Více než dvě tisícovky úprav od verze předložené do meziresortního připomínkového řízení zaznamenal návrh nového kybernetického zákona. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ho stihl poslat do Legislativní rady vlády (LRV) poslední pracovní den před Vánocemi. Částečně jde o změny kosmetické, zpřesňující, v řadě aspektů jde ale o zásah mnohem hlubší, který má vliv na platnost závěrů uvedených v některých předchozích dílech našeho seriálu Regulace podle NIS2. NÚKIB už dříve slíbil, že mechanismu prověřování dodavatelského řetězce se úpravy vyhnou, a tento svůj slib splnil.
My se detailnímu rozboru provedených změn budeme věnovat v jednom z lednových dílů seriálu NIS2. Kdo by si chtěl dopředu udělat podobnou analýzu jako my, bude potřebovat původní materiál, se kterým NÚKIB šel do připomínkového řízení, a jeho upravenou verzi pro LRV.
Pro dnešek si ale vystačíme s jiným dokumentem, a to finální tabulkou vypořádání připomínek. Ta nabobtnala na úctyhodných 768 stran, protože zachycuje i následnou komunikaci NÚKIBu s připomínkovými místy poté, co bylo připomínkové řízení skončeno.
Neakceptováno – závěr k více než třetině připomínek
Ve 331 případech (z celkových 864 uplatněných) NÚKIB tyto připomínky nakonec neakceptoval. U 230 případů se úřadu podařilo připomínkové místo o své pravdě přesvědčit a daný subjekt byl s vypořádáním spokojený, u 101 připomínek ale trvá rozpor.
Tady je pak nejpodstatnější, kdo je tím, u koho rozpor přetrvává, resp. zdali se jedná o ministerstvo, jehož čelný představitel bude za několik týdnů na vládě o materiálu spolurozhodovat. NÚKIB si dobře uvědomil, že příliš mnoho rozporů s těmito důležitými připomínkovými místy by mohlo reálně ohrozit osud celého zákona, a tak se snažil hrany co nejvíce obrousit. A skutečně se mu to až na dvě výjimky podařilo.
První, pod číslem 456, se týká mechanismu prověřování dodavatelského řetězce. Jde o připomínku uplatněnou Ministerstvem dopravy, které protestuje proti tomu, na jak široký okruh dodavatelů úprava dopadne, a že buď prodraží veřejné zakázky, anebo dokonce některé tendry vůbec nebudou moci být zrealizovány, když na trhu nebude dostatek vhodných dodavatelů, z nichž by bylo možné vybírat. Doprava tak volá po diskusi a zodpovědném zhodnocení ekonomických dopadů, bez čehož „v žádném případě nemůže rezort dopravy souhlasit s tím, aby byl návrh předložen k projednání vládě“.
NÚKIB reagoval tím, že „oslovil mnoho subjektů v rámci dotazníkového šetření“ a využil maximum informací pro to, aby posoudil možné dopady, s tím, že do budoucna uvítá debatu na téma dopadů regulace. To však ministerské úředníky na nábřeží Ludvíka Svobody neuspokojilo. „Od pana ministra nemáme mandát z této připomínky ustoupit,“ napsali NÚKIBu.
Druhý vládní rozpor má číslo 614 a předcházela mu připomínka od Ministerstva financí cílící na nejednoznačně formulovanou definici kritické části stanoveného aktiva. Finance tak požadují, aby vymezení kritických částí bylo definováno přesněji, například provázáním jejich nedostupnosti s nedostupností celé strategicky významné služby. Tedy aby šlo o situaci, kdy ohrožení této kritické části stanoveného aktiva bude mít přímý vliv na službu jako celek.
Na to NÚKIB reagoval tvrzením, že jednoznačnějším vymezením kritické části by porušil obecnost normy. Odmítl také navázat mechanismus bezpečnosti dodavatelského řetězce pouze na bezpečnost služby. „Cílem mechanismu, i celého zákona je zajištění bezpečnosti informací, tedy důvěrnosti, integrity a dostupnosti informací a dat,“ namítl NÚKIB, přičemž ministerstvo si na připomínkách trvá.
Resort financí přitom uplatnil 55 dalších námitek, brojících například proti tomu, aby v době hledání úspor byl státní rozpočet navyšován o výdaje na zajištění kybernetické bezpečnosti nebo že by mělo dojít k nárůstu tabulkových míst NÚKIBu k pokrytí potřebné agendy. Podle informací Lupy od zdroje obeznámeného s průběhem jednání bylo právě to největší třecí plochou mezi předkladatelem zákona a strážci rozpočtu a čekalo se, že k tomuto rozporu bude nutné přijmout politické rozhodnutí na vládě.
NÚKIB ale zřejmě v tomto požadavku ustoupil, i když v tabulce vypořádání se k připomínce č. 605 omezil na lakonické konstatování, že „materiál byl na základě dohody s připomínkovým místem upraven a připomínka je vypořádána“, přičemž finance s vypořádáním souhlasí. Obdobně si pak resort Zbyňka Stanjury uhájil omezení prolomení povinnosti daňové mlčenlivosti. NÚKIBu tak budou informace potřebné pro jeho činnost poskytovány pouze ze strany orgánů Finanční a Celní správy.
Je tak evidentní, že od subjektů, jejichž zástupci na vládě budou o návrhu zákona rozhodovat, zůstaly rozpory svým významem – troufnu si tvrdit – marginální. Pokud přihlédneme k tomu, že NÚKIB dopředu avizoval, že prověřování dodavatelského řetězce je pro něj otázkou principu, ze které neustoupí, aby zákon pro něj měl ještě smysl, pak je-li toto jediná otázka, u které bude potřeba bojovat proti ministerstvům a rozhodnout o ní politicky, lze to považovat za úspěch.
Samosprávy a operátory čeká boj až ve sněmovně
Abychom ale jen nechválili, nelze pominout další rozpory, které zůstávají. Naprostá většina zamítnutých připomínek, které zůstaly nevyřešeny, pocházejí od Asociace krajů a Svazu měst a obcí, tedy zástupců samospráv. Část argumentů se překrývá, respektive je uplatněna ze strany vícero subjektů, a tak je možné pozorovat, že zatímco úřady a ministerstva se s tímtéž vyjádřením spokojily a dále na připomínce netrvají, tato dvě uskupení oportunisticky jakýkoliv ústupek odmítají. A to dokonce i v těch případech, kdy je jejich námitce vyhověno (např. připomínka č. 326).
Podobnou strategii „boje za principy“ přitom předvedly už v minulosti. Třeba v době, kdy ještě šlo efektivně zachránit celou Českou poštu redukcí nadbytečných poboček na úroveň 2100, byli to právě starostové sdružení ve Svazu měst a obcí, kdo se proti tomu ostře postavil. Čas ukázal, že to je stejně jediné možné řešení, jenže přišlo pozdě a v dopadu na zákazníka v daleko tvrdší podobě… Podobná revolta, tentokrát proti většímu bezpečí v kyberprostoru, se z řad starostů rodí i nyní.
Obce se tak bouří proti tomu, že by ty s rozšířenou působností měly být zařazeny pod regulaci (byť jen v mírnějším režimu, vyjma municipalit v režimu vyšších povinností), chybí jim definice výrazu „hrozba“, i že na trhu práce je nedostatek IT odborníků a málokterá obec bude mít dostatek zdrojů na to, aby kvalitní experty přilákala.
Jenže tyto nářky na vládě snad kromě čtyř ministrů za STAN nikoho nedojmou. Podobně jako průmyslový sektor, zástupci telekomunikačních operátorů i asociace samospráv se nejspíš budou muset připravit na bitvu o své zájmy ve sněmovně. Tam se dá v příštích měsících čekat horečnatá aktivita lobbistů, kteří budou chtít zákonodárce vybudit k poslanecké iniciativě a pozměňovacím návrhům.
Příští díl našeho seriálu o kybernetické bezpečnosti nabídneme podcast s právníkem tentokrát hájícím zájmy druhé strany než předkladatele zákona. Řeč se dostane určitě na mechanismus bezpečnosti dodavatelského řetězce.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU