Druhým čtením prošel v úterý Poslaneckou sněmovnou zákon o kybernetické bezpečnosti, který do české legislativy zavádí evropskou bezpečnostní směrnici NIS 2. Ta klade vyšší bezpečnostní nároky na další tisíce českých firem a institucí, ale i na jejich dodavatelské řetězce. Zjišťovali jsme, zda se zákon nějak dotkne provozovatelů televizního a rozhlasového vysílání.
Okolo nového kyberzákona se na sklonku loňského roku rozjela vášnivá debata, když velcí mobilní operátoři odmítli prostřednictvím své asociace mechanismus bezpečnosti dodavatelských řetězců. Jinými slovy, nechtěli, aby jim stát určoval, které firmy smějí a které nesmějí použít jako dodavatele technologií do svých sítí. Kdyby se to úplně zjednodušilo, debata se vedla o možnosti zákazu používání technologií firem jako je Huawei v kritické infrastruktuře a kdo by je případě zakazoval – zda Národní úřad pro kybernetickou a internetovou bezpečnost (NÚKIB) jako autor předlohy zákona a regulátor, nebo vláda. Trochu v tom sporu zaniklo, kterých firem se zpřísnění bezpečnostních podmínek má týkat.
V souvislosti s kritickou infrastrukturou státu se totiž pravidelně hovoří také o médiích, konkrétně o terestrickém televizním a rozhlasovém vysílání. Konkrétně pak o médiích veřejné služby, tedy České televizi a Českém rozhlasu. Z pohledu zákona ale regulaci z kybernetického pohledu nepodléhají přímo tato média, ale provozovatelé vysílací infrastruktury, v tomto případě tedy České Radiokomunikace (CRA). Změní na tom něco nový zákon o kybernetické bezpečnosti a evropská směrnice NIS 2? Televizníweb.cz se s touto otázkou obrátil na pondělním kulatém stolu společnosti APPSEC o aktuálním stavu projednávání kyberzákona na Adama Kučínského, ředitele odboru regulace NÚKIB.
Co platí na ransomware? Inteligentní kyberochrana s detekcí změny chování
Na média myslí jen zákon o krizovém řízení
„Z pohledu nynějšího zákona o kybernetické bezpečnosti regulaci médií nemáme, protože určování subjektů, které spadají pod tento zákon, se provádí podle dopadů, a ty nebyly u těchto subjektů prokázány, resp. se musí prokazovat závislost na IT. Podle nového zákona na to směrnice NIS 2 nemyslí. Řeší sociální média a sociální sítě, ale ta standardní média jako televizi, pokud tedy nemá nějakou specifickou IT službu, jako je třeba CDN, zákon skutečně neřeší,“ uvedl Adam Kučínský, podle něhož NÚKIB do působnosti nového zákona zapracoval jen část firem z kritické a vysoce důležité infrastruktury státu, jako jsou energetické společnosti s výkonem nad 100 MGWh nebo největší telco operátory.
„Kdybychom tam doplnili další společnosti, byli bychom potom napadáni, že do zákona dáváme něco navíc a že si tím rozšiřujeme pole působnosti. Proto to moc neděláme a nemyslím si, že by média byla tím, co by do působnosti zákona „spadlo“,“ dodal Adam Kučínský. Jiná je situace u zákona o krizovém řízení. „Ten už dnes na média myslí, tedy na média veřejné služby, ale tam to má trochu jiný účel. Když dojde ke krizi a je něčeho nedostatek, například nafty a benzínu, je potřeba tyto subjekty nějakým způsobem zásobovat. Tam to tedy dává smysl,“ vysvětluje ředitel odboru regulace NÚKIB. Česká televize, Český rozhlas a Česká tisková kancelář by tak mohli čerpat pohonné hmoty ze státních hmotných rezerv.
Nový kyberzákon je za dveřmi, dotkne se i dodavatelských řetězců
ČT přestala používat antivir Kaspersky, ale nemusela
Stát ale nemá žádné páky na to, aby například určoval České televizi, od jaké firmy má nakupovat bezpečnostní software a od jaké ne. Přitom právě Česká televize donedávna používala antivirové řešení od společnosti Kaspersky, před kterou NÚKIB kvůli jejím ruským zakladatelům a faktickým majitelům varoval. Dnes už to neplatí, protože jak Televiznímu webu potvrdila mluvčí ČT Vendula Krejčová, Kavčí hory produkty společnosti Kaspersky od roku 2022, kdy Rusko zahájilo otevřenou válku proti Ukrajině, nepoužívá. Ale stát nemá žádné páky na to, aby například nepoužívala v rámci své infrastruktury technologie společnosti Huawei, před kterými NÚKIB v minulosti jako jeden z prvních národních regulátorů západního světa také varoval.
Adam Kučínský z NÚKIB to vysvětluje tím, že média nejsou zahrnuta do balíku strategicky důležitých služeb. „Šli jsme tou opravdu minimální cestou, to znamená, že se do zákona dalo to, bez čeho společnost nemůže přežít. To je energetika – prostě potřebujete elektřinu, ropu a plyn, bez nichž by byl za tři dny konec. Bez elektřiny úplný, bez plynu by řada lidí zmrzla. A je tam i telco, ale ne jen kvůli tomu, aby si lidé mohli zavolat nebo si něco zastreamovat, ale je na něj navázaná řada telemetrických systémů, které posílají data a bez nich by nefungovala doprava a řízení komplikovanějších sítí. Jsou tam tedy ty nejkritičtější služby a to ostatní je buď bonus a nebo by to měl řešit někdo jiný,“ dovysvětlil Adam Kučínský.
NIS 2 je pro české ajťáky stále velkou neznámou, potvrzuje průzkum agentury Ipsos pro APPSEC
