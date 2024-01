V předminulém díle seriálu Regulace podle NIS2 jsme se zaobírali připomínkami ministerstev k návrhu nového zákona o kybernetické bezpečnosti. Materiál, který Národní úřad pro kybernetickou bezpečnost (NÚKIB) poslal poslední pracovní den před Vánocemi do Legislativní rady vlády (LRV), obsahoval 101 rozporů, z čehož dva byly ministerské. Co platilo tehdy, neplatí dnes.

NÚKIB totiž na konci minulého týdne nechal v knihovně připravované legislativy zveřejnit novou verzi souboru materiálů, která je už bez ministerských rozporů. Dál v něm ale zůstává 99 rozporů od dalších připomínkových míst, která jen nemají to štěstí, že jejich představitelé budou ve Strakově akademii o návrhu zákona rozhodovat. U nich se dá čekat, že budou o to hlasitěji slyšet při následném schvalovacím procesu ve sněmovně.

Předvánoční návrh se na LRV ani nedostal

Tomu, že se kolem projednání návrhu kybernetického zákona na politické úrovni něco děje, napovídalo i to, že ještě v polovině ledna materiál na stole LRV neležel. Podle informací zdroje Lupy obeznámeného s průběhem projednávání k tomu chyběl podpis premiéra Petra Fialy. Legislativní rada tak oficiálně neměla příslušné části návrhu k dispozici a neběžela ani lhůta, kterou LRV na projednání materiálu má. Jestliže cílem NÚKIBu bylo předvánočním překvapivým krokem na poslední chvíli odstartovat běh dvouměsíční lhůty, aby se do budoucna vyhnul kritice, že zákon nebude přijat včas do letošního října, ve skutečnosti tím jen upozornil na to, že si je vědom rizik plynoucích z toho, že materiál na vládě nemusí mít podporu dvou důležitých ministerstev, a čtyřtýdenní prodlevě se tím stejně nevyhnul.

Mimochodem, webové stránky NÚKIBu věnované NIS2 stále označují za aktuální verzi tu z 22. prosince a o ní prohlašují, že byla předložena Legislativní radě vlády. Současně už dříve NÚKIB prostřednictvím tohoto webu dal najevo, že s přijetím zákona v transpoziční lhůtě zas tak úplně nepočítá, když dle průběhu legislativního procesu předpokládá účinnost zákona koncem roku 2024. „Termíny pro plnění dalších povinností pak budou záležet na finálním datu účinnosti zákona,“ uvádí web.





Jakýmkoliv zpožděním v projednávání zákona ve fázi předtím, než se dostane do sněmovny, klesá pravděpodobnost, že se kyberzákon stihne přijmout včas. Neříkáme tím už teď, že by to bylo vyloučené. Ale k tomu, aby zákon vyšel ve Sbírce do října, je bezpodmínečně nutné, aby se s jeho projednáváním ve Sněmovně začalo dalece před letními prázdninami. LRV má na vyjádření 2 měsíce. Dále jej musí schválit sama vláda. Předpokládejme, že vzhledem k odstranění rozporů s ministerstvy mohou být rada i kabinet shovívaví a neklást návrhu překážky. I tak nejoptimističtější scénář míří časově někam do poloviny dubna.

K tomu je potřeba vzít v úvahu, že jen výbory ve sněmovně mezi 1. a 2. čtením mají na projednání 60 dnů a že časové rozestupy mezi jednotlivými čteními jsou také dané. A to nemluvě o proceduře v Senátu a nutnosti postoupit zákon k podpisu prezidentovi. Takže teď už jakékoliv zaškobrtnutí návrhu odsuzuje kyberzákon k pozdějšímu nabytí účinnosti. A podle odhodlání mobilních operátorů bránit se mocenskému apetitu NÚKIBu, jak o tom mluvil v podcastu Lupy právník Huawei Šimon Toman, ve sněmovně se rozhodně nedá předpokládat rychlé, hladké a bezproblémové přijetí.

Ministerstva se nechala přemluvit

Porovnáme-li tabulky vypořádání připomínek (předvánoční a letošní), zjistíme, že aniž by bylo výrazněji zasaženo do vlastního materiálu, aniž by se cokoliv změnilo v důvodové zprávě nebo zprávě RIA, obě připomínková místa ze svých výhrad ustoupila. Abychom byli přesní, verze vlastního materiálu (předvánoční a letošní) nejsou zcela identické, ale liší se jen minimálně. Došlo k drobným úpravám interpunkce a názvosloví, aby dokument odpovídal legislativně technickým požadavkům, ale v ustanoveních, do kterých připomínky směřovaly (zejména bezpečnost dodavatelského řetězce), žádná změna nenastala.

Co se tedy za ten měsíc událo? Vyjdeme-li z toho, co NÚKIB napsal do vypořádání připomínek, se jednání posunula na úroveň vedení jednotlivých úřadů. A to přinejmenším ve vztahu k ministerstvu dopravy, které od začátku patřilo k hlasitým kritikům navržené regulace a zarputile si trvalo na svém. Připomeňme, že trnem v oku pro resort dopravy je mechanismus prověřování dodavatelského řetězce. Ministerstvo se obávalo, že by vylučováním dodavatelů mohla nastat situace, kdy se veřejné zakázky buď významně prodraží, nebo dokonce nebude vůbec nikdo, kdo by je byl schopen zrealizovat.

Konkrétně pak vyjadřovalo obavy o provoz významných nebo kritických informačních systémů státu, jako je registr vozidel, registr řidičů a další systémy. „Zásadní narušení provozu by mohla zažít i strategická dopravní infrastruktura státu, například zajištění provozu řídicích systémů celostátní a regionální dráhy, telematických systémů na dálnicích, systémů pro řízení dopravy, mýtného systému atd.,“ napsal resort do připomínek s tím, že bez podrobení těchto otázek široké diskuzi a bez zhodnocení ekonomických dopadů nelze „v žádném případě souhlasit s tím, aby byl návrh předložen k projednání vládě“. V tomto bodě mezi NÚKIBem a dopravou zůstával rozpor.





Úřad Martina Kupky naposledy napsal, že se mu navržené vypořádání nelíbí a na připomínce trvá. „Od pana ministra nemáme mandát z této připomínky ustoupit,“ uváděla ještě před Vánocemi tabulka u připomínky č. 455. Jednání byla zjevně úspěšná, když rozpor v nové verzi zmizel s tím, že „připomínka byla na úrovni vedení vypořádána“.

Pak tu máme připomínku číslo 614 od ministerstva financí. I ta mířila na posuzování bezpečnosti dodavatelského řetězce, i když trochu jinak. Šlo tam o zúžení definice tohoto, kdy ještě lze přistoupit k zákazu konkrétního dodavatele. Finance navrhovaly přesně vymezit kritické části chráněného aktiva například tím, že půjde jen o taková, jejichž nedostupnost bude mít přímý vliv na nedostupnost celé strategicky významné služby. A u jiných než kritických aktiv a jejich částí správci státní pokladny navrhovali zakotvit možnost na základě analýzy rizik realizovat alternativní opatření. NÚKIB už dopředu řekl, že v otázkách mechanismu prověřování dodavatelů neustoupí, a svému slovu dostál.

Jestli něco NÚKIBu nelze upřít, potom je to houževnatost, s jakou se snaží o své pravdě přesvědčovat ostatní subjekty, kterých se kybernetická regulace v budoucnu bezpochyby dotkne. A tato snaha přináší ovoce. Bez větších ústupků (zejména v těch pro něj zásadních částech) se mu podařilo obrousit hrany a dosáhnout, když ne podpory pro návrh, tak alespoň toho, že mu ostatní vládní instituce nebudou jeho návrh torpédovat.

Jak se konkrétně liší verze původní, ze které vycházely loňské díly našeho seriálu, od té aktuálně představené, rozebereme v příštím díle.