Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) hraje v případě nového kybernetického zákona o čas. Jak trefně poznamenal v Krátkých vlnách Jaromír Novák, návrhy předpisů, které se do Sněmovny nedostanou do konce června, mají výrazně menší šanci vyjít ve Sbírce zákonů v tomto volebním období.
Nejen lobbisté operátorů to dobře vědí. Vědom si toho je i NÚKIB, a tak podobně, jako napnul síly na začátku roku k tomu, aby oběhal ministerstva, s nimiž měl na návrhu kyberbezpečnostního zákona rozpor, a otupil hrany natolik, že mohl do tabulky vypořádání připomínek žlutě podbarvené slůvko rozpor vymazat, využívá mocné přímluvce k tomu, aby nyní návrhu umetali ve vládě cestu. Podporu přitom nachází především u institucí z bezpečnostního prostředí, které budou z české cesty implementace směrnice NIS2 těžit.
Přečtěte si také:
Krátké vlny: Návrh kyberzákona před branami vlády. Stihnou jej projednat poslanci?
Z minulého dílu našeho seriálu víme, že doplněný návrh zákona teď má na stole Legislativní rada vlády (LRV). NÚKIB k této v pořadí už čtvrté verzi zákona sám iniciativně přiložil tabulku hlavních změn. V ní ale není zdaleka zachyceno vše podstatné, ostatně úřad sám v úvodním disclaimeru předesílá, že nebylo jeho cílem detailně porovnávat obě verze legislativních návrhů. První část změn jsme si detailněji představili v minulém díle, dnes to dokončíme.
Škrty i nové vpisky
Nebyl by to NÚKIB, aby si návrh neohnul k obrazu svému i v případech, kdy ten původní LRV nijak nevadil. Nalézáme tady proto doplněná a rozšířená ustanovení, která přitom předmětem připomínek a požadavků na změnu od vládních legislativců vůbec nebyla. Ale povětšinou se v materiálu hlavně škrtalo a přepisovalo do pro právníky srozumitelnějších a jednoznačnějších formulací.
Ale pěkně popořádku. Část, kde se hojně proškrtávalo, se týká povinností poskytovatele regulované služby. Paragraf 12 (nově přečíslovaný na § 11) byl příkladem toho, jak si úředníci bažící po vyplněných formulářích představovali, že detailně sešněrují postupy k jejich získávání. Po zásahu LRV však z původních šesti odstavců zbyly jen dva. Méně rozvláčně a více srozumitelně je teď popsána povinnost do 30 dnů od doručení rozhodnutí o registraci nahlásit NÚKIBu kontaktní údaje osob, které za subjekt mohou jednat, spolu s doplňujícími údaji o vlastnické struktuře, technických údajích týkajících se regulované služby a o jejím geografickém rozšíření. Povinná zastupitelnost tak už v návrhu explicitně řešená není a je na každém regulovaném subjektu, jak si organizačně zařídí, aby nárokům zákona vyhověl.
Do ustanovení o bezpečnostních opatřeních je nově přesunutá povinnost vybírat dodavatele s ohledem na požadavky plynoucí z bezpečnostních opatření a zahrnovat tyto požadavky do smluv. Jak jsme dříve upozorňovali, u hlášení kybernetických incidentů LRV doporučila z návrhu jako nadbytečná úplně vyškrtnout hlášení na dobrovolné bázi. NÚKIB se nakonec rozhodl ustanovení stylisticky poupravit, ale věcně zůstává možnost nepovinných hlášení zachována.
Jedním z příkladů toho, kdy po předkladateli nikdo nic nepožadoval, a regulátor stejně ustanovení upravil, se týká informování o incidentu s významným dopadem. V dřívějším znění měl NÚKIB možnost uložit rozhodnutím pouze povinnost informovat uživatele regulované služby o takovém incidentu. Nově si do zákona dává možnost uložit také zákaz informovat takové uživatele, pokud by to nebylo vhodné například s ohledem na bezpečnostní situaci nebo probíhající útočnou kampaň. Úřad přitom podle důvodové zprávy bude zvažovat „potřebu zachování rovnováhy mezi zájmem uživatelů regulované služby na informacích o hrozbách a incidentech a možným poškozením pověsti či obchodních zájmů poskytovatele regulované služby, který incident ohlašuje“.
Splnění protiopatření se až na výjimky hlásit nebude
Škrtalo se také v částech týkajících se protiopatření, tedy výstrahy, varování a reaktivního protiopatření. S výjimkou největšího kalibru ve škále dostupných prostředků, což je reaktivní opatření, už poskytovatelé služeb nemají povinnost hlásit NÚKIBu, že protiopatření provedli. V návrhu už také nenajdeme ustanovení, že nejměkčí protiopatření, tedy varování, má zohledňovat pouze poskytovatel služeb pod přísnější regulací. Nově bude regulátor v rámci vydání varování popisovat, jak na něj má reagovat nižší režim.
Z materiálu také zmizel kvaziopravný prostředek proti reaktivnímu opatření. To je vydávané formou opatření obecné povahy, proti kterému soudní řád správní zná pouze soudní přezkum, řízení o návrhu na zrušení tohoto opatření. Původně si však NÚKIB do návrhu začlenil jakousi formu nadstavbové autoremedury, tedy že by sám mohl zrušit nebo měnit takové opatření na základě uplatněných připomínek od těch, jež mohou být vydaným opatřením dotčeni. LRV navrhla tuto část vyškrtnout, čemuž NÚKIB vyhověl.
Naopak, co LRV vůbec nepřipomínkovala a NÚKIB se rozhodl to o své vůli zpřísnit, je ustanovení o předávání informací a dat původně vztažené pouze na významné dodavatele poskytovatelů v režimu vyšších povinností. Nově se bude týkat všech dodavatelů, nejen těch významných.
K okamžitému zákazu dodavatele bude třeba souhlas tří ministerstev
Třaskavým tématem zejména pro mobilní operátory je mechanismus prověřování bezpečnosti dodavatelského řetězce. Nově je doplněno, že se NÚKIB zajímá jen o dodavatele poskytovatelů strategicky významných služeb. Co je však mnohem důležitější, NÚKIB bude v případě, že bude chtít uložit zákaz využití plnění od určitého dodavatele s účinnosti kratší, než dojde k odpisu takové dodávky, povinen svůj postup konzultovat s ministerstvy průmyslu a obchodu, zahraničních věcí a vnitra a jejich stanovisky se bude muset řídit. V případě, že by opatření obecné povahy přihlíželo k daňovým odpisům, tedy operátorům dávalo čas už zakoupené zařízení užívat do té doby, než ho budou moci odepsat z daní, pak takový záměr jen projednává s Ministerstvem financí, případně s Českým telekomunikačním úřadem nebo Energetickým regulačním úřadem. A informuje o něm Bezpečnostní radu státu. Nicméně stanoviska žádného z nich explicitně zohledňovat v rozhodnutí nemusí.
Předkladatel dále vyhověl námitce LRV v části týkající se možnosti vyvázat se ze smluvního závazku s dodavatelem ve chvíli, kdy bude regulační opatření vydáno. Vládní legislativci upozornili na to, že existují i jiné a mnohdy mnohem vhodnější způsoby ukončení smluv než jen jejich výpověď. A NÚKIB tento poznatek zohlednil, když doplnil, že závazek ze smlouvy lze ukončit i podle jiných právních předpisů.
Zpřehlednění, zpřesnění a doplnění se dočkala také část věnovaná zajištění dostupnosti strategicky významné služby. Na poskytovatele takové služby s využitím zdrojů ze zahraničí nově dopadne povinnost pořizovat záznam o stanovení času a kvality služby. Stanovený čas je dobou, za kterou je poskytovatel schopen přejít na řešení zajišťující dostupnost služby z České republiky. To má význam v okamžiku, kdy taková služba bude poskytována například z cloudu umístěného v cizině. Pak je potřeba znát dobu, za kterou lze přepnout na náhradní řešení a obnovit dodávky. NÚKIB připouští, že i kvalita tohoto náhradního řešení může být dočasně nižší, a dává prostor poskytovateli služby, aby si ji sám auditovatelným způsobem stanovil.
U povinností vztahujících se k doménovým registrátorům NÚKIB pouze formulačně upřesňoval, že se nejedná o jména domén, ale doménová jména. Doplnil také, že citlivé informace vedené ve svých evidencích s potenciálem ohrozit zajišťování kybernetické bezpečnosti nezpřístupní ani podle zákona o svobodném přístupu k informacím, ani podle zákona o právu na informace o životním prostředí.
Problematice vyhlašování stavu kybernetického nebezpečí jsme se v dřívějším díle věnovali. Byl to jeden z příkladů mocenského apetitu brněnského regulátora, který sám vyloučil působnost správního řádu z rozhodnutí vydávaných za takového stavu. Nic takového už v novém návrhu nenajdeme. NÚKIB dále vyhověl připomínce LRV, že původně koncipované kompetence ředitele regulátora jsou přespříliš široké a právo vyhlašovat stav kybernetického nebezpečí by tak mělo příslušet alespoň celé vládě. Ustanovení nicméně přepsal tak, že nově tento stav vyhlašuje ne ředitel, ale úřad a vládu o tom bezodkladně informuje.
Konečně i přestupky byly rozčleněny do tří paragrafů pro větší přehlednost. Samostatně tak jsou popisovány přestupky poskytovatelů regulovaných služeb, přestupky dalších osob v oblasti kyberbezpečnosti a specifické přestupky na úseku certifikace kybernetické bezpečnosti. Nově také na pokyn LRV byla přímo NÚKIBu dána pravomoc rozhodovat o pozastavení výkonu řídicí funkce členovi statutárního orgánu. Jde pouze o subjekty v režimu vyšších povinností a nesmí se jednat o veřejnou funkci obsazovanou na základě volby nebo jmenováním. Původně o tomto zákazu měly rozhodovat soudy.
Chci odebírat newsletter
