Studie se zabývá právními aspekty budování a provozu 5G sítí v ČR s důrazem na problematiku kybernetické bezpečnosti a postavení Huawei a dalších subjektů zapojených do tohoto procesu.
Studie reaguje na aktuální situaci, kdy v celé EU probíhá diskuze, jakým způsobem by měla být zajištěna bezpečnost 5G sítí na straně jedné, při zachování volné hospodářské soutěže a efektivity budování 5G sítí na straně druhé. V tomto ohledu se studie zejména zabývá otázkou přístupu k tzv. rizikovým dodavatelům.
Studie je členěna do následujících kapitol:
1) EU Toolbox a jeho význam pro zabezpečení 5G sítí
2) Analýza právní úpravy oblasti kybernetické bezpečnosti v ČR
3) EU certifikace kybernetické bezpečnosti
4) Varování NÚKIB
5) Legislativa třetí země jako kritérium hodnocení rizikovosti dodavatele
6) Role dodavatele technického řešení pro 5G sítě s ohledem na rizika v oblasti kybernetické bezpečnosti
7) Návrh součinnosti při řešení otázek kybernetické bezpečnosti sítě 5G
1) Analýza relevantní evropské legislativy
V rámci studie provádíme analýzu relevantní evropské legislativy. Zásadním dokumentem EU na cestě k zajištění bezpečnosti 5G sítí je tzv. EU Toolbox, jenž představuje významné vodítko pro úpravu legislativy jednotlivých členských států. V rámci studie byl posouzen obsah EU Toolboxu spolu s jeho povahou a závazností pro členské státy v kontextu dosavadního vývoje právního rámce v EU. Součástí analýzy bylo i zhodnocení aktuálního stavu jeho implementace v jednotlivých členských státech.
I přes zásadní přínos EU Toolboxu jako celku v něm lze identifikovat některé části, které mohou být při nesprávné implementaci problematické. Jedná se především o otázku posouzení rizikového profilu dodavatelů na základě netechnických kritérii. Zpracovatel se ztotožňuje se zařazením těchto kritérií do procesu posouzení rizikovosti dodavatele, neboť respektuje strategický význam 5G sítí pro zajištění bezpečnosti jednotlivých států, avšak upozorňuje, že jejich paušální aplikace bez zohlednění konkrétních okolností (charakteristiky konkrétního dodavatele, resp. jeho činnosti a jím dodávaného zařízení) může vést k vyloučení dodavatele, který v konkrétním případě riziko pro bezpečnost 5G sítí nepředstavuje.
Otázku hodnocení rizikovosti dodavatele považuje za významnou a zároveň velmi citlivou i nedávno vydaná zpráva o stavu implementace EU Toolboxu v členských státech. Tato zpráva zdůrazňuje, že pro řádnou implementaci opatření týkajícího se posouzení rizikového profilu dodavatelů je rozhodující metodika, podle které by toto posouzení bylo provedeno.
2) Analýza právní úpravy oblasti kybernetické bezpečnosti v ČR
Zásadní je analýza aktuální legislativy upravující oblast kybernetické bezpečnosti v České republice a způsob, jakým jsou opatření dle EU Toolboxu již nyní implementována do našeho právního řádu.
Na základě analýzy lze konstatovat, že ČR je v oblasti kybernetické bezpečnosti jedním z lídrů a již nyní má v tomto ohledu komplexní legislativu. Výše zmíněná metodika k posouzení rizikového profilu dodavatelů však dosud neexistuje. To shledáváme jako výrazný nedostatek, který může vytvářet nejistotu pro jednotlivé subjekty účastnící se budování 5G sítí.
Inspiraci pro to, jak by tato metodika a celkově posouzení rizikovosti dodavatelů mohlo vypadat, jsme zkoumali v přístupu ostatních členských států. První otázkou s tím spojenou je, kdo by měl rizikovost dodavatele posuzovat. V úvahu přicházejí zásadně dva přístupy. Buď posouzení rizikovosti operátorem, nebo posouzení rizikovosti státem.
V tomto ohledu za vhodný přístup považujeme posuzování rizikovosti dodavatelů operátory (s případnou kontrolní pravomocí státu), protože operátoři disponující více než dostatečnými nástroji k řízení rizik spojených s jejich dodavateli, zároveň mají v této oblasti mnohaleté zkušenosti a jejich celosvětová zastřešující asociace již navrhla funkční schéma, jak k zaručení bezpečnosti technologií v síti přistupovat.
Pokud by měl při posuzování hrát dominantní roli stát, nabízí se jako vhodný přístup, který je aktuálně navrhován v Německu. Ten je založen primárně na technických kritériích, přičemž stát si ponechává mimořádnou možnost vyloučit dodavatele na základě politického rozhodnutí za předem stanovených podmínek. Německý model tak striktně rozděluje politické a právní rozhodnutí. Právě rozlišování právního a politického rozhodnutí považujeme v souvislosti celé otázky kybernetické bezpečnosti za naprosto zásadní a zabýváme se jím napříč celou studii.
V tomto ohledu se tak navrhovaný přístup Německa jeví jako vhodný, neboť vyvažuje zájem na ochraně volné hospodářské soutěže a práv dodavatelů na straně jedné, a zájem na zajištění bezpečnosti státu na straně druhé. Za významný nástroj při právním posuzování rizikovosti dodavatele pak lze zejména považovat připravovaný systém EU certifikace.
3) EU certifikace kybernetické bezpečnosti
EU certifikace může představovat významný nástroj při posuzování rizikovosti dodavatele. Je tomu tak i s ohledem na skutečnost, že „Využití certifikace EU pro komponenty sítí 5G, vybavení zákazníka a/nebo procesy dodavatelů“ představuje i jedno z technických opatření (TM09, doplněné o TM10) předpokládaných EU Toolboxem.
Pro úplnost lze doplnit, že rizikovost dodavatele nemusí nezbytně nutně posuzovat pouze samotné povinné osoby či stát (příslušný orgán), ale v úvahu připadá i provedení tohoto posouzení nezávislým subjektem, který bude kromě nezávislosti garantovat i profesionalitu tohoto posouzení.
Jako příklad lze jmenovat např. schéma NESAS, zřízené oborovou asociací GSMA a spravované pracovní skupinou „Fraud and Security Group“, která se skládá z dodavatelů, provozovatelů mobilních sítí a vnitrostátních bezpečnostních orgánů.
4) Varování NÚKIB
Doposud nejvýraznější a nejdiskutovanější akt, který byl na poli kybernetické bezpečnosti ČR učiněn, je Varování NÚKIB. I přes konkrétní zaměření Varování, má analýza tohoto aktu význam pro všechny subjekty účastnících se na budování 5G sítí. Zatímco aktuálně platné varování je namířeno proti společnostem Huawei a ZTE, NÚKIB takto v budoucnu může označit za rizikový jakýkoli jiný subjekt.
Roli NÚKIB v oblasti kybernetické bezpečnosti považujeme za nenahraditelnou a zásadní. Oblast, ve které NÚKIB působí je z pohledu práva velmi mladá, tudíž je zcela logické, že v rámci jeho aktivit budou vznikat právní otázky, které je nutné dodatečně zodpovědět a v jistých případech i s odstupem času zrevidovat.
Varování jako právní institut bylo v ČR použito vůbec poprvé. I proto s ním bylo spojeno mnoho otázek. Jako příklad lze uvést otázky typu: jak podrobně musí být varování odůvodněno, zda v něm musí být označeny konkrétní důkazy, jak dlouho samotné varování bude trvat, co je nutno udělat pro jeho zrušení, jakou právní formu má samotné varování a zda jej lze namířit proti konkrétním subjektům nebo obecné hrozbě. Nejasné také byly i právní důsledky Varování, tzn. zda Varování představuje pouhou informaci, či zda a případně jaké povinnosti a kterým osobám na jeho základě vznikají. Mnoho z těchto otázek je doposud nezodpovězeno, a to přesto, že Varování představuje bezprecedentní zásah do práv v něm označených subjektů.
V rámci detailní právní analýzy Varování NÚKIB jsme objevili řadu formálních i věcných vad, díky kterým není Varování v souladu se zákonem a vyžaduje tak dodatečnou revizi. Varování by zejména mělo být účinným pouze po dobu, po kterou skutečně trvá hrozba. Toto trvání by však mělo být odůvodněno a podloženo konkrétními důkazy a dotčené subjekty by měly mít možnost realizovat opatření k odstranění tvrzené rizikovosti tak, aby mohlo být varování namířené proti nim zrušeno.
5) Legislativa třetí země jako kritérium hodnocení rizikovosti dodavatele
Jedním z důvodů vydání Varování má být i právní a politické prostředí ČLR, ve kterém mateřské společnosti zmíněné v textu Varování primárně působí. Proto jsme se v rámci studie zabývali i dopadem legislativy třetí země na rizikovost dodavatele obecně a konkrétně v případě ČLR. Zohlednění legislativy třetí země, se kterou je daný dodavatel relevantním způsobem spojen, považujeme obecně za legitimní. Vždy je však třeba zároveň zkoumat, jakým konkrétním způsobem ovlivňuje či může ovlivnit právní řád třetí země rizikovost dodavatele v zemi, v níž je budována 5G síť. Jedině tak se lze vyhnout paušálním závěrům vyplývajícím z pouhé existence právních předpisů třetí země. Rizikovost konkrétního dodavatele s ohledem na legislativu třetí země tak lze zkoumat pouze společně s hodnocením již zavedených bezpečnostních nástrojů a dalších opatření provedených státem i operátory.
6) Role jednotlivých subjektů zajišťujících bezpečnost 5G sítí
Jsou to právě operátoři, jejichž role je pro bezpečnost 5G sítí klíčová. Dodavatelé, jejichž rizikovost má být posuzována, sice v procesu budování 5G sítí představují důležitý článek, nejsou však jedinými subjekty, které se tohoto procesu účastní. Hlavní odpovědnost za účinná a funkční bezpečnostní opatření totiž nese v rámci provozu 5G sítí operátor, který zejména disponuje účinnými nástroji k řízení rizik včetně rizik spojených s jeho dodavateli. Nelze tak v procesu hodnocení rizikovosti dodavatelů a celkové kybernetické bezpečnosti opomínat jejich roli a jimi již zavedená bezpečnostní opatření, která mohou mnoho rizik spojených s dodavateli minimalizovat.
7) Návrh součinnosti při řešení otázek kybernetické bezpečnosti sítě 5G
Lze shrnout, že právní úprava oblasti kybernetické bezpečnosti je v ČR na vysoké úrovni. Tu zajišťuje robustní legislativa a aktivita NÚKIB, jakožto orgánu zajišťující kybernetickou bezpečnost. Určitým nedostatkem však je, že dosud nebyl jednoznačně deklarován způsob posuzování rizikovosti jednotlivých dodavatelů 5G sítí. Tento stav přitom vytváří nejistotu a nedostatek transparentnosti ohledně dalšího rozvoje 5G sítí v ČR. Transparentní komunikace je nejvhodnějším řešením celé stávající situace, a to nikoli pouze v případě Varování, ale v případě celkové regulace rozvoje 5G sítí obecně. Veškeré změny v legislativě či další zásahy státu do rozvoje 5G sítí v ČR by měly být předmětem transparentní diskuze státu s dotčenými subjekty (zejména operátory, dodavateli) a odbornou veřejností, jejichž zkušenosti jsou pro správné nastavení legislativy zásadní. Státní regulace by tak měla odrážet jejich poznatky z praxe, již zavedená bezpečnostní opatření a návrhy řešení jednotlivých otázek. Jedním z příspěvků do této diskuze má být i tato studie, kterou nyní předkládáme a vyzýváme k hodnocení závěrů, které obsahuje.
Zdroj: AK Toman & Partneři