Návrh nového zákona o kybernetické bezpečnosti je v připomínkovém řízení

NÚKIB v pondělí 19. 6. 2023 nahrál do elektronické knihovny legislativního procesu (eKLEP) návrh nového zákona o kybernetické bezpečnosti („nový ZKB“). Pro návrh nového ZKB bylo k tomuto datu spuštěno mezirezortní připomínkové řízení.  

Jak již bylo uvedeno v předešlých článcích, návrh nového zákona o kybernetické bezpečnosti obsahuje zejména rámec povinností vyplývajících z přijaté evropské směrnice NIS 2. Nad rámec této směrnice návrh zákona také obsahuje tzv. mechanismus posuzování důvěryhodnosti dodavatele, který má umožnit NÚKIB zakázat či omezit užívání zařízení dodavatele, a to v případě, kdy ho shledá za nedůvěryhodného.

Směrnice NIS 2 ve zkratce

Cílem směrnice EP a Rady (EU) 2022/2555 („směrnice NIS 2“) je zajištění vysoké úrovně kybernetické bezpečnosti napříč jednotlivými členskými státy Evropské unie. Směrnice NIS 2 navazuje na předchozí směrnici NIS a prohlubuje legislativní rámec kybernetické bezpečnosti – přinesla však tolik podstatných změn, že se NÚKIB namísto její implementace do stávajícího legislativního rámce v oblasti kybernetické bezpečnosti rozhodl připravit zcela nový návrh zákona o kybernetické bezpečnosti a souvisejících právních předpisů. Ten byl tento týden zveřejněn v eKLEP a předložen k připomínkám, které mají být sděleny ve lhůtě 20 dnů ode dne zveřejnění návrhu.

Na koho se budou vztahovat nové kyberbezpečnostní povinnosti

Jak jsme uvedli v předešlých článcích, nová regulace se dotkne více než 6000 subjektů. Nový ZKB tyto osoby označuje jako „poskytovatele regulované služby“, kteří spadají do dvou režimů – režimu vyšších povinností a režimu nižších povinností.

Jak již rozdělení povinných osob do dvou režimů napovídá, některé povinnosti se vztahují na všechny poskytovatele regulované služby nerozdílně, některé však pouze na subjekty v režimu vyšších povinností. To, zda subjekt naplňuje kritéria pro některou z regulovaných služeb, a do jakého režimu povinností případně spadá, zjistí z vyhlášky o regulovaných službách, která je jedním z připravovaných prováděcích předpisů z novému ZKB.

V obecné rovině lze uvést, že pro subjekty, které doposud musely splňovat povinnosti dle vyhlášky o kybernetické bezpečnosti nebude nová legislativa představovat zásadní zásah. Hlavní změny se budou týkat zejména povinností spjatých s hlášením kyberbezpečnostních incidentů.

Jaké konkrétní povinnosti se budou nově vztahovat na jaké subjekty rozebereme v příštím článku.

Mechanismus prověřování bezpečnosti dodavatelského řetězce

Mechanismus prověřování bezpečnosti dodavatelského řetězce („mechanismus“) byl nejvíce diskutovaným tématem již při zveřejnění první verze návrhu nového ZKB pro neformální veřejnou konzultaci NÚKIBem v lednu 2023 a lze očekávat, že bude nejvíce diskutovanou otázkou i v rámci započatého legislativního procesu.

Největší názorové rozpory představuje otázka, jakým způsobem, na základě kterých kritérií a na jaké části kritických aktiv se bude mechanismus vztahovat a kdo bude rozhodovat o omezení či zákazu využití plnění dodavatele.

Zásadní je otázka zavedení a formy mechanismu zejména pro oblast telekomunikací, které v nezanedbatelném rozsahu využívají produkty dodavatelů Huawei a ZTE, jichž se týká i stále platné varování, které v minulosti NÚKIB vydal.

Samo zavedení mechanismu staví jak na předpokladu obsaženém ve směrnici NIS 2, na doporučení (EU) 2019/534, koordinovaném posouzení rizik pro kybernetickou bezpečnost sítí 5G v EU a souboru opatření EU pro kybernetickou bezpečnost sítí 5G („EU Toolbox“). Uvedená doporučení jsou však nezávazná a obecného charakteru – jednotlivé státy tak k problematice přistupují různým způsobem, o čemž svědčí i druhá zpráva o pokroku členských států při zavádění souboru nástrojů EU pro kybernetickou bezpečnost 5G zveřejněná 15. 6. 2023. Již cca třetina zemí EU implementovala nějakou formu nástroje prověřování dodavatelského řetězce, avšak pouze vybrané státy tento nástroj aplikovaly ploště na celou telekomunikační síť jako takovou. Přístup plošné aplikace přitom z pohledu subjektů působících v oblasti telekomunikací není vhodný a případné restrikce by se měly vztahovat pouze na kritické části sítě.

Návrh nového ZKB přinesl určité změny oproti jeho předběžné verzi z ledna 2023. NÚKIB je stále orgánem, který prověřuje rizika spojená s dodavatelem a vydává opatření obecné povahy, kterým může omezit (stanovit podmínky) nebo zakázat využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu (tyto kritické části jsou stanoveny mj. i vyhláškou o nepominutelných funkcích stanoveného rozsahu, kterou vydává NÚKIB).

Návrh opatření obecné povahy, kterým je omezeno či zakázáno využití plnění dodavatele, NÚKIB projednává s orgány definovanými v zákoně a pro informaci, nebo k projednání jej předkládá i Bezpečnostní radě státu (její zapojení do procesu prověřování bezpečnosti dodavatelského řetězce je novinkou) – ze znění zákona však není zřejmé, zda a jakou závaznost stanoviska jednotlivých orgánů pro vydání opatření obecné povahy mají a zda musí vyjádřit svůj souhlas s případným omezením či zákazem využití plnění dodavatele (z dikce návrhu ZKB se zdá, že spíše nikoli nutně).

Tento článek ve stručnosti upozorňuje na započetí legislativního projednávání návrhu nového ZKB a upozorňuje na některé jeho aspekty – blíže se změnám přinášeným návrhem nového ZKB budeme věnovat v samostatném článku.