Návrh zákona o kybernetické bezpečnosti spolu s doprovodným změnovým zákonem na konci září projedná sněmovní podvýbor pro ICT, telekomunikace a digitální ekonomiku. Spolu s návrhy novely zákona o elektronických komunikacích a zákona o digitální ekonomice jej na svou 11. schůzi zařadil na 25. září předseda podvýboru Marek Novák, který bude na podvýboru zpravodajem všech čtyř tisků. Tato schůze je neveřejná.
Autor zákona, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), mezitím v Brně pořádá třídenní kyberbezpečnostní konferenci CyberCon. Připravovanému zákonu regulujícímu kyberbezpečnost u nás je na konferenci věnována velká pozornost. Regulátor se i na této platformě snaží přesvědčovat o potřebnosti úprav, které jdou nad rámec transpozice evropské směrnice NIS2 a které jsou předmětem kritiky ze strany podnikatelského sektoru a mobilních operátorů.
NÚKIB nechce energetickou krizi v ICT
K obhajobě nutnosti implementovat do českého práva mechanismus bezpečnosti dodavatelského řetězce používá NÚKIB paralelu k energetické krizi po vypuknutí války na Ukrajině. Okamžitým dopadem konfliktu záhy po jeho zahájení byla prudká inflace a zdražování energií. Kvůli náročné situaci a zvyšování cen ropy a plynu musela vláda v roce 2022 přistoupit k zastropování energií.
„Mechanismus má zajistit, aby se Česká republika vyhnula problémům, který měla v energiích, když Rusko zaútočilo na Ukrajinu. Nechceme, aby se to samé zopakovalo i v ICT,“ řekl na konferenci náměstek ze sekce Národního centra kybernetické bezpečnosti NÚKIBu Tomáš Krejčí. Nový zákon podle něj má také zajistit, že už se nestane, aby nějaká firma nebo instituce provozující pro veřejnost důležité služby neřešila kyberbezpečnost.
Právě na 6000 nových subjektů, které s novým zákonem do regulace vstoupí, se chce brněnský úřad zaměřit v prvé řadě osvětou. „Řešíme prevenci, abychom nastavili standardy správně, abychom pomohli subjektům se s nimi vypořádat,“ dodal Krejčí.
Meč nad mobilními operátory, kteří pro stavbu svých sítí využívají i dodávek čínské provenience, ale visí dál. A NÚKIB je připravený i na tu eventualitu, že by firmy jako Huawei nebo ZTE získaly na úrovni Evropské unie v jakékoliv z jejích členských zemí certifikát pro 5G sítě. Toto certifikační schéma je součástí připravovaného evropského systému certifikace kybernetické bezpečnosti, s nímž počítá například nařízení o agentuře ENISA (EU) 2019/881.
NÚKIB od svého mechanismu ustoupit nechce a v důvodové zprávě k návrhu zákona těmto certifikátům vyčítá, že se posuzuje pouze technická úroveň produktů, služeb a procesů a chybí zde vyhodnocení roviny strategické důvěryhodnosti dodavatele. Tomu přitom brání Smlouva o fungování EU, která na celoevropské úrovni zapovídá pravomoc upravovat problematiku vnitřní bezpečnosti primárním právem EU. „Evropský systém certifikace kybernetické bezpečnosti se tedy v současnosti jeví jako vhodný doplněk k navrhovanému řešení, avšak nemůže a ani nemá ambice jej nahradit,“ vysvětluje NÚKIB.
Reálné hrozby certifikace pokrývá…
Podmínky pro získání příslušné certifikace jsou přitom nastaveny přísně a EU si podle článku 47 citovaného nařízení sama bude sestavovat průběžný pracovní program, do kterého zařadí jen ty produkty, které vyhodnotí, že by pro ně mohla být evropská certifikace prospěšná. Přitom zohledňuje jak relevantní politiku, tak vývoj v oblasti kybernetických hrozeb.
Evropská certifikace má dále jako jeden z cílů nastaveno, že zpracovávané údaje budou ochráněny proti neoprávněnému ukládání nebo zpřístupnění, a to včetně třetích zemí. A konečně se v procesu certifikace zkoumají i auditovaná přístupová práva, včetně bezpečné aktualizace a obnovení dostupnosti funkcí v případě incidentů.
Z množiny obav, které NÚKIB v minulosti do veřejného prostoru na podporu nezbytnosti zavedení mechanismu dodavatelského řetězce vyslal, tím většina padá. Připomeňme si je jednu po druhé. Úřad má strach z existence takzvaných zadních vrátek, přes které by výrobce mohl síťový prvek ovládat nebo naopak zcela vyřadit z provozu. Dále je to obava ze špionáže, že takový přístroj bude sbírat a do zahraničí posílat citlivá data, ke kterým navíc – v důsledku čínské legislativy – může kdykoliv získat přístup i tento autoritářský režim. A konečně je to softwarová nebo hardwarová závislost na komponentech či aktualizacích dodávaných výlučně tímto výrobcem (tedy vendorlock v té nejširší myslitelné podobě). V zásadě vše jsou tedy obavy technického rázu zahrnutelné pod hrozbu, že dodavatel určitým způsobem získá a zneužije přístup k provozovanému produktu.
V momentě, kdy však takový dodavatel ze třetí země projde certifikačním řízením a ve kterémkoliv státě Unie získá uznávaný evropský kyberbezpečnostní certifikát, je garantována minimalizace těchto hrozeb na přijatelnou úroveň, protože příslušný certifikační orgán se těmito otázkami musel náležitě zabývat a ve svém rozhodnutí je zohlednit. Bude-li objeven neoprávněný přístup ke zpracovávaným datům nebo backdoor do systému, jedná se bez debat o zranitelnost či vlastnost produktu vylučující splnění podmínek certifikátu.
… a přesto stát řekne ne
Jediné, co certifikací pokryto není, a na co tedy NÚKIB poukazuje, když píše o opomenuté „rovině strategické důvěryhodnosti dodavatele“, je ten případ, kdy stát v ruce nemá tvrdý důkaz o nepravostech technického rázu, že by byla ohrožena funkčnost systémů nebo bezpečnost dat, a přesto takového dodavatele na svém území nechce. Takové politické rozhodnutí – a tak lze asi chápat i paralelu k válkou vyvolané energetické krizi – nebude opřeno o konkrétní indicii možné technické zranitelnosti, ale bude sledovat jiné, zřetele hodné důvody strategického rázu.
Lze si představit hraniční situace, kdy se taková pravomoc může státu hodit. Úkolem zákonodárce však nyní je omezit možnost použití tohoto mimořádného prostředku jen pro skutečně mimořádná období.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
