Nový zákon o kybernetické bezpečnosti má za sebou extrémně náročný rok a další neméně těžký ho před případným schválením v definitivní podobě ještě čeká. V rámci seriálu Regulace podle NIS2 věnovanému pravidlům slibujícím lepší zabezpečení nejen digitálního prostoru, kterým se národní podmínky podřizují, tentokrát budeme trochu bilancovat, poohlédneme se za uplynulými dvanácti měsíci a zároveň se pokusíme odhadnout dění měsíců příštích.
Už na začátku roku 2024 provázely kyberbezpečnostní zákon komplikace. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) návrh sice do legislativního systému eKlep Úřadu vlády nahrál poslední pracovní den před Vánocemi, tato verze však nezískala potřebný podpis premiéra, aby mohla pokračovat do Legislativní rady vlády (LRV), a tak až po odstranění zásadních rozporů s ministerstvy si to o měsíc později NÚKIB celé zopakoval. Tím se tak pochopitelně posunuly lhůty pro posouzení návrhu a začínalo být poměrně jasné, že do konce transpoziční lhůty 17. října 2024 zákon platit nebude.
Legislativní radou zákon prošel díky fíglu
V dubnu LRV zkonstatovala, že nedostatků má návrh přespříliš, projednávání přerušila a vrátila ho NÚKIBu k přepracování. Vládní legislativci konstatovali, že sama směrnice NIS2 rozhodně není dokonalá a způsobuje výkladové problémy. Současně ale podle nich nemůže být NÚKIB tím, kdo se tyto nedostatky unijní úpravy bude snažit překlenout vnitrostátním zákonem. „Tento přístup k transpozici směrnic je v obecné rovině problematický,“ uvádí se ve stanovisku. Co hůř, podle LRV navíc navrhovaná úprava jde nad rámec minimální harmonizace stanovené NIS2, „což vyvolává pochybnosti o přípustnosti odchýlení se od unijní úpravy“.
Poradní orgán vlády se tak v tomto stanovisku přiklonil na stranu kritiků, kteří už v meziresortním připomínkovém řízení na nedostatky zákona upozorňovali, a to hlavně ve dvou bodech: že jsou regulovaným subjektům povinnosti ukládány vyhláškami, a ne samotným zákonem, a že o zákazu dodavatelů v rámci mechanismu bezpečnosti dodavatelského řetězce má rozhodovat pouze brněnský regulátor, a ne vláda. A konečně LRV tvůrce předpisu sepsula za naprosto odbytou povinnou zprávu o hodnocení dopadů regulace (RIA).
V červnu se NÚKIB u LRV pokusil o reparát a uspěl. Jak ale vyšlo najevo později při projednání ve sněmovním Hospodářském výboru, regulátor využil fígl, kdy napodruhé se už upravený zákon na plénum LRV nevrátil. Poslankyně za ANO Berenika Peštová poznamenala, že scénář, kdy návrh projde pouze souhlasným stanoviskem předsedy LRV (v té době pirátského ministra Michala Šalomouna), je u současné vládní koalice čím dál častější.
„Na plénu vás roztrhají, vrátí to na úřad a pak máte jít do komisí. Tam jsou největší právnické kapacity. A tam by vám řekli, jestli jste zapracovali připomínky správně, nebo ne. Kdybyste šli zpátky na plénum, tak vás rozcupují korporátní právníci, že je to špatně a že nemáte vypořádány připomínky vznesené Hospodářskou komorou,“ vyčetla Peštová řediteli NÚKIBu Lukášovi Kintrovi, který potvrdil, že na plénum LRV materiál opětovně neposílal.
V polovině roku o nových paragrafech pro zajištění lepší kyberbezpečnosti rozhodovali ministři. A ani těm se návrh z pera NÚKIBu nepozdával. Projednání tak odkládali. Premiér Petr Fiala tehdy prohlásil, že vládu čas netlačí. „Ještě tam potřebujeme vyřešit drobnou legislativní úpravu. Říkali jsme si, že bude vhodné, abychom to přerušili a naši legislativci měli možnost to dobře připravit,“ řekl premiér. Tehdejší verze přitom pracovala s účinností kyberzákona od ledna 2025, tedy tři měsíce po skončení transpoziční lhůty. Aktualizované odhady se upínají k letošnímu pololetí…
Chyběla dohoda předkladatele s vládou
Po schválení vládou zamířil návrh spolu s doprovodným změnovým zákonem do Poslanecké sněmovny, kde od té doby stihl projít pouze prvním čtením a příslušnými sněmovními výbory. Snad už nepřekvapí, že ani tady to kyberbezpečnostní zákon nemá jednoduché. Poslancům už na začátku vadil poněkud autistický přístup tvůrce normy a volali po dohodě alespoň NÚKIBu s vládou. Jak garanční Výbor pro bezpečnost, tak i Hospodářský výbor projednávání odložily kvůli nespokojenosti s tím, že NÚKIB paušálně odmítl vznesené požadavky na změny.
„Byl bych rád, abychom si dali prostor k jednání. Aby došlo k dohodě mezi námi, NÚKIBem a vládou. Myslím, že to vyřeší spoustu problémů, které by nás jinak čekaly, kdyby k té dohodě nedošlo,“ zdůvodnil přerušené projednání šéf Hospodářského výboru Ivan Adamec. Současně dosažení této dohody označil za podmínku toho, že výbor nebude trvat na upřesnění hodnotící zprávy o dopadech regulace (RIA). „Protože pak je to politická zodpovědnost někoho úplně jiného,“ dodal.
K dohodě nakonec na sklonku roku došlo, i když nejméně spokojený s ní je samotný předkladatel. Nejenže se pravomoc rozhodovat o případných zákazech dodavatelů přesunula z NÚKIBu na vládu, ale té se tato kompetence ještě navíc sešněrovala. Možné zákazy totiž omezuje jen na aktiva s hodnocením kritická.
„Objevil se“ bod číslo 9
Byť komplexní pozměňovací návrh připravoval NÚKIB, do finálního textu se mu dostala pasáž, se kterou nesouzněl a kvůli níž se k překvapení všech přítomných na Hospodářském výboru vyslovil nesouhlas. „Bod 9 se tam objevil až po nějakém zafinalizování a my jsme neměli možnost se k tomu dopředu vyjádřit,“ vysvětloval Lukáš Kintr.
Jestli v zákoně nakonec zůstane omezení aplikace mechanismu bezpečnosti dodavatelského řetězce jen na nejdůležitější kategorii aktiv, nebo ne, není až tak podstatné. Vláda totiž může jednoduchou změnou tyto hranice snadno přerýsovat. A spor o to, jestli tento restriktivní bod má být jako pozměňovací návrh schválen, tak souvisí jen s určitou větší mírou předvídatelnosti práva.
Sněmovna se k zákonu letos vrátí ve druhém a později i třetím čtení. Dá se odhadovat už teď, že zákon projde v podobě, v jaké panuje shoda mezi jednotlivými výbory, což je drtivá většina ustanovení. Je tak celkem jasné, že dosavadní zarputilost a neústupnost NÚKIBu ke kompromisním řešením v hlavních třecích plochách tomuto úřadu prospěch nepřinese. A že nová pravidla už dávno mohla platit, pokud by brněnský úřad odolal pokušení skrýt pod pláštík nevinně znějící „reflexe poznatků a zkušeností, které za dobu své existence nashromáždil“ nálož pravomocí nad rámec NIS2, za něž sklidil kritiku už v meziresortním připomínkovém řízení.