Hladký průběh mělo schvalování zákona o kybernetické bezpečnosti v Senátu. Proti přijetí zákona ve znění postoupeném Poslaneckou sněmovnou hlasovala pouze senátorka Daniela Kovářová. Návrh připravený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) prošel s podporou 66 senátorů ze 75 přítomných.
Nová pravidla kyberbezpečnostní regulace teď posoudí prezident. Pokud zákon nevetuje, bude záležet na tom, zda jej stihne podepsat ještě v červnu – potom by norma nabyla účinnosti k 1. říjnu – anebo až v červenci, což by znamenalo posun účinnosti o měsíc.
V mezidobí uplynula lhůta pro uplatnění připomínek v meziresortním řízení k šesti prováděcím předpisům (z devíti), když vyhláška týkající se zápisu do katalogu cloud computingu a dvojice vládních nařízení mají s ohledem na pozdější zveřejnění finálního textu lhůtu pro připomínky o několik týdnů posunutou.
Chcete víc, než co vám zákon dovoluje
Připomínek k ostatním vyhláškám se sešlo na desítky. O co snazší to měl návrh zákona v horní komoře Parlamentu, o to větší výhrady sklidily prováděcí předpisy, a to nejen ze soukromé sféry, ale často i od ostatních úřadů.
Ostře zaútočilo na NÚKIB Ministerstvo zdravotnictví za to, že vyhláškou překračuje zákonná zmocnění. „Ustanovení návrhu vyhlášky, která stanovují povinnosti subjektům (konkrétně povinné osobě) není možné vnímat jako validní, neboť v základu by tyto povinnosti měly být stanoveny zákonem,“ uvádí resort zdravotnictví k vyhlášce jako celku. Doporučuje proto Senátu využít pozměňovacích návrhů k „provedení nezbytných změn“ kyberbezpečnostního zákona. Tento apel na úrodnou půdu nepadl.
Zdravotnictví se nelíbí ani konstatování v důvodové zprávě, že návrh vyhlášky nezakládá nová práva ani povinnosti. „Z logiky věci to nemůže být pravda. Pokud by povinnosti byly založeny už zákonem, pak by se nutně jednalo o duplicitní právní úpravu. Návrh vyhlášky zakládá nové povinnosti, což nelze považovat za schůdné,“ uzavírá ministerstvo současně s vyslovením předpokladu, že návrh vyhlášky nebude přijat.
Překročení zákonného zmocnění vyhlášce vyčítá i Ministerstvo financí. U bezpečnostních opatření v režimu nižších povinností se resort vymezuje proti tomu, že vyhláška místo určení obsahu bezpečnostních opatření a způsobu jejich zavádění promlouvá do toho, jak má vypadat obsah smlouvy uzavírané s dodavateli, a to tak, že smlouva má stanovit způsoby realizace bezpečnostních opatření a určit obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu těchto opatření. „Textace návrhu vyhlášky dle našeho názoru překračuje zákonné zmocnění. Vzhledem k tomu, že tato povinnost není transpoziční, požadujeme její úpravu,“ uzavírá úřad ministra Zbyňka Stanjury.
Ministerstvo průmyslu a obchodu se vymezilo proti nesrozumitelnosti vyhlášek způsobené odklonem od prováděcího nařízení EU. Tyto požadavky jsou přitom odvozené od normy ISO 27001. „Je proto zvláštní, když autoři v návrhu vyhlášek tyto požadavky mění a činí je nesrozumitelnými nebo nejednoznačnými,“ napsal úřad do připomínek.
Současně pléduje za harmonizaci vyhlášek s evropským nařízením, když nové povinnosti se budou týkat tisíce subjektů. „Nemalá část z nich však nebude spadat pouze pod legislativu ČR, ale díky svému mezinárodnímu působení i pod transponované zákony jiných zemí,“ zdůvodňuje ministerstvo požadavek jednotného postupu.
MPO se závěrem také vymezilo proti změně stávající dobré praxe při určování hesla. NÚKIB ve vyhláškách navrhuje stanovit minimální délku hesel podle druhu účtu (12 znaků pro uživatele, 17 pro administrátory a 22 pro technická aktiva). Ministerstvo v tom vidí krok proti uživatelské přívětivosti.
Přisadilo si také Nejvyšší státní zastupitelství. Nerozumí tomu, proč NÚKIB nevyužil možnost vyjmout z působnosti směrnice NIS2 státní zastupitelství, když tato možnost je ve směrnici výslovně zakotvena. „Podle předmětného ustanovení by z oblasti působnosti této směrnice měly být vyňaty ty subjekty veřejné správy, jež vykonávají svou činnost převážně v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů za podmínky, že činnost těchto subjektů nesouvisí s těmito oblastmi pouze okrajově,“ konstatují státní zástupci. Požadují proto v příloze vyhlášky nahradit státní zastupitelství Ministerstvem spravedlnosti.
Hoří termín, Česku hrozí soud s EU
Zajímavý poznatek přineslo Ministerstvo zahraničních věcí. Ačkoliv tento úřad věcně žádné požadavky nevznáší, doporučuje urychlené přijetí vyhlášek kvůli rozjetému řízení ze strany Bruselu o porušení povinností v souvislosti s transpozicí směrnice NIS2. Ta měla být součástí národní legislativy nejpozději 17. října 2024 a podle Černínského paláce v tomto řízení už bylo vydáno odůvodněné stanovisko, ke kterému se Česko musí vyjádřit do 7. července. „Uplynutí uvedené lhůty pro odpověď členského státu na odůvodněné stanovisko je v řízení o porušení povinnosti zásadní, jelikož právě toto datum je v případném navazujícím soudním řízení rozhodné pro konstatování porušení povinnosti členského státu,“ uzavírá své doporučení ministerstvo.
Vládní legislativě chybí k vyhláškám řádně vypracovaná hodnotící zpráva o dopadech RIA a předpisům také vyčítá nesjednocenou terminologii. Hodnocení rizik podle vládních právníků postačí provádět jednou za dva roky a naopak zkrátit dobu pro ukládání logů z 18 na 6 měsíců. „Povinnost ukládat rok a půl se jeví jako nedůvodná, když i Industry standard ukládá logy také zhruba v délce 6 měsíců a NIST framework neukládá konkrétní povinnou dobu uchovávání,“ zdůvodňuje výhrady Úřad vlády.
Také soukromý sektor se do vyhlášek v připomínkovém řízení náležitě opřel. Hospodářská komora požaduje ještě citelnější zkrácení doby pro ukládání logů, a to jen na dobu tří měsíců. „V praxi se bombardování kyberbezpečnostními incidenty pohybuje ve stovkách až tisících denně (pokusy o průnik či DDoS útoky jsou běžné), ukládat o každém z nich údaje pouze pro účely plnění tohoto opatření znamená investici do úložiště, které by nemělo žádný jiný význam,“ uvádí Komora a neopomněla si rýpnout ani do data retention. „Už nyní jsou ISP zatíženi významnou povinností vyplývající z protiústavního požadavku na ukládání provozních a lokalizačních údajů, které nově stát navíc ani plně nekompenzuje jako dříve. Takto formulovaný požadavek znamená další nepřiměřenou administrativní zátěž,“ dodává.
Zpochybnila také kritérium 100 tisíc aktivních pevných internetových přípojek ve vyhlášce o regulovaných službách. „Nedomníváme se, že v ČR existuje jakýkoliv operátor pevných sítí, který by měl zároveň 100 tisíc aktivních pevných internetových přípojek a byl jiným než středním nebo velkým podnikem. (…) Považujeme tento požadavek za nadbytečný a neodůvodněný,“ líčí Komora.
Asociace malých a středních podniků a živnostníků žádá úlevu pro požadavky na formální vzdělání a praxi manažerů kybernetické bezpečnosti, a to s ohledem na to, že jich na trhu práce bude akutní nedostatek. „Tito odborníci budou potřební prakticky okamžitě, neboť budou muset nastavit pravidla kybernetické bezpečnosti u tisíců nově registrovaných subjektů,“ uvádí asociace s tím, že čím více formálních požadavků bude na tyto role kladeno přímo ve vyhlášce, tím vyšší riziko vzniká zejména pro střední a velké podniky, pro které je regulovaná služba jen okrajovou záležitostí, že nebudou schopny tyto odborníky vůbec zajistit.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
