|

Dependency Tree

Český parlamentní korpus, Poslanecká sněmovna, 2014-02-14 ps2013-006-08-005-032 [ParCzech.ana]

Agenda Item Title

32. Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) /sněmovní tisk 81/ - prvé čtení

Date2014-02-14
Meetingps2013/006
Agenda Itemps2013/006/032
Sourcehttps://www.psp.cz/eknih/2013ps/stenprot/006schuz/s006245.htm

Select a sentence

Showing 1 - 100 of 230 • previousnext

ps2013-006-08-005-032.u1.p1.s1 32.
ps2013-006-08-005-032.u1.p1.s2 Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) /sněmovní tisk 81/ - prvé čtení
ps2013-006-08-005-032.u1.p2.s1 Z pověření vlády předložený návrh uvede předseda vlády Bohuslav Sobotka.
ps2013-006-08-005-032.u1.p2.s2 Prosím, pane premiére, máte slovo.
ps2013-006-08-005-032.u2.p1.s1 Děkuji.
ps2013-006-08-005-032.u2.p1.s2 Vážený pane místopředsedo, vážené kolegyně, vážení kolegové, vzhledem k tomu, že vláda dosud ještě nemá ministerstvo pro kybernetickou bezpečnost a domnívám se, že ani v nejbližších letech takovýto centrální vládní úřad zřízen a zřizován nebude, tak nezbylo nic jiného, než abych tento návrh předložil Poslanecké sněmovně jako předseda vlády.
ps2013-006-08-005-032.u2.p1.s3 Nicméně nechci v žádném případě zpochybňovat potřebu a naléhavost přijetí takovéto legislativní úpravy v rámci našeho právního řádu.
ps2013-006-08-005-032.u2.p2.s1 Pokud jde o samotný návrh zákona o kybernetické bezpečnosti, základním jeho cílem je zajištění bezpečnosti kybernetického prostoru.
ps2013-006-08-005-032.u2.p2.s2 Za tímto účelem vládní návrh zákona formuluje soubor oprávnění a povinností, které směřují k nastavení mechanismů aktivní a účinné spolupráce mezi soukromým sektorem a veřejnou správou s cílem účinné ochrany před hrozbami, které mohou z kybernetického prostoru přijít.
ps2013-006-08-005-032.u2.p2.s3 Nastavením předvídatelného a transparentního postupu pro subjekty, které budou zatíženy novou zákonnou regulací, se zajistí detailní přehled o hrozbách a rizicích, jež se vyskytují v kybernetickém prostoru, a umožní se reagovat v rychlém sledu na hrozby, které ohrožují bezpečnost informací v informačních systémech nebo bezpečnost služeb a sítí elektronických komunikací.
ps2013-006-08-005-032.u2.p3.s1 Návrh zákona si neklade za cíl - a ani nemůže - postihnout všechna rizika, která se mohou dotknout všech uživatelů kybernetického prostoru, ale snaží se ochránit kritickou informační infrastrukturu a významné informační systémy, jejichž narušení by vedlo k poškození nebo ohrožení zájmů České republiky.
ps2013-006-08-005-032.u2.p3.s2 Pro subjekty, na něž dopadá regulace, jsou v návrhu zákona stanoveny konkrétní povinnosti, prostřednictvím kterých dojde ke zvýšení ochrany kritické informační infrastruktury a významných informačních systémů.
ps2013-006-08-005-032.u2.p4.s1 Návrh zákona rovněž reaguje na mezinárodní situaci, kdy posílení ochrany kritické informační infrastruktury je i cílem současných aktivit Evropské unie.
ps2013-006-08-005-032.u2.p4.s2 Ke splnění těchto požadavků je nezbytné vybudovat legislativní rámec na institucionální a také technické zajištění spolupráce na národní a mezinárodní úrovni, koordinaci opatření při prevenci, ale také odstraňování následků kybernetických bezpečnostních incidentů.
ps2013-006-08-005-032.u2.p4.s3 A pro další činnost je to také nezbytné ke zvyšování všeobecného povědomí o kybernetických hrozbách a jejich eliminaci.
ps2013-006-08-005-032.u2.p5.s1 Konečným cílem uvedených aktivit je vytvoření a udržení důvěryhodné, konkurenceschopné informační společnosti s důrazem na rozvoj svobodného a bezpečného využívání a sdílení informací a v neposlední řadě i zlepšení obrazu státu v této oblasti, a to jak v národním kontextu, tak i z hlediska našich vztahů zahraničních.
ps2013-006-08-005-032.u2.p6.s1 Vážené poslankyně, vážení poslanci, věřím, že navržený systém na základě předkládaného návrhu zákona povede k dosažení shora uvedených cílů, a stejně tak věřím, že navržený systém, a tím celý návrh zákona o kybernetické bezpečnosti Poslanecká sněmovna podpoří a umožní jeho projednávání i ve druhém a třetím čtení.
ps2013-006-08-005-032.u2.p6.s2 Děkuji.
ps2013-006-08-005-032.u3.p1.s1 Děkuji panu premiérovi a nyní prosím, aby se ujal slova zpravodaj pro prvé čtení pan poslanec Václav Klučka.
ps2013-006-08-005-032.u3.p1.s2 Prosím, pane poslanče, máte slovo.
ps2013-006-08-005-032.u4.p1.s1 Děkuji vám, pane předsedající.
ps2013-006-08-005-032.u4.p1.s2 Pane premiére, vážená vládo, kolegyně, kolegové, jsem ani netušil, když jsem se dozvěděl, že se stanu zpravodajem zákona o kybernetické bezpečnosti, co v jeho přípravě čeká, s jakými názory a s jakým prostředím se tady setkávám.
ps2013-006-08-005-032.u4.p2.s1 Dovolte mi tedy, abych jako zpravodaj tohoto vládního návrhu vám trošinku představil tento zákon, včetně zákonů o změně souvisejících zákonů s kybernetickou bezpečností, přičemž bych především dal důraz na to, že oblast kybernetické bezpečnosti - a to prosím začněme takto vnímat - se stane jedním ze základních pilířů celé oblasti vnitřní bezpečnosti státu.
ps2013-006-08-005-032.u4.p3.s1 Prozatím to takto nevnímáme, prozatím se na to díváme jako na specifickou záležitost, ale toto opravdu bude jeden ze základních pilířů vnitřní bezpečnosti státu.
ps2013-006-08-005-032.u4.p3.s2 Takto je to třeba vnímat, neboť to doprovází celý život této společnosti, a pokud budeme mluvit o vnitřní bezpečnosti státu, pak prosím vás pěkně mluvme o tom, kde jsou základní cíle a úlohy státu v zajištění vnitřní bezpečnosti státu.
ps2013-006-08-005-032.u4.p3.s3 Toto je opravdu celý komplex věcí, které souvisí s integrovaným záchranným systémem a dalšími záležitostmi, které do vnitřní bezpečnosti zařadíme.
ps2013-006-08-005-032.u4.p3.s4 Je jenom škoda, že ještě na zákonu o vnitřní bezpečnosti, o kterém tady dlouho mluvím ve Sněmovně, prozatím tak intenzivně nepracujeme.
ps2013-006-08-005-032.u4.p3.s5 Zajištění kybernetické bezpečnosti státu je opravdu klíčová výzva současné doby.
ps2013-006-08-005-032.u4.p3.s6 Absence geografických hranic v kyberprostoru a všudypřítomnost kybernetických hrozeb vyžadují intenzivní mezinárodní spolupráci a budování národních kapacit k zajištění kybernetické bezpečnosti státu.
ps2013-006-08-005-032.u4.p4.s1 Dámy a pánové, tento zákon o kybernetické bezpečnosti je založen na těchto základních zásadách: minimální zásah, minimální zásah do práv osob soukromého práva, individuální odpovědnost za bezpečnost vlastní sítě, princip technologické neutrality, princip ochrany informačního sebeurčení člověka.
ps2013-006-08-005-032.u4.p5.s1 Základním cílem návrhu zákona o kybernetické bezpečnosti je zvýšit bezpečnost kybernetického prostoru a zavést systém dobře fungující spolupráce mezi veřejnou správou a soukromým sektorem za účelem efektivního řešení kybernetických rizik.
ps2013-006-08-005-032.u4.p5.s2 Návrh zákona v této souvislosti zavádí konkrétní oprávnění a povinnosti vybraným subjektům, jež mají za cíl zajištění dostatečné bezpečnosti kybernetického prostoru.
ps2013-006-08-005-032.u4.p5.s3 Subjektům, na které bude regulace zákona dopadat, jsou v návrhu zákona stanoveny konkrétní věci, které mají za cíl, především zvýšit ochranu jimi spravovaných informačních systémů nebo sítí, které provozují.
ps2013-006-08-005-032.u4.p5.s4 Jedná se přitom o tyto základní povinnosti: povinnost zavést bezpečnostní opatření, povinnost hlásit kybernetické bezpečnostní incidenty, povinnost oznámit kontaktní údaje a jejich změny, povinnost provést nezbytná opatření za účelem řešení kybernetického bezpečnostního incidentu.
ps2013-006-08-005-032.u4.p6.s1 Dámy a pánové, jak se následně dozvíme, tento zákon organizační výbor dal k projednání bezpečnostnímu výboru, s tím, že pak v rozpravě navrhnu projednání i ve výboru pro obranu, neboť se domnívám, že tyto dva výbory jsou ty, které by mohly tento zákon skutečně projednat, a dobře projednat, a prosím vás o to, abyste tento zákon propustili do druhého čtení.
ps2013-006-08-005-032.u4.p6.s2 Děkuji vám.
ps2013-006-08-005-032.u5.p1.s1 Děkuji panu poslanci Klučkovi.
ps2013-006-08-005-032.u5.p1.s2 Otevírám obecnou rozpravu, do které zatím eviduji tři přihlášky.
ps2013-006-08-005-032.u5.p1.s3 Jako první se přihlásil pan poslanec Matěj Fichtner.
ps2013-006-08-005-032.u5.p1.s4 Prosím, pane poslanče, máte slovo.
ps2013-006-08-005-032.u6.p1.s1 Vážený pane předsedající, dámy a pánové, dobrý den.
ps2013-006-08-005-032.u6.p1.s2 Jsem trochu nachlazen, doufám, že mi budete rozumět.
ps2013-006-08-005-032.u6.p2.s1 Dovolte mi tedy uvést komentář k předkládanému návrhu zákona o kybernetické bezpečnosti.
ps2013-006-08-005-032.u6.p2.s2 Rád bych také v průběhu svého vystoupení upozornil na určitá úskalí předlohy, z nichž některá, jak doufám, se v průběhu projednávání na půdě Poslanecké sněmovny podaří korigovat.
ps2013-006-08-005-032.u6.p3.s1 Zákon jako celek navazuje na dlouhodobou snahu o zajištění bezpečnosti informačních systémů a komunikačních sítí v ČR.
ps2013-006-08-005-032.u6.p3.s2 Odráží přitom celosvětový trend, kdy veřejná sféra zasahuje do soukromé sféry formou regulace u těch odvětví, která považuje za hodná mimořádné ochrany, jako je například bankovnictví nebo energetika.
ps2013-006-08-005-032.u6.p3.s3 V případě regulace digitálního prostředí se jedná především o reakci na množící se kybernetické útoky na informační systémy, které, jak ukazují především zahraniční zkušenosti, nemusejí být pouze dílem jednotlivců nebo jednotlivých útočníků, ale též celých organizovaných skupin.
ps2013-006-08-005-032.u6.p3.s4 V některých případech panují obavy, že činnost těchto útočníků je skrytě organizována či financována zahraničními vládními či jinými mocenskými strukturami.
ps2013-006-08-005-032.u6.p3.s5 Z tohoto pohledu je přirozené, že legislativní prostředí na tyto skutečnosti reaguje.
ps2013-006-08-005-032.u6.p4.s1 Zde je však první kontroverze.
ps2013-006-08-005-032.u6.p4.s2 V evropském i celosvětovém kontextu jsme totiž jedna z mála zemí, ne-li jediná, která by měla mít speciální zákon pro oblast kybernetické bezpečnosti.
ps2013-006-08-005-032.u6.p4.s3 Předkladatel zákona, tedy tehdy ještě Rusnokova vláda, sice odůvodňuje jeho potřebu odkazem na návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii, kterou předložila Evropská komise dne 7. února 2013, tato směrnice však nebyla dosud schválena.
ps2013-006-08-005-032.u6.p4.s4 Je pravděpodobné, že přijata bude, není to však jisté.
ps2013-006-08-005-032.u6.p4.s5 Z tohoto pohledu se může jevit přijímání speciálního zákona jako předčasné a unáhlené.
ps2013-006-08-005-032.u6.p5.s1 Nyní však k samotnému obsahu zákona.
ps2013-006-08-005-032.u6.p5.s2 Zákon naštěstí nenaplňuje očekávání některých kritiků, kteří se obávali sledování obsahu informačních toků, či dokonce jejich cenzury.
ps2013-006-08-005-032.u6.p5.s3 Soustředí se pouze na ochranu informační infrastruktury tak, aby zajistil právo jednotlivce na informační sebeurčení.
ps2013-006-08-005-032.u6.p5.s4 Pevně doufám, že tomu tak zůstane i do budoucna a obsah internetu zůstane i nadále svobodný, bez jakéhokoliv zásahu státu do jeho obsahu, bez snah o ovlivnění toho, co může být na internetu zveřejněno, nebo snah o centrální sledování konkrétních aktivit jednotlivých uživatelů.
ps2013-006-08-005-032.u6.p6.s1 Zákon se naštěstí dívá na kybernetickou bezpečnost z druhé strany, tedy pojímá kybernetickou bezpečnost jako snahu o zajištění kontinuity informačních služeb i v případech, kdy jsou tyto služby ohroženy určitou hrozbou.
ps2013-006-08-005-032.u6.p6.s2 Zákon z tohoto důvodu ambici vytvořit Centrální pracoviště kybernetické bezpečnosti, tzv.
ps2013-006-08-005-032.u6.p6.s3 Computer Emergency Response Team, ve zkratce CERT, které se bude zabývat shromažďováním dat o bezpečnostních incidentech, které se odehrály u jednotlivých významných provozovatelů informačních a komunikačních systémů, tedy tzv. kritické informační infrastruktury, soukromých i veřejných.
ps2013-006-08-005-032.u6.p6.s4 Na základě takto získaných dat bude pracoviště koordinovat na národní úrovni ochranná opatření, která by měla umožnit pružnou a komplexní reakci na případný kybernetický útok většího rozsahu.
ps2013-006-08-005-032.u6.p7.s1 Koordinace CERT je svěřena Národnímu bezpečnostnímu úřadu.
ps2013-006-08-005-032.u6.p7.s2 Z tohoto důvodu rozšiřuje zákon nejen působnost NBÚ, ale i jeho pravomoci ve vztahu k provozovatelům kritické informační infrastruktury a dalším provozovatelům, kteří budou NBÚ povinně předávat data o bezpečnostních incidentech a provádět příslušná opatření podle pokynů NBÚ, resp. CERT, pod hrozbou sankce.
ps2013-006-08-005-032.u6.p7.s3 Vedle toho zákon svěřuje CERT také související kompetence v oblasti metodiky boje proti kybernetickým útokům.
ps2013-006-08-005-032.u6.p8.s1 Zákon předpokládá, že vznikne veřejnoprávní pracoviště kybernetické bezpečnosti, tzv. vládní CERT, a soukromoprávní pracoviště kybernetické bezpečnosti, tzv. národní CERT.
ps2013-006-08-005-032.u6.p8.s2 Veřejnoprávní pracoviště, tedy vládní CERT, je jistě přínosné v tom smyslu, že vytváří centralizovanou bezpečnostní strukturu dohlížející na bezpečnost klíčových součástí informační infrastruktury ve vlastnictví státu.
ps2013-006-08-005-032.u6.p8.s3 Konstatuji, že tento záměr mou plnou podporu.
ps2013-006-08-005-032.u6.p8.s4 Zároveň by vládní CERT podle předlohy měl plnit podobnou funkci ve vztahu k vybraným soukromým subjektům, které provozují kritickou informační infrastrukturu.
ps2013-006-08-005-032.u6.p9.s1 Jako do jisté míry problematické však vnímám zřízení a provoz národního CERT.
ps2013-006-08-005-032.u6.p9.s2 Národní CERT zajišťovat obdobnou funkci jako vládní CERT, ale ve vztahu k poskytovatelům služeb elektronických komunikací a soukromým subjektům, které nespadají do kategorie kritické informační infrastruktury.
ps2013-006-08-005-032.u6.p9.s3 Provozovatelem národního CERT být podle předlohy nikoli sám Národní bezpečností úřad, ale soukromý subjekt, s nímž bude mít Národní bezpečnostní úřad uzavřenu veřejnoprávní smlouvu.
ps2013-006-08-005-032.u6.p9.s4 Předloha tedy ve své části týkající se modelu fungování národního CERT obsahuje jakýsi zvláštní mix mezi veřejnou a soukromou sférou, u něhož není jasně patrná hranice mezi tím, co je financováno, provozováno a vlastněno státem, a tím, co je financováno, provozováno a vlastněno soukromým subjektem.
ps2013-006-08-005-032.u6.p9.s5 Tyto šedé zóny, kterých máme v českém právu tak více než dost, vytvářejí vždy prostor pro plýtvání veřejnými prostředky, případně klientelismus.
ps2013-006-08-005-032.u6.p9.s6 Je otázkou, zda je vytváření dalších takových šedých zón dnes vhodné a žádoucí.
ps2013-006-08-005-032.u6.p10.s1 Poukázal bych zde na text koaliční smlouvy, která v bodě 11.2. stanoví, cituji: V žádném případě nepřipustíme, aby zajištění bezpečnosti v naší zemi bylo postupně privatizováno.
ps2013-006-08-005-032.u6.p10.s2 Ptám se tedy, zda situace, kdy bude státem ustanovena bezpečností struktura, kterou bude provozovat soukromý subjekt na základě v podstatě výhradní licence, není právě takovou privatizací bezpečnosti v naší zemi.
ps2013-006-08-005-032.u6.p10.s3 Jinými slovy, buď je nějaká oblast otázkou národní bezpečnosti, pak by měla její regulaci a zároveň dohled nad dodržováním těchto pravidel provádět veřejná instituce formou výkonu státní správy, a to plošně, anebo se jedná o soukromou záležitost, a pak by do stát neměl zasahovat vůbec.
ps2013-006-08-005-032.u6.p11.s1 Zvláštnost předkládaného modelu korunuje fakt, že důvodová zpráva neobsahuje přesnou informaci o tom, jaké jsou nebo mají být ekonomické vztahy a dopady při provozováním národního CERT soukromým subjektem a jaké dopady na dosud neregulovaný trh bude mít právě toto udělení výhradní licence na provoz národního CERT jednomu vybranému subjektu.
ps2013-006-08-005-032.u6.p11.s2 Záměrně říkám výhradní licence, neboť veřejnoprávní smlouvu mezi NBÚ a provozovatelem národního CERT je nutno za výhradní licenci považovat.
ps2013-006-08-005-032.u6.p11.s3 Vedle toho všeho je zde technický nedostatek předlohy spočívající v tom, že potenciální provozovatel národního CERT nemusí být ani držitelem osvědčení o bezpečnostní způsobilosti podle zákona o ochraně utajovaných informací, ačkoli bude mít při své činnosti přístup k detailním informacím o zranitelnosti informačních systému u jednotlivých soukromých provozovatelů.
ps2013-006-08-005-032.u6.p12.s1 Dámy a pánové, tento stát je pověstný svými IT zakázkami, které bývají nejen předražené, ale mnohdy i nefunkční.
ps2013-006-08-005-032.u6.p12.s2 Prosím tedy, abychom při přijímání zákonů, jejichž existence zatíží buď státní rozpočet, anebo ovlivní ekonomické vztahy, byli velmi opatrní a hlasovali jen pro taková řešení, o jejichž nezbytnosti jsme stoprocentně přesvědčení.
ps2013-006-08-005-032.u6.p13.s1 Tolik tedy ke kritice předloženého návrhu zákona o kybernetické bezpečnosti.
ps2013-006-08-005-032.u6.p13.s2 Přes uvedené nedostatky doporučuji Poslanecké sněmovně, aby návrh zákona propustila do projednání ve výborech a do druhého čtení.
ps2013-006-08-005-032.u6.p13.s3 V rámci druhého čtení však budu požadovat, aby předkladatel věrohodným způsobem vyvrátil ty pochybnosti, o kterých jsem zde hovořil.
ps2013-006-08-005-032.u6.p13.s4 V případě, že argumenty nebudou věrohodné, zvážím předložení pozměňovacího návrhu, který v podstatě z návrhu zákona odstraní část týkající se národního CERT, tak aby součinnost mezi NBÚ a soukromými provozovateli CERT probíhala i nadále v režimu neformální spolupráce, která ve svém důsledku nepovede k outsourcingu bezpečnostních funkcí státu.
ps2013-006-08-005-032.u6.p14.s1 Zároveň mi dovolte vzhledem k problematickému charakteru předlohy navrhnout podle § 91 odst. 3 jednacího řádu prodloužení lhůty na projednání ve výborech o 30 dnů.
ps2013-006-08-005-032.u6.p14.s2 Děkuji za pozornost.
ps2013-006-08-005-032.u7.p1.s1 Děkuji panu poslanci Fichtnerovi.
ps2013-006-08-005-032.u7.p1.s2 S další řádnou přihláškou se přihlásil pan poslanec Antonín Seďa.
ps2013-006-08-005-032.u7.p1.s3 Prosím, pane poslanče, máte slovo.
ps2013-006-08-005-032.u8.p1.s1 Děkuji, pane místopředsedo.
ps2013-006-08-005-032.u8.p1.s2 Vážený pane předsedo vlády, vážení členové vlády, vážené kolegyně, kolegové, návrh zákona o kybernetické bezpečnosti vychází z usnesení vlády o zřízení Národního centra kybernetické bezpečnosti, a nutno říci, že vzhledem k současným bezpečnostním hrozbám je potřebný.
ps2013-006-08-005-032.u8.p1.s3 Přestože podporuji postoupení návrhu zákona do druhého čtení, dovolím si několik poznámek.
ps2013-006-08-005-032.u8.p2.s1 Zdá se mi docela komplikovaná vlastní struktura rozdělení pracovišť CERT.
ps2013-006-08-005-032.u8.p2.s2 to tady vlastně bylo řečeno.
ps2013-006-08-005-032.u8.p2.s3 Otázkou také je, které z obou pracovišť bude tím, které bude navázáno na zahraničí a bude jednotným kontaktním místem pro celou Českou republiku, na které se bude zahraničí obracet.
ps2013-006-08-005-032.u8.p3.s1 Zákon dále vymezuje prvky kritické infrastruktury, a to jak komunikační, tak informační.
ps2013-006-08-005-032.u8.p3.s2 Co konkrétně bude spadat do kritické infrastruktury, rozhodne vláda svým nařízením.

Text viewDownload CoNNL-U