Regulace podle NIS2: Přepracovaný návrh kyberzákona vrací dříve vyloučené změkčující instituty

18. 6. 2024
Doba čtení: 6 minut

Sdílet

Ilustrační obrázek Autor: Depositphotos.com, podle licence: Rights Managed
Ilustrační obrázek
Bude možné upustit od správního trestu a podáním odporu proti příkazu s pokutou si pachatel přestupku nově nepohorší.

O zákonu o kybernetické bezpečnosti bude rozhodovat vláda. Po dvou měsících, co její poradní orgán, tedy Legislativní rada vlády (LRV), projednávání přerušila a návrh s celou řadou připomínek vrátila k přepracování, materiál minulý týden napodruhé uspěl a souhlasné stanovisko získalo podpis předsedy LRV Michala Šalomouna.

Dopady regulace: nehodnoceno

A to i přesto, že v celé řadě ohledů předpis nesplňuje nároky, které vládní legislativci od Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) požadovali. Například zcela chybí dopracovaná zpráva o hodnocení dopadů regulace (RIA). Ta v nové verzi NÚKIBem předložena nebyla a v doplněné důvodové zprávě zůstává stejně fragmentární jako ve verzi dřívější. Porovnání verzí ukazuje, že kromě opravy pojmosloví, kdy z veřejného pořádku je vnitřní pořádek a z orgánů a osob jsou subjekty, se v obecné části důvodové zprávy nezměnilo téměř nic.

Přitom jestli bylo odmítavé stanovisko LRV v něčem opravdu až nebývale kritické vůči kyberbezpečnostnímu návrhu, pak to byla právě závěrečná zpráva RIA. Připomeňme, že vládní legislativci k ní do stanoviska napsali, že je „zpracována nedostatečným způsobem a obsahuje značné nedostatky, zejména pokud jde o nedostatečné odůvodnění výběru varianty řešení nové legislativy, ale i o vymezení a hodnocení dopadů, které návrh zákona o kybernetické bezpečnosti provází, a proto je třeba ji zásadně doplnit a upravit v intencích připomínek“.

LRV v dubnu doporučila NÚKIBu se v rámci hodnocení dopadů regulace zaměřit na zdůvodnění návrhu mechanismu bezpečnosti dodavatelského řetězce, především v porovnání s ostatními podobnými „mechanismy“ v ostatních zemích EU. Doporučila rovněž v rámci nulových variant (pokud by se neudělalo vůbec nic, a zůstal by tedy zachován stávající stav) doplnit kvantifikaci rizik, například co se týče odhadů dopadů rizika realizace sankcí vůči zemím, které jsou v dodavatelském řetězci, a co by znamenaly škody způsobené absencí vstupů ze zemí pod sankcemi.

Nic z toho se do verze finálně předložené LRV na začátku června nedostalo. Podle informací Lupy z kuloárů i to byl jeden z důvodů, proč ani napodruhé nelze rozhodně mluvit o hladkém průběhu projednávání. Ačkoliv příprava nového pokusu zabrala předkladateli dlouhý čas, téměř dva měsíce, stále na něm jsou patrny stopy horké jehly, kterou byl šit. Pomineme-li úsměvy vyvolávající překlepy v důvodové zprávě, kdy z původního správného označení responzivního týmu CERT je v čerstvé verzi předložené před reparátem do LRV rázem ČERT (v odůvodnění § 42), a zmíněné absence „zásadního doplnění“ zprávy RIA, ďábelsky působí i věcné změny, které se do návrhu na poslední chvíli dostaly či z něj naopak ve vší tichosti zmizely a legislativní rada najednou neměla potřebu je více řešit.

To samozřejmě neznamená, že tu samou potřebu nepojmou zákonodárci v dalších fázích legislativního procesu, vždyť kyberzákon je stále na jeho samém počátku, když nekvalitní prací NÚKIB ztratil ještě před první metou přinejmenším čtyři měsíce. Počítáme-li, že LRV má na projednání 60 dnů, pokud by byl návrh sepsán dostatečně kvalitně, aby byl projednatelný hned napoprvé, už ve verzi předložené narychlo poslední pracovní den před loňskými Vánocemi, nejpozději na konci února ho mohla mít vláda na stole k rozhodnutí. Takto tu máme i na české poměry relativně dlouhé zpoždění, za které není zodpovědný nikdo jiný než regulátor.

Voleným či jmenovaným zástupcům veřejných institucí suspendace nehrozí

Dva příklady za všechny k narychlo provedeným změnám nalézáme v části věnované správnímu trestání. Směrnice NIS2 v čl. 32 odst. 5 požaduje zakotvit do národní legislativy opatření spočívající v možnosti uložit dočasný zákaz výkonu řídicí funkce v regulovaném subjektu v režimu přísnější regulace při nesplnění uloženého opatření. Má jít o zdůraznění odrazujícího účinku, resp. donucovací prostředek proti případné rebelii, kdy ani ukládaná nápravná opatření nepovedou k tomu, že povinný subjekt začne kybernetickou bezpečnost a jejího veřejného strážce brát dostatečně vážně.

V původní verzi zákona NÚKIB využil toho, že směrnice nabízí volbu mezi tím, jestli tento zákaz dále působit v topmanagementu vzpurných firem bude vydávat soud, nebo regulátor, a snažil se tuto povinnost přehrát na soudy. Jenže jak víme z příkladu Českého telekomunikačního úřadu, který se svého času také pokoušel novelou zákona o elektronických komunikacích přesunout rozhodování o nezaplacených fakturách do soudních budov, přetížená justice nemá ráda, když se jí na bedra nakládají nové povinnosti, na něž nemá ani lidi, ani peníze. Takže tento model logicky u LRV narazil. Legislativní rada do připomínek napsala, že nevidí důvod, proč by o těchto zákazech neměl rozhodovat sám úřad, a soudu ponechá pouze přezkumnou úlohu.

Brněnský regulátor tedy na sebe vzal tuto kompetenci, současně ji ale oproti svému původnímu návrhu zredukoval tak, že porušovat uložená opatření se nebude vyplácet jen někomu. Na obchodní korporace či družstva si NÚKIB troufá, na živnostníky nebo subjekty s volenou funkcí nikoliv. Tady je potřeba zdůraznit, že zatímco osob samostatně výdělečně činných spadajících do režimu essential napočítáme pár, pokud vůbec někoho, u veřejných institucí s volenými zástupci v jejich čele to až tak řídký jev nebude. NÚKIB však nechce riskovat, že by si to s někým z veřejného sektoru rozházel, proto do zákona přidal omezení, že zákaz nedopadne na veřejnou funkci vymezenou funkčním nebo časovým obdobím, obsazovanou na základě přímé či nepřímé volby nebo jmenováním. Typickými příklady takových funkcí jsou ministr, hejtman, starosta, předseda profesní komory, rektor či děkan fakulty veřejné nebo státní vysoké školy.

Úřady řeší digitalizaci na poslední chvíli, strašákem je pro ně digitální ústava, říká ředitel DIA Přečtěte si také:

Úřady řeší digitalizaci na poslední chvíli, strašákem je pro ně digitální ústava, říká ředitel DIA

Namítnete-li, že u veřejných institucí není tak vysoká pravděpodobnost, že by se vzpíraly regulátorovi, stačí se podívat buď do tabulky vypořádání uplatněných připomínek k návrhu, s jakou vervou ministerstva bojovala i proti méně podstatným částem návrhu kyberbezpečnostního zákona, anebo na to, jak se úřady v minulosti postavily k povinnostem plynoucím z tzv. „digitální ústavy“. Připomeňme, že ani Ministerstvo pro místní rozvoj vedené vicepremiérem pro digitalizaci Ivanem Bartošem nevykázalo žádnou aktivitu, a tedy neprojevilo respekt k povinnostem uloženým zákonem vůbec žádný.

Je těžko představitelné, že by NÚKIB dostal do vínku pravomoc odvolávat nebo dočasně suspendovat ministry, ostatně takto by se kybernetický zákon rázem dostal do rozporu s Ústavou. U jiných institucí, typicky u šéfů dalších ústředních orgánů státní správy nebo představitelů vysokých škol, by této úpravě ústavní mantinely nebránily.

V kontrastu s tím, jak zdrženlivě regulátor přistoupil k pravidlům pro veřejný sektor, pak v původním návrhu působilo vyloučení většiny pojistek a změkčujících ustanovení zaručených správním řádem. NÚKIB například chtěl vyloučit ustanovení o upuštění od správního trestu, neboť „přestupky proti kybernetické bezpečnosti jsou natolik závažného charakteru, že pouhé projednání věci před Úřadem nemůže postačovat k nápravě nezákonného stavu nebo pachatele přestupku“.

Po zásahu LRV tato výluka zmizela, podobně jako ještě tvrdší ustanovení, které bylo v rozporu s principem zákazu reformationis in peius, tedy změny k horšímu v případě podání odporu proti příkazu se stanoveným trestem. NÚKIB si pravidla chtěl nalinkovat tak, že by v návazném řízení po podaném odporu mohl ukládat vyšší pokutu než v samotném příkazu. Ačkoliv mu to bylo vytýkáno už v připomínkách v meziresortním řízení, dál si vedl svou a problematický paragraf vyhodil až na základě podnětů od LRV.

I když na prostý lid musí být přísnost, vývoj kolem zákona o kybernetické bezpečnosti ukazuje, že ne vše, co si regulátor usmyslel, se mu také splní. A to ještě nejsme ve Sněmovně, kde se v rámci poslanecké iniciativy dá čekat teprve ten pořádný ohňostroj nápadů a vylepšení…

  • Chcete mít Lupu bez bannerů?
  • Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
  • Chcete mít k dispozici strojové přepisy podcastů?
  • Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
  • Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Redaktor serveru Lupa.cz se zaměřením na telekomunikace, média, IT a právo. Dříve šéfredaktor Právního rádce a mluvčí Českého telekomunikačního úřadu.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).