Regulace podle NIS2: Další zpoždění pro nový kyberzákon, proti jsou finance

Kamenem úrazu je požadavek NÚKIBu na navýšení tabulkových míst pro řešení nové agendy. Správce státní pokladny o tom nechce ani slyšet.

Dříve optimistické odhady Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) stran včasné účinnosti nového kybernetického zákona definitivně vzaly za své. Transpoziční lhůta směrnice NIS2 počítá s 18. říjnem 2024 jako nejzazším dnem, kdy členské státy mají mít národní legislativu přijatu.

Připomeňme, že ještě na začátku listopadu ředitel Adam Kučínský, který má zákon v NÚKIBu na starosti, v podcastu Lupy říkal, že je potřeba už jen dovysvětlit několik rozporů, a sliboval, že do konce listopadu bude kyberzákon v Legislativní radě vlády (LRV). Od toho okamžiku lze přitom kvalifikovaně odhadnout další průběh legislativního procesu, protože LRV je svázána lhůtou 60 dnů a vláda ani sněmovna, kde má koalice většinu, nemá důvod projednání de facto vládní normy prodlužovat.

S říjnovou účinností se rozloučil už i NÚKIB

Na začátku prosince mluvčí úřadu Eva Rajlichová původní plán revidovala s tím, že ptát se na další osud návrhu zákona bude namístě v polovině měsíce. A nyní už je i podle webu NÚKIBu zřejmé, že se transpoziční lhůtu do 18. října 2024 stihnout nepodaří. NÚKIB přepracoval harmonogram nové právní úpravy, kdy odeslání na Legislativní radu vlády předpokládá v prvním čtvrtletí 2024 a projednání v parlamentu koncem téhož roku.

"Termíny pro plnění dalších povinností pak budou záležet na finálním datu účinnosti zákona," naznačuje úřad, že ani na tento odhad se tak úplně spoléhat nelze. Podle informací od insiderů, kteří jsou obeznámeni s průběhem příprav této informačně-bezpečnostní legislativy, hasí NÚKIB v souvislosti s normou požáry na více frontách a proti sobě má víc silných protivníků, než vůbec očekával.

Na vládní úrovni je to především Ministerstvo financí, kde se pohledy obou institucí diametrálně rozcházejí a nalezení kompromisu je v nedohlednu. NÚKIB žádá desítky tabulkových míst navíc, aby na zvládnutí nové agendy stačil. Přitom si ale pravidla nalinkoval tak, že jejich kontrola a vymáhání bude složitější, než NIS2 požaduje, a než by tedy musely být.

Souvisí to například s mechanismem posuzování rizikových dodavatelů. Ten cílí především na mobilní operátory a jejich dodavatele technologií, kde NÚKIB chce získat pravomoc zakázat nebo omezit problematické dodavatele z Číny – ZTE a Huawei – v českých sítích. NÚKIB už dopředu dal najevo, že v této otázce neustoupí ani o píď.

Tím, že úřad chce čínské dodávky vyhnat nejen z jádra sítě (core), ale i z přístupových sítí (RAN), si proti sobě poštval tuzemskou velkou trojku. Mobilní operátoři všude, kde je to jen možné, lobbují proti zákonu a zaznívají hlasy, že pokud by měl zákon ve stávající podobě vstoupit v platnost, vzejdou z jejich strany miliardové požadavky na finanční náhrady zmařených investic.

Šetříme, odpovídá Ministerstvo financí

Resort financí říká mnoho kategorických ne. V době všeobecných škrtů má problém s tím, aby se na NÚKIBu navyšovaly počty úřednických míst. Odmítavě se staví také k tomu, že by nové tabulkové nároky měla vznášet ministerstva a další úřady, aby nově nalinkovaným pravidlům kybernetické bezpečnosti vyhověly. A konečně ani řinčení zbroje mobilních operátorů nepovažuje správce české státní pokladny za plané a bezdůvodné. Suma sumárum, Ministerstvo financí vnímá nový kybernetický zákon za příliš vážnou hrozbu pro rozpočet, než aby jej podpořil.

Dalším neprávem podceňovaným protivníkem NÚKIBu jsou samotní operátoři, v připomínkovém řízení maskovaní pod Hospodářskou komorou. Už v minulosti několikrát dokázali, že pokud jde o lobbing za jejich zájmy, jsou v této dovednosti ve sněmovně jedni z nejlepších.

Stačí se vrátit o zhruba patnáct let nazpátek a zavzpomínat na podobu zákona o elektronických komunikacích a jeho novel předtím, než ty největší protizákaznické pasti napravila tzv. Husákova novela. Domnívat se, že by stejné uskupení nechalo zákon, svěřující NÚKIBu pravomoc několika rozhodnutími zmařit investice za miliardy, hladce sněmovnou projít, by bylo dětinsky naivní.

S postupujícím časem a na veřejnost prosakujícími informacemi o pokračujícím průběhu vyjednávání o připomínkách k zákonu je i posunutý odhad NÚKIBu, že zákon o kybernetické bezpečnosti sice nenabude účinnosti v říjnu, ale do konce příštího roku ano, nutno označit za velmi optimistický. V případě, kdy proti vám stojí množství silných protivníků a ani jedna ze stran nechce od svých požadavků ustoupit ani o píď, čas plyne rychle.

Zdržovací taktika je však pro oba tábory relativně výhodná. Směrnic, které se nepodařilo včas transponovat do českého právního řádu, je celá řada, namátkou jmenujme směrnici o whistleblowingu, tabáková směrnice, směrnice o vytvoření jednotného evropského železničního prostoru a další a další.

Kromě toho, že je to nedobrá vizitka o liknavosti vlády, což je špatný signál nejen pro evropské společenství navenek, ale i pro vlastní společnost, se nic až tak zásadního neděje. Ale jen do chvíle, kdy pohár trpělivosti přeteče, Brusel praští do stolu a neposlušný stát požene k Soudnímu dvoru EU. Na konci řízení o nesplnění povinnosti podle článku 258 Smlouvy o fungování EU pak soud může rozhodnout o uložení citelných sankcí. Před 10 lety takto Česká republika dostala za neprovedení směrnice o činnostech zaměstnaneckého penzijního pojištění a dohledu pokutu čtvrt milionu eur, a to bylo navíc v situaci, kdy se příslušné předpisy podařilo přijmout v průběhu řízení o nesplnění povinnosti. Původně Komise požadovala sankce v řádech milionů eur.

Zdroj: Regulace podle NIS2: Další zpoždění pro nový kyberzákon, proti jsou finance - Lupa.cz