Otázky týkající se možnosti menších operátorů být “dodavatelem” povinného subjektu mechanismu Bezpečnost dodavatelského řetězce. Dle aktuálního návrhu nového zákona o kybernetické bezpečnosti a vyhlášek, které ho doprovází, budou muset subjekty, které mají:
nejméně 350 000 aktivních mobilních SIM karet na maloobchodním trhu na území České republiky, nebo
nejméně 100 000 aktivních pevných internetových přípojek na území České republiky
prověřovat rizika spojená se svými dodavateli dle “mechanismu prověřování bezpečnosti dodavatelského řetězce”. Dodavatelem je “ten, kdo poskytovateli strategicky významné služby poskytne přímo či jako poddodavatel bezpečnostně významnou dodávku.”
Bezpečnostně významnou dodávkou je “plnění směřující do kritické části stanoveného rozsahu spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu
1. technického prostředku nebo vybavení s výpočetní kapacitou,
2. programového prostředku nebo vybavení, nebo
3. informační či komunikační služby,
Kritickou částí stanoveného rozsahu jsou pak taková aktiva, která subjekt ohodnotí dopad narušení bezpečnosti informací na úroveň “vysoká” nebo “kritická” nebo ta, která úřad zahrne do “nepominutelných funkcí stanoveného rozsahu”. Pro telekomunikace jsou těmito nepominutelnými funkcemi například:
Infrastrukturní služby nezbytné pro podporu provozu veřejné komunikační sítě a veřejné dostupné služby elektronických komunikací.
Funkce zavádějící rozhraní pro propojování mezi jednotlivými veřejnými komunikačními sítěmi nebo službami, včetně roamingu.
Funkce, kterými jsou veřejné komunikační sítě nebo služby propojeny, pokud může mít taková funkce významný dopad na přístup k veřejné komunikační síti nebo na síťový provoz.
Protože tyto formulace jsou velmi vágní, je možné předpokládat, že pokud je menší regionální či lokální operátor dodavatelem prakticky jakýchkoli telekomunikačních služeb velkému národnímu mobilnímu operátorovi (nebo jinému operátorovi, který má víc než 100 000 přípojek), pak je dle dikce zákona jeho “dodavatelem”. Operátor, který je povinnou osobou mechanismu, tak musí takového dodavatele nechat prověřit a - co je nejdůležitější - prověřit musí nechat i jeho poddodavatele.
Bude to tak znamenat, že regionální či lokální operátor bude muset dodat svému obchodnímu partnerovi informace o sobě, ale i o dodavatelích, s jejichž pomocí poskytuje své služby (typicky dodavatelích technologie, díky které služby poskytuje.
Tito dodavatelé přitom mohou být mezi těmi, jejichž přítomnost v síti povinných osob mechanismu NÚKIB může zcela zakázat či jejich používání omezit.
(typicky zřejmě dodavatelé s korporátním sídlem v Číně typu Huawei, ZTE a podobně).
Prosíme o pečlivé vyplnění dotazníku: