Stanovisko Výboru nezávislého ICT průmyslu z.s. k návrhu zákona, kterým se mění Zákon č. 289/2005 Sb. o Vojenském zpravodajství, Sněmovní tisk č. 800 ze dne 30. 3. 2020.
Výbor nezávislého ICT průmyslu (VNICTP z.s.) je asociace, která sdružuje na padesát telekomunikačních firem, podnikatelů v elektronických komunikacích. Naši členové poskytují internetové služby více nežli dvěma milionům domácností a uživatelům. Kromě velkých firem s celonárodní působností jsou našimi členy také regionální hráči.
VNICTP z.s. si je vědomí kybernetických hrozeb, pro které je nutné přijímat odpovídající opatření. To, že nebereme kybernetické hrozby na lehkou váhu dokládá, že již mnoho let aktivně vystupujeme směrem k celému průmyslu elektronických komunikací ve smyslu edukace, a to zejména odbornými garancemi nad školeními a celou řadou oborově významných konferencí. Jsme však především odbornou asociací a považujeme za nutné upozorňovat také na možná rizika, plynoucí síťovým operátorům z navrhovaného textu novely Zákona o vojenském zpravodajství.
Dovolte prosím, abychom Vás upozornili na některá rizika, která v návrhu zákona, tak jak jej prezentuje Sněmovní tisk č. 800.
Především je třeba upozornit na nedostatečnou odbornou diskuzi k návrhu textu zákona. Záměr novely je dlouhodobý, v době jeho přípravy jsme upozorňovali na možná rizika pro infrastrukturu sloužící k poskytování služeb elektronických komunikací. Považujeme proto za nutné upozornit na riziková ustanovení plynoucí z návrhu.
1. Jakoukoliv aktivní činnost z sond Vojenského zpravodajství (nástroje detekce) bude možné detekovat možným protivníkem. Jednou z možných případných reakcí je sekvence protiopatření, které povedou k odstřižení rozsáhlých segmentů sítí veřejných poskytovatelů služeb od přístupů do světového internetu. Považujeme proto za nutné v textu zákona explicitně pojmenovat nástroje detekce jako výhradně pasivní.
2. Vzhledem ke složitosti řízení provozu v sítích elektronických komunikací, které slouží nejenom k distribuování zátěže, ale i k vystavění automatizovaných procesů přepínání záloh, tolik nutných k dosažení špičkové robustnosti českých telekomunikačních sítí, navrhujeme úpravu textu zákona tak, aby operátor mohl požadovaná metadata pro účely Vojenské rozvědky dodávat sám, na základě schváleného návrhu síťového řešení.
3. Považujeme za nutné nalézat v zákoně nezávislé eskalační schéma pro případy sporů o přiměřenosti zásahů do síťové integrity, ale i ochrany osobnostních práv našich zákazníků. Nepovažujeme zavedení institutu Inspektora pro kybernetickou ochranu za dostatečné opatření. V České republice jsou k dispozici zavedené orgány veřejné moci, pro které je ochrana osobnostních práv klíčovou činností (UOOU), o jejichž nezávislosti a odborné erudici nemůže být pochyb. Jsme toho názoru, že v případě tak citlivého materiálu, jakým je zmocnění sledování metadat v celém kybernetickém prostoru České republiky, musí být takové orgány explicitně uvedeny.
4. Návrh novely v §16 c
Všechna navrhovaná opatření vyžadují pokračování odborné diskuze, která jediná může transparentně odstranit rizika spojená s nasazováním nástrojů detekce a aktivit zpravodajské služby jako cizorodého prvku v sítích elektronických komunikací. Vždyť i naše členské firmy musí přijímat opatření pro zamezení kybernetických rizik a jsou smluvně vázáni svým zákazníkům dodávat kontinuálně služby deklarované kvality.
VNICTP z.s., jako zástupce firem poskytující pevné připojení více nežli polovině českých domácností, je připravený zúčastnit se jakýchkoliv debat a analýz při přípravě zákona tak, aby výsledek naší společné práce resultoval v účinný nástroj kybernetické ochrany státu, který nijak neohrožuje přirozený provoz našeho klíčového průmyslového odvětví.
Jakub Rejzek, prezident Výboru nezávislého ICT průmyslu z.s.
Vrátkov 116, 282 01 Český Brod