Na první pohled nenápadná připomínka Odboru kompatibility Úřadu vlády může mít zásadní konsekvence pro návrh nového zákona o kybernetické bezpečnosti.

Jak se lze dočíst v mém předešlém článku, v současné chvíli probíhá připomínkové řízení k návrhu nového zákona o kybernetické bezpečnosti. Ten, nad rámec implementace kyberbezpečnostní směrnice NIS 2[1], zavádí Mechanismus prověřování bezpečnosti dodavatelského řetězce, který by umožnil Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jednostranně zakázat dodavatele do tzv. “kritické části stanoveného rozsahu” regulované služby.

Laicky řečeno, jde především o oprávnění státu zakázat některé dodavatele do poměrně široce vymezené části infrastruktury telekomunikačních operátorů, ale také výrobců energií, provozovatelů distribučních soustav elektřiny a plynu a dalších sektorů. Z pohledu práva je tak Mechanismus poměrně bezprecedentním zásahem do základních práv, tedy zejména do práva na svobodu podnikání.

To neznamená, že se jedná o zásah protiprávní či snad neuskutečnitelný, znamená to však, že NÚKIB musí na základě principu proporcionality zhodnotit účel a prostředek právní úpravy. Tedy posoudit vhodnost zvoleného řešení (zda zvolený prostředek dosahuje stanoveného cíle), potřebnost zvoleného řešení (zda zvoleného cíle nelze dosáhnout méně invazivním prostředkem) a na konci poměřit závažnost zásahu do základních lidských práv a zda je takový zásah v kontextu cíle obhajitelný.

NÚKIB si stanovil za cíl zajištění vyšší bezpečnosti strategické infrastruktury státu formou prověření dodavatelů a zákazu tzv. rizikových dodavatelů. Jako prostředek zvolil Mechanismus, v rámci kterého se posoudí osoba dodavatele na základě stanovených kritérií a metodiky pro jejich vyhodnocení a v případě identifikace rizika se dodavatel omezí nebo přímo zakáže ve stanoveném rozsahu.

Vše výše uvedené je v pořádku do té chvíle, než se NÚKIB rozhodl veškeré detaily celého procesu schovat do vyhlášek. Do podzákonného právního předpisu, který v rámci legislativního procesu nelze ani společně se zákonem připomínkovat, a tedy ani zhodnotit dodržení výše uvedeného principu proporcionality.

Celá situace tedy vede k zajímavému zjištění. Nikdo úplně neví, co připomínkuje.

Tuto skutečnost lze demonstrovat na jediném odstavci návrhu zákona, a to § 28 odst. 4, dle kterého “nepominutelné funkce stanoveného rozsahu a kritéria rizikovosti dodavatele a způsob jejich vyhodnocení stanoví prováděcí právní předpis”. Tedy vesměs vše důležité.

Co by to znamenalo pro soukromé subjekty a proč je takové využití vyhlášek problematické?

Vyhlášky by ze své podstaty měly pouze upřesňovat význam právních norem obsažených v zákoně. Jak uvedl ve svých připomínkách k zákonu Odbor kompatibility Úřadu vlády: “práva a povinnosti mají být jasně stanoveny zákonem.” V tomto případě však z pohledu Mechanismu vyhlášky upravují:

1) na základě jakých kritérií bude dodavatel posuzován,

2) jakým způsobem budou kritéria vyhodnocena,

3) a na jaký rozsah aktiv regulovaného subjektu se případný zásah bude vztahovat.

Tedy doslova vše, co by dotčený subjekt, ale i zákonodárce mohlo na Mechanismu zajímat. Jak totiž mohou připomínkovat Mechanismus bez výše uvedených informací?

Nad rámec výše uvedeného dotčené soukromé subjekty mohou takto upravený Mechanismus považovat za nepředvídatelný, zejména s ohledem na to, že vyhlášku narozdíl od zákona může v rozsahu zákonného zmocnění upravit samotný NÚKIB. Neexistuje tedy dostatečná záruka, že se kritéria pro posuzování dodavatele či stanovený rozsah nebudou v průběhu času měnit. Nepředvídatelnost právní úpravy pak samozřejmě nabírá na významu, když může její aplikace způsobit miliardové škody.

I proto se nelze divit tomu, že v rámci připomínkového řízení Svaz průmyslu a obchodu již koncept úpravy Mechanismu formou vyhlášek kritizuje. Jak již ale napovídá titulek článku, pro NÚKIB může být mnohem vážnější, že kritika přichází i z Úřadu vlády.

Ten v rámci své připomínky k § 28 odst. 2 a 3 návrhu zákona jasně uvedl, že: “není možné delegovat tak významné stanovení kritérií na prováděcí právní předpis. Tyto náležitosti by měl obsahovat zákon.

Závěry Odboru kompatibility podpořil i ministr pro legislativu a předseda legislativní rady vlády Michal Šalomoun, který ve svém průvodním dopise k připomínkám uvedl, že: “se zároveň plně ztotožňuji se všemi výhradami a připomínkami obsaženými ve stanovisku Odboru kompatibility Úřadu vlády

Dle mého názoru nelze očekávat, že by NÚKIB takto zásadní připomínku, která mimo jiné přišla z vícero stran, odmítl. Jak se s úpravou zákona vypořádá není však zatím jasné. Doposud byla vyhláška stanovující rozsah regulace připravena pouze pro sektor telekomunikací. Mechanismus se však má vztahovat na všechny strategické sektory. Případná úprava tak může vést k zásadním změnám celého konceptu.


[1] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)

Mgr. Šimon Toman Profilový obrázek
Mgr. Šimon Toman
advokátní koncipient

Rádi vás provedeme
problematikou práva