Jak jsme loni informovali v článku Vybrané novinky v kybernetické bezpečnosti podle NIS2, v roce 2022 přijatá směrnice NIS2 (EU 2022/2555) („NIS2“) představuje revoluci v regulaci ochrany informačních technologií a kybernetické infrastruktury v Evropské Unii. Směrnici NIS2 má do českého právního řádu implementovat návrh nového zákona o kybernetické bezpečnosti („NZKB“) a související vyhlášky Národního úřadu pro kybernetickou bezpečnost („NÚKIB“), které nahradí stávající zákon č. 181/2014 Sb., o kybernetické bezpečnosti („SZKB“).

Klíčovým aspektem NZKB je rozšíření okruhu povinných osob, které musí hlásit kybernetické incidenty a přijmout bezpečností opatření pro zajištění kyberbezpečnosti. Nově se budou muset u NÚKIB zaregistrovat tisíce českých společností, na které dosud stávající úprava SZKB vůbec nedopadala. Pro společnosti, které dosud nevěnovaly kybernetické bezpečnosti zvláštní pozornost, mohou nové povinnosti představovat značnou výzvu. Implementace postupů podle NZKB vyžaduje mix právního, bezpečnostního a technického know-how a může běžné společnosti zabrat několik měsíců. Pojďme se proto podívat, v jaké fázi je příprava NZKB, kdy můžeme očekávat jeho schválení, a na jaké povinnosti je třeba se co nejdříve připravit.

Pochybnosti o ústavnosti návrhu nového zákona

Lhůta pro transpozici směrnice NIS2 uplyne 17. října 2024. Že ji Česká republika nestihne včas transponovat, se ví dlouho. Ostatně ani sousední Slovensko na tom s transpozicí NIS2 není o moc lépe. Na oficiálním informačním webu NÚKIB nis2.nukib.cz stále visí orientační harmonogram počítající s účinností NZKB koncem roku 2024. Dodržení harmonogramu by bylo reálné, pokud by návrh NZKB prošel vládou i Parlamentem hladce.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Jenomže Legislativní rada vlády na počátku dubna 2024 přerušila projednávání návrhu NZKB. K návrhu zaujala stanovisko, ve kterém požaduje, aby NÚKIB návrh NZKB zásadně přepracoval před tím, než jej předloží vládě ke schválení. Důvodem jsou především obavy, že si NÚKIB zákonem přisvojuje více pravomocí než mu s ohledem na ústavní zásady dělby moci a omezené delegace normotvorby přísluší. Vymezení povinných osob a jejich povinností je totiž postaveno do značné míry na prováděcích předpisech (vyhláškách) NÚKIB, pro které zákon podle legislativní rady vlády neobsahuje dostatečný základ a meze.

Zásada omezené delegace normotvorby vyplývá z článku 79 odst. 3 Ústavy. Podle této zásady mohou být podzákonné právní předpisy vydávány pouze v rámci konkrétního zmocnění a v mezích zákona. Ústavní soud v nálezu sp. zn. Pl. ÚS 6/07 uvedl, že zmocnění musí být natolik přesné a konkrétní, aby bylo dopředu jasné, co má být regulováno a jaké povinnosti budou povinným osobám uloženy. Zákon tedy musí obsahovat zcela konkrétní rámec, ve kterém mohou být podzákonné právní předpisy vydávány, a nesmí umožňovat exekutivě ukládat nové povinnosti, které nejsou v zákoně přesně specifikovány. Smyslem je zamezit NÚKIB a ostatním exekutivním orgánům samovolně rozšiřovat své pravomoci a ukládat nové povinnosti bez jasného zákonného základu. Tímto způsobem je zachovává právní jistota a předvídatelnost právních vztahů, což je základním principem demokratického právního státu.

Z tohoto pohledu jsou výtky Legislativní rady vlády požadující další konkrétnější vymezení základu a mezí vyhlášek namístě. Návrh NZKB deleguje skutečně velmi obecně vymezení povinných osob na vyhlášku NÚKIB o regulovaných službách a vymezení povinností povinných osob na obě vyhlášky NÚKIB o bezpečnostních opatřeních. NÚKIB by tak v případě schválení zákona v této podobně sice získal možnost efektivně reagovat na potřeby ochrany kyberbezpečnosti, na druhé straně by lavíroval na hraně ústavnosti a zahrával by si s právní jistotou potenciálních povinných osob.

Kontroverzní pravomoci

I pokud NÚKIB návrh přepracuje, jeho následné vřelé přijetí v Parlamentu není vůbec samozřejmé. Součástí návrhu je totiž i kontroverzní posílení pravomocí NÚKIB.

V prvé řadě má NÚKIB získat pravomoc zakázat využití plnění konkrétního dodavatele za účelem ochrany před ohrožením bezpečnosti ČR. Jde o zjevnou reakci na působení nedůvěryhodných čínských technologických společností Huawei a ZTE na evropském a americkém trhu. O tom, že představují strategické bezpečnostní riziko, NÚKIB varoval už v roce 2018. Nově by místo pouhého varování mohl opatřením obecné povahy dodavatele poskytující bezpečnostně významné strategické služby rovnou vyřadit z další účasti na klíčových infrastrukturních projektech. Tato pravomoc je součástí širšího mechanismu prověřování bezpečnosti dodavatelského řetězce, do kterého se ale zapojí pouze zhruba 200 nejvýznamnějších povinných osob.

Další posílení představuje navrhovaná pravomoc ředitele NÚKIB vyhlásit kybernetické nebezpečí. Nově by tento mimořádný stav mohl vyhlásit až na 30 dní s tím, že se souhlasem vlády může jeho trvání opakovaně prodloužit. Při vyhlášeném kybernetickém nebezpečí může NÚKIB ukládat povinnosti všem osobám, tedy i těm, na které NZKB jinak nedopadá. Konkrétně může nařídit například provádění prací v pohotovostním režimu nebo zpřístupnění neveřejných komunikačních sítí.

NUKIB má dále mít možnost vyhláškou nařídit povinným osobám v režimu vyšších povinností, aby určité údaje a informace byly zpracovány pouze na specifikovaném území (např. v České republice nebo v Evropské unii).

Navrhovaná rozšíření pravomocí NÚKIB přitom zpravidla nevycházejí ani tak ze směrnice NIS2, jako jsou tuzemskou nástavbou. Parlamentní diskusi o potřebě a vhodnosti dané úpravy se proto zřejmě nevyhneme.

Tak kdy tedy?

Vzhledem k výše uvedenému se zdá nepravděpodobné, že by návrh prošel Parlamentem ještě letos. Nejoptimističtější se tak jeví rok 2025. Ten je však rokem volebním. Pokud Poslanecká sněmovna nestihne návrh NZKB projednat před koncem svého funkčního období na konci roku 2025, hrozí, že návrh NZKB tak říkajíc spadne pod stůl a budou se jím zabývat až nově zvolení poslanci. Pak bychom se účinnosti NZKB dočkali nejdříve v roce 2026. To je však spíše pesimistická varianta.

Na co se připravit po přijetí NZKB?

Přestože není v současné době jisté, v jaké přesně podobě bude NZKB nakonec schválen a od kdy bude účinný, lze předpokládat, že i po jeho případném přepracování zůstanou zachovány klíčové povinnosti povinných osob, kterými jsou:

1. po účinnosti NZKB se zaregistrovat se jako povinná osoba na portálu NÚKIB;
2. do roka od registrace přijmout organizační a technická bezpečnostních opatření a zohlednit je ve smlouvách se svými dodavateli; a
3. do roka od registrace začít hlásit NÚKIB všechny kybernetické bezpečnostní incidenty a podle jejich závažnosti a dalších okolností přijmout další opatření či o nich informovat uživatele.

První povinností, kterou budou muset povinné osoby splnit, je zaregistrovat se na připravovaném portálu NÚKIB. Jestli to bude ve lhůtě 30 dnů od účinnosti NZKB, jak navrhuje NÚKIB, nebo 60 dnů, jak navrhuje Legislativní rada vlády, není teď důležité. Zkrátka ideálně ještě před nabytím účinnosti NZKB je třeba mít jasno, zda na společnost dopadá povinnost registrovat se a zda společnost bude vzhledem ke své velikosti nebo činnosti spadat do nižšího nebo vyššího režimu. Nezaregistruje-li se povinná osoba včas, zaregistruje ji sám NÚKIB a může ji uložit pokutu v nejvyšší sazbě, tedy až 250 milionů Kč, popřípadě až 2 % čistého obratu.

Společnosti mají mít podle návrhu NZKB jeden rok ode dne, kdy budou zaregistrovány do evidence NÚKIB, na přípravu plnění dvou klíčových povinností. Rozsah obou povinností, povinnosti přijmout organizační a technická bezpečnostních opatření i povinnosti hlásit bezpečnostní incidenty, se bude zcela zásadně lišit podle režimu, do kterého povinná osoba spadá. Povinná osoba ve vyšším režimu bude muset implementovat sofistikovaný systém bezpečnostních opatření a hlásit všechny kybernetické bezpečností incidenty. Zatímco povinné osobě v nízkém režimu bude stačit implementovat základní rozsah bezpečnostních opatření a hlásit kybernetické incidenty s významným dopadem.

Závěr

Je zřejmé, že NZKB přináší řadu nových povinností pro významnou část českých společností. I přes současné zdržení během přípravy zákona je důležité, aby si společnosti již nyní našly právní a technické partnery a začaly se připravovat na budoucí požadavky kybernetické bezpečnosti. Připravenost může společnostem výrazně pomoci minimalizovat faktická i právní rizika v této oblasti.

Mgr. Richard Vogel,
advokátní koncipient

GLATZOVA & Co., s.r.o.