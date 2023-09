Kdo sleduje náš seriál Regulace podle NIS2 pravidelně, ví, že přípravě národní regulace kyberbezpečnosti podle směrnice NIS2 věnujeme dlouhodobě velkou pozornost. Na návrh nového zákona o kybernetické bezpečnosti, který postupně v jednotlivých dílech představujeme, jsme upozorňovali, když vstupoval do meziresortního připomínkového řízení, když k němu byly všechny připomínky vznesené a teď do třetice máme tu příležitost, když je známa tabulka, jak Národní úřad pro kybernetickou a komunikační bezpečnost (NÚKIB) jednotlivé připomínky vypořádal. Pro zájemce o stažení je třeba upozornit na to, že jde o dokument o 682 stranách.

243 rozporů

Tato tabulka překvapivě stále není pověšena na stránkách eKlepu, tedy na oficiálním místě, kde pro jednání vlády jsou shromážděny podklady k jejímu rozhodování, ale byla NÚKIBem v minulých dnech rozeslána jednotlivým připomínkovým místům. Je tak otázkou, nakolik jde o konečné a neměnné stanovisko předkladatele legislativy a do jaké míry představuje dosud rozeslané vypořádání připomínek jen osnovu pro další projednávání.

Ono totiž předložit vládě ke schválení materiál, kde je více než 240 rozporů, tedy neakceptovaných zásadních připomínek, by bylo snad ještě představitelné za předpokladu, že mezi těmito rozpory nebude pětina ze strany ministerstev, tedy míst, jejichž šéfové o materiálu na vládě rozhodují…

Běžná praxe přitom bývá taková, že tam, kde se pohled předkladatele v zásadních věcech (vedle toho jsou doporučující připomínky, kde taková povinnost není) rozchází s připomínkujícím místem, jednání trvají tak dlouho, dokud není dosaženo určitého kompromisu. Tedy dokud neustoupí buď předkladatel a připomínku, byť i jen částečně neakceptuje, anebo připomínkující ministerstvo, a pak je připomínka vypořádána jako vysvětlená. Není bezpodmínečně nutné mít materiál na vládě jako bezrozporný. Nicméně pokud je těchto rozporů více než pět desítek jako v tomto případě, a do toho počítáme jen ty z ministerstev, pak by předkladatel měl mít o další osud svého návrhu vcelku oprávněné obavy.





Znamená to totiž, že se zodpovědnost zpracovatele za dosažení shody s jednotlivými připomínkovými místy jen přesouvá o patro výš a po eskalaci na vládu už o třecích plochách nerozhodují odborníci, kteří mají do problematiky vhled, ale půjde o rozhodnutí politická. Tedy proti řediteli NÚKIBu bude v tu chvíli stát 18 dalších politiků s rozhodovací pravomocí. A asi není pro předkladatele nic horšího, než pokud kabinet má od svých aparátů v podkladech vyznačeno, v čem všem se představy jimi řízených úřadů liší.

Děkujeme za připomínku, ale pravdu máme my

A že jsou to pohledy mnohdy úplně mimoběžné. Nemá cenu tu rozebírat všech 864 připomínek, z nichž 503 bylo zásadních, tedy vyžadujících pozornost. Ale z těch zásadních vyberme ty, kde se více připomínkujících míst shoduje na tom, že předkládaná právní úprava má závažnou vadu. Vyjít přitom můžeme z přehledu v jednom z dřívějších dílů.

Ministerstvo financí, stejně tak i Hospodářská komora, Asociace krajů i Asociace malých a středních podniků a živnostníků napadalo, že klíčová ustanovení jsou začleněna až v prováděcích vyhláškách, a nikoliv v zákoně. NÚKIB k tomu říká, že se inspiroval u v současnosti platné právní úpravy. „Návrh stanovuje okruh povinných osob stejným způsobem, jako to činí dosavadní zákon (…) o kybernetické bezpečnosti. (…) Jak uvádí také důvodová zpráva, má tento způsob zpřesnění zákona své opodstatnění a dlouhodobě je považován za vyhovující a v souladu s právními předpisy.“ Takže třikrát neakceptováno.

Velmi často se v připomínkách opakovala kritika zavedení prověřování dodavatelského řetězce. Připomínky k tomu mělo Ministerstvo dopravy, Národní bezpečnostní úřad, Český telekomunikační úřad a snad všichni zástupci podniků a průmyslu. Doprava poukazovala na to, že některé kritické systémy státu nebudou schopny stávající dodavatelé dodat a ti zbylí ano, ale za rozpočtově neúnosných ekonomických podmínek. Resortu se nelíbilo, že o této otázce neproběhla diskuse, nebyly zhodnoceny ekonomické dopady, a bez toho nesouhlasí s tím, aby materiál byl vůbec vládě předkládán k projednání. NÚKIB na to reagoval, že „oslovil mnoho subjektů v rámci dotazníkového šetření a využil maximální množství informací pro to, aby posoudil možné dopady v rámci návrhu zákona“. Předkládaný materiál však o těchto výstupech mlčí. A NÚKIB poněkud tajemně dodal, že „bylo nutno operovat s danými údaji v určitém stupni obecnosti, jelikož není možné předjímat veškeré dopady navrhované úpravy“. Závěrem však k poznámce číslo 455 úřad dodává, že „samozřejmě rádi uvítáme debatu na téma dopadů“. Výsledkem však je neakceptováno.

Ministerstvo zahraničních věcí si dalo práci s porovnáním, jaké povinnosti ukládá směrnice NIS2 a jak mají být tyto povinnosti transponovány do českého práva. Tedy řeší stav, kdy by Evropská komise později mohla některá ustanovení vyhodnotit jako neúplnou transpozici směrnice a zahájit s Českem řízení pro nesplnění povinností. Takových problematických ustanovení Černínský palác napočítal hned 20. A kupodivu na tyto připomínky NÚKIB slyšel, všechny akceptoval.





Ministerstvo životního prostředí se ohrazovalo proti tomu, že nekomerční výzkumné organizace jsou automaticky do národní regulace zahrnuty i přesto, že to směrnice NIS2 nepožaduje. Stejně jako Akademie věd je požadovalo vyjmout z regulace, a pokud by tam měly zůstat, pak pouze v rámci mírnějšího režimu. NÚKIB jim vyhověl jen částečně, právě přeřazením z přísnějšího režimu do režimu nižších povinností (important). Otevřeně přiznává, že „zahrnutí některých povinných osob nad rámec požadavků směrnice představuje národní regulaci, ve které členské státy mohou jít nad rámec požadavků směrnice“.

Kdo naopak u NÚKIBu narazil zcela, byl Český telekomunikační úřad. Vedle už zmíněného prověřování dodavatelského řetězce až od úrovně strategicky významné služby kritická neuspěl ani s návrhem, aby byl zahrnutý do projednávání návrhů opatření obecné povahy, pokud ten se bude týkat poskytovatele služeb elektronických komunikací, ani s návrhem, aby údaje o kybernetické bezpečnosti hlášené NÚKIBem byly zařazeny mezi výjimky z poskytování informací podle informačního zákona (106/1999 Sb.).

Drakonické pokuty i přísnost na potížisty zůstanou

Ministerstvo obrany se v připomínkách pasovalo do role obránce regulovaných subjektů. Prosazovalo například zmírnění povinností tak, že by povinnému hlášení podléhaly jen ty bezpečnostní incidenty s významným dopadem na poskytování regulované služby. Na to NÚKIB odpověděl, že chce mít přehled o úplně všech incidentech, bez ohledu na jejich významnost. „Z pohledu Úřadu je žádoucí shromažďovat informace i o méně významných incidentech také pro doplnění širšího pohledu a zasazení do kontextu ochrany kybernetického prostoru České republiky,“ napsal úřad pod odmítavé stanovisko.

Obrana neuspěla ani s námitkou zjevné nepřiměřenosti pokut k povaze sankcionovaného přestupku, ani s namítaným prolomením zásady zákazu reformationis in peius, tedy změny rozhodnutí v neprospěch obviněného, pokud využije opravný prostředek. Tady by měli určitě zpozornět všichni právníci, které v budoucnu může čekat obhajoba firem potrestaných NÚKIBem, a zazáložkovat si vypořádání připomínky č. 597. „Zásada zákazu reformationis in peius v případě příkazu není součástí práva na spravedlivý proces, a je tudíž v dispozici zákonodárce, zda ji s ohledem k regulované oblasti zavede,“ zdůvodňuje úřad, proč prolomení zákazu změny k horšímu tolik prosazuje a přímo si tím říká o ústavní přezkum.

Na závěr jsme si nechali připomínky soukromého sektoru, zastoupené Hospodářskou komorou. Jejich rozsah a zejména doprovodná argumentace by dal na menší kvalifikační práci v některém z právních oborů. Z 31 připomínek NÚKIB zcela akceptoval pouze dvě, přičemž v obou případech šlo jen o drobné textové úpravy. Hospodářská komora, v jejíchž připomínkách je značně vidět rukopis mobilních operátorů a jejich asociace, tak neuspěla ani s návrhem zapracovat do zákona ustanovení o kompenzacích účelně vynaložených nákladů, s požadavkem na zpřesnění pojmu významný dodavatel, ani přesun pravomocí k definování kritérií pro identifikaci regulované služby z NÚKIBu na vládu. Zkrátka jedno neakceptováno za druhým.

Čeho naopak připomínkující dosáhli, je zrušení vyhlášky o kritériích rizikovosti dodavatelů. „NÚKIB na základě četných připomínek rozhodl, že kritéria rizikovosti dodavatele ve formě prováděcího právního předpisu nevydá,“ uvádí tabulka.

Co se bude dít dál?

NÚKIB má v plánu v příštích dvou týdnech absolvovat celou řadu schůzek. Své evangelium, o jehož správnosti je tak skálopevně přesvědčen, se chce pokusit rozšířit mezi nepřesvědčené, tedy ministerstva, úřady, svazy či operátory. Těžko předjímat, jak tyto schůzky dopadnou. Z množství neakceptovaných připomínek je ale možné už teď vsadit na to, že vládě tento materiál bez rozporů předložený nebude.

Je pak otázkou, co na to řeknou ministři. Jestli se přikloní k závěru, že se tolik připomínkových míst mýlí, když shodně poukazují na nedostatky právní úpravy, a dají za pravdu NÚKIBu, anebo návrh úřadu, který pro svou nekomunikaci v dané věci vykazuje rysy úřadu s lehčí poruchou autistického spektra, shodí ze stolu a nechají jej vypracovat znovu a lépe.