Návrh Zákona o kybernetické bezpečnosti_ Průzkum mezi členskými firmami

JavaScript isn't enabled in your browser, so this file can't be opened. Enable and reload.

Otázky týkající se možnosti menších operátorů být “dodavatelem” povinného subjektu mechanismu Bezpečnost dodavatelského řetězce.

Dle aktuálního návrhu nového zákona o kybernetické bezpečnosti a vyhlášek, které ho doprovází, budou muset subjekty, které mají:

nejméně 350 000 aktivních mobilních SIM karet na maloobchodním trhu na území České republiky, nebo
nejméně 100 000 aktivních pevných internetových přípojek na území České republiky

prověřovat rizika spojená se svými dodavateli dle “mechanismu prověřování bezpečnosti dodavatelského řetězce”. Dodavatelem je “ten, kdo poskytovateli strategicky významné služby poskytne přímo či jako poddodavatel bezpečnostně významnou dodávku.”

Bezpečnostně významnou dodávkou je “plnění směřující do kritické části stanoveného rozsahu spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu

1. technického prostředku nebo vybavení s výpočetní kapacitou,

2. programového prostředku nebo vybavení, nebo

3. informační či komunikační služby,

Kritickou částí stanoveného rozsahu jsou pak taková aktiva, která subjekt ohodnotí dopad narušení bezpečnosti informací na úroveň “vysoká” nebo “kritická” nebo ta, která úřad zahrne do “nepominutelných funkcí stanoveného rozsahu”. Pro telekomunikace jsou těmito nepominutelnými funkcemi například:

Infrastrukturní služby nezbytné pro podporu provozu veřejné komunikační sítě a veřejné dostupné služby elektronických komunikací.
Funkce zavádějící rozhraní pro propojování mezi jednotlivými veřejnými komunikačními sítěmi nebo službami, včetně roamingu.
Funkce, kterými jsou veřejné komunikační sítě nebo služby propojeny, pokud může mít taková funkce významný dopad na přístup k veřejné komunikační síti nebo na síťový provoz.

Protože tyto formulace jsou velmi vágní, je možné předpokládat, že pokud je menší regionální či lokální operátor dodavatelem prakticky jakýchkoli telekomunikačních služeb velkému národnímu mobilnímu operátorovi (nebo jinému operátorovi, který má víc než 100 000 přípojek), pak je dle dikce zákona jeho “dodavatelem”.

Operátor, který je povinnou osobou mechanismu, tak musí takového dodavatele nechat prověřit a - co je nejdůležitější - prověřit musí nechat i jeho poddodavatele.

Bude to tak znamenat, že regionální či lokální operátor bude muset dodat svému obchodnímu partnerovi informace o sobě, ale i o dodavatelích, s jejichž pomocí poskytuje své služby (typicky dodavatelích technologie, díky které služby poskytuje.

Tito dodavatelé přitom mohou být mezi těmi, jejichž přítomnost v síti povinných osob mechanismu NÚKIB může zcela zakázat či jejich používání omezit.
(typicky zřejmě dodavatelé s korporátním sídlem v Číně typu Huawei, ZTE a podobně).

Prosíme o pečlivé vyplnění dotazníku:

Email *

Jste v současné době velkoobchodním dodavatelem některého z velkých operátorů, který naplňuje kritérium pro "Mechanismus"? *

ANO

Nejsem, ale plánuji se jím stát.

Jaké služby (především “informační a komunikační služby”) mu poskytujete?
Typicky: okruh, bit stream, přístup do přístupové sítě, kolokace s využitím aktivních prvků etc. *

Využíváte v síti technologie od dodavatelů ze zemí, které mohou být označené za rizikové? Za rizikové mohou být označené takové zařízení, jejich ovládající entita pochází z nespojeneckých zemí. *

ANO

Plánuji takové technologie využívat.

Pokud používáte zařízení, která mohou být označena jako riziková, prosím napište pro jaké velkoobchodní služby je využíváte.
*

Prosíme o zadání názvu poskytovatele, jehož jménem dotazník vyplňujete. (zejména pokud není název součástí emailové domény). *

A copy of your responses will be emailed to the address you provided.

Submit

Clear form

Never submit passwords through Google Forms.

reCAPTCHA

Privacy Terms

This form was created inside of Výbor nezávislého ICT průmyslu z.s.. Report Abuse

Forms