Legislativní rada vlády (LRV) vrátila ve čtvrtek 4. dubna 2024 návrh nového zákona o kybernetické bezpečnosti (nZKB) Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Tento článek přináší komplexní informace o událostech, které se odehrály, jejich dopadu na české firmy a následujících krocích, které je třeba očekávat.
Co se stalo a co LRV kritizuje?
Návrh zákona o kybernetické bezpečnosti narazil u Legislativní rady vlády na výrazný odpor. Prakticky žádná část nezůstala bez připomínek a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) jej bude muset přepracovat a znovu předložit LRV. Projednávání je mezitím přerušeno.
Vládní poradní sbor částečně kritizuje stejné připomínky, jako měly státní instituce a veřejné subjekty, které NÚKIB, tvůrce zákona, obdržel během předchozího připomínkového řízení. Například zákon ze své podstaty nevytváří další požadavky napřímo, ale činí tak vyhláškami, kterými se zákon provádí.
„Vymezení rozsahu věcné působnosti zákona je do značné míry postaveno na prováděcích předpisech, pro které ale navrhovaný zákon neobsahuje dostatečný zákonný základ a meze, v rámci nichž by mohly být předpokládané vyhlášky Úřadem vydávány“ tvrdí LRV.
Systém zabezpečení dodavatelského řetězce se také nelíbí právníkům v Legislativní radě vlády, kteří prohlásili, že: „velmi široce vymezuje pravomoci úřadu“. Chtějí proto, aby se vláda podílela na všech rozhodnutích, která se v této oblasti přijímají.
Co nyní můžeme očekávat?
Přijetí této nové legislativy, nahrazující platný zákon č. 181/2014 Sb. a související prováděcí vyhlášku č. 82/2018 Sb., bude pravděpodobně odloženo, přičemž původní termín v říjnu již není reálný. Zároveň platí, že za každý den prodlení může Evropská komise nebo Evropský soudní dvůr uložit pokutu za nedokončenou implementaci směrnice, pokud bude proti České republice zahájeno soudní řízení. To se již v minulosti několikrát stalo (viz zákon o whistleblowingu).
Jak reaguje NÚKIB?
Podle NÚKIB je nejnovější vývoj situace očekávaný. „Jde o přirozenou součást legislativního procesu, stejně jako oznámené přerušení projednávání. Nejedná se o nic výjimečného, s čím by se nepočítalo. U nových, podobně komplexních norem, je to poměrně běžná praxe. Zákon se tedy nevrací „na začátek“, naopak překonal další metu a my již intenzivně zapracováváme veškeré připomínky. Blíže nebudeme neveřejné jednání LRV komentovat“ uvedla NÚKIB ve svém oficiálním sdělení.
Co tento vývoj znamená pro podniky a státní organizace, které spadají pod NIS2?
Je jasné, že nás v tomto ohledu čeká dlouhá a možná i komplikovaná cesta. Jednání v Poslanecké sněmovně a Senátu budou trvat ještě několik měsíců.
Hlavní výtky LRV ovšem směřovaly především k bezpečnosti dodavatelského řetězce, kompetencím a pravomocím NÚKIBu, či ukládání povinností pouze z vyhlášek (nikoliv ze zákona samotného). Odvětvová kritéria a požadavky jsou jasně stanoveny a v této oblasti, tj. v samotném řízení kybernetické bezpečnosti, včetně organizačních a technických opatření, pravděpodobně nedojde k velkým změnám.
Tento nejaktuálnější vývoj poskytuje organizacím trochu více času, aby se na nový zákon skutečně poctivě připravily. A rozhodně by tak měly učinit, dokud je na trhu ještě relativní klid. Je důležité si uvědomit, že trh bezpečnostních poradců v České republice je velmi omezený, a proto jejich zajištění pro přípravu vaší společnosti může být s blížícím se termínem obtížnější.
„Bezpečná IT infrastruktura by neměla být pouze požadavkem NIS2, ale měla by být klíčovým obchodním rozhodnutím. Kvůli nedostatku kvalifikovaných bezpečnostních konzultantů mohou i lídři v oboru přijmout pouze 10 až 15 klientů ročně. Zajištění konzultačních služeb od spolehlivého a renomovaného partnera a provedení klienta celým procesem systému řízení bezpečnosti informací může být poměrně náročné, protože existuje více než 6000 firem, na které NIS2 připadne,“ vysvětluje Michal Zedníček ze společnosti Alef Nula.
Závěrem lze už jen dodat, že i přes některé problémy se podařilo dosáhnout dalšího významného milníku při zavádění NIS2 do českého právního prostředí. Důkladná revize návrhu legislativy je nutná, ale neměla by výrazně změnit nároky a očekávání kladené na organizace. Vrcholový management a odpovědné osoby za bezpečné firemní prostředí sice získali více času, nicméně by neměli polevit ve svém úsilí, protože kybernetické hrozby existují již nyní, nehledě na stav přípravy nového zákona.
Zdroje:
https://www.lupa.cz/aktuality/vladni-legislativci-vratili-kyberzakon-nukibu-k-prepracovani/
