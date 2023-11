Připravovaný kybernetický zákon už příští rok vtáhne pod svou působnost zhruba šest tisíc nových subjektů. Na ně se začne vztahovat regulace vyžadovaná Evropskou směrnicí NIS2.

V Národním úřadu pro kybernetickou a informační bezpečnost (NÚKIB) má zákon o kybernetické bezpečnosti na starosti Adam Kučínský, se kterým jsme v rozhovoru rozebrali nejen detaily týkající se připravované legislativy, ale i praktické rady, s čím začít a jak novým požadavkům nejlépe vyhovět.

Část rozhovoru jsme přepsali do textu, celý si jej můžete poslechnout ve formě podcastu na službách, jako jsou Google Podcast, Apple Podcast, Spotify, nebo přímo zde:

Jsme stále ve fázi vypořádání připomínek. To znamená, že mezirezortní připomínkové řízení je uzavřeno a v tuto chvíli se vypořádávají připomínky a postupně ubývají. Rozpory se nám daří odstraňovat, pokud budu počítat ty nejpodstatnější, bude jich zhruba do deseti. Návrh zákona pak bude pokračovat na Legislativní radu vlády.

Dá se čekat, že tam už půjde zákon bez rozporů?

Snažím se o to, hlavně vysvětlováním. Řada rozporů pramení z nějakého nepochopení. Udělali jsme i řadu úprav, které teď nejsou navenek vidět, protože budou veřejné, až zákon odešleme do té legislativní rady vlády. Ale subjekty, které připomínky uplatnily, ty změny vidí. Já osobně nečekám, že se nám úplně všechny rozpory podaří odstranit. Na druhou stranu legislativní proces zná mechanismy, jak to řešit.

Uvidíme vypořádání připomínek v eKlepu, konečnou finální tabulku, jak se vám podařilo vyhladit třecí plochy?

Uvidíte. Zveřejníme to i na našem webu nis2.nukib.cz. I dále to chceme vést transparentně a určitě všechny materiály zveřejníme.





A časově, jak to vidíte s návrhem dál?

Mělo by to být v několika dnech nebo málo týdnech.

Takže do konce listopadu bude zákon na Legislativní radě?

Ano.

A co bude potom dál?

Legislativní rada má 60 dní na to, aby návrh prostudovala a vyjádřila se k němu. Může nám dát stanovisko, může mít připomínky a my ty připomínky budeme muset vypořádat. To znamená, že pokud ten zákon půjde na legislativní radu v listopadu, tak v lednu by měl pokračovat dál do vlády.

Stíhá se to všechno tak, aby ve Sbírce zákonů vyšel nejpozději příští rok v říjnu? Je říjen 2024 reálný termín?

Zatím stále reálný je a my děláme vše pro to, abychom to stihli. Ten termín jsme si nevymysleli. Stanovuje nám ho směrnice NIS2. Reálné to je.

Co by se muselo stát, aby se zákon přijmout nestihl?

Tak velkou neznámou je vždycky u každého zákona Sněmovna, kde se to může zadrhnout. Záleží, jakou to bude mít i prioritu. Tam může dojít k nějakým komplikacím, může se to tam zbrzdit. Ale to my jako úřad neovlivníme.

Čekáte poslaneckou kreativitu v rámci pozměňovacích návrhů ve Sněmovně?

Doufám, že k ní nedojde. Na druhou stranu je to jejich právo. S poslaneckými pozměňovacími návrhy nemám historicky úplně ideální zkušenost, protože standardně na to je málo času, není to dostatečně promyšlené. Kybernetický zákon nebo celý ten ekosystém je poměrně složitý a komplexní, je to vzájemně provázané. Pokud se dělají nějaké úpravy bez velmi detailní znalosti těch vazeb, může to být na škodu. Tímhle trochu trpěl i stávající zákon, kam přibyly také pozměňovací návrhy. A jak se ukázalo později, úplně to nefungovalo a mně dalo poměrně dost práce vymyslet procesy tak, aby to dávalo smysl.

Je vůbec potřeba mít nový kybernetický zákon? Nestačila by novela toho stávajícího?

Technicky by ta novela udělat šla, samozřejmě, ale nebylo by to pro adresáty úplně přehledné. Protože by tam vznikaly takové ty paragrafy aa, bb, cc. Současná struktura zákona neodpovídá té nové. I proto, že původní zákon prošel sedmi novelami, některé byly dílčí, některé větší a pak už ten text přestává být konzistentní, špatně se to čte.

Zákon měl nelehké připomínkové řízení a z řady míst se vám sešla pěkná dávka připomínek. Můžete zhodnotit, nebo nějak zkategorizovat, jakým jste vyhověli a jakým typům připomínek naopak ustoupit nehodláte? A budete ten zákon ještě upravovat?

Oproti verzi, kterou dnes může veřejnost vidět v eKlepu, už řada změn proběhla. Jednak se upravoval text zákona, jednak důvodové zprávy. Takže finální text veřejnost uvidí, jakmile to odešleme do legislativní rady vlády. Co se týká připomínek, může to být trochu zavádějící, protože řada z nich se opakuje. Opticky to pak vypadá, že těch připomínek je obrovské množství. Neříkám, že by jich nebylo málo, ale opakují se. Buď jsou stejné, nebo směřují ke stejné věci. Kdybych to měl zhodnotit, nejvíc připomínek směřovalo k tomu, že není dostatečně vyřešené zmocnění, že hodně věcí je až ve vyhláškách. To se upravilo, máme za to, že nyní už je to v pořádku. O i ten stávající zákon ve stejném gardu funguje, nikdo to nežaloval a prošlo to. My vlastně uvidíme, jak se k tomu postaví legislativní rada. Ze strany úřadu vlády ale tyto připomínky nepřetrvávají.

Tam šlo o to, že některé ty povinnosti byly ukládány vyhláškou, a nikoliv zákonem, ne?

Já bych to tak neřekl, protože samozřejmě vyhláška nemůže ukládat povinnosti. To by nebylo v souladu s pravidly ani s Ústavou a na to se soudy zaměřují. Ale bylo nám vytýkáno, že to není dostatečné. My jsme to doplnili, upravili, rozepsali. Něco se přesunulo z vyhlášek od zákona a vyhlášky se také upravovaly.

Kdybych šel na další velkou skupinu připomínek, tak to je mechanizmus bezpečnosti dodavatelského řetězce. Ten, kdo se tomu věnuje nějakým způsobem, tak to ví.

Proč vzbudil takové velké kontroverze?

Do značné míry je to nepochopení toho, jak funguje rozhodování státu. Je to správní řízení, hodně sešněrované různými procesními požadavky. A nemusí tomu každý rozumět. Pokud bych šel po povrchu a vzal tu nejvíc wow informaci, vyplyne z toho, že stát bude zakazovat dodavatele. A to budí velké kontroverze. Ale musíme se o tom bavit hlouběji. Stát chce mít právo zakazovat do určité míry nebo v určitém segmentu velmi kritických služeb určité dodavatele, ale za přesných podmínek. Ten případný zákaz musí argumentačně obstát. Musí být odůvodněný, jinak ho soud zruší. A to by pro Českou republiku byl problém, protože pak může docházet k reparacím, náhradám škody, žalobám.

Ministerstvo dopravy vám v jedné z těch připomínek namítalo, že pokud bude platit zákon o kybernetické bezpečnosti v té podobě, jak byl předložen k veřejné konzultaci, pak by to mohlo ohrozit některé veřejné zakázky, třeba na telematiku, na různé systémy na dálnicích, nebo je prodražit. Že nebudou pro stát výhodné. Co na to říkáte?

To je otázka, co je pro stát výhodné. Myslím, že pro stát je výhodné, když to bude bezpečné. Takže ano, bezpečnost něco stojí. To je neoddiskutovatelné. Prostě to něco stojí, protože je s tím víc práce a podobně. Je otázka, v jakém segmentu to sledujeme. Zakázky mohou být pracnější, protože se tam musí dělat nějaká analýza rizik, s ní se musí vybírat nějaká omezení a podobně. Na druhou stranu mělo by pak být zaručeno, že ta služba bude bezpečnější a v kritických odvětvích bychom právě k tomu měli směřovat. Asi nechceme, aby kritické služby, jako je stavění vlakových cest, které zajišťují, že se ty vlaky někde nepotkají, běžely na nějakém nebezpečném nebo nedostatečně zabezpečeném zařízení. Stejně tak třeba distribuce elektřiny.

Když se podíváme na ty nově regulované subjekty, váš odhad je, že by se to mělo týkat asi 6 tisíc firem a institucí. Máte od nich už teď zpětnou vazbu? Chodí vám třeba dotazy, jak se mají připravit, kdy s přípravami začít, co to bude obnášet, co to bude stát?

Dotazy samozřejmě chodí. Snažíme se hodně investovat do osvěty. Chodíme na různé konference, plánujeme pořádání seminářů, abychom ta odvětví informovali. Spolupracujeme s řadou oborových organizací, různých svazů a komor. I předtím, než návrh zákona byl na začátku roku zveřejněn, jsme obešli na 28 různých oborových sdružení, organizací, komor a svazů. Udělali jsme jim přednášku, co je čeká, jak to chápat, že jsou tam nějaké možnosti, jak se té regulaci přizpůsobit, aby jim to vyhovovalo. A dotazy samozřejmě chodí a řešíme je. V zásadě není týden, kdyby mi nepřišlo několik dotazů na to, zda naše organizace do té regulace spadne, nebo nespadne.

A jak je na tom s přípravou sám NÚKIB? Zvládne zkontrolovat takové množství nově regulovaných subjektů?

To je velká výzva, nebudeme nijak zastírat, že NÚKIB je nějak dimenzován a je potřeba si přiznat, že naším úkolem není jen kybernetická bezpečnost ve smyslu zákona a bezpečnostních opatření. Vedle toho je tu velká agenda ochrany utajovaných informačních systémů, měření kompromitujícího záření, satelitních služeb. O kybernetické bezpečnosti je hodně slyšet a vždycky to tak bylo, ale NÚKIB neřeší jen to. Ze 300 lidí, které NÚKIB má, se kyberbezpečnosti věnuje do stovky lidí, včetně kontroly, regulace, vládního CERTu. Máme i jiné povinnosti. NÚKIB se na to připravuje, cesta, jak to zvládnout, je v maximální možné automatizaci. Vytváříme na to informační systém, kterému říkáme portál. Tvoří se na základech už existující služby nazvané neveřejný web, která je určená právě pro už regulované povinné subjekty, kde mají přístup k určitým informacím, mohou přes to s námi komunikovat a podobně. Tyhle služby budeme otvírat pro skupinu těch nově regulovaných povinných osob. Přes to by měla jít veškerá hlášení, komunikace s úřadem, subjekty tam budou mít přístup k historii, aby věděly, co nám hlásily v minulosti, pokud se u nich obmění personál a podobně. To je jedna z velkých oblastí, na kterou se soustředíme.

Zpřístupníte ho s předstihem, aby se na to mohly firmy připravit a přizpůsobit své informační systémy pro automatizované hlášení?

Pro regulované subjekty chceme spustit nějakou beta verzi do konce roku. Aby mohly nyní regulované subjekty incidenty nebo změnu kontaktních údajů hlásit tímto způsobem. Tím se to vlastně i otestuje. Vyladí se tím nějaká uživatelská přívětivost, protože to je klíčové u těch systémů.

V podcastu se dále od Adama Kučínského dozvíte, jak budou u tisíců nových subjektů pod regulací probíhat kontroly, s čím v přípravách na nový kyberzákon začít a proč je pod tuzemskou regulaci zahrnuta justice a státní zastupitelství, když směrnice NIS2 výslovně tyto instituce ze své působnosti vylučuje.