Připravovaný zákon o kybernetické bezpečnosti byl v několika souvislostech zmiňován na konferenci LAW FIT pořádané společně Českým vysokým učením technickým a Právnickou fakultou Univerzity Karlovy v Praze. Ústředním tématem letošního desátého ročníku konference věnované tradičně právu a IT byla Digitální (pře)regulace.
Kybernetická bezpečnost byla přitom dána za příklad oblasti, kterou ještě před třemi dekádami nikdo regulatorně neřešil, podobně jako celou řadu dalších sfér digitálního prostoru. Dnes je ale předpisů na národních i nadnárodních úrovních takové množství, že je téměř nemožné se v nich dokonale orientovat.
Šlo to napsat jednodušeji
Prorektor Masarykovy univerzity Radim Polčák v návrhu kyberbezpečnostního zákona vítá, že je abstraktní, metaforický, nechává prostor regulovaným subjektům vymyslet vlastní způsoby, jak požadované cíle naplnit. Vyčítá mu ale přílišnou upovídanost. „Ze strany Legislativní rady vlády (LRV) nebyla zpochybňována struktura zákona nebo typologie povinností. Spíše to, že se to dá napsat mnohem jednodušeji,“ řekl ve své úvodní přednášce.
Polčák je přitom jedním ze členů LRV, která projednávání předpisu v dubnu přerušila a materiál předkladateli, Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), vrátila k přepracování. Výhrad měla takové množství, že předkladatel je dosud všechny nezpracoval a novou verzi zatím LRV nepředložil. NIS2 přitom počítá s tím, že národní legislativa má začít platit nejpozději 17. října 2024. NÚKIB už dříve veřejně přiznal, že tuto lhůtu nestihne a naznačuje, že bychom se novým kyberbezpečnostním zákonem měli začít řídit v průběhu příštího roku.
Větší prostor pro samoregulaci
Připravovaná norma přitom přináší performativní přístup k regulaci. To je taková regulatorní technika, která motivuje regulované subjekty k tvorbě svých pravidel chování. Stanoví pouze obecné principy a dává jim velký prostor k vlastnímu uvážení, jak definovaného cíle dosáhnout.
Mechanismus právní regulace na základě performativních pravidel je založen na předpokladu, že k lidskému chování, které je předmětem právní regulace, vždy dochází zprostředkovaně prostřednictvím nějaké technologie. Provozovatel této technologie tak má rozhodující vliv na výsledné jednání uživatele, protože díky absolutní technické kontrole může jeho jednání prakticky libovolně usměrňovat. Polčák to trefně popsal větou: „Nevím, co chci, ale když to nedostanu, bude zle.“
Podle něj performativní pravidla v oblasti digitální regulace částečně vznikají i proto, že orgány veřejné moci, které by měly vymáhat behaviorální pravidla, na to většinou nemají potřebných extrémních odborných znalostí. Uživatel, ale ani regulátor nikdy nedisponují takovou mírou poznání technologie, jakou má ten, kdo tuto technologii vyvinul nebo ji profesionálním způsobem provozuje. Tato definiční autorita pak může nejlépe nastavit technologii odpovídajícím požadavkům právní úpravy za vynaložení co nejmenších nákladů. Efektivita takové samoregulace je potom přirozeně vyšší, než jaká by byla při nejlepší vůli dosažitelná vynucenou regulací shora.
Vymahatelnost práva bude obtížná
Jak ale připomenul poradce ministra průmyslu a obchodu a bývalý předseda Rady Českého telekomunikačního úřadu Jaromír Novák, není to zdaleka jediný deficit na straně dohlížitele nad kybernetickou bezpečností. „Spousta subjektů ani netuší, že spadne do regulace. Mnoho dalších to ví, ale už počítá s tím, že nemusí splňovat všechny podmínky, které po nich stát bude chtít. NÚKIB, pokud má celkově 400 zaměstnanců, i kdyby měl desetkrát víc, nebude schopen zajistit v rámci kontrol vymahatelnost těch pravidel,“ uvedl Novák.
Očekává se, že transpozice směrnice NIS2 do národní legislativy se bude týkat nejméně 6 tisíc firem a institucí. Některé odhady ale mluví až o dvojnásobku. NIS2 přitom přichází s konceptem podobně drakonických pokut, jaké v oblasti ochrany osobních údajů zavedlo nařízení GDPR.
I v dalších ohledech jsou si obě regulace podobné. Často se proto používá přirovnání, že NIS2 je GDPR na steroidech. V každé z oblastí se uplatňují podobné principy. I norma regulující ochranu osobních údajů, která vešla v platnost mnohem dříve, je postavena na performativních pravidlech. Přílišná abstraktnost se u jejich adresátů ale nesetkala s pochopením.
Když začalo platit nařízení GDPR, řada povinných subjektů podle Polčáka udělala tu chybu, že se ptala Úřadu pro ochranu osobních údajů, jak to či ono ustanovení vykládat a jak pravidlům vyhovět. V lepším případě se odpovědi nedočkali, v tom horším jim regulátor svůj pohled vyložil. „To je špatně, performativní pravidla máme proto, že si mám vymyslet svoje řešení, jak to má fungovat, a pak se ptát úřadu, jestli to nemám špatně. Řešení tak musejí vznikat na úrovni regulovaných subjektů. To ale samozřejmě vyžaduje odbornou péči a jiný přístup k plnění povinností,“ dodal.
Výhodou této zákonné volnosti je, že pokud řešení vede k požadovanému cíli, ale odlišuje se od představy regulátora, nehrozí kreativnímu podnikateli postih. „Nemůžete sankcionovat subjekt, který funguje podle performativního pravidla. Když to není vyloženě špatně, tak se nesmí pokutovat,“ uzavírá prorektor brněnské univerzity.