Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal spolu s Ministerstvem průmyslu a obchodu, Ministerstvem zahraničních věcí, Bezpečnostní informační službou, Úřadem pro zahraniční styky a informace a Vojenským zpravodajstvím Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice (dále jen „Doporučení“). Význam telekomunikačních sítí nastupujících generací je pro celou společnost mimořádný a omezování bezpečnostních rizik těchto sítí je tedy nezbytné pro vytvoření a udržení odolné infrastruktury České republiky. Cílem Doporučení je nabídnout operátorům, potažmo celému odvětví elektronických komunikací, pohled bezpečnostně relevantních institucí státu na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů.

Vydání Doporučení navazuje na již mezinárodně deklarovanou pozici České republiky v oblasti bezpečnosti 5G sítí. V roce 2019 na 5G bezpečnostní konferenci v Praze byla vyhlášena série doporučení tzv. Pražské návrhy pro budování sítí 5G. Dále v roce 2020 došlo na úrovni Evropské unie k vydání tzv. EU 5G Toolboxu, na jehož vzniku a podobě se Česká republika významně podílela.

„Doporučení poskytuje vodítko zejména pro dodávky do informačních a komunikačních systémů kritické infrastruktury České republiky. Při tvorbě kritérií byl kladen důraz na jejich vyhodnotitelnost a měřitelnost, zároveň se jedná o obecně přijímané bezpečnostní zásady a lze je obdobně aplikovat i v dalších oblastech při zavádění jiných než telekomunikačních technologií,“ říká ředitel NÚKIB Karel Řehka. „Ačkoliv Doporučení nerozšiřuje, neruší ani jinak neupravuje jakákoliv práva a povinnosti, stanovená obecně závaznými právními předpisy, je nezbytné nastavit trend, kdy se důvěra v dodavatele neodvíjí pouze od konečné technické podoby dodávaného řešení, ale reflektuje
i strategickou rovinu – tedy podnikatelské, právní a politické prostředí, ve kterém se dodavatel pohybuje“ dodává.

Mezi kritéria navrhovaná Doporučením patří například vyhodnocení skutečnosti, zda má dodavatel transparentní vlastnickou strukturu nebo zda je schopen prokázat, že ve svých produktech používá tzv. princip security by design a praktikuje účinná bezpečnostní pravidla a procesy.

Doporučení bylo diskutováno také na půdě pracovní skupiny pro kybernetickou bezpečnosti pod 5G aliancí, jejíž součástí jsou i zástupci dalších orgánů státu, zástupci akademické sféry, mobilních operátorů a dalších zástupců podnikatelů v odvětví elektronických komunikací.

Celé znění dokumentu naleznete Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice

Q&A k aktivitám NÚKIB v problematice 5G sítí – Doporučení

Q: Proč Doporučení vydáváte?

A: Potřeba zabývat se problematikou důvěryhodnosti dodavatelů technologií je v odborné diskusi na vnitrostátní i mezinárodní úrovni zmiňována již delší dobu. Význam této problematiky se dále zvýšil po vydání souboru evropských doporučujících opatření k bezpečnému budování a provozování 5G sítí, známého jako EU 5G Toolbox. Některá z jeho opatření, ke kterým se Česká republika zavázala, vyžadují aktivitu státu, pro kterou však v současnosti schází zákonné kompetence. Než tedy budou tyto kompetence legislativně ukotveny, jedná stát v mezích svých současných pravomocí a poskytuje operátorům pomocná vodítka, která mohou pomoci zvýšit bezpečnost svých sítí a služeb.

Po diskusi relevantních bezpečnostních institucí státu byl připraven tento dokument, který v rámci současných kompetencí státu představuje jeho pohled na problematiku bezpečnosti dodavatelského řetězce a nabízí operátorům způsoby, jak mohou bezpečnost svých sítí zvýšit a minimalizovat tak negativní dopad na poskytování svých služeb koncovým zákazníkům.

Q: Proč vydáváte Doporučení právě nyní?

A: Výstavba 5G sítí sice už probíhá a na části území ČR jsou tyto sítě již nasazeny do komerčního provozu, stále ale nejsou uvedeny do provozu všechny funkcionality, které mají tyto sítě potenciál přinést. Do doby přijetí legislativy, která státu umožní poskytnout operátorům při budování těchto sítí zákonný rámec, chceme pomoci telekomunikačnímu sektoru formou zveřejnění bezpečnostních vodítek alespoň v podobě Doporučení, které operátorům nabízí nezávazná bezpečnostní kritéria.

Q: Komu je Doporučení určeno?

A: Účelem tohoto Doporučení je nabídnout operátorům v odvětví telekomunikací, kteří jsou správci informačních a komunikačních systémů kritické infrastruktury pohled státních institucí na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů. Doporučení ovšem obsahuje obecně přijímané bezpečnostní zásady a lze je obdobně aplikovat i v dalších oblastech při zavádění jiných než jen telekomunikačních technologií.

Q: Musí se operátoři Doporučením řídit?

A: Doporučení je svojí povahou nezávazný, podpůrný materiál a žádné nové povinnosti tedy operátorům neukládá. Některé jeho části ale odpovídají již existujícím právním povinnostem operátorů anebo je operátoři provádí dobrovolně v rámci svých podnikatelských procesů. Doporučení navíc vychází z mezinárodní praxe a bylo připraveno po diskusi relevantních bezpečnostních institucí státu.

Q: Pokud není pro operátory zohlednění Doporučení povinné, znamená to, že se na výběr dodavatelů aktuálně žádná omezení nevztahují?

A: Operátoři a jiné subjekty, spadající pod regulaci zákona o kybernetické bezpečnosti, musí dodržovat povinnosti, týkající se řízení dodavatelů stanovené tímto zákonem, stejně jako další právní povinnosti. Stále je také účinné varování NÚKIB z roku 2018, které musí příslušné subjekty regulované zákonem o kybernetické bezpečnosti povinně zohledňovat.

Q: Je možné chápat Doporučení jako vzor budoucí zákonné regulace?

A: Podoba možné budoucí regulace je v současnosti předmětem odborné diskuse a výsledná legislativa bude v rukou zákonodárců, její podobu tedy nyní nelze předjímat.

Q: O 5G sítích se mluví už dlouho. Proč se stát nezačal touto otázkou zabývat dříve?

A: NÚKIB i ostatní státní orgány se kybernetickou bezpečností 5G sítí zabývají dlouhodobě, již v roce 2019 NÚKIB s významným mezinárodním ohlasem zorganizoval první Pražskou 5G bezpečnostní konferenci a byli jsme také jedním z hlavních iniciátorů řešení této otázky na úrovni EU, z něhož vzešel EU 5G Toolbox. Ihned po přijetí společného přístupu členských států EU jsme zahájili proces přípravy českého právního prostředí na zavedení opatření EU 5G Toolboxu a aktuálně vydávané Doporučení je součástí tohoto procesu.

Q: Je pravda, že operátoři nemohou některá kritéria důvěryhodnosti dodavatelů v Doporučení sami vyhodnotit?

A: Při tvorbě kritérií byl kladen důraz na jejich univerzální použitelnost a vyhodnotitelnost právě subjekty zajišťujícími sítě a služby elektronických komunikací – operátory. Pokud však operátor není schopen některá z kritérií efektivně vyhodnotit, například z důvodu nedostatku informací či personálních kapacit, nebo pokud příslušný dodavatel kritérium nenaplní, neznamená to, že by dodavatele automaticky nebylo vhodné využít. Vhodnost aplikace a váha každého kritéria závisí vždy na kontextu příslušné dodávky a zejména na úvaze operátora. Jsme však přesvědčení, že případné naplnění kritérií důvěryhodnost dodavatele zvýší.

Q: Ovlivní Doporučení ceny telekomunikačních služeb?

A: Doporučení neklade operátorům žádná nová pravidla či povinnosti, nemělo by tedy ceny služeb ovlivnit. Ani v ostatních státech, kde byla obdobná opatření přijata, nesledujeme zvýšení cen služeb z tohoto důvodu. Je však nezbytné mít na paměti, že bezpečnost sítí elektronických komunikací by měla být základním zájmem státu i jednotlivce a její zajištění není zadarmo.