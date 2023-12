Nový zákon o kybernetické bezpečnosti, jehož návrh připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), má za cíl zajistit obecně kybernetickou bezpečnost České republiky. Jeho součástí je mimo jiné zavedení směrnice Evropské unie, tzv. NIS2, do českého právního řádu. V mnoha ohledech se ale diskuse, kterou zúčastněné strany ve veřejném prostoru vedou, často stáčejí k tomu, jak moc vlastně zákon státu umožní vyloučit například Huawei z možnosti dodávat techniku pro pevné i mobilní sítě.

Zákon totiž mimo jiné obsahuje mechanismus, který státu umožní vydat taková opatření, která přímo zakážou používání technologií od konkrétních rizikových dodavatelů. A zrovna Huawei je v tomto ohledu v čele těch, kteří by se mohli na „černé listině“ ocitnout. Proti tomu v zásadě nikdo nic nenamítá, že s tím nic nenadělají, tak nějak tuší i samotní představitelé čínské firmy v Česku. O čem se ovšem vede intenzivní diskuse, je případný rozsah zákazu. Jeho případná konkrétní podoba totiž vlastně může určit nejen budoucnost Huawei v Česku, ale také určí náklady, které budou muset operátoři na odstranění technologií firmy ze svých sítí vynaložit. Nejde přitom jen o tři velké mobilní operátory, ale i o další poskytovatele různých služeb, zejména připojení k internetu. Zejména pro ty menší by příliš velký zásah do jejich infrastruktury mohl být problematický, někdy až likvidační.

Boj o periferii sítě

Všichni operátoři svorně říkají, že zásadní je pro ně v tomto směru regulace v oblasti takzvaného jádra (core) sítě. Tam si dovedou zákaz určitého konkrétního dodavatele představit. Nicméně silně brojí proti tomu, aby zákon umožňoval byť jen možnost vyřadit takového dodavatele z celé sítě. Argumenty, proč by taková možnost existovat neměla, představili pod hlavičkou Asociace provozovatelů mobilních sítí (APMS) v úvodu listopadu na workshopu „Jak silně jsou chráněny české telekomunikační sítě před kyberútoky“.

„Strategické zájmy státu mít bezpečnou infrastrukturu jsou legitimní a jsme v tom s vládou v naprostém souladu. Operátoři dlouhodobě zohledňují rizika vyplývající z bezpečnostních hrozeb při výběru dodavatelů a při analýzách rizik berou v úvahu také doporučení a varování vydaná Národním úřadem pro kybernetickou a informační bezpečnost,“ řekl na semináři APMS manažer informační bezpečnosti a kontinuity podnikání společnosti Vodafone Ladislav Suk. Podle něj však možnosti regulace zacházejí až příliš daleko.

„Mechanismus zahrnuje i okrajové části infrastruktury, jako je koncový vysílač mobilní sítě nebo trafostanice v okrajové části obce. Jejich nedostupnost je běžnou součástí údržby a bezpečnost státu tím není nikterak ohrožena,“ argumentuje Suk.

Kromě toho, že se operátoři domnívají, že jsou schopni kybernetická rizika vyhodnotit a řešit sami, bez zásahu státu, jde také o náklady s případnou regulací spojené. Pokud by museli operátoři a poskytovatelé konektivity najednou zcela odstranit ze své sítě veškerá zařízení od Huaweie, znamenalo by to podle nich celkové náklady až 18 miliard korun. Přitom obměna prvků v jádru sítě by přinesla náklady v řádu stovek milionů korun. Už třeba jen proto, že Vodafone a T-Mobile už v jádru sítě žádné prvky od Huawei nevyužívají a u O2 právě probíhá výběrové řízení na dodavatele prvků jádra sítě, kde velmi pravděpodobně Huawei figurovat rovněž nebude.

Tyto náklady by mohly některé z menších poskytovatelů existenčně ohrozit, celkově by se pak mohly promítnout do cen pro koncové zákazníky.

„Pro některé menší poskytovatele by nejpřísnější forma regulace znamenala nutnost vyměnit třeba i 80 tisíc zařízení a náklady by dosáhly až 250 milionů korun, což jsou u takového operátora zhruba dva roky veškerých investic do technologií,“ argumentuje Martin Tuzar z Českého telekomunikačního klastru. „Díky desítkám let zkušeností v oboru umíme vyhodnotit hrozby a řídit svoje dodavatele tak, abychom si byli jisti jejich schopností dosáhnout vysokých standardů bezpečnosti ještě před uvedením technologie do ostrého provozu,“ argumentuje Jakub Ludvík, ředitel bezpečnosti T-Mobilu.

Extrémní případ, tvrdí úřad

„Přesná analýza konkrétních dopadů na daný sektor se bude provádět až v okamžiku, kdy bude plánováno vydání konkrétního opatření. Úřad bude brát v potaz to, jak nákladné by i pro poskytovatele zavedení tohoto opatření bylo a zda by tyto náklady odpovídaly riziku, vůči kterému by bylo vystaveno,“ říká k nákladům Adam Kučínský, ředitel Odboru regulace NÚKIB.

Tím, kdo by případný zákaz ve formě takzvaného opatření vydával, je právě NÚKIB, který návrh zákona připravuje. Operátoři tak argumentují, že úřad získává příliš velké pravomoci. „Návrh zákona nemíří pouze na jeden konkrétní sektor, proto musí být dostatečně obecný,“ říká Kučínský. „Pokud se podíváme blíže na telekomunikační sektor a zohledníme všechny vstupní informace, pak je z pohledu bezpečnosti jediné smysluplné a systémové řešení mít tuto možnost i v tomto konkrétním sektoru. Je to totiž právě tato část sítě, která umožňuje přístup ke službám v jádru, a bez ní není možné zajistit službu jako takovou,“ dodává.

Omezení konkrétního dodavatele ve všech bodech infrastruktury je navíc podle Kučínského až extrémní případ.

„Chci zdůraznit, že mechanismus dává státu možnost zasáhnout. Jeho přijetí automaticky neznamená přijetí stejně tvrdých pravidel a omezení ve všech částech sítě. Vydané opatření musí již z podstaty věci být vždy proporční a racionálně obhajitelné,“ vysvětluje ředitel regulace úřadu.

Pozorně operátoři sledují také samotnou možnost vyhlašování onoho opatření, cítí totiž, že pravomoc přijmout opatření, které souvisí s geopolitickými riziky (a tedy zemí původu dodavatele), vlastně úřadu, který řeší kybernetickou bezpečnost, nepřísluší.

„Do procesu hodnocení rizik plynoucích z dodavatelských řetězců je zapojena řada úřadů a státních institucí, které pro přijetí konkrétních opatření hrají významnou roli v otázkách ochrany bezpečnosti a prosperity státu. Výsledkem společného úsilí pak bude konkrétní opatření, které ale musí vydat konkrétní orgán a v tomto případě je to NÚKIB,“ vysvětluje Kučínský navržený mechanismus s tím, že úřad zároveň podléhá několika úrovním kontroly.

Na zákoně se pracuje

„Je tedy zřejmé, že ke koncentraci moci nedochází a docházet nebude ani se zavedením nové legislativy,“ tvrdí Kučínský.

Na konkrétní podobě zákona teď úřad pracuje. Zapracovává připomínky, které vzešly z celého meziresortního řízení.

„Pro telekomunikační firmy představuje bezpečná infrastruktura zásadní prostředek, jak dosahovat zisku, nikoli naopak. Větší kooperace státu se soukromým sektorem v oblasti bezpečnosti je důležitá k posílení vzájemné důvěry,“ říká Jiří Grund, prezident APMS.

Příliš volná interpretace

„I proto jsme představili státu v oblasti dodavatelských řetězců dobrovolnou sadu samoregulačních kroků, kterými lze dosáhnout očekávaných výsledků rychleji a s menšími ekonomickými dopady,“ dodal Grund.

Z argumentů operátorů je pak vidět, že jim celkově na chystané legislativě vadí především riziko příliš volné interpretace a možnost intenzivně zasáhnout ve velkém rozsahu, aniž by se případná omezení řídila nějakým jasným pravidlem.

„Mrzí mě, že třeba v případě 5G sítí celou situaci trochu zjednodušujeme na úroveň bezpečnost 5G rovná se bezpečnost dodavatele. Přitom sítě páté generace přinášejí samy o sobě výrazné zlepšení bezpečnosti,“ upozorňuje ředitel bezpečnosti O2 Radek Šichtanc.

„Z různých zpráv se dozvídáme, že čínský vliv roste. Ale o konkrétních hrozbách pro námi používané technologie jsme se zatím nedozvěděli nic. Rád bych se s těmi riziky seznámil. Bavme se o bezpečnosti těch zařízení a ne o geopolitické bezpečnosti,“ vyzval na semináři Jakub Ludvík z T-Mobilu.