Oddělme právo od politiky. Nová studie představila možný přístup k dodavatelům 5G sítí v České republice

Právní úprava kybernetické bezpečnosti je v České republice na vysoké úrovni. Vzhledem k chybějícímu nastavení posouzení rizikovosti dodavatelů má však stále své nedostatky, které vytvářejí nejistotu v otázce rozvoje 5G sítí. Klíčem k řešení stávající situace je transparentní diskuze mezi státem, operátory, dodavateli a odbornou veřejností, především však důsledné oddělení politického a právního posouzení činnosti dodavatelů a technických a netechnických kritérií. S těmito závěry přišla studie advokátní kanceláře Toman & Partneři, která byla představena na tiskové konferenci společnosti Huawei.  

Advokáti z AK Toman & Partneři podrobili analýze relevantní evropskou i českou legislativu, zejména pak způsob posuzování dodavatelů 5G sítí. Jako potencionálně problematickou identifikovali především otázku právního posouzení rizikového profilu dodavatele na základě netechnických kritérií. Ač zohlednění netechnických kritérii považují za legitimní, upozorňují, že jejich paušální aplikace bez zohlednění konkrétních okolností může způsobit vyloučení dodavatele, který v konkrétním případě nepředstavuje riziko pro bezpečnost 5G sítí.  

Jako vhodné řešení tohoto problému vidí primární posuzování dodavatelů na základě technických kritérií při současně zachované mimořádné možnosti státu vyloučit dodavatele na základě politického rozhodnutí. Jako inspiraci zde vidí navrhovaný německý model. „Prioritou každého státu je zajištění bezpečnosti nově budovaných 5G sítí. To však neznamená, že bychom při tom měli rezignovat na dodržování základních zásad právního státu při posuzování dodavatelů, kteří se na jejich budování chtějí účastnit,“ uvedl JUDr. Petr Toman z AK Toman & Partneři.

Jak se na tiskové konferenci vyjádřil Radoslaw Kedzia, viceprezident Huawei pro region střední, východní a severní Evropy, průlomem v otázce zabezpečení 5G sítí by mohlo být certifikační schéma NESAS, které se zaměřuje na produkty a zařízení určené pro sítě 4. a 5. generace. Toto schéma je standardizovaným mechanismem hodnocení kybernetické bezpečnosti definovaným organizací GSMA. Dané schéma poskytuje rámec bezpečnostních záruk pro celé odvětví, čímž napomáhá zvýšení úrovně zabezpečení napříč mobilním průmyslem, a je tedy společné pro všechny výrobce, kteří by chtěli do sítě integrovat svá řešení. Právě NESAS by mohl být cestou k posuzování bezpečnosti dodavatelů vzhledem ke svému zaměření na technickou stránku každého výrobku, nikoliv na původ dodavatele. Zároveň poprvé v historii telekomunikací bude jednotná certifikace dostupná pro všechny dodavatele a operátory, aniž by bylo potřeba vynaložit další náklady. Auditorské zprávy budou provozovatelům k dispozici bez dodatečných nákladu. Tuto iniciativu tak mohou využít i menší operátoři, kteří nemají dostatečné zdroje. Informace o tom, kdo prošel certifikačním procesem, budou veřejně dostupné. Technologie Huawei splnily podmínky bezpečnostního certifikačního schématu NESAS  již v srpnu letošního roku. Nesou tak potvrzení, že příslušná zařízení splňují požadavky stanovené schématem týkající se zabezpečení a spolehlivosti sítí 5G.

„Nezaujatý přístup k bezpečnosti sítí 5G založený na faktech umožní Evropě co nejdříve spustit bezpečnější síť páté generace a takový směrem se zdá, že se vydá sousední Německo a směřuje k němu i EU. My chceme spolupracovat s evropskými i českými institucemi a soukromým sektorem na vytvoření obecných standardů a posílení bezpečnosti a spolehlivosti infrastruktury. Spravedlivá hospodářská soutěž, nediskriminace a férové podmínky jsou základními kameny prosperující společnosti, která když bude prosperovat jako celek, tak bude prosperovat i jednotlivý občan. Vyloučením Huawei se nezaručí bezpečnější síť, naopak se sníží konkurence na trhu, zvýší se náklady na výstavbu 5G sítě a zpozdí se proces digitalizace. Za bezpečnost sítí jakékoliv generace zodpovídá vždy a pouze operátor a nikoliv dodavatel technologií,“ upozornil Radoslaw Kedzia.


Shrnutí studie

Ve studii se zabýváme právními aspekty budování a provozu 5G sítí v ČR s důrazem na problematiku kybernetické bezpečnosti a postavení Huawei a dalších subjektů zapojených do tohoto procesu. 

Studie reaguje na aktuální situaci, kdy v celé EU probíhá diskuze, jakým způsobem by měla být zajištěna bezpečnost 5G sítí na straně jedné, při zachování volné hospodářské soutěže a efektivity budování 5G sítí na straně druhé. V tomto ohledu se studie zejména zabývá otázkou přístupu k tzv. rizikovým dodavatelům. 

Studie je členěna do následujících kapitol:

  1. EU Toolbox a jeho význam pro zabezpečení 5G sítí
  2. Analýza právní úpravy oblasti kybernetické bezpečnosti v ČR
  3. EU certifikace kybernetické bezpečnosti
  4. Varování NÚKIB
  5. Legislativa třetí země jako kritérium hodnocení rizikovosti dodavatele
  6. Role dodavatele technického řešení pro 5G sítě s ohledem na rizika v oblasti kybernetické bezpečnosti
  7. Návrh součinnosti při řešení otázek kybernetické bezpečnosti sítě 5G

Analýza relevantní evropské legislativy

V rámci studie  provádíme analýzu relevantní evropské legislativy. Zásadním dokumentem EU na cestě k zajištění bezpečnosti 5G sítí je tzv. EU Toolbox, jenž představuje významné vodítko pro úpravu legislativy jednotlivých členských států. V rámci studie byl posouzen obsah EU Toolboxu spolu s jeho povahou a závazností pro členské státy v kontextu dosavadního vývoje právního rámce v EU. Součástí analýzy bylo i zhodnocení aktuálního stavu jeho implementace v jednotlivých členských státech. 

I přes zásadní přínos EU Toolboxu jako celku v něm lze identifikovat některé části, které mohou být při nesprávné implementaci problematické. Jedná se především o otázku posouzení rizikového profilu dodavatelů na základě netechnických kritérii. Zpracovatel se ztotožňuje se zařazením těchto kritérií do procesu posouzení rizikovosti dodavatele, neboť respektuje strategický význam 5G sítí pro zajištění bezpečnosti jednotlivých států, avšak upozorňuje, že jejich paušální aplikace bez zohlednění konkrétních okolností (charakteristiky konkrétního dodavatele, resp. jeho činnosti a jím dodávaného zařízení) může vést k vyloučení dodavatele, který v konkrétním případě riziko pro bezpečnost 5G sítí nepředstavuje. 

Otázku hodnocení rizikovosti dodavatele považuje za významnou a zároveň velmi citlivou i nedávno vydaná zpráva o stavu implementace EU Toolboxu v členských státech. Tato zpráva zdůrazňuje, že pro řádnou implementaci opatření týkajícího se posouzení rizikového profilu dodavatelů je rozhodující metodika, podle které by toto posouzení bylo provedeno. 

Analýza právní úpravy oblasti kybernetické bezpečnosti v ČR

Zásadní je analýza aktuální legislativy upravující oblast kybernetické bezpečnosti v České republice a způsob, jakým jsou opatření dle EU Toolboxu již nyní implementována do našeho právního řádu.

Na základě analýzy lze konstatovat, že ČR je v oblasti kybernetické bezpečnosti jedním z lídrů a již nyní má v tomto ohledu komplexní legislativu. Výše zmíněná metodika k posouzení rizikového profilu dodavatelů však dosud neexistuje. To shledáváme jako výrazný nedostatek, který může vytvářet nejistotu pro jednotlivé subjekty účastnící se budování 5G sítí.

Inspiraci pro to, jak by tato metodika a celkově posouzení rizikovosti dodavatelů mohlo vypadat, jsme zkoumali v přístupu ostatních členských států. První otázkou s tím spojenou je, kdo by měl rizikovost dodavatele posuzovat. V úvahu přicházejí zásadně dva přístupy. Buď posouzení rizikovosti operátorem, nebo posouzení rizikovosti státem. 

V tomto ohledu za vhodný přístup považujeme posuzování rizikovosti dodavatelů operátory (s případnou kontrolní pravomocí státu), protože operátoři disponující více než dostatečnými nástroji k řízení rizik spojených s jejich dodavateli, zároveň mají v této oblasti mnohaleté zkušenosti a jejich celosvětová zastřešující asociace již navrhla funkční schéma, jak k zaručení bezpečnosti technologií v síti přistupovat. 

Pokud by měl při posuzování hrát dominantní roli stát, nabízí se jako vhodný přístup, který je aktuálně navrhován v Německu. Ten je založen primárně na technických kritériích, přičemž stát si ponechává mimořádnou možnost vyloučit dodavatele na základě politického rozhodnutí za předem stanovených podmínek. Německý model tak striktně rozděluje politické a právní rozhodnutí. Právě rozlišování právního a politického rozhodnutí považujeme v souvislosti celé otázky kybernetické bezpečnosti za naprosto zásadní a zabýváme se jím napříč celou studii.

V tomto ohledu se tak navrhovaný přístup Německa jeví jako vhodný, neboť vyvažuje zájem na ochraně volné hospodářské soutěže a práv dodavatelů na straně jedné, a zájem na zajištění bezpečnosti státu na straně druhé. Za významný nástroj při právním posuzování rizikovosti dodavatele pak lze zejména považovat připravovaný systém EU certifikace. 

EU certifikace kybernetické bezpečnosti

EU certifikace může představovat významný nástroj při posuzování rizikovosti dodavatele. Je tomu tak i s ohledem na skutečnost, že „Využití certifikace EU pro komponenty sítí 5G, vybavení zákazníka a/nebo procesy dodavatelů“ představuje i jedno z technických opatření (TM09, doplněné o TM10) předpokládaných EU Toolboxem.

Pro úplnost lze doplnit, že rizikovost dodavatele nemusí nezbytně nutně posuzovat pouze samotné povinné osoby či stát (příslušný orgán), ale v úvahu připadá i provedení tohoto posouzení nezávislým subjektem, který bude kromě nezávislosti garantovat i profesionalitu tohoto posouzení.

Jako příklad lze jmenovat např. schéma NESAS, zřízené oborovou asociací GSMA a spravované pracovní skupinou „Fraud and Security Group“, která se skládá z dodavatelů, provozovatelů mobilních sítí a vnitrostátních bezpečnostních orgánů.

Varování NÚKIB

Doposud nejvýraznější a nejdiskutovanější akt, který byl na poli kybernetické bezpečnosti ČR učiněn, je Varování NÚKIB. I přes konkrétní zaměření Varování, má analýza tohoto aktu význam pro všechny subjekty účastnících se na budování 5G sítí. Zatímco aktuálně platné varování je namířeno proti společnostem Huawei a ZTE, NÚKIB takto v budoucnu může označit za rizikový jakýkoli jiný subjekt. 

Roli NÚKIB v oblasti kybernetické bezpečnosti považujeme za nenahraditelnou a zásadní. Oblast, ve které NÚKIB působí je z pohledu práva velmi mladá, tudíž je zcela logické, že v rámci jeho aktivit budou vznikat právní otázky, které je nutné dodatečně zodpovědět a v jistých případech i s odstupem času zrevidovat. 

Varování jako právní institut bylo v ČR použito vůbec poprvé. I proto s ním bylo spojeno mnoho otázek. Jako příklad lze uvést otázky typu: jak podrobně musí být varování odůvodněno, zda v něm musí být označeny konkrétní důkazy, jak dlouho samotné varování bude trvat, co je nutno udělat pro jeho zrušení, jakou právní formu má samotné varování a zda jej lze namířit proti konkrétním subjektům nebo obecné hrozbě. Nejasné také byly i právní důsledky Varování, tzn. zda Varování představuje pouhou informaci, či zda a případně jaké povinnosti a kterým osobám na jeho základě vznikají. Mnoho z těchto otázek je doposud nezodpovězeno, a to přesto, že Varování představuje bezprecedentní zásah do práv v něm označených subjektů. 

V rámci detailní právní analýzy Varování NÚKIB jsme objevili řadu formálních i věcných vad, díky kterým není Varování v souladu se zákonem a vyžaduje tak dodatečnou revizi. Varování by zejména mělo být účinným pouze po dobu, po kterou skutečně trvá hrozba. Toto trvání by však mělo být odůvodněno a podloženo konkrétními důkazy a dotčené subjekty by měly mít možnost realizovat opatření k odstranění tvrzené rizikovosti tak, aby mohlo být varování namířené proti nim zrušeno. 

Legislativa třetí země jako kritérium hodnocení rizikovosti dodavatele

Jedním z důvodů vydání Varování má být i právní a politické prostředí ČLR, ve kterém mateřské společnosti zmíněné v textu Varování primárně působí. Proto jsme se v rámci studie zabývali i dopadem legislativy třetí země na rizikovost dodavatele obecně a konkrétně v případě ČLR. Zohlednění legislativy třetí země, se kterou je daný dodavatel relevantním způsobem spojen, považujeme obecně za legitimní. Vždy je však třeba zároveň zkoumat, jakým konkrétním způsobem ovlivňuje či může ovlivnit právní řád třetí země rizikovost dodavatele v zemi, v níž je budována 5G síť. Jedině tak se lze vyhnout paušálním závěrům vyplývajícím z pouhé existence právních předpisů třetí země. Rizikovost konkrétního dodavatele s ohledem na legislativu třetí země tak lze zkoumat pouze společně s hodnocením již zavedených bezpečnostních nástrojů a dalších opatření provedených státem i operátory. 

Role jednotlivých subjektů zajišťujících bezpečnost 5G sítí

Jsou to právě operátoři, jejichž role je pro bezpečnost 5G sítí klíčová. Dodavatelé, jejichž rizikovost má být posuzována, sice v procesu budování 5G sítí představují důležitý článek, nejsou však jedinými subjekty, které se tohoto procesu účastní. Hlavní odpovědnost za účinná a funkční bezpečnostní opatření totiž nese v rámci provozu 5G sítí operátor, který zejména disponuje účinnými nástroji k řízení rizik včetně rizik spojených s jeho dodavateli. Nelze tak v procesu hodnocení rizikovosti dodavatelů a celkové kybernetické bezpečnosti opomínat jejich roli a jimi již zavedená bezpečnostní opatření, která mohou mnoho rizik spojených s dodavateli minimalizovat.

Návrh součinnosti při řešení otázek kybernetické bezpečnosti sítě 5G

Lze shrnout, že právní úprava oblasti kybernetické bezpečnosti je v ČR na vysoké úrovni. Tu zajišťuje robustní legislativa a aktivita NÚKIB, jakožto orgánu zajišťující kybernetickou bezpečnost. Určitým nedostatkem však je, že dosud nebyl jednoznačně deklarován způsob posuzování rizikovosti jednotlivých dodavatelů 5G sítí. Tento stav přitom vytváří nejistotu a nedostatek transparentnosti ohledně dalšího rozvoje 5G sítí v ČR. Transparentní komunikace je nejvhodnějším řešením celé stávající situace, a to nikoli pouze v případě Varování, ale v případě celkové regulace rozvoje 5G sítí obecně. Veškeré změny v legislativě či další zásahy státu do rozvoje 5G sítí v ČR by měly být předmětem transparentní diskuze státu s dotčenými subjekty (zejména operátory, dodavateli) a odbornou veřejností, jejichž zkušenosti jsou pro správné nastavení legislativy zásadní. Státní regulace by tak měla odrážet jejich poznatky z praxe, již zavedená bezpečnostní opatření a návrhy řešení jednotlivých otázek. Jedním z příspěvků do této diskuze má být i tato studie, kterou nyní předkládáme a vyzýváme k hodnocení závěrů, které obsahuje.

Další článek: Po koronaviru bude Facebook šířit osvětu i o klimatické změně. Chystá další infocentrum


Určitě si přečtěte

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

** Měsíc jsem se nedotkl Windows a byl závislý jen na Linuxu ** Jaká byla pozitiva a negativa přechodu? ** Se kterými aplikacemi jsem (ne)zápasil a které bych doporučil?

Lukáš Václavík | 244

Jak sestavit rodokmen. Z informací, které jsou na internetu

Jak sestavit rodokmen. Z informací, které jsou na internetu

Podrobný návod, jak hledat ve starých matrikách informace o předcích a nemuset při tom ani vstát od počítače. Základy internetové genealogie.

Marek Lutonský | 59

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Obecných aplikací na předpověď počasí je nespočet, jenže často skončí jen u základní informace o počasí a nenabídnou odpovědi na řadu praktických otázek. A tak jsme si položili právě několik takových otázek a hledali aplikace či meteoslužby, které nám nejlépe odpoví.

Karel Kilián | 4


Aktuální číslo časopisu Computer

Megatest televizí do 25 000 Kč

Nejlepší herní klávesnice

Srovnání správců hesel

Jak upravit fotky pro tisk