Kybernetická bezpečnost je priorita. Pravomoc státu v posuzování dodavatelů ale nemůže být bezbřehá, myslí si zástupce mobilních operátorů

Vaše asociace spolu s Hospodářskou komorou a dalšími třemi podnikatelskými organizacemi před dvěma týdny poslala dopis premiérovi Petru Fialovi z ODS, v němž žádáte zastavení dalšího schvalování nového zákona o kybernetické bezpečnosti. Máte nějakou reakci?

Do této chvíle žádnou reakci nemáme. Žádná schůzka naplánována není. Kdy se to dostane na program jednání vlády, také nevíme. Projednávání totiž provází řada nestandardních věcí.

Čtěte také

iROZHLAS

Bianko šek pro kybernetický úřad, vadí nový zákon zástupci operátorů. ‚Zaručí bezpečnost,‘ míní expert

Legislativní rada vlády měla v dubnu k zákonu významné připomínky, které do jisté míry upozorňovaly na to, na co jsme my upozorňovali už několik měsíců předtím. Národní úřad pro kybernetickou bezpečnost (NÚKIB) měl za úkol zákon významně přepracovat. Teď ale dal NÚKIB zákon znovu na Legislativní radu vlády, a najednou se to vše tváří jako zalité sluncem. Když se ale do návrhu podíváte, zjistíte, že zásadní body tam pořád jsou.

Nový zákon má do českého právního řádu převést evropskou směrnici, ale kromě toho přináší i další povinnosti. Je vaším cílem v tuto chvíli, aby se věci navíc osekaly?

Určitě. Pokud jde o téma kybernetické bezpečnosti, máme s vládou ČR naprosto shodné cíle. Kybernetická bezpečnost je pro nás prioritou číslo jedna. Investujeme do toho nemalé peníze. Děláme velmi mnoho pro to, abychom kvalitně řídili naše dodavatelské řetězce. Vnímáme i důležitost adopce směrnice NIS2, protože má do firemního i státního sektoru přinést kulturu přístupu k problematice kybernetické bezpečnosti, nastavit mantinely, zásady, jak se k této problematice chovat.

Bohužel se do českého zákona dostaly i věci, které jdou nad rámec směrnice a které mají ambici regulovat celý dodavatelský řetězec. Jinými slovy pokud by se úředníkům z NÚKIB některá firma třeba z asijské země znelíbila, mohli by ji ze sítě vyřadit.

Čtěte také

Věřím, že zákon projde. Náklady se zvýší hlavně tomu, kdo dnes bezpečnost ve virtuálním prostoru přehlíží, nastiňuje ředitel kyberúřadu

Nevyjadřovaly by se k tomu i nějaké další orgány?

Vyjadřovaly by se, ale ne formou závazných stanovisek. A to je to, co nás trápí, protože když si vezmeme třeba příklad, že náš sektor telekomunikací reguluje Český telekomunikační úřad (ČTÚ), tak ve chvíli, kdy by nám jiný regulační úřad zakázal používat nějakou technologii, dostali bychom se do významných problémů. Proto by podle nás bylo vhodné, aby se ČTÚ a NÚKIB přátelsky chytly za ruce a domluvily se spolu na tom, jak by regulace měla vypadat.

Proti principu, aby stát mohl zakázat, že firmy z některých zemí nesmějí dodávat klíčová zařízení pro klíčové prvky státní infrastruktury, třeba pro mobilní sítě, tedy nic nemáte?

Nejsme proti principu, aby stát tuto pravomoc měl, ale myslíme si, že by ji měl mít v nějakých mantinelech. Jeho pravomoc by neměla být neomezená. Pokud by docházelo k rozhodování, jehož důsledkem by byla třeba potřeba investic v řádu desítek miliard korun – jinými slovy, že bychom měli velké množství technologií z našich sítí vyhodit, a nebylo by možné dojít ke konci jejich životnímu cyklu –, pak si myslíme, že o takovém zásadním kroku by měla rozhodovat vláda, a nikoli Národní úřad pro kybernetickou bezpečnost.

Vy si dokážete představit, že NÚKIB by rozhodl bez vědomí vlády o tom, že třeba čínská zařízení se nesmějí používat?

Jedna věc je, jestli to vládě dá na vědomí, druhá věc je, že to je natolik zásadní rozhodnutí, že nikdo jiný v českém právním systému nemá kompetenci nést odpovědnost za to, že najednou desítky firem budou nuceny investovat desítky miliard korun do zbytečných věcí, které nepotřebují.

Čtěte také

„Aktualizujte zařízení, zálohujte data ve více kopiích.“ Jak se bránit proti kyberútoku?

Nestane se z toho politické rozhodnutí? Neoslabilo by to plnění cíle, když by rozhodovala vláda, a ne úřad, který by měl být v tomto expert?

Pokud se chceme vydat cestou, že budeme zakazovat dodavatele, tak je to mnohem více politické rozhodnutí než to, jestli řešíme kybernetickou bezpečnost. Kybernetickou bezpečnost řešíme standardními způsoby. Mobilní operátoři například už dnes plní 900 technickoorganizačních opatření, které jim ukládají české zákony právě s cílem, aby dokázaly zajistit úroveň kybernetické bezpečnosti na maximálně vysoké úrovni. Jsme přesvědčeni, že existuje spousta nástrojů, které státu umožňují mít jistotu, že se v klíčových odvětvích kritické infrastruktury nedějí věci, které by byly drasticky nebezpečné.

Ve chvíli ale, kdy problém vyřešíme tím, že zakážeme dodavatele, nebude to mít kýžený efekt. Bude to spíše kanon na vrabce, kdy sice budeme střílet na všechny strany, ale užitek to nepřinese. Jít cestou, že budeme zakazovat technologie jednotlivých dodavatelů, nepovede k větší bezpečnosti. K bezpečnosti vede odpovědný přístup, tedy že sporné dodavatele nebudeme pouštět do jádra sítě, ale jen na periferii. Takto je to dneska zabezpečeno a já jsem přesvědčen o tom, že čeští mobilní operátoři jsou v tomto naprostou špičkou...

Jaké firmy by se mohly dostat na pomyslný blacklist? A proč jsou v Česku mobilní data stále tak drahá? Poslechněte si celých Dvacet minut Radiožurnálu.