Ohledně návrhu zákona o kyberbezpečnosti implementujícího evropskou směrnici NIS2 je v posledních měsících rušno. Po zveřejnění jeho prvotní verze obdržel Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB) od státních i soukromých subjektů více než tisíc připomínek. A mnoho z nich oprávněných.
I přes poměrně rozsáhlou shodu na textu vztahujícímu se k směrnici NIS2, největší obavu veřejnosti vyvolává mechanismus pro posuzování rizikových dodavatelů kritické infrastruktury. NÚKIB by díky tomuto získal pravomoc „samovolně“ posuzovat a identifikovat subjekty, které představují riziko pro kritickou infrastrukturu státu.
Toto opatření je sice zaměřeno především na firmu jako Huawei a ZTE, které NÚKIB označil jako hrozbu již v roce 2018, nicméně dotknout by se to mohlo až dalších 150 subjektů využívajících technologie čínských (i jiných) společností. Pokud by navrhovaná úprava prošla, ze strany některých subjektů již bylo indikováno, že se budou soudní cestou domáhat náhrady svých zmařených investic.
Správný úmysl, „uspěchané“ provedení
V současnosti v českém právním řádu chybí mechanismus, který by umožnil vyhodnotit bezpečnostní spolehlivost dodavatele a případně nedůvěryhodné dodavatele technologických prvků z kritické infrastruktury vyloučit úplně.
Ačkoliv lze dobrý úmysl chránící Česko před dodavateli ohrožující její bezpečnost kvitovat, samotné provedení se však zdá problematické, a to z celé řady důvodů. Zásadním argumentem je, že bude záležet na čistě vlastním zhodnocení dotčeného subjektu ze strany NÚKIB, což jde proti základním zásadám transparentnosti a předvídatelnosti, nehledě na koncentraci poměrně podstatné pravomoci zasahující do podnikatelského prostředí v rukou jednoho úřadu.
Je však nutné podotknout, že NÚKIB k sestavení mechanismu rizikovosti dostal pověření přímo od Bezpečnostní rady státu a má tudíž velmi silného spojence. Rada tak učinila zejména ve vazbě na neustále se zvyšující kybernetické hrozby a na válečný konflikt na Ukrajině.
Co teď?
Nyní je na NÚKIB, aby na obdržené připomínky zareagoval a případně podle nich upravil návrh předmětných předpisů. Jednou z možností je část týkající se regulace dodavatelských řetězců oddělit do samostatného řízení a předmětnou novelizaci soustředit pouze na implementaci směrnice NIS2. Je samozřejmě možné, že návrh poputuje rovnou do mezirezortního připomínkového řízení.
Jedno je však jisté – nový zákon o kybernetické bezpečnosti a jeho prováděcí předpisy pro Vás budeme nadále sledovat a k nejnovějším aktualitám budeme přinášet naše postřehy.
