Poslední dění kolem připravovaného zákona o kybernetické bezpečnosti na úrovni vlády významně nahrává kritikům tohoto návrhu z dílny Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), kteří od počátku poukazovali mimo jiné na až nezdravě silný mocenský apetit brněnského regulátora.

NÚKIB tyto připomínky ignoroval už ve fázi veřejných konzultací, přehlížel je i v meziresortním řízení, četných výtek se mu dostalo od Legislativní rady vlády (LRV), až nakonec ho o ambice samostatně zasahovat operátorům do rozhodování, jaké dodavatele mohou mít ve svých sítích, museli minulý týden připravit svým hlasováním sami ministři.

Celý proces schvalování přitom NÚKIB mohl urychlit, pokud by indicie signalizující, že jeho návrh v tomto ohledu není politicky průchodný, vyslyšel a sám se paragrafů koncentrujících kontrolu nad mobilními sítěmi do Brna dobrovolně vzdal. Návrh už v přípravné fázi nabral opakovaně zpoždění, kvůli kterým se i sám NÚKIB vzdal nadějí, že se transpozice směrnice NIS2 stihne na čas, tedy do 18. října.

Připomeňme, že vládou, stejně jako její legislativní radou, návrh kyberbezpečnostního zákona prošel až napodruhé, když první pokus kabinet odpískal se zdůvodněním, že potřebuje vyřešit „drobnou legislativní úpravu“. Je přitom pikantní, že vládní legislativci se normou zabývali už dobrého půlroku předtím.





Mlžení kolem třaskavé regulace

Jistě ne náhodou bylo opakované projednání návrhu nového kyberzákona zařazeno na den, kdy pozornost médií i veřejnosti byla podle očekávání stočena na docela jiný bod vládního rozhodování – na to, kdo dostaví jadernou elektrárnu Dukovany. Třebaže nová pravidla regulace kybernetické bezpečnosti tvořila úvodní dva body středeční schůze, na tiskové konferenci po jednání vlády o nich nepadlo ani slovo. Problematické téma tím bylo dokonale odspinováno.

Ani s odstupem času není poznatků o tom, v jaké přesně podobě návrh vládou vlastně prošel, mnoho. Všímá si toho na síti X například bývalý šéf telekomunikačního regulátora Jaromír Novák.

"- Tak nám vláda schválila návrh nového zákona o kybernetické bezpečnosti," řekla posluhovačka panu Švejkovi.

- A v jaké verzi paní Müllerová?

- To ještě nevíme, to si musíme počkat."



17.07.2024 17:08:52 - Materiál projednán. Změna stavu: 8 -> 9 — Jaromír Novák (@xmireknovak) July 17, 2024

Mlžení kolem kyberbezpečnostního zákona nabírá intenzity Rákosníčkova rybníku Brčálníku, nad kterým – jak víme – je mlha hustá tak, že by se dala krájet. Ačkoliv zákon vládou prošel, jeho konečnou verzi musí NÚKIB teprve připravit. Vládním usnesením č. 486 bylo úřadu uloženo do finálního znění zapracovat jak připomínky obsažené v posledním stanovisku předsedy LRV, tak ty vzešlé z jednání ministrů. Ani jedno veřejně dostupné není a podle síly odporu, který odpovědná místa kladou při pokusech o získání detailů, se zdá, že půjde momentálně o jedno z nejstřeženějších tajemství tohoto státu.

Zklamán bude ten, kdo by čekal, že sám regulační úřad obratem na svůj web věnovaný přípravě kyberbezpečnostní legislativy doplní chybějící střípky do skládačky. Když už ne rovnou finální znění návrhu po úpravách, tak alespoň stanovisko šéfa LRV Michala Šalomouna tak, jak to ostatně před více než měsícem slíbil, když napsal: „Aktuální podobu návrhu zákona, stejně jako stanovisko předsedy LRV, zveřejníme v následujících dnech.“

Podejte si 106ku, odmítá uvést detaily Úřad vlády

K transparentnosti ale nepřispívá ani sám Úřad vlády. Jeho tisková mluvčí Lucie Ješátková naši žádost o zaslání citovaného stanoviska odmítla. „V tomto vás musím odkázat na zákon o svobodném přístupu k informacím,“ napsala. Není přitom tak docela obvyklé, aby mluvčí veřejné instituce podmiňovala vyřízení požadavků novinářů nutností podstupovat formalizovanou proceduru podle zákona č. 106/1999 Sb. Pokud by se to mělo stát standardem, stává se její funkce jaksi nadbytečnou…

Vysvětlit takový nestandardní postup lze jedině tím, že vládní úředníci hrají o čas, konkrétně o 15 dnů, které na vyřízení žádosti podle informačního zákona mají. Proč jsou ony dva týdny při utajování konečného výčtu všech změn tolik důležité, to je v tuto chvíli ve hvězdách.

Otázky zůstávají i co se týče doprovodného změnového zákona. Zatímco informativní zpráva pro média o výsledcích středeční schůze hovoří o tom, že pouze sám návrh kyberbezpečnostního zákona byl schválen se změnou a návrh tohoto doprovodného zákona byl schválen tak, jak je, z oficiálních usnesení (č. 486 a 487) se lze dočíst, že oba materiály bude muset NÚKIB upravit podle připomínek LRV.

Debata s operátory v rozhodování hrála roli

Bez zveřejnění dokumentů se lze zatím spoléhat pouze na strohá vyjádření přímých aktérů schůze vlády. Vicepremiér pro digitalizaci Ivan Bartoš připustil, že na rozhodnutí ministrů o problematickém mechanismu bezpečnosti dodavatelského řetězce měla vliv aktivita telekomunikačního sektoru.

„Byla poměrně složitá debata s poskytovateli internetového připojení a infrastruktury, zda něco takového může rozhodnout sám NÚKIB jako garant kybernetické bezpečnosti, nebo je na to potřeba větší autority,“ uvedl vicepremiér.

NÚKIBu dostatečná autorita pro takové rozhodnutí má podle něj chybět proto, že z logiky věci jsou s takovým rozhodnutím spojeny náklady pro komerční subjekty, které infrastrukturu rozhodnutím dotčenou provozují. „Je správné, že takové rozhodnutí, které může mít dopady třeba i na nějaké výdaje ze státního rozpočtu, má dělat vláda,“ doplnil Bartoš.