O zákonu o kybernetické bezpečnosti bude rozhodovat vláda. Po dvou měsících, co její poradní orgán, tedy Legislativní rada vlády (LRV), projednávání přerušila a návrh s celou řadou připomínek vrátila k přepracování, materiál minulý týden napodruhé uspěl a souhlasné stanovisko získalo podpis předsedy LRV Michala Šalomouna.
Předseda Legislativní rady vlády vydal pozitivní stanovisko k návrhu zákona o kybernetické bezpečnosti, který implementuje #NIS2. Vládě již nic nebrání návrh projednat. pic.twitter.com/Gq1AxbEkIA
— Jaromír Novák (@xmireknovak) June 13, 2024
Dopady regulace: nehodnoceno
A to i přesto, že v celé řadě ohledů předpis nesplňuje nároky, které vládní legislativci od Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) požadovali. Například zcela chybí dopracovaná zpráva o hodnocení dopadů regulace (RIA). Ta v nové verzi NÚKIBem předložena nebyla a v doplněné důvodové zprávě zůstává stejně fragmentární jako ve verzi dřívější. Porovnání verzí ukazuje, že kromě opravy pojmosloví, kdy z veřejného pořádku je vnitřní pořádek a z orgánů a osob jsou subjekty, se v obecné části důvodové zprávy nezměnilo téměř nic.
Přitom jestli bylo odmítavé stanovisko LRV v něčem opravdu až nebývale kritické vůči kyberbezpečnostnímu návrhu, pak to byla právě závěrečná zpráva RIA. Připomeňme, že vládní legislativci k ní do stanoviska napsali, že je „zpracována nedostatečným způsobem a obsahuje značné nedostatky, zejména pokud jde o nedostatečné odůvodnění výběru varianty řešení nové legislativy, ale i o vymezení a hodnocení dopadů, které návrh zákona o kybernetické bezpečnosti provází, a proto je třeba ji zásadně doplnit a upravit v intencích připomínek“.
LRV v dubnu doporučila NÚKIBu se v rámci hodnocení dopadů regulace zaměřit na zdůvodnění návrhu mechanismu bezpečnosti dodavatelského řetězce, především v porovnání s ostatními podobnými „mechanismy“ v ostatních zemích EU. Doporučila rovněž v rámci nulových variant (pokud by se neudělalo vůbec nic, a zůstal by tedy zachován stávající stav) doplnit kvantifikaci rizik, například co se týče odhadů dopadů rizika realizace sankcí vůči zemím, které jsou v dodavatelském řetězci, a co by znamenaly škody způsobené absencí vstupů ze zemí pod sankcemi.
Nic z toho se do verze finálně předložené LRV na začátku června nedostalo. Podle informací Lupy z kuloárů i to byl jeden z důvodů, proč ani napodruhé nelze rozhodně mluvit o hladkém průběhu projednávání. Ačkoliv příprava nového pokusu zabrala předkladateli dlouhý čas, téměř dva měsíce, stále na něm jsou patrny stopy horké jehly, kterou byl šit. Pomineme-li úsměvy vyvolávající překlepy v důvodové zprávě, kdy z původního správného označení responzivního týmu CERT je v čerstvé verzi předložené před reparátem do LRV rázem ČERT (v odůvodnění § 42), a zmíněné absence „zásadního doplnění“ zprávy RIA, ďábelsky působí i věcné změny, které se do návrhu na poslední chvíli dostaly či z něj naopak ve vší tichosti zmizely a legislativní rada najednou neměla potřebu je více řešit.
To samozřejmě neznamená, že tu samou potřebu nepojmou zákonodárci v dalších fázích legislativního procesu, vždyť kyberzákon je stále na jeho samém počátku, když nekvalitní prací NÚKIB ztratil ještě před první metou přinejmenším čtyři měsíce. Počítáme-li, že LRV má na projednání 60 dnů, pokud by byl návrh sepsán dostatečně kvalitně, aby byl projednatelný hned napoprvé, už ve verzi předložené narychlo poslední pracovní den před loňskými Vánocemi, nejpozději na konci února ho mohla mít vláda na stole k rozhodnutí. Takto tu máme i na české poměry relativně dlouhé zpoždění, za které není zodpovědný nikdo jiný než regulátor.
Voleným či jmenovaným zástupcům veřejných institucí suspendace nehrozí
Dva příklady za všechny k narychlo provedeným změnám nalézáme v části věnované správnímu trestání. Směrnice NIS2 v čl. 32 odst. 5 požaduje zakotvit do národní legislativy opatření spočívající v možnosti uložit dočasný zákaz výkonu řídicí funkce v regulovaném subjektu v režimu přísnější regulace při nesplnění uloženého opatření. Má jít o zdůraznění odrazujícího účinku, resp. donucovací prostředek proti případné rebelii, kdy ani ukládaná nápravná opatření nepovedou k tomu, že povinný subjekt začne kybernetickou bezpečnost a jejího veřejného strážce brát dostatečně vážně.
V původní verzi zákona NÚKIB využil toho, že směrnice nabízí volbu mezi tím, jestli tento zákaz dále působit v topmanagementu vzpurných firem bude vydávat soud, nebo regulátor, a snažil se tuto povinnost přehrát na soudy. Jenže jak víme z příkladu Českého telekomunikačního úřadu, který se svého času také pokoušel novelou zákona o elektronických komunikacích přesunout rozhodování o nezaplacených fakturách do soudních budov, přetížená justice nemá ráda, když se jí na bedra nakládají nové povinnosti, na něž nemá ani lidi, ani peníze. Takže tento model logicky u LRV narazil. Legislativní rada do připomínek napsala, že nevidí důvod, proč by o těchto zákazech neměl rozhodovat sám úřad, a soudu ponechá pouze přezkumnou úlohu.
Brněnský regulátor tedy na sebe vzal tuto kompetenci, současně ji ale oproti svému původnímu návrhu zredukoval tak, že porušovat uložená opatření se nebude vyplácet jen někomu. Na obchodní korporace či družstva si NÚKIB troufá, na živnostníky nebo subjekty s volenou funkcí nikoliv. Tady je potřeba zdůraznit, že zatímco osob samostatně výdělečně činných spadajících do režimu essential napočítáme pár, pokud vůbec někoho, u veřejných institucí s volenými zástupci v jejich čele to až tak řídký jev nebude. NÚKIB však nechce riskovat, že by si to s někým z veřejného sektoru rozházel, proto do zákona přidal omezení, že zákaz nedopadne na veřejnou funkci vymezenou funkčním nebo časovým obdobím, obsazovanou na základě přímé či nepřímé volby nebo jmenováním. Typickými příklady takových funkcí jsou ministr, hejtman, starosta, předseda profesní komory, rektor či děkan fakulty veřejné nebo státní vysoké školy.
Namítnete-li, že u veřejných institucí není tak vysoká pravděpodobnost, že by se vzpíraly regulátorovi, stačí se podívat buď do tabulky vypořádání uplatněných připomínek k návrhu, s jakou vervou ministerstva bojovala i proti méně podstatným částem návrhu kyberbezpečnostního zákona, anebo na to, jak se úřady v minulosti postavily k povinnostem plynoucím z tzv. „digitální ústavy“. Připomeňme, že ani Ministerstvo pro místní rozvoj vedené vicepremiérem pro digitalizaci Ivanem Bartošem nevykázalo žádnou aktivitu, a tedy neprojevilo respekt k povinnostem uloženým zákonem vůbec žádný.
Je těžko představitelné, že by NÚKIB dostal do vínku pravomoc odvolávat nebo dočasně suspendovat ministry, ostatně takto by se kybernetický zákon rázem dostal do rozporu s Ústavou. U jiných institucí, typicky u šéfů dalších ústředních orgánů státní správy nebo představitelů vysokých škol, by této úpravě ústavní mantinely nebránily.
V kontrastu s tím, jak zdrženlivě regulátor přistoupil k pravidlům pro veřejný sektor, pak v původním návrhu působilo vyloučení většiny pojistek a změkčujících ustanovení zaručených správním řádem. NÚKIB například chtěl vyloučit ustanovení o upuštění od správního trestu, neboť „přestupky proti kybernetické bezpečnosti jsou natolik závažného charakteru, že pouhé projednání věci před Úřadem nemůže postačovat k nápravě nezákonného stavu nebo pachatele přestupku“.
Po zásahu LRV tato výluka zmizela, podobně jako ještě tvrdší ustanovení, které bylo v rozporu s principem zákazu reformationis in peius, tedy změny k horšímu v případě podání odporu proti příkazu se stanoveným trestem. NÚKIB si pravidla chtěl nalinkovat tak, že by v návazném řízení po podaném odporu mohl ukládat vyšší pokutu než v samotném příkazu. Ačkoliv mu to bylo vytýkáno už v připomínkách v meziresortním řízení, dál si vedl svou a problematický paragraf vyhodil až na základě podnětů od LRV.
I když na prostý lid musí být přísnost, vývoj kolem zákona o kybernetické bezpečnosti ukazuje, že ne vše, co si regulátor usmyslel, se mu také splní. A to ještě nejsme ve Sněmovně, kde se v rámci poslanecké iniciativy dá čekat teprve ten pořádný ohňostroj nápadů a vylepšení…
Chci odebírat newsletter
ČLÁNKY DO MAILU