O dodavatelích rozhodnou úředníci, vadí operátorům na kyberzákonu. „Tak to nebude,“ reaguje poslanec

Největší kontroverze vyvolává mechanismus prověřování bezpečnosti dodavatelského řetězce, který by umožnil kybernetickému úřadu vyloučit firmy, které považuje za rizikové. Pane poslanče, vy jste řekl, že návrh je kompromisem, že už je teď hodně osekaný. A zároveň že je potřeba ho přijmout. Není to nástroj, který se může vymknout z rukou úředníků a neadekvátně omezovat svobodu podnikání?

Petr Letocha: To si určitě nemyslím. Tady jde opravdu o bezpečnost kritické informační infrastruktury České republiky. Doufám, že ti, kteří mají v tuto chvíli připomínky ke kybernetickému zákonu, chrání ekonomické zájmy zdejších společností a municipalit.

Čtěte také

iROZHLAS

Šéf kyberúřadu: Musíme se vymanit z technologické závislosti. Chceme být připraveni, ne překvapeni

NÚKIB a zastánci tohoto zákona také chrání bezpečnost. Paradoxně těch stejných společností a municipalit.

A tyto konkrétní společnosti, o kterých mluví nový zákon, byly vybrány, protože jejich případné napadení v kyberprostoru se může dotknout právě kritické informační infrastruktury České republiky.

Pořád zapomínáme, že bezpečnost dodavatelského řetězce se týká cca 150 klíčových subjektů. Ve chvíli, kdy by byl napadený třeba operátor, tak to může významně narušit bezpečnost občanů.

Rizikovost dodavatelů

Připouštíte si tuto obavu v Asociaci provozovatelů mobilních sítí? Nedáváte své ekonomické zájmy nad hledisko bezpečnosti?

Čtěte také

iROZHLAS

Nové serverovny i kontrola dodavatelů. Firmy i stát se připravují na nový zákon o kyberbezpečnosti

Jiří Grund: Já jsem přesvědčený o tom, že absolutně ne. My naprosto rozumíme tomu, co říká stát. Naprosto rozumíme geopolitickým hrozbám, které naše země má. Chápeme, že jsou situace, kdy například díky zpravodajskému aparátu České republiky má stát víc informací o potenciálních hrozbách, než máme my jako podnikatelé. V tom jsme se státem zajedno.

Ale o to více jsme přesvědčeni o tom, že pokud se má rozhodovat o tak zásadních otázkách, jako je zákaz dodavatelů, tak o tom má rozhodovat vláda České republiky.

Nebojujeme proti tomu, aby stát v případě silných hrozeb dodavatele zakázal. Ale jsme naprosto v nesouladu v tom, že by tento zákaz měl dělat jeden úřad prostřednictvím podpisu jednoho úředníka. Protože nakonec pod rozhodnutím bude podepsán jeden úředník kybernetického úřadu.

Jsme přesvědčeni o tom, že tak závažné rozhodnutí by měla udělat vláda České republiky.

Čtěte také

iROZHLAS

Poslanec ANO, který brojí proti kyberzákonu, jednal v Číně s vedením Huawei. ‚Byla to poznávací cesta,‘ říká

Skutečně je na místě obava, že rozhodnutím jednoho úředníka by byl zakázán nějaký dodavatel? Který by na základě rozhodnutí jednoho úřadu byl vyhodnocen jako rizikový?

Letocha: Na místě to není a pan kolega to ví, protože směrnici velmi dobře zná. NÚKIB rozhodně nebude jediný, který se bude vyjadřovat k tomu, jestli bude, nebo nebude nakonec nějaký dodavatel zakázán.

NÚKIB bude identifikovat na základě toho, co jim společnost předloží, dodavatele, kteří by mohli být rizikoví. A pak, pokud by je měli v plánu skutečně zakázat, to budou komunikovat s ministerstvy průmyslu a vnitra a s místními regulátory.

A potom je tu také nějaká doba, kterou mají operátoři na to, aby případně toho dodavatele vyměnili. Ta doba je určena na základě účetních odpisů, což bývá pět let.

Nemluvě o tom, že o tomto zákonu se mluví již šestý rok a legislativní proces začal v únoru roku 2022. Byl tady poměrně velký prostor na to, aby se operátoři připravili.

Námitka, že o bude jenom rozhodovat kybernetický úřad? Nebude. 

Pokud by nastal opravdu vážný případ, kdy by bylo zapotřebí dodavatele vyměnit rychleji, než v ochranné lhůtě pěti let, tak o tom nerozhoduje NÚKIB, ale vláda. Takto vláda přijala zákon na svém zasedání a takto doputoval do Poslanecké sněmovny.

„Hra se slovíčky“

Pane Grunde, není vaše tvrzení o podpisu jednoho úředníka zavádějící? Když bude rozhodovat hned několik dalších institucí včetně ministerstev.

Grund: Je to trochu hra se slovíčky. Celé to bude začínat tím, že NÚKIB si sám připraví vyhlášky, na základě kterých bude rozhodování činit, což už mu samo o sobě dává obrovskou schopnost si určovat, kde regulace začne a kde skončí.

Čtěte také

iROZHLAS

Řehka: Nový kyberzákon posílí odolnost civilní infrastruktury. Částečně na ní závisí i armáda

Pan Letocha sice správně říká, že kybernetický úřad bude mít příležitost se ptát orgánů, jako je ministerstvo zahraničí, nebo regulátoři jednotlivých odvětví, ať jsou to telekomunikační regulátoři nebo energetičtí regulátoři v případě energetiky.

Ale už neříká, že zákon vůbec neřeší situaci, kdy regulátor bude proti.

NÚKIB si to může přečíst a může říct: Tak fajn, tady mi sice jeden regulační úřad říká, že toto opatření je moc silné, ale to je všechno, co já si z toho vezmu.

To je právě ten problém, ďábel je v detailu.

Kdo tedy bude mít hlavní slovo, když se budou vyjadřovat dotčené orgány? Bude je kybernetický úřad muset respektovat? Nebo se bude moct rozhodnout i přes nesouhlasné vyjádření některého z dotyčných?

Letocha: Uvědomte si jednu věc. NÚKIB je zkratka pro Národní úřad pro kybernetickou a informační bezpečnost. Za mě je to úřad, který má oprávnění rozhodovat o těchto důležitých věcech.

Já jsem reagoval na to, že má rozhodovat jeden úředník. Není to tak. Ano, v závěru rozhodne Národní úřad pro kybernetickou a informační bezpečnost. Ve chvíli, kdy o něčem rozhodne vláda, tak se úřad pro kybernetickou bezpečnost určitě nezachová jinak než na doporučení vlády.

Poslechněte si celou debatu, audio je nahoře v článku.