„Neakceptováno, neakceptováno, neakceptováno“ se dozvěděla podnikatelská veřejnost od kyberbezpečnostní regulátora k připomínkám k materiálu s nudným názvem “Návrh nařízení vlády o nepominutelných funkcích stanoveného rozsahu”.
Pod ním se skrývá ale velmi důležitý podklad pro rozhodnutí vlády o tom, na jak velkou část infrastruktury se bude vztahovat posuzování dodavatelů z hlediska jejich “strategického rizika” státem. Nejde o nic jiného, nežli jak velkou moc bude stát mít hlavně nad telekomunikačními nebo energetickými firmami.
Nepominutelnou funkcí podle § 27 odst. 3 zákona o kybernetické bezpečnosti pro strategicky významnou službu zajišťování veřejné komunikační sítě a strategicky významnou službu poskytování veřejně dostupné služby elektronických komunikací je
a) aktivum stanoveného rozsahu strategicky významné služby vymezené v § 2 tohoto nařízení Vlády a
b) nepominutelná funkce uvedená v příloze k tomuto nařízení.
Materiál je to zdánlivě technický, ale reálně se vláda bude rozhodovat mezi dvěma velmi odlišnými přístupy k řešení záležitostí strategické bezpečnosti dodavatelského řetězce. V návrhu nařízení vlády z dílny Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se totiž objevují detailní seznamy systémů, podsystémů a systémečků ICT infrastruktury, které by musela regulovaná osoba zahrnout do svých úvah jako kriticky důležité, bez ohledu na jejich skutečný význam v infastruktuře.
Úřad se při projednávání zákona bránil, a dokonce doplnil do důvodové zprávy k novému předpisu, že nepominutelné jsou “základní či „kritické“ funkce celého rozsahu aktiv”. Doptával jsem se i architektů sítí u mobilních operátorů, zda byl rozsah technických aktiv s nimi konzultovaný, s předpokladem, že jsou přirozenými partnery pro technické záležitosti velké infrastruktury. Bohužel ke spolupráci s experty nedošlo.
Ve skutečnosti uvedl úřad do seznamu funkcí i takové, které lze v různých scénářích klidně i vypnout a odnést, bez jakéhokoliv vlivu na provoz sítě. Z návrhu vládního nařízení vyplývá například, že kritickým systémem jsou i fakturační systémy, systémy přístupu pro sběr provozních dat nebo vzdálenější části sítě. Nezní to nějak závažně, dokud si neuvědomíte, že právě tímto způsobem NÚKIB obchází vůli zákonodárce omezit úřednickou moc vstupovat do vztahů mezi podnikateli a jejich dodavatelským řetězcem.
Přístup je o to vážnější, pokud si uvědomíte, že regulovanými subjekty nejsou jen „mobilní korporace“, ale i relativně malé firmy. Pochybné „výsady“ podřídit akvizice a architekturu velké části sítě opatřením ze strany úřadu mají i regionální operátoři obsluhující i 100 tisíc přípojek pevné služby.
Pozor, nepřekládejte si moje řádky jako zpochybnění potřeby státu chránit strategicky významné části sítí. To podnikatelský sektor nijak nezpochybňuje – a nikdy nezpochybňoval. Sektory služeb mají právo předpokládat, že se nejtvrdší opatření budou týkat skutečně nejvýznamnějších funkcí a zbytek se odehraje podle jiných možností, která kyberúřad získal v novém zákonu o kybernetické bezpečnosti. Těch je nemálo!
Vládě tak kvůli přetrvávajícím rozporům nezbyde, než text návrhu nařízení vlády o nepominutelných funkcích znovu posoudit. Doufejme, že politická reprezentace vyslyší pozici podnikatelské veřejnosti, která dává větší důraz na vzájemnou důvěru. Soustředění se na skutečně kritické části sítě by znamenalo vynaložení mnohem méně úsilí a prostředků na straně státu a podnikatelů, zvýšilo by předvídatelnost regulace a výrazně snížilo administrativní zátěž.
Pro je nižší zátěž důležitá? Tvrdá regulace má potenciál přeformátovávat trh. Zatímco reálně kritická aktiva si operátoři zajišťují v drtivé většině sami, méně zásadní části sítě jim často subdodávají v regionech menší hráči. Telekomunikační sítě jsou ve skutečnosti spojením různých infrastruktur, které pohromadě drží standardy a postupy vyplývající z nejlepší praxe. Tím je zajištěné, že zákazníci dostávají nejlepší službu za nejlepší cenu. Konkurenční prostředí v Česku je velmi zdravé, vzájemně propojené a fungující. To by se však mohlo kvůli snaze definovat za strategickou součást kdejakou periferii změnit.
Z hlediska zákona jsou totiž všichni propojení partneři velkých operátorů (a to i těch nad 100 tisíc přípojek) jejich “dodavatelé”. Úřad má ambici sledovat samozřejmě i subdodavatele, aby se dostal k technologiím, které dané služby zajišťují. Zatímco zásah pouze do „jádra“ kritických částí infrastruktury by znamenal únosné změny, roztažení navržené úřadem do povede k až extrémní nejistotě pro celý telekomunikační sektor. Včetně regionálních hráčů.
Proč nejistotu? Je to jednoduché. Čím větší má stát moc nad tím, které dodavatele a v jaké části infrastruktury zakáže, tím více nepředvídatelnosti vchází do investic. Nejde jen o čínské technologie, vždyť nedávno rezonovala obava z přílišné závislosti na technologiích z USA.
Američané teď poměrně agresivně vstupují do vnitřní politiky evropských zemí – naposledy třeba kvůli regulaci upravující fungování digitálních platforem jako Facebook nebo Google. Nevyzpytatelnost Donalda Trumpa v jeho přístupu k evropským spojencům dokládá i snaha sankcionovat autory a úředníky prosazující uplatňování evropského nařízení DSA (Digital Service Act).
Hlasitě se mluví o vývozních omezeních na technologie a pokročilé čipy z USA jako o jedné z možností reakce na prosazování digitální evropské regulace. Podnikatelé se nechtějí dostat do situace, kdy nebudou mít v ruce „žádné karty“ ke hře a budou muset vybírat z velmi omezené palety dodavatelů, bez ohledu na cenu, kvalitu a termíny dodání. Trvalá hrozba ze strany regulátora, který může průběžně měnit představu o tom, kteří dodavatelé z jakých zemí jsou “hrozbou pro bezpečnost České republiky nebo vnitřní pořádek”, žádná esa do hry nepřináší.
Vláda by si měla uvědomit, že už teď nový zákon o kybernetické bezpečnosti některé obory enormně zatíží.
Blíží se volby. Politické strany napříč spektrem slibují debyrokratizaci podnikání a snížení zátěže v podnikání. Z politických programů zní prohlášení „Snížíme administrativní zátěž, odstraníme zbytečná hlášení a zjednodušíme legislativu, která komplikuje podnikání.”
Sám NÚKIB ve svém návrhu Strategie kybernetické bezpečnosti tvrdí, jak je důležité partnerství se soukromým sektorem a uvádí, že “regulace, zejména ty z EU, jsou nepřehledné a neustále narůstají.” Pojďme se, kolegové, právě tímto řídit.
Ještě jednou, pro snadnější zapamatování; naprosto nikdo nezpochybňuje potřebu spolupráce provozovatelů ICT infrastruktury a státu na zabezpečení strategicky významných služeb a kybernetické bezpečnosti.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU