Mechanismus prověřování bezpečnosti dodavatelského řetězce je zdaleka nejkontroverznější bod celého návrhu zákona o kybernetické bezpečnosti, a představuje tak největší třecí plochu mezi autorem předlohy, Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), a odbornou veřejností. Přitom by tomu tak být vůbec nemuselo, protože zrovna tuto pasáž směrnice NIS2 po členských státech nijak nevyžaduje. Do návrhu přibyla z iniciativy tuzemského regulátora.
Ten si její zachování zuby nehty brání. Ve Sněmovně to NÚKIB obhajuje tím, že mechanismus bezpečnosti dodavatelského řetězce do zákona nezapracoval o své vůli, ale že ho připravil na základě připomínek Bezpečnostní rady státu. „Stát nemá mechanismus, kterým by se to dalo řešit,“ zopakoval několikrát při slyšení na výboru pro bezpečnost šéf úřadu Lukáš Kintr.
Když dva dělají totéž
Pravdou skutečně je, že nástroj, jak zasáhnout do smluvní volnosti a direktivně rozhodovat o tom, kteří dodavatelé se smí na důležitých systémech podílet a kteří ne, stát aktuálně nemá. To ale neznamená, že se o jeho zavedení nepokouší na více frontách. Od února na vládě leží návrh zákona o kritické infrastruktuře. V § 14 dává pro změnu Ministerstvu vnitra možnost rozhodnout o „stanovení podmínek, omezení, případně zákazu činnosti ve prospěch subjektu kritické infrastruktury“, a to pokud buď vlastní činností, nebo od jiného orgánu veřejné moci zjistí, že takový dodavatel plnění představuje „významné ohrožení bezpečnosti České republiky“.
Srovnáme-li s kyberbezpečnostním zákonem, NÚKIB má být podle něj nastaven na zjišťování „významného ohrožení bezpečnosti České republiky nebo vnitřního pořádku“. Je paradoxní, že ochrana vnitřního pořádku spadající do gesce Ministerstva vnitra v jím připraveném předpisu chybí, zatímco v návrhu od kyberbezpečnostního úřadu, jehož poslání má být přeci jen trochu jiné, obsaženo je.
Procedurálně si to vnitro představuje tak, že jeho rozhodnutí začne platit okamžitě. Může být totiž vůbec prvním úkonem v řízení a opravný prostředek proti němu nebude mít přiznán odkladný účinek. Navíc se v zákoně objevuje kouzelná věta, že stát neodpovídá za případnou újmu vzniklou dodavateli tímto rozhodnutím, a to samé platí i pro případné smluvní pokuty.
Vnitro to v rámci důvodové zprávy nevysvětluje zrovna logicky. Tvrdí, že „pokud již dojde k rozhodnutí, znamená to, že dodavatel představuje významné ohrožení bezpečnosti České republiky a za této situace je nepřijatelné, aby takovému dodavateli, jehož počínání směřuje proti subjektu kritické infrastruktury, potažmo proti zájmům České republiky, bylo cokoliv kompenzováno.“
Jenže zapomíná na to, že k rozhodnutí s předběžnou vykonatelností může dojít i bez toho, aniž by bylo skutečně najisto postaveno, že takový dodavatel riziko představuje. Navíc toto rozhodnutí negativně postihne jak přímo dodavatele, tak i jeho odběratele, tedy subjekt kritické infrastruktury, který si bude muset příslušnou dodávku obstarat jinde, dráž, nebo za nevýhodnějších podmínek. Dává tedy smysl, aby byla zachována alespoň elementární odpovědnost státu za škodu v případě, že takové rozhodnutí bude později zrušeno. Na to pamatuje zákon č. 82/1998 Sb. Pokud vnitru sázka na padoucha nevyjde a jeho rozhodnutí při přezkumu neobstojí, pak ani kouzelná formulka v zákoně ho před kompenzacemi neochrání.
Vláda mimo hru
Co je ale v kontextu s debatou o mechanismu dodavatelského řetězce v kyberbezpečnostním zákoně mnohem varovnější, je záměr vnitra rozhodovat o zákazu nepohodlného dodavatele u subjektu kritické infrastruktury zcela suverénně, bez přivolení vlády. V důvodové zprávě k tomu najdeme tuto poznámku: „Případná pravomoc vlády k rozhodnutí o dodavatelích by zakládala jakési nesystémové řešení sui generis, jehož proces by musel být pro toto konkrétní řízení upraven zvláštním zákonem tak, aby byla zajištěna dvojinstančnost řízení a ochrana práv účastníků řízení.“
Vnitro dokonce označuje za nepřiměřené, aby o omezení dodávek vláda rozhodovala, a to vzhledem k povaze dodavatelů, když vyjmenovává, že nejčastěji půjde o „úklidové a bezpečnostní služby, personální agentury, dopravce apod“. Ponechme stranou, jestli zvolený příklad je přiléhavý a jestli nejobávanější diverzant hodný restrikce chodí po datacentrech se smetákem a hadrem. Podstatnější je, že Legislativní rada vlády (LRV) to u návrhu kyberzákona vidí přesně naopak.
Ve verzi, která po pracovních komisích prošla až na plénum, LRV rozcupovala záměr koncentrovat rozhodovací pravomoc o omezeních dodavatelů pouze do rukou brněnského úřadu. Později opravená verze předložená do Sněmovny pak zavádí dvojkolejný přístup: bude-li dovoleno ponechat si výrobky nepohodlného dodavatele alespoň do doby, než bude investice daňově odepsána, nechť o tom po předchozích konzultacích rozhoduje NÚKIB, a bude-li požadován okamžitý zásah před daňovými odpisy, pak sice formálně rozhodnutí vydá také NÚKIB, ale zcela v mezích toho, co mu vláda uloží.
Evropská komise chce jednotný postup
Jak už zaznělo, NIS2 nic z toho po členských státech nechce. To ale neznamená, že by Brusel posuzování dodavatelů bral na lehkou váhu. Jen upřednostňuje koordinovaný přístup napříč Evropou. Neplatí to jen u nejčastěji zmiňovaných telekomunikačních sítí. Podobný dopad lze očekávat i do energetiky, teplárenství a distribuční soustavy. Článek 22 Směrnice pamatuje na to, že s ohledem na charakteristické rysy daného odvětví budou zohledněny technické, ale i netechnické faktory. 5G sítě jsou tu explicitně vyjmenovány jako odvětví vhodné pro koordinované posouzení rizik.
Do úvahy takové koordinované posouzení bude brát rozsah, v jakém jsou provozovatelé na těchto dodávkách závislí, jak moc jsou problematické služby nebo produkty relevantní pro plnění kritických nebo citlivých funkcí, zda za ně existuje alternativa, nebo je možné potřebnou odolnost zajistit náhradním způsobem.
To jsou tři přístupy, jakými lze bezpečnost dodavatelského řetězce zajistit. Finální rozhodnutí mají v rukou poslanci. Buď se podle rčení „bližší košile než kabát“ nebudou spoléhat, že se do konce volebního období stihne projednat zákon o kritické infrastruktuře, a nechají posuzovat ohrožení vnitřní bezpečnosti místo vnitrem kybernetickým regulátorem v Brně, nebo toto třaskavé téma odloží do samostatného zákona, případně nepustí dál ani jedno a svou zdrženlivostí dají přednost koordinovanému řešení z Bruselu.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
