Už dva roky pravidelně každé úterý sledujeme veškeré dění kolem nových pravidel kybernetické bezpečnosti připravovaných Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). I když regulátor začal s přípravami nové legislativy souběžně se schválením směrnice NIS2, Česko stále nový zákon o kybernetické bezpečnosti účinný nemá.
A podle vyjádření NÚKIBu ho nebude mít dokonce ani rok poté, co v říjnu loňského roku uplynula transpoziční lhůta. Zákon má teď k podpisu prezident Petr Pavel a v závislosti na jeho postoji se publikace v elektronické Sbírce zákonů očekává až v průběhu srpna. Tím pádem by účinnost nastala až 1. listopadu.
NÚKIB bude mít přes léto plné ruce práce hlavně s prováděcími předpisy ke kyberbezpečnostnímu zákonu. Z minulého dílu víme, že vyhlášky v meziresortním připomínkovém řízení posbíraly celou řadu zásadních výhrad nejen od soukromého sektoru, ale nebývale ostré jsou i námitky od ministerstev a dalších úřadů. Svým úřednickým kolegům v Brně vyčítají například překročení zákonného rámce či nesrozumitelnost.
Vyškrtněte policii, žádá vnitro
Nepřekvapí proto, že pro regulátora podobně neslavně dopadlo připomínkové řízení i u jím připravené dvojice nařízení vlády. V posledním díle před letními prázdninami se na ně postupně zaměříme. Jedno nařízení se týká strategicky významných služeb, druhé pak neopominutelných funkcí stanoveného rozsahu. Ač se jedná o stručné a jednoduché předpisy, zveřejněná znění přiměla připomínková místa k nim uplatnit na dvě desítky zásadních připomínek.
Tak jako u vyhlášek vyjádřilo Nejvyšší státní zastupitelství podiv nad tím, že když NIS2 umožňuje státní zastupitelství z působnosti kyberbezpečnostního zákona vyjmout, proč této možnosti NÚKIB nevyužil, tentokrát se ozvalo Ministerstvo vnitra s požadavkem na vyškrtnutí státní policie, včetně Policejního prezidia z regulace. „Směrnice NIS2 zohledňuje specifické postavení určitých orgánů, které mají být vyjmuty z její působnosti právě s ohledem na důležité zájmy ochrany veřejného pořádku a bezpečnosti. Předkládaný návrh však tuto ideu nereflektuje a zařazuje útvary Policie ČR mezi další orgány veřejné moci, které však plní úkoly ve zcela jiných oblastech,“ zdůvodňuje vnitro. A kritizuje i odbytou důvodovou zprávu. „U některých uvedených institucí není zřejmé, proč byly zařazeny právě ony, a proč naopak jiné chybí,“ uvádí resort.
Za vhodné nepovažuje vnitro ani poměřovat strategickou významnost služby počtem obětí nebo zraněných, ke kterým by vedla její nedostupnost. V příloze č. 2 nařízení v tomto ohledu zmiňuje číselné kritérium 2500 zraněných nebo 250 obětí. Vnitro upozornilo na to, že ve Sněmovně už leží nový zákon o kritické infrastruktuře, který tato průřezová kritéria ruší a způsob určování prvků kritické infrastruktury zásadně mění.
Náročnost jako důvod k vynechání neobstojí
Český telekomunikační úřad se pozastavil nad tím, že nařízení vlády sice operuje s počtem mobilních SIM karet nebo aktivních internetových přípojek, ale není jasné, k jakému datu se tyto mají počítat. Navrhuje proto dokument upravit tak, aby se bral v úvahu stav vždy k 1. lednu daného roku. Ještě silnější výhrady pak ČTÚ uplatnil vůči nařízení vlády o nepominutelných funkcích. Tento dokument považuje za nekoncepční a požaduje jeho přepracování.
Konkrétně telekomunikační regulátor kritizuje skutečnost, že se NÚKIB v seznamu nepominutelných funkcí strategicky významných služeb omezil pouze na sektor elektronických komunikací. „Odůvodnění, že je tomu proto, že se jedná o standardizovanou oblast a že by sestavení seznamu pro ostatní sektory bylo náročné, v daném případě podle názoru ČTÚ samo o sobě obstát nemůže, už proto, že právě vysoká míra standardizace pojmově vylučuje v důvodové zprávě deklarovanou hrozbu subjektivního určení kritické části stanoveného rozsahu a s ním spojený rozdílný přístup i kvality provedení identifikace kritických aktiv jednotlivými poskytovateli regulovaných služeb,“ napsal do připomínek úřad.
A ČTÚ si bere na paškál i ve Sněmovně domluvený handl vyškrtnout pro účely posouzení bezpečnosti dodavatelského řetězce ze zákona jiná aktiva než kritická, když vláda pak má mít možnost (a nařízení vlády jí tuto pravomoc dává) si sama aktiva na nižší úrovni přidat. ČTÚ kritizuje, že pro co zákon nastavuje úroveň kritická, pro totéž nařízení vlády operuje s úrovní vysoká. „Z obecného pohledu takové vymezení devalvuje smysl úrovně kritická, pokud mají tyto úrovně mít v konečném důsledku podle nařízení vlády stejnou váhu,“ uvádí úřad a požaduje, aby nepominutelné funkce byly vždy vymezeny výslovně a úplným výčtem.
Hospodářská komora navrhuje sjednotit pohled na elektrárny podle kybernetického zákona s požadavky na zajištění odolnosti subjektů kritické infrastruktury. Za tím účelem chce posunout hranici instalovaného výkonu v nařízení ze současných 100 MW na 400 MW. Podobný názor má i Svaz průmyslu a dopravy.
U telekomunikačních operátorů zase chce navýšit hranici počtu aktivních internetových přípojek ze 100 tisíc na 350 tisíc a sjednotit to tak s počtem aktivních mobilních SIM karet. „Odmítáme přístup k regulaci, který jednoznačně zvýhodňuje nadnárodní mobilní operátory oproti regionálním poskytovatelům přístupu v pevném místě,“ uvádí komora v odůvodnění s tím, že takový přístup je neústavní, nepřiměřený a hrozí poškozením hospodářské soutěže.
U nepominutelných funkcí Hospodářská komora namítá nerovný přístup k telekomunikačním operátorům oproti všem ostatním regulovaným subjektům, neboť pouze ti mají v nařízení napevno vyjmenováno, jaká aktiva budou za všech okolností hodnocena jako kritická. NÚKIB to zdůvodnil obavami, že by ne všechna aktiva, na kterých bude poskytování regulované služby vždy závislé, byla správně ohodnocena, tedy jinými slovy operátory nepřímo obviňuje z podvodů.
To komora odmítá s poukazem na rozsáhlou kontrolní činnost v posledních měsících. „Pokud by skutečně docházelo k rozdílným přístupům i kvalitě provedení identifikace kritických aktiv, pak by na to NÚKIB v rámci kontrol přišel. Vzhledem k tomu, že žádné takové výtky nezazněly, je zjevné, že k tomu nedochází,“ uvádí se v připomínkách.
Odbytá RIA, zní z více míst
A opět se vrací výhrady proti nedostatečně zpracované hodnotící zprávě regulace RIA. Komora v tomto ohledu připomíná závěry Legislativní rady vlády, že už u návrhu kybernetického zákona byla RIA zpracována „nedostatečným způsobem“ a trpěla „značnými nedostatky“, avšak nijak doplněna nebyla. „Závěrečná zpráva zejména neobsahuje žádnou informaci o dopadech regulace na podnikatelské prostředí,“ uzavírají zástupci podnikatelů.
V tomto směru průmysl našel zastání u Ministerstva dopravy. I to NÚKIB sepsulo za odbytou hodnotící zprávu. „Bez řádně zpracované Závěrečné zprávy hodnocení dopadů regulace (RIA) bude vláda rozhodovat o restrikcích, aniž by věděla, jaký dopad dané omezení bude mít na soukromý i na veřejný sektor,“ uvádí důsledky popsaného nedostatku resort dopravy.
Úkolem NÚKIBu bude nyní všechny obdržené připomínky vypořádat a všechny prováděcí předpisy vydat tak, aby mohly začít platit společně s novým kybernetickým zákonem.