Ředitel bezpečnostní divize v českém O2 Radek Šichtanc upozornil na zajímavý bod v návrhu nového zákona o kybernetické bezpečnosti. Návrh, který mimo jiné implementuje NIS2, je aktuálně v mezirezortním připomínkovém řízení.
Šichtanc se konkrétně pozastavil nad paragrafem 34, který uvádí, že “poskytovatel strategicky významné služby je povinen zajistit dostupnost strategicky významné služby v rozsahu kritické části stanoveného rozsahu ve stanoveném čase a kvalitě z území České republiky.”
Bezpečnostní šéf O2 uvedl, že tento návrh “nám ukládá povinnost v případě mimořádných událostí (přírodní katastrofa, pandemie, válka atp.) zajistit strategicky významné služby, což jsou služby nezbytné k fungování společnosti a státu (zde typicky hlasová a elektronická komunikace), v rámci infrastruktury na území České republiky. V aktuálním znění je ale výčet těchto služeb stanoven prováděcím právním předpisem o tzv. nepominutelných funkcích stanoveného rozsahu, jejichž výčet je velmi rozsáhlý. Jeho optikou by se řada běžných komponent IT a telekomunikační infrastruktury mohla ocitnou v pasti požadavků na lokalizaci.”
Další poznámky Šichtance vypadají takto:
Takový výklad by ale znamenal zásadní omezení možnosti využívat pro zajištění strategicky významných služeb cloud, typicky služby Amazonu, Microsoftu či Googlu. Ty sice mohou garantovat lokalizaci na území Evropské unie, ale už nikoli výhradně České republiky. Ostatně, to by do značné míry popíralo výhody cloudu jako vysoce distribuovaného a odolného prostředí.
Cloudové služby jsou dnes nezbytným základem zajištění kybernetické bezpečnosti, spolehlivého a rychlého ověřování uživatelů a distribuce celkové zátěže. Nemluvě o inovativních službách, postavených např. na AI technologii, využívajících právě škálovatelnost výkonu cloudu.
V případě dogmatického výkladu současného návrhu zákona by to znamenalo provozovat kompletní zálohu svých cloudových systémů výlučně na území ČR, aby bylo možné v případě krizové situace “přepnout” na plně lokální provoz. Takový scénář nejen že nedává ekonomický smysl (jde v podstatě o zálohu zálohovaného cloudu), ale znamenal by v podstatě vynucený přechod od regionálních cloudových služeb na infrastrukturu provozovanou kompletně v rámci ČR.
Poznámka Lupy: Takzvaní hyperscalers se i kvůli podobným legislativním záležitostem snaží alespoň částečně budovat lokální infrastrukturu. Microsoft našlapuje kolem datového centra v Praze, AWS už nějakou dobu slibuje lokální zónu a podobné plány má i Google.
ČLÁNKY DO MAILU