Zatím pouze sedm ze 27 členských států Evropské unie začlenilo nová pravidla kybernetické bezpečnosti podle směrnice NIS2 do své národní legislativy. Česko mezi nimi není. Příslušný návrh nového zákona připravený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIBem) v Poslanecké sněmovně leží neprojednaný už přes sedm měsíců.
Aktuálně je ve fázi po 2. čtení, kdy ho čeká závěrečná finalizace uplatněných pozměňovacích návrhů na garančním Výboru pro bezpečnost a samozřejmě 3. čtení. To je naplánováno zatím na březnovou 131. schůzi. Jenže na té samé schůzi se v totožné fázi legislativního procesu nachází podobně třaskavých návrhů celá řada, ať už je to zvyšování rozhlasových a televizních poplatků, zákon o zbraních, o digitální ekonomice, nebo školský zákon.
Odolné Česko razí patriotistický přístup
O tom, že se ale závěrečné schvalování nezadržitelně blíží, svědčí horečná aktivita obou lobbistických táborů. Víc slyšet je momentálně ten, který tahá za kratší konec provazu, zastánci přísnějších pravidel a zachování pravomocí NÚKIBu sdružení do iniciativy Odolné Česko. Ti v prohlášení rozeslaném médiím varovali před přijetím pětice pozměňovacích návrhů, konkrétně B9 a B18 až B21. Nelíbí se jim zamýšlené zúžení mechanismu prověřování bezpečnosti dodavatelského řetězce jen na úroveň kritická, a dále rozvolnění pravidel dostupnosti strategicky významné služby. Ta by podle navržené změny nemusela být zajišťována přímo z České republiky, ale z kteréhokoliv státu EU.
Odolné Česko proti tomu namítá, že by pak v případě mimořádných událostí nebyla zajištěna kontinuita strategicky významných služeb. „Dopad změny původní koncepce lze ilustrovat na příkladu elektrárny, která napájí nemocnici. V případě, že by se nacházela mimo území Česka, stát by neměl možnost zajistit v krizové situaci její fungování,“ uvádí se v prohlášení. Podobný problém prý hrozí v případě softwaru, serverů a cloudových služeb umístěných v cizině.
Je však otázkou, jestli decentralizovaný a redundantní provoz těchto služeb z více míst v Evropě jejich bezpečnost a pravděpodobnost fungování bez výpadku v případě mimořádné události naopak nezvyšuje. Ať už jde o rizika plynoucí z přírodních živlů, nebo dokonce ozbrojených konfliktů, bude určitě dobře, když klíčová data a klíčové služby budou zálohované a provozované vně v té chvíli problematického území.
Česko stále mezi opozdilci
Lhůta pro implementaci stanovená NIS2 vypršela už 17. října 2024 a většina unijních zemí má stále zpoždění. To byl důvod, proč Evropská komise s opozdilci v listopadu loňského roku zahájila řízení o nesplnění povinnosti. Součástí procedury infringementu byla výzva k dodatečnému dokončení transpozice. Infringement se vedle Česka týkal také sousedního Slovenska, Rakouska, Polska, Německa, Maďarska, Rumunska, Portugalska, Slovinska, Bulharska, Dánska, Estonska, Irska, Řecka, Španělska, Francie, Kypru, Litvy, Lucemburska, Malty, Nizozemska, Finska a Švédska.
Ačkoliv státy musejí na výzvu reagovat do dvou měsíců a informovat Komisi o splnění povinnosti, podle mluvčí vlády Lucie Ješátkové česká strana dosud odpověď nezaslala. „V tuto chvíli lze říci, že řízení o nesplnění povinnosti kvůli nedokončení transpozice směrnice NIS2 do národní legislativy bylo zahájeno a lhůta pro odpověď stále běží,“ uvedla stručně na dotazy Lupy Ješátková.
Evropská komise na dotazy zaslané před více než týdnem nereagovala ani přes urgence vůbec. V jakém stadiu je proces infringementu, kterých států se týká, jaké kroky už Komise podnikla a jaký bude další postup Bruselu, to doplníme v některém z příštích dílů.
Někde už lhůty běží, jinde ne
Co je však jisté, početná skupina států, které nerespektovaly deadline pro transpozici NIS2, může představovat komplikace pro nadnárodní korporace a narušit rovné podmínky soutěžitelů v IT sektoru. S okamžikem přijetí národní úpravy se totiž pojí běh lhůt pro plnění dalších povinností, jak směrnice a legislativa členských zemí předpokládá. Pro IT firmy působící ve více státech, z nichž některé už se novými pravidly kyberregulace řídí a jiné nikoliv, to znamená nepředvídatelné právní prostředí. Mimo jiné i z toho pohledu, že nemají garantovánu Bruselem definovanou minimální úroveň bezpečnosti.
Současně tyto korporace působící ve více zemích budou v nevýhodě v podobě dříve vynaložených nákladů na přizpůsobení se podmínkám kyberbezpečnostní regulace než místní firmy, které v plné míře využijí adaptačních lhůt po schválení příslušného zákona. To pro ně znamená výhodu v tendrech, kde hlavním hodnotícím kritériem bude cena.
Jako nikoliv jen procedurální zádrhel hodnotí zpoždění s transpozicí experti společnosti Fortinet. Podle nich značí širší problém při slaďování vnitrostátních rámců kyberbezpečnostní legislativy s oblastí působnosti směrnice. „Důsledky jsou obzvláště naléhavé pro nadnárodní organizace, které čelí výzvě, jak se vypořádat s očekáváními v různých jurisdikcích,“ říká regionální ředitel Fortinetu pro střední a východní Evropu Ondřej Šťáhlavský a poukazuje na roztříštěné prostředí pro dodržování předpisů. „To není jen nepříjemné, ale ohrožuje i hlavní cíl směrnice, kterým je vytvoření jednotného rámce kybernetické bezpečnosti v celé EU,“ dodává.
Zpoždění implementace podle něj přináší významná rizika jak pro soukromý, tak i veřejný sektor. „Pro orgány veřejné správy, z nichž mnohé jsou správci kritické infrastruktury, by absence jasných mechanismů prosazování mohla způsobit mezery v obraně kybernetické bezpečnosti, protože se hrozby stále stupňují,“ říká Šťáhlavský a upozorňuje i na zmíněné riziko nepředvídatelného právního prostředí. „Některé prvky směrnice totiž mohou být v zemích, kde ještě není příslušný zákon hotový, i tak vymahatelné,“ varuje.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU