Problémy zákona o kybernetické bezpečnosti pokračují. Norma připravená Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) zatím žádnou z povinných zastávek neprošla hned napoprvé. Po fiasku na Legislativní radě vlády (LRV), kde napřed těsně před loňskými Vánocemi předpis v tehdejším znění nezískal podpis premiéra, aby se jím vládní legislativci vůbec mohli začít zabývat, a následně o měsíc později NÚKIBem předložená nová verze byla ze strany LRV vrácena k přepracování s hustě popsanými listy připomínek, kyberbezpečnostní zákon narazil i na samotné vládě. Ta jej měla projednat minulou středu.
Kabinet ale oba dva úvodní body svého jednání přerušil. Na tiskové konferenci premiér Petr Fiala na dotaz k důvodům takového kroku odpověděl velmi neurčitě. „Ještě tam potřebujeme vyřešit drobnou legislativní úpravu. Řekli jsme si, že bude vhodné, abychom jednání přerušili a naši legislativci měli možnost to dobře připravit. Netlačí nás čas,“ řekl Fiala. Jeho strohé vyjádření stojí za pozornost hned z několika důvodů.
Na drobné úpravy byl půl roku čas
Zaprvé, vládní legislativci měli spoustu času se zákonem zaobírat před jednáním vlády a není důvod se domnívat, že by tento svůj úkol jakkoliv podcenili. Zákon jim v repozitáři knihovny připravované legislativy poprvé přistál 22. prosince 2023, tehdy však ještě v neprojednatelné verzi, které chybějící podpis předsedy vlády vystavil stopku. I když vezmeme jako výchozí termín 22. leden 2024, kdy LRV měla k dispozici první podepsanou a projednatelnou verzi, je to bezmála 6 měsíců, které nejen sama LRV, ale i ostatní odbory mající na vládě legislativu na starosti měly na to normu slovy premiéra „dobře připravit“, a to tím spíše, pokud rozsah požadovaných legislativních úprav má být pouze „drobný“. Kvůli drobným úpravám zpravidla není třeba jednání přerušovat.
Pokud naopak návrh nebyl v dobré kondici už na počátku, což lze odtušit i z toho, kolik jeho různých verzí musel NÚKIB na vládu postupně poslat, jaké zpoždění v projednávání tím vyvolal a jaké negativní ohlasy představená úprava z mnoha stran po celou dobu sklízí, pak jedinou rozumnou reakcí ze strany vlády jako zadavatele mělo být už před časem návrh NÚKIBu vrátit s přesnými instrukcemi, jak má jeho podoba vypadat. Vytyčit jasné mantinely jeho kreativitě co do rozsahu pravomocí a způsobu jejich uplatňování i nakolik se má a smí návrh odchýlit od představy evropských politiků zhmotněné ve směrnici NIS2.
Není přitom sporu o tom, že zákon o kybernetické bezpečnosti potřebujeme. Otázkou je jen, jak invazivní má být, tedy do čeho všeho by měl zasahovat. V době, kdy čas od připojení jakéhokoliv zařízení k internetu do prvních pokusů o skenování portů pro zjištění jeho případných zranitelností počítáme maximálně na minuty, by bylo bláhové se tvářit, že se nás kyberbezpečnost netýká. I bez k tomu příslušného zákona přijímá nutná opatření pro ochranu svých dat a aplikací průběžně každý, kdo o data, přístupy a bezproblémovou funkčnost svých webů a aplikací nechce přijít.
Zákon by měl jít cestou nastavení nepodkročitelného minima, těch naprostých základů bezpečnosti, které každá pro společnost podstatná služba závislá na infrastruktuře IT musí splňovat. Charakter této minimální úrovně ochrany pak bude odvislý od důležitosti chráněné služby. Jeho ambicí by nemělo být plošně zvedat laťku příliš vysoko, někam na úroveň internetového bankovnictví, i pro služby, jejichž význam takto vysokému stupni ochrany neodpovídá. Je třeba otázkou, jestli každý e-shop provozovaný podnikem střední velikosti (a tím spadající pod zamýšlenou regulaci) musí mít vícefaktorové přihlašování uživatelů, případně heslo s minimálně 12 znaky. A je otázkou, zda státní úřad má mít pravomoc rozhodovat, kterého dodavatele zařízení si do své infrastruktury můžete pustit a kterého ne. To vše jde daleko nad rámec NIS2.
Řady kritiků se rozrůstají
Kritiků nových pravidel přitom přibývá. Už to nejsou jen mobilní operátoři a Hospodářská komora. Proti se staví i takoví giganti ze zámoří jako Microsoft, Oracle, GE Aerospace, Honeywell, 3M, Johnson & Johnson a další. Ne jednotlivě, ale skrze Americkou obchodní komoru AmCham. Výhrady jsou přitom obdobné, jaké je možné slýchat i z ostatních stran: připravená regulace si vyžádá vysoké náklady bez tomu odpovídajícího zlepšení bezpečnosti a v rukou NÚKIBu se bezdůvodně mají koncentrovat příliš široké pravomoci, navíc často jen na základě podzákonných předpisů.
„Žádáme vládu, aby zvážila, zda je taková míra delegace nezbytná,“ napsala AmCham v otevřeném dopise spolu s hlavním požadavkem, aby kabinet dobře zvážil, zda zákon v této podobě vůbec pustit dál. Zda těmto výzvám ministři dopřejí sluchu, bude jasné už ve středu, kdy jsou oba body (kyberzákon jako takový a k němu doprovodný změnový zákon) opět zařazeny na úvod schůze vlády.
Ale zpět k vyjádření premiéra Fialy. Zadruhé není tak úplně pravda, že by vládu čas netlačil. Platná evropská směrnice NIS2 požaduje po členských státech, aby transpozici pravidel do národní legislativy zapracovaly nejpozději do 18. října 2024. Nebyl by to zdaleka první a ani poslední případ, kdy by Česká republika transpoziční lhůtu nestihla a vysloužila si kvůli tomu řízení o porušení unijního práva, takzvanou proceduru infringementu.
Česko je nedisciplinované při přijímání bruselské regulace
Pokud se podíváme na zatím poslední dostupné bruselské statistiky z konce roku 2022 (někdy v průběhu července mají být zveřejněna nová data za rok 2023), Česko patřilo v tomto ohledu mezi pět nejhorších evropských zemí vůbec. Čelilo celkem 94 procedurám infringementu, z čehož rovných 56 bylo vyvoláno kvůli opožděnému promítnutí evropských předpisů do vnitrostátního práva. Horší už byly jen Polsko, Řecko, Španělsko a Belgie.
Český vládní zmocněnec pro tyto otázky zveřejnil své statistiky za rok 2023 o něco dříve, a tak z nich víme, že za celou dobu od vstupu do Evropské unie Česká republika čelila bezmála devíti stovkám případů infingementu. A 38 z nich vyústilo až k podání žaloby k Soudnímu dvoru EU. To je přitom velmi nepříjemná komplikace, neboť každé takové řízení, které skončí odsuzujícím rozsudkem, má neblahý dopad do státního rozpočtu. Evropští soudci totiž mohou za liknavost českému státu vyměřit peněžité sankce v podobě penále a paušální náhrady. Obojí se počítá na miliony eur.
Nedodělků za tuto dobu mají čeští politici požehnaně a rozhodně nejde o nějaké podřadné směrnice. Namátkou, jen loni Brusel s Prahou zahájil infringement například kvůli zákonu upravujícímu hromadné žaloby spotřebitelů, kvůli transpozice směrnice o jakosti vody k lidské spotřebě, kvůli úpravě boje proti praní špinavých peněz, evropské podobě povinného ručení a zavedení opatření pro zlepšení bezpečnosti na železnici (dopravní sítě TEN-T).
Čas tedy běží a chybějící zákon o kybernetické bezpečnosti s největší pravděpodobností bude další v řadě výhrad, za které Evropská komise českou vládu pokárá.