ZKB představuje hrozbu znehodnocení investic podnikatelů v řádu desítek miliard korun, bez naplnění jeho účelu, tedy zajištění vyšší míry bezpečnosti.
Hlavním smyslem nového zákona o kybernetické bezepčnosti (ZKB) je adopce směrnice NIS2 do českého právního prostředí. NUKIB však jde významně nad rámec směrnice NIS2 a do zákona přidává další silné regulační opatření tzv. Mechanismus prověřování bezpečnosti dodavatelského řetězce (Mechanismus).
Ačkoli mobilní operátoři plně podporují úsilí Vlády ČR o zvýšení kybernetické odolnosti naší země, způsob provedení, jak je představen v návrhu ZKB je velmi nešťastný. Jeho dopady nepocítí jen sektor telekomunikační, ale i sektor energetický a všichni provozovatelé tzv. kritické infrastruktury.
Spolu s dalšími asociacemi, jako je Hospodářská komora České republiky a Svaz průmyslu a dopravy České republiky jsme zaslali své zásadní připomínky do meziresortního připomínkového řízení, a to spolu s návrhy, kterými by se regulace dodavatelských řetězců stala přiměřenou a lépe naplňující svůj účel. V rámci vypořádání připomínek NÚKIB většinu návrhů odmítl. Jako významný sektor ekonomiky a tahoun digitalizace máme k návrhu ZKB tři zásadní připomínky:
1. Rozsah Mechanismu je nepřiměřeně široký
Definice rozsahu Mechanismu, tedy v jakých částech infrastruktury může NÚKIB omezovat soukromé osoby v jejich svobodném právu na volbu dodavatele má dle současného návrhu pro oblast telekomunikací zahrnovat de facto celou telekomunikační síť, bez ohledu na kritičnost jednotlivých částí sítě (jádro, přenosovou soustavu a rádiovou přístupovou síť). APMS souhlasí s tím, že kritičnost jádra mobilní telekomunikační sítě ospravedlňuje jeho zahrnutí do regulace bezpečnosti dodavatelského řetězce. Rádiová přístupová síť, tedy samotné jednotlivé vysílače však nepovažujeme s ohledem na jejich charakter jako součást kritické části sítě. Jejich výpadek, na rozdíl od jádra sítě totiž nemá přímý okamžitý dopad na nedostupnost služeb mobilního operátora. Provozně je naprosto běžné, že vysílače mají výpadky, že na nich probíhá pravidelná údržba a ve svém důsledku to neznamená, že nefunguje síť jako celek. Současně mobilní operátoři implementují řadu bezpečnostních opatření, které hrozby mající původ v dodavatelském řetězci efektivně minimalizují. Není tedy ospravedlnitelné, aby bez jakéhokoli selhání ze strany soukromého sektoru, a i přes velkou míru investic do zajištění bezpečnosti ze strany mobilních operátorů měl NÚKIB nyní získat pravomoc zasahovat do základních práv mobilních operátorů i tam, kde to národní bezpečnost nevyžaduje.
Nejvýznamnější hrozbou je výpadek regulované služby. Rozsah Mechanismu tak APMS navrhuje omezit na aktiva, jejichž nedostupnost má přímý okamžitý dopad na nedostupnost regulované služby na kritické úrovni. Pro oblast telekomunikací se bude jednat zejména o jádro sítě, případně části přenosové sítě. Takto omezený rozsah by měl být upraven přímo v zákoně, nikoli formou vyhlášky, která způsobuje značnou míru nejistoty ve smyslu nepředvídatelnosti budoucích zásahů ze strany NÚKIB.
2. Bezprecedentní koncentrace pravomoci v rukou jediného orgánu
Návrh Mechanismu předpokládá, že NÚKIB samostatně stanoví rozsah regulace formou vyhlášky, samostatně stanoví hodnotící kritéria bezpečnosti dodavatele formou interní metodologie, na základě vlastní metodologie provede hodnocení a samostatně rozhodne o omezení, resp. vyloučení konkrétního dodavatele. Tím by ve své působnosti nejenom spojil legislativní a výkonné pravomoci, ale mohl by zasahovat do regulovaných odvětví v gesci jednotlivých ministerstev vlády České republiky a ústředních správních úřadů. Nad rámec výše uvedeného, NÚKIB navrhuje rozhodovat o zákazu dodavatele formou opatření obecné povahy, které se běžně užívá například ve stavebním řízení. Opatření obecné povahy NÚKIB navrhl na úkor práv soukromých osob, které tak zbavuje možnosti efektivního uplatnění svých práv v celém procesu. Rozhodování formou opatření obecné povahy totiž není správním řízením, nelze tedy efektivně navrhovat důkazy, prokazovat zajištění bezpečnosti ze strany dotčených subjektů ani proti opatření podat odvolání. NÚKIB tak navrhuje zákon, který mu dává de facto bianco šek na bezprecedentní zásahy do dodavatelského řetězce napříč regulovanými sektory, bez jakékoli efektivní kontroly ani obrany.
Takto nekontrolovaná koncentrace moci je v demokratickém právním státě nepřijatelná, jelikož narušuje předvídatelné podnikatelské prostředí a způsobuje značnou míru nejistoty ze strany soukromého sektoru. Důkazem nepřijatelnosti takové působnosti a pravomocí je například v minulosti excesivní postup Finanční správy při vydávání zajišťovacích příkazů v daňových řízeních, které vedly k likvidaci řady fungujících podniků.
S ohledem na výše uvedené APMS dlouhodobě navrhuje zapojení vlády a sektorových regulátorů, případně gesčních ministerstev, do rozhodovacího procesu Mechanismu formou závazného stanoviska, které jediné zaručuje dostatečnou kontrolu činnosti NÚKIB. Obdobně tomu je například ve srovnatelné regulaci prověřování zahraničních investic, kdy k zákazu investice může dojít pouze na základě usnesení vlády.
3. Absence zhodnocení potřebnosti a dopadů regulace
Bezpečnost telekomunikačních sítí a služeb je pro mobilní operátory základním předpokladem jejich obchodní činnosti. Žádný z nich proto neupřednostní levnější technologii a vyšší zisk nad bezpečností. Mobilní operátoři kladou na bezpečnost o to větší důraz, že jsou provozovateli kritické infrastruktury státu, jejíž integrita je nezbytná také pro zachování základních funkcí státu.
Ve vztahu k síťové infrastruktuře a službám mají mobilní operátoři již dnes uloženo velké množství povinností (cca 900 technicko-organizačních opatření) například zákonem o elektronických komunikacích, zákonem o kybernetické bezpečnosti, anebo zákonem o krizovém řízení. Vedle toho mají členové jejich volených orgánů povinnost jednat s péčí řádného hospodáře s hrozbou osobní majetkové odpovědnosti v případě jejího porušení. Také proto mají mobilní operátoři zavedena opatření požadovaná obecně závaznými právními předpisy k zajištění bezpečnosti sítí a služeb a k tomu zavádí vlastní opatření, která odolnost dále zvyšují. Zejména výběru dodavatelů síťových technologií věnují mobilní operátoři mimořádnou pozornost a hodnocení uchazečů podle tisíců parametrů trvají i déle než 18 měsíců.
Návrh Mechanismu bohužel existující bezpečnostní opatření ani technické aspekty telekomunikačních sítí nezohledňuje. Zaměřuje se pouze na hodnocení mezinárodněpolitických faktorů (např. země původu dodavatele) bez vysvětlení realizace možných hrozeb. Tento přístup může způsobit vícenáklady v řádu desítek miliard Kč na straně soukromého sektoru a státu. Zvýšení nákladů však bezpečnost ani kvalitu telekomunikačních služeb pro občany, firmy ani státní instituce nezvýší.
APMS dlouhodobě upozorňuje, že pro zajištění bezpečnosti dodavatelského řetězce její členové dělají celou řadu kroků i nad rámec svých zákonných povinností a doposud nedošlo k jakémukoli postihu za neplnění povinností v oblasti bezpečnosti. NÚKIB i přes to přistoupil k návrhu takto přísné regulace bez objasnění, proč to současný způsob zabezpečení vyžaduje.
Níže je ke stažení Policy paper APMS, který celou problematiku ZKB popisuje velmi podrobně.
Bezpečnost, Telekomunikace
Bezpečnost, Telekomunikace
Bezpečnost, Telekomunikace
