Novela zákona o Vojenském zpravodajství

Dnem 1. července 2021 nabyla účinnosti novela zákona o Vojenském zpravodajství, která se zabývá kybernetickou obranou. Zákon vychází z požadavků strategie vytvořené Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) a schválené vládou. Nutnost vychází i ze členství v Severoatlantické alianci (NATO), která uznala kybernetický prostor v roce 2016 za operační doménu.

Jedná se o doplnění systému obrany státu vůči nejzávažnějším kybernetickým útokům. Zákon Vojenskému zpravodajství umožňuje získávat poznatky o kybernetických útocích a hrozbách, cíleně detekovat kybernetické útoky a v neodkladných případech na ně adekvátně reagovat.

Hlavním motivem novely je spolupráce. Detekce se má vykonávat v souladu s operátory, zjištěné informace se mohou předávat přímo těm, kteří je potřebují a jsou schopni s nimi adekvátně naložit. Bez spolupráce a koordinace se neobejdou ani ostatní činnosti, jako je např. aktivní zásah.

V následujícím textu Vám přinášíme potřebná vysvětlení koncepce podílení se Vojenského zpravodajství na obraně státu v kybernetickém prostoru.

 

1. Jak se VZ podílí na zajišťování kybernetické obrany

• Obrana je soubor opatření chránící stát a jeho občany před vnějším napadením. Nové kompetence VZ pouze tato opatření doplňují.
• Rolí VZ je nově řešit nejzávažnější kybernetické útoky mající původ v zahraničí ohrožující samotnou podstatu fungování státu.
• Zásadní skutečností, kterou novela přinesla, je fakt, že VZ se nově podílí i přímo na obranných opatřeních nad rámec zpravodajské činnosti. Jedná se o zásadní průlom dosavadních principů, protože v České republice zpravodajské služby nemají tento druh pravomocí.

2. Detekce kybernetických útoků

• Základním principem je skutečnost, že VZ dopředu stanoví, co v kybernetickém prostoru hledá. Tento koncept detekce je primárně postaven na dlouhodobé a dohodou vymezené spolupráci s provozovateli veřejných sítí, kteří na základě dodaných informací budou v rámci svých bezpečnostních opatření vyhledávat kybernetické útoky či hrozby a v případě jejich záchytu o tom předají potřebné informace zpět.
• V případě nebezpečí z prodlení bude VZ dále oprávněno požádat o součinnost jednorázově i subjekt, se kterým nebude mít dopředu vyjednanou dohodu.
• Jako krajní řešení bude možné za přísných podmínek vyžádat umístění vlastních nástrojů detekce, a to pouze na základě správního řízení. Tyto nástroje však nebudou provádět detekci ve větším rozsahu než v rámci výše uvedené detekce na základě dohody.

3. Aktivní zásah

• Druhá oblast nových kompetencí je reakce. V případě, že VZ na základě svých činností detekuje konkrétní kybernetický útok nebo jeho hrozbu, mohou nastat – samozřejmě po individuálním vyhodnocení situace – dvě reakce, resp. opatření k odvrácení detekovaných útoků:
• 1) předání informací k provedení opatření jiné instituci či subjektu (především se bude jednat o NÚKIB, případně národní CERT tým – což je soukromý subjekt určený k řešení a koordinaci řešení bezpečnostních incidentů v rámci českého internetu), nebo
• 2) provedení aktivního zásahu ze strany VZ.
• Provedení aktivního zásahu je vždy až krajním řešením a pouze v případě striktně splněných zákonných podmínek. Případný zásah vůči kybernetickým útokům bude umožněn jen jako krajní řešení národní sebeobrany, když budou ohroženy životy lidí např. z důvodu vyřazení IT systému nemocnice nebo elektrárny, a to navíc jen když to nepůjde jinak a bude nutné konat co nejrychleji.
• K provedení aktivního zásahu nemohou sloužit nástroje detekce. V praxi mohou být tyto kroky doplněny, nebo nahrazeny reakcí diplomatické či hospodářské povahy.
• Aktivní zásah musí schválit ministr obrany.

4. Spolupráce se státními institucemi a soukromým sektorem

• Hlavní narativ novely je spolupráce. Detekce se má vykonávat v souladu s operátory. Zjištěné informace se mají předávat těm, kteří je potřebují a jsou schopni s nimi adekvátně naložit. Bez spolupráce a koordinace se neobejde ani detekce, činnosti směřující k případné atribuci a rozhodně ani případný aktivní zásah. V rámci skoro každého pravidla lze najít návaznosti na potřebu spolupráce. Ani kontrola není nastavena na izolovaných mechanizmech.
• Zákon dále vyloženě zakotvuje požadavek na obecnou spolupráci. Ten prostor v této oblasti je obrovský – přes vědu a výzkum, sdílení informací a znalostí, společné vzdělávání a provádění cvičení až ke koordinovaným postupům při řešení krizových událostí.

5. Rovnováha mezi novými pravomocemi a dohledem nad nimi

• Nejcitlivější téma v případě zpravodajských služeb bývá vždy kontrola, resp. rovnováha mezi svěřenými pravomocemi a dohledem nad vykonávanými činnostmi. VZ si uvědomuje odpovědnost danou svěřenými pravomocemi a váží si především důvěry, neboť veškeré činnosti jsou vykonávané v zájmu bezpečnosti občanů.
• VZ je kontrolováno ze strany vlády a ministra obrany jakožto kontroly exekutivní a dále sněmovní komisí, nad kterou je zřízen jako druhý stupeň Orgán nezávislé kontroly. Nad rámec těchto mechanizmů pro oblast kybernetické obrany nově vznikla i funkce Inspektora.
• Inspektor kybernetické obrany má v podstatě hybridní postavení, kdy se sice jedná o vnitřní kontrolu, ale s nezávislým postavením a velkým přesahem na dotčené subjekty. Jeho rolí je především dohlížet na zákonné nakládání s daty a informacemi, které VZ získá v rámci detekčních činností.

6. Proč Vojenské zpravodajství?

• Obrana je soubor opatření chránící stát a jeho občany před vnějším napadením. Kybernetický prostor je prostor informací. Takže jak už samotný název instituce napovídá, v případě „Vojenského zpravodajství“ jsou naplněny základní požadavky, tedy že se jedná o řešení obranných / vojenských skutečností na poli informací.
• Národní centrum kybernetických operací, které Vojenské zpravodajství v souvislosti s tímto novým vládním úkolem buduje, plní jen dílčí roli na zajištění celkové bezpečnosti státu a občanů v kybernetickém prostoru.
• Nové kompetence směřují výhradně proti nejzávažnějším útokům v podstatě vojenského charakteru, které mají původ v zahraničí. A to na ty, na které bude potřeba reagovat okamžitě.
• Aby mohla nastat pohotová a adekvátní reakce, jsou potřeba informace. Informace a jejich výměna s partnerskými státy je pro vybudování kybernetické obrany klíčová. Jedná se především o výměnu zkušeností o probíhajících a proběhlých útocích, jejich charakteru nebo projevech, které v síti vykazují. Povaha těchto informací je zpravodajského charakteru, které jsou z důvodu jejich citlivosti a utajení sdíleny pouze mezi zpravodajskými službami.
• Vojenské zpravodajství je respektovaným a zavedeným partnerem na mezinárodním poli a má navázanou spolupráci se zahraničními zpravodajskými službami.

• VÍCE INFORMACÍ

   

  Jedná se o koncepční rozhodnutí na základě strategie vytvořené NÚKIB z důvodů specifik kybernetického prostoru, který je mnohem více prostorem informačním než klasickým bojištěm – zde hrají významnou roli zpravodajské služby. Služby disponují zpravodajskými informacemi, které nelze předávat dál například z důvodu utajení nebo možného odkrytí zdroje.

  Tento druh činnosti musí vykonávat příslušníci podléhající vojenské kázeňské pravomoci. VZ je institucionálně součástí Ministerstva obrany zodpovědného za obranu.

  Přitom je důležité si uvědomit, že:

  • útok může přijít kdykoliv a odkudkoliv.
  • reakce často musí nastat bez časového prodlení, není reálné vyhlašovat mimořádné stavy.
  • veškeré činnosti adekvátní obrany se odvíjí od včasných informací, které umožní útok detekovat a určit jeho zdroj.
  • kybernetický prostor prostupuje napříč odvětvími a společnost se na něm stává stále závislejší.
  • stát nedisponuje vlastní kybernetickou infrastrukturou.

7. Novela zákona o Vojenském zpravodajství

• Novela zákona o Vojenském zpravodajství dovršila svěření vládního úkolu podílet se na kybernetické obraně Vojenskému zpravodajství a ukotvila kybernetickou obranu v českém právním systému. Česká republika tak doplnila mezery v systému obrany kybernetického prostoru a všeobecně obrany státu vůči nejzávažnějším kybernetickým útokům.
• Projednávání návrhu zákona doprovázela živá diskuze, do které byla zapojena i odborná veřejnost. Samotný záměr byl hodnocen pozitivně. Navržené znění však vyvolávalo značné obavy ohledně ochrany soukromí a možnosti kontroly. V průběhu procesu tak oproti původnímu návrhu došlo k poměrně výrazným změnám.
• Schválené znění bylo shledáno ústavně konformním a v maximální možné míře reflektuje připomínky, diskuzi a požadavky na vytvoření opravdu jasného a kvalitního zákona, který splňuje svůj účel proporcionálním způsobem.

• VÍCE INFORMACÍ

   

  Dne 25. května 2015 schválila Vláda ČR Usnesením č. 382 Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020. Jednalo se o strategii státu pro zajišťování kybernetické bezpečnosti pro toto období z dílny dnes již samostatného Národního úřadu pro kybernetickou a informační bezpečnost – NÚKIB (dokument byl vypracován ještě pod křídly NBÚ).

  Odpovědnost za plnění ze strany Vojenského zpravodajství je dána v případě 8 úkolů (na dalších 20 se spolupodílí). Základní úkol spočíval ve vytvoření Národního centra kybernetických operací – původní název byl Národní centrum kybernetických sil, které má provádět široké spektrum operací v kyberprostoru a aktivity nutné pro zajištění kybernetické obrany ČR. Stěžejní úkol pro Vojenské zpravodajství však spočívá ve směřování k zajišťování kybernetické obrany skrze kooperaci NCKO s NÚKIB (vládní CERT), národním CERT a ostatními pracovišti typu CERT/CSIRT.

  Pro potřeby plné funkčnosti NCKO byl pro VZ stanoven i úkol připravit návrh nutných legislativních změn.

  Před stanovením těchto úkolů se důkladně vyhodnotil stávající i žádoucí právní a skutkový stav. Těchto jednání se účastnili představitelé NBÚ (dnešního NÚKIB), zpravodajských služeb a ostatních relevantních institucí. Výsledkem byla koncepce systému kybernetické bezpečnosti ČR v gesci nově vzniklého NÚKIB a jako nejvhodnější institucí pro potřebné doplnění chybějících schopností kybernetické obrany bylo určeno právě Vojenské zpravodajství.

  Na plnění jednotlivých úkolů začalo Vojenské zpravodajství pracovat již v průběhu roku 2015 vytvořením studie proveditelnosti vybudování NCKO (samotné centrum následně vzniklo v roce 2016) a prvním návrhem nutných legislativních a organizačních změn.

  Tento legislativní návrh byl v roce 2016 připraven ve spolupráci s MV, NBÚ, ÚZSI, BIS a ČTÚ. Prošel připomínkovými řízeními a vláda jej schválila na svém jednání dne 5. října 2016 Usnesením č. 870. V rámci poslanecké sněmovny byl tento návrh ve druhém čtení výbory pro obranu i bezpečnost navržen ke schválení (ve znění pozměňovacích návrhů). Z důvodu konce volebního období však nebyl zákon přijat.

  Tento legislativní návrh byl v roce 2016 připraven ve spolupráci s MV, NBÚ, ÚZSI, BIS a ČTÚ. Prošel připomínkovými řízeními a vláda jej schválila na svém jednání dne 5. října 2016 Usnesením č. 870. V rámci poslanecké sněmovny byl tento návrh ve druhém čtení výbory pro obranu i bezpečnost navržen ke schválení (ve znění pozměňovacích návrhů). Z důvodu konce volebního období však nebyl zákon přijat.

  V mezirezortním připomínkovém řízení obdrželo Ministerstvo obrany 95 zásadních a 65 doporučujících připomínek, které byly postupně řádně vypořádány. Úpravy na základě připomínek směřovaly k důslednějšímu vyjasnění, že se jedná o oblast obrany, aby nemohlo docházet k překrývání kompetencí s jinými státními orgány, ale naopak bylo zaručeno navázání na celkový systém zajišťování bezpečnosti státu. Upravená verze také více akcentuje potřebnost spolupráce a předávání informací. Nejzásadnější vývoj zaznamenaly problematiky detekce a kontrolních mechanizmů. Současné znění reflektuje upozornění na nejasnosti, které mohly vzbuzovat obavy ohledně možného zneužití.

  Ministerstvo obrany, které bylo předkladatelem zákona, postoupilo návrh zákona na vládu 7. 1. 2020, kde se jim zabývala komise Legislativní rady vlády, která k němu své stanovisko vydala 10. března. Návrh zákona byl následně projednán a schválen na řádném zasedání vlády 16. března.

  V Poslanecké sněmovně byla novela v prvním čtení představena 7. 10. 2020, kde poslanci přiřadili novelu k projednání Výboru pro obranu, který byl zároveň garančním výborem, Ústavně právnímu výboru a Stálé komisi pro kontrolu činnosti Vojenského zpravodajství. Druhé čtení se uskutečnilo 29. 1. 2021 a novela zákona byla Poslaneckou sněmovnou ve třetím čtení schválena ve znění doporučeném garančním výborem (pozměňovací návrhy) dne 12. 2. 2021. Z přítomných 100 poslanců hlasovalo pro 72 a proti 15 (hlasování č. 339, usnesení č. 1519). Návrhem se následně zabýval Senát, který pro projednání v příslušných výborech, návrh zákona podpořil dne 17. 3. 2021. Prezident České republiky podepsal zákon 24. 3. 2021 s účinností od 1. 7. 2021.