Česko potřebuje skutečně funkční ochranu před kybernetickými hrozbami, ne vykostěný zákon
Již od července minulého roku projednává Poslanecká sněmovna nový zákon o kybernetické bezpečnosti, který implementuje evropskou bezpečnostní směrnici NIS2 a zároveň obsahuje možnost prověřit a vyloučit dodavatele, kteří představují pro stát bezpečnostní riziko. Odolné Česko spolu s oslovenými experty na kybernetickou bezpečnost s blížícím se 3. čtením varuje před schválením pozměňovacích návrhů, které povedou k zásadnímu oslabení možnosti prověřování bezpečnosti dodavatelského řetězce a kterými dojde k znefunkčnění bezpečnostních mechanismů pro zajištění služeb v případě mimořádných událostí. V případě jejich přijetí zůstane Česko zranitelné.
Proč potřebujeme nový kybernetický zákon?
Digitální technologie jsou nepostradatelnou součástí moderní společnosti – ovlivňují komunikaci, dopravu, energetiku, zdravotnictví i vzdělávání. S jejich rostoucím využíváním ale narůstají i kybernetická rizika. Ochrana infrastruktury, dat a digitálních služeb je proto zásadní pro bezpečnost státu i jeho občanů.
Česko dnes čelí bezprecedentnímu nárůstu kybernetických hrozeb, které často souvisejí se závislostí na technologiích z rizikových zemí. To ohrožuje nejen fungování kritické infrastruktury, ale také např. dodávky strategických surovin. Důsledky takové závislosti se jasně ukázaly během ruské invaze na Ukrajinu, kdy prudký růst cen energií v důsledku napojení na ruský plyn a ropu způsobil vážné ekonomické škody.
Současný zákon o kybernetické bezpečnosti z roku 2014 nepokrývá všechny kritické oblasti a opomíjí některé důležité subjekty. Nová legislativa proto musí rozšířit jeho působnost a zároveň přizpůsobit český právní rámec požadavkům EU, zejména směrnici NIS 2, která měla být implementována do října 2024. Poslanecká sněmovna by proto neměla s jejím přijetím otálet.
„V kontextu hrozeb přicházejících z autoritářských zemí a v situaci, kdy se již na 100 % nemůžeme spolehnout na bezpečnostní garance stávajících spojenců, potřebujeme skutečně funkční zákon, který zajistí kybernetickou bezpečnost Česka. Vládní i opoziční poslanci mají jedinečnou příležitost odmítnout čistě byznysový lobbing a postavit se na stranu bezpečnosti státu a jeho občanů. Je nyní na sněmovně, zda se rozhodne jít cestou suverénní země nebo cestou postupného odevzdání naší suverenity do rukou režimů, které sami označujeme za nepřátele,”
Pavel Havlíček, analytik Asociace pro mezinárodní otázky.
Přehled klíčových legislativních změn
V roce 2024 předložil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) návrh nového zákona o kybernetické bezpečnosti a související změnový zákon (sněmovní tisky č. 759 a 760). Nový zákon přináší následující změny:
Zjednodušení legislativy a sjednocení s evropskými pravidly: Zákon zapracovává evropské směrnice a nařízení (zejména směrnici NIS 2), čímž naplňuje povinnosti České republiky při zajišťování stejného standardu kybernetické bezpečnosti napříč Evropou.
Rozšíření působnosti: Počet regulovaných subjektů, které budou muset dbát na kybernetickou bezpečnost vzroste z 400 na přibližně 10 000. Povinnosti se budou lišit podle velikosti firmy a sektoru, ve kterém působí (např. energetika, doprava, zdravotnictví, IT).
Rychlejší reakce na hrozby: Poskytovatelé kritických služeb budou muset hlásit kybernetické incidenty do 24 hodin.
Lepší informovanost občanů: Poskytovatelé digitálních služeb budou mít povinnost uživatele varovat před kybernetickými riziky a poskytovat návody na ochranu dat.
Prověřování dodavatelského řetězce: Po vzoru západních zemí zavede Česko mechanismus kontroly dodavatelských řetězců u strategicky významných technologií. Tak bude moct provádět strategickou kontrolu dodavatelů u služeb a technologií, jejichž výpadek by mohl mít zásadní dopad na fungování státu.
„Přenést klíčové kompetence z nezávislého a odborného kybernetického úřadu na politické rozhodnutí vlády, jejíž příklon k demokratickým zemím nelze do budoucna zaručit, může být rizikové. Ještě problematičtější jsou však návrhy, které budou de facto znamenat vyprázdnění samotného institutu prověřování bezpečnosti dodavatelského řetězce a mechanismu k zajištění kontinuity strategicky významných služeb v případě mimořádných událostí. V případě jejich schválení zůstane Česko zranitelné,”
Lukáš Kraus, právník a koordinátor Odolného Česka.
Návrhy poslanců, které zásadním způsobem ohrožují funkčnost zákona
V legislativním procesu byla předložena řada pozměňovacích návrhů, z nichž některé mění původní koncepci zákona, když převádějí některé kompetence z NÚKIB na vládu. Nejzávažnější jsou však návrhy, které zásadním způsobem ohrožují funkčnost zákona oslabením klíčových mechanismů.
- Pozměňovací návrh č. B9 – oslabení klíčového mechanismu prověřování bezpečnosti dodavatelského řetězce
Návrh zužuje možný dopad mechanismu pouze na nejkritičtější část infrastruktury. Mechanismus by se tak nevztahoval mj. na části dispečerských řídicích systémů, přes které se řídí i energetické sítě. Neexistuje přitom pádný důvod, proč by se klíčový mechanismus zákona neměl vztahovat na tyto vysoce důležité části systémů, jejichž narušení může zásadně ohrozit poskytování strategicky významných služeb v ČR. Došlo by tím k tomu, že by z dosahu mechanismu byly předem vyřazeny klíčové části infrastruktury a stát by se ani nedozvěděl, jací dodavatelé zde figurují, natož aby na ně mohl reagovat. S tímto omezením totiž padá také ohlašovací povinnost.
- Pozměňovací návrhy č. B18-21 – oslabení bezpečnostních mechanismů pro zajištění služeb v případě mimořádných událostí
V důsledku přijetí těchto návrhů by nebyla zajištěna kontinuita strategicky významných služeb v případě mimořádných událostí (např. přírodních katastrof). Rozšířením požadavku na území EU hrozí, že strategickou službu nebude v takových situacích fyzicky možné na území ČR zajistit. Dopad změny původní koncepce lze ilustrovat na případu elektrárny, která napájí nemocnici. V případě, že by se nacházela mimo území Česka, stát by neměl možnost zajistit v krizové situaci její fungování. Obdobné riziko by nastalo v případě softwaru, serverů a cloudových služeb mimo naše území. Navrhovaný institut nebojuje proti cloudovým službám a nezavádí lokalizaci dat, pouze stanovuje, že má existovat postup, jak službu zajistit v případě ztráty spojení se zahraničím. Předmětné PN tento institut prakticky likvidují a navrhovaná úprava tak pozbude smyslu. Česko by se tím stalo výrazně zranitelnější a vydíratelnou zemí – v případě geopolitické nestability by příslušné orgány nemohly efektivně čelit masivním kybernetickým útokům. Rozsáhlé výpadky elektřiny a telefonických sítí by měly nedozírné následky.
Informace z médií o zvláštních okolnostech, za kterých jsou některé pozměňovací návrhy projednávány
Podle informací Českého rozhlasu zpravodaj tisku na hospodářském výboru Marek Novák (ANO) jednal v Číně se společností Huawei. Ta má přitom vysoký zájem na tom, aby pravidla kybernetickou bezpečnost zůstala co nejvolnější – NÚKIB již před 6 lety varoval, že právě technologie čínských společností Huawei a ZTE představují bezpečnostní riziko. Jak uvedl web Page Not Found ve svých článcích (zde a zde), pozměňovací návrhy poslance I. Adamce (ODS) načtené na hospodářském výboru směřují přesně k požadavkům Hospodářské komory ČR (HK ČR), která argumentuje mimo jiné čísly z Frontier Economics, kde si analýzu k dopadu směrnice NIS 2 platila přímo čínská Huawei. Podle zmíněného webu přitom Huawei posílá dary např. Výzkumnému ústavu pro podnikání a inovace, který je pod HK ČR začleněn. Huawei Technologies (Czech) s.r.o. je jinak také jedním z členů HK ČR.
Výzva vládním a opozičním poslancům
Je potřeba co nejdříve schválit kvalitní a funkční podobu zákona o kybernetické bezpečnosti. Z obavy o oslabení skutečně účinné legislativy zejména nedoporučujeme schválení pozměňovacích návrhů č. B9 a č. B18-21. Odmítnutí těchto rizikových návrhů je klíčové pro zachování silné a funkční kybernetické bezpečnosti v Česku.
Vyjádření oslovených expertů
„Problém, který je dle mého názoru kruciální, je nelogické zúžení rozsahu mechanismu pouze na aktiva kritická (viz PN B9). Takováto „redukce“ povede k reálné slepotě orgánu, který má rozhodovat (tj. Vlády ČR). Neboť dojde ke zúžení možnosti ovlivnit dodavatele systémů v úrovni „vysoká“, přičemž tyto systémy jsou zcela nezbytné a je minimálně vhodné, aby Vláda byla schopna identifikovat to, o jaké dodavatele se jedná. Díky uvedenému pozměňovacímu návrhu odpadne ohlašovací povinnost dodavatelům infrastruktury v režimu vysoká. Problematické jsou rovněž PN B18-21. Je otázkou, zda po navržených úpravách má uvedený institut význam. Cílem ZoKB stejně jako novely krizového zákona je mimo jiné posílit odolnost ČR jak v digitální, tak fyzické rovině. Pokud bude strategicky významná služba (pro ČR) řízena ze zahraničí bez „backup plánu“ v podobě klidně i ne digitálního řešení v ČR, pak se domnívám, že naše resilience je naopak významně oslabena.“
doc. JUDr. Jan Kolouch, Ph.D., metodik kybernetické bezpečnosti, CESNET
„Jakákoliv snaha o omezení regulace v oblasti kybernetické a informační bezpečnosti je znakem neschopnosti vnímat okolní svět, jeho nástrahy a jeho současné velmi dynamické změny. A v podstatě také vypnutí pudu sebezáchovy. Instituce, která si nevyhodnotí rizika, která vyplývají z její závislosti na dodavatelském řetězci, se radostně řítí do záhuby. Není mým cílem tady jmenovat konkrétní firmy, jejichž produkty a jejich použití s sebou nesou bezpečnostní rizika. Každá firma, organizace, instituce by měla mít analýzu rizik, která rizika z využití technologií jakékoliv firmy plynou. A je navýsost žádoucí zahrnout i tzv. netechnická bezpečnostní rizika. Například pod jakou jurisdikci výrobce technologií v dané zemi spadá, jaký má na něj vliv stát jako takový apod. (…) Kybernetické útoky jsou charakteristické svojí rychlostí a také nutností okamžité reakce a prodlužování této reakce vsazováním dalších článků do rozhodovacího procesu je cestou do pekla. A vůbec nejhorší je do tohoto procesu vsazovat orgán veskrze politický. Tady je na místě, ať už se to líbí nebo ne, pragmatická a rychlá reakce bez politických půtek.“
Ing. Aleš Špidla, ředitel Centra rozvoje informačních kompetencí CEVRO Univerzity
„Česká republika schválila v roce 2014 zákon o kybernetické bezpečnosti, který vedl nejen ke smysluplnému nastavení základních institutů kybernetické bezpečnosti v Česku, ale byl i vzorem pro evropskou směrnici schválenou v roce 2016. Ta prošla revizí a návrh nového zákona o kybernetické bezpečnosti má reagovat nejen na tuto revidovanou evropskou normu, ale i na měnící se prostředí v kybernetickém prostoru. Nárůst počtu kybernetických incidentů, proměna jejich složení i nepokryté využívání hackerských kapacit státními aktéry jen potvrzují nutnost brát nastavení kybernetické bezpečnosti vážně. Komplexita dodavatelského řetězce a jeho nedávná zneužití nejen ve válečném konfliktu nám ukazují, že ani tuto oblast nesmíme podceňovat a věřím, že kompromis, který byl přijat na půdě gesčního Výboru pro bezpečnost obsahuje rozumné nastavení pravidel. Byť je nutné mít stále na paměti, že doba „neškodných” hackerů z Alabamy skončila a naše digitální infrastruktura a služby a jejich bezpečnost budou neustále testovány.“
Jaromír Novák, partner pro styk s veřejnou správou sdružení CZ.NIC