Nový zákon o kybernetické bezpečnosti nejspíš v parlamentu vyvolá tuhé boje

Projednávání návrhu nového zákona o kybernetické bezpečnosti (nZKB) vstupuje do další fáze. Dne 17. července 2024 vláda ČR usnesením návrh schválila a následující týden (25. 7. 2024) jej předložila Poslanecké sněmovně – zde je návrh nZKB veden jako sněmovní tisk č. 759 a čeká na své další projednání.

Nový zákon o kybernetické bezpečnosti z dílny Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) má do českého právního řádu primárně transponovat unijní směrnici NIS2, ale současně má za cíl nad rámec směrnice zavést i takzvaný mechanismus posuzování bezpečnosti dodavatelského řetězce (dále jen mechanismus) – instrument sloužící k prověřování a omezování rizik spojených s dodavateli.

nZKB bude v návaznosti na směrnici NIS2 regulovat nově minimálně 6000 subjektů poskytujících regulované služby stanovené vyhláškou, spadajících do režimu vyšších či nižších povinností (oproti dosavadním cca 400). Primárně se má regulace týkat středních a větších podniků, ale může zasáhnout i malé a mikro podniky ve vybraných oblastech.

Na všechny povinné subjekty tak dopadnou povinnosti spočívající například v hlášení údajů a kybernetických bezpečnostních incidentů, stanovení rozsahu řízení kybernetické bezpečnosti, zavádění bezpečnostních opatření, plnění informační povinnosti vůči odběratelům služby či provádění protiopatření. 

Vybrané subjekty v režimu vyšších povinností pak budou muset mimo jiné například reflektovat i povinnosti spojené se zajištěním dostupnosti strategicky významné služby nebo mechanismem prověřování bezpečnosti dodavatelského řetězce. Lze tak očekávat, že připravovaná regulace bude představovat nezanedbatelnou administrativní i finanční zátěž na straně povinných osob.

Návrh nZKB byl již od okamžiku jeho prvotního zveřejnění opakovaně vystaven řadě připomínek ze strany soukromého i veřejného sektoru. Mezi nejvíce kritizované části nZKB patřil (a stále patří) již zmiňovaný mechanismus, ale též úprava zásadních aspektů a povinností (například stanovení podmínek významnosti poskytovatelů regulovaných služeb nebo nepominutelných funkcí strategicky významných služeb) ve vyhláškách NÚKIB, nikoli v zákoně samém. Kritiky se také pro svou úroveň zpracování dočkala zpráva o hodnocení dopadů regulace (RIA).

Aktuální verze nZKB doznala do určité míry změn (spíše formálního rázu) v návaznosti na připomínky předsedy Legislativní rady vlády (LRV), v nejvíce sporných oblastech však na uplatněné připomínky reflektuje jen velmi sporadicky.

Jaké zásadní změny tedy návrh nového zákona o kybernetické bezpečnosti po projednání vládou ČR doznal? Nejvýraznější úpravu znění nZKB lze najít v části věnované mechanismu prověřování bezpečnosti dodavatelského řetězce. Jak již bylo zmíněno výše, mechanismus je jednou z oblastí návrhu nZKB, proti níž se již od zveřejnění prvotních návrhů zákona zvedaly kritické hlasy, a to jak ze soukromého sektoru, tak i veřejného.

Mechanismus má sloužit k monitoringu, posuzování a případnému omezení či zákazu dodavatelů působících či plánujících působit v České republice, u kterých bude v důsledku vyhodnocení rizikovosti dodavatele zjištěno potenciální významné ohrožení bezpečnosti České republiky nebo vnitřního pořádku.

Centrální entitou při realizaci mechanismu má být NÚKIB, kterému jsou návrhem nZKB svěřeny rozsáhlé pravomoci – NÚKIB má sám prověřovat a omezovat či zakazovat plnění dodavatele formou opatření obecné povahy (OOP), přičemž pouze v nejzávažnějších případech bude do vydání OOP moci zasáhnout vláda.

Právě částečné zapojení vlády do procesu vydání OOP je nejvýraznější změnou v návrhu nZKB schváleném vládou ČR a je obsažena v § 29 nZKB – v ustanovení, které zakotvuje pravomoc NÚKIB omezit nebo zakázat využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, zjistí-li, že je plněním významně ohrožena bezpečnost České republiky nebo vnitřní pořádek.

Vláda má být nově do procesu vydání OOP zapojena v závažnějších případech, kdy lhůta pro dodržení zákazu plnění dodavatele bezpečnostně významné dodávky obsaženého v návrhu OOP je kratší než doba odpisování stanovená právním předpisem upravujícím zdanění příjmu, nebo kratší než 5 let – v takovém případě vláda NÚKIBu určí, jak má v případě daného OOP postupovat. 

Toto ustanovení v zásadě nahradilo předchozí znění, kde uvedené vydání OOP bylo podmíněno závazným stanoviskem Ministerstva průmyslu a obchodu, Ministerstva vnitra a Ministerstva zahraničních věcí. Je třeba poukázat na to, že zákonné ustanovení míří pouze na otázku zákazu plnění dodavatele, do otázky stanovení podmínek pro dodavatele tak vláda dle návrhu NÚKIB zřejmě zasahovat nemá.

Ve všech ostatních případech o vydání OOP rozhoduje výlučně NÚKIB – ten si může od vybraných státních úřadů a dalších subjektů dle jeho volby vyžádat informace, stanoviska či součinnost za účelem prověřování rizikovosti dodavatele. Vydání OOP NÚKIB projednává s vybranými ústředními správními úřady a případně též sektorovými regulátory (ČTÚ a ERÚ). Tyto konzultace a případná stanoviska z nich plynoucí však nemají závaznou formu.

Zapojení vlády do procesu rozhodování o omezení či zákazu dodavatele zcela odpovídá řadě standardních zahraničních přístupů, ale například i českému zákonu o prověřování zahraničních investic. Bohužel nikde v doprovodných materiálech k návrhu nZKB (ani ve zprávě o hodnocení dopadů regulace (RIA), ani důvodové zprávě k nZKB) nelze nalézt odpověď na to, proč má být vláda do procesu omezení plnění dodavatele zapojena pouze v omezeném rozsahu (pouze u zákazu plnění dodavatele v nejzávažnějších případech, viz. výše) a ne ve všech případech (obdobně jako u prověřování zahraničních investic či zahraničních úpravách omezování dodavatelů).

Vláda ČR přitom jednoznačně preferuje variantu, kdy o zákazu či omezení dodavatele rozhoduje právě ona, což výslovně uvádí i zpráva RIA (proto byla tato varianta též zvolena). Zpráva RIA k předmětné variantě mechanismu rovněž uvádí: „Navržená varianta přistupuje k problematice omezování dodavatelů jako k problematice, jež má být řešena na nejvyšší politické úrovni, neboť v sobě obsahuje řešení zásadních bezpečnostních otázek a zároveň možný významný zásah do soukromého vlastnictví. Rozhodnutí o omezení dodavatele je implicitně zatíženo značným korupčním rizikem, tudíž jako vhodné řešení se jeví právě zapojení kolektivního orgánu na nejvyšší politické úrovni.“

Omezováním dodavatelů (které může mít významné dopady do sféry soukromého vlastnictví) je jakékoliv stanovení podmínek či zákaz plnění dodavatele v jakékoliv stanovené lhůtě, nejen zákazy plnění v kratších lhůtách. Lze si tedy pokládat otázku, proč má být vláda dle návrhu nZKB do rozhodování zapojena v tak omezeném rozsahu? Na tuto otázku však bohužel nikde odpověď dána není, ač by měla být.

Pro úplnost je třeba říci, že NÚKIB nejenom prověřuje a omezuje či zakazuje plnění dodavatele, ale v jeho gesci je dle návrhu nZKB rovněž stanovení regulovaných služeb, podmínek významnosti regulovaných služeb i nepominutelných funkcí stanovené rozsahu, které jsou zásadní pro stanovení rozsahu dopadu regulace na dotčené subjekty, to vše prostřednictvím vyhlášky NÚKIB (v tomto směru nedoznal vládou ČR schválený návrh nZKB změn).

NÚKIB tak má ve svých rukou dle návrhu nZKB hromadit opravdu značný rozsah pravomocí, na čemž nic nemění ani částečné zapojení vlády ČR do procesu vydání OOP v určitých (závažných) případech, tím spíše, když NÚKIB v důvodové zprávě k § 29 nZKB sám předpokládá, že postup se zapojením vlády: „bude spíš ojedinělý a bude se tedy jednat o výjimečné případy.“

Vzhledem k tomu, že na dosavadní úpravy sporných oblastí v rámci návrhu nZKB lze pohlížet spíše jako na dílčí, dá se očekávat, že o finální znění nZKB bude v Parlamentu ještě sveden tuhý boj, který budeme nadále monitorovat.