Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pokročil v přípravě návrhu zákona, který by měl omezit vliv rizikových dodavatelů informačních a komunikačních technologií na nejvýznamnější infrastrukturu ČR. Prověřování by měl podle návrhu provádět NÚKIB ve spolupráci s ministerstvy, zpravodajskými službami a dalšími organizačními složkami státu. Ředitel úřadu Lukáš Kintr včera novinářům řekl, že o předloze chce nad rámec běžného připomínkového řízení vést diskusi s partnery ze státní správy, soukromého a akademického sektoru.
Mechanismus pro prověřování dodavatelů by měl státu umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury ČR. Má také umožnit vyhodnocování rizik spojených s těmito dodavateli a v případě vysokého rizika omezit využívání takových dodavatelů.
Regulace má být přesně cílená na kritické systémy, rozsah nezmění ani chystaná novela související s unijní směrnicí NIS2. „Bude prověřovat především to, zda konkrétního dodavatele může ovlivňovat cizí stát, jehož zájmy se nemusí shodovat s těmi českými. A zejména možnost převzetí dodavatele cizím státem, využívání dodavatele ze strany cizího státu,“ uvedl Kintr.
Prověřování by stát mohl podle nynější podoby návrhu provádět u současných i potenciálních dodavatelů strategické infrastruktury a jejich subdodavatelů. „Pokud bude identifikováno riziko spojené s dodavatelem, bude stát moci využití takového dodavatele v regulované infrastruktuře omezit obdobou současného varování podle zákona o kybernetické bezpečnosti či přímo zakázat formou opatření obecné povahy,“ uvedl úřad.
Na prověření dodavatele nebude existovat nárok a není ani ambicí státu prověřit všechny dodavatele. Má jít o ty, u kterých bude hrozbu indikovat například aktuální bezpečnostní situace. Prověření by tak zahájil výhradně stát vůči dodavatelům, u nichž se dozví o možné hrozbě. Předpis má také počítat s pravidelným přezkumem trvání hrozeb, na základě kterých bylo vydáno omezení.
Úkol připravit návrh zákona, který zavede mechanismus pro prověřování dodavatelů, uložila úřadu v červnu Bezpečnostní rada státu (BRS). Kabinet má předpis dostat v květnu příštího roku. „Jsem rád, že se nám přes složitost této problematiky daří plnit harmonogram přípravy zákona a že se již nyní blížíme okamžiku, kdy budeme s partnery ze státní správy, soukromého a akademického sektoru konzultovat konkrétní znění,“ uvedl Kintr.
NÚKIB počítá s tím, že v prvním čtvrtletí příštího roku provede veřejnou konzultaci návrhu a zapracuje podněty veřejnosti. Po legislativním procesu by pak mohl být zákon vyhlášen do poloviny roku 2024. Kintr věří, že systém by mohl fungovat do dvou let. „V oblasti informačních technologií tak do budoucna doufejme předejdeme situaci, jakou nyní pozorujeme například v souvislosti s dodávkami ropy a zemního plynu z Ruské federace,“ dodal. Válka na Ukrajině podle něj uspíšila nutnost dlouhodobě diskutovaný mechanismus zavést.
