Návrh zákona o kybernetické bezpečnosti prošel prvním čtením
Poslanci na jedné straně cítí potřebu právní úpravy na poli kybernetické bezpečnosti, na straně druhé se jim moc nelíbí duální model s vládním a národním CERTem. Jak je to s přípravou vyhlášek k zákonu?
Kolem návrhu zákona o kybernetické bezpečnosti bylo v poslední době ticho po pěšině. A to po celé dlouhé měsíce. Jak by také ne, když návrh paragrafovaného znění byl předložen ještě vládě Petra Nečase koncem června loňského roku, v době kdy tato vláda byla již v demisi, a kdy byla posléze rozpuštěna i Poslanecká sněmovna. A tak, aby návrh nespadl pod stůl a nemusel se připravovat celý znovu, zůstal na úrovni vlády „zaparkován“. Přesněji: legislativní rada vlády v srpnu 2013 odložila jeho projednávání, tak aby se k němu bylo možné zase později vrátit, v době kdy již bude ustavena nová sněmovna a bude možné jí zákon předat k projednávání.
Tak se také stalo, konkrétně hned 2. ledna 2014, kdy vláda Jiřího Rusnoka svých usnesením č. 2/2014 návrh zákona o kybernetické bezpečnosti přijala a postoupila k projednání do Poslanecké sněmovny. Ovšem s určitými úpravami oproti původně předloženému návrhu, podle požadavků Legislativní rady vlády. Takže do poslanecké sněmovny šla poněkud odlišná verze oproti té, kterou v polovině loňského roku NBÚ předložil vládě.
Předminulý pátek, 7.2.2014, měl tento návrh projít prvním čtením v Poslanecké sněmovně, v rámci její 6. schůze. Leč kvůli různým posunům a odkladům se tak skutečně stalo až o týden později. Tedy minulý pátek, 14.2.2014.
Úspěšný průchod prvním čtením zatím fakticky znamená jen to, že sněmovna je ochotna se návrhem podrobněji zabývat v dalších čteních. Naopak to neznamená, že by byl návrh zákona přijat již v tomto prvním čtení, jak je možné v případě „zrychleného postupu“ (který zde ani nebyl navrhován).
K definitivnímu přijetí a účinnosti zákona (stále se předpokládá k 1.1.2015) by přitom stále ještě měl zbývat dostatečný časový prostor, i při obvyklém „tempu práce“ našich zákonodárných orgánů.
Jak probíhalo první čtení?
Samotné první čtení ale nebylo úplnou formalitou, v rámci které by poslanci jen narýsovali další postup schvalování návrhu (hlavně přikázali k projednání dalším výborům, konkrétně výborům pro bezpečnost, pro obranu, ale také rozpočtovému a ústavněprávnímu výboru).
V rámci prvního čtení proběhla zajímavá diskuse, která naznačila, že to se schvalováním návrhu zákona o kybernetické bezpečnosti nemusí být úplně jednoduché. Ona ostatně nebyla jednoduchá (a rychlá) ani příprava jeho návrhu, na které se kromě předkladatele (NBÚ) podílela i celá širší komunita zainteresovaných subjektů jak z veřejné, tak i z privátní sféry.
Dovolím si vyjádřit názor, že výsledný návrh, předložený vládě (v červnu loňského roku), je kompromisem, který určitým způsobem „rozděluje“ pravomoci, povinnosti i odpovědnost mezi subjekty veřejné i soukromé sféry, snaží se o „vyváženost“ celé právní úpravy i o respektování specifik a zájmů jednotlivých stran. Staví přitom na „duálním modelu“ s jedním vládním CERTem, který má „na starosti“ systémy veřejné správy i celkovou koordinaci, jedním národním CERTem, který má „na starosti“ systémy subjektů privátního sektoru, a na rozdílné „intenzitě“ svých požadavků vůči veřejnému a privátnímu sektoru.
Výsledkem je něco, co asi málokdo považuje za ideální, a může k tomu mít řadu (nejspíše i oprávněných) výhrad. Nicméně jde o kompromis, se kterým je většina zainteresovaných stran již nějak srozuměna a smířena. Možná i proto, že nic lepšího se dojednat nepodařilo. A s vědomím, že celá věc doslova „hoří“ a hrozby čím dál tím nebezpečnějších kybernetických útoků na nic nečekají.
Pak do tohoto kompromisu zasáhla vláda, přesněji její legislativní rada, která si vyžádala (resp. rovnou provedla) určité změny. Ale stále to nebylo nic zásadního, co by nějak významně měnilo kompromis, dosažený během dlouhé přípravy samotného návrhu. Možná i proto, že ti, kteří měli projednávání návrhu v rámci legislativní rady vlády na starosti, byli určitým způsobem přítomni i u této přípravy a u hledání kompromisu, ze kterého nakonec vychází.
Nyní ale, v rámci prvního čtení v Poslanecké sněmovně (již v novém složení), se ukázala určitá touha po přeci jen hlubších změnách, které by razantněji zasáhly i do onoho obtížně nalezeného kompromisu. Hned prvnímu diskutujícímu poslanci (Matěji Fichtnerovi za ANO) se například nelíbí záměr existence národního CERTu, který by měl „na starosti“ privátní subjekty a jejich systémy (v rámci duálního modelu s vládním a národním CERTem). Požaduje buď vyvrácení svých pochybností o potřebě existence a způsobu fungování národního CERTu, nebo jeho úplné odstranění z celého návrhu zákona.
Předseda vlády Sobotka, vystupující v prvním čtení jako předkladatel (vládního) návrhu následně ihned naznačil možnost ústupku:
Dokáži si představit, že během legislativního procesu tady ve Sněmovně, během projednávání ve výboru, bude tento problém odstraněn.
Pravdou je, že celý duální model (s národním a vládním CERTem) byl ve fázi přípravy dlouho a vášnivě diskutován, a určitě není jediným možným řešení. Má řadu nevýhodných aspektů, jako třeba nepříliš jednoznačnou návaznost na zahraniční orgány, zabývající se kybernetickou bezpečnostní. Ale ani to není ve světě rozhodně ojedinělé.
Případná změna, eliminující národní CERT, by ale vyžadovala poměrně zásadní přehodnocení principů, na kterých stojí nynější návrh celého zákona. Ne že by to nebylo možné, ale určitě by se to nemělo řešit několika mechanickými škrty (těch ustanovení, které se týkají národního CERTu a přístupu k privátním subjektům). Bez domyšlení všech souvislostí, dopadů atd. Obávám se, že aby výsledek za něco stál, muselo by se vše znovu prodiskutovat s celou odbornou komunitou.
Navíc by úplné odstranění duálního modelu nejspíše odřízlo stát a celou veřejnou sféru od možnosti navázat na cenné zkušenosti a vazby, které na poli kybernetické bezpečnosti již získal privátní sektor a jeho odborné orgány. Navíc by to mohlo způsobit i určité „rozdělení“ celé scény, resp. odborné komunity, která by v první řadě měla být jednotná, měla by efektivně spolupracovat a sdílet své zkušenosti, a ne se dělit na nějaké partičky, hrající si na vlastním písečku, či dokonce nějak soupeřící, nebo snad přímo bojující mezi sebou.
V rámci prvního čtení se ale objevily i snahy návrh zákona o kybernetické bezpečnosti ve stávající podobě úplně zamítnout, nebo jej alespoň vrátit k zásadnímu přepracování. Takovýto návrh přišel z privátního sektoru, konkrétně od zástupců společností Casablanca INT a Dial Telecom, ve formě dopisu adresovaného poslancům a poslankyním. V diskusi v rámci prvního čtení byl nesprávně interpretován jako stanovisko celého sdružení NIX.CZ, i když ve skutečnosti jde jen o stanovisko zmíněných členů tohoto sdružení.
Jak je to s vyhláškami?
Kromě samotného zákona o kybernetické bezpečnosti, s chystanou účinností k 1.1.2015, by ke stejnému datu měly nabýt účinnosti také jeho prováděcí předpisy. Konkrétně dvě vyhlášky a nejméně jedno opatření obecné povahy (které vydá NBÚ).
V současné době je před dokončením pouze jedna z vyhlášek (tzv. „standardizační“). Druhá vyhláška, k jejímuž vydání zákon zmocňuje společně NBÚ a resort vnitra, je zatím k dispozici pouze v podobě svých tezí. Oba prozatímní návrhy najdete v tomto společném dokumentu.
Podle dostupných informací (konkrétně podle toho, co zaznělo předminulý týden na konferenci Cyber Security 2014) by výsledný návrh první vyhlášky měl být dokončen již během cca dvou týdnů, a následně projít veřejnou konzultací.
Abychom si ale mohli vysvětlit, čeho se obě vyhlášky týkají, musíte si nejprve říci něco více o (dosud předpokládaných) principech samotného zákona. Konkrétně o tom, na koho dopadne a komu bude co ukládat.
Na koho nový zákon dopadne?
Připravovaný zákon o kybernetické bezpečnosti se obecně týká poskytovatelů služeb elektronických komunikací a subjektů zajišťujících sítě. Významnější povinnosti ale uloží až těm subjektům, které jsou:
- správcem významného informačního systému (VIS), nebo
- správcem informačního nebo komunikačního systému v rámci kritické informační infrastruktury (KII)
Obě tyto skupiny jsou disjunktní, v tom smyslu že významné informační systémy (VIS) z definice nejsou součástí kritické informační infrastruktury (KII). S čímž souvisí i očekávání, že při narušení bezpečnosti významných informačních systémů mohou být důsledky sice „významné“, ale nikoli ještě „kritické“ (jako u systémů z kritické informační infrastruktury). Tomu pak odpovídají i určité rozdíly v ukládaných povinnostech: ty jsou u prvků kritické informační infrastruktury přeci jen vyšší (přísnější), než u „pouze“ významných informačních systémů.
Například: systémy z kritické informační infrastruktury (na rozdíl od významných informačních systémů) budou muset mít vlastního manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, auditora kybernetické bezpečnosti, garanta svých aktiv, a dokonce celý „výbor pro řízení kybernetické bezpečnosti“. Jde ale pouze o role (které někdo plní), nemusí se nutně jednat o „celé“ zaměstnance, kteří by nedělali nic jiného.
Přesné vymezení povinností pro systémy z obou skupin (VIS i KII), kterých rozhodně nebude málo, definuje první z obou vyhlášek, jejíž vydání je ve výhradní gesci Národního bezpečnostního úřadu (NBÚ). Zatím je dostupná jen v jakési pracovní betaverzi (k nalezení zde), s tím že novější verze by měla být zveřejněna v brzké době a uvolněna k připomínkování (viz výše).
Co bude významným informačním systémem?
Významné informační systémy (VIS), na které zákon hodlá klást přeci jen mírnější požadavky (oproti systémům z kritické informační infrastruktury), jsou v návrhu zákona definovány tak, že musí jít o systémy spravované orgánem veřejné moci. Což by mělo vylučovat systémy z privátního sektoru. Přitom konkrétní výčet těchto „významných informačních systémů“ má přinést druhá z výše zmiňovaných vyhlášek – ta, která dnes existuje jen v podobě svých tezí (neboli jakéhosi věcného záměru), a na jejíž vydání mají společné zmocnění NBÚ a Ministerstvo vnitra.
Pokud se podíváme do příslušných tezí (na konci tohoto dokumentu), najdeme zde představu o tom, že mezi významné informační systémy by měla patřit například čtveřice základních registrů (ROB, ROS, RUIAN a RPP), včetně jejich „obalu“ (ISZR), a také převodníku ORG. Dále třeba všechny agendové informační systémy, které slouží jako editační (skrze které editoři zapisují referenční údaje do základních registrů).
V neposlední řadě lze počítat s tím, že významným informačním systémem budou třeba datové schránky (ISDS), Portál veřejné správy (PVS), stejně jako centrální registr vozidel (CRV), centrální registr řidičů, registr pojištěnců všeobecného zdravotního pojištění, Rejstřík trestů, či třeba systémy z oblasti sociálního zabezpečení a mnohé další.
Co bude patřit do kritické informační infrastruktury?
Připomeňme si znovu, že významné informační systémy (VIS) jsou definovány tak, že jejich správcem musí být některý orgán veřejné moci. To by mělo vylučovat jakékoli (informační či komunikační) systémy z privátního sektoru.
Nicméně privátní systémy se mohou stát (a některé nejspíše i stanou) součástí kritické informační infrastruktury, kde omezení jen na veřejný sektor není, a ani by nemělo smysl. Protože kritická informační infrastruktura by měla být určitou podmnožinu „obecné“ kritické infrastruktury (tak, jak ji definuje krizový zákon, č. 240/2000Sb. ve svém §2g), vybranou s ohledem na potřebu kybernetické bezpečnosti. A do této „obecné“ kritické infrastruktury již dnes patří řada systémů a prvků z privátního sektoru (podrobněji viz zde). Například technologické prvky pevných i mobilních sítí elektronických komunikací (jejich ústředny, datová centra, i třeba BTSky pokrývající „strategické lokality“). Nebo třeba některé velké banky, velké pojišťovny atd.
Konkrétní výběr příslušné podmnožiny (neboli výběr toho, co z „obecné“ kritické infrastruktury spadne do kritické informační infrastruktury) bude vycházet z postupů, používaných v souvislosti s krizovým zákonem: pokud je nějaký prvek již nyní součástí kritické infrastruktury a funguje díky informačnímu systému, který je unikátní, stane se tento jeho informační systém automaticky součástí kritické informační infrastruktury.
Pro nové prvky (jako třeba základní registry, datové schránky atd.) bude nejprve muset dojít na upřesnění kritérií výběru (úpravou průřezových a odvětvových kritérií v rámci nařízení vlády č. 432/2010 Sb.). Pokud se pak v konkrétním případě bude jednat o prvek provozovaný organizační složkou státu, bude vybrán usnesením vlády. V ostatních případech bude výběr prvků do podmnožiny (do kritické informační infrastruktury) realizován opatřením obecné povahy, které vydá NBÚ.
Kde bude ležet hranice?
Dnes tedy ještě není přesně známo, které konkrétní (informační a komunikační) systémy budou součástí kritické informační infrastruktury. Pravdou ale je, že předkladatel návrhu zákona (Národní bezpečnostní úřad) se nikdy netajil svou snahou minimalizovat „zásahy“ zákona do privátního sektoru. Což by se mělo projevit i určitou „zdrženlivostí“ při zařazování privátních systémů do kritické informační infrastruktury, na kterou bude zákon klást nejvíce svých požadavků.
Důvodem je zřejmě obava NBÚ, aby nebyl nařčen z nějakého špehování, monitorování či obdobných aktivit, vnímaných širší veřejností čím dál tím negativněji. Osobně se ale obávám, že bez určitých dopadů i do privátního sektoru to jednoduše nepůjde. Již jen proto, že dnešní „kyberprostor“, o který zde jde především, je v rozhodující míře v rukou privátního sektoru. A tak se i on stává terčem nejrůznějšího ohrožení, útoků atd.
Ostatně, svou snahou zasahovat do privátního sektoru co možná nejméně se návrh našeho zákona (podle mého názoru) dostal i do určitého rozporu s evropskou strategií v oblasti kybernetické bezpečnosti. Ta totiž počítá s tím, že „dopadne“ na všechny infrastrukturní prvky i služby, nutné pro základní fungování dnešního Internetu, a to bez ohledu na to, zda jsou či nejsou provozovány subjekty z privátního sektoru (jako že vesměs jsou). Takže se zaměřuje například i na on-line platební mechanismy, objednávkové a rezervační systémy, velké portály atd., které se u nás nejspíše nestanou prvky kritické informační infrastruktury.
Zástupci NBÚ to ale jako zásadnější odlišnost nevidí – a míru shody svého návrhu s evropskou strategií hodnotí jako cca 90-procentní.
Jak to dopadne?
O tom, jak bude celá připravovaná právní úprava v oblasti kybernetické bezpečnosti nakonec úspěšná, nebude rozhodovat pouze výsledná podoba zákona a jeho prováděcích předpisů (vyhlášek a opatření obecné povahy). Ještě významnější nejspíše bude jejich naplňování v praxi, a pak celkové klima, které se kolem kybernetické bezpečnosti vytvoří.
Ideální by jistě byl stav, kdy celá komunita, bojující za kybernetickou bezpečnost, bude jednotná a „potáhne za jeden provaz“. Kdy všichni hráči budou vzájemně komunikovat a aktivně spolupracovat, nebudou před sebou nic skrývat, a příslušné povinnosti budou plnit a opatření vykonávat ne ani tak proto, že jim to ukládá rozumně napsaný zákon, ale již kvůli tomu, že to sami považují za nezbytné.
Naopak nejhorším možným výsledkem by bylo nějaké rozhádání celé komunity a její rozpad na několik vzájemně soupeřících a mezi sebou nekomunikujících skupin. Či sklouznutí do stavu, kdy celý boj za kybernetickou bezpečnost zdegeneruje do dalšího papírování a byrokratické zátěže, bez reálných dopadů na to, co se děje v celém on-line prostoru (kybersvětě). Doufejme ale, že k tomu nedojde – protože to bychom také mohli záhy zjistit, že poměry v “kybersvětě“ jsou už takové, že do něj není radno vůbec vstupovat.