Vláda České republiky předložila návrh zákona novelizující zákon o kybernetické bezpečnosti Poslanecké sněmovně dne 30. 11. 2020 v rámci Sněmovního tisku č. 1100. Novela primárně reaguje na Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentura Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („Akt o kybernetické bezpečnosti“).[1]
V souladu § 22 novelizovaného zákona o kybernetické bezpečnosti bude vnitrostátním orgánem certifikace kybernetické bezpečnost v České republice Národní úřad pro kybernetickou a informační bezpečnost („NÚKIB“). Novela dále v souladu s požadavky Aktu o kybernetické bezpečnosti blíže upravuje činnost tohoto vnitrostátního orgánu certifikace kybernetické bezpečnosti (provedení čl. 58 Aktu o kybernetické bezpečnosti vnitrostátním předpisem) a správní delikty za jednání v rozporu s Aktem o kybernetické bezpečnosti.
Certifikaci samotnou budou provádět tzv. subjekty posuzování shody, které budou akreditovány Českým institutem pro akreditaci. Certifikace kybernetické bezpečnosti bude dobrovolná a bude osvědčovat, že produkty, služby a procesy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, důvěrnosti a integrity. NÚKIB bude dohlížet na dodržování jednotlivých pravidel pro provádění certifikací.
Navrhovaná právní úprava má dále za cíl zlepšit stav kybernetické bezpečnosti České republiky také tím, že jak NÚKIB, tak Národní CERT budou mít zajištěn dostatek relevantních informací pro hodnocení zranitelností a také pro posouzení závažnosti případného kybernetického bezpečnostního incidentu. Novela tak současně zpřesní právní úpravu ohledně vyhledávání zranitelností. To se provádí ve veřejně přístupné části kyberprostoru a prostředky, které jsou přístupné jakémukoli uživateli internetu (jak stojí v odůvodnění novely). V platném znění zákona o kybernetické bezpečnosti není totiž dle odůvodnění novely kompetence vyhledávat zranitelná místa stanovena dostatečně konkrétně.
Novela zákona dále doplňuje § 25 zákona o kybernetické bezpečnosti o nové skutkové podstaty správních deliktů týkajících se zejména samotných držitelů certifikátu kybernetické bezpečnosti.
Předmětná úprava má potenciál kultivovat české kyberprostředí a zvýšit jeho kvality, a to jak zavedením standardního požadavku certifikace kybernetické bezpečnosti, tak dalším snižováním počtu jeho zranitelných míst.
Nejzazší datum pro přijmutí vnitrostátní úpravy členskými státy provádějící předmětná ustanovení Aktu o kybernetické bezpečnosti je stanoveno na 28. 6. 2021. Na základě aktuálního stavu legislativního procesu lze usoudit, že Česká republika má potenciál lhůtu pro přijmutí vnitrostátní úpravy splnit.
[1] Akt o kybernetické bezpečnosti, který je platný již od 27. 6. 2019, stanovuje především rámec pro zavedení evropského systému certifikace kybernetické bezpečnosti a cíle, úkoly a organizační aspekty agentury ENISA. Stanovení prvních certifikačních systémů Evropskou komisí se očekává v průběhu příštího roku. ENISA na žádost Evropské komise („EK“) nebo Evropské skupiny pro certifikaci kybernetické bezpečnosti (složené z členských států) připraví certifikační systémy, které poté EK přijme prostřednictvím prováděcích aktů. I přes skutečnost, že certifikace zůstane dobrovolná, EK posoudí, zda bude pro určité kategorie výrobků a služeb vyžadována povinná certifikace.