Praha 4. května 2023 (PROTEXT) - Server Cyberblog.cz přichystal další ze série kulatých stolů ohledně kybernetické bezpečnosti, tentokrát na téma připravovaného mechanismu prověřování bezpečnosti dodavatelského řetězce. Tato část navrhovaného nového zákona o kybernetické bezpečnosti vyvolala zřejmě největší množství připomínek odborné veřejnosti během neformální konzultace, která běžela od konce ledna do poloviny března. Zástupci asociací operátorů vyjádřili obavu z předčasné generační obměny celé soustavy, která by dle jejich předpokladů mohla znamenat výdaje až osmnáct miliard korun. Dle jejich názoru by bylo vhodné regulaci dodavatelských řetězců omezit jen na kritickou část sítě, tedy jádro - jak to učinila většina států EU, které podobná pravidla pro prověřování rizik spojených s dodavateli již v nějaké podobě zavedly.
Kulatý stůl moderoval konzultant, analytik a bývalý člen rady ČTÚ Ondřej Malý. V úvodu krátce představil koncepci chystaného Zákona o kybernetické bezpečnosti, nedávné připomínkové řízení a vývoj této regulace od EU 5G Security Toolboxu přes doporučení k výběru dodavatelů do 5G sítí, které vydal NÚKIB před rokem, až k nynějšímu návrhu zákona. Zmínil také přístup ostatních států EU, který se pohybuje od benevolentního požadavku na technické posuzování až po tvrdé zákazy některých dodavatelů, což s sebou nese soudní spory (jako například ve Švédsku nebo ve Francii, kde dva ze čtyř operátorů žádají po státu náhradu ve výši dohromady necelých 200 milionů eur).
Jaromír Novák, bývalý předseda rady ČTÚ, jež v současnosti působí jako partner pro veřejnou správu ve sdružení CZ.NIC a jako poradce ministra průmyslu a obchodu, ocenil přístup NÚKIB, kdy úřad v dostatečném časovém předstihu konzultoval návrh zákona předem se subjekty, na které regulace dopadne - podle Nováka jde o nejširší transparentní a veřejnou konzultaci od doby rekodifikace soukromého práva. Vzhledem k počtu dotčených subjektů a vysokému povědomí o problematice se museli experti NÚKIBu vypořádat s více než tisícovkou připomínek, které zaslali zástupci soukromého sektoru a institucí.
S mírou komunikace ze strany regulátora však nebyli spokojeni zástupci soukromého sektoru. "Z tisíců připomínek byly akceptovány pouhé jednotky," uvedl Jiří Grund prezident Asociace poskytovatelů mobilních sítí (APMS). "Dvanáct našich členů se samo identifikovalo jako potenciálně dotčený subjekt mechanismu. Naše připomínky však nebyly akceptovány a často byly odbyty jednoslovnou odpovědí - 'neakceptováno', což vnímáme jako faul, obzvláště v kontextu, kdy naši členové dávají práci dvanácti tisícům lidí," dodává Jakub Rejzek, prezident Nezávislého ICT průmyslu, mezi jehož členy patří kromě operátorů, kteří provozují páteřní sítě i nezávislí menší a střední lokální a regionální poskytovatelé.
Jiří Grund (APMS) vyjádřil značné překvapení nad přístupem úřadu, se kterým operátoři komunikují o zákoně již dlouhou dobu. "Konzultace probíhaly poslední dva roky, ale máme pocit, že se v návrhu zákona neobjevilo nic, co jsme navrhovali. Zájmy operátorů a zájmy státu jsou přitom totožné. Nebráníme se otázkám národní bezpečnosti. Bráníme se tomu, aby debata byla emocionální. Chceme racionální přístup, který má být základem kybernetické bezpečnosti. Stavebním kamenem kybernetické bezpečnosti je diverzita."
Jak podotkl moderátor Ondřej Malý, vypořádání připomínek je ale jen prvním krokem k zapojení veřejnosti. Dalším bude formální meziresortní připomínkové řízení, kde bude mít sektor možnost vyjádřit se prostřednictvím svých zástupců, jako je Hospodářská komora a Svaz průmyslu. A proběhne i projednávání v rámci vlády a parlamentu. Za stěžejní označil meziresortní připomínkové řízení Jaromír Novák, který věří, že se zatím regulátor a soukromý sektor "vzájemně oťukávají".
Jiří Grund uvedl, že není jasné, z jaké metodiky NÚKIB při tvorbě regulace vychází, neboť dle něj neexistuje žádná studie regulace dopadů opatření. "Sektor zatím nemá představu, jak přesně bude omezení fungovat. V případě, že bude třeba provést výměnu nejen částí jádra, které je nejvíce kritickou částí sítě, ale také rádiové části sítě, se mohou náklady vyšplhat až do řádů nižších desítek miliard korun. To nebude představovat problém pouze pro operátory, ale také pro stát, jehož daňové příjmy by touto investicí zákonitě poklesly, a to až o dvacet miliard," dodává Grund.
Dle Jaromíra Nováka nikdo nezpochybňuje, že by mělo být v kompetenci státu mít dozor nad dodavatelským řetězcem. "Poslední analytická zpráva z ukrajinského kyberbezpečnostního úřadu říká, že je to právě vektor útoku prostřednictvím dodavatelského řetězce, který narůstá a způsobuje problémy soukromému sektoru i státní správě," uvedl Novák. Zástupci průmyslu kontrovali, že pokud by již měl stát mít takové pravomoci, rozhodování by mělo být politické. Zároveň podle nich operátoři dostatečně reagovali i na doporučení, které NÚKIB vydal - "Problém dodavatelského řetězce na Ukrajině se netýká výrobce zařízení distribuční sítě, ale dodavatelů aplikací v obsluze sítě. Zde výrobce vliv nemá. Většina našich členů již začala na základě doporučení více diverzifikovat své sítě," řekl například Jakub Rejzek z VNICTP. To, že diverzifikaci dodavatelů uplatňují i mobilní operátoři, potvrdil také Jiří Grund.
Do diskuse následně vstoupil náměstek ministra pro digitalizaci Ondřej Profant. "Ani půdorys regulace založený na spojenectví nemusí být vyhovující, a proto je potřeba co nejvíce obecná regulace, která nás připraví i na budoucí dosud neznámá rizika. Tak jak vnímáme určité subjekty dnes neznamená, že je takto budeme vnímat i za pět let," řekl. Klima, jež provádí diskutovaný zákon bylo navíc dle něj ovlivněno vnějšími historickými vlivy - například poměry na Pražském hradě.
Jak Jakub Rejzek, tak Jiří Grund se shodli, že regulace musí být prosta emocí. Dle obou je potřeba dosáhnout takového stavu, kdy dochází k mitigaci rizik uvnitř nejkritičtější části infrastruktury, nikoliv části přenosové. S čímž ostatně částečně souhlasil i náměstek Ondřej Profant, když prohlásil: "Situace musí být odstupňovaná dle kritičnosti, a to se zdůvodněním, jak moc rozsáhlé je další užití daných technologií. Požadavek na vícero dodavatelů je pro větší operátory vhodným řešením, tak aby nemuselo docházet ke generačním obměnám. To ale neznamená, že by NÚKIB neměl hledat systémové řešení, neboť vektor útoku vedený skrze dodavatelský řetězec je čím dál častější realitou a my, jakožto stát, s ním musíme umět pracovat."
Závěrem položil spoluzakladatel Cyberblogu Ondřej Vanáč otázku, ve kterých státech by bylo nejvhodnější hledat inspiraci. Jako inspiraci označili panelisté například Německo (i s poněkud byrokratickým přístupem), nebo Finsko, které postupuje v této regulaci právě tak, že hlídá dodavatelské řetězce v nejkritičtější části sítě, tedy v jádru. Jaromír Novák varoval před vyhrocenou debatou: "Z mé zkušenosti práce na Českém telekomunikačním úřadě vidím, že část argumentů sektoru může být vyhrocená, věřím, že na konci dne zde bude mít Česko efektivní a bezpečnou regulaci dodavatelského řetězce."
Záznam celé debaty je dostupný ZDE.