Věřím, že zákon projde. Náklady se zvýší hlavně tomu, kdo dnes bezpečnost ve virtuálním prostoru přehlíží, nastiňuje ředitel kyberúřadu

Pět podnikatelských organizací včetně Hospodářské komory vyzvalo dopisem premiéra Petra Fialu (ODS), aby přerušil schvalování zákona o kybernetické bezpečnosti. Může to ohrozit nebo výrazně zdržet jeho přijetí? Jaké povinnosti má nový zákon zavést? Opravdu může znamenat pro firmy i pro stát náklady v řádu desítek miliard korun? A kolika kyberútokům denně Česko čelí? Tomáš Pancíř se ptal ředitele Národního úřadu pro kybernetickou a informační bezpečnost Lukáše Kintra.

Asociace provozovatelů mobilních sítí a další tři podnikatelské organizace se obrátily na premiéra kvůli novému zákonu o kybernetické bezpečnosti, který připravil váš úřad. Vnímáte to jako vážné ohrožení jeho dalšího schvalování?

Pevně věřím, že nikoli.

Náčelník generálního štábu české armády Karel Řehka na nedávném semináři v Poslanecké sněmovně mluvil o enormních lobbistických tlacích, které projednávání a přípravu zákona provází. Vnímáte to stejně?

Ano, v průběhu přípravy, která se zdaleka netýká jen posledních týdnů a měsíců vzhledem k tomu, že se zákon připravuje déle než rok a debaty o určitých částech běží v podstatě delší období, bylo tlaků za danou dobu v různé intenzitě a z různých směrů opravdu velké množství.

Pojďme k tomu, co má nový zákon reálně přinést. První důležitou věcí je, že má výrazně rozšířit okruh firem, na které se bude vztahovat. Ze současných řádově čtyř set na více než šest tisíc. Máte to spočítané? O kolik více než zmíněný počet by to mělo být?

V průběhu příprav jsme se na základě určujících kritérií přejímaných z evropské směrnice snažili české prostředí modelovat a počítat, na kolik subjektů může regulace dopadnout, z čehož právě vychází zmíněný odhad šest tisíc a více. Ne vždy se nám podařilo získat objektivní data, z nichž bychom byli schopni s jistotou říct, že to bude přesně jen daných šest tisíc.

Čtěte také

Co všechno budou příslušné firmy muset nově splňovat? Jaké povinnosti jim má zákon přinést?

Přichází s několika základními povinnostmi. Plošně a pro všechny platící bude například to, aby se nám ohlásili cestou portálu, který k tomu připravujeme a daný proces tak byl elektronický s minimální administrativní zátěží. Současně budou mít vůči nám veškeré subjekty povinnost v hlášení o incidentu v jejich rámci.

Další a možná i tou nejzásadnější je zavedení určitých bezpečnostních opatření, kterým je zákon s jeho prováděcími vyhláškami upravován a definován. Dané podmínky se dále dělí do dvou základních skupin, do takzvaného vyššího režimu pro dané subjekty a nižšího režimu pro ty, kterých bude přibližně tisíc z celkového množství. Tam máme přesný odhad, že to daný počet opravdu bude. Prakticky se jedná o povinnosti, které již dnes platný zákon o kybernetické bezpečnosti diktuje.

Požadavky zákona stojí na určitých mezinárodních standardech, kterým je jasné, že ne hned na vše mohou být peníze.

V dopise premiérovi zástupci podnikatelů tvrdí, že přijetí zákona bude pro firmy znamenat náklady v řádech desítek miliard korun. Považujete to za realistický odhad?

Spočítat náklady je velmi obtížné, neboť se zde bavíme o neurčité skupině šesti tisíc a více subjektů, z nichž někteří již dnes podléhají regulaci. Pro ně by to v podstatě žádné nové výrazné náklady přinést nemělo. Jedná se o zmíněných čtyři sta subjektů, případně ty ze státního sektoru, kde se množina zvětšovat nebude. To znamená, že dopady na státní rozpočet jako takový by neměly enormně růst a záleží, jak dnes každý ke kybernetické bezpečnosti přistupuje. Jsou subjekty, které ji řeší, uvědomují si to a jsou zodpovědní, protože to je v jejich zájmu. I pro ně by se nic zásadně měnit nemělo.

Čtěte také

Pokud dnes ale kybernetickou bezpečnost někdo přehlíží a neošetřuje hrozby a rizika, která z fungování v kyberprostoru plynou, budou pro něj náklady opravdu vysoké. Požadavky zákona nicméně stojí na určitých mezinárodních standardech, kterým je jasné, že ne hned na vše mohou být peníze. Proto jsou tam nástroje, kdy lze zátěž kontinuálně rozložit a po několik let si naplánujete, jak se tomu budete věnovat. To umožní, že budete činit v souladu se zákonem, byť ne hned ze startu na sto procent.

Kolika kyberútokům aktuálně české firmy a čeští občané denně čelí?

Podíváme-li se na počet incidentů, které Národní úřad pro kybernetickou bezpečnost řeší, bylo jich za loňský rok řádově 260. Když půjdeme dál, incidentů řešených národním CSIRT týmem provozovaným CZ.NIC bylo 2750. Trestných činů, kterými se zabývala policie, bylo za stejné období přes 19 500. Nicméně jde jen o zlomek toho, co se reálně děje.

Minulý týden jste na facebooku sdíleli vcelku působivé video o tom, co umělá inteligence dokáže vytvořit z pár snímků dítěte. Vychází to z reálných případů? Opravdu se již děje to, že z toho někdo dokáže vytvořit dětskou pornografii nebo další věci, které slouží k šikaně?

Ne zcela se to kryje s činností NÚKIBu, byla by to tudíž otázka spíše na policii. Nicméně ano, pro šikanu a další věci, kterými se náš úřad, byť třeba okrajově, zabývá, se to využít dá. Prozatím se případy objevují v řádu jednotek.

Jaké bude mít zákon dopady do státního rozpočtu? Proč v dané problematice nestačí osvěta? A eviduje v poslední době kyberúřad hackerské útoky, kde je vážné podezření, že byly napojené na cizí státy nebo jejich tajné služby? Poslechněte si celý rozhovor vedený Tomášem Pancířem.

autoři: Tomáš Pancíř , ula
Spustit audio

Související