V České republice a celé Evropě už se od konce roku 2018 řeší, jak naložit s potenciálně nebezpečnými dodavateli technologií. Začalo to telekomunikacemi a IT a v poslední době se problém přelil také do solární energetiky, zejména střídačů. Do hry se nyní snaží vstoupit Evropská unie s centrálním řešením. Ovšem není jasné, zda se jeho navrhovanou podobu podaří prosadit. Česko se postavilo proti.
Debata se točí hlavně kolem hráčů z Číny jako jsou Huawei nebo ZTE, které řada evropských institucí včetně našeho Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) označuje za rizikové. Problémem je napojení firem na stát nebo zákonná povinnost čínských občanů a firem podílet se na špionáži.
NÚKIB prosadil již platný nový zákon o kybernetické bezpečnosti, jehož součástí je kromě implementace NIS2 mechanismus pro zákaz z pohledu státu nebezpečných firem. Jenže tato část se i díky lobbingu už za Petra Fialy zasekla na vládě a nezdá se, že by s tím ta současná chtěla něco dělat. Mechanismus by NÚKIBu umožnil určit problémové dodavatele s možností vydat příkaz k odstranění jeho technologií z důležité infrastruktury.
Orgány Evropské unie se nějakou dobu snaží členské státy přimět, aby se situací kolem Huawei a spol. něco dělaly. Vydán byl například takzvaný 5G toolbox, z něhož si ale mnoho zemí nic moc nedělá. I proto se připravuje nové nařízení označované jako Cyber Security Act 2 (CSA2). Jeho návrh předložil Evropský parlament společně s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA). Členské státy nyní posílají své připomínky.
Celoevropské zákazy a pokuty
CSA2 chce pojmout kybernetickou bezpečnost mnohem více ze široka. Podobně jako NÚKIB například nechce hodnotit dodavatele pouze na základě technických parametrů, ale i na základě netechnických rizik. To zahrnuje vliv cizích vlád, absenci demokratických záruk nebo strategickou závislost. Na tomto základě by bylo možné dodavatele zakázat, a to v 18 kritických sektorech jako jsou telekomunikační sítě, energetika, doprava, bankovnictví a další.
Dodavatelé by mohli být postiženi na několika úrovních. Řeší se zákaz účasti ve veřejných zakázkách, nemožnost čerpat evropské dotace a granty nebo neudělení certifikací (ENISA by zde získala větší operativní prostor). Dále by bylo nutné zavést mitigační opatření zahrnující zákaz vzdálené správy zařízení z třetích zemí, povinné audity třetích stran nebo omezení outsourcingu.
Nejpřísnějším bodem je pak povinné odstranění technologií. Na to by mobilní operátoři a spol. měli pouze 36 měsíců. Pokuty za nedodržení pravidel by mohly dosáhnout až sedm procent celosvětového ročního obratu.
Příliš moci do Bruselu
Návrh CSA2 nyní musí projít procesními útrobami sedmadvacítky. Tématu se koncem dubna věnovala sekce evropských záležitostí na Úřadu vlády ČR. Ta zjednodušeně řečeno naznala, že CSA2 odebírá pravomoci členských států a zbytečně posiluje pravomoci Bruselu. Vláda dodala, že CSA2 také zvyšuje administrativní zátěž, což jde proti programovému prohlášení o snižování byrokracie.
Není překvapivé, že už před touto fází byly aktivní různé organizace, které dlouhodobě tlačily na mírnější podobu tuzemského zákona o kybernetické bezpečnosti. Dopisy a různá prohlášení posílal například Svaz průmyslu a dopravy a aktivní byla Hospodářská komora a Asociace provozovatelů mobilních sítí. Prostřednictvím těchto dvou organizací je aktivní i Huawei.
Krátce po vládě návrh zamířil do výboru pro evropské záležitosti v Poslanecké sněmovně. Ten současné podobě CSA2 vystavil takzvanou žlutou kartu. Výbor naznal, že návrh nařízení porušuje princip subsidiarity, tedy že si EU přivlastňuje něco, co si mají členské státy řešit samy. Začátkem května se debata přesunula do Senátu, který v podstatě potvrdil to, co zaznělo ve sněmovně.
“Návrh významně omezuje prostor členských států ovlivnit rozhodnutí s dopadem na národní bezpečnost, a to zejména v části návrhu, který se týká bezpečnosti dodavatelských řetězců. Návrh pomíjí, že v celém procesu identifikace rizikových dodavatelů hrají důležitou roli národní specifika, členské státy mohou mít přístup k informacím, které Komise k dispozici nemá, a zároveň členské státy obecně disponují hlubší odborností a povědomím o fungování jednotlivých sektorů než Komise,” stojí v usnesení sněmovny.
Kritický je i NÚKIB
Na zbytečný přesun pravomocí z národních států na unijní úroveň v rámcové pozici pro Parlament ČR upozornil také samotný NÚKIB. “Otázky národní bezpečnosti musí zůstat v rukou členských států. ČR bude požadovat zrušení neopodstatněných zmocnění Evropské komise, omezení zmocnění na nutné minimum, a zabránění uzurpování výhradních pravomocí členských států. Členské státy musí mít zásadní slovo ve všech podstatných rozhodovacích procesech, a to na expertní i politické úrovni,” napsal úřad ve zmíněném dokumentu.
NÚKIB prosazuje, aby ENISA měla především podpůrnou a koordinační roli a aby nepřebírala roli národní týmů CSIRT a nevstupovala do vztahu s regulovanými subjekty.
NÚKIB zároveň možná trochu překvapivě přišel s tím, že navrhovaná lhůta 36 měsíců, během níž se mají technologie nebezpečných dodavatelů odstranit z mobilních sítí, je nerealistická a že musí být upravena a náležitě prodloužena. “Cílem ČR bude, aby byl mechanismus přiměřený a reflektoval životní cyklus produktů,” uvedl kromě jiného kyberúřad.
Právě to, aby již instalované 5G technologie v sítích “mohly dožít”, bylo jedním z velkých témat tuzemského kyberzákona. Operátoři argumentovali tím, že do sítí investovali hodně peněz a nemohou si investice dovolit odepsat dříve, než se zaplatí. Zároveň je nutné zohlednit to, že samotný proces nákupu a výměny nejde v celé zemi realizovat za pár měsíců.
První krok proti střídačům
CSA2 se má do konce května projednat na senátním plénu a pak Česko prostřednictvím NÚKIBu pošle své stanovisko Evropské komisi. Ta by věc chtěla uzavřít do konce roku.
To, jakou formu CSA2 nakonec dostane, bude vedle Česka záležet na dalších zemích. Pokud se podobných vážných znepokojení objeví více, bude nutné návrh přepsat. Zajímavé bude sledovat pozice silných států typu Německo, které se dlouhodobě snaží ohledně čínských technologií balancovat na hraně.
Čína se v celé věci snaží hrát také svoji hru. Tamní obchodní komora za asistence KPMG vypracovala studii, podle níž by náklady spojené s omezením dodavatelů z této země v letech 2026 až 2030 Evropu vyšly na skoro 370 miliard eur. Ze zemí střední velikosti by byl největší dopad na Česko. Stanovisko vydala také oborová organizace GSMA, dlouhodobě hodně spojená s Huawei a dalšími čínskými subjekty.
Evropská unie tlačí i dalšími cestami. Rozjel se zákaz o používání čínských střídačů ve všech energetických projektech financovaných Evropskou unií. Podle Evropské komise jsou tyto střídače jednou z největších hrozeb pro kritickou infrastrukturu v Evropě. Jsou totiž připojeny ke vzdáleným serverů a jdou ovládat na dálku. Toto omezení dopadne hlavně na firmy Huawei a Sungrow. Střídače z Číny začal v solárních elektrárnách používat třeba ČEZ a jejich vstup umožňuje i distribuční síť E.ONu. Více jsme se tomu věnovali v našem článku.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU