Dnes jsou to přesně dva měsíce od chvíle, kdy Legislativní rada vlády (LRV) na svém zasedání přerušila projednání návrhu zákona o kybernetické bezpečnosti a předkladateli, Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), ho vrátila k přepracování. Rozhodnutí, že v předložené podobě předpis na vládu nepustí, odůvodnila „množstvím a charakterem připomínek“. Vládní legislativci je měli nejen k návrhu zákona samotnému, ale i k jeho přílohám, tedy k důvodové zprávě a hlavně k hodnocení RIA.
NÚKIB na výtky zareagoval a minulý týden na vládu poslal další, v pořadí už čtvrté znění. Než začneme s jeho rozborem, pojďme stručně zrekapitulovat, co se s kyberzákonem na půdě Strakovy akademie doposud dělo.
Trnitá cesta na vládu
První verze, která na Úřad vlády doputovala poslední pracovní den před loňskými Vánocemi, nezískala ani podpis premiéra nutný pro to, aby se jí LRV vůbec mohla začít zabývat. Předlohu NÚKIB zaslal s mnoha rozpory nejen na úrovni běžných připomínkových míst, ale i od dvou ministerstev, jejichž představitelé o osudu normy budou hlasovat. To bylo dost i na premiéra Petra Fialu. NÚKIB tedy dostal za úkol tyto třecí plochy co možná nejvíce obrousit.
A skutečně, ač se ve vlastním návrhu kyberbezpečnostního zákona, důvodové zprávě a hodnotící zprávě RIA nic podstatného nezměnilo, houževnatost brněnských úředníků přinesla ovoce. Ministerstva se nechala přemluvit a NÚKIB rozpory na nejvyšší úrovni odstranil. 19., respektive 22. ledna, do elektronického repozitáře připravované legislativy přibyla verze, kterou už se LRV začít zabývat mohla.
Ale jak víme, i ta narazila. Jedním z hlavních důvodů, proč LRV projednávání přerušila a zákon vrátila (a nepožadovala jen dílčí kosmetické úpravy), je, že „vymezení rozsahu věcné působnosti navrhovaného zákona je do značné míry postaveno na prováděcích předpisech, pro které ale navrhovaný zákon neobsahuje dostatečný základ a meze, v jejichž rámci by mohly být předpokládané vyhlášky úřadem vydávány“. Vadilo to, co už předtím kritizovala připomínková místa. Že si NÚKIB dal do zákona široké zmocnění k vydávání vyhlášek a regulaci chce řešit až v nich.
LRV nijak nezpochybňovala, že i to je cesta, jak regulaci nastavit. Pak je ale potřeba vytyčit mantinely v zákoně takovým způsobem, aby na tom platnost vyhlášek nezkrachovala, a to se NÚKIBu nepodařilo. „Předkladatel v rámci návrhu zákona neformuloval tato ustanovení legislativně technicky vyhovujícím způsobem,“ zdůvodnili vládní legislativci, proč i tato část se musela přepsat.
Dva tisíce dílčích úprav
Dva měsíce práce na návrhu přinesly v součtu 2309 úprav jen v samotném znění zákona. Většina z nich je drobných, ať už se jedná o zpřesnění pojmů, o přesuny částí paragrafů jinam, nebo o zjednodušení systematiky a členění zákona. NÚKIB proto vytvořil a na webu zveřejnil „Přehled hlavních změn znění návrhu nového zákona o kybernetické bezpečnosti v rámci Legislativní rady vlády“.
Hned v úvodu píše, že jde jen o hlavní změny, rozhodně to tedy není detailní porovnání obou verzí ani konečný výčet všech změn. Jedenáctistránkový přehled tak má sloužit jako „podpůrné vodítko s cílem usnadnit veřejnosti a budoucím adresátům vznikajícího zákona orientaci v aktuální verzi dokumentu“.
Tento disclaimer je namístě. Z detailního porovnání obou znění předpisu, které jsme provedli, vyplývá, že úřad v přehledu zmiňuje hlavně to, co mu hraje do karet. Legislativní kreativitu usměrněnou právníky vládního poradního orgánu dokument tiše přechází a skrývá ji pod „kosmetickými úpravami“. Přesto je namístě NÚKIB za tento počin pochválit. Pro snadnější základní orientaci je tento přehled dozajista užitečným nástrojem.
RIA se přesunula do důvodové zprávy
Na druhou stranu rozhodně nelze říci, že by NÚKIB ve všem LRV uposlechl a všechny její připomínky či návrhy akceptoval. Na celou řadu námitek úřad zareagoval po svém a rozhodně tím poradnímu orgánu vlády práci neulehčil. Ten tak bude muset znovu posoudit, jestli kreativita právníků regulátora je v souladu s legislativními pravidly.
Zcela samostatným dokumentem byla závěrečná zpráva hodnocení regulace neboli RIA. K té LRV v dubnu napsala, že je „zpracována nedostatečným způsobem a obsahuje značné nedostatky, zejména pokud jde o nedostatečné odůvodnění výběru varianty řešení nové legislativy, ale i o vymezení a hodnocení dopadů, které návrh zákona o kybernetické bezpečnosti provází, a proto je třeba ji zásadně doplnit a upravit“.
Nově je RIA přepsána do důvodové zprávy, aniž by bylo kdekoliv zmíněno, že text má být za RIA považován. Samostatně hodnotící zpráva v balíku odevzdaných souborů chybí. K pozměněné důvodové zprávě se vrátíme v jednom z příštích dílů.
Pojďme nyní postupně projít ty opravdu hlavní změny, které samotný návrh doznal. Podobně jako NÚKIB ani my nemáme ambici popisovat úplně všechny úpravy, tím spíše, pokud je zde předpoklad, že dojde-li materiál až do Poslanecké sněmovny, bude jistě předmětem legislativní kreativity znovu, tentokrát té zákonodárné.
Co je jinak?
Návrh nyní obsahuje dva nově vymezené pojmy, a to data a informace, aby bylo jasné, co vlastně je aktivem. Tato aktiva jsou nově definována jako fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováním informací a dat v elektronické podobě.
U registrace regulované služby se na základě připomínek LRV proces zjednoduší. Zavedla se jednotná objektivní lhůta 60 dnů pro ohlášení služby k registraci. Zmizelo tedy rozdělení na subjektivní lhůtu 30 dnů od chvíle, kdy se provozovatel dozvěděl, že jeho služba by měla být registrována, a na objektivní 90 dnů od chvíle, kdy k naplnění kritérií k registraci došlo. To je přitom poměrně zásadní změna, kterou přehled vypracovaný NÚKIBem ignoruje.
Stále pro vstup do regulace fungují dva režimy: mechanismus sebeidentifikace a mechanismus určování NÚKIBem. Platí povinnost každého poskytovatele sám si posoudit, jestli splňuje podmínky pro registraci regulované služby (nově už to nejsou kritéria) a pak do 60 dnů se ohlásit. Po ohlášení úřad vydá rozhodnutí o registraci regulované služby. Pokud z jakéhokoliv důvodu tuto povinnost poskytovatel opomene, vydá NÚKIB z moci úřední rozhodnutí o registraci regulované služby. Současně platí, že nesplnění povinnosti sebeidentifikace je skutkovou podstatou přestupku. Takže druhá varianta registračního mechanismu v návrhu zákona zůstává pro případ, aby bylo možné pod regulaci vztáhnout i vzdorovité subjekty, které by měly zato, že stačí jednou zaplatit pokutu a povinnostem se tím vyhnout.
Každopádně teprve od doručení rozhodnutí o registraci regulované služby začnou poskytovatelům běžet lhůty pro splnění povinností. Opravný prostředek proti takovým rozhodnutím o registraci přitom nemá odkladný účinek. Tedy ani touto cestou nepůjde oddálit okamžik začátku běhu lhůt.
Státní instituce a obce už nejsou podnikem
Speciální pravidlo bylo nově zavedeno pro organizační složky státu, územní samosprávní celky a Českou národní banku. Všichni zmínění nejsou považováni za podnik. Důvodová zpráva odkrývá pozadí této změny. Má za cíl zamezit tomu, aby osoby majetkově spřízněné s veřejnými subjekty, zejména s obcemi, byly automaticky považovány za velké podniky. Typicky má jít o situace investování do startupů, kde kromě majetkového vstupu do společnosti nedochází k žádnému propojení informačních systémů nebo fungování obou osob.
Konečné slovo i v tomto případě bude mít NÚKIB. Nazná-li, že aplikace této výjimky byla neoprávněná, tedy poskytovatel není od svých partnerských nebo propojených podniků oddělen, může ho zaregistrovat z vlastního popudu.
Zjednodušení také doznal proces ukončení registrace v případech, kdy služba přestane splňovat podmínky regulace. Podle původní představy regulátora mělo probíhat řízení o výmazu z evidence regulovaných služeb upravené ve 14 odstavcích. Nově jsou mu věnovány pouze odstavce 3. Poskytovatel požádá o zrušení registrace, a pokud se mu vyhoví, takové rozhodnutí bez možnosti podat opravný prostředek se pouze poznamená do spisu a tím je pravomocné.
V příštím díle našeho seriálu představování novinek v návrhu dokončíme. Podíváme se mimo jiné na upravené povinnosti poskytovatele regulované služby, na úpravu kontroverzního mechanismu bezpečnosti, jak se bude zajišťovat dostupnost strategicky významné služby i změny v přestupcích.