2013-006-08-032
32. Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) /sněmovní tisk 81/ - prvé čtení
View options
Text: - Show: - Tags:
Javascript seems to be turned off, or there was a communication error. Turn on Javascript for more display options.
Místopředseda PSP Petr Gazdík
Děkuji panu poslanci Klučkovi. Otevírám obecnou rozpravu, do které zatím eviduji tři přihlášky. Jako první se přihlásil pan poslanec Matěj Fichtner. Prosím, pane poslanče, máte slovo.
Poslanec Matěj Fichtner
Vážený pane předsedající, dámy a pánové, dobrý den. Jsem trochu nachlazen, doufám, že mi budete rozumět. Dovolte mi tedy uvést komentář k předkládanému návrhu zákona o kybernetické bezpečnosti. Rád bych také v průběhu svého vystoupení upozornil na určitá úskalí předlohy, z nichž některá, jak doufám, se v průběhu projednávání na půdě Poslanecké sněmovny podaří korigovat. Zákon jako celek navazuje na dlouhodobou snahu o zajištění bezpečnosti informačních systémů a komunikačních sítí v ČR. Odráží přitom celosvětový trend, kdy veřejná sféra zasahuje do soukromé sféry formou regulace u těch odvětví, která považuje za hodná mimořádné ochrany, jako je například bankovnictví nebo energetika. V případě regulace digitálního prostředí se jedná především o reakci na množící se kybernetické útoky na informační systémy, které, jak ukazují především zahraniční zkušenosti, nemusejí být pouze dílem jednotlivců nebo jednotlivých útočníků, ale též celých organizovaných skupin. V některých případech panují obavy, že činnost těchto útočníků je skrytě organizována či financována zahraničními vládními či jinými mocenskými strukturami. Z tohoto pohledu je přirozené, že legislativní prostředí na tyto skutečnosti reaguje. Zde je však první kontroverze. V evropském i celosvětovém kontextu jsme totiž jedna z mála zemí, ne-li jediná, která by měla mít speciální zákon pro oblast kybernetické bezpečnosti. Předkladatel zákona, tedy tehdy ještě Rusnokova vláda, sice odůvodňuje jeho potřebu odkazem na návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii, kterou předložila Evropská komise dne 7. února 2013, tato směrnice však nebyla dosud schválena. Je pravděpodobné, že přijata bude, není to však jisté. Z tohoto pohledu se může jevit přijímání speciálního zákona jako předčasné a unáhlené. Nyní však k samotnému obsahu zákona. Zákon naštěstí nenaplňuje očekávání některých kritiků, kteří se obávali sledování obsahu informačních toků, či dokonce jejich cenzury. Soustředí se pouze na ochranu informační infrastruktury tak, aby zajistil právo jednotlivce na informační sebeurčení. Pevně doufám, že tomu tak zůstane i do budoucna a obsah internetu zůstane i nadále svobodný, bez jakéhokoliv zásahu státu do jeho obsahu, bez snah o ovlivnění toho, co může být na internetu zveřejněno, nebo snah o centrální sledování konkrétních aktivit jednotlivých uživatelů. Zákon se naštěstí dívá na kybernetickou bezpečnost z druhé strany, tedy pojímá kybernetickou bezpečnost jako snahu o zajištění kontinuity informačních služeb i v případech, kdy jsou tyto služby ohroženy určitou hrozbou. Zákon má z tohoto důvodu ambici vytvořit Centrální pracoviště kybernetické bezpečnosti, tzv. Computer Emergency Response Team, ve zkratce CERT, které se bude zabývat shromažďováním dat o bezpečnostních incidentech, které se odehrály u jednotlivých významných provozovatelů informačních a komunikačních systémů, tedy tzv. kritické informační infrastruktury, soukromých i veřejných. Na základě takto získaných dat bude pracoviště koordinovat na národní úrovni ochranná opatření, která by měla umožnit pružnou a komplexní reakci na případný kybernetický útok většího rozsahu. Koordinace CERT je svěřena Národnímu bezpečnostnímu úřadu. Z tohoto důvodu rozšiřuje zákon nejen působnost NBÚ, ale i jeho pravomoci ve vztahu k provozovatelům kritické informační infrastruktury a dalším provozovatelům, kteří budou NBÚ povinně předávat data o bezpečnostních incidentech a provádět příslušná opatření podle pokynů NBÚ, resp. CERT, pod hrozbou sankce. Vedle toho zákon svěřuje CERT také související kompetence v oblasti metodiky boje proti kybernetickým útokům. Zákon předpokládá, že vznikne veřejnoprávní pracoviště kybernetické bezpečnosti, tzv. vládní CERT, a soukromoprávní pracoviště kybernetické bezpečnosti, tzv. národní CERT. Veřejnoprávní pracoviště, tedy vládní CERT, je jistě přínosné v tom smyslu, že vytváří centralizovanou bezpečnostní strukturu dohlížející na bezpečnost klíčových součástí informační infrastruktury ve vlastnictví státu. Konstatuji, že tento záměr má mou plnou podporu. Zároveň by vládní CERT podle předlohy měl plnit podobnou funkci ve vztahu k vybraným soukromým subjektům, které provozují kritickou informační infrastrukturu. Jako do jisté míry problematické však vnímám zřízení a provoz národního CERT. Národní CERT má zajišťovat obdobnou funkci jako vládní CERT, ale ve vztahu k poskytovatelům služeb elektronických komunikací a soukromým subjektům, které nespadají do kategorie kritické informační infrastruktury. Provozovatelem národního CERT má být podle předlohy nikoli sám Národní bezpečností úřad, ale soukromý subjekt, s nímž bude mít Národní bezpečnostní úřad uzavřenu veřejnoprávní smlouvu. Předloha tedy ve své části týkající se modelu fungování národního CERT obsahuje jakýsi zvláštní mix mezi veřejnou a soukromou sférou, u něhož není jasně patrná hranice mezi tím, co je financováno, provozováno a vlastněno státem, a tím, co je financováno, provozováno a vlastněno soukromým subjektem. Tyto šedé zóny, kterých máme v českém právu už tak více než dost, vytvářejí vždy prostor pro plýtvání veřejnými prostředky, případně klientelismus. Je otázkou, zda je vytváření dalších takových šedých zón dnes vhodné a žádoucí. Poukázal bych zde na text koaliční smlouvy, která v bodě 11.2. stanoví, cituji: V žádném případě nepřipustíme, aby zajištění bezpečnosti v naší zemi bylo postupně privatizováno. Ptám se tedy, zda situace, kdy bude státem ustanovena bezpečností struktura, kterou bude provozovat soukromý subjekt na základě v podstatě výhradní licence, není právě takovou privatizací bezpečnosti v naší zemi. Jinými slovy, buď je nějaká oblast otázkou národní bezpečnosti, pak by měla její regulaci a zároveň dohled nad dodržováním těchto pravidel provádět veřejná instituce formou výkonu státní správy, a to plošně, anebo se jedná o soukromou záležitost, a pak by do ní stát neměl zasahovat vůbec. Zvláštnost předkládaného modelu korunuje fakt, že důvodová zpráva neobsahuje přesnou informaci o tom, jaké jsou nebo mají být ekonomické vztahy a dopady při provozováním národního CERT soukromým subjektem a jaké dopady na dosud neregulovaný trh bude mít právě toto udělení výhradní licence na provoz národního CERT jednomu vybranému subjektu. Záměrně říkám výhradní licence, neboť veřejnoprávní smlouvu mezi NBÚ a provozovatelem národního CERT je nutno za výhradní licenci považovat. Vedle toho všeho je zde technický nedostatek předlohy spočívající v tom, že potenciální provozovatel národního CERT nemusí být ani držitelem osvědčení o bezpečnostní způsobilosti podle zákona o ochraně utajovaných informací, ačkoli bude mít při své činnosti přístup k detailním informacím o zranitelnosti informačních systému u jednotlivých soukromých provozovatelů. Dámy a pánové, tento stát je pověstný svými IT zakázkami, které bývají nejen předražené, ale mnohdy i nefunkční. Prosím tedy, abychom při přijímání zákonů, jejichž existence zatíží buď státní rozpočet, anebo ovlivní ekonomické vztahy, byli velmi opatrní a hlasovali jen pro taková řešení, o jejichž nezbytnosti jsme stoprocentně přesvědčení. Tolik tedy ke kritice předloženého návrhu zákona o kybernetické bezpečnosti. Přes uvedené nedostatky doporučuji Poslanecké sněmovně, aby návrh zákona propustila do projednání ve výborech a do druhého čtení. V rámci druhého čtení však budu požadovat, aby předkladatel věrohodným způsobem vyvrátil ty pochybnosti, o kterých jsem zde hovořil. V případě, že argumenty nebudou věrohodné, zvážím předložení pozměňovacího návrhu, který v podstatě z návrhu zákona odstraní část týkající se národního CERT, tak aby součinnost mezi NBÚ a soukromými provozovateli CERT probíhala i nadále v režimu neformální spolupráce, která ve svém důsledku nepovede k outsourcingu bezpečnostních funkcí státu. Zároveň mi dovolte vzhledem k problematickému charakteru předlohy navrhnout podle § 91 odst. 3 jednacího řádu prodloužení lhůty na projednání ve výborech o 30 dnů. Děkuji za pozornost.
Download XML • Download text
• Waveform view • Create Person name
