Se začátkem prázdnin všechny viditelné aktivity kolem přípravy nových pravidel kybernetické bezpečnosti vymizely. Tvůrci zákona, Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), na webu věnovanému směrnici NIS2 už delší dobu visí upozornění, že regulátor aktualizaci stránek „z důvodu dosud neukončeného procesu změn návrhu zákona v rámci Legislativní rady vlády“ dočasně pozastavil. A na jiném místě slibované doplnění o aktuální podobu návrhu zákona „v následujících dnech“ v aktualitě z poloviny června také chybí.
Absolutní prioritou není kyberbezpečnostní zákon očividně ani pro vládu, která na své středeční zasedání raději zařadila vysvětlování Ministerstva vnitra a Digitální a informační agentury ke zjištěním Nejvyššího kontrolního úřadu o neúčelně vynaložených prostředcích na modernizaci veřejné správy, než aby se snažila dohnat zpoždění způsobené nutností vrátit materiál NÚKIBu k přepracování.
NÚKIB hodnocení dopadů regulace zatím nedodal
Určitého informačního posunu jsme se tak dočkali alespoň od šéfa Legislativní rady vlády (LRV) a ministra pro legislativu Michala Šalomouna. Ten na webu Úřadu vlády reagoval na kritický komentář hlavy operátorské asociace Jiřího Grunda. Šalomoun potvrdil, že LRV opakovaně předkladatele zákona upozorňovala na nedostatky při hodnocení dopadů regulace RIA a že tento nedostatek není doteď napraven, přestože i bez něj návrh dostal od LRV pozitivní stanovisko.
Podle Šalomouna se NÚKIB zavázal veškeré výtky k závěrečné zprávě RIA dopracovat při tvorbě vládního návrhu zákona o kybernetické bezpečnosti až po jeho schválení vládou. „Taková praxe je zcela běžná s tím, že vládní návrh zákona je poté pečlivě zkontrolován v rámci Úřadu vlády odpovědným útvarem, který garantuje jeho správnost, úplnost a bezvadnost,“ reagoval ministr.
Kyberbezpečnostní zákon, až (a pokud) ho schválí vláda, se do Sněmovny hned tak nepřesune. „V tomto ohledu ještě tento legislativní materiál dozná určitých změn tak, jak i předpokládá oficiální stanovisko předsedy Legislativní rady vlády,“ potvrzuje autor stanoviska.
Zasvěcení a pravidelní čtenáři našeho seriálu přitom vědí, že se již dávno nehraje o to, zda Česká republika stihne transpoziční lhůtu směrnice NIS2, která končí letos 18. října. Tento cíl je dávno passé a strážci kybernetické bezpečnosti teď bojují o to, aby vůbec v tomto volebním období předpis začal platit a nespadl úplně pod stůl. S ubíhajícím časem už tento černý scénář není tak úplně nepravděpodobný. Třecích ploch je v nové regulaci mnoho a míst, kde se mohou třaskavá ustanovení vzpříčit nebo zadřít, rovněž tak.
Věcně nepřezkoumávají, připomínek i tak uplatnili mnoho
Šalomoun ve své reakci několikrát zdůraznil, že LRV nepřísluší se vyjadřovat k věcnému pojetí posuzovaných zákonů. Hodnotí jejich soulad s ústavním pořádkem a dalšími zákony, s mezinárodními smlouvami a právem Evropské unie.
LRV však má podle statutu kompetenci posoudit, jestli návrhy jsou „ve všech svých částech a jako celek nezbytné, jejich obsah je přehledně členěn, srozumitelně a jednoznačně formulován a je v souladu s ostatními závaznými pravidly legislativního procesu“. Jinými slovy, LRV by neměla věcně hodnotit jednotlivé instituty, práva a povinnosti, má ale možnost požadovat úpravu, pokud jednotlivé části zákona jsou těžkopádně formulované, nesrozumitelné nebo nadbytečné. Což byl právě případ kyberbezpečnostního zákona.
V podobě, v jaké ho LRV vrátila NÚKIBu, měl prakticky každý paragraf vyznačený požadavek na úpravu. Většina žlutě označených pasáží se upravovala jen formulačně, byly zde však i zásahy citelnější. Sjednocovaly se lhůty, měnila se pravidla aplikace ochraňujících institutů správního řádu nebo se přesouvaly pravomoci při vyhlašování stavu kybernetického nebezpečí. Detailnímu porovnání časových znění jsme se věnovali v předchozích dílech seriálu.
Zneužití mechanismu prý brání pojistky
Šéf LRV se ve své reakci nevyhnul ani nejvíce kritizovanému mechanismu hodnocení bezpečnosti dodavatelského řetězce. Z jeho pohledu připravený návrh kybernetického zákona „obsahuje celou řadu brzd, které jsou výsledkem více než dvouletého vyjednávání“. Zdůraznil, že povinnou součástí mechanismu je, že NÚKIB, pokud bude chtít využít možnosti uložit zákaz určitého dodavatele, musí ještě před vydáním rozhodnutí předložit své závěry pro informaci členům Bezpečnostní rady státu. „Ti ze své pozice mohou také do výsledku zasáhnout,“ naznačuje jednu z pojistek Šalomoun a upozorňuje na dvojkolejnost postupu takového zákazu, který jsme také již rozebírali.
Bude totiž rozdíl, jestli půjde o zákaz s účinností kratší, než je odpisová lhůta dodaných zařízení, nebo pokud se opatření obecné povahy začne aplikovat až ve chvíli, kdy problematický hardware bude mít operátor už odepsaný z daní. V prvním případě bude NÚKIB bude potřebovat trojici závazných stanovisek, a to od ministerstev vnitra, zahraničí a průmyslu a obchodu. Těmito závaznými stanovisky se bude muset řídit.
Zatímco ve druhém případě, kdy zákaz nebude bezprostřední, bude úřadu stačit návrh regulace pouze projednat s řadou různých institucí. Ale i když tyto se záměrem vyjádří nesouhlas, nic nebude bránit regulátorovi prosadit si svou a takové rozhodnutí vydat.