Třaskavé téma bezpečnosti dodavatelského řetězce už nemá vliv jen na délku projednávání návrhu zákona o kybernetické bezpečnosti, ale komplikuje vztahy uvnitř koalice i u dalších zvažovaných norem.
Aniž by se poučilo z předchozích nezdarů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), nejčerstvěji se o získání pravomocí omezovat výběr soukromým firmám, s kým budou spolupracovat, pokusilo Ministerstvo vnitra. V rámci nového zákona o kritické infrastruktuře navrhovalo úpravu, která v zásadě kopírovala politicky neprůchozí snahu NÚKIBu koncentrovat tuto moc zasahovat do soukromého podnikání do rukou nikým nevolených úředníků.
Oproti kybernetické regulaci, kde tento nápad prošel přes vládu až do Sněmovny a citelně zbrzdil projednání transpozičního zákona k evropské směrnici NIS2, u kritické infrastruktury záměr zarazili už sami ministři v rámci jednání kabinetu. Argumentovali tím, že pokud v případě kybernetické bezpečnosti má do budoucna mít možnost o těchto zákazech rozhodovat pouze vláda a nést za to politickou odpovědnost, nedává smysl, aby u kritické infrastruktury byla pravidla odlišná. Trvali proto na tom, aby § 15 o bezpečnosti dodavatelského řetězce z návrhu zákona vypadl. A s tímto požadavkem byli nakonec úspěšní.
Vnitro testuje své možnosti
Není to přitom za poslední dobu jediný případ, kdy resort vnitra testoval, jaké mocenské ambice mu ještě projdou. Couvat vnitro muselo i se záměrem významně rozšířit okruh informací o telekomunikačním provozu shromažďovaných v rámci data retention.
Šlo o pokus uložit operátorům povinnost uchovávat informace o IP adresách, ke kterým se uživatel připojil. Z nich by bylo možné získat omezený přehled o navštěvovaných webech. Problematickou tzv. šmírovací vyhlášku po kritice v médiích označil za neprůchozí napřed premiér Petr Fiala a posléze se k němu přidal i šéf resortu vnitra Vít Rakušan.
Ten však podle všeho tentokrát má na kontroverzní úpravě zákona o kritické infrastruktuře lví podíl. Tvrdí to alespoň šéf operátorské asociace APMS Jiří Grund. „Když jsme ministerské úředníky upozorňovali na problémy paragrafu 15, říkali, že nás sice chápou, ale že to je výslovné přání pana ministra,“ uvedl Grund. Jím řízený operátorský spolek na vládu poslal dopis, podle kterého považuje návrh za nedostatečně zdůvodněný a neproporcionální. „Spíše naznačuje regulační exces ze strany ministerstva vnitra, než že by bylo zavedení dalšího mechanismu zakazování dodavatelů skutečně nezbytné,“ uvádí se v listu.
Vyškrtnutí možného zákazu nepohodlných dodavatelů ze zákona požadovali také malí operátoři zastoupení ve Výboru nezávislého ICT průmyslu (VNICTP). Proti svému gesčnímu ministerstvu šli dokonce i profesionální hasiči, dále ho kritizovaly mimo jiné ministerstva financí, průmyslu a obchodu nebo Hospodářská komora.
I pod tíhou této veřejné odezvy vláda nakonec rozhodla, že do Sněmovny pošle návrh zákona bez problematického ustanovení. Výslednou podobu vítá i Jakub Rejzek z VNICTP. „Opatření v § 15 bylo i naší asociací kritizované pro duplicity se zákonem o kybernetické bezpečnosti a pro nadbytečnost,“ uvedl.
Přesouvání mezi zákony
Při projednávání kybernetického zákona ve sněmovních výborech byly na stole i varianty, že se problematika bezpečnosti dodavatelského řetězce přesune do zákona o kritické infrastruktuře. V té době ale byl předpis chystaný vnitrem ještě ve fázi příprav a nebylo jasné, jaký bude jeho další osud.
Na účelovost takových úvah o přesunu už tehdy na bezpečnostním výboru upozorňoval náčelník generálního štábu Karel Řehka. „Dopadne to tak, že se to bude zdržovat, až to spadne pod stůl a dalších několik let stát nebude mít nástroje, jak se bránit. To je cíl určitých subjektů, aby stát vůči nim neměl žádné nástroje, a oni budou mít naprostý free-ride,“ apeloval na poslance, aby si tentokrát nenechali ujít příležitost dát státu do rukou účinný nástroj obrany proti kybernetickým rizikům. „Rusko nám tu vyhazuje muničáky a my máme problém s tím, že stát má vytvořit obranný mechanismus, že tuto regulaci nechceme ani v nejkritičtějších systémech,“ dodal.
Svým postojem rozzlobil poslance z koalice. „Generál Řehka říká, že kdo půjde proti návrhu, tak je skoro nepřítel státu číslo jedna. To mi připadá jako něco z doby minulé,“ reagoval předseda Hospodářského výboru Ivan Adamec z ODS. Podle něj není v pořádku ani to, že na přijetí kyberzákona v podobě příznivé pro NÚKIB tlačil šéf zpravodajské služby BIS Michal Koudelka.
Ten dlouhodobě varoval před závislostmi na technologiích čínské provenience. „Jsem zděšený z toho, co Koudelka říká, ničemu to nepomůže. Vytváří to jen politický tlak, abychom nějak rozhodli, ale to odmítám,“ uzavřel rezolutně Adamec.
Návrh znovu projedná bezpečnostní výbor
Do voleb přitom zbývá pět měsíců. Reálně však je na projednání příslušných paragrafů ještě méně času. Šance, že by úprava pravidel kritické infrastruktury připravené vnitrem stihla ve Sněmovně do letních prázdnin projít všemi třemi čteními, se limitně blíží nule. A s největší pravděpodobností tak tento zákon bude kopírovat osud „šmírovací“ vyhlášky o data retention.
Vyhráno zdaleka nemá ani kybernetický zákon. Druhým čtením prošel na konci ledna. A od té doby je zatím marně zařazován do programu sněmovních schůzí. Aktuálně se jím tento čtvrtek bude zabývat garanční Výbor pro bezpečnost, který má v rukou rozhodnutí, jaké pozměňovací návrhy ve třetím čtení na plénu k přijetí doporučí a které ne. Budeme samozřejmě u toho.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU