Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pokročil v přípravě návrhu zákona, který by měl omezit vliv rizikových dodavatelů informačních a komunikačních technologií na nejvýznamnější infrastrukturu v Česku. Prověřování by měl podle návrhu provádět NÚKIB ve spolupráci s ministerstvy, zpravodajskými službami a dalšími organizačními složkami státu. Ředitel úřadu Lukáš Kintr chce o předloze nad rámec běžného připomínkového řízení vést diskusi s partnery ze státní správy, soukromého a akademického sektoru.
Mechanismus pro prověřování by měl státu umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, takzvané strategické infrastruktury státu. Má také umožnit vyhodnocování rizik spojených s těmito dodavateli a v případě vysokého rizika omezit využívání takových dodavatelů.
Regulace má být přesně cílená na kritické systémy, rozsah nezmění ani chystaná novela související s unijní směrnicí NIS2. „Bude prověřovat především to, zda konkrétního dodavatele může ovlivňovat cizí stát, jehož zájmy se nemusí shodovat s těmi českými. A zejména možnost převzetí dodavatele cizím státem, využívání dodavatele ze strany cizího státu,“ přiblížil Kintr.
Prověřování by stát mohl podle nynější podoby návrhu provádět u současných i potenciálních dodavatelů strategické infrastruktury a jejich subdodavatelů. „Pokud bude identifikováno riziko spojené s dodavatelem, bude stát moci jeho využití v regulované infrastruktuře omezit obdobou současného varování podle zákona o kybernetické bezpečnosti či přímo zakázat formou opatření obecné povahy,“ doplnil úřad.
Prověřování nebude plošné
Na prověření dodavatele nebude existovat nárok a není ani ambicí státu prověřit všechny dodavatele. Má jít o ty, u kterých bude hrozbu indikovat například aktuální bezpečnostní situace. Prověření by tak zahájil stát výhradně vůči dodavatelům, u nichž se dozví o možné hrozbě. Předpis má také počítat s pravidelným přezkumem trvání hrozeb, na základě kterých bylo vydáno omezení.
Úkol připravit návrh zákona, který zavede mechanismus pro prověřování dodavatelů, uložila úřadu v červnu Bezpečnostní rada státu (BRS). Kabinet má předpis dostat v květnu příštího roku. „Jsem rád, že se nám přes složitost této problematiky daří plnit harmonogram přípravy zákona a že se již nyní blížíme okamžiku, kdy budeme s partnery ze státní správy, soukromého a akademického sektoru konzultovat konkrétní znění,“ zmínil Kintr.
NÚKIB počítá s tím, že v prvním čtvrtletí příštího roku provede veřejnou konzultaci návrhu a zapracuje podněty veřejnosti. Po legislativním procesu by pak mohl být zákon vyhlášen do poloviny roku 2024. Kintr věří, že systém by mohl fungovat do dvou let.
„V oblasti informačních technologií tak do budoucna, doufejme, předejdeme situaci, jakou nyní pozorujeme například v souvislosti s dodávkami ropy a zemního plynu z Ruské federace,“ dal konkrétní příklad. Válka na Ukrajině podle něj uspíšila nutnost dlouhodobě diskutovaný mechanismus zavést.
