Krátké vlny: Návrh kyberzákona před branami vlády. Stihnou jej projednat poslanci?

Červen rozrazil dveře a státní správa nasazuje vyšší rychlost ve snaze urvat KPI za druhý kvartál. A tak Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) poslal Legislativní radě vlády (LRV) upravenou verzi nového zákona o kybernetické bezpečnosti a čeká na jeho posouzení. 

Slovutní členové „legislativky“ budou určitě potěšeni vyšší úrovní legislativního textu (běžný uživatel však zapláče nad složitostí některých paragrafů) a NÚKIB si věcně stojí za svým návrhem. 

Přečtěte si také:

Regulace podle NIS2: NÚKIB se zjednodušeným návrhem kyberbezpečnostního zákona pokouší u legislativní rady o reparát

K nové verzi úřad připravil přehledný souhrn změn. Jedná se zejména o:

• doplnění definice „dat“ a informací“,
• novou definici aktiva (nově fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě),
• proces hlášení a registrace regulované služby zůstává beze změny, NÚKIB ale upravil terminologii a pokusil se text zjednodušit; proces sebeidentifikace za regulovanou osobu zůstává, nicméně po připomínkách LRV je to NÚKIB, kdo po ohlášení poskytovatele provede registraci, resp. vydá rozhodnutí o registraci regulované služby,
• režim poskytovatelů regulovaných služeb zůstává stejný, ale odchylky a výjimky z doporučení Komise 2003/361/ES (malé a střední podniky) byly přesunuty z prováděcího právního předpisu do zákona,
• organizační složky státu, územní samosprávní celky a ČNB se nově nepovažují za podnik, vyhláška o regulovaných službách jim přímo určuje režim,
• podmínky pro režim poskytovatelů regulovaných služeb NÚKIB zjemnil tím, že při počítání velikosti regulovaného podniku se za partnerský nebo propojený podnik nově nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby,
• v části povinnosti poskytovatele regulované služby bylo zestručněno hlášení údajů a stanovení rozsahu řízení kybernetické bezpečnosti,
• nové oprávnění NÚKIBu ve vztahu k poskytovateli regulované služby je možnost uložit zákaz informovat uživatele, pokud by to nebylo vhodné například s ohledem na bezpečnostní situaci, probíhající zahraniční útočnou kampaň atd.,
• v rámci části protiopatření NÚKIB odstranil povinnost hlásit provedení všech opatření, nově je tato povinnost vázána pouze na reaktivní opatření; současně NÚKIB odstranil ustanovení, které říkalo, že varování zohledňuje pouze poskytovatel v režimu vyšších povinností. Protože poskytovatel v režimu nižších povinností nemá povinnost zpracovávat analýzu rizik, dotýká se ho tak pouze obecná prevenční povinnost a NÚKIB mu věnuje v rámci varování zmínku,
• ustanovení o předávání informací a dat mezi poskytovatelem v režimu vyšších povinností a jeho dodavateli se nově týká všech dodavatelů, a nikoliv jen těch významných,
• informace o tom, že regulovaná služba je strategicky významnou službou, je součástí odůvodnění rozhodnutí o registraci regulované služby,
• největší jablko sváru v předkládaném zákonu, mechanismus bezpečnosti dodavatelských řetězců, zůstává věcně beze změny. NÚKIB se zajímá pouze o dodavatele poskytovatelů strategicky významných služeb a prověřuje rizika týkající se možné hrozby pro bezpečnost ČR nebo vnitřní pořádek. Nově úprava definuje, co je neopominutelnou funkcí, a formulačně se upravila definice bezpečnostně významné dodávky. Formulačně došlo k úpravě povinnosti součinnosti. Z porovnání verzí zákonů také vyplývá, že došlo k přeformulování části o „závazném stanovisku“. Nově NÚKIB předloží návrh opatření obecné povahy, kterým stanoví omezení nebo zákaz plnění dodavatele bezpečnostně významné dodávky, k vyjádření Ministerstvu průmyslu obchodu, Ministerstvu zahraničních věcí a Ministerstvu vnitra, jejichž stanovisky je Úřad povinen se řídit,
• nový návrh už také nedrží terminologii Pravidel registrace doménových jmen, legislativcům se zalíbilo spojení „doménové jméno“ místo „jména domén“. No, když si právníci myslí, že internet má stránky (český právní řád zarputile používá „internetové stránky“ místo „webové stránky“), tak je jasné, že se nebudou držet zaužívané terminologie :-),
• sankce byly přeskupeny a zpřehledněny. Nově o pozastavení výkonu řídicí funkce může rozhodnout přímo NÚKIB, a nikoliv soud,
• nově o stavu kybernetického nebezpečí rozhoduje NÚKIB, a nikoliv ředitel NÚKIB a i v rámci tohoto stavu by měl platit správní řád.

Nyní uvidíme, zda v upraveném znění najdou členové LRV uspokojení a návrh poputuje se stanoviskem předsedy LRV na vládu, nebo zda budou členové LRV ještě nad zněním návrhu rokovat. 

Co už víme jistě, je, že určitě budou rokovat 20. června nad návrhem tzv. technické novely zákona o elektronických komunikacích. A pak hurá na vládu a do parlamentu. 

Protřelí lobbisté už mají spočítáno, že návrhy zákonů, co nebudou v Poslanecké sněmovně do konce června, mají výrazně menší šanci na schválení v tomto volebním období. Ale historie už ukázala, že dostatečná politická podpora a extrémní pracovní úsilí v malostranských palácích dokáže protlačit i složitější zákony velmi rychle. 

Ale možná je čas vypsat sázky. Tak na koho si vsadíte?

TIP: Dění kolem návrhu kyberzákona a implementace evropské směrnice NIS2 sledujeme detailně v seriálu Regulace podle NIS2. 

• Chcete mít Lupu bez bannerů?
• Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
• Chcete mít k dispozici strojové přepisy podcastů?
• Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
• Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

Chci se stát podporovatelem