Nový zákon o kybernetické bezpečnosti tvrdě narazil už u Legislativní rady vlády (LRV). Tento poradní orgán ministrů na sklonku minulého týdne rozhodl, že zákon zatím nepustí na vládu a „s ohledem na množství a charakter připomínek“ projednávání přerušil a vrátil Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) k přepracování.
NÚKIB bleskově na sociálních sítích přispěchal s prohlášením, že „jde o přirozenou součást legislativního procesu“ a že se „nejedná o nic výjimečného, s čím bychom nepočítali“.
Pravdou však je, že toto rozhodnutí citelně zbrzdí už tak zpožděné projednávání zákona a odhady regulátora zveřejněné na jeho webu, že nová pravidla by mohla začít platit ještě letos, tím reálně berou za své.
Nedostatků je přespříliš, přepracovat!
Redakce má k dispozici stanovisko LRV, včetně přílohy s vyznačenými pasážemi, které vládní legislativci požadují přepsat. Až na pět výjimek prakticky všech 74 paragrafů má vyžlucené části k úpravám. Vládní právníci materiálu vyčítají už to, že je s právem Evropské unie slučitelný jen částečně. Ačkoliv by se mělo jednat o transpozici směrnice NIS2, návrh „upravuje záležitosti služeb informační společnosti nad rámec harmonizované sféry ve směrnici NIS2“.
Právníci LRV jsou si přitom vědomi toho, že sama NIS2 má celou řadu nedostatků a způsobuje výkladové problémy. Členské státy snažící se o transpozici směrnice proto musejí interpretační vodítka ladit s Evropskou komisí, což nutně vyžaduje čas. A ten se všem krátí. Transpoziční lhůta totiž uplyne už 17. října a i podle LRV je zjevné, že se ji nepodaří dodržet. „Bylo by proto vhodné na unijní úrovni iniciovat posunutí transpoziční lhůty a přípravu novely směrnice NIS2, která by nedostatky odstranila,“ navrhují vládní legislativci ve stanovisku.
Nelíbí se jim však to, že se iniciativy chopil NÚKIB a snaží se nedostatky unijní úpravy překlenout vnitrostátním zákonem. „Tento přístup k transpozici směrnic je v obecné rovině problematický. K výkladovým nejasnostem návrhu přispívá i užití terminologie, která je v řadě případů odlišná od terminologie užívané směrnicí NIS2,“ přisadili si. Podle LRV navíc navrhovaná úprava jde nad rámec minimální harmonizace stanovené NIS2, „což vyvolává pochybnosti o přípustnosti odchýlení se od unijní úpravy“.
Jestliže jsme v jednom z předešlých dílů citovali ředitele NÚKIBu Lukáše Kintra, podle něhož transpozici mají dosud hotovou pouze dvě země, Maďarsko a Chorvatsko, a to jen díky tomu, že NIS2 v podstatě jen přeložily, naznačené uvažování vládních právníků ukazuje, že takový přístup rozhodně není od věci.
Povinnosti ukládané vyhláškami, a ne zákonem
V dalších částech však LRV přitvrzuje a přidává se tím na stranu kritiků, kteří už v připomínkovém řízení na některé nedostatky kyberzákona neúspěšně upozorňovali. NÚKIB jejich návrhy zapracovat odmítl a teď se mu to vrací. Hospodářská komora, Ministerstvo financí, Asociace malých a středních podniků a živnostníků a Notářská komora jednotně poukazovali na to, že povinnosti mají být ukládány přímo zákonem, a ne až doprovodnými vyhláškami.
Jedním z hlavních důvodů, proč LRV projednávání přerušuje a zákon vrací (a nepožaduje jen dílčí kosmetické úpravy), je, že „vymezení rozsahu věcné působnosti navrhovaného zákona je do značné míry postaveno na prováděcích předpisech, pro které ale navrhovaný zákon neobsahuje dostatečný základ a meze, v jejichž rámci by mohly být předpokládané vyhlášky úřadem vydávány“.
NÚKIBu tak nevyšla strategie, že si do zákona dá široké zmocnění k vydávání vyhlášek a regulaci bude řešit až v nich. Tyto prováděcí předpisy by si pak totiž mohl vydávat plně ve své režii a bez předcházejícího připomínkového řízení nebo posvěcení od kohokoliv dalšího. „Podrobnější provedení jednotlivých zákonných povinností lze bezpochyby stanovit prováděcím právním předpisem, nicméně předkladatel v rámci návrhu zákona neformuloval tato ustanovení legislativně technicky vyhovujícím způsobem,“ zdůvodňují právníci, proč i v těchto částech bude muset NÚKIB navržený kyberzákon přepsat.
Zákazy ať projednává vláda
Zcela zásadní výhrady ale má LRV vůči mechanismu bezpečnosti dodavatelského řetězce. Ostatně i tato námitka loni zaznívala prakticky ze všech připomínkových míst a i tady se NÚKIB rozhodl neustoupit ani o píď. Vládním právníkům nevadí ani tolik to, že zákon úpravu umožňující zakazovat cizí dodavatele obsahuje, jako to, že by o ní měl rozhodovat pouze brněnský regulátor. „Vzhledem k tomu, že celá řada opatření, která mohou být úřadem přijímána, mohou mít významný dopad na ekonomiku České republiky, jeví se jako vhodnější model, aby tato opatření po vzoru zákona o prověřování zahraničních investic projednávala též vláda,“ nalinkovala LRV, jak má tento regulační nástroj vypadat.
Konečně určité satisfakce se dočkali i ti, kteří v připomínkách marně poukazovali na to, že si autor zákona nedal příliš práce s hodnocením dopadů regulace (zprávou RIA). LRV konstatuje, že je zpracována „nedostatečným způsobem a obsahuje značné nedostatky, zejména pokud jde o nedostatečné odůvodnění výběru varianty řešení nové legislativy, ale i o vymezení a hodnocení dopadů, které návrh zákona o kybernetické bezpečnosti provází, a proto je třeba ji zásadně doplnit a upravit.“
Legislativní rada doporučuje se detailně zaměřit například na hodnocení dopadu na povinné subjekty, a to i toho finančního s rozdělením na režim vyšších a nižších povinností. Dále vyžaduje detailnější zdůvodnění návrhu mechanismu dodavatelského řetězce, a především porovnání s ostatními podobnými úpravami v ostatních zemích Sedmadvacítky. NÚKIB bude také muset lépe a detailněji rozpracovat dopady na jednotlivé regulací zasažené subjekty, a to i s ohledem na sociální dopady v případě, že by se náklady na kyberbezpečnost měly promítnout do zvýšených cen energií u sociálně citlivých komodit, jako jsou energie, telekomunikace nebo potraviny.
Úkol si NÚKIB odnáší i s dopracováním nulových variant, tedy v případě zachování současného stavu. LRV si přeje vědět, co by to konkrétně znamenalo, pokud by se nezměnilo vůbec nic a přetrvával by současný stav. Využít se k tomu dají například odhady dopadů rizika realizace sankcí vůči zemím, které jsou v dodavatelském řetězci, a co by znamenaly škody způsobené absencí vstupů ze zemí pod sankcemi.
Požadavků na úpravy je tolik, že už z podstaty věci nelze čekat, že by se s nimi NÚKIB zvládl popasovat v následujících dnech či týdnech. Bude tak dostatek času si konkrétní návrhy změn jednotlivých paragrafů, které vládní legislativci požadují přepsat, podrobně představit.
Chci odebírat newsletter
ČLÁNKY DO MAILU