Domů Komentáře Metodika NÚKIB: produkty Huawei i ZTE lze vyloučit z IT tendrů

Metodika NÚKIB: produkty Huawei i ZTE lze vyloučit z IT tendrů

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 17. prosince 2018 varování před použitím technických nebo programových prostředků společností Huawei Technologies Co., Ltd., a ZTE Corporation. Nyní NÚKIB vydal pro odborníky zabývající se kybernetickou bezpečností metodiku, která konkretizuje možné postupy správců informačních a komunikačních systémů spadajících pod zákon o kybernetické bezpečnosti. Jaké závěry vyplývají ze zveřejněné metodiky pro zadavatele IT tendrů? A platí metodika na všechny zadavatele?

Varování neznamená bezpodmínečný zákaz používání daných technických a programových prostředků Huawei a ZTE

Prostřednictvím varování upozornil NÚKIB na existenci hrozby v oblasti kybernetické bezpečnosti, na kterou je nutné bezprostředně reagovat. Subjekty, které spadají pod zákon č. 181/2014 Sb., o kybernetické bezpečnosti, jsou povinny se touto hrozbou dále zabývat a zohlednit ji v analýze rizik, kterou v souladu s požadavky zákona a příslušné vyhlášky již pravidelně provádí. Varování tedy neznamená bezpodmínečný zákaz používání daných technických a programových prostředků, ale nutnost zvážit případné bezpečnostní riziko související s jejich užíváním. "Dovolí-li to výsledky analýzy rizik, uvedené technické nebo programové prostředky je možné i nadále používat.", uvádí NÚKIB v analýze.

Varování neplatí pro subjekty, na které se nevztahuje zákon o kybernetické bezpečnosti

Orgánům a osobám, kterým zákon neukládá povinnost zavést a provádět bezpečnostní opatření, stejně tak jako široké veřejnosti, nezakládá varování NÚKIB žádnou povinnost, a to ani zprostředkovaně. Tyto subjekty tedy nejsou podle zákona povinny varování NÚKIB zohlednit.

Co varování znamená pro jednotlivé subjekty?

Správci nebo provozovatelé informačních a komunikačních systémů kritické informační infrastruktury, správci nebo provozovatelé významných informačních systémů a správci nebo provozovatelé informačních systémů základních služeb jsou povinni pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, významný informační systém a informační systém základní služby provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit.

Na základě vyhodnocení rizik potom výše uvedené subjekty zavádějí a provádějí bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti.

Na základě provedených opatření lze vyloučit produkty Huawei i ZTE z veřejných zakázek

Jedním z možných opatření může být např. postupná náhrada daných technických a programových prostředků a jejich vyloučení z výběrového řízení. Další možností je např. úprava pravidel pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací organizace, seznámení dodavatelů s těmito pravidly a vyžadování plnění těchto pravidel po dodavatelích. Bezpečnostní opatření definuje vyhlášky o kybernetické bezpečnosti.

Zohlednění varování při řízení dodavatelů i subdodavatelů

Proces analýzy a řízení rizik je potřeba provést také v rámci výběru dodavatele a výsledná opatření promítnout do smluv, které budou s dodavateli uzavřeny.

Za dodavatele se v tomto případě považují nejen společnosti Huawei Technologies Co., Ltd., a ZTE Corporation, uvedené v samotném varování, ale i všechny další společnosti, které technické nebo programové prostředky zmiňovaných společností přeprodávají nebo které dodávají technické celky, jejichž součástí jsou prostředky zmiňovaných společností.

Zdroj: NÚKIB 

SOUVISEJÍCÍ ČLÁNKY

eNeschopenka definitivně schválena podpisem prezidenta
20.6.2019
Do Poslanecké sněmovny bylo doručeno rozhodnutí...
Ministerstva nenašla zvýšenou hrozbu ze strany Huawei, navzdory varování NÚKIB
17.6.2019
Až na jeden případ nebyly čínské technologické firmy...
Budou mít elektronické petice stejnou váhu jako papírové?
14.6.2019
Petiční výbor Poslanecké sněmovny projednal novelu...
Zákon o právu na digitální službu dnes prošel ve Sněmovně prvním čtením
28.5.2019
Sněmovna dnes odpoledne v prvním čtení schválila návrh...
Smlouva uzavřená na základě JŘBU musí být vždy časově omezena, soud potvrdil rozhodnutí ÚOHS
20.5.2019
Krajský soud v Brně svým dubnovým rozsudkem potvrdil...

Diskuse

comments powered by Disqus