Rozhovor s Janem Kolouchem z CESNETu o kybernetické bezpečnosti

Na konferenci KKDS Olomouc 2024 jsme se zeptali Jana Koloucha, odborníka na kybernetickou bezpečnost ze sdružení CESNET, jak vidí aktuální situaci kolem směrnice NIS2, resp. ZoKB.

Petr Smolník: Dobrý den, Honzo, já Vás zdravím v AVERIA.NEWS. Jsme na konferenci KKDS v Olomouci, na které se prezentují telekomunikační služby, telekomunikační operátoři a ISP provideři. Ale bylo zde samozřejmě i téma panelu, ve kterém jste byl, a to se týká kybernetické bezpečnosti s pohledem na NIS2 a ZoKB. Rád bych se Vás zeptal, jak vnímáte, že byl posunut termín nabytí platnosti tohoto zákona.

doc. JUDr. Jan Kolouch, Ph.D., metodik kybernetické bezpečnosti, CESNET

Jan Kolouch: Krásný dobrý den. Vnímám to tak, že jde o velkou změnu v oblasti kybernetické bezpečnosti, a mnohdy je lepší počkat než se zbrkle snažit prosadit zákon v termínu, který navrhla EU a který je do značné míry nereálný. Vypořádání všech připomínek, které předložila jednak odborná, tak i laická veřejnost, a které byly na té Legislativní radě vlády, může být tou správnou cestou, abychom se dostali k zákonu, který bude dlouhodobě funkční.

PS: Děkuji za odpověď. Ještě bych se rád zeptal na Vaši připomínku, že politici mohou za to, že ten zákon není ve všech státech EU jednotný.

JK: Je to tak. Jde o to, že EU má několik možností, jak prosazovat svoji legislativu. Jednou z nich je vydávání směrnic nebo nařízení. Nařízení jsme měli možnost vidět v případě obecného nařízení o ochraně osobních údajů GDPR, kdy to nařízení je, s velmi malými odchylkami, stejné napříč EU. Kdežto v případě směrnice NIS2, je do značné míry na transpozici národních legislativ, národních států, jakým způsobem naplní minimální požadavky. Tam je dán určitý rámec toho, co musí být splněno a každý stát k tomu může přistoupit jinak. To, co já vidím jako problematické je, že právě v oblasti kybernetické bezpečnosti by mělo spíš dojít ke sjednocení stanovení těch minimálních standardů a požadavků napříč celou EU a následně můžeme tuto oblast rozšiřovat a posouvat.

PS: Jaké vnímáte největší hrozby z pohledu odložení platnosti tohoto zákona?

JK: Přímou hrozbu tady nevidím. Je zde ale několik problémů. První, že nedojde ke shodě mezi těmi, koho se zákon bude týkat a tvůrci zákona. Nějakého konsenzu by mělo být dosaženo. Druhá hrozba, možná o to větší, je, že politici na úrovni ČR se budou snažit prosadit změny, které nebudou koncepční. A je samozřejmě namístě, že zákonodárci mohou navrhovat to, co bude v zákoně obsaženo a jak má zákon vypadat. Nicméně, pokud je to takto vysoce odborný předpis, tak by měl být do značné míry akceptován i na této úrovni. Ten konsensus, ke kterému třeba NÚKIB v jednáních s různými providery a ISPky a dalšími osobami, na které tento zákon dopadne, dospěl.

PS: A co vnímáte jako důvod odložení, z pohledu návrhu změn, které by měly dopadnout, díky směrnici NIS2, na ISP operátory?

JK: To, co my jsme například připomínkovali NÚKIBu, ve vztahu k tomuto zákonu, byla řada vágních, ne zcela určitých pojmů, které byly do toho zákona zaneseny. Myslím si, že právě takto relativně převratný zákon, který dopadne na mnohem větší okruh subjektů, než dopadl první zákon o kybernetické bezpečnosti, by měl být co nejjasnější, nejsrozumitelnější, nejtransparentnější tak, aby ti, kdo budou regulování, měli pocit právní jistoty, to znamená, věděli, co je čeká, jakým způsobem mají reagovat a co lze předpokládat. A v případě, kdy to nebudou plnit, jaké mohou přijít sankce.

Nejsem si jistý, že v té podobě, v jaké byl zákon předložen do Legislativní rady vlády, toto všechno bylo vyřešeno. Na druhou stranu vnímám velmi pozitivně snahu NÚKIBu komunikovat s laickou i odbornou veřejností detaily tohoto zákona. Věřím, že připomínky, které byly dány v dalším kole, budou akceptovány a ten zákon bude zjednodušen a bude srozumitelnější.

PS: Děkuji. A poslední otázkou je, jak se Vám na této konferenci líbí?

JK: Kam kráčí digitální sítě, resp. Kam kráčí telekomunikační sítě, je konferencí, kterou dlouhodobě navštěvuji. Je to úžasné místo, kde se můžete setkat s odborníky věnujícími se nejenom ISP, konektivitě, ale právě i bezpečnosti a dalším oblastem. Takže líbí, díky moc.

PS: Děkuji. Uvidíme se tedy v Plzni?

JK: Určitě.

PS: Pěkný den.

JK: Hezký den.

Zdroj: IT SECURITY NETWORK NEWS