Po schválení zákona o kybernetické bezpečnosti v roce 2013, ke kterému jsem se společně s Radimem Smetkou vyjadřovat v článku  a po schválení možnosti úředně cenzurovat internet, přichází novela zákona o kybernetické bezpečnosti. Zatím ještě není v Poslanecké sněmovně, je však už zveřejněna ve veřejné části systému eKLEP.

S plnou vážností tvrdím, že tato novela se docela dobře může stát dalším krokem pro ovládnutí doposud relativně svobodného internetu státem. Nic na tom nemění skutečnost, že novelizace je odůvodněna nutnosti zapracovat ještě neexistující směrnici EU. Posuďte sami, zda se k mému názoru připojíte.

Informační systém základní služby

Toto je první nový pojem, který novela zavádí. Zahrnuje služby informačních systémů, jejichž narušení by mohlo mít významný dopad na zabezpečení „klíčových společenských nebo ekonomických činností“ v odvětvích jako je energetika, doprava, bankovnictví, finanční trhy, zdravotnictví, dodávky a rozvody pitné vody, v chemickém průmyslu, ve veřejné správě a v „digitální infrastruktuře“.

Digitální služba

Další nový pojem. Při prvním čtení by se mohlo zdát, že jde o jiné označení „digitální infrastruktury“, ale zjevně tomu tak není. V návrhu novely je přímo uvedeno, že jde o „on-line tržiště“, jež spotřebitelům umožňuje on-line uzavírat obchodní smlouvy (zboží, služby), že jde o vyhledávače (bez bližšího určení) a o služby cloud computingu.

Koho se to tedy týká

Podle mne každého, kdo má jako podnikatel nějaký vztah k telekomunikacím, internetu a službám internetu, které lze při dostatečné představivosti Národního bezpečnostního úřadu (NBÚ, dále jen „úřad“) a prováděcích předpisů považovat za infrastrukturu (byť třeba virtuální). Ani samotný pojem „digitální infrastruktura“ totiž zákon nedefinuje.
Sice je uvedeno, že za poskytovatele základní služby se nepovažují mikropodniky (do 10 zaměstnanců a s obratem do 2 mil EUR/rok) a malé podniky (do 50 zaměstnanců a s obratem do 10 mil EUR/rok), ale to jen znamená, že novela v tomto ohledu cílí především na „větší ryby“.

Pokud jde o informační systémy základní služby, tam žádné omezení velikosti poskytovatele není. Dokážu si dobře představit, že každý, kdo poskytuje na internetu téměř jakoukoliv službu (třeba webhosting) může být označen za poskytovatele digitální infrastruktura a tedy povinnou osobou. Nehledě třeba na poskytovatele připojení, kteří infrastrukturu přímo zajišťují.

A co se jich týká?

Poskytovatelů digitální služby se týká zavedení a provádění „vhodných a přiměřených bezpečnostních opatření“ a hlášení incidentů, ale nejen to. V platnosti totiž zůstávají i původní ustanovení zákona, například možnost úřadu vydat rozhodnutí, kterým uloží provést „reaktivní opatření“. Ostatních, tedy všech, jejich systémy jsou informačními systémy základní služby, se týká celá řada dalších povinností. Například již dříve existující § 6, ve kterém se prováděcímu předpisu (vyhlášce či nařízení vlády) dává pravomoc stanovit obsah i rozsah bezpečnostních opatření.

Celý původní zákon i připravovaná novela jsou pokryté řadou nespecifikovaných povinností a vágním ustanovením toho, koho se povinnosti mají týkat. Domnívám se, že pod rouškou „zajištění kybernetické bezpečnosti“ získá úřad oprávnění de facto řídit všechny či většinu podnikatelů v oboru informačních technologií a internetu.
Kritika, kterou jsem společně s Radimem Smetkou uvedl v článku z roku 2013 je stále platná, jen nyní je nebezpečí ještě závažnější. Okruh povinných subjektů se totiž značně rozšířil, a to natolik vágně, že skutečně může jít o kohokoliv v oboru telekomunikací a internetu.

Stát tak pomocí tzv. „salámové metody“ (rozšiřování povinných subjektů a pravomocí úřadu) postupně přebírá kontrolu nad internetem a jeho provozem, tedy jeho komerční částí.

Po novele stejně bude vše při starém

Tuto námitku očekávám a vlastně s ní i souhlasím. Přijetím zákona se ze dne na den nic nezmění. Lidé budou fungovat dál tak, jak jsou zvyklí. Jen občas někam zamíří úřad a „dá to do pucu“ (souladu se zákonem). Jistě začne v těch největších firmách, které jsou na takovou administrativu zvyklé a se státem se nehádají, protože nechtějí být odstrkovány při realizaci veřejných zakázek.

Ovšem všichni ostatní budou znovu v pozici snadno vydíratelného. Jako by nestačilo, že poskytovatelé připojení jsou již dnes v pozici, kdy nemohou účinně zajistit provedení povinnosti, kterou jim nařizuje zákon. Případné znárodnění, pardon, postupné „vyčištění trhu“ pro velké hráče, bude jen technickou formalitou. Možná tím velkým hráčem bude nový státní podnik NAKIT.

Karel Zvára