Stejné chyby, stejné známky. Legendární věta pronesená profesorem Jandou ve filmu Marečku, podejte mi pero! poukazuje na to, že opisovat se dá i v prvních lavicích. Jak vyplývá z připomínek došlých ke slovenskému návrhu novely zákona o kybernetické bezpečnosti, některé chyby se opakují na obou stranách hranice s naším východním sousedem. Dnešním dílem uzavřeme letní exkurzi do slovenského přístupu k regulaci kybernetické bezpečnosti právě tím, že se podíváme na to, jaké výhrady k novele měla tamní připomínková místa.
Přitom i český návrh zákona o kybernetické bezpečnosti čeká horký podzim. Spolu s doprovodným změnovým zákonem byl zařazen na program 112. schůze Sněmovny. Od 10. září dál tak bude možné návrh připravený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) projednat v prvním čtení.
Lobbisté nejen z podnikatelského sektoru však svou pozornost soustředí až na případné druhé čtení, kde poslanci budou moci načítat pozměňovací návrhy. Výhrad k zákonu mají Hospodářská komora, stejně jako další organizace zastupující zájmy podnikatelů, včetně telekomunikačních operátorů, více než dost. Vadí jim především mechanismus bezpečnosti dodavatelského řetězce, který má umožnit NÚKIBu zakázat určitého dodavatele v regulovaných službách. Ale nejen ten.
Rétoriku odpůrců kyberbezpečnostní regulace v tuzemsku známe, v seriálu na Lupě jsme se jí několikrát věnovali. Není ale od věci ji porovnat s připomínkami, které k transpoziční novele zákona o kybernetické bezpečnosti sesbíral slovenský Národný bezpečnostný úrad (NBÚ), a to tím spíše, že několik připomínkujících subjektů působí v obou zemích a dalo by se čekat, že budou usilovat o co možná největší sjednocení podmínek. Třebaže termín pro připomínky k novele NBÚ nastavil na 19. června, je zapotřebí konstatovat, že doteď je nemá vyhodnocené. Sešlo se mu přitom celkem 694 připomínek, z toho 255 je označeno jako zásadních. Pro srovnání, tuzemský regulátor dostal 886 připomínek od 51 připomínkových míst. A přibližně třetinu neakceptoval.
Ztraceni v překladu
U obou států regulátoři v návrzích použili špatné názvosloví v souvislosti s termíny spojenými s doménami. V případě českého zákona změna nastala až zásahem Legislativní rady vlády, na Slovensku na zavádějící terminologii upozornil už správce slovenské domény SK-NIC. „Je nutné konstatovat, že legislativní překlad NIS2 do slovenštiny bohužel používá vymyšlenou terminologii rozdílnou od terminologie používané v oblasti doménové infrastruktury. (…) Namísto jmenného serveru se používá názvový server a podobně. (…) Škoda, že navrhovatel nekonzultoval téma doménové infrastruktury s příslušnými odbornými subjekty, bylo možné se vyhnout většímu množství připomínek,“ píše SK-NIC.
Americká obchodní komora (AmCham) sdružující celou řadu vlivných nadnárodních společností jako Microsoft, Oracle, Honeywell a další patří mezi ty, které proti navržené podobě regulace vystoupily v obou zemích. V Česku se tak stalo poměrně ostrou výzvou adresovanou v červenci vládě, aby odložila projednávání a zvážila důsledky zákona pro národní bezpečnost a veřejné finance. AmCham vyjádřila obavy, že v podobě, v jaké je zákon navrhován, „zvýší náklady bez úměrného zlepšení bezpečnosti a sníží předvídatelnost investic do bezpečných systémů“.
Kritizovala přitom úpravu nařizující u strategicky významných služeb využívajících cloudu povinnost mít plán na obnovu služeb po výpadku ve stanoveném čase (na Lupě jsme se tomu věnovali v dřívějším dílu. Factsheety, které k tomu NÚKIB připravil, bohužel už nejsou na původních URL adresách k dispozici). Regulátor výslovně upozornil na to, že nebude u této povinnosti tolerovat standardní smluvní ujednání (SLA), když ty vylučují případy mimořádných událostí, jako jsou válka nebo přírodní katastrofa.
Držte se minimalistické varianty, vyzývá AmCham
AmCham na to reagovala výhradou, že by to vyžadovalo částečné, nebo úplné vybudování cloudové infrastruktury v ČR. „Náklady spojené s tímto požadavkem by nesli občané ČR buď jako daňoví poplatníci, nebo jako spotřebitelé soukromých strategických služeb,“ napsala AmCham s tím, že požaduje vyčíslit, zda dodatečné náklady nějak podstatně zvýší kybernetickou bezpečnost těchto systémů.
Zcela očekávatelně se i na východ od našich hranic komora postavila proti povinnostem nad rámec nezbytné implementace směrnice NIS2. Nelíbí se jí, že by provozovatelé základní služby na Slovensku museli povinně hlásit i jiné události než jen kyberbezpečnostní incidenty. Tedy například zranitelnost jimi provozovaných veřejně přístupných sítí a informačních systémů.
Americké obchodní komoře v Česku se také nelíbila delegace regulačních pravomocí NÚKIBu ze zákonné úrovně na nižší úroveň vyhlášek vydávaných tímto úřadem. „Vyhlášky lze měnit snáze než zákon, což přináší určitou míru nejistoty, která bude mít dopad do investic do technologií,“ napsala do prohlášení k vládě komora. Podobně provázanost mezi zákonem a prováděcími vyhláškami AmCham kritizovala i na Slovensku. Požaduje úpravy, aby bylo jasné, co se stane s vyhláškou v případě změny nebo zrušení části kyberbezpečnostního zákona.
Asociácia priemyselných zväzov a dopravy (obdoba české Hospodářské komory) kritizuje zamýšlené zvýšení pokut za správní delikty. U části skutkových podstat, kde to přímo směrnice NIS2 nevyžaduje, Slovensko dobrovolně zvedá horní hranici pokut až pětinásobně (ze stávajících 100 tisíc eur na půl milionu). Podobně citelné zvýšení pokut kritizuje i Republiková únia zamestnávateľov a Potravinárská komora Slovenska.
Za zásadní tato asociace označuje připomínku směřující proti systému hlášení bezpečnostního problému. Poukazuje na to, že v případě řešení bezpečnostního incidentu se regulovaný subjekt musí v první řadě soustředit na mitigaci problému v co nejkratším čase a co nejefektivněji. Nesmí proto ztrácet čas ani administrativně náročným ohlašováním, ani komplikovaným procesem schvalování ochranných opatření.
Podobně jako některá připomínková místa v tuzemsku i průmyslový sektor na Slovensku kritizuje krátkou čtyřiadvacetihodinovou lhůtu k nahlášení včasného varování zjištěného problému. „Tento požadavek se bude velmi těžko v praxi dodržovat. V prvních 24 hodinách někdy ani není jasné, jestli bezpečnostní incident vznikl protiprávním jednáním, nebo má přeshraniční vliv,“ argumentuje asociace.
Znovu a lépe, požaduje úřad vlády
A to nejpodstatnější nakonec. Tak jako český návrh nového kyberbezpečnostního zákona napřed tvrdě narazil na Legislativní radě vlády a způsobil několikaměsíční prodlevu, stejná mračna se stahují i nad návrhem slovenské novely. Legislativní odbor úřadu vlády připomínkami vůbec nešetřil, v několika případech poukazuje na to, že NIS2 není do slovenské novely správně transponovaná, a výhradu má i k faulům proti legislativnímu procesu.
NBÚ totiž meziresortní připomínkové řízení uspěchal, když předtím nedokončil předběžné připomínkové řízení vydáním stanoviska stálé komise při LRV. „Doporučujeme současný legislativní proces zastavit, návrh zákona opětovně předložit k předběžnému řízení a po vydání stanoviska zahájit meziresortní připomínkové řízení,“ uvedli vládní legislativci.
NBÚ podobně jako NÚKIB předpokládá, že nová pravidla by mohla začít platit od začátku příštího roku. Jak s touto kalkulací zamává výše uvedené stanovisko Odboru aproximácie práva sekcie vládnej legislatívy Úradu vlády, to ukáží dny příští, až slovenský regulátor došlé připomínky řádně vyhodnotí.
Chci odebírat newsletter
ČLÁNKY DO MAILU