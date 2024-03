Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) si začal připravovat půdu pro politicky schůdné vysvětlení, proč jím připravený nový zákon o kybernetické bezpečnosti nebude účinný od letošního října, jak vyžaduje směrnice NIS2. Zcela otevřeně mluví o posunu minimálně do ledna 2025, ale připouští i realističtější odhady daleko později. Ve vyjádření, které NÚKIB poskytl před několika dny vybraným médiím, označil za důvod zpoždění „postup legislativního procesu“.

Pikantní na tom je, že opakované zpoždění vzniklo nedodržením slibovaných termínů právě ze strany NÚKIBu. Připomenout v tomto ohledu můžeme slova Adama Kučinského, který má na úřadu přípravu kyberzákona na starosti, ze začátku loňského listopadu, že norma se do legislativního procesu dostane nejpozději do konce předposledního kalendářního měsíce.

Zdržení už na začátku

Ve skutečnosti na stole Legislativní rady vlády (LRV) přistála v projednatelné podobě teprve letos 22. ledna, ačkoliv NÚKIB uvádí, že to bylo už o měsíc dříve. Nicméně k verzi předložené v poslední pracovní den před loňskými Vánocemi měl premiér Petr Fiala výhrady takového rázu, že k ní odmítl připojit svůj podpis. Během následujícího měsíce zástupci úřadu vedli opakovaná jednání především s ministerstvy, aby se jim nakonec podařilo alespoň na této úrovni vytvořit bezrozpornou verzi, a tu v poslední lednové dekádě předložili LRV. Od té chvíle začala běžet dvouměsíční lhůta, která vyprší na konci tohoto týdne.

„Návrh zákona o kybernetické bezpečnosti prochází pracovními komisemi LRV a následně jej projedná LRV, z toho pak bude vycházet její stanovisko. Hodnocení se bude zaměřovat na legislativně-technické provedení transpozice směrnice NIS2 a na to, zda je návrh v souladu s naším ústavním pořádkem a právem EU,“ řekl předseda LRV a ministr pro legislativu Michal Šalomoun.





Návrh se však zřejmě dostane na pořad jednání LRV až 4. dubna. A NÚKIB už dopředu počítá s tím, že zapracování požadavků, které LRV k předpisu vznese, zabere několik týdnů. Máloco lze považovat za přesvědčivější potvrzení indicií, které se zatím nesly pouze kuloáry, že kyberzákon v současné podobě narazí už na vládě, než když sám předkladatel ještě před finálním verdiktem LRV mluví o týdnech potřebných k úpravám.

Zmírnit sílu tohoto nárazu a alespoň částečně dopředu obrousit hrany je úkol pro LRV, která má dohlédnout na to, že se k ministrům dostane až předpis zbavený těch největších výstřelků. Jde například o nedovolené vyčlenění povinností, které mají být ukládány přímo zákonem, do prováděcích předpisů, nebo přílišnou koncentraci moci v rukou ředitele úřadu. Ten tak může zapomenout na to, že by rozhodnutí vylučující určitého dodavatele z poskytování regulované služby mohl vydávat sám. Aktuálně se řeší mechanismus, jaké podmínky a čí další podpis k tomu budou potřeba.

Rychlejší jsou jen ti bez invence

Ředitel NÚKIBu Lukáš Kintr se už otevřeně nechal slyšet o tom, že se povinnosti uložené směrnicí NIS2 včas přetavit do zákona nepodaří a Česko se tím vystaví riziku možných sankcí ze strany Bruselu. „Nejsme jediní. Byli jsme si vědomi, že doba na transpozici není komfortní, ale stále jsme na čele pelotonu. Transpozici mají pouze dvě členské země, Maďarsko a Chorvatsko, které NIS2 v podstatě jen přeložily,“ vysvětlil Kintr. Finální znění NIS2 přitom bylo zveřejněno už v prosinci 2022. Členské státy tak měly 21 měsíců na to, aby se novým pravidlům podvolily, což rozhodně nelze považovat za jakkoliv krátký čas.

Na druhou stranu je nutné přičíst NÚKIBu k dobru, že úřad začal na přípravě kyberzákona pracovat ještě v době, kdy nebyla známa konečná podoba směrnice, a první verzi návrhu zákona byl NÚKIB schopen představit následující měsíc po zfinalizování NIS2. Nicméně, zmiňuje-li šéf kybernetického regulátora příklady Maďarska a Chorvatska jako zemí, které transpozici stihnou včas díky tomu, že do národního práva promítly směrnici tak, jak je, a nepojaly za vhodné vpustit do regulace svou vlastní legislativní kreativitu, nemusí jít nutně o nežádoucí přístup, ba právě naopak.





Většina zásadních třecích ploch v návrhu tuzemské kyberregulace vznikla tím, že se NÚKIB jako autor předpisu od osnovy NIS2 odchýlil. Nelze říci, že by to bylo něco, co by udělat nemohl, otázkou ale je, zda to udělat měl. Především úprava mechanismu rozhodování o bezpečnosti dodavatelského řetězce, z níž strážci kybernetické bezpečnosti dobrovolně odmítají ustoupit byť i o píď, je přesně jedním z těch bodů, u nichž si měl NÚKIB předem spočítat, jestli za nestihnutí transpoziční lhůty a sjednocení všech kategorií připomínkových míst v odmítavých stanoviscích proti němu stojí. A to tím spíše, když NIS2 zná a preferuje v posuzování dodavatelských rizik, za nimiž se skrývá zejména obava z čínských komponent v telekomunikačních sítích, jednotný evropský postup.

Legislativní pravidla vlády (čl. 10) říkají, že LRV návrh zákona projedná ve lhůtě do 60 dnů ode dne, kdy takový návrh dostala. A své stanovisko zveřejní v elektronické knihovně. Je jasné, že tento poradní orgán kabinetu lhůtu pro projednání kyberzákona vyčerpá zcela, a platí-li informace NÚKIBu, že k němu stanovisko na jednání přijme až 4. dubna, dokonce ji o necelé dva týdny i překročí.

LRV je složená výlučně z právníků, často zvučných akademických jmen, a značné slovo v ní mají i zástupci Úřadu vlády. Její rozhodování přitom není primárně motivováno politicky, ale důraz se tu klade na odbornou stránku. Na úrodnou půdu tu mohou padnout připomínky z jiných míst než z ministerstev, na jejichž vypořádání si NÚKIB dal záležet.

Ministerské připomínky se totiž úřadu podařilo urovnat všechny. A všech 71 zbývajících sporných bodů pochází od připomínkových míst, která ve vládě nemají žádné přímé zastání. Rozporné body až na dvě výjimky pocházejí od tří subjektů: Svazu průmyslu a dopravy, Svazu měst a obcí a od Asociace krajů. Výjimku tvoří dva přetrvávající rozpory s Českým telekomunikačním úřadem. Ty se týkají hlavně bezpečnosti dodavatelského řetězce, kde, jak známo, NÚKIB nezná bratra.