V seriálu Regulace podle NIS2 postupně představujeme změny, které se dotknou pravidel kybernetické bezpečnosti v souvislosti s připravovanou implementací evropské směrnice NIS2. Zároveň sledujeme legislativní pouť zákona o kybernetické bezpečnosti, jež by podle citované směrnice měl vstoupit v účinnost nejpozději letos v říjnu.
Jenže zatím jej neprojednala ani Legislativní rada vlády. Předkladatel, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), přes eKlep, tedy knihovnu připravované legislativy, zveřejnil už v pořadí čtvrtou verzi návrhu zákona, a zdaleka není jasné, zdali tato je už ta finální.
V mezičase od představení první verze prodělal návrh zákona a doprovodné materiály k němu ze strany NÚKIBu tolik změn, že nebude od věci dnešní díl seriálu věnovat přehledu toho, co všechno oproti dříve představeným novinkám platit nebude. Neberme toto srovnání jako definitivní, protože do konečné podoby předpisu bude promlouvat ještě mnoho vlivných hlasů.
Porovnávat tedy budeme naposledy představenou verzi z 22. ledna vůči podobě zákona, kterou NÚKIB rozeslal k meziresortním připomínkám. Z té vycházel náš výklad představující celou právní úpravu. Většina úprav je jen zpřesňující, jsou ale případy, a na ně chceme upozornit, kde se tím zároveň mění rozsah ukládané povinnosti.
Na zahraniční podniky bez tuzemských poboček úřad nedosáhne
Hned v úvodu NÚKIB doplnil, že se nový kybernetický zákon nebude vztahovat na osoby, které nejsou v Česku usazené, s výjimkou těch firem, které na našem území poskytují sítě a služby elektronických komunikací, tedy telekomunikační operátory. Nepůjde se tedy regulaci vyhnout tím, že by si telekomunikační firma přemístila sídlo a pobočky do zahraničí a bude fungovat přeshraničně na dálku.
Naopak podnikatelé z jiných oborů se budou moci z osidel tuzemského kyberzákona vymanit, pokud u nás sice budou poskytovat službu, ale nebudou zde mít tzv. stálé struktury. „Právní forma takových struktur, ať již jde o pobočku, odštěpný závod, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem,“ uvádí důvodová zpráva. Připouští, že otázka stálého zařízení není judikaturou přesně definována, takže se může jednat třeba o kancelář, provozovnu či pobočku. „V praxi pak bude běžné, že jedna osoba bude usazena ve více státech EU současně,“ doplňuje NÚKIB.
Zákon přestává pracovat s pojmem kybernetická hrozba a nově používá pouze pojmu hrozba, který navíc dává do příčinné souvislosti se vznikem kybernetické bezpečnostní události, resp. incidentu. Musí se tedy jednat o okolnost, událost nebo jednání, které jednak může vést ke vzniku incidentu, resp. bezpečnostní události, a současně vedle toho musí mít negativní vliv na aktiva, uživatele nebo další osoby. Obě podmínky musejí být splněny naráz.
V definicích také přibylo zcela nové ustanovení § 2 odst. 3, kde jsou vymezeny rozdíly mezi provozem systému překladu jmen, provozem registru domén, dále mezi službou cloud computingu a službou datového centra. Jsou to drobné nuance, ale mají dopad na to, jaká regulace se na koho bude vztahovat. V tomto ohledu je třeba připomenout, že na provozovatele DNS serverů a registrátory domén dopadá regulace bez ohledu na jejich velikost a další ukazatele, podle nichž by se rozhodovalo o zařazení pod regulaci jako v případě ostatních odvětví. A na tom NÚKIB nic nezměnil.
Registrace proběhne rychleji
Pokud jde o samoidentifikační, resp. registrační povinnost, do zákona nově přibyl odstavec vylučující použití ustanovení správního řádu upravujících vedení správního řízení. Lze tedy čekat, že půjde o mnohem rychlejší a daleko méně formalizovaný proces. Jakmile se NÚKIB dozví, že příslušný subjekt se sám dobrovolně nezaregistroval do 30 dnů ode dne, kdy zjistil, že se na něj regulace má vztahovat, sám vydá rozhodnutí, kterým registraci provede, a nemusí přitom dodržet regule správního řádu, tedy oznamovat zahájení řízení, obesílat subjekt s výzvou k seznámení se s podklady pro rozhodnutí apod.
Kdo se jednou dostane do evidence regulovaných služeb, bude mít případnou cestu z ní složitější. NÚKIB se pojistil proti případným kverulantům, kteří by se stále dokola pokoušeli se z regulace vymanit, a opakované žádosti nepřicházející s ničím novým bude odmítat jako nepřípustné, přičemž proti takovému odmítnutí nebude možné podat ani opravný prostředek.
K zajímavému zpřesnění sáhl NÚKIB u reportovacích povinností. Do povinně hlášených bezpečnostních incidentů přidal podmínku, že se musí jednat o takové případy, kde do 24 hodin nelze vyloučit úmyslné zavinění. Incidenty, k nimž dojde zcela prokazatelně v důsledku nedbalosti nebo neúmyslné chyby, nebudou podléhat povinnému hlášení. Stále je ale bude možné oznamovat na dobrovolné bázi, a to i anonymně.
Zcela novou podobu dostal § 19 zákona týkající se povinností poskytovatelů regulovaných služeb v odvětví digitální infrastruktury. Sem budou spadat například provozovatelé DNS serverů, služby vytvářející důvěru, registrátoři domén, provozovatelé cloud-computingu, datových center, online tržišť, internetových vyhledávačů, sociálních sítí a dalších. Těch se shora zmíněná úleva v hlášení kybernetických incidentů týkat nebude, naopak budou muset hlásit všechny incidenty s významným dopadem na poskytování regulované služby, bez ohledu na jejich zavinění.
Registrátorů domén a správců doménového registru se týká i další nově zaváděné pravidlo. Vztahuje se ke shromažďování dat o držitelích domén. Kybernetický zákon zavádí povinnost evidovat u každé domény její jméno, datum registrace, údaje o jejím vlastníkovi v rozsahu jména, e-mailové adresy a telefonního čísla. A pro ověřování totožnosti budou moci být využívány prostředky kvalifikovaného systému elektronické identifikace.
Už když návrh kyberzákona procházel meziresortním připomínkovým řízením, upozorňovali jsme na poněkud problematickou úpravu takzvaného stavu kybernetického nebezpečí. Ta dává NÚKIBu pestrou paletu silných pravomocí. Nově tento stav bude moci ředitel úřadu vyhlásit na 30 dnů, a přiměřeně jej prodloužit dokonce i bez souhlasu vlády. A když ani to nepomůže k odvrácení krize, požádá vládu o vyhlášení nouzového stavu. V souvislosti s uloženými opatřeními v době stavu kybernetické bezpečnosti se také bude nahrazovat jak škoda, tak i omezení vlastnických práv nebo uložení povinností. I tohle v předchozí verzi chybělo.
Změnami prošly také přestupky. NÚKIB do skutkových podstat přidal, že postižitelné budou rovněž případy, kdy regulovaný subjekt sice poprvé uloženou povinnost splní, ale později se k ní už nevrátí. Tedy jeho dokumentace zastará. Jedná se o situace, kdy opakovaně a pravidelně nepřezkoumává nebo neaktualizuje všechna primární aktiva.
Pokuty zůstávají stejné, maximálně bude možné uložit 250 mil. korun nebo 2 % čistého celosvětového ročního obratu, podle toho, která z těchto částek bude vyšší. Pokuty přitom měl nejen vyměřovat, ale i vybírat NÚKIB. To ze zákona zmizelo, takže o vymáhání se bude starat celní správa.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU