Po fiasku na Legislativní radě vlády (LRV) má Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) plné ruce práce s přepsáním nového zákona o kybernetické bezpečnosti. A přitom se NÚKIB stále snaží všudypřítomně budit dojem, že o nic neočekávaného nebo špatného nejde.
Napřed v den, kdy LRV projednání pozastavila a materiál NÚKIBu kompletně zažlucený vrátila, úřad na svém webu a sociálních sítích napsal, že „se nejedná o nic výjimečného, s čím by se nepočítalo“. A že u nových, podobně komplexních norem je to poměrně běžná praxe.
Naposledy potom vedoucí oddělení regulace brněnského úřadu Martin Švéda na sociální síti LinkedIn dospěl na základě jeho soukromé statistiky k závěru, že návrh kyberzákona měl vzhledem k loňskému osudu ostatních návrhů jen 15procentní šanci projít rovnou s doporučením ke schválení.
Shodou okolností je přitom už na webu k dispozici Výroční zpráva LRV za rok 2023, která vnáší do všech těchto úvah jasno, a rozhodně nevyznívá ve prospěch shora naznačených závěrů, že by LRV byla většinově přísným sítem legislativní iniciativy a neúspěch předkladatelů v masovém měřítku by byl častým jevem. Ba právě naopak.
Kvalitní návrhy projdou napoprvé
Začteme-li se do této výroční zprávy, zjistíme, že v loňském roce LRV projednávala celkem 34 legislativních návrhů. Z nich doporučila schválit 28, a to ve všech případech hned po prvním projednání. Naopak ani v jednom případě LRV nedoporučila návrh schválit po jeho opakovaném projednání, resp. po předložení jeho upravené verze. A z těch 34 projednávaných legislativních návrhů pouze v případě jednoho jediného přímo nedoporučila LRV vládě schválení návrhu. V pěti zbývajících případech nebylo projednávání v loňském roce dokončeno právě proto, že předkladatel včas nedodal upravené znění na základě doporučení vládních legislativců.
LRV pak loni přerušila projednání u celkem 16 návrhů. Statisticky vzato, více než polovina návrhů předložených poradnímu orgánu ministrů prošla legislativní radou naprosto hladce, na první pokus.
Vedle této statistiky, která PR snaze regulátora bagatelizovat význam stopky pro kyberzákon hned na první zastávce legislativního procesu uštědřila obdobný políček jako LRV zákonu samotnému, přináší zmiňovaná výroční zpráva ještě jeden zajímavý detail, a to vlastně tím, co přímo nezmiňuje.
Přestože se NÚKIB stále snaží předstírat, že projednatelné znění zákona o kyberbezpečnosti předložil na LRV v poslední pracovní den před Vánocemi, a měl tak včas splněno, v seznamu právních předpisů, kterými se vládní právníci loni začali zaobírat, nefiguruje. V celé výroční zprávě je o kyberbezpečnostním zákonu pouze jediná zmínka, a to že byla „ve stádiu meziresortního připomínkového řízení v průběhu roku 2023 posuzována z hlediska práva Evropské unie rovněž obsáhlá úprava digitálních financí, digitální ekonomiky a kybernetické bezpečnosti“.
Nepřímo se tím potvrzují naše kuloární informace, že vůbec první projednatelný návrh, který získal podpis premiéra nutný pro to, aby se jím legislativci mohli začít zabývat, dorazil na Úřad vlády teprve 19. ledna. První téměř měsíční zpoždění tak jde jednoznačně na vrub regulátora.
Operátorská asociace nechala zpracovat posudek
Odbytý není jen samotný návrh zákona, ale i doprovodné materiály, které ho mají provázet. Všimla si toho napřed připomínková místa v rámci meziresortního řízení, „značné nedostatky“ následně konstatovala LRV a nejnověji se mezerám v hodnocení dopadů regulace (RIA) věnuje Asociace provozovatelů mobilních sítí (APMS). Ta kritizuje, že RIA neposkytuje dostatečný podklad pro kvalifikované rozhodování zákonodárců o návrhu kyberzákona.
Podle APMS byla RIA provedena jen formálně, s velkou pravděpodobností až dodatečně. „Úřad pravděpodobně nejdřív napsal zákon a pak k němu provedl hodnocení dopadů, nikoliv, že by nejdříve provedl analýzy, poté zhodnotil dopady a pak vybral tu, která přináší nejvíce přínosů s nejnižšími náklady,“ přisazuje si zájmové sdružení tuzemských operátorů.
Asociace si od ústecké univerzity Jana Evangelisty Purkyně nechala vypracovat třicetistránkový posudek, který zkoumá, co všechno průvodnímu materiálu ke kyberzákonu chybí. „Neobsahuje konkrétní přehled subjektů, které budou na základě nového zákona poskytovateli regulovaných služeb, a budou tedy muset uvést své systémy a procesy do souladu se zákonem, což pro ně bude znamenat náklady,“ uvádí materiál s tím, že RIA neobsahuje ani odhad těchto nákladů a odhad agregovaných nákladů, případně nákladů na jednotlivá regulovaná odvětví.
Akademikům dále chybí vyhodnocení dopadů na malé a střední podniky. To přitom pravidla pro hodnocení dopadů regulace vyžadují. Posudek akcentuje, že například v odvětví poskytování služeb/sítí elektronických komunikací má zákon ambici dopadnout na všechny podnikatele bez rozdílu velikosti. V české realitě to pak má znamenat bezmála šest tisíc převážně malých podniků a mikropodniků.
Posudek postrádá rovněž zhodnocení dopadů na výdajovou i příjmovou stránku státního rozpočtu, když regulace má nově dopadat i na organizační složky státu, což si vyžádá zavedení nových organizačních postupů i pracovních míst. Operátorská organizace neopomenula zdůraznit argument proti prověřování bezpečnosti dodavatelského řetězce, když ta podle ní může „ve finále znamenat významné dodatečné a nečekané investice u subjektů, které jsou zároveň významnými plátci daně z přidané hodnoty“. Bylo by prý proto vhodné znát dopady nutných opatření požadovaných směrnicí NIS2 a vedle toho i lokálních a nepovinných požadavků nad rámec této směrnice.
Slováci také nestíhají říjnový termín
Zatímco tuzemský NÚKIB se novým kyberbezpečnostním zákonem zaobírá více než rok, na Slovensku teprve teď připravují meziresortní připomínkové řízení. Tamní Národný bezpečnostný úrad, který má regulaci informační a kybernetické bezpečnosti na starosti, má také s přípravou legislativy zpoždění. Přitom pro všechny členské státy platí závazný termín 18. října 2024, do kdy má být novinka zapracována do národní legislativy Sedmadvacítky.
Slovenský regulátor původně sliboval zveřejnit prvotní návrh už v březnu, nyní tento termín posouvá na duben až květen. Bude proto zajímavé sledovat, kdo nakonec transpozici NIS2 stihne dříve. Tomu, jak se naši východní sousedé s povinnou regulací popasovali, se budeme věnovat v některém z příštích dílů našeho seriálu.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU