Bezpečnostní rada státu (BRS) pověřila Národní úřad pro kybernetickou a informačřní bezpečnost (NÚKIB) přípravou návrhu zákona zajišťujícího eliminaci rizikových dodavatelů z nedemokratických zemí a nepřátelských režimů. Nový zákon má platit od května 2023 a dotkne se nejen telekomunikací, ale doslova všech důležitých segmentů kritické infrastruktury od energetiky, přes vodárenství až po veřejnou dopravu.
Přiložený dokument shrnuje aktuální stav, zhodnocení známých informací, otevřené problémy k řešení a hlavní výstupy z konference pořádané k tématu Bezpečnostním výborem Poslanecké sněmovny Parlamentu ČR dne 13.7.2022. Současná situace se dá stručně shrnout takto:
- Přesné zadání zatím nebylo zveřejněno, proto na jeho rozsah usuzujeme z veřejně dostupných informací a zmíněné konference.
- Cíle a základní principy navrhované regulace nejsou dosud pevně stanovené, resp. nebyly v plném rozsahu zveřejněné.
- Regulace bude zřejmě obsahovat nějaký proces „certifikace“, tedy povolování konkrétních dodavatelů určených systémů anebo prvků K(I)I.
- Metodika certifikace je rovněž teprve ve fázi příprav a její detaily (ani předběžné parametry) nejsou známé a nebyly dosud s odbornou veřejností diskutovány.
- Důsledkem procesu může být povinnost v určeném čase nahradit systémy a prvky od „necertifikovaných“ dodavatelů systémy a prvky od „certifikovaných“ dodavatelů bez ohledu na technologický či investiční cyklus.
- Není zřejmé, zda a jakým způsobem budou kompenzovány vícenáklady, které dotčeným subjektům K(I)I v souvislosti s vyloučením některých dodavatelů či výměnou technologií vzniknou.
- Není postaven na jisto rozsah infrastruktury, které se má regulace týkat, dostupné informace zatím bohužel odkazují na legislativně neukotvený pojem „strategická infrastruktura státu“.
Asociace kritické infrastruktury České republiky (AKI ČR) se problematice ochrany a rozvoje K(I)I dlouhodobě věnuje. Zvažovaná regulace bezpečnosti dodavatelských řetězců je proto s ohledem na kritičnost činností provozovatelů K(I)I jednou z našich priorit. Považujeme nicméně za nezbytné, aby byl takto zásadní legislativní počin včas a důkladně diskutován s těmi, koho se tato regulace nejvíce dotkne. Tedy se subjekty kritické infrastruktury.
V přiloženém dokumentu shrnujeme další kroky, které plánujeme v této souvislosti realizovat. Uvítáme jakoukoli podporu ze strany kteréhokoli provozovatele K(I)I. Ke spolupráci zveme všechny dotčené subjekty, ať už jsou či nejsou členy AKI ČR.
V případě vašeho zájmu o spolupráci kontaktujte prosím přímo naše členy prezídia Jana Kloudu nebo Michala Moroze.