Asociace kritické infrastruktury České republiky (AKI ČR) se připojila ke kritice návrhu nového zákona o kybernetické bezpečnost, který nedávno k veřejným konzultacím předložil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Aktuální podoba návrhu zákona na trhu vyvolala divoké reakce v lze očekávat velké tlaky nejenom ze strany operátorů, ale také energetických hráčů jako jsou ČEZ. Právě ČEZ je součástí AKI ČR, stejně jako třeba Česká pošta, ČEPRO, ČEPS, Letiště Praha, Správa železnic nebo České Radiokomunikace.
NÚKIB totiž chce v rámci zákona vedle implementace evropské směrnice NIS2 také mechanismus posuzování rizikových dodavatelů. Úřad chce mít možnost jejich důvěryhodnost posuzovat a pak jim případně zamezit vstup do sítí. Taková regulace by se týkala asi 150 subjektů včetně energetiky a dalších.
AKI ČR navrhuje NIS2 a mechanismus rozdělit do samostatných částí. Zatímco implementaci NIS2 trh obecně považuje za velice dobrou, mechanismus na trhu budí opačné reakce.
“Problematickými jsou zejména způsob určování regulovaných činností, netransparentní hodnocení kritérií rizikovosti dodavatelů a zemí, utajování podkladových informací a hodnotících parametrů, nemožnost podat řádný opravný prostředek proti zákazu obchodních vztahů, ale i možné ingerence NÚKIB do výsostných pravomocí vlády České republiky v oblasti mezinárodní politiky a národní bezpečnost,” píše se mimo jiné v prohlášení AKI ČR.
Operátoři a další subjekty nyní budou NÚKIBu posílat své připomínky, které mohou a nemusí být implementovány. Pak návrh zákona zamíří do mezirezortního připomínkového řízení.
Mechanismus aktuálně míří primárně proti společnosti Huawei, která má obří tržní podíl. Operátoři hrozí, že pokud budou muset zařízení od této čínské společnosti ze sítí vyndat, budou se soudně dožadovat až desítek miliardy kvůli maření investic. Připomínky k zákonu chystají i ministerstva. Ministerstvo průmyslu a obchodu například mluví o potřebe hledat spravedlivý kompromis mezi bezpečností a svobodou podnikání.
Celá reakce AKI ČR zní takto:
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spojil v návrhu nového zákona o kybernetické bezpečnosti transpozici evropské směrnice NIS2 s věcně bezprostředně nesouvisející regulací dodavatelských řetězců. Velmi oceňujeme, že NÚKIB transpozici evropské směrnice NIS2 obsáhle diskutoval a sdílel s odbornou veřejností.
Navrhnout regulaci dodavatelských řetězců uložila NÚKIB bezpečnostní rada státu, zejména ve vazbě na neustále se zvyšující kybernetické hrozby a na probíhající válečný konflikt na Ukrajině. K regulaci dodavatelských řetězců proběhlo několik setkání zástupců NÚKIB se zástupci businessu, kdy bylo zřejmé, že toto téma je velmi citlivé a na způsobu, rozsahu a dopadech jeho zakotvení do právního řádu České republiky existují diametrálně odlišné názory.
Návrh nového zákona o kybernetické bezpečnosti zveřejněný NÚKIB dne 26. ledna 2023 v sobě zahrnuje vedle velmi dobře komunikované transpozice evropské směrnice NIS2 i nanejvýš kontroverzní úpravu regulace dodavatelských řetězců.
Asociace kritické infrastruktury ČR (AKI ČR) je přesvědčena, že navržené začlenění regulace dodavatelských řetězců do zákona o kybernetické bezpečnosti je nešťastné a ve svém důsledku přímo ohrožuje implementaci evropské směrnice NIS2 do právního řádu ČR. Z uvedených důvodů AKI ČR doporučuje vyčlenit regulaci dodavatelských řetězců do samostatné právní úpravy.
Bezpečnostní rada státu (BRS) uložila NÚKIB předložit do května 2023 návrh zákona zavádějícího mechanismus regulace dodavatelů do strategicky významné infrastruktury státu s cílem zvýšit odolnost a bezpečnost České republiky.
Návrh regulace dodavatelských řetězců tak, jak jej NÚKIB předložil veřejnosti v návrhu nového zákona o kybernetické bezpečnosti, je velmi nejasný a těžko pochopitelný z hlediska hrozeb, zranitelností a rizik, které má řešit.
Problematickými jsou zejména způsob určování regulovaných činností, netransparentní hodnocení kritérií rizikovosti dodavatelů a zemí, utajování podkladových informací a hodnotících parametrů, nemožnost podat řádný opravný prostředek proti zákazu obchodních vztahů, ale i možné ingerence NÚKIB do výsostných pravomocí vlády České republiky v oblasti mezinárodní politiky a národní bezpečnosti.
Z veřejnosti předloženého návrhu plyne, že by NÚKIB mohl mj. určovat napříč obory činnosti rozsah regulace vlastními vyhláškami, tedy bez širší diskuse a kontroly ze strany vlády anebo Parlamentu České republiky. Výkonem takové pravomoci by NÚKIB de facto samostatně vstupoval do rozhodování o strategických a geopolitických hlediscích, jejichž hodnocení je ve výlučné působnosti vlády České republiky.
Obdobně by svými rozhodnutími NÚKIB mohl ovlivňovat mezinárodněpolitické vztahy a hospodářství České republiky, a zasahovat do gesce ministerstev a dalších ústředních orgánů veřejné moci. Jeho činnost by však vzhledem k návrhu utajovat podkladové informace byla prakticky vyjmuta z veřejné kontroly zákonnosti a přiměřenosti.
Záměr regulovat dodavatelské řetězce byl sice odborné veřejnosti známý, ale z velmi omezených nebo nejasných informací nebylo možné dovodit připravenou podobu regulace. Multilaterální, ale ani bilaterální jednání mezi NÚKIB a dotčenými subjekty, a ani obecná vyjádření a veřejná vystoupení zástupců NÚKIB tuto nejistotu neodstranily.
Přesvědčení o nezbytnosti posilování odolnosti kritické infrastruktury bylo jedním z hlavních důvodů založení AKI ČR. AKI ČR a její členové jednoznačně sdílí potřebu a podporují stát v úsilí posilovat svou odolnost a obranyschopnost včetně oblasti kybernetické bezpečnosti. Bezpečnost a kontinuita činností jsou také elementárním předpokladem podnikání regulovaných subjektů, které proto tato bezpečnostní rizika ve vlastním podnikatelském zájmu již dnes omezují mj. diverzitou dodavatelů, technickými, procesními a dalšími opatřeními podle právních předpisů relevantních pro své obory činnosti, a v souladu s mezinárodními standardy a doporučeními.
Návrh zákona o kybernetické bezpečnosti je mimořádně rozsáhlý. V případě schválení bude mít závažné a trvalé hospodářské, obchodní a technologické dopady. AKI ČR oceňuje úsilí, které NÚKIB vynaložil na konzultace, sběr a sdílení informací s regulovanými subjekty v oblasti transpozice NIS2. Návrh regulace dodavatelských řetězců však AKI ČR považuje ve stávající podobě za nepřijatelný, a to jak z hlediska formy, tak i obsahu.
Spojení transpozice směrnice NIS2 s návrhem regulace dodavatelských řetězců, který je bez podstatné revize odborně nepřijatelný, ohrožuje celý legislativní proces transpozice směrnice NIS2. Spojení obou norem do návrhu nového zákona o kybernetické bezpečnosti proto považujeme za nevhodné a doporučujeme regulaci dodavatelských řetězců z návrhu vyjmout a po nezbytné veřejné diskusi zpracovat do samostatné právní normy. Tím by bylo zásadně sníženo riziko nedodržení lhůty transpozice směrnice NIS2.
Vzhledem k dosavadní vysoce nadstandardní spolupráci AKI ČR a NÚKIB v oblasti regulace kritické informační infrastruktury věříme v pokračování věcné odborné diskuse.
Ve stanovené lhůtě zašle AKI ČR souborné připomínky k návrhu nového zákona o kybernetické bezpečnosti NÚKIB. Připomínky bude AKI ČR sdílet s dalšími relevantními subjekty, orgány veřejné moci a odbornou veřejností.
ČLÁNKY DO MAILU