asociace poskytovatelů mobilních služeb (APMS). Ta tvrdí, že pokud by Česko schválilo zákon v navržené podobě, musela by následovat výměna technologií používaných v českých komunikačních sítích. Náklady na tuto výměnu by se přitom mohly vyšplhat na 18 miliard korun. Částka zahrnuje i výměnu „okrajových částí“ sítí, tedy i všech antén v jednotlivých samosprávách, včetně těch od čínské státní firmy Huawei.
Technologické firmy a asociace naopak upozorňují, že toto není potřeba, jelikož už jsou vyměněné centrální řídící systémy, neboli jádro sítí.
„Podle propočtů Hospodářské Komory ČR by to (náklady na splnění všech podmínek návrhu kybernetického zákona – pozn. red.) mohlo být až 65 miliard korun ve všech odvětvích. Na druhou stranu jsme přesvědčeni, že pokud se stát vydá racionální cestou, může stejných výsledků dosáhnout s náklady v řádu stovek milionů či jednotek miliard,“ upřesňuje pro Euractiv předseda asociace Jiří Grund.
„Požadavky NÚKIBu samostatně určovat, jaké technologie, v jakém oboru činnosti a v jakém rozsahu budou podléhat regulaci, samostatně stanovovat hodnotící kritéria, vyhodnocovat je a omezovat (zakazovat) dodavatele pouze podle vlastního uvážení, považujeme za nepřijatelné. V žádném jiném oboru to není a takové nastavení je protiústavní, protože by NÚKIB samostatnými změnami rozsahu regulace dělal to, co má dělat parlament,“ argumentuje viceprezident Vodafonu Klouda.
Nákupy technologií jen v demokratických zemích?
Podle interpretace operátorů by návrh umožňoval kybernetickému úřadu rozhodovat o tom, jaké země jsou dostatečně demokratické pro to, aby v nich mohli operátoři nakupovat technologie do sítí. Tím odkazují na bezpečnostní problém s čínskou státní firmou Huawei.
„NÚKIB už dříve řekl, že chce hodnotit třeba úroveň soudního systému, úroveň demokracie apod. Žádné z hodnotících kritérií neřeší konkrétní rizika ani bezpečnostní opatření, která sami přijímáme, abychom ochránili nejen zákazníky a stát, ale také vlastní mnohamiliardové investice,“ popisuje Klouda z Vodafonu. Podle něj kybernetický úřad nebere v potaz, že na bezpečnosti sítí záleží i jim, jelikož je to základem jejich podnikání.
„Vznikne superúřad, který samostatně stanoví rozsah regulace formou vlastní vyhlášky, samostatně stanoví hodnotící kritéria bezpečnosti dodavatele, na základě vlastní metodologie provede hodnocení a samostatně rozhodne o omezení, resp. vyloučení konkrétního dodavatele,“ upozorňuje předseda asociace Grund s tím, že v demokratickém právním státě je takto vysoká koncentrace moci nepřijatelná.
Marek Vala, mluvčí NÚKIBu nařčení z vytváření superúřadu odmítá. „NÚKIB nebude hodnotit demokratičnost jednotlivých zemí. O omezení či zákazu dodavatele podle návrhu zákona bude rozhodnuto ve spolupráci s orgány státu, od kterých může NÚKIB získat všechny relevantní informace pro dosažení nejvyšší možné kvality výsledného opatření obecné povahy,“ napsal mluvčí v reakci na dotazy redakce.
Kybernetický úřad také upozornil, že přípravu zákona konzultoval s odbornou obcí po celou dobu a ve spolupráci bude pokračovat i nadále. „Jednoduše řečeno, NÚKIB se spolu s dalšími partnery bude zabývat tím, zda daný dodavatel splňuje nastavené a nezbytné bezpečnostní parametry pro vstup do systémů kritické, respektive strategicky významné infrastruktury státu,“ dodal Vala.
Mluvčí kybernetického úřadu rovněž odmítl, že Česko bude mít přísnější regulaci než jiné členské země EU. Podle něj dodrželi rozsah stanovený evropským nařízením NIS2.
„Kybernetická bezpečnost, stejně jako jakákoliv jiná bezpečnost, vždy něco stojí. NÚKIB při tvorbě zákona a jeho prováděcích vyhlášek myslí v určitém ohledu i na finanční náročnost potřebných úprav a změn. Proto se pracuje např. s lhůtami respektujícími životnost technologií,“ upřesnil Vala.
Příprava zákona byla zmatečná a nepřehledná, tvrdí samosprávy
Ke kritice se v připomínkovém řízení přidali i jiné organizace, například Svaz měst a obcí. Ten kromě jiného chtěl vědět, kolik bude samosprávní celky zavedení zákona stát. NÚKIB to vyčíslit odmítl s odůvodněním, že nejde o novou vyhlášku z dílny úřadu, ale o provedení evropské normy. Rozpor mezi svazem a úřadem trvá dodnes, jelikož toto vysvětlení svaz odmítl přijmout.
Města a obce si stěžovaly mimo jiné na to, že návrh vyvolává „zmatečnou, nepřehlednou a tím i velice náročnou situaci.“ Ve svých připomínkách uvedly, že splnění všech povinností pro ně bude na hranici únosnosti jak z hlediska finančního, tak i personálního.
Podobně to vidí i vzdělávací spolek sdružující české menší a střední technologické firmy, Výbor nezávislého ICT průmyslu. Předseda spolku Jakub Rejzek upozorňuje hlavně na výrazně velkou pravomoc, kterou si chce NÚKIB uzmout. Podle něj úřad chce po zákonodárcích moc, kterou „nemá žádný podobný orgán“.
„Je to plán na největší zásah do podnikatelské svobody v šíři, která tu nebyla od minulého režimu,“ upřesnil Rejzek na dotaz redakce.
„Bezbřehé pravomoci úřadů bez demokratické kontroly jsou prostě chyba,“ dodal s tím, že NÚKIB nebyl schopen vysvětlit, proč se rozhodl přijmout tak přísnou formu regulace.
„Bylo by dobré, aby si zákonodárci, kteří chtějí ‚flexibilitu‘ a ‚silné pravomoci nezávislého úřadu‘ uvědomili, že taky nemusí za pár let vládnout, a šéfem úřadu může vláda jmenovat člověka, co si třeba myslí, že mu 5G sítě vysílají do hlavy záření od Aštara Šerana. Že to není možné? Stačí se podívat na Slovensko, kde mají tyhle lidi v parlamentu a zčásti i ve vládě,“ upozornil předseda spolku Rejzek.
Na hodnocení je brzy, míní ministr Šalomoun
Redakce Euractiv.cz se stejnými otázkami oslovila i ministra pro legislativu Michala Šalomouna (Piráti). Ten redakci odpověděl, že z jeho strany je na hodnocení zákona brzy.
„Návrh zákona o kybernetické bezpečnosti aktuálně prochází pracovními komisemi Legislativní rady vlády, následně jej projedná Legislativní rada vlády, a z toho bude pak vycházet i její stanovisko. Pro vysvětlení dodávám, že hodnocení Legislativní rady vlády se bude zaměřovat na legislativně-technické provedení transpozice příslušné směrnice NIS2 a na to, zda je návrh zákona v souladu s naším ústavním pořádkem a také s právem EU,“ řekl Šalomoun.
K věci se vyjádřil i Český telekomunikační úřad (ČTÚ). Ten v připomínkovém řízení upozorňoval na možnou situaci, kdy dodavatel nebude moci splnit přísné podmínky, a tím naruší rozvoj 5G sítí v zemi. Připomínky ČTÚ se podle mluvčí Barbory Havelkové týkaly především přiměřenosti regulace a vycházely hlavně z úkolu ČTÚ vytvářet v zemi vhodné prostředí pro investování a rozvoj kvality sítí.
Svůj pohled redakci zaslal i předseda ČTÚ Marek Ebert. „Věřím, že konečná podoba navrhované právní úpravy nakonec přinese vyvážené řešení regulace k zajištění jistě potřebné bezpečnosti infrastruktury sítí a služeb elektronických komunikací, ve vztahu k investiční jistotě podnikatelů při jejich technologickém rozvoji a inovacích,“ uvedl.
Předseda APMS Grund si myslí, že podnikatelé nemají rozdílné cíle od kybernetického úřadu.
„Bezpečnost našich sítí je alfa a omega našeho podnikání. Vedle toho ale potřebujeme každý rok investovat desítky miliard korun do budování a rozvoje digitální infrastruktury ČR. To můžeme jen těžko dělat při vědomí, kdy nám de facto kdykoli může český superúřad říci: ‚Sorry, nyní vše, co jste tu posledních 5 let budovali, zahoďte a začněte znova‘,“ uzavřel Grund.
