Z minulého dílu našeho seriálu o kybernetické bezpečnosti víme v hrubých obrysech, jaké výhrady měla Legislativní rada vlády (LRV) vůči návrhu kyberbezpečnostního zákona předloženého Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Dozvěděli jsme se, že prakticky žádný paragraf nezůstal netknutý návrhem změn. Vládní legislativci nalezli v předloženém zákoně takové množství nedostatků, že jim nezbylo nic jiného než projednávání přerušit, dokud NÚKIB svůj materiál nepřepíše. Dnes se podíváme detailněji, co se poradnímu orgánu kabinetu přesně nelíbilo a jak si představuje, že návrh bude upraven.

Jako červená nit se celým návrhem táhne kritika někde vágnosti některých definic, jindy nevhodně zaváděného pojmosloví. Například u kritéria pro určení regulované služby není podle legislativců jasné, co je myšleno pod pojmem „významný dopad“, „závažný zásah“ nebo „veřejný pořádek“, pokud to NÚKIB používá jako hranici naplnění kritéria stanovení regulované služby. Jsou to příliš neurčité pojmy. Právníci proto požadují alespoň demonstrativní výčet, o co by se mělo jednat, doplnit minimálně do důvodové zprávy.

A spokojení nejsou ani s brněnskou kreativitou při rozdělení na režim vyšších a nižších povinností. „Je nutno upozornit na to, že navrhovaná právní úprava (režim vyšších povinností a režim nižších povinností) užívá jinou terminologii než směrnice NIS2,“ uvádí se v připomínkách. NIS2 používá rozlišení essential (pro vyšší míru regulace) a important (pro nižší), což může být zejména v češtině zavádějící. Překlad totiž budí přesně opačný dojem, že základní služby budou mít více úlev než důležité služby. Přitom opak je pravdou.





Chybí srozumitelný systém kompenzací

Zdaleka největší výhrady má LRV k části věnované mechanismu prověřování bezpečnosti dodavatelského řetězce. Připomeňme, že za současného znění, v případě, kdy by NÚKIB chtěl zakázat určitého dodavatele pro strategicky významnou službu, bude se muset ohlížet na to, zda operátoři nakoupenou problematickou dodávku už daňově odepsali. A i tak by musel návrh takového opatření obecné povahy projednat se třemi ministerstvy (vnitra, zahraničí a průmyslu a obchodu). Pokud by ale chtěl zákaz prosadit rychleji, než regulovaný subjekt svoji investici odepíše z daní, pak už nestačí jen projednat, ale rovnou získat souhlas všech tří resortů.

Ani to ale LRV nestačí. Nepovažuje za vhodné, aby náklady spojené s opatřením na ochranu bezpečnosti nesli operátoři jako poskytovatelé regulované služby. V zákoně tedy má být jednoznačně definován systém kompenzací. „Systém režimu opatření obecné povahy by měl být spojen s důslednou právní úpravou kompenzací škod, které mohou vzniknout soukromým poskytovatelům regulované služby,“ uvádějí vládní právníci s tím, že pravidla pro tyto kompenzace by měla být jasně předvídatelná a odpovídat formě a rozsahu opatření.

Na druhé straně se legislativní radě nelíbí ani vyčkávání na to, až si operátor nakoupenou infrastrukturu daňově odepíše. To totiž přenáší náklady na ochranu bezpečnosti nebo vnitřního pořádku na poskytovatele regulované služby, což podle LRV není v pořádku. „Pokud jde o využívání plnění, které z hlediska bezpečnosti České republiky může být potenciálně značně rizikové, není příliš smysluplné při zákazu využívat toto plnění vyčkat na odepisování předmětu plnění,“ volá LRV po možnosti rychlejšího zákazu, avšak spojeného s kompenzacemi.

Po vůli vládním právníkům není ani ustanovení umožňující vypovědět smlouvu poskytovatele strategicky významné služby z důvodu aplikace opatření obecné povahy. Tedy v situacích, kdy NÚKIB určitého dodavatele zakáže, by regulovaný subjekt měl mít možnost se ze smluvního vztahu s ním beztrestně vyvázat. LRV upozorňuje, že výpověď nemusí být ve všech případech efektivním způsobem ukončení závazku. Někdy může být vhodnější od smlouvy odstoupit. „Dále je nezbytné vyřešit, zda by předmětné pravidlo dopadlo i na závazky, které se nebudou řídit českým právním řádem. Smluvní strany totiž mohou volbou práva podřídit svůj závazek i jinému než českému právu,“ vyjmenovává výhrady příloha stanoviska LRV.

K zajištění dostupnosti strategicky významné služby jsme v jednom z předchozích dílů seriálu zprostředkovali výklad NÚKIBu, podle něhož úřad nebude tolerovat v případě například zahraničních cloudů standardní smluvní ujednání SLA. Ty totiž vylučují případy mimořádných událostí typu válka nebo přírodní katastrofa. U oborů energetika, drážní a letecké dopravy, telekomunikací a veřejné správy nechává regulátor na poskytovateli strategicky významné služby, jak její dostupnosti z ČR dosáhne. LRV volá po tom, aby v první řadě bylo upřesněno, co prakticky znamená „zajistit dostupnost služby z území ČR“. Pokud čas a kvalitu poskytování služby bude určovat sám její provozovatel, je podle LRV otázka, zda porušení toho, co si sám určí, má být postihnutelný přestupek. „Není zřejmé, jak se NÚKIB dozví, co si poskytovatel sám stanovil, a zda to, co si sám stanovil, bude moci také měnit a za jakých podmínek,“ vyjmenovává další nedostatky LRV.





Nezahlcujme soudy, ať rozhoduje NÚKIB

Mocenskému apetitu NÚKIBu jsme se věnovali už několikrát a evidentně nejsme jediní, kteří jeho velikášství kritizují. I v případě stavu kybernetického nebezpečí LRV vyjádřila pochybnost o přiměřenosti navrhované úpravy. „Stav kybernetického nebezpečí je koncipován velmi široce a umožňuje nařizovat povinnosti subjektům soukromého práva; nejasnosti vznikají i ohledně formy vyhlášení stavu kybernetického nebezpečí, ředitel Úřadu má navrženy velmi široké kompetence, které by měly příslušet alespoň celé vládě,“ opírají se vládní legislativci do šíře pravomocí, jak si je NÚKIB pro sebe v zákoně nalinkoval.

To ale není všechno. Vládním právníkům se nelíbí ani výjimka ze základních zásad zpracování osobních údajů, kterou si NÚKIB pro sebe a národní CERT chtěl do zákona zakotvit. LRV ji považuje za rozpornou s GDPR. Odkazuje se přitom na rámec výjimek, které už obsahuje zákon 110/2019 Sb., o zpracování osobních údajů.

Na druhou stranu, jedna pravomoc naopak zřejmě NÚKIBu přibyde. Kyberzákon v původním ustanovení § 63 (nově půjde o § 61) umožňoval regulátorovi navrhnout soudu pozastavení řídicí funkce členu statutárního orgánu právnické osoby, pokud nesplní uloženou povinnost odstranit zjištěné nedostatky nebo opakovaně či závažně poruší své povinnosti.

LRV považuje za nadbytečné, aby tato pravomoc byla přesunuta na soud, když nic nebrání tomu, aby tuto působnost vykonával Úřad sám. Patrně se proto dočkáme rozhodnutí, kde sám NÚKIB bude moci přinejmenším na dobu 6 měsíců suspendovat vzdorujícího podnikatele či jednatele společnosti.