Ve stínu schvalovacího procesu návrhu zákona o kybernetické bezpečnosti zůstává příprava nového zákona o odolnosti subjektů kritické infrastruktury a o změně dalších zákonů, známého spíše pod zákonem o kritické infrastruktuře. Přitom mají až nápadně mnoho společného, a to nejen co se týče promeškané transpoziční lhůty, když obě normy měly být do národní legislativy implementovány do 17. října a ani v jednom případě se to už zaručeně nestihne.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Zákon o kritické infrastruktuře představuje přísnější nadstavbu kyberbezpečnostní regulace. V současnosti pod něj spadá přibližně 200 subjektů. Ale tento počet by se po přijetí nové normy měl zdvojnásobit. Naprostá většina nově regulovaných pak bude pocházet ze soukromého sektoru. Půjde o ty firmy, které na území České republiky poskytují službu nezbytnou pro zachování základních funkcí státu, bezpečnosti atd., jejichž kritická infrastruktura se na území našeho státu nachází a které byly jako subjekty kritické infrastruktury i určeny. Kritéria významnosti jsou stanovena zvlášť pro každé odvětví, ať už je to energetika, doprava, nebo třeba digitální infrastruktura. Například služby cloud computingu pod regulaci spadnou podle toho, zda poskytují službu IaaS (infrastrukturu jako službu) a překračují určený počet jader procesorů.
Doteď ruku v ruce, nově každý po svém
Zatímco podle aktuálně účinné právní úpravy existuje mezi oběma zákony přímá vazba, kdy kyberbezpečnostní zákon například ukládá správci a provozovateli informačního systému a komunikačního systému kritické informační infrastruktury určité povinnosti, podle chystané právní úpravy půjde o dvě na sobě nezávislé regulace. „Každý z předpisů stanoví svůj okruh regulovaných osob. Ve většině případů budou firmy starající se o kritickou infrastrukturu pod oběma regulacemi. Může ale nastat situace, kdy subjekt bude muset splnit povinnosti podle zákona o kritické infrastruktuře, ale ne už podle kyberbezpečnostního zákona,“ říká advokát Jan Tomíšek z Rowan Legal. Půjde o případy, kdy firma nenaplní kritérium velikosti podniku, na němž je regulace podle kyberbezpečnostního zákona založena.
Podobně jako transpozice směrnice NIS2 rozlišuje mezi režimem nižších a vyšších povinností, také u kritické infrastruktury můžeme očekávat dvourychlostní regulaci. V každém případě bude muset firma příslušnému správnímu úřadu předat informace o základních službách. Na základě těchto hlášení pak Ministerstvo vnitra může určit daného poskytovatele jako subjekt kritické infrastruktury. V takovém případě se ale pak na něj budou vztahovat povinnosti v plném rozsahu.
Ty se týkají zejména oblasti reportování směrem ke státu a nutnost podrobit se kontrolám ze strany státu, a to dalece nad rámec kyberbezpečnostního zákona. Takový regulovaný subjekt tak bude muset zpracovávat hlášení o svých kritických dodavatelích nebo o proběhlých incidentech. A samozřejmě bude mít povinnost zavádět bezpečnostní opatření. Zákon počítá se šesti – řízení rizik, zajištění kontinuity činností, odezva na incidenty, fyzická bezpečnost, řízení bezpečnosti pracovníků a řízení bezpečnosti dodavatelského řetězce. „Prozatím není dostupný návrh prováděcího předpisu, který má tato opatření blíže definovat, nicméně předpis by měl vycházet z technických norem ČSN EN ISO, respektive ISO,“ říká Jan Tomíšek.
I vnitro podlehlo touze po koncentraci moci
Další podobnost se zákonem o kybernetické bezpečnosti je u kritické infrastruktury v tom, že jej vyžaduje evropská směrnice, v tomto případě CER (EU) 2022/2557, o odolnosti kritických subjektů. A stejně tak nejde o čistou transpozici této směrnice. Ministerstvo vnitra si pravidla narýsovalo podle svých potřeb, což přiznává i v důvodové zprávě, kde je tato legislativní kreativita schovaná pod oblíbenou floskulí, že „návrh vychází z praktických zkušeností“.
Zákon tak například mezi regulovaná odvětví zařazuje i „Bezpečnost“, kterou přitom směrnice CER ze své působnosti vylučuje a nechává ji nadále v gesci členských států. Nad rámec CER pak jde i pozice manažera kritické infrastruktury. Navržený zákon vyžaduje určení osoby, která bude komunikovat se státem, a stanoví požadavky na její odbornou způsobilost. Musí mít praxi v oblasti zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činností.
Mimo požadavky směrnice je také navržený mechanismus pokut. Ty jsou nastaveny obdobně jako u GDPR anebo u kyberbezpečnostního zákona procentem z celosvětového ročního obratu. A nesmíme zapomenout ani na nám dobře známý mechanismus bezpečnosti dodavatelského řetězce. Stejně jako se tohoto nástroje zuby nehty drží Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), vzdát se ho u kritické infrastruktury nemíní ani vnitro. To si vyhradilo možnost subjekty kritické infrastruktury varovat, omezit, nebo jim dokonce zakázat přijímat plnění od dodavatelů, kteří dle jeho názoru představují významné ohrožení bezpečnosti země.
Podobně jako u kyberzákona i u návrhu vnitra byl tento mechanismus předmětem kritiky v meziresortním připomínkovém řízení. „Většina těchto připomínek upozorňuje na to, že žádné předpisy jasně nedefinují, jakým způsobem se bude postupovat při zjišťování, zda je dodavatel významným ohrožením bezpečnosti. Tím vzniká velké riziko libovůle, umocněné tím, že pravomoc o tom rozhodovat zůstává v rukou Ministerstva vnitra,“ upozorňuje advokát Tomíšek. Přitom podle něj neexistuje efektivní a rychlý způsob, jak by se dodavatelé mohli proti takovému rozhodnutí bránit. Navíc zákon vylučuje odpovědnost státu za jakoukoliv újmu, který by dodavatelům v důsledku rozhodnutí vnitra mohla vzniknout.
Cvičení prověří připravenost
Víme-li, že pro stát bude kriticky důležitých přibližně 400 firem, pojďme si říct, co je čeká. Vedle už zmíněných základních povinností týkajících se poskytování součinnosti a informací Ministerstvu vnitra a dalším úřadům, to dále budou povinnosti související s vedením dokumentace. Podniky budou muset vypracovat a pravidelně aktualizovat posouzení rizik a plán odolnosti obsahující přijatá bezpečnostní opatření. A v neposlední řadě budou podrobovány pravidelným cvičením. Ty si zorganizují buď samy, nebo jim je nařídí příslušný dohledový orgán. Cvičení má ověřit nastavení procesů a přijatých opatření.
Návrh zákona putuje na Legislativní radu vlády s rozpory ze strany ministerstev obrany, zemědělství, zdravotnictví a financí. Dá se proto čekat, že vládní právníci podrobí připravovanou normu delší diskusi, kdy se bude hledat kompromis mezi jednotlivými resorty.