Evropskou směrnici NIS2 vyžadující zavedení určitého standardu kybernetické bezpečnosti v nejkritičtějších oblastech, kde by hackerský útok, ztráta či zneužití dat měly za následek vážné škody, musejí do své národní legislativy zapracovat všechny členské státy Sedmadvacítky. Jak se s touto povinností popasoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který měl přípravu transpozice směrnice na starosti, z předchozí dílů našeho seriálu víte. Stav je už dva týdny neměnný, návrh leží v Poslanecké sněmovně jako tisk 759 a zatím nebyl předložen ani organizačnímu výboru, který by zákonu navrhl zpravodaje a vybral by výbory, kterým návrh přikáže v prvním čtení.
Proto svou pozornost přesuňme na východ od našich hranic. Na Slovensku má otázky kyberbezpečnosti na starosti Národný bezpečnostný úrad (NBÚ) jako jednu z mnoha kompetencí. Původně byla této instituci dána do vínku zodpovědnost za ochranu utajovaných skutečností a dohled nad průmyslovou bezpečností. Vydává bezpečnostní prověrky podobně jako tuzemský protějšek se stejným názvem.
Postupem času si ale NBÚ na Slovensku nechal na sebe navěsit další povinnosti. Napřed to byla problematika elektronického podpisu, později povinnosti plynoucí z evropského nařízení eIDAS a zákona o důvěryhodných službách a od roku 2016 má NBÚ na starosti kybernetickou bezpečnost. Organizačně se o něj dělí sekce regulace a dohledu, která má na starosti přípravu legislativy a oblast kontroly a dohledu, sekce akreditace a certifikace, která se stará o posuzování shody i v oblasti kyberbezpečnosti, a konečně Národní centrum kybernetické bezpečnosti, které plní úlohy CSIRTu.
Transpoziční lhůtu ani jeden stát nestihne
Přístupy obou institucí se v mnohém liší, přesto tu nalézáme dvě podstatné podobnosti: ani jedna strana si nedělá naděje, že by stihla transpoziční lhůtu do 18. října 2024, a v obou zemích příprava legislativy – soudě alespoň podle množství uplatněných připomínek k návrhům – vzbudila mohutnou veřejnou pozornost.
Slováci na rozdíl od nás nešli cestou zbrusu nového zákona, ale pouze novelizují ten stávající (zák. č. 69/2018 Z.z.). Záhy vyjde najevo, proč. A také s přípravou začali nepoměrně později. Zatímco NÚKIB už měsíc poté, co na konci roku 2022 vyšlo konečně znění směrnice NIS2 v Úředním věstníku EU, měl připravený návrh nového kyberzákona i s prováděcími vyhláškami a zahajoval veřejné konzultace, na Slovensku se první předběžná informace k novým pravidlům regulace objevuje až letos v dubnu. Aktuálně jsou tam ve fázi vyhodnocování meziresortního připomínkového řízení.
Připomínek se v nich Slovákům sešlo 695, z toho 255 je označeno jako zásadních. Porovnáme-li to s návrhem české regulace, NÚKIB v „meziresortu“ inkasoval 886 připomínek od 51 míst a z toho 503 připomínek bylo zásadních. Přibližně třetinu NÚKIB neakceptoval, což pak vedlo k řadě rozporů i s ministerstvy a oddálilo to o několik měsíců okamžik, kdy se návrhem mohla začít zabývat vláda.
Ačkoliv se tedy naši východní sousedé pustili do transpozičních příprav o více než rok později, jsou jen o krok za námi. Čeká je vláda a pak už Národní rada. A stejně jako NÚKIB i NBÚ počítá s tím, že nová pravidla začnou platit od ledna 2025. Takový je alespoň plán. V tomto ohledu jsou ambice obou zemí momentálně shodné.
K zákazu dodavatele potřebují vždy souhlas vlády
Co naopak Slováky odlišuje, je záběr připravované novely. Ne, že by k zamýšlené regulaci přistupovali podobně minimalisticky jako třeba Maďaři nebo Chorvati, kteří v podstatě jen přeložili NIS2. Ale většinu kontroverzních institutů, co u nás vzbuzují emoce nejen ze strany telekomunikačních operátorů, už ve svém zákoně z dřívějška zakotvené mají.
A proto jim stačí zahrnout do novely ustanovení, že přijímaná bezpečnostní opatření musejí pamatovat i na bezpečnost dodavatelského řetězce (úprava § 20 odst. 4 zákona). Nic víc. V rámci již účinného odst. § 27a je totiž popsána procedura, jak omezit, nebo úplně zakázat konkrétní produkt, službu nebo proces, anebo rovnou celého dodavatele pro základní službu. NBÚ si k tomu dříve stanovil podmínku, že se musí jednat o případy, „kdy není umožněno, nebo je zásadním způsobem ztíženo udržení kybernetické bezpečnosti, a tím ohrožený život nebo zdraví osob, hospodářské fungování státu, veřejný pořádek, bezpečnost nebo majetek osob, anebo bezpečnostní zájmy Slovenské republiky“.
Procedurálně je to nastavené tak, že před vydáním rozhodnutí NBÚ musí zpracovat analýzu rizik, k níž sesbírá vyjádření od ministerstev zahraničí, hospodářství, vnitra, obrany a zpravodajské služby. Pak návrh rozhodnutí předloží Bezpečnostní radě a slovenské vládě. Přitom od stanoviska vlády se nesmí odchýlit. V současnosti platí, že takový zákaz (produktu, služby, procesu nebo dodavatele) lze vydat jedině tehdy, pokud poskytovatel základní služby nebo jeho dodavatel v přiměřené lhůtě určené úřadem nedostatky neodstraní. Tato podmínka (§ 27a odst. 4) ale chystanou novelou ze zákona zmizí.
Tím se slovenská osnova v mnohém podobá v mechanismu regulace dodavatelského řetězce té české, respektive obráceně řečeno, je zřejmé, odkud česká Legislativní rada vlády v rámci připomínkování procedury čerpala inspiraci, když už v prvním stanovisku při přerušení projednání nesouhlasila s tím, aby tak důležitý krok, jako je zákaz dodavatele, ležel výlučně na bedrech regulátora.
Slováci nemohou rozhodnutí o omezení nebo zákazu uložit neomezeně. Vždy to může být jen na přiměřenou dobu, která nesmí být delší než dva roky. Nicméně stejné rozhodnutí mohou vydávat i opakovaně.
NBÚ už dříve také v zákoně pamatoval na to, aby sektor měl dostatek času na rozhodnutí zareagovat. V případě, že jde o službu, produkt, proces nebo dodavatele, který se do provozování základní služby zapojil před zveřejněním rozhodnutí o zákazu, pak v rozhodnutí musí být odložená účinnost, resp. stanovena přiměřená lhůta, do kdy je třeba toto rozhodnutí respektovat. Tato lhůta se musí pohybovat mezi dvěma a pěti lety. Ale už do půlroku od vydání rozhodnutí musí provozovatel základní služby přijmout přiměřená bezpečnostní opatření na řízení rizik, která vyplynula z analýzy NBÚ.
Připomeňme, že česká podoba kyberzákona na to jde trochu odlišně. Zavádí dvojkolejný postup odvozený od daňových odpisů. Jak víme z předcházejících dílů, v případě, kdy zákaz začne účinkovat až tehdy, kdy dodaná zařízení od problematického dodavatele budou daňově odepsána, pak NÚKIB se žádným cizím stanoviskem řídit nemusí. Naopak, pokud by na restrikce kvaltoval, a neumožnil tak telekomunikačním operátorům je využívat alespoň tak dlouho, aby si je stihli uplatnit v daňových přiznáních jako náklad, pak k tomu požehnání vlády potřebuje.