Korektura

Poslanec Petr Letocha: Nicméně z těch (od?) předchozích předřečníků tady mohly vyplynout nějaké obavy, že to bude skutečně norma, která se dotkne desetitisíců společností - a není tomu tak. Já bych chtěl říct na tom příkladu cukrárny, která tady byla zmíněna, která by měla nějakou fotovoltaiku na své střeše - pokud by svým výkonem ovlivnila stabilitu přenosové soustavy, tak by se skutečně jí tato regulace dotýkala.

Pokud by tomu tak nebylo, tak v současné chvíli se NÚKIB snaží, aby vyhlášky, které obsahují, kdo má spadat do tohoto, by být snad již brzo neměla. A to je další věc, co tady i poukazoval pan kolega Králíček, že se jedná v podstatě o vyhlášky, nikoli o zákon jako takový - ale dneska tady řešíme zákon jako takový a o vyhláškách se teprve bude bavit, bude, teprve to jde do legislativního procesu, bude se k tomu vyjadřovat i Legislativní rada vlády. Takže řada těch vyhlášek se skutečně ještě dá pozitivně ovlivnit. Stejně tak jako například ta cukrárna, pokud by měla na střeše takovou sílu, že by mohla ohrozit stabilitu přenosové soustavy, což se možná ale všichni shodneme na tom, že v tu danou chvíli by měla být regulována.

A teď tedy k těm číslům. Skutečně se může jednat o minimálně 6 000 firem. Já se budu držet toho čísla 6 000, protože z těch 6 000 je zhruba 5 000 v takzvaném nižším režimu. Dále je tady nějakých 1 000 subjektů, které jsou ve vyšším režimu, a 150 subjektů, kterých se bude týkat ta bezpečnost dodavatelského řetězce. To znamená, část, o které tady kolega mluvil, o tom, do čeho může NÚKIB hovořit, tak se skutečně jedná o nějakých 150 subjektů. A já si tady dovolím přečíst jenom výčet toho, o co by se mělo jednat.

Jedná se o subjekty v energetice, jedná se o subjekty v letecké dopravě, v drážní dopravě, digitální infrastruktuře a - ano, i ti operátoři se do toho budou počítat. Uvědomme si, jakou mají úlohu operátoři v naší zemi: bez nich bychom dneska v podstatě nemohli telefonovat v jakékoli krizi, ať už jsou to povodně nebo jakákoliv jiná tornáda, tak bychom bez operátorů byli nahraní. A je třeba si říct, že my musíme jako stát zajistit dostupnost tohoto kritického řetězce, který nám jako státu pomáhá chránit obyvatele a chránit služby státu. Takže pojďme si říct, co je vlastně předmětem.

Pokud bychom se bavili o hlavních povinnostech v nižším režimu, tak do 60 dní od nabytí účinnosti zákona se musí nahlásit kontaktní a další údaje. Jednou. Dále do jednoho roku od nahlášení by měl ten kontrolovaný subjekt v nižším režimu stanovit rozsah řízení kybernetické bezpečnosti, definuje rozsah regulace v té organizaci. Zároveň by měli zavádět bezpečnostní opatření. Můžu vám říct, já jsem byl na řadě školení kybernetické bezpečnosti a možná byste se tomu nedivili, ale já jsem se tomu divil, jak lidé i třeba na úřadech - ale nejenom na úřadech, v jakékoliv společnosti hazardují, vysloveně hazardují se svými hesly. A heslo je dneska vstupenkou do něčeho, co by mělo být chráněno. To znamená, už i to, že si na úřadu řeknou, že je tady nějaká práce s hesly, kdy by měli splňovat nějaké základní podmínky, to je jedna z těch věcí, to je jedno z těch uvědomění, kdy ten úřad by si měl říct - ano, měla by tady být nějaká pravidla a tohleto je nějaké minimum, které nám tady NÚKIB doporučuje. To znamená, zavádět bezpečnostní opatření.

Dále by ale měli také hlásit kybernetické bezpečnostní incidenty, což je logické, protože na základě hlášení my jsme schopni potom identifikovat, anebo napomoci tomu, aby se to do budoucna nedělo.

V neposlední řadě - to se jedná zejména o společnosti - informovat zákazníky o incidentech a o hrozbách, které se jich dotkly, ať už se jedná o to, když je někomu vykradena databáze emailu. Pokud vy byste byli dotčeným klientem této společnosti, asi byste chtěli vědět, že někomu unikl váš email, možná nějaká vaše adresa, IP adresa a tak dále. Takže informovat zákazníky o incidentech a hrozbách. A samozřejmě provádět protiopatření. Antivirus je dneska snad úplně základ, ale těch protiopatření tady může být vícero. Plnit povinnosti z takzvaného mechanismu bezpečnosti dodavatelského řetězce se, jak už jsem zmínil, dotkne zhruba 150 firem v Česku, 150 firem, které, myslím si, už by to měly řešit dnes.

A teď k bezpečnostní dodavatelského řetězce bych chtěl říct, že tady padla poznámka, že si vlastně NÚKIB bude moci rozhodovat o všem a o všech a že by to neměl rozhodovat jenom NÚKIB. Tady chci říct, že to nebude rozhodovat jenom NÚKIB. Je tady celá řada subjektů, které do toho budou hovořit, ať už se jedná o Ministerstvo zahraničních věcí, Ministerstvo vnitra, Ministerstvo pro místní rozvoj, Ministerstvo financí, sektoroví regulátoři a samozřejmě zpravodajské služby. NÚKIB se mezi tyto samozřejmě počítá také. Je to opravdu dáno na to, abychom si tu svoji kritickou informační infrastrukturu ochránili.

A já se těším, že v druhém čtení se (tím) budeme podrobněji zabývat. Já už dneska nechci dále zdržovat a věřím, že nakonec skutečně najdeme cestu, jakým způsobem najít shodu i nad tímto zákonem. Děkuji za pozornost.

Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Nyní s faktickou poznámkou je přihlášen Robert Králíček, poté pan poslanec Ivan Adamec a dále pan poslanec Král. Prosím, vaše dvě minuty.

Poslanec Robert Králíček: Vážená paní předsedající, já jenom, aby nedošlo k mýlce - pro pana zpravodaje. My se na tom shodujeme. A já jenom říkám: máme tu zákon o kritické infrastruktuře, ve kterém je § 14, kdy si Ministerstvo vnitra napsalo, že bude rozhodovat o tom, koho vyloučí a nevyloučí z dodávek pro kritickou infrastrukturu. My tady máme dva zákony, které jdou ruku v ruce, a vy jste to zmínil sám, že máme se zajímat o kybernetickou bezpečnost a kritickou infrastrukturu. Já tady říkám, že jenom podle mě chybně, že dnes probíráme jeden a za půl roku budeme probírat druhý. Protože až přijde do Sněmovny, tak ten § 14 je to samé, co ochrana dodavatelského řetězce nebo bezpečnost dodavatelského řetězce. Za prvé.

Za druhé, my jenom říkáme - a v tom se shodnu s kolegou Adamcem, jednak nám chybí obecně odborníci na kybernetickou bezpečnost - kdo těm malým firmám bude s tím pomáhat? Protože vy jste tu vyjmenoval nějaké procedury, které ta firma bude (dělat?), ale vezměte si, že to jsou opravdu mnohdy lidé z jiných oborů, kteří vůbec nemají jakoby potuchy, co by měli vyplňovat, jak by měli vyplňovat, o nějakém názvosloví. A oni z té vyhlášky to prostě nemusí pochopit. A budeme potřebovat lidi a my je nemáme, budeme je muset někde najít. Pro tu firmu to bude znamenat nějakou zátěž - a potom ta hrozba penalizace. Takže já souhlasím s tím, co říkal Ivan Adamec. My jenom říkáme, že bychom navíc chtěli ještě výbor pro veřejnou správu, protože ono to má stejné dopady i pro ty municipality. Mnohdy to jsou malé obce, které mají problém sehnat vůbec někoho na ten úřad, a my je nutíme k dalším, řekl bych, dovednostem, které tam prostě nebudou. A pokud tam je nějaká penalizace i pro ty obce, tak pro některé to může být i zásadní zásah do rozpočtu. Takže principiálně ano, ale my říkáme: pojďme ve druhém čtení diskutovat ještě ty věci, které nejsou vyřešeny.

Místopředsedkyně PSP Věra Kovářová: Děkuji za dodržení času. Nyní s faktickou poznámkou vystoupí pan poslanec Adamec, poté pan poslanec Král. Prosím, máte slovo.

Poslanec Ivan Adamec: Ano, já děkuji za slovo, paní místopředsedkyně. No, tak já jsem kdysi řídil de facto - nebo já jsem neřídil, řídil ho tajemník - úřad, který měl asi 250 zaměstnanců, a vím, jaký problém byla hesla do počítačů třeba nebo do pošty. Jako to je něco neuvěřitelného, když úřednice v různé věkové kategorii by měly měnit po čase své heslo, tak prostě nejsou toho schopny - to vám říkám úplně otevřeně. A technik, který tam zajišťuje provoz sítě, ten se uběhá, protože budou furt si vzpomínat na hesla, kde je mají - nebo si je napíše a dá si ho pod sklo. No, to je taky bezpečné. Ale to jsou takové drobnosti. Já jsem o tomhle mluvit nechtěl, jenom jsem si na to vzpomněl, když jste o tom hovořil, pane kolego, prostřednictvím paní předsedající.

Ale já jsem chtěl říct něco jiného. Tady pořád mluvíme o těch vyhláškách. A víte co? Vyhláška je přece podzákonná norma. A to, že se tím bude zabývat Legislativní rada vlády a bůhví kdo a všichni tamto, to je mi fakt úplně jedno. Co mně na tom vadí, že (důrazně) my se tím už nikdy nebudeme zabývat, jo? Ono to nesmí překročit jakoby rámec toho zákona. A tady je otázka, co je ten rámec toho zákona, jak to vůbec ten zákonodárce myslel a jak to ti právníci a jak to ti uživatelé si budou vykládat. A to je velmi nebezpečná věc!

Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Nyní pan poslanec Král s faktickou poznámkou, poté pan poslanec Letocha. Prosím, máte slovo. ***