Výhradám Legislativní rady vlády k novému zákonu o kybernetické bezpečnosti jsme se v předchozích dílech seriálu věnovali už dostatečně dlouho, proto toto téma na čas opustíme, alespoň do té doby, než Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) návrh a hlavně doprovodnou dokumentaci podle instrukcí vládních právníků přepracuje. Nyní jen na tomto brněnském úřadu záleží, jak dlouhé počáteční zpoždění na legislativní pouti zákonu o kyberbezpečnosti do vínku udělí.
Snad ale netřeba připomínat, že volební období stávající Sněmovny končí v říjnu příštího roku. Reálně pak ty zákony, které sněmovna za rok nestihne projednat do letních prázdnin, s vysokou pravděpodobností spadnou pod stůl. Není tedy času nazbyt, tím spíše, když podle představ Bruselu vtělených do směrnice NIS2 má být národní legislativa letos 17. října účinná.
To se určitě v českém, ale zřejmě ani ve slovenském případě nepodaří. Tam jsou totiž nyní ve fázi sběru podnětů, co by nový zákon měl upravovat a jak. Veřejnost stále může posílat své nápady. „Pokud vše půjde podle plánu, v květnu bychom měli mít konsolidované znění a možná už půjde i do meziresortního připomínkového řízení,“ reagoval na dotazy Lupy Peter Habara ze slovenského Národního bezpečnostního úřadu s tím, že veřejná podoba návrhu novely kyberbezpečnostního zákona k dispozici zatím není.
NIS2 velí ke zdrženlivosti
Dnes svou pozornost přesuneme od národní legislativy zase o patro výš. Vrátíme se ke směrnici NIS2 a k její přechůdkyni NIS bez číslovky z července 2016. Zaměříme se na jeden z detailů, který stojí za to připomenout, a to i v kontextu už několikrát dříve vzpomínaného mocenského apetitu NÚKIBu, za nějž je z mnoha stran kritizován. Ony zdánlivé drobnosti totiž pomáhají pochopit, jak to Evropská komise s regulací bezpečnosti v online prostředí ve skutečnosti zamýšlela, co jí k tomu vedlo a co tomu předcházelo. A hlavně, že jí nelze vždy klást za vinu výslednou podobu regulace v členských státech.
Jedním z řady důvodů, proč směrnice NIS2 zavedla dva různě přísné režimy regulace rozdělením subjektů na základní a důležité, byla potřeba s využitím principu proporcionality odlišovat mezi velkými korporacemi s dostatečnými prostředky na to, aby zvládly větší břemeno povinností, a malými podnikateli, kteří tyto možnosti nemají. Podnikají sice v oborech, kde je žádoucí a existuje pro to celospolečenská poptávka, aby zde byly dodržovány alespoň minimální standardy pro ochranu dat a zajištění provozu, ale současně není nutné je kvůli kyberbezpečnosti zavalit nadbytečnou administrativou, na kterou nemají ani lidi, ani prostředky.
NIS2 v tomto ohledu přímo mluví o úmyslu zajistit spravedlivou rovnováhu povinností těchto subjektů a povinností příslušných dohledových orgánů. V recitálech, které jsou výkladovým vodítkem pro interpretaci evropské normy, mimo jiné nalézáme, že „základní subjekty by měly podléhat komplexnímu režimu ex ante a ex post regulace, zatímco důležité subjekty by měly podléhat mírnějšímu režimu dohledu pouze ex post“. Znamená to, že zatímco u kriticky důležitých oblastí se státu dává možnost si průběžně ověřovat, že vše je tak, jak má být, u firem v mírnějším režimu by postup členských států měl být mnohem liberálnější.
Kontroly při incidentu nebo na udání
Výslovně se pak zde mluví o dalších úlevách, kdy tyto subjekty v režimu nižších povinností nemusejí „systematicky dokumentovat soulad s opatřeními k řízení bezpečnostních rizik“ a dohledové orgány mají ke kontrole přistupovat pouze reaktivně. „Dohled ex post nad důležitými subjekty může být zahájen na základě důkazů, indicií či informací, které byly příslušným orgánům oznámeny a o nichž mají tyto orgány za to, že nasvědčují možnému porušení této směrnice,“ uvádí NIS2.
Jinými slovy, v případě firem či institucí spadajících pod mírnější režim regulace Evropská komise volí zdrženlivý přístup. Vyžaduje sice respektování stanovených pravidel, ale s ingerencí ze strany státu a kontrolou dodržování regulí počítá až ve druhém kroku, kdy dojde na bezpečnostní incident nebo jinou závadnou událost. Naopak u subjektů, pro které je vyžadována vyšší přísnost, se regulátoři mají řídit přístupem založeným na řízení rizik.
NÚKIB v návrhu kyberzákona toto doporučení Evropské komise reflektuje jen do určité míry. Pro přísněji regulované subjekty vyžaduje splnění několika povinností navíc. Je to třeba zajištění dostupnosti regulované služby. Na druhou stranu omezení kontrol jen jako reaktivní nástroj u důležitých subjektů bychom zde hledali marně.
Odpověď na to, proč to tak je, nalezneme ve srovnání s předobrazem NIS2, s původní směrnicí NIS z roku 2016 (podle níž se dodnes řídí i náš stávající zákon o kybernetické bezpečnosti). Ta rozeznávala pouze jednu kategorii regulovaných subjektů, působících v sedmi různých odvětvích. Jde ve své podstatě až o kriticky důležité oblasti, kde jakékoliv narušení integrity dat nebo porušení dodávek dané služby nikdo z nás nechceme zažít. Například v odvětví energetika jde o dodávky elektřiny, plynu, ropy, dále pak o bankovnictví, dodávky pitné vody nebo zdravotnictví. Výpadek kterékoliv zde určené komodity nebo služby by pro dnešní civilizaci znamenal když ne úplnou katastrofu, tak alespoň velmi citelné obtíže.
NIS2 z těchto dříve definovaných základních služeb vychází. Přidává k nim 4 nová odvětví (vesmír, veřejná správa, odpadní voda a řízení služeb informačních a komunikačních technologií) a označuje je za vysoce kritická odvětví. V případě, kdy poskytovatelé těchto služeb pak přesáhnou strop pro podniky střední velikosti (ať už počtem zaměstnanců, nebo ročním obratem), hledí se na tyto firmy jako na základní, tedy přísněji regulované.
Vedle toho potom definuje 7 odvětví označených jako „další kritická odvětví“, mezi která patří poštovní a kurýrní služby, nakládání s odpady, zpracování potravin, digitální poskytovatelé nebo výzkum, kde postačuje režim mírnější. Pokud totiž dojde vinou kyberincidentu k výpadku v poskytování poštovních služeb, je to sice mrzuté, ale rozhodně ne tolik, jako když přestane fungovat podpora dýchání v nemocnicích. Navíc zrovna u tohoto příkladu v tuzemských podmínkách a při doručování jednou za tři dny málokdo rozezná, zda je služba ještě poskytována řádně, nebo už nastal výpadek…
Přinejmenším u subjektů v mírnějším režimu není NIS2 takovým strašákem, jak se mnohé konzultační firmy, které své školení ke kyberbezpečnosti nabízejí, snaží tvrdit. A i když návrh zákona jde (nejen v této otázce) dál, než NIS2 vyžaduje, při odhadovaném počtu 6000 pod regulaci nově spadnuvších firem nelze čekat, že se k nim v nějakém větším počtu bude regulátor ohlašovat na kontrolu. K tomu nemá ani kapacitu, ani povětšinou důvod.
Chci odebírat newsletter
