Zákon o kybernetické bezpečnosti pozvolna směřuje ve Sněmovně do finále. Poslanci budou při závěrečném hlasování muset rozhodnout, jak širokou do zákona zakotví pravomoc vlády zasahovat do dodavatelského řetězce. Jedna varianta pozměňovacích návrhů počítá s omezením možných zásahů jen na aktiva zařazená do skupiny kritická, druhá pak umožňuje zákaz dodavatele uplatnit i na kategorii vysoká. Bez ohledu na to, k jaké z nich se zákonodárci nakonec přikloní, však bude moci sama vláda svým nařízením tuto rozhodovací výseč rozšířit. Jde o nařízení o neopominutelných funkcích.
Proč je tedy tato pasáž v návrhu české úpravy kybernetické regulace předmětem sporu mezi sněmovními výbory, když ve výsledku ani jedna z variant nezamezí vládě v případě potřeby přijmout politické rozhodnutí a kteréhokoliv dodavatele ze znepřátelených zemí zakázat? Argumenty obou táborů dávají smysl.
Od začátku se počítalo jen s tím nejohroženějším
Zastánci zdrženlivějšího přístupu poukazují na to, že sám Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) od počátku deklaroval, že právo státu zjišťovat strategická rizika spojená s dodavateli a omezovat vliv rizikových dodavatelů se má týkat jen nejkritičtějších částí nejvýznamnější infrastruktury. Uváděla to například závěrečná zpráva z hodnocení dopadů regulace (RIA) představená na počátku legislativního procesu.
Ve stejném duchu se vyjádřil i šéf NÚKIBu Lukáš Kintr na semináři v prosinci 2022 na půdě Ministerstva průmyslu a obchodu. Tehdy řekl, že návrh regulace bezpečnosti dodavatelského řetězce má být co nejefektivnější a co nejméně zatěžující pro stát i soukromé subjekty, na které bude dopadat. „Regulace cílí jen na tu nejkritičtější část strategicky významné infrastruktury,“ uvedl doslova. Snaha rozšiřovat hranici aktiv z kategorie kritické na o stupeň nižší hodnotu vysoká tak v očích zastánců tohoto proudu představuje nedodržení původních ujištění a pro telekomunikační operátory to znamená, že tímto zásahem by mohly být postiženy čínské dodávky nejen v jádru sítě.
Mírnější varianta zvyšuje riziko arbitráží
Druhá strana poukazuje na riziko arbitráží, pokud se zákon bude nyní držet při zemi a vláda si svůj dosah nakonec stejně rozšíří. Firmy by to mohly považovat za nepředvídatelné právní prostředí. „Zákon vyjde, oni si nakoupí zboží a následně vláda řekne, že si to může rozšířit na kategorii vysoké, a vznikne problém,“ varoval před důsledky zpravodaj zákona v gesčním výboru pro bezpečnost Petr Letocha. Zúžení kategorií považuje za házení klacků pod vlastní nohy.
Přitom ke střídmému a odměřenému přístupu vybízí na několika místech i sama směrnice NIS2. Jak víme, přímo mechanismus prověřování bezpečnosti dodavatelského řetězce tento evropský předpis nijak neřeší, to je česká specialita, do níž evropský zákonodárce ty tuzemské nijak netlačil, proto z logiky ani nemůže upravovat rozsah takových pravomocí.
Ale výkon dohledové činnosti obecně NIS2 řeší, když do popředí staví zájem na tom, aby „obchodní činnost dotčeného subjektu nebyla zbytečně omezována“. Směrnice pak přístup k regulovaným subjektům dále dělí jednak podle velikosti těchto entit a jednak podle kritéria důležitosti poskytované služby, resp. přísnosti režimu regulace.
Nejmenším má stát pomáhat i s konfigurací webů
Pokud jde o ty nejmenší podnikatele, zpravidla živnostníky a malá eseróčka, směrnice vybízí členské státy, aby jim byly maximálně nápomocné k zajištění potřebné úrovně kybernetické bezpečnosti. Konkrétně u mikropodniků a malých podniků, které na to nemají příslušné kapacity, mají být ze strany státu „poskytovány služby typu konfigurace internetových stránek a vedení protokolů“.
Posuneme-li se na škále velikosti o úroveň výš, tedy na malé a střední podniky, u nich NIS2 přikazuje zřídit kontaktní místo na vnitrostátní nebo regionální úrovni, které těmto subjektům bude nápomocno, případně je nasměruje v otázkách kybernetické bezpečnosti na odpovídající instituci. Toto doporučení Bruselu reaguje na skutečnost, že některé malé a střední podniky čelí v oblasti kybernetické bezpečnosti specifickým výzvám a v souvislosti s nimi si pomocnou ruku zaslouží. Konkrétně směrnice zmiňuje nové obchodní postupy v propojenějším světě a digitálním prostředí, kdy zaměstnanci častěji než dříve pracují z domova a obchodní činnost probíhá čím dál více online.
IT systémy těchto menších firem však nemusejí být dostatečně zabezpečeny pro vzdálený přístup, mají v souvislosti s kybernetickou bezpečností vysoké náklady a jsou ve větším ohrožení, například kvůli ransomwarovému útoku. „Malé a střední podniky se čím dál častěji stávají terčem útoků skrze dodavatelský řetězec, a to kvůli tomu, že jejich opatření k řízení kybernetických bezpečnostních rizik a zvládání útoků jsou méně důkladná a že na bezpečnostní záležitosti mají k dispozici méně zdrojů,“ konstatuje NIS2.
Evropská komise v této souvislosti varovala, že tyto útoky skrze dodavatelský řetězec pak nemají dopad jen na malé a střední firmy a jejich izolovanou činnost, ale mohou získat kaskádový účinek v rámci rozsáhlejších útoků na odběratele, kterým poskytují své služby. Proto si i tyto menší subjekty zaslouží ochranu. Brusel navrhuje, aby v jejím rámci „členské státy nabízely bezplatné služby nebo nástroje, včetně samoobslužných kontrol, detekčních nástrojů a služeb chránících před zneužitím korporátních značek a identity (takedown service)“.
Kontrolu spustí incident nebo udavači
Druhé hledisko, které má mít na kontroly vliv, je zařazení buď do režimu základních, nebo důležitých subjektů, v českém zákoně tomu odpovídá názvosloví označující režim vyšších a nižších povinností. V přísnějším režimu, tedy u základních subjektů, má fungovat komplexní režim dohledu preventivního a reaktivního druhu, tedy ex ante i ex post. Znamená to, že kontrola může přijít kdykoliv a může zkoumat i splnění povinnosti systematicky dokumentovat soulad s opatřeními k řízení kybernetických bezpečnostních rizik.
Naproti tomu subjekty v mírnějším režimu, slovy směrnice důležité subjekty, tuto povinnost mít nemají. Regulační orgány by se o ně měly zajímat jen v rámci dohledu ex post. Tomu by měly předcházet důkazy, indicie nebo informace nasvědčující možnému porušení NIS2.
„Mohlo by se například jednat o takový druh důkazů, indicií nebo informací, jaký příslušným orgánům poskytují jiné orgány, subjekty, občané, sdělovací prostředky nebo jiné zdroje, nebo by se mohlo jednat o veřejně dostupné informace,“ vyjmenovává směrnice.
V režimu nižších povinností by tak do firem měli brněnští úředníci přijít jen v reakci na předchozí problém či podnět, nikoliv preventivně. Tím podnětem může být bezpečnostní incident, zjištění úředníků z jejich vlastní činnosti, anebo udání.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU