Nová pravidla kyberbezpečnosti dostávají konkrétní obrysy. Sněmovnou ve třetím čtení v pátek hlasy 159 poslanců prošel návrh zákona o kybernetické bezpečnosti, a to přesně tři čtvrtě roku poté, co se do dolní komory Parlamentu z vlády dostal. Opouští ji v podobě odlišné od té, jakou si Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) představoval. V rukou brněnského regulátora sice nezůstala pravomoc rozhodovat o zákazech nepohodlných dodavatelů poskytovatelů služeb pro stát zvlášť vysokého významu, vláda však tento nástroj poprvé v historii k dispozici mít bude.
Bez zdlouhavých proslovů a ve věcné rovině se neslo závěrečné čtení kyberbezpečnostního zákona. Za čtvrt hodiny bylo po všem. V rozpravě vystoupil poslanec za ANO Robert Králíček, který poukázal na hluboce podfinancovanou kybernetickou bezpečnost z pohledu rozpočtu. „Nemáme dostatek kapacit k tomu, abychom byli schopni naplnit zákonné podmínky, které tu dnes schválíme. A na to je třeba brát ohled,“ apeloval.
Hladce prošly pozměňovací návrhy, na kterých panovala shoda na garančním výboru pro bezpečnost. Ty se vedle už zmíněného přesunu rozhodovacích pravomocí z NÚKIBu na vládu a legislativně-technických změn týkaly také omezení zásahu do dodavatelského řetězce jen na úroveň aktiv s nejvyšším stupněm kritická. Nicméně sama vláda si toto zákonné omezení může svým nařízením jakkoliv rozšířit.
Králíček v tom ale vidí prostor pro obcházení zákona. „Tím, že vyškrtneme aktiva vysoká, se může stát, že někteří velcí hráči zákon mohou obcházet,“ netajil se s obavami. Postěžoval si přitom, že při projednávání ve výborech nedostal jasný výklad, zda toto omezení bude mít vliv i na kontrolní činnost regulátora. „Pokud praxe ukáže, že některé firmy ten zákon obchází, jsem připraven v příštím období z jakékoliv pozice přijít s novelou, aby se to zpřísnilo,“ dodal Králíček se zdůvodněním, že kybernetická bezpečnost bude v budoucnu ještě důležitější, než je teď.
Účinnost zákona nastane ve druhé půli roku
Podpory pléna se dostalo ještě návrhu na změnu účinnosti zákona. Původně byla nastavena od letošního července. Jenže cesta Sněmovnou se zkomplikovala natolik, že není jisté, že během příštích dvou měsíců stihne návrh projít hladce Senátem a dostane i podpis prezidenta. Proto se z pevného data účinnost změnila na první den třetího kalendářního měsíce následujícího po jeho vyhlášení.
Zákon o kybernetické bezpečnosti tak nejspíš bude jednou z mnoha výjimek z pravidla, že nové předpisy mohou být vyhlašovány pouze dvakrát ročně, k 1. lednu nebo 1. červenci daného roku. Výjimku zákon připouští pouze „ve zvlášť výjimečných případech“ a „vyžaduje-li to naléhavý obecný zájem“. Vzhledem k tomu, že lhůta pro transpozici uplynula už loni v říjnu, lze přinejmenším naléhavý zájem zdůvodnit.
Z přijatých pozměňovacích návrhů je to vše. Změny v části týkající se omezení cloudových úložišť v soukromé sféře (nikoliv tedy ve veřejné správě), vzal předkladatel, předseda Hospodářského výboru Ivan Adamec před hlasováním zpět. Naplnila se tím politická dohoda známa z posledního projednání v garančním výboru pro bezpečnost.
Neprošel ani jeden ze dvou variantních návrhů poslankyně Vladimíry Lesenské z SPD směřujících k teritoriálnímu omezení úložišť osobních údajů spravovaných státem. A neprošel ani nápad, aby provozovatelé strategicky významné služby mohli zajišťovat její dostupnost v nezbytném rozsahu, stanoveném čase a kvalitě i jinde než jen z našeho území. Hospodářský výbor neúspěšně navrhoval úlevu v podobě možnosti si pro poskytování této služby vybrat jakýkoliv členský stát Evropské unie.
Regulátor chystá meziresort pro vyhlášky
NÚKIB na schválení zákona okamžitě reagoval oznámením, že v nejbližších dnech se chystá spustit legislativní proces prováděcích předpisů. „Prvním krokem bude meziresortní připomínkové řízení, kde budou mít dotčené subjekty možnost se vyjádřit k podobě těchto vyhlášek a nařízení vlády formou připomínek,“ uvádí úřad.
Právě vyhlášky a soustředění povinností do nich namísto do samotného zákona byly předmětem často se opakujících připomínek už v první fázi přípravy nové legislativy. Připomeňme, že NÚKIB spustil veřejnou konzultaci k obecným tezím nových pravidel v lednu 2023, tedy necelý měsíc po zveřejnění finální podoby směrnice NIS2 v Úředním věstníku. Posbíral v ní připomínky, ale do návrhu paragrafované podoby je nepromítl, ani je v této fázi dostatečně nevypořádal, za což sklidil kritiku v následné fázi, v meziresortu.
V něm si řada připomínkových míst otevřeně stěžovala na to, že jejich podněty zůstaly bez reakce a jejich nespokojenost s návrhem přetrvává. Toto představení konkrétních paragrafů NÚKIB zahájil o pět měsíců později, musel ho o týden prodlužovat a nakonec v něm nasbíral přes 800 připomínek, které následně vypořádal.
Jako prozíravou až vizionářskou lze v tomto kontextu hodnotit připomínku Českého telekomunikačního úřadu, který už před dvěma lety navrhoval omezit prověřování dodavatelského řetězce pro strategicky významné služby až od úrovně kritická. Je to totožná úprava, nad kterou byla nakonec dosažena shoda v garančním Výboru pro bezpečnost.
Proti ukládání povinností doprovodnými vyhláškami, pro které ale „navrhovaný zákon neobsahuje dostatečný základ a meze, v jejichž rámci by mohly být předpokládané vyhlášky úřadem vydávány“, se postavila už Legislativní rada vlády (LRV). Na totéž si stěžovala i Hospodářská komora, Notářská komora, Ministerstvo financí a asociace živnostníků. Vadila jim úprava zásadních aspektů a povinností, jako je stanovení podmínek významnosti poskytovatelů regulovaných služeb nebo nepominutelných funkcí strategicky významných služeb, pouze v prováděcích předpisech, nikoliv v zákoně samém.
Poté, co tehdejší předseda LRV Michal Šalomoun svým doporučujícím stanoviskem smetl ze stolu předchozí výhrady pléna LRV, veřejná diskuse o zákonnosti tohoto postupu utichla. Dá se však čekat, že se do hry v rámci nadcházejících připomínek znovu vrátí. Avšak s tím rozdílem, že tentokrát o nich a jejich opodstatněnosti už nebudou rozhodovat zákonodárci, ale sám NÚKIB. Za situace, kdy samotný zákon má to nejhorší na své legislativní pouti už za sebou, lze snadno domyslet, jak s iniciativou tímto směrem brněnský regulátor naloží
Celkově však lze výslednou podobu kyberbezpečnostních pravidel považovat za vyváženou. Nedá se mluvit ani o vítězství lobbistů, ale ani o výhře NÚKIBu. Prvním zmíněným se nezdařilo odvrátit zavedení mechanismu bezpečnosti dodavatelského řetězce. Stát tak bude moci mluvit do toho, jaké dodavatele si operátoři vpouští do svých sítí. Dosáhli však toho, že tato zásadní rozhodnutí ovlivňující miliardový byznys budou kolektivně přijímat ministři, a nikoliv nikým nevolení úředníci v Brně.
Také NÚKIB musel ze svých původních nároků celkem citelně ustoupit. Přesto má nakročeno k tomu získat funkční zákon, v podobě dalece nad rámec nezbytného minima podle směrnice NIS2.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
