Pravomoc vlády mluvit firmám do jejich dodavatelů zůstane v návrhu zákona o kybernetické bezpečnosti zachována pouze u aktiv hodnocených stupněm kritická. U aktiv oceněných o stupeň níže, tedy vysoká, se z návrhu zákona přesune do nařízení vlády. Překvapivě s tím minulý týden v rámci vypořádání předložených pozměňovacích návrhů z druhého čtení souhlasil sněmovní Výbor pro bezpečnost. Ten je garančním výborem k návrhu zákona připraveného Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) a doposavad se stavěl proti jakýmkoliv snahám oslabovat instituty v tomto návrhu obsažené.
Ředitel NÚKIBu Lukáš Kintr na jednání výboru zdůraznil, že stanovisko a expertní doporučení jeho úřadu se nemění. „Turbulentně se mění bezpečnostní situace kolem nás. Jsem rád, že o mechanismu bezpečnosti dodavatelského řetězce už neprobíhá debata, jestli je ho potřeba, ale řeší se pouze jeden z jeho mnoha aspektů,“ řekl Kintr a označil za dezinterpretace, že pokud by v zákoně zůstala aktiva v úrovních vysoká a kritická, musel by kabinet uplatňovat pravomoc jen v tomto rozsahu.
Nesouhlasil potom ani se závěry, že vypuštění stupně vysoká ze zákona znamená omezenou viditelnost na aktiva s nižší důležitostí. Odpor k ústupkům však nijak nezastíral. „V kompromisech se vytrácí esence původního návrhu, to znamená bezpečnost České republiky,“ neodpustil si kritickou poznámku Kintr.
Ve shodě s ním i zpravodaj k návrhu Petr Letocha ze STAN kladl důraz na to, aby zákon začal co nejdříve platit. „Shoda napříč politickým spektrem je, že zákon by měl být dokončen v tomto volebním období, abychom měli platnou legislativu, kterou můžeme upravovat v budoucnu,“ prohlásil. Podle něj bylo jednání kolem návrhu zákona už mnoho a řada z nich vedla k ústupkům ze strany NÚKIBu. „Bohužel na úkor zákona a jeho původního záměru,“ souzněl s ředitelem NÚKIBu Letocha.
Vyškrtnutí aktiv z kategorie vysoká zpravodaj k návrhu bez bližších podrobností označil za důsledek politické dohody, když ještě před druhým čtením garanční výbor s rozmělňováním zákona nesouhlasil. „Dohoda, ke které došlo, určuje, že v rámci pozměňovacích návrhů z Hospodářského výboru zůstane atribuce vysoká vyškrtnutá. Tato atribuce bude přidána nařízením vlády,“ uvedl Letocha.
Omezí se tím i kontroly?
Změna ale vyvolala další otázky. Člen výboru pro bezpečnost a místopředseda hnutí ANO Robert Králíček se zajímal o to, jak to bude s kontrolními mechanismy od NÚKIBu. „Máme několik výkladů k pozměňovacím návrhům Hospodářského výboru. Dlouhodobě zastáváme přístup, že NÚKIB by měl kontrolovat vše, ale o zásadních věcech by měla rozhodovat vláda nesoucí politickou zodpovědnost,“ uvedl své pochybnosti.
Konkrétně jde o souvztažnost navrhovaného ustanovení § 31 stanovující povinnost poskytovatele strategicky významné služby hlásit do Brna údaje o dodavatelích všech bezpečnostně významných dodávek s ustanovením § 27 upravujícím podmínky prověřování případných rizik.
Lukáš Kintr se pochybnosti následně snažil rozptýlit: „pokud úroveň vysoká ze zákona vypadne, zmizí povinnost hlásit dodavatele aktiv na této úrovni, pakliže se to přidá do nařízení vlády, dosáhneme stejného.“ Řečníci se dále shodli na tom, že pravomoc omezovat a zakazovat zůstane v rukou vlády, zatímco prověřovat a kontrolovat bude NÚKIB. „Jak je to navržené, regulované subjekty budou hlásit dodavatele, proběhne prověření a vládě bude navrženo, jak se s tím vypořádat,“ uzavřel šéf regulátora.
K tomuto výkladu se přiklání i advokátka specializující se na právo v IT Lucie Balýová. „Nezáleží na tom, zda jsou jednotlivé kategorie aktiv rozdělené do zákona a do nařízení vlády, nebo jestli jsou na jednom místě. Povinnost bude pro poskytovatele strategicky významné služby platit tak jako tak,“ říká.
Na úlevy pro veřejnou správu ostatní nedosáhnou
Až na šest výjimek garanční výbor pro bezpečnost se všemi pozměňovací návrhy vyslovil souhlas. Vedle legislativně technických úprav jde věcně předně o přesun rozhodovacích pravomocí na vládu. Teprve s jejím souhlasným usnesením může NÚKIB opatřením obecné povahy stanovovat podmínky nebo rovnou zakázat nežádoucí dodavatele. Na vládu se také z NÚKIBu přesouvá pravomoc definovat nařízením strategicky významné služby.
Další výborem podpořený poslanecký návrh přináší úlevu úřadům. Pokud v odvětví veřejná správa úřady použijí aktiva provozovaná prostřednictvím cloud computingu, nepovažuje se taková část strategicky významné služby za nezbytný rozsah strategicky významné služby. Tím pádem služby státu provozované v cloudu vypadávají z hodnocení kritéria, jak závažný dopad jejich případná nedostupnost může na bezpečnost České republiky nebo vnitřní pořádek mít.
Co naopak podporu nemá, to je čtveřice návrhů od Hospodářského výboru pod písmeny B18 až B21. Jedná se o navrhovaný zásah do § 33, který právě řeší zajištění strategicky významné služby. Hospodářský výbor navrhoval zvolnění povinnosti provozovat tento typ služby výlučně z území České republiky na jakýkoliv členský stát Evropské unie a chtěl rozšířit cloudovou výjimku pro stát zmíněnou v předchozím odstavci i na ostatní odvětví, ovšem za podmínky, že poskytovatel bude zařazený do nejvyšší bezpečnostní úrovně.
A konečně podporu nezískala ani dvojice poslaneckých pozměňovacích návrhů poslankyně za SPD Vladimíry Lesenské. Ta navrhovala osobní data českých občanů ukládat výlučně na datových úložištích v tuzemsku, případně v datacentrech pod výhradní správou subjektů nebo evropské jurisdikci. Návrhy jsou variantní, první počítá s výjimkami, druhý je přísnější a žádné úlevy nepřipouští. Ani pro jeden bezpečnostní výbor ruce většinově nezvedl, respektive pro oba návrhy hlasoval ze čtrnácti přítomných pouze Lesenské stranický kolega Radek Koten.
Návrh zákona o kybernetické bezpečnosti je pro závěrečné čtení zařazen na program schůze v týdnu před Velikonocemi.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU