Odevzdání nového kybernetického zákona do Legislativní rady vlády se přinejmenším o několik týdnů opozdí. Ještě začátkem listopadu přitom v podcastu Lupy Adam Kučínský, který má v Národním úřadu pro kybernetickou a informační bezpečnost (NÚKIB) přípravu zákona na starosti, sliboval, že úřad zákon odevzdá k dalšímu legislativnímu procesu nejpozději do konce listopadu. Řekl také už tehdy, že se NÚKIBu daří rozpory vzešlé z meziresortního připomínkového řízení odstraňovat. „Pokud budu počítat jen ty nejpodstatnější, bude jich zhruba do deseti,“ vypočítal v rozhovoru Kučínský.
Právě úmyslem minimalizovat rozpory odůvodňuje NÚKIB i aktuální zpoždění s odevzdáním návrhu. „Za zdržením stojí snaha úřadu důsledně se zabývat všemi připomínkami a podněty. Díky tomu máme s většinou subjektů ze státní správy téměř všechny připomínky vypořádány,“ uvedla mluvčí úřadu Eva Rajlichová.
Třetina výhrad zůstává nevypořádána
Podle ní nebyla akceptována přibližně jedna třetina všech připomínek, které do připomínkového řízení došly. „Ještě ale jednáme, takže i to se může změnit,“ dodala. Nejasná tak zůstává podoba zákona po úpravách. Vedle eKlepu, tedy elektronické knihovny vládou připravované legislativy, se měla objevit i na webu nis2.nukib.cz. Místo toho se zde zobrazuje jen upozornění, že „v současné době probíhá aktualizace obsahu webových stránek“ spolu s polem pro zadání hesla editora stránky.
Zopakujme si fakta. Připomínek se k novému kyberzákonu připravenému NÚKIBem sešlo 864, z tohoto 503 bylo označeno jako zásadních, tedy nikoliv jen jako doporučujících. Jen samotná tabulka s jejich prvotním vypořádáním zabrala 682 stran. Daleko důležitější je jiné výchozí číslo, a to 240 rozporů, z čehož pětina pochází od ministerstev. Tedy po ukončení meziresortního připomínkového řízení měl NÚKIB na danou materii náhled odlišný než jednotlivé připomínkující resorty v téměř pěti desítkách případů. Počet třecích ploch ale může být zavádějící tím, že se některé připomínky opakovaly.
Navenek tajně, zasvěcení ale o úpravách vědí
Jak je na tom zákon teď, se můžeme jen domnívat. Jisté je, že doznal změn. „Jednak se upravoval text zákona, jednak důvodové zprávy,“ přiznal Kučínský s tím, že úpravy budou veřejně přístupné až všechny najednou. „Finální text veřejnost uvidí, jakmile to odešleme do legislativní rady vlády,“ uvedl a dodal: „Subjekty, které připomínky uplatnily, ale ty změny vidí.“
Za úspěch už před měsícem označoval, pokud rozporů se státní správou nebude více než deset. U ostatních připomínkových míst však tato bilance bude zjevně daleko horší. Uvážíme-li, že 190 připomínek pochází od soukromého sektoru, pak 6 desítek přetrvávajících rozepří je vysoké číslo. Naděje, že v této fázi ještě NÚKIB podnikatelům vyhoví, se pohybuje čistě v hypotetické rovině. Na rozdíl od ministerstev, jejichž šéfové na vládě budou těmi, kteří o dalším směřování kyberzákona rozhodnou, podnikatelský sektor nemá na NÚKIB prakticky žádnou páku, aby jej donutil změnit směr uvažování.
Například Svaz průmyslu a dopravy se v připomínkách ohradil proti tomu, aby národní úprava byla přísnější než samotná směrnice NIS2. V sektoru automotive to podle něj může vést k tomu, že zahraniční dodavatelé nebudou ochotni plnit zvýšené požadavky, které na ně český výrobce motorových vozidel bude klást. Jak víme z dřívějšího dílu našeho seriálu, tyto požadavky v naší národní úpravě nedělají rozdíl mezi tím, jak hodnotná aktiva jsou ohrožena, jaká hodnota je v sázce. To znamená, že dostane-li se jednou subjekt pod regulaci, bude muset provést nezbytné kroky, aby zákonu vyhověl u všech svých systémů a aplikací, a to samé platí i pro jeho dodavatele, na které se dokonce samostatně ani povinná regulace vztahovat nemusí.
Představit si to lze na příkladu firmy specializující se na výrobu interiérového osvětlení. Výrobce LED pásku, využívajícího čip s driverem pro nastavení barvy a intenzity svitu, sám o sobě svou velikostí do regulace podle NIS2 s největší pravděpodobností nespadne. Ale bude-li dodávat výrobky firmám v módu přísnějších povinností, tedy režimu essential, typicky automobilce, pak se kyberbezpečnost bude týkat i jeho. Kdo požadavky nesplní, může být ze zakázky vyloučen, když zároveň tyto zákonné nároky nesmějí být považovány za omezení hospodářské soutěže.
NÚKIB: bezpečnost dodavatelů nerozmělníme
A tím se dostáváme k evergreenu, který se v souvislosti s tuzemskou transpozicí směrnice NIS2 skloňuje neustále: bezpečnost dodavatelského řetězce. Už z připomínek na podzim bylo jasné, že tahle pasáž nového zákona bude vzbuzovat kontroverze. NÚKIB to za ni schytával ze všech stran, jak od veřejných institucí, tak od podnikatelských svazů. Je to jediná oblast připravovaného zákona, kde sám úřad odkryl tajenku už nyní a ještě před zveřejněním upraveného textu zákona dal na srozuměnou, jak s těmito výhradami naložil.
„Neakceptovány byly připomínky mířící proti tzv. mechanismu na posuzování bezpečnosti dodavatelských řetězců. Navrhovaly totiž úpravy, které by způsobily nefunkčnost tohoto mechanismu,“ uvedla mluvčí Rajlichová.
Se znalostí tohoto stanoviska NÚKIBu si můžeme zahrát na proroka a kvalifikovaně odhadnout, které dva okruhy výhrad budou s určitostí předmětem rozporů na vládě, tedy o nichž bude muset být rozhodnuto až na politické úrovni. Prvním bude právě otázka prověřování dodavatelů a druhým, kde na zavádění souvisejících opatření stát vezme peníze. Ministerstvo financí totiž v souvislosti s kyberzákonem odmítá uvolnit z rozpočtu jakékoliv prostředky navíc.
Nejednoznačná je i odpověď na otázku, jestli se to celé stihne podle původního předpokladu tak, aby zákon začal platit v říjnu 2024. Legislativní rada vlády, kam by návrh měl podle posunutého plánu přijít krátce před Vánocemi, má dva měsíce na to, aby jej prostudovala a vyjádřila se k němu. To už se pohybujeme přinejmenším v polovině února, a pokud legislativní rada uplatní připomínky, které bude nutné vypořádat, tak se další štace – rozhodování na vládě – o několik týdnů posune.
Kruciální pro včasné přijetí zákona je, aby se do Sněmovny dostal nejpozději do poloviny března. Jedině tak lze ještě při troše štěstí za standardních podmínek stihnout zákon dolní komorou protlačit do parlamentních prázdnin a předpokládat, že žádný zádrhel nenastane ani v Senátu, ani u prezidenta. Za podmínky, že vše půjde zcela hladce a ideálně, je ještě teoreticky možné stihnout transpoziční lhůtu v říjnu příštího roku. V opačném případě by se spolu s opožděným přijetím normy musela posunout i lhůta, od kdy je nutné jednotlivé regulatorní povinnosti plnit, na čemž by vydělali ti, kdo vše nechávají na poslední chvíli a kyberbezpečnost nijak zatím neřeší…
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU