Článek
Komentář si také můžete poslechnout v audioverzi.
Vláda schválila nový zákon o kybernetické bezpečnosti, který vytvořil Národní úřad pro kybernetickou bezpečnost (NUKIB). Sporná otázka je v tom, že úřadu dovoluje, aby kontroloval, jaké firmy si například mobilní operátoři nebo energetické společnosti najmou na zajištění své kyberbezpečnosti, a případně je ze zakázky vyloučil, pokud podle něj představují pro stát bezpečnostní riziko.
„Povinných subjektů“, tedy firem, kterých se nařízení dotkne, bude odhadem možná tak polovina ze všech středních a velkých firem v Česku, tedy asi osm tisíc. A to nepočítám ještě stovky, ne-li tisíce státních a veřejných orgánů, od větších obcí až po nemocnice, domovy důchodců, léčebny, krajské technické služby, prostě hromady subjektů, které se doteď kyberbezpečností moc nezabývaly.
Proto je škoda, že se tato část zákona odbývá tím, že „to po nás chce EU“. Je pravda, že jde o zavedení povinností z evropské směrnice NIS 2 do našeho právního řádu. Ale úřady, vláda i Parlament by si měly dát pozor na to, aby náš český přístup nebyl přísnější než v sousedních zemích. Jinak se budeme střílet do vlastní nohy a naše firmy příliš zatěžovat.
Bohužel debata o celém zákonu se smrskla jen na to, jak a v jaké podobě bude Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) „zakazovat Huawei“. Je to špatně a je to hloupé zjednodušení. Byť chápu, že to je skvělá linka. Když jsi „proti zákonu“, tak „kopeš za Čínu“ a ještě jsi „protizápadní“. Neuvěřitelný faul a hloupost. Firmy jako Německo, Francie a Španělsko s Čínou čile obchodují. To samé dělají sousední Slováci a Maďaři. My zřejmě budeme vše zakazovat a uvalovat sankce. A podle některých hlasitých zastánců tvrdé regulace to zřejmě povede k posílení hospodářské prosperity ČR.
Řekněme si fakta
Za prvé, mobilní operátoři jsou v první linii kyberobrany a mají možná vedle bankovního sektoru nejvíce zkušeností s tím, co je to reálná kybernetická bezpečnost. Každý den každý z českých velkých operátorů zažije tisíce pokusů o kyberútoky z různých stran. Obvinění, která slýcháme, že „nám jde o zisk“, jsou nesmírně urážlivá. Každý operátor má vyčleněné desítky zaměstnanců, kteří dělají jenom na bezpečnosti a na jejím procesním i technologickém zajištění. Rozpočty bezpečnostních oddělení kontinuálně rostou. Důkazem, že svou práci děláme dobře, je, že kontrolami kyberúřadu procházíme průběžně s výsledkem nula pochybení.
Někteří úředníci (říkejme jim třeba „deep state“) přesto chodí za poslanci a dělají z nás agenty cizí mocnosti, co brání zvýšení bezpečnosti státu. To je samozřejmě hloupost. Akorát lépe než úřady víme, kde je dobré investovat do bezpečnosti víc a kde je riziko menší a je možné ho ošetřit lépe a s nižšími náklady. Víme, jak náš byznys funguje.
Za druhé, v zákoně je skutečně pasáž, která umožňuje NÚKIB získat kontrolu nad dodavatelskými řetězci do řady důležitých firem v Česku, ať už z odvětví energetiky, nebo telekomunikací. V praxi se to má odehrávat asi tak, že tyto subjekty budou úřadu hlásit dodavatele do důležitých systémů a úřad bude vyhodnocovat, zda představují „významné ohrožení bezpečnosti České republiky nebo vnitřního pořádku“, což je citace ze zákona. Co to konkrétně je a na základě čeho to bude úřad vyhodnocovat, není zcela jasné, a to je první problém. Odvětví jako telekomunikace i energetika dělají investiční rozhodnutí a navazují dodavatelské vztahy na mnoho let dopředu (například výběr dodavatele pro rádiové technologie u mobilního operátora znamená, že proběhne výběrové řízení, které trvá třeba jeden a půl roku, upgrade sítě na novou generaci trvá kolem tří až čtyř let, životnost technologií je deset a více let).
Pro nás je zejména z pohledu předvídatelnosti investičního prostředí nepřijatelné, aby pravomoc zakázat některého dodavatele měl jen jeden samotný úřad, aniž by k tomu potřeboval posvěcení jiného orgánu – třeba vlády ČR.
NÚKIB si zákon navrhl velmi pohodlně, aby vše řešil sám od A do Z. Tedy na koho dopadnou pravidla, v jakém rozsahu (určí si vlastní vyhláškou) a kdo bude onen zakázaný dodavatel. Úředníci z NÚKIB si do zákona sice vložili větu, že při posuzování „rizikovosti dodavatele“ si mají vyžádat stanovisko od Ministerstva průmyslu a obchodu, Ministerstva zahraničních věcí a Ministerstva vnitra. Ale – pokud máme citovat z důvodové zprávy, tak „Stanovisko poskytnuté orgány státu bude mít nezávaznou povahu, a tudíž k němu bude Úřad toliko přihlížet. Společně s ostatními zdroji pak bude Úřad i na jeho základě vyhodnocovat rizikovost dodavatele.“
Takže i přímo do důvodové zprávy si úřad píše, že si fakticky může dělat, co chce. A to už si myslíme, že je mimo obecné demokratické principy. Vyhodnocení dodavatele jako „rizikového“ je totiž pro daný subjekt fakticky trest smrti, protože s takto ocejchovanou firmou už nikdo spolupracovat nebude. Ve veřejné ani soukromé sféře.
Vůbec přitom neříkáme, že by stát neměl mít k dispozici potřebné silové nástroje – například pravomoc zákaz dodavatele. Naopak říkáme: „Státe, měj tyto nástroje k dispozici, ale když jich začneš využívat, nechej o jejich síle rozhodnout vládu.“ Ve chvíli, kdy politická reprezentace vše outsourcuje na úřad, stane se úřad paradoxně ve věci posuzování a zakazování dodavatelů policistou, státním zástupcem, soudcem i exekutorem v jedné osobě. Je to strašně nevyvážené a nebezpečné. Je to stejné, jako kdyby o zavření ekonomiky za covidu nerozhodovala vláda, ale pouze a jenom epidemiologové, protože oni tomu přece nejvíce rozumí. Koneckonců u zákonů, které podobně omezují práva podnikatelů, jako je posuzování zahraničních investic nebo zařazování firem na sankční seznam, to je právě vláda, která o tom rozhoduje.
Rád bych jasně řekl, že vůbec nerozporujeme, že stát by měl mít právo více kontrolovat, kdo je dodavatelem u kritických částí infrastruktury důležitých firem. O co jde, je, kdo to má na straně státu rozhodovat. Zda jeden úředník z Brna, nebo demokraticky zvolení politici, kteří jsou schopni posoudit i jiná hlediska než čistě bezpečnostní. Pokud taková rozhodnutí budou mít dopad na podnikatele v podobě například vynucených investic v řádu desítek miliard korun, je třeba si za takovým rozhodnutím stát a mít za něj i politickou odpovědnost před voliči. Protože každé takové rozhodnutí bude mít dvě roviny – ta první je zvýšení „strategické bezpečnosti“, ta druhá je cena, kterou za to budeme muset – my všichni, tedy firmy, občané či veřejné instituce – zaplatit.
Cena přitom může být vysoká – naše asociace spočítala, že pokud bychom měli odstranit ze sítí všech operátorů všechny dodavatele z Číny, bez ohledu na to, zda jsou v důležitých, či nedůležitých částech sítě, bude to stát asi osmnáct miliard korun. A to nepočítáme s náklady na výměnu zařízení, přeškolení zaměstnanců a úpravu dalších systémů.
Je dobré si povšimnout, jak strašně snadno se úředníkům mluví o tom, že je něco „bezpečnostní hrozba“ a „riziko“, mluvit o „závislostech“ a podobně. Zní to krásně a jasně. Problém je, že tyto vznešené řeči obvykle nezaplatí ti, kteří je pronáší – tedy úředníci. Na konci dne to platíme všichni – firmy a zejména my občané.