Zákon o kybernetické bezpečnosti: Proč ho potřebujeme

Tento scénář se již stal v jiných zemích a Česko se musí připravit na podobné hrozby.

Nový zákon o kybernetické bezpečnosti, který je nyní projednáván, je klíčovým krokem pro ochranu státu. Vyplývá z evropské směrnice NIS2, která byla přijata s cílem zajistit jednotný rámec kybernetické ochrany v celé EU.

Zákon je zaměřen na ochranu kritických sektorů, jako jsou energetika, zdravotnictví, doprava a další oblasti, na kterých závisí chod společnosti. Kybernetické útoky na tyto sektory mohou ochromit celou zemi. Zákon má za cíl přávě zabránit scénářům, kdy například kvůli kyberútoku dojde k výpadku elektřiny nebo ochromení nemocnic.

Podle návrhu budou firmy v těchto odvětvích povinny zavést přísná bezpečnostní opatření a hlásit kybernetické incidenty. Díky tomu stát získá potřebný čas na reakci a zabrání se větším škodám. Nejde jen o ochranu systémů, ale i o ochranu lidských životů.

Podobné zákony již fungují ve státech jako Švédsko, Nizozemsko a Dánsko. Tyto země se zaměřují hlavně na velké firmy, které spravují kritickou infrastrukturu, zatímco menší firmy nejsou zatěžovány nadbytečnou regulací. Tento vyvážený přístup chrání důležité sektory, aniž by to negativně dopadlo na menší podnikatele.

V Nizozemsku a Dánsku mají podobný systém, který dává přednost odbornosti a bezpečnosti. V těchto zemích rozhodují o bezpečnostních otázkách a případném zákazu dodavatelů nezávislé odborné úřady, podobně jako NÚKIB v Česku. Tyto úřady posuzují dodavatele na základě jasně definovaných technických kritérií a hodnotí jejich potenciální riziko pro kybernetickou bezpečnost země. Tento systém se ukázal jako efektivní, protože umožňuje odborníkům rozhodovat na základě faktů, a ne na základě politických nebo obchodních zájmů.

Český zákon se bude řídit podobným modelem jako ostatní evropské země. Velké firmy, které spravují klíčovou infrastrukturu, budou povinny zajistit, že jejich systémy jsou chráněny proti kybernetickým hrozbám. Nemocnice, energetické společnosti a telekomunikační operátoři musí zajistit, že jejich systémy budou odolné vůči útokům. Pro menší firmy, které nejsou strategicky důležité, budou povinnosti menší, což zajistí, že budou chráněny klíčové sektory bez zbytečné zátěže na menší podniky.

NÚKIB bude mít klíčovou roli při implementaci a dohledu nad tímto zákonem. Úřad bude monitorovat kybernetické hrozby, prověřovat dodavatele a poskytovat technickou podporu. Kromě toho bude mít pravomoc zasáhnout proti rizikovým dodavatelům, kteří by mohli představovat bezpečnostní hrozbu pro klíčovou infrastrukturu. Tímto způsobem NÚKIB zajistí, že citlivé systémy nebudou závislé na technologiích ze zemí s potenciálním bezpečnostním rizikem.

Lobbisté však navrhují, aby NÚKIB neměl konečné slovo při rozhodování o zákazu rizikových dodavatelů. Namísto toho by měla rozhodovat vláda, která je politickým orgánem a může být ovlivněna různými zájmovými skupinami. Tento návrh by mohl otevřít cestu k většímu politickému tlaku, což by mohlo oslabit sílu zákona a bezpečnostní kritéria.

Zavedení tohoto zákona samozřejmě vyvolává odpor, zejména ze strany lobbistů a podniků s vazbami na zahraniční dodavatele. Některé firmy se obávají, že pokud bude zákon přijat, mohou být jejich produkty nebo technologie z kritické infrastruktury vyloučeny, zejména pokud mají dodavatele z rizikových zemí, jako je Čína. Například společnost Huawei by mohla být vyloučena kvůli obavám o špionážní aktivity.

Lobbisté proto usilují o zmírnění zákona, aby ochránili své obchodní partnery. Návrh, aby finální rozhodnutí o zákazu dodavatelů měla vláda místo NÚKIB, je součástí této snahy, protože vláda by mohla být otevřenější kompromisům a komerčním zájmům.

Zákon o kybernetické bezpečnosti není jen technická regulace, ale zásadní ochrana před reálnými hrozbami, které mohou zasáhnout každého z nás. Může jít o útoky, které vyřadí elektrárny, ochromí nemocnice nebo naruší služby, na které spoléháme každý den. Tento zákon je nástrojem, který zajistí, že Česká republika bude připravena čelit těmto neviditelným, ale nebezpečným útokům.

Nemůžeme se rozhodovat mezi bezpečností naší země a obchodními zájmy některých skupin. Ochrana našeho státu a našich lidí musí být vždy prioritou. Tento zákon nám umožní být v kybernetickém světě připraveni a zajistí, že kritické systémy, na kterých všichni závisíme, zůstanou funkční i tváří v tvář stále rostoucím hrozbám.