[Partnerský podcast] Poté, co se na podobě nového zákona o kybernetické bezpečnosti shodla Poslanecká sněmovna, je čas začít s přípravami na nové povinnosti. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v nejbližší době pošle do meziresortního připomínkového řízení návrh prováděcích vyhlášek a příchod ostré regulace tak lze očekávat ve druhé půli letošního roku.
Co to znamená pro tisíce nově regulovaných subjektů, jsme v podcastu Lupy probírali s advokátem Janem Tomíškem, partnerem advokátní kanceláře Rowan Legal. Rozhovor si můžete poslechnout na svých oblíbených podcastových službách nebo přímo zde:
Ve sněmovně strávil zákon na den přesně devět měsíců. Vzhledem k povaze materie, je to hodně nebo málo?
Myslím, že se nedá říct, jestli to je hodně nebo málo vzhledem k té materii. Materie je určitě závažná. Pro znalce legislativního procesu je zajímavý ten kontrast, jak dlouho tam návrh ležel a jak dlouho běželo pak samotné hlasování ve sněmovně. Protože pozměňovacích návrhů, o kterých se hlasovalo, vlastně nebylo mnoho. V porovnání s jinými složitými předpisy, jako je třeba stavební zákon, kde jsme měli desítky pozměňovacích návrhů, tady jich byly v podstatě jen jednotky.
Finální verze se prakticky shoduje s představou garančního výboru pro bezpečnost, co se přijatých pozměňovacích návrhů týče. Překvapilo vás, jak hladce návrh třetím čtením prošel?
Vlastně ne, protože je vidět, že kuloární diskuze dospěly k nějakému konsensu, ať už se na to díváme z pohledu jakéhokoliv subjektu. Takže pokud se na tom výbor takto shodl, bylo celkem jasné, že se k tomu přikloní i plénum Poslanecké sněmovny. Když se podíváme na schválené pozměňovací návrhy, mění jednotlivá slovíčka, věty, máme tam jeden změněný celý paragraf. V tom úzkém prostoru mají velký dopad, ale nejsou rozhodně masivní a není to přepsaný celý zákon.
Takže byste čekal, že těch zásahů bude více a že budou tedy zasahovat do toho zákona citelněji?
Přesně tak. Ukazuje se, že to je odborně složitá materie, do které se z politické roviny zasahuje složitě. A proto jsou zásahy jenom v principiálních otázkách, jako jak budeme řídit bezpečnost dodavatelského řetězce. Materiálních změn v tom, jak budou fungovat povinnosti, není úplně mnoho. Rozhodně to není obrat o 180 stupňů od základních principů.
Sněmovnu máme za sebou, vzhledem k tomu, že horní komora má na projednání pevné lhůty, nehrozí, že by takto dlouho, 9 měsíců, zůstal návrh v Senátu. Přesto je zde riziko, že se zákon nepodaří finálně schválit do konce června. Proto poslanci změnili původně fixně stanovenou účinnost od 1. července na variabilní, a to na začátek 3. měsíce po vyhlášení. Jaké varianty jsou teď ve hře? Co se může v další fázi legislativního procesu stát?
Jedna varianta je, že Senát zákon schválí, předá jej k podpisu prezidentovi a ten ho následně podepíše a bude publikován ve Sbírce. Při tomto scénáři odhaduji, že účinnost by mohla být k 1. říjnu. Reálně ale závisí na prováděcích předpisech. Bez prováděcí vyhlášky o regulovaných službách nám stejně žádná povinnost nenastoupí. Samozřejmě se může stát, že Senát návrh vrátí s pozměňovacím návrhem. Úplně si nemyslím, že by tam mělo přijít celkové senátní veto, protože je to transpoziční legislativa, kterou v nějaké formě prostě přijmout musíme. Tudíž neočekáváme ani prezidentské veto. Čistě teoreticky se může stát, že to Senát neprojedná v 30denní lhůtě a nezaujme k tomu žádné stanovisko. Pokud by se to vrátilo do Sněmovny, tam ten vývoj zase je složité předvídat, ale na druhou stranu, ve chvíli, kdy dolní komora dosáhla nějakého konsensu na úrovni výboru, pak tuto dohodu bude nějakým způsobem držet i proti případnému senátnímu pozměňovacímu návrhu.
Blíží se volby, hrozí, že by zákon v této fázi ještě mohl spadnout pod stůl, že by se v tomto volebním období ho nepodařilo finálně schválit?
Vyloučit se nedá nic. Pokud Senát vrátí zákon s pozměňovacím návrhem, může se stát, že Sněmovna už se k němu nedostane do voleb, aby přehlasovala senátní pozměňovací návrh nebo o něm vůbec hlasovala. Ať už z důvodu nenalezení shody, tak proto, že na to prostě nebude čas a nebude to ten prioritní návrh, který se ještě stihne v několika málo schůzích před volbami projednat.
Je to transpozice směrnice a dřív nebo později ta pravidla začnou platit. Pojďme si říct, koho se budou týkat.
Dopadnou na vyjmenovaná odvětví, která nejsou dramaticky odlišná od těch, která jsme měli už v současném zákoně. Ale některá tam nově přibývají. Může to být třeba odpadové hospodářství. Je to výrobní sektor ve velké míře. A další rozšíření je směrem k typům subjektů a obecně k jejich velikosti. Zatímco doteď jsme měli v podstatě podchycenu jenom takzvanou kritickou infrastrukturu a některé další služby významné v těch jednotlivých sektorech, a hodnotili jsme je podle dopadů možných kybernetických incidentů, teď se na to díváme ve světle směrnice NIS2 podle velikosti podniku. V podstatě každý střední nebo velký podnik ve vyjmenovaných odvětvích, který se věnuje nějaké citlivější činnosti, nám do té regulace spadne. Ten záběr je výrazně širší, proto se dostáváme k odhadu nějakých 6 až 10 tisíc povinných subjektů.
A je ten odhad střízlivý? Můžeme počítat s tím, že to bude těch nejvýše 10 tisíc firem a institucí?
Já si moc popravdě nedokážu představit, že by to mělo být více. Myslím si, že i těch 6 až 10 tisíc bude obrovská nálož pro NÚKIB z hlediska výkonu dozoru.
Je to vůbec reálné uhlídat 10 tisíc regulovaných subjektů?
Tak záleží, co si představujeme pod pojmem uhlídat. Pokud pravidelné kontroly u těchto subjektů, tak to samozřejmě reálné není. To bychom museli mít pro NÚKIB úplně jinou rozpočtovou kapitolu, než dneska máme. A myslím, že by to ani nedávalo žádný smysl. Čili u subjektů ve vyšším režimu to určitě budou pravidelné namátkové kontroly. U subjektů v nižším režimu si myslím, že to bude více reaktivní přístup, v reakci na hlášení incidentů, na nějaké podněty a podobně.
Když už máme vymezený okruh regulovaných subjektů, na co se v tuto chvíli mohou připravit? Jaký bude náběh nových povinností? Co je čeká?
Úplně první povinnost, která je čeká, je ohlášení toho, že vykonávají regulovanou službu. My už teď známe návrh vyhlášky o regulovaných službách z předchozích fází legislativního procesu, protože byl součástí návrhu prováděcích předpisů do sněmovny, takže dobře tušíme, jak ta vyhláška bude vypadat. A první povinností subjektu je vyhodnotit, zdali má být tím poskytovatelem regulované služby a ohlásit tuto skutečnost NÚKIBu. Je to poměrně jednoduché hlášení, v podstatě jenom řeknu, tady jsem, toto jsou mé identifikační údaje a tuto regulovanou službu budu poskytovat. Nemusím vlastně ani říkat skrze co, jaký informační systém nebo jakou konkrétní praktickou službu, jenom že to bude služba třeba v oblasti výroby elektřiny.
Může se stát, že špatně vyhodnotím, jestli ta služba má být regulovaná nebo ne. Dokáže si s tím NÚKIB poradit?
Úkolem NÚKIBu je zkontrolovat, jestli jste správně vyplnili formulář. Pokud je správně vyplněný, úřad na to bude reagovat registrací regulované služby a příslušného poskytovatele. Z důvodové zprávy k zákonu můžeme vyčíst, že to má být do značné míry automatizované. Uvidíme, jak to bude chodit v praxi, ale z pohledu úřadu ta kontrola bude v této fázi formální. V praxi se může stát, že si špatně vyhodnotím, že poskytuji regulovanou službu a ohlásím se nadbytečně. Těžko mi hrozí sankce za to, že jsem se dobrovolně přihlásil k výkonu nějakých povinností. NÚKIB registraci posléze může zrušit, když zjistí, že to byla chyba.
Z opačné strany se také může stát, že to vyhodnotím špatně a neohlásím se. Tam se automaticky vystavuju riziku přestupku, protože zákon musí být nastavený proti úmyslnému neohlášení se. Potenciální sankce je vysoká. Zároveň NÚKIB i v důvodové zprávě říká, pokud vyhodnotíte, že nejste poskytovatel regulované služby, udělejte o tom aspoň strohý záznam, jak jste na to přišli a proč. Pokud jste někde na hraně, abyste byli schopni v případě kontroly nebo následných kroků argumentovat, proč jste tak postupovali. A to podle mě bude případně rozhodovat v nějakém přestupkovém řízení, jestli ta pokuta bude spíše výchovná, že jste udělali odbornou chybu, nebo exemplární za to, že jste se záměrně vyhnuli nové regulaci.
Zákon počítá s tím, že celá řada věcí má být řešena formou prováděcích předpisů. Jak to s vyhláškami vypadá?
NÚKIB dlouhodobě říká, že je má připravené a že je dá do legislativního procesu ve chvíli, kdy proběhne třetí čtení v Parlamentu. Dá se čekat, že se v eKlepu objeví v horizontu týdnů. Pak proběhne meziresortní připomínkové řízení, legislativní rada vlády a míříme do Sbírky zákonů. Ambicí NÚKIBu je, aby předpisy vyšly ve Sbírce nejpozději v září, aby předpisy mohly být účinné současně se zákonem a byl tam prostor pro jejich adresáty se s nimi seznámit před účinností.
Zákon promítá do českého práva směrnici NIS 2. Jaká je teď role Evropské komise v tomto směru? Skončilo to pro ni zmíněnou směrnicí, nebo podniká něco dalšího?
Vůbec ne. My dokonce máme v určitém ohledu Evropskou komisi trochu napřed před námi, protože ona s ohledem na to, že transpoziční lhůta uplynula 17. října, vydala prováděcí nařízení, které stanovuje bezpečnostní opatření pro tzv. poskytovatele digitálních služeb. Když to hodně zjednoduším, jsou to poskytovatelé regulovaných služeb v odvětví digitální infrastruktura a budou to poskytovatelé řízených služeb. Což jsou v podstatě IT služby, správa řízených bezpečnostních služeb, cloudů, vyhledávače a podobné subjekty. Pro ně se nebude aplikovat naše vyhláška pro nížší či vyšší režim. Pro ně jsou ta bezpečnostní opatření a postupy pro hlášení incidentů stanoveny prováděcím nařízením Evropské komise. Cílem je, aby pravidla byla jednotná napříč Evropskou unii, protože se předpokládá, že subjekty působí přeshraničně.
Zmínili jsme první krok začátku účinnosti zákona, tedy proces ohlášení a rozhodnutí o registraci. Papírování tím ale rozhodně nekončí, protože organizace budou muset stanovit i rozsah řízení kybernetické bezpečnosti. Co to obnáší?
Já bych řekl, že to je základní a první krok, který je v praxi úzce svázaný s ohlášením. Abych mohl ohlásit regulované služby, musím vědět, co dělám. Musím se podívat na veškeré činnosti v dané organizaci, a říct, co mi spadá do vyhlášky o regulovaných službách. Tady je potřeba si uvědomit, že nemusí vždycky jít úplně o core business. Může se mi stát, že se věnuji úplně něčemu jinému, ale bokem mám třeba licenci na výrobu elektřiny, a dostanu se pod regulaci také trochu bokem. Stejně se do regulace dostanu v okamžiku, kdy v rámci holdingu poskytuju IT služby dalším společnostem. Protože zatím bohužel neumíme říct, že by vnitroskupinové poskytování IT služeb nebylo poskytováním řízené služby. Mně to přijde v rozporu s účelem zákona a myslím, že ani NÚKIB tam tyto poskytovatele úplně nechce, ale zatím nemáme jednotný evropský výklad tohoto pojmu, abychom mohli s klidným svědomím říct, že nám tam nespadnou.
V podcastu jsme i s praktickými příklady rozebrali rozdíl mezi povinnostmi pro firmy v mírnějším režimu a subjekty spadajícími do přísnější regulace. Dozvíte se, proč mají první kroky manažera IT oddělení po náběhu nového zákona směřovat k vedení společnosti, a z jakých důvodů se v případě kybernetického útoku vyplatí začít okamžitě shromažďovat provozní záznamy a další důkazy.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU