Jak se NÚKIB postaví k zabezpečení 5G sítě?

    Již pár týdnů má Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nového ředitele. Je jím generál Ing. Karel Řehka. V této souvislosti je na místě se ptát, jaký postoj zaujme k otázkám, které NÚKIB aktuálně řeší. Jednou z nich je i způsob posuzování rizikovosti dodavatelů účastnících se budování 5G sítě.

     V této souvislosti lze připomenout krok, některými hodnocený jako kontroverzní, k němuž NÚKIB v minulosti přistoupil. Dne 17. prosince 2018 vydal varování, podle kterého použití technických nebo programových prostředků společností HUAWEI Technologies Co., Ltd., a ZTE Corporation včetně jejich dceřiných společností představuje hrozbu v oblasti kybernetické bezpečnosti. Tento postup vyvolal diskuzi a kritiku nejen mezi odbornou veřejností. Varování bylo selektivně cíleno proti konkrétním společnostem. Jeho odůvodnění bylo velmi omezené a nebylo zřejmé, tím spíše pak podložené, proč právě tyto společnosti by měly představovat tak významné riziko, aby před nimi musel NÚKIB jmenovitě varovat. Nebylo ani vymezeno např. to, na jaké konkrétní technické nebo programové prostředky dotčených společností se varování vztahuje. Nejasná byla i právní povaha a důsledky vydaného varování. Vyvstala zejména otázka, zda a jakým způsobem varování ovlivní zadávání veřejných zakázek. V reakci na tento stav NÚKIB následně vydal několik dokumentů, v nichž se k  varování vyjádřil. Z jejich obsahu je zřejmé, že NÚKIB původní vyznění varování postupně zmírňuje a relativizuje.

    NÚKIB zejména upřesnil, že varování nemíří primárně na běžného uživatele a je určeno zejména vybraným subjektům, které provozují informační systémy důležité pro chod státu. Následně doplnil, že varování neznamená bezpodmínečný zákaz používání daných technických a programových prostředků a nezakládá tak samo o sobě důvod pro vyloučení určité společnosti ze zadávacího řízení. Naopak lze konkrétní technické nebo programové prostředky nadále používat, pokud to umožní výsledky analýzy rizik. Tuto analýzu mají provádět samotní zadavatelé, kteří si sami „určí, na jakých místech a v jaké míře je potřeba na riziko reagovat“. Ze strany zadavatele „nesmí docházet k bezdůvodnému vytváření překážek hospodářské soutěže, znamenající vyloučení dodavatele, aniž byla dříve testována či zjišťována jeho případná rizikovost. Takové omezení hospodářské soutěže je možné pouze tehdy, pokud jej lze obhájit objektivními skutečnostmi. Za objektivní důvody pak lze považovat ty skutečnosti, kdy použití určité technologie je prokazatelně rizikovější, než použití technologie jiné. To může vycházet z odborných testů, výzkumů aj., nicméně uvedené důvody musí být dostatečně konkrétní a vztahující se k přímo posuzované technologii, nikoli obecně k výrobkům určitého výrobce.

    Jaká kritéria však mají zadavatelé při hodnocení rizik použít? Tato otázka je hojně diskutovaná nejen na národní, ale i evropské úrovni. Na základě činnosti skupiny pro spolupráci EU v oblasti bezpečnosti sítí a informací vznikl tzv. EU Toolbox obsahující mimo jiné doporučení několika kritérií rizikovosti dodavatele, která by měla být přebírána členskými státy. Některá z kritérií netechnického charakteru však lze považovat za problematická. Na rizikovost dodavatele má být usuzováno např. z analýzy charakteru legislativy dané třetí země (mající vztah k dodavateli), zejména pokud v ní neexistují žádné legislativní nebo demokratické kontroly a rovnováhy. Takové kritérium je však velmi vágní a obtížně hodnotitelné. Ještě významnější je však skutečnost, že subjekt nemá možnost právní předpisy konkrétní země ovlivnit. Dodavatel tak může být ve svém důsledku diskriminován pro zemi původu své mateřské společnosti, byť je plně vázán legislativou EU a státu, ve kterém působí.

    V současné době se očekává, že NÚKIB vydá metodiku, která by měla nastavit systém hodnocení rizikovosti dodavatele v ČR pro provoz 5G sítě. Je otázkou, jakým způsobem NÚKIB zohlední obsah zmíněného EU Toolboxu. Řada opatření týkajících se zabezpečení, která EU Toolbox doporučuje, jsou totiž do aktuální české legislativy již zapracována. Pokud jde o kritéria rizikovosti dle EU Toolboxu, mělo by být jejich převzetí do českého právního prostředí velmi pečlivě zváženo, jelikož na základě některých z nich by mohli být někteří dodavatelé automaticky vyloučeni bez možnosti účinné obrany. NÚKIB by naopak měl zůstat konzistentní ve svém dosavadním postoji a ctít právní zásady rovnosti dodavatelů a vyloučit jakýkoli prvek libovůle a diskriminace na základě neobjektivního hodnocení. Jen tak budou moci zůstat zachována plná práva dodavatelů v rámci hospodářské soutěže. S tím souvisí i otázka, zda s příchodem nového vedení NÚKIB nedojde ke zrušení či alespoň úpravě dříve vydaného varování tak, aby jeho obsah odpovídal aktuálně prezentovanému postoji NÚKIB.

    Mgr. Petr Motyčka, advokát

    JUDr. Josef Sklenička, Ph.D., advokátní koncipient

    Sdílejte
    Předchozí článekCo mě naučila povodeň
    Další článekRovnost stran za časů CV 19
    Petr Motyčka
    V roce 2012 vystudoval Právnickou fakultu Masarykovy univerzity v Brně a v roce 2016 složil advokátní zkoušky. Specializuje se na trestní právo včetně trestní odpovědnosti právnických osob. Také působí v oblasti insolvenčního a správního práva. Zakládá si na úzké spolupráci s klientem, která umožňuje pružně a efektivně reagovat na vývoj situace. Dnes působí jako advokát v advokátní kanceláři Toman, Devátý a partneři.