Na rozdíl od Poslanecké sněmovny má v Senátu návrh zákona o kybernetické bezpečnosti zatím hladký postup. Všechny tři výbory v horní komoře Parlamentu přijaly doporučující usnesení schválit zákon ve znění, v jakém přišel od poslanců. To samé platí pro doprovodný změnový zákon, který do souladu s novou kyberbezpečnostní regulací dává osm dalších zákonů, mezi jinými i o elektronických komunikacích, o celní správě nebo AML zákon.
I přesto, že legislativci Senátu objevili v zákoně chybu, kterou právníci předkládajícího Národního úřad pro kybernetickou a informační bezpečnost (NÚKIB) přehlédli, zřejmě to nebude důvod k vrácení materiálu zpátky.
Špatně vymezený přestupek
Chyba se vloudila do ustanovení o přestupcích vztahujícího se na poskytovatele strategicky významné služby. Ten se podle § 59 odst. 3 písm. h) má dopustit přestupku tím, že „nestanoví čas a kvalitu dostupnosti strategicky významné služby z území České republiky nebo o tom nevede záznam podle § 33 odst. 5“.
Jenže tyto povinnosti jsou uvedeny až v následujícím odstavci (§ 33 odst. 6). V pátém odstavci najdeme negativní vymezení nezbytného rozsahu strategicky významné služby v odvětví veřejné správy. Tím není část využívající aktiva na bázi cloud computingu podle podmínek zákona č. 365/2000 Sb., o informačních systémech veřejné správy.
Tato změna se do zákona dostala až ve Sněmovně formou pozměňovacího návrhu garančního výboru pro bezpečnost A12 a A13, kdy byl vložen nový odstavec, ale už nedošlo k přečíslování odkazu souvisejícího přestupku. Je pravděpodobné, že tento nedostatek bude možné napravit v rámci korektur před případným vydáním zákona ve Sbírce, aniž by kvůli tomu musel Senát zákon o kybernetické bezpečnosti vracet Sněmovně.
Hospodářská prosperita není bez bezpečnosti
V senátním Výboru pro zahraniční věci, obranu a bezpečnost se podpora novým regulím kyberbezpečnosti očekávala už z toho důvodu, že jeho předseda Pavel Fischer při slyšení ve sněmovní obdobě tohoto poradního orgánu se hlasitě přikláněl k co nejpřísněji nastaveným pravidlům. „Debata v Poslanecké sněmovně, která se projevila ve dvou pozměňovacích návrzích z bezpečnostního výboru a Hospodářského výboru, se jevila jako by byla odtržena od reality bezpečnosti. Jako kdyby jen hospodářská stránka byla důležitá. Jak dobře víme, hospodářská prosperita bez bezpečnosti nefunguje,“ uvedl Fischer.
Nesouhlasil přitom s přechodem pravomocí NÚKIBu na vládu ve vztahu k rozhodování při posuzování bezpečnosti dodavatelského řetězce. „Je to jako bychom pravomoci hygieny přehodili na vládu. Pokud si hlavní hygienik něco lajsne, a je z toho průšvih, je poslední den ve funkci. Představa, že vláda bude muset řešit technické otázky, které jí NÚKIB přinese a oni to nebudou umět rozklíčovat, to bude jako kdyby vláda rozhodovala za hlavního hygienika,“ připojil další příměr.
Šéf obranného výboru se vymezil i proti zákonnému omezení hodnocení aktiv podléhajících u poskytovatelů strategicky významné služby mechanismu bezpečnosti dodavatelského řetězce. Přijatým pozměňovacím návrhem sněmovního hospodářského výboru se tento limit z kategorie vysoká zvýšil na kritická. NÚKIB ale do připomínkového řízení poslal návrh nařízení vlády, díky kterému vláda dosáhne i na aktiva v kategorii vysoká a do budoucna si je bude moci dále upravovat podle potřeby.
„Máme 10 let od prvního zákona o kybernetické bezpečnosti. Bylo důležité ho novelizovat. Nejen kvůli Evropské unii a hrozícím sankcím za překročení transpoziční lhůty, ale také kvůli NATO. Jde o obranu a bezpečnost a všichni víme, jak vypadal čínský útok proti systémům ministerstva zahraničních věcí,“ uzavřel důvody k posílení kybernetické bezpečnosti senátor Pavel Fischer.
Obcí se dodavatelský řetězec týkat nebude
Nepřítomnou zpravodajku zákona Janu Mračkovou Vildumetzovou zastoupil senátor Róbert Šlachta, který poukázal na vzácnou shodu v dolní komoře, kdy pro materiál zvedlo ruku 159 poslanců, včetně opozičních. Ve svém stanovisku ocenil nově získanou pravomoc státu zakazovat rizikové dodavatele.
Senátor za STAN Jan Sobotka vyslovil v souvislosti s návrhem dvě obavy, jedním dechem ale doplnil, že i tak bude hlasovat pro schválení. Tlumočil výtku z podnikatelské sféry, že sankce mohou být svou výší protiústavní, a zároveň, že kybernetický zákon bude pro města a obce představovat povinnost „přezbrojit“ kamerové systémy.
Ředitel NÚKIBu Lukáš Kintr tyto obavy mírnil. Zmínil přitom limity dané správním řádem, že sankce musí být přiměřené a nemohou být likvidační. „S ohledem na to, jak širokou množinu subjektů regulace zasáhne, nedává jinou možnost, než stanovit sankce procentem z obratu, aby to bylo přiléhavé v jednotlivých případech. Rád bych podotknul, že k finančním nebo jakýmkoliv jiným sankcím NÚKiB přistupuje až jako k poslední možnosti,“ vysvětlil Kintr s tím, že regulátor po identifikaci nesouladu se zákonem napřed stanoví časový prostor pro nápravu, a pokud jí je dosaženo, sankce buď neukládá, nebo jen v symbolické výši.
Doplnil také, že otázka protiústavnosti se řešila už na úrovni Legislativní rady vlády, kdy byl návrh zákona upraven tak, aby byl ústavně konformní. Týká se to i trestu zákazu výkonu funkce činnosti statutárního orgánu, který vyžaduje přímo směrnice NIS2. „Sankce připadá v úvahu až tehdy, kdy by někdo systematicky ignoroval zákonné povinnosti,“ ujistil Kintr.
Ani obavy ze zvýšených nákladů obcí v souvislosti s kamerovými systémy často čínské provenience nejsou na místě. Úřad podle něj nebude mluvit do parametrů těchto systémů do chvíle, než bude hrozit bezprostřední riziko. „Pokud se vláda nerozhodne jinak, bezpečnost dodavatelského řetězce se obcí v žádném případě nedotkne,“ dodal.
Plénum Senátu má kyberbezpečnostní zákon na programu tuto středu 11. června jako 8. bod.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU