(11.20 hodin)
(pokračuje Fichtner)

Koordinace CERT je svěřena Národnímu bezpečnostnímu úřadu. Z tohoto důvodu rozšiřuje zákon nejen působnost NBÚ, ale i jeho pravomoci ve vztahu k provozovatelům kritické informační infrastruktury a dalším provozovatelům, kteří budou NBÚ povinně předávat data o bezpečnostních incidentech a provádět příslušná opatření podle pokynů NBÚ, resp. CERT, pod hrozbou sankce. Vedle toho zákon svěřuje CERT také související kompetence v oblasti metodiky boje proti kybernetickým útokům.

Zákon předpokládá, že vznikne veřejnoprávní pracoviště kybernetické bezpečnosti, tzv. vládní CERT, a soukromoprávní pracoviště kybernetické bezpečnosti, tzv. národní CERT. Veřejnoprávní pracoviště, tedy vládní CERT, je jistě přínosné v tom smyslu, že vytváří centralizovanou bezpečnostní strukturu dohlížející na bezpečnost klíčových součástí informační infrastruktury ve vlastnictví státu. Konstatuji, že tento záměr má mou plnou podporu. Zároveň by vládní CERT podle předlohy měl plnit podobnou funkci ve vztahu k vybraným soukromým subjektům, které provozují kritickou informační infrastrukturu.

Jako do jisté míry problematické však vnímám zřízení a provoz národního CERT. Národní CERT má zajišťovat obdobnou funkci jako vládní CERT, ale ve vztahu k poskytovatelům služeb elektronických komunikací a soukromým subjektům, které nespadají do kategorie kritické informační infrastruktury. Provozovatelem národního CERT má být podle předlohy nikoli sám Národní bezpečností úřad, ale soukromý subjekt, s nímž bude mít Národní bezpečnostní úřad uzavřenu veřejnoprávní smlouvu. Předloha tedy ve své části týkající se modelu fungování národního CERT obsahuje jakýsi zvláštní mix mezi veřejnou a soukromou sférou, u něhož není jasně patrná hranice mezi tím, co je financováno, provozováno a vlastněno státem, a tím, co je financováno, provozováno a vlastněno soukromým subjektem. Tyto šedé zóny, kterých máme v českém právu už tak více než dost, vytvářejí vždy prostor pro plýtvání veřejnými prostředky, případně klientelismus. Je otázkou, zda je vytváření dalších takových šedých zón dnes vhodné a žádoucí.

Poukázal bych zde na text koaliční smlouvy, která v bodě 11.2. stanoví, cituji: V žádném případě nepřipustíme, aby zajištění bezpečnosti v naší zemi bylo postupně privatizováno. Ptám se tedy, zda situace, kdy bude státem ustanovena bezpečností struktura, kterou bude provozovat soukromý subjekt na základě v podstatě výhradní licence, není právě takovou privatizací bezpečnosti v naší zemi. Jinými slovy, buď je nějaká oblast otázkou národní bezpečnosti, pak by měla její regulaci a zároveň dohled nad dodržováním těchto pravidel provádět veřejná instituce formou výkonu státní správy, a to plošně, anebo se jedná o soukromou záležitost, a pak by do ní stát neměl zasahovat vůbec.

Zvláštnost předkládaného modelu korunuje fakt, že důvodová zpráva neobsahuje přesnou informaci o tom, jaké jsou nebo mají být ekonomické vztahy a dopady při provozováním národního CERT soukromým subjektem a jaké dopady na dosud neregulovaný trh bude mít právě toto udělení výhradní licence na provoz národního CERT jednomu vybranému subjektu. Záměrně říkám výhradní licence, neboť veřejnoprávní smlouvu mezi NBÚ a provozovatelem národního CERT je nutno za výhradní licenci považovat. Vedle toho všeho je zde technický nedostatek předlohy spočívající v tom, že potenciální provozovatel národního CERT nemusí být ani držitelem osvědčení o bezpečnostní způsobilosti podle zákona o ochraně utajovaných informací, ačkoli bude mít při své činnosti přístup k detailním informacím o zranitelnosti informačních systému u jednotlivých soukromých provozovatelů.

Dámy a pánové, tento stát je pověstný svými IT zakázkami, které bývají nejen předražené, ale mnohdy i nefunkční. Prosím tedy, abychom při přijímání zákonů, jejichž existence zatíží buď státní rozpočet, anebo ovlivní ekonomické vztahy, byli velmi opatrní a hlasovali jen pro taková řešení, o jejichž nezbytnosti jsme stoprocentně přesvědčení.

Tolik tedy ke kritice předloženého návrhu zákona o kybernetické bezpečnosti. Přes uvedené nedostatky doporučuji Poslanecké sněmovně, aby návrh zákona propustila do projednání ve výborech a do druhého čtení. V rámci druhého čtení však budu požadovat, aby předkladatel věrohodným způsobem vyvrátil ty pochybnosti, o kterých jsem zde hovořil. V případě, že argumenty nebudou věrohodné, zvážím předložení pozměňovacího návrhu, který v podstatě z návrhu zákona odstraní část týkající se národního CERT, tak aby součinnost mezi NBÚ a soukromými provozovateli CERT probíhala i nadále v režimu neformální spolupráce, která ve svém důsledku nepovede k outsourcingu bezpečnostních funkcí státu.

Zároveň mi dovolte vzhledem k problematickému charakteru předlohy navrhnout podle § 91 odst. 3 jednacího řádu prodloužení lhůty na projednání ve výborech o 30 dnů. Děkuji za pozornost.

 

Místopředseda PSP Petr Gazdík: Děkuji panu poslanci Fichtnerovi. S další řádnou přihláškou se přihlásil pan poslanec Antonín Seďa. Prosím, pane poslanče, máte slovo.

 

Poslanec Antonín Seďa: Děkuji, pane místopředsedo. Vážený pane předsedo vlády, vážení členové vlády, vážené kolegyně, kolegové, návrh zákona o kybernetické bezpečnosti vychází z usnesení vlády o zřízení Národního centra kybernetické bezpečnosti, a nutno říci, že vzhledem k současným bezpečnostním hrozbám je potřebný. Přestože podporuji postoupení návrhu zákona do druhého čtení, dovolím si několik poznámek.

Zdá se mi docela komplikovaná vlastní struktura rozdělení pracovišť CERT. Už to tady vlastně bylo řečeno. Otázkou také je, které z obou pracovišť bude tím, které bude navázáno na zahraničí a bude jednotným kontaktním místem pro celou Českou republiku, na které se bude zahraničí obracet.

Zákon dále vymezuje prvky kritické infrastruktury, a to jak komunikační, tak informační. Co konkrétně bude spadat do kritické infrastruktury, rozhodne vláda svým nařízením. CERT bude aplikovat bezpečnostní opatření stanovená vyhláškou Národního bezpečnostního úřadu, tak jako protiopatření, která budou vyhlašována NBÚ. Je nutno upozornit, že velká část kritické infrastruktury je v majetku privátních subjektů, takže Národní bezpečnostní úřad zde bude mluvit do toho, jaká bezpečnostní opatření mají aplikovat ty privátní subjekty, které provozují prvky kritické infrastruktury. Jaká opatření a protiopatření to budou, lze jen odhadovat. Například má-li být typickým protiopatřením úprava bezpečnostních pravidel firewallu, jak se Národní bezpečnostní úřad vůbec dostane ke znalosti toho, jaký firewall konkrétně správce používá a jak je nastaven?

Navrhovaný zákon rozděluje informační systémy veřejné správy na významné a nevýznamné, aniž by ale naznačil, co je pro něj kritériem významnosti. Přitom významné informační systémy veřejné správy budou muset průběžně aplikovat bezpečnostní opatření stanovená vyhláškami Národního bezpečnostního úřadu a také aplikovat protiopatření vyhlašovaná ze strany NBÚ. Naproti tomu nevýznamné informační systémy veřejné správy budou muset pouze aplikovat ona vyhlašovaná protiopatření, ale neměla by se jich týkat bezpečnostní opatření.

Vážené poslankyně, vážení poslanci, chci položit otázku k diskusi pro druhé čtení návrhu zákona, zda tyto pravomoci Národního bezpečnostního úřadu by neměly být více pod demokratickou kontrolou parlamentu. Taktéž si dovolím poznamenat, že existují informační systémy veřejné správy, které spadají pod zákon číslo 365/2000 Sb., o informačních systémech veřejné správy. Vedle nich se ve veřejné správě provozuje řada dalších systémů, které pod tento zákon nespadají, a tím ani nebudou spadat do působnosti zákona o kybernetické bezpečnosti. Problém může nastat i v oblasti informačních systémů samospráv a vyšších samosprávných celků.

Asi nejširší skupinou, na kterou nový zákon o kybernetické bezpečnosti dopadne, budou všichni poskytovatelé služeb elektronických komunikací a subjektů zajišťujících sítě elektronických komunikací. Tato skupina poskytovatelů služeb elektronických komunikací a provozovatelů sítí elektronických komunikací spadá do působnosti zákona číslo 127/2005 Sb., o elektronických komunikacích. Vedle toho ale existuje řada dalších subjektů, jejichž činnost padá pod zákon číslo 480/2004 Sb., o některých službách informační společnosti. Jsou to zejména všichni poskytovatelé obsahu, např. Seznam, Internet Info, poskytovatelé hostingových služeb a dalších služeb, a ti do působnosti nového zákona o kybernetické bezpečnosti zřejmě spadat nebudou.

Tolik pár poznámek k zákonu. Doporučuji postoupit do druhého čtení a děkuji za pozornost.

 

Místopředseda PSP Petr Gazdík: Děkuji panu poslanci Seďovi. S další řádnou přihláškou se přihlásil pan poslanec Bohuslav Chalupa. Prosím, pane poslanče, máte slovo.

 

Poslanec Bohuslav Chalupa: Vážený pane předsedající, vážená vládo, vážené kolegyně, kolegové, já samozřejmě souhlasím s tím, co tady padlo od předřečníků, s tím nepochybně lze souhlasit, nicméně si myslím, že vzhledem ke komunikaci, která trvá už minimálně, co v podstatě sedíme v poslaneckých lavicích, tři měsíce, myslím si, protože jsem i místopředsedou výboru pro obranu, že ta diskuse je velice intenzivní. O těch problémech, které tady byly specifikovány, víme jak my, tak Národní bezpečnostní úřad a ty věci se budou řešit v podstatě v rámci připomínek ve druhém čtení. ***




Přihlásit/registrovat se do ISP