V představování povinností, které musí plnit povinné subjekty s vyšší důležitostí (essential), jsme v minulém dílu skončili u analýzy rizik a hledání způsobu jejich zvládnutí. Dnes v seriálu Regulace podle NIS2 rozbor připravované vyhlášky upravující tyto povinnosti přerušíme a využijeme toho, že jsou na eKlepu zveřejněny všechny došlé připomínky k návrhu nového zákona o kybernetické bezpečnosti.
Lze tak získat ucelenou představu o tom, jak se na nápady Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) stran implementace směrnice NIS2 tváří zbytek státní správy. Připomeňme, že původní termín 19. července byl o několik dnů prodloužen, čehož většina subjektů využila a svou nespokojenost vyjádřila v poslední den lhůty, tedy 26. července.
Na úvod letmá statistika: 36 subjektů své nesouhlasné připomínky označilo jako zásadní, šest pouze jako doporučující a 10 míst žádné připomínky nemá. Co se tedy jednotlivým připomínkovým místům na připravované normě nelíbí? Z důvodu vyšší přehlednosti se budeme věnovat jen těm, které své připomínky označily jako zásadní, neboť jen ty musí NÚKIB náležitě vypořádat.
Ministerstvo dopravy kritizuje zejména zavedení prověřování bezpečnosti dodavatelského řetězce. Má obavy z toho, že některé kritické systémy státu nebudou schopni stávající dodavatelé dodat a ti zbylí ano, ale za rozpočtově neúnosných ekonomických podmínek. Resortu se také nelíbí, že o této otázce neproběhla diskuse a nebyly zhodnoceny ekonomické dopady. Bez toho nesouhlasí, aby byl materiál vůbec vládě předložen k projednání.
V dalších bodech se pak doprava opírá i do Českého telekomunikačního úřadu (ČTÚ), kdy požaduje i nezáměrné rušení signálů systému Galilelo zahrnout mezi kybernetické hrozby, a kritizuje ČTÚ za nečinnost. „Proti lokálním, nečekaným a relativně krátce trvajícím incidentům rušení GNSS (globální družicové navigační systémy – pozn. redakce) dnes neexistuje mechanismus obrany. Podle stávajících postupů bude trvat velmi dlouho, než bude Český telekomunikační úřad schopen zareagovat výjezdem měřicího vozu na místo incidentu a následně případně řešit incident s Policií ČR. ČTÚ dnes ani nedisponuje dostatkem měřicích vozů, vlastní jich nízké jednotky na celou Českou republiku,“ uvádí ministerstvo s tím, že požaduje ochranu systému Galileo návrhem zákona významně posílit.
Hospodářská komora své připomínky vzala opravdu z gruntu. Na čtyřiceti stránkách rozebírá jeden paragraf vedle druhého a prakticky na žádném nenechává nit suchou. Taktéž Komora se staví proti mechanismu prověřování dodavatelského řetězce. Podle ní se má týkat jen nedostupnosti, která má přímý okamžitý dopad na nedostupnost regulované služby na kritické úrovni, tedy požaduje zásadu přiměřenosti, jak ji rozlišuje směrnice NIS2. Profesní organizaci se dále nelíbí, aby klíčová ustanovení byla začleněna až v prováděcích vyhláškách, a nikoliv v zákoně. A mezi řádky lze vyčíst, že do připomínek Hospodářské komory významně promlouvala Asociace poskytovatelů mobilních sítí. Dokument se třeba odvolává na studii, podle které by výměna dodavatelů částí sítě u mobilních operátorů vyšla na 17,8 miliardy korun.
Ministerstvo zahraničních věcí kritizuje, že se NÚKIB pokouší do zákona propašovat pravomoci, které mu dle Ústavy nenáleží. Například sjednávání smluv o mezinárodní spolupráci. Ve druhé polovině dokumentu pak Černínský palác vyjmenovává články Směrnice NIS2, které mají být návrhem zákona do české legislativy nesprávně transponovány, ať už tím, že je NÚKIB do transpozice vůbec nezahrnul, anebo to neudělal správně.
Národní bezpečnostní úřad ve svých připomínkách také napadá dodavatelský řetězec. Tvrdí, že navržená podoba zákona může ohrozit činnost zpravodajských služeb, protože obsahuje prolomení povinnosti ochrany informací pro účely, které zákon o zpravodajských službách sleduje.
Úřad pro ochranu osobních údajů se pozastavil nad zavádějícím pojmenováním režimu nižších povinnosti (important) a vyšších povinností (essential) a navrhuje vlastní pojmenování: významný a strategický. V podobném duchu slovíčkaření a opravy nepřesností se odehrává i zbytek připomínek.
Ministerstvo životního prostředí se ohradilo proti tomu, že nekomerční výzkumné organizace jsou do národní regulace zahrnuty i přesto, že to směrnice NIS2 nepožaduje. U vědecké výzkumné instituce se pak náklady na kyberbezpečnost mají pohybovat až okolo 30 milionů ročně, což může představovat problém z hlediska rozpočtu.
Český telekomunikační úřad chce také prověřování dodavatelského řetězce až od úrovně strategicky významné služby kritická. Požaduje, aby byl zahrnutý do projednání návrhů opatření obecné povahy, pokud se ten bude týkat poskytovatele služeb elektronických komunikací, a chce údaje o kybernetické bezpečnosti hlášené NÚKIBu zařadit mezi výjimky z poskytování informací podle zákona o svobodném přístupu k informacím.
Úřad pro zastupování státu ve věcech majetkových se nenašel v definici subjektů, na které se zákon vztahuje, protože je sice organizační složkou státu, ale není ústředním správním orgánem ani správním úřadem s celostátní povinností, a proto požaduje explicitně zařadit do režimu vyšších povinností.
Úřad pro ochranu hospodářské soutěže uplatnil pouze zpřesňující připomínku, aby nejen zadavatel veřejné zakázky poskytující strategicky významnou službu, ale jakýkoliv takový její poskytovatel mohl závazek vypovědět poté, co zjistí, že v jeho plnění nemůže pokračovat bez porušení opatření obecné povahy.
Asociace krajů se staví jednak proti harmonogramu, v jakém by regulované subjekty měly akceptovat nové povinnosti. Přijde jí 1 rok, resp. 18 měsíců jako velmi krátký časový rámec na zajištění lidských zdrojů a odpovídající finance. A také požaduje přesnější definici některých v zákoně používaných pojmů. Mezi řádky se v připomínkách objevují obavy, že krajské nemocnice, které spadnou do režimu vyšších povinností, nestihnou požadavky směrnice v příslušných lhůtách splnit.
Asociace také kritizuje NÚKIB, že vůbec neprovedl analýzu dopadů na regulované subjekty. „V podstatě se vysmáli metodice pro RIA,“ uvádí doslovně ve zveřejněné připomínce Středočeský kraj. Asociace krajů je také jednou z mála (vedle MPSV a Notářské komory), která uplatnila připomínky i k prováděcím vyhláškám, ačkoliv ty standardně meziresortnímu připomínkovému řízení nepodléhají.
Nedostatečnou definici pojmu kybernetická bezpečnost kritizuje také Ministerstvo obrany. To také chce ulevit regulovaným subjektům od nutnosti odůvodňovat veškerá primární aktiva. Nově by podle uplatněné připomínky této evidenci měla podléhat pouze ta aktiva, která s poskytováním regulované služby souvisejí. Taktéž v otázce hlášení kybernetických incidentů by se povinnost měla omezit pouze na ty, které mají významný dopad na poskytování regulované služby.
Obrana chce nově pečlivě evidovat penetrační testy a zpřísnit podmínky, kdo je může provádět. A smysl dává i další připomínka obrany dotýkající se správního trestání. NÚKIBu vytýká, že se snaží zavést do správního trestání protiústavní prvek, kdy přenese důkazní břemeno na obviněného. Ten by tak musel dokazovat svou nevinu, zatímco všude jinde platí, že úřad musí dokázat jeho vinu. Proti ulehčování si práce kybernetických úředníků ministerstvo brojí i hned v následujícím odstavci, kdy mu vytýká prolomení zásady zákazu „reformatio in peius“, tedy změny rozhodnutí v neprospěch obviněného na základě jím využitého opravného prostředku. NÚKIB by tak měl skutek řádně vyšetřit už na začátku, nikoliv až po podání odporu proti příkazu.
Ministerstvo práce a sociálních věcí vedle jazykového zpřesnění některých formulací (například zavedení pojmu CERT) chce přenastavit povinnosti po zjištěném bezpečnostním incidentu tak, že regulovaný subjekt se napřed bude věnovat jeho řešení a pak až povinnému hlášení, včetně detailů. Také tento resort požaduje zpřesnění, že povinnosti poskytovat součinnost při zvládání incidentů se budou týkat až významných kyberincidentů. A v případě, že NÚKIB bude požadovat součinnost po někom, kdo incidentem nebyl sám zasažen, má mu nově náležet úhrada administrativních nákladů. MPSV dále navrhuje, aby do výčtu orgánů, které mají povinnost NÚKIBu poskytovat informace a součinnost, byl doplněn i ČTÚ.
Český úřad zeměměřický a katastrální žádá zavést dvojkolejnost pro poskytovatele více služeb, přičemž ty jsou v různých kategoriích přísnosti. Není podle něho fér, že takový poskytovatel musí ke všem regulovaným službám přistupovat v režimu vyšších povinností. Podobně jako obrana i ČÚZK chce omezit identifikaci primárních aktiv jen na ta, která souvisejí s poskytováním regulované služby v rámci celé organizace. Jinak by totiž podle úřadu muselo být vyhodnocováno i fungování docházkového systému nebo stanovování odměn.
Úřad pro zahraniční styky a informace si stěžuje na to, že v průběhu přípravy zákona uplatňoval k návrhu řadu připomínek a NÚKIB je nevyslyšel. Civilní rozvědce se nelíbí předávání informací a spolupráce, když za dostatečnou považuje současnou speciální právní úpravu.
Letos zřízená Digitální a informační agentura se zaobírá vztahem směrnice NIS2 a nařízením eIDAS u služeb vytvářejících důvěru. DIA řeší hlavně to, aby případná revize eIDAS nekolidovala se zákonem, který vstoupí v účinnost pravděpodobně později. Agentura také jako mylnou označuje představu NÚKIBu, že subjekty provozující rejstříky domén nejvyššího řádu a registrátoři domén si sami budou moci ověřovat identitu držitelů domén přes kvalifikované systémy elektronické identifikace.
Česká národní banka kritizuje podobně jako obrana nové pořádky, které se snaží NÚKIB zavést do správního trestání. Doporučuje se přidržet metodiky, jež k tomu zpracovalo Ministerstvo vnitra.
Ministerstvo financí upozorňuje NÚKIB, že prostředky na úhradu nutných výdajů v souvislosti s novou regulací si musí sám přednostně najít přesunem v rámci svého rozpočtu. A navyšování jeho kapitoly pak nepovažuje za vůbec možné. Jinými slovy, kybernetický úřad nemůže počítat s tím, že by mu ze státního rozpočtu byly uvolněny jakékoliv finance navíc.
"Jelikož je kybernetická bezpečnost považována za prioritu, kapitoly budou nuceny hledat o to větší úspory v jiných oblastech svých výdajů." Ministerstvo financí v připomínkách k novému zákonu o kybernetické bezpečnosti. #CyberSecurity
— Jaromír Novák (@xmireknovak) July 21, 2023
Podobně jako Hospodářská komora se i resort financí staví proti tomu, aby povinnosti byly upravované v prováděcích vyhláškách, a ne přímo v zákoně. Ministerstvo se dále staví proti tomu, aby byla prolomena povinná mlčenlivost zaměstnanců Finančního analytického úřadu, a ti tak museli NÚKIBu poskytovat součinnost.
Český báňský úřad se staví proti tomu, aby všechny úřady byly automaticky řazeny do kategorie subjektů s vyššími povinnostmi. Na s tím spojenou nutnost vytvoření nových bezpečnostních rolí na to prý nemá lidi ani peníze.
Také Svaz místních samospráv chce z množiny regulovaných subjektů vyřadit obce s rozšířenou působností a ponechat místo nich pouze statutární města. Detailně pak požaduje vyčíslit dopady, které nové povinnosti na tyto města budou mít.
Bezpečnostní informační služba žádá vyloučit z regulace všechny informační nebo komunikační systémy používané kontrarozvědkou. Také BIS se domnívá, že se NÚKIB snaží tímto zákonem prolomit zavedenou praxi, jakým způsobem služba předává státním orgánům potřebné informace.
Svaz měst a obcí považuje celý materiál za strukturovaný a vyjádřený „nesrozumitelně a zmatečně“ a požaduje jeho celé přepracování. „I pro profesionály (osoby vzdělané v oboru právo a právní věda či v oblasti IT) je svízelné materiál pročíst a pochopit jej včetně jeho provazeb na prováděcí právní předpisy,“ uvádí svaz. Chybí mu srovnání, jak se s NIS2 vypořádaly ostatní státy, proč u nás jdeme v mnoha ohledech nad rámec směrnice a proč analýza dopadů regulace (RIA) nebyla provedena dostatečně. Také svaz protestuje proti tomu, že zatímco dle NIS2 municipality nemusejí být regulovaným subjektem, navrhovaný zákon jim tuto regulaci zavádí.
Asociace malých a středních podniků a živnostníků chce povinnosti upravené zákonem, nikoliv vyhláškou, požaduje prodloužit lhůty ke splnění povinností od okamžiku registrace a napravit řízení dodavatelských vztahů.
Místopředseda vlády pro digitalizaci si připomínkami spíše připomněl svou vlastní agendu, když upozorňuje na sjednocení domény státních úřadů pod gov.cz.
Úřad vlády řeší technikálie týkající se jednání Bezpečnostní rady státu. Odbor kompatibility ale návrh podrobuje poměrně zdrcující kritice, kdy podle něj je návrh psán obtížně srozumitelným jazykem, nejsou zde vysvětleny základní pojmy.
Ministerstvo vnitra se také pozastavuje nad tím, že by měl NÚKIB v podstatě získat postavení zpravodajské služby. „Úřad je primárně správním orgánem a má vyhodnocovat konkrétní rizika, která mohou nastat v rámci dodávky technologie, která by mohla poškodit zájmy České republiky,“ píše vnitro ve stanovisku. NÚKIBu také nebudou poskytovány informace nebo součinnost v případech, že by to ohrozilo či zmařilo účel trestního řízení.
I Notářská komora upozorňuje na to, že povinnosti nelze ukládat podzákonným předpisem. Pozastavuje se také nad tím, že NÚKIB jinou povinnost mlčenlivosti stanovuje notářům a jinou advokátům, ačkoliv jejich postavení má být v tomto ohledu stejné.
Svaz průmyslu a dopravy podobně jako předchozí profesní organizace upozornil na to, že svou nespokojenost s návrhem uplatnil už v předešlé veřejné konzultaci a tyto připomínky přetrvávají. Svaz navrhuje přenést pravomoc určovat okruh regulovaných subjektů z NÚKIBu na vládu, která by o něm rozhodovala svým nařízením. Zmiňuje konkrétní riziko pro český automotive sektor. Jestliže NIS2 bude benevolentnější než tuzemská právní úprava, „zahraniční dodavatelé nemusejí být ochotni plnit zvýšené požadavky, které na ně český výrobce motorových vozidel bude klást“.
Podobně jako Ministerstvo životního prostředí i Akademie věd požaduje vyjmout z regulovaných subjektů výzkumné organizace provádějící základní výzkum. A pokud by tam snad spadat měly, mají se na ně vztahovat pouze povinnosti v mírnějším režimu.
Českomoravské konfederaci odborových svazů chybí kvalitně zpracovaná analýza dopadů regulace (RIA). Nesouhlasí se závěrem, že návrh zákona nemá žádné sociální dopady, a vyzývá NÚKIB, aby svou zprávu přepracoval.
Ministerstvo zemědělství uvádí, že neprovozuje žádnou kritickou informační infrastrukturu ani základní službu, a přesto má být subjektem kritické infrastruktury. Také má výhrady proti povinnosti hlásit incidenty do druhého dne. „V případě zjištění incidentu v pátek odpoledne nelze zajistit předložení do 24 hodin,“ brání se úřad novým povinnostem.
Konfederace zaměstnavatelských a podnikatelských svazů kritizuje hodnocení rizikovosti dodavatelů, absenci opravného prostředku proti opatřením obecné povahy a narušení podnikatelského prostředí. Navrhovaná úprava prý postaví zadavatele veřejných zakázek před dilema, „zda nedodržet právní předpisy, nebo narušit provoz svých informačních systémů“. NÚKIBu proto doporučuje vyjasnit si priority. Tytéž připomínky pak uplatnila i Unie zaměstnavatelských svazů.
Ministerstvo zdravotnictví upozorňuje, že většinu povinností vůbec nebude možné naplnit. Například u cloudových služeb nebude možné zajistit požadavky na vícefaktorovou autentizaci nebo délku hesla.
Ministerstvo spravedlnosti podobně jako notářská komora poukazuje na rozdílný přístup k dodržení povinnosti mlčenlivosti advokáta a notáře. Resort dále uvádí, že není logické, aby podmínku bezúhonnosti nesplňovala například osoba pravomocně odsouzená pro trestný čin podpory a propagace terorismu, zatímco osoba pravomocně odsouzená za trestný čin genocidia nebo za válečný trestný čin tuto podmínku splňovat bude a NÚKIB na ni bude hledět jako na bezúhonnou.
Závěr
NÚKIB v následujících týdnech čeká nevděčný úkol vytvořit tabulku vypořádání připomínek, v níž se s těmi, které jsou označeny jako zásadní, musí uspokojivě vypořádat. Je otázkou, zda se mu to podaří bez rozporu, anebo na jednání vlády půjde materiál, který nemá jednoznačnou podporu ani zdaleka většiny těch, kteří pro něj mají zvednout ruku…