Vážený pane předsedající, dámy a pánové, dobrý den. Jsem trochu nachlazen, doufám, že mi budete rozumět. Dovolte mi tedy uvést komentář k předkládanému návrhu zákona o kybernetické bezpečnosti. Rád bych také v průběhu svého vystoupení upozornil na určitá úskalí předlohy, z nichž některá, jak doufám, se v průběhu projednávání na půdě Poslanecké sněmovny podaří korigovat.

Zákon jako celek navazuje na dlouhodobou snahu o zajištění bezpečnosti informačních systémů a komunikačních sítí v ČR. Odráží přitom celosvětový trend, kdy veřejná sféra zasahuje do soukromé sféry formou regulace u těch odvětví, která považuje za hodná mimořádné ochrany, jako je například bankovnictví nebo energetika. V případě regulace digitálního prostředí se jedná především o reakci na množící se kybernetické útoky na informační systémy, které, jak ukazují především zahraniční zkušenosti, nemusejí být pouze dílem jednotlivců nebo jednotlivých útočníků, ale též celých organizovaných skupin. V některých případech panují obavy, že činnost těchto útočníků je skrytě organizována či financována zahraničními vládními či jinými mocenskými strukturami. Z tohoto pohledu je přirozené, že legislativní prostředí na tyto skutečnosti reaguje.

Zde je však první kontroverze. V evropském i celosvětovém kontextu jsme totiž jedna z mála zemí, ne-li jediná, která by měla mít speciální zákon pro oblast kybernetické bezpečnosti. Předkladatel zákona, tedy tehdy ještě Rusnokova vláda, sice odůvodňuje jeho potřebu odkazem na návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii, kterou předložila Evropská komise dne 7. února 2013. Tato směrnice však nebyla dosud schválena. Je pravděpodobné, že přijata bude, není to však jisté. Z tohoto pohledu se může jevit přijímání speciálního zákona jako předčasné a unáhlené.

Nyní však k samotnému obsahu zákona. Zákon naštěstí nenaplňuje očekávání některých kritiků, kteří se obávali sledování obsahu informačních toků, či dokonce jejich cenzury. Soustředí se pouze na ochranu informační infrastruktury tak, aby zajistil právo jednotlivce na informační sebeurčení. Pevně doufám, že tomu tak zůstane i do budoucna a obsah internetu zůstane i nadále svobodný, bez jakéhokoliv zásahu státu do jeho obsahu, bez snah o ovlivnění toho, co může být na internetu zveřejněno, nebo snah o centrální sledování konkrétních aktivit jednotlivých uživatelů. Zákon se naštěstí dívá na kybernetickou bezpečnost z druhé strany, tedy pojímá kybernetickou bezpečnost jako snahu o zajištění kontinuity informačních služeb i v případech, kdy jsou tyto služby ohroženy určitou hrozbou. Zákon má z tohoto důvodu ambici vytvořit Centrální pracoviště kybernetické bezpečnosti, tzv. Computer Emergency Response Team, ve zkratce CERT, které se bude zabývat shromažďováním dat o bezpečnostních incidentech, které se odehrály u jednotlivých významných provozovatelů informačních a komunikačních systémů, tedy tzv. kritické informační infrastruktury, soukromých i veřejných.

Na základě takto získaných dat bude pracoviště koordinovat na národní úrovni ochranná opatření, která by měla umožnit pružnou a komplexní reakci na případný kybernetický útok většího rozsahu.