Touto NZ se jedná v podstatě o rozšíření pravomocí VZ ve vztahu ke kybernetické bezpečnosti. Tento NZ již byl předkládán v minulém volebním období a byl Poslaneckou sněmovnou zamítnut. VZ připomínky údajně zapracovalo a nyní ho zkouší předložit ke schválení znovu. Tento materiál nyní projde klasickým meziresortním připomínkovým řízením, následně budě předložen vládě ČR a Poslanecké sněmovně PČR.
Tuto NZ jsem prostudoval a mám k ní tyto zásadní připomínky.
1) V návrhu zákona, kterým se mění zákon č. 289/20005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů (dále též „zákon o VZ"), chybí definice kybernetického prostoru, přestože se s pojmem v zákoně operuje (tato definice je v zákoně o kybernetické bezpečnosti - viz níže, zákon o VZ na něj ale neodkazuje).
2) Z důvodové zprávy vyplývá, že konstrukce, kdy je tato pravomoc přenášena na VZ, je vlastně umělou konstrukcí, kterou Ústava a zákony týkající se obrany státu příliš nepředpokládají. V důvodové zprávě je ponecháno až příliš mnoho prostoru pro úvahy, že je to vlastně v pořádku. VZ se při stanovení své kompetence odvolává na Usnesení vlády č. 382/2016, které ale není veřejně dostupné, tedy není možné ověřit jeho znění.
3) Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je v důvodové zprávě zmíněn jen okrajově, vůbec není rozebráno, proč by tyto pravomoci neměl mít on, a jak je to se vztahem předkládané NZ vůči zákonu č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (zejména velké novely tohoto zákona č. 205/2017 Sb.). Zákon o kybernetické bezpečnosti, jímž byl zřízen NÚKIB, byl zpočátku předkládán jen téměř rámcový, aby bylo možné jej doplnit dle potřebné praxe, a důvodová zpráva k němu naznačovala, že se s ním zřejmě právě pro tyto úkoly počítá. NÚKIB také na svých webových stránkách přímo uvádí, že zajišťuje prevenci před kybernetickými hrozbami prvků kritické infrastruktury, účastní se kybernetických cvičení na národní a mezinárodní úrovni atd. Po analýze fungování NÚKIB z hlediska toho, jaké pracovní pozice aktuálně obsazuje, je zřejmé, že NÚKIB zaměstnává, resp. chce zaměstnat, specialisty na ransomware, na sondy internetové sítě, na analýzy útoků na IT systémy apod. Tím tedy vzniká v případě přijetí této NZ otázka možné duplicity činností VZ a NÚKIB.
4) Přidělení této nové kompetence VZ představuje ještě jeden problém vzniklý v minulosti sloučením vojenské rozvědky a kontrarozvědky, které je již tak problematické. K tomu se nyní mají přidat velké kompetence pro VZ co se týká sledování internetu, možného měnění toku dat, dokonce s technickou možností data měnit, i když je proklamováno, že tomu tak nebude. V kombinaci s možnostmi VZ jako rozvědky a kontrarozvědky by vznikl nesmírně mocný úřad pod kontrolou pouze ministra obrany (nikoliv celé vlády), který může být velice efektivně využíván např., co se týká aktivit politické opozice. V extrémním případě, si lze představit i zásahy do e-mailů, které pak půjdou použít v případném trestním řízení apod. Soudy by se pak nemohly spolehnout na autenticitu emailové komunikace a také komunikace na sociálních sítích (facebook, twitter, instagram atp.). V návrhu zákona totiž není navrhován zákaz přenosu informací získaných zajišťováním kybernetické bezpečnosti uvnitř VZ, tedy jejich sdílení s rozvědkou a kontrarozvědkou. Resp. v § 16 h odst. 2 zákona o VZ to tak sice vypadá, ale důvodová zpráva na str. 6 uvádí, že „cílem monitorování kybernetického prostoru není narušovat soukromí nebo tajemství zpráv a rozhodně neopravňují VZ sledovat obsah komunikace konkrétních osob (pro tento typ jednání nadále a výhradně platí pravidla užití zpravodajské techniky). Bylo-li by na základě těchto signálů nutné zaměřit se na konkrétní osoby a jejich chování v kybernetickém prostoru, bude tak učiněno v rozsahu povolení na zpravodajskou techniku tak jako dosud." Tato citace z důvodové zprávy tedy spíše vypovídá o tom, že se uvnitř VZ informace o jednotlivých osobách předávat budou.
5) K NZ otázka předvídaných způsobů kybernetické obrany. V zákoně je sice formulace, že to budou opatření k zastavení nebo odvrácení trvajícího nebo přímo hrozícího kybernetického útoku anebo k odstranění nebo omezení důsledků vyhodnocených bezpečnostních rizik. To na první pohled vypadá jako formulace umožňující jen obranu, ale je tam schováno i oprávnění pro útok/protiútok, a to ve formulaci „odvrácení přímo hrozícího kybernetického útoku" případně ve formulaci „k odstranění důsledků vyhodnocených bezpečnostních rizik" - tedy VZ vyhodnotí, že je to bezpečnostní riziko, a může se schválením ministra obrany na daný cíl kyberneticky zaútočit. Vzhledem k, v nedávné minulosti prezentovaným, plánovaným způsobům kybernetického boje, zejména v jeho předpokládané koordinaci s dalšími státy NATO, tak vzniká otázka - od kdy je to ještě obrana a odkdy již útok?
Vyřadit z provozu např. cizí letiště v odvetě za vyřazení z provozu vlastního letiště (případně letiště spojeneckého státu) počítači umístěnými na území toho cizího státu je ještě obrana nebo už útok (protiútok)? Podobně např. v případě vyřazení celé sítě internetu - v případě nějakého menšího státu. Jaká bude odpovědnost státu, potažmo ministra obrany v takovém případě? V zákoně je v tomto směru pouze drobná zmínka, že pokud při této činnosti vznikne škoda, postupuje MO podle obecných právních předpisů upravujících náhradu škody. Jak jde naše potenciální účast v kybernetických útocích dohromady s veřejně propagovanou doktrínou AČR, že nejsme útočícím státem a nanejvýš technicky podporujeme spojence v NATO? K tomu je třeba ještě doplnit, že se důvodová zpráva důsledně vyhnula popsání způsobu spolupráce v oblasti kybernetické bezpečnosti s dalšími zeměmi NATO, je ale těžko představitelné, že by to tak ve skutečnosti nebylo.
6) V NZ je také uvedena povinnost informovat další orgány, resp. jejich představitele, tři z nich ale vždy prostřednictvím ministra obrany (který třeba problematický útok nařídil a nemusí mít zájem na tom takovou informaci předat dál). Jsou to ministr vnitra, ředitel NÚKIB a náčelník Generálního štábu AČR. Je tam zároveň zmínka, že pokud by poskytnutí takových informací ohrozilo důležitý zájem sledovaný VZ, tak tyto informace poskytnout nemusí. V NZ také není uvedeno, kdy tyto informace poskytne, jestli to musí být na základě nařízení vlády atp. Dále má VZ při zajišťování kybernetické bezpečnosti podléhat kontrole vlády, Poslanecké sněmovny PČR a Orgánu nezávislé kontroly zpravodajských služeb ČR. Je tam však upřesnění, že ty hlavní informace (podle § 16c odst. 2 a 6) předkládá pouze ve věcech a případech, ve kterých svou činnost již končilo (to je možná překlep a má tam být „skončilo"). Plus má VZ dávat jednou ročně zprávu vládě, pololetní ale už dává pouze jen ministrovi obrany, včetně dalších informací, které si vyžádá.
7) Otázkou je proč tyto kompetence nedostane Armáda ČR? Když se podíváme do Zákona o zajišťování obrany ČR, přesně sem by se měla řadit i obrana kybernetická jako jeden z dalších způsobů obrany. Je trochu neobvyklé, aby se další druh bojové činnosti (kybernetická obrana) neřadil do kompetence AČR, ale stál mimo armádu. Přitom AČR podléhá ministru obrany a má podle článku 43 Ústavy jako hlavní úkol obranu území našeho státu. AČR také v současné době buduje Velitelství kybernetických sil a informačních operací. Varianty, kam takové jednotky pro kybernetický boj zařadit, jsou tedy v podstatě dvě: v podřízenosti Armády ČR nebo NÚKIB, kde už částečně existují. Nikoliv však jako součást VZ.
Tato NZ je nesystémová a dává velké pravomoci VZ, které je v přímé podřízenosti ministra obrany. Tyto pravomoci, které v NZ jsou uvedeny, by měly být podle mého názoru zakomponovány do již existující legislativy ve vztahu ke kybernetické bezpečnosti a k pravomocím NÚKIB. Otázkou také zůstává, kde na tyto funkce sehnat dostatek schopných, prověřených a finančně motivovaných lidských zdrojů.
Z těchto důvodů nemohu tuto NZ ve stávající podobě svým hlasováním podpořit. Jsem přesvědčen o tom, že nebudu sám.
Ing. Radovan Vích
Poslanec, místopředseda Výboru pro obranu PS PČR