Chystá se obří regulace informačních technologií. Svým dopadem předčí GDPR, míní expert

Co je a co není kritická infrastruktura v oblasti informačních technologií, je naprosto zásadní otázka. Nalézt na ni odpověď se nyní snaží soukromí poskytovatelé telekomunikačních a informačních služeb na straně jedné a stát prostřednictvím Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) na straně druhé. „Snažíme se státu sdělit, že nejsme proti regulaci, ale že je zapotřebí ji vytvářet na základě dialogu s námi,“ řekl CNN Prima NEWS Jakub Rejzek, šéf organizace, která zastupuje nemalou část informačního a telekomunikačního sektoru.

„Málokdo si to uvědomuje, ale pro informační a komunikační technologie se připravuje regulace, která svým rozsahem a dopadem překoná ono známé nařízení o ochraně osobních údajů GDPR,“ řekl CNN Prima NEWS Jakub Rejzek, prezident Výboru nezávislého ICT průmyslu.

Podle něho však doposud neexistovala jakákoli komunikace mezi státem a zástupci soukromého sektoru v dané oblasti. „Národní úřad pro kybernetickou a informační bezpečnost připravuje jakousi regulaci, ale neptá se nás, jak bezpečnost informačních a komunikačních sítí řešíme. A my ji samozřejmě řešíme, vyhodnocujeme rizika, která mohou být spojena s budováním infrastruktury na komponentech od čínských dodavatelů. Stát by se ale měl zajímat, jak a zda náhodou svou připravovanou regulací nehodlá zajít zbytečně daleko,“ dodal Rejzek.

Chceme, aby s námi stát komunikoval

Také proto Jakub Rejzek v součinnosti s poslancem ODS a předsedou sněmovního bezpečnostního výboru Pavlem Žáčkem inicioval k tématu bezpečnosti informačních a komunikačních sítí konferenci na půdě CEVRO Institutu. Jí se vedle ředitele NÚKIB Lukáše Kintra a šéfky Českého telekomunikačního úřadu Hany Továrkové zúčastnili zástupci soukromého telekomunikačního sektoru.

„Snažili jsme se vyjádřit ochotu spolupracovat se státem za účelem zajištění co nejvyšší možné míry bezpečnosti naší infrastruktury. Varovali jsme NÚKIB, že pokud se regulace nastaví špatně, bude to představovat zbytečně vynaložené náklady v řádu miliard korun. Upozornili jsme, že sítě páté generace lze budovat pomocí komponent pouhých tří dodavatelů. Pokud nám stát některé bezhlavě zakáže, staneme se logicky závislí na těch zbývajících dvou, nebo dokonce pouze na jednom. A pak nám hrozí, že se zopakuje čipová krize jen v bleděmodrém, protože budeme čelit nedostatku komponent,“ dodal Jakub Rejzek.

Na rizika zúžení dostupných dodavatelů v důsledku regulace na zmíněné konferenci upozornil také prezident Asociace provozovatelů mobilních sítí Jiří Grund. „Je těžké zakazovat některé dodavatele, když k nim není alternativa. Nepohybujeme se na trhu, kde je dodavatelů padesát, ale tři. Pokud snížíme jejich počet na dva, pak zvyšujeme závislost na nich, přitom nemusíme mít jistotu, že budou schopni naplánované dodávky realizovat,“ řekl. Podle něho je diverzifikace dodavatelů bezpečnostním opatřením sama o sobě.

Přijdou bezpečnostní audity

Jakub Rejzek pro CNN Prima NEWS uvedl, že stát zároveň připravuje podobnou regulaci, kterou řada tuzemských firem a dalších institucí zažívala při zavádění GDPR. „Některé podniky v citlivých oborech budou muset procházet auditem toho, jak mají zabezpečené své informační sítě proti případným útokům zvnějšku. Vychází to mimo jiné i z příslušné evropské směrnice,“ dodal Rejzek s tím, že něco takového nastane někdy v roce 2024 v závislosti na rychlosti transpozice směrnice do české legislativy.

Podle něho z hlediska firem sehraje velkou roli, zda právě jejich infrastruktura bude vyhodnocena jako kritická nebo „jen“ důležitá. „Od toho se budou odvíjet bezpečnostní požadavky a také pochopitelně náklady na vyhovění těmto požadavkům. Proto se snažíme na NÚKIB, respektive stát apelovat, aby ve své regulaci nezacházel příliš daleko, a když to přeženu, aby například nezakazoval podnikatelům pořizovat si taková zařízení, která nepředstavují reálné riziko,“ uzavřel Jakub Rejzek.

Tagy:
NÚKIB audit směrnice regulace kyberbezpečnost GDPR informační technologie Jakub Rejzek Národní úřad pro kybernetickou a informační bezpečnost Výbor nezávislého ICT průmyslu