Příkladem jsou emisní povolenky, které i hlasy zástupců české vlády v Radě EU i českých europoslanců v Evropském parlamentu prošly. A když jsme zjistili, co jsme to vlastně odhlasovali, snažíme se to komplikovaně změnit. Další dějství této ságy se nyní odehrává v digitální oblasti.
Je to jako kdyby si úředníci v Komisi neuvědomili, že od členských států mají politické zadání snižovat míru administrativní zátěže – tak milovanou byrokracii. Návrh revize Aktu o kybernetické bezpečnosti (CSA 2) zní nevinně – přitom Evropská komise chce díky jeho implementaci získat dosud nevídané pravomoci, a hrozí poměrně zásadní minimálně jen administrativní šikana firem ve všech členských státech včetně Česka.
O co jde: kromě dejme tomu neškodných částí nové legislativy, jako je rozšíření mandátu pro Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA) a zdvojnásobení počtu jejích úředníků, je to dramatické rozšíření pravomocí Evropské komise posuzovat dodavatele do ICT systémů pro takřka všechny podniky v EU. Komise chce mít právo významně zasahovat do dodavatelského řetězce u všech firem, které podnikají v některém z odvětví regulovaných směrnicí NIS 2 (v Česku zákonem o kybernetické bezpečnosti). Jde přitom o pilíře funkční společnosti: energetiku, telekomunikace, digitální infrastrukturu, banky, pojišťovny, zdravotnictví, strojírenský, automobilový, chemický, potravinářský průmysl, vodní hospodářství nebo odpady.
Směrnice EU o kyberbezpečnosti zpřísní pravidla. Firmám hrozí milionové pokuty |
Tak trochu po sovětsku
V praxi má legislativa fungovat následovně: Komise nebo skupina minimálně tří členských států zahájí takzvané koordinované posouzení rizik v určitém dodavatelském řetězci i u ICT systémů a produktů. To má zjistit, jaké technologie jsou v daném dodavatelském řetězci ohrozitelné kyberútoky, kdo jsou nejvýznamnější případní útočníci a jaké jsou jejich případné slabé stránky. Následně – nebo na základě informací z „jiných zdrojů“, jako je třeba veřejné prohlášení některého ze států EU nebo EU samotné, může Komise zahájit prověření toho, zda neexistuje pro případnou danou zemi obava kyberbezpečnostního rizika. To zkoumá Komise na základě politických a vágně popsaných kritérií – například vyhodnocuje, zda v daném státě není povinnost hlášení zranitelností úřadů, jaká je v dané zemi právní úprava ohledně zneužívání zranitelností, zda je v dané zemi efektivní soudní systém a zda země není zdrojem kyberútoků.
Komise pak může navrhnout formální označení třetího státu za „zemi vzbuzující obavy v oblasti kybernetické bezpečnosti“. Všichni dodavatelé, kteří z dané země pochází, pak budou považováni za „vysoce rizikové“ s poměrně destruktivními účinky. Takové firmy by nesměly mít přístup k veřejným zakázkám, financování z veřejných zdrojů, nesměly by se účastnit výzkumu a nesměly by získat kyberbezpečnostní certifikace. Prakticky by to znamenalo jejich vymazání z evropského trhu.
Evropská komise si tak navrhuje pravomoc stanovit, že některý stát představuje kyberbezpečnostní zlo. To je ale vysoce politický krok, který může mít poměrně razantní geopolitické důsledky a nemůže ho prostě udělat úředník bez demokratického mandátu. V podstatě to je srovnatelné s režimem mezinárodních sankcí. Ty přitom musí jednomyslně odsouhlasit všechny členské státy a jak jsme viděli v mnoha posledních měsících, jde často o dlouhá a velmi náročná jednání. U „dodavatelských řetězců do ICT“ má mít právo o tom rozhodnout úředník s poměrně malou možností členských států něco ovlivnit.
Kulatý stůl
Sledovat další díly na iDNES.tvRusko, Čína, ale…
Samozřejmě na první pohled je vidět, na koho tento návrh míří, tedy hlavně na Čínu a také trochu na Rusko. Jenže kritéria jsou natolik vágní a možnost úředníků si je kreativně vykládat natolik velká, že to nemusí skončit u těchto obvyklých podezřelých. Najednou se může na seznamu zlých států klidně ocitnout i země, kterou považujeme za spojeneckou či blízkou, jako je Izrael nebo USA. V současném myšlenkovém nastavení v některých členských státech směrem k Izraeli by to nebylo ani příliš překvapivé. Mimo jiné i proto, že se poměrně otevřeně mluví a mluvilo o zapojení izraelských kyberšpionážních firem do útoků na některé jedince či instituce v členských státech – naposledy třeba ve Slovinsku.
Čínské technologie pronikají do kritických odvětví, varuje NÚKIB. Bojí se zneužití |
A to samé se týká i USA. Z Prahy to možná tak vidět není, ale v západní Evropě a hlavně v Bruselu jsou vztahy s americkými firmami nyní na bodu mrazu a chuť proti nim nějak zakročit je poměrně vysoká. Označovat státy či konkrétní dodavatele za „rizikové“ a znepříjemnit jim podnikání v EU může být pro některé evropské úředníky i státy (například pro Francii) poměrně lákavé. Najít ony „jiné zdroje“, na základě kterých je možné minimálně zahájit prověřování, zda USA nejsou rizikem, nebude nikterak obtížné – současná americká administrativa nabízí desítky vyjádření každý den, které je možné využít takřka k čemukoli.
Komise navíc může dle návrhu nejen zakazovat dodavatele, ale i šikanovat evropské firmy různými povinnostmi. Pokud by návrh prošel, firmy například mohou mít povinnost hlásit dodavatele, Komise jim může zakázat přenášet data do třetích zemí, může nařídit audity, zakazovat outsourcing, vcházet do smluvních ujednání, požadovat prověrky zaměstnanců či diverzifikaci dodavatelů. Firmy, které by nějaké „vysoce rizikové“ technologie používaly, nemají mít nárok na kompenzace za regulací zmařené investice. Když se na návrh podíváme shora, pak by Komise v podstatě získala pravomoc bez zásadní demokratické kontroly zasahovat do dodavatelských vztahů u firem, které tvoří odhadem tak tři čtvrtiny evropského HDP.
Co na to česká vláda?
Návrh regulace je stále ještě návrh, který je možné zastavit či významně změnit během vyjednávání. Otázkou je, zda k tomu bude mít česká vláda, která je k posilování pravomocí Komise spíše ostražitá, dostatek síly. „Akt o kybernetické bezpečnosti“ totiž nezní jako něco, co by na první dobrou politiky dramaticky zajímalo. Ale to, co vypadá pouze „technicky“ a je na první přečtení nesrozumitelné, je obvykle nakonec ten největší průšvih. A tato kybernetické bezpečnosti to splňuje na sto procent.
Kyberzločin je třetí největší ekonomikou světa. Česko je v hledáčku, varují experti |
Dá se předpokládat, že řada členských států se bude stavět k navrženým pravomocím Komise velmi odmítavě a Česko by mělo stát v první řadě. Pro změny typu, že pravomoci někoho zakazovat, omezovat či označovat za nebezpečný stát by měly mít národní státy, se asi podaří najít spojence.
Dramatické regulační intervence do vnitřního trhu a obří pravomoci Komise navíc určitě nejsou něco, co si většina evropských voličů přeje. V členských státech je daleko větší nálada deregulovat a nikoli posilovat evropské úředníky a dávat jim do rukou ještě více moci.
