Proč budí Zákon o kybernetické bezpečnosti tolik vášní a obav
Vláda schválila 17. července znění zákona o kybernetické bezpečnosti, který půjde v září do sněmovny. Ač si to spousta lidí neuvědomuje, bude se jich dotýkat. Může se například promítnout do zdražení mobilních služeb. Na druhou sranu by je měl ochránit před selháními sítí a databází způsobenými kyberútoky. Odborníci a organizace, na které zákon přímo dopadne, se přou zejména o to, zda některá opatření nejsou zbytečně přísná, aniž by byla adekvátně efektivní.
Nařízení Evropské unie o kybernetické bezpečnosti, konkrétně směrnice NIS2 (Network and Information Security 2), představuje klíčový krok k posílení bezpečnosti informačních systémů a kritické infrastruktury napříč členskými státy. Každý stát je povinnen ji převést do vlastní legislativy a kritické hlasy se obávají, že Česko bude papežštější než papež, jak se už mnohokrát stalo.
Návrh i budoucí provádění zákona dostal do gesce Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jeho ředitel Lukáš Kintr zdůrazňuje, že je krokem správným směrem k zabezpečení kritické infrastruktury a ochrany dat. U kritiků ale budí obavy právě i fakt, že se tak komplexní téma podřizuje úzkému okruhu specialistů z jediného úřadu.
Proti předkládané verzi zákona vznesly už výhrady organizace jako Hospodářská komora, Svaz průmyslu a dopravy, Asociace provozovatelů mobilních sítí a překvapivě také Americká obchodní komora v České republice. Překvapivě proto, že obecně jsou to právě Američané, kdo jako první začali rázně omezovat použití čínského hardwaru ve své komunikační infrastruktuře.
Zbytečná přísnost a ekonomické dopady
Jedním z hlavních bodů kritiky je zbytečná přísnost implementace, která podle mnohých subjektů vede k nepřiměřeným ekonomickým dopadům. Zvýšené náklady a nejistota ohledně budoucích investic mohou negativně ovlivnit strategické služby pro ekonomiku a společnost.
Abychom si to uvedli na konkrétním příkladu, zákon by reguloval, od koho a jaké mohou mobilní operátoři nakupovat komponenty (už by to nešlo od firmy Huawei). Dle vládního návrhu má zákon kontrolovat celou telekomunikační síť, bez ohledu na kritičnost jednotlivých částí sítě. Přitom koncové vysílače lze těžko považovat za kritické prvky sítě, jejich výpadky jsou běžné a nemají dopad na dostupnost služeb mobilního operátora. Výměna jejich koponent by mohla vyjít na vyšší jednotky miliard, které v důsledku zaplatí zákazníci.
Zákon dopadne na tisíce organizací, kterým chybí IT odborníci
Nový zákon významně rozšiřuje počet subjektů kritické infrastruktury z přibližně 400 na 6 000 organizací. Tento krok je vnímán jako nepřiměřený a administrativně náročný. Zahrnutí široké škály subjektů, včetně obcí, vytváří potřebu značných investic a personálního zajištění.
I když technologická připravenost České republiky není považována za problém, nedostatek odborníků na kybernetickou bezpečnost je významnou výzvou. Tento nedostatek se projevuje jak ve veřejném, tak v soukromém sektoru, a je jedním z hlavních důvodů, proč mnohé subjekty vnímají implementaci nového zákona jako problematickou.
Promluví do konečné podoby zákona lobbisté?
Implementace směrnice NIS2 do české legislativy je krokem nezbytným pro posílení kybernetické bezpečnosti země. Nicméně, přísnost této implementace vyvolává oprávněné obavy a kritiku. Je třeba vyvážený přístup, který by zajistil vysokou úroveň bezpečnosti bez nadměrné ekonomické a administrativní zátěže pro regulované subjekty.
Na dosavadní postup vlády můžeme nahlížet tak, že odolávala tlaku lobbistů dotčených korporací, ale rovněž tak, že nevedla potřebný dialog. Tlak na poslance během projednávání zákona ve sněmovně bude proto značný. Největší škoda by byla, kdyby potom z potřebného zákona vznikl kvůli přehršli pozměňovacích návrhů paskvil, který nenaplní kýžené cíle.