Regulace podle NIS2: Vyhlášky ke kyberzákonu byly zveřejněny. Trash talk pokračuje, nařízení vlády se zaseklo

Ve Sbírce zákonů byly zveřejněny prováděcí vyhlášky k novému zákonu o kybernetické bezpečnosti z pera Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Tento zákon vychází z evropské směrnice NIS2 a stejně jako navazující vyhlášky začne platit od prvního listopadu letošního roku.

NÚKIBu se tímto krokem podařilo dotáhnout většinu kroků. Zbývá dořešit pro některé subjekty citlivý bod, a sice prováděcí nařízení vlády o možné regulaci dodavatelů do důležitých sítí a systémů.

Ve Sbírce zákonů je k dispozici pět vyhlášek. Konkrétně:

• Vyhláška o regulovaných službách (408/2025 Sb.).
• Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (409/2025 Sb.).
• Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (410/2025 Sb.).
• Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy (411/2025 Sb.).
• Vyhláška o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu (412/2025 Sb.).

Citlivý bod je stále otevřen

O osudu poslední části regulace zatím není rozhodnuto. Schválit je ještě potřeba nařízení točící se kolem mechanismu bezpečnosti dodavatelského řetězce. To je dlouhodobě značným jablkem sváru mezi NÚKIBem a soukromým sektorem, který tlačí na co nejmenší omezení. Úřad chce mít v případě potřeby možnost zakázat či omezit z jeho pohledu nebezpečné dodavatele. Spory o podobu tohoto mechanismu se vedou roky a stále to nekončí.

Asociace provozovatelů mobilních sítí (APMS), Český telekomunikační úřad, Hospodářská komora, některá ministerstva, Úřad vlády a další organizace vznesli poměrně velké množství připomínek k nařízení vlády o nepominutelných funkcích stanoveného rozsahu. NÚKIB většinu těchto připomínek neakceptoval.

Přečtěte si také:

Neakceptováno, neakceptováno a neakceptováno. NÚKIB zamítl většinu připomínek k regulaci dodavatelů

Ředitel odboru regulace NÚKIBu Adam Kučínský uvedl, že vyhlášky k novému kyberzákonu už jsou sice publikovány ve sbírce zákonů, ovšem chybí právě mechanismus bezpečnosti dodavatelského řetězce. “Zde jsou prováděcí nařízení vlády blokovány,” uvedl Kučínský.

“Dá se to říci i tak, že ministerstva, Úřad vlády i celý byznysový sektor mají k návrhům prováděcích nařízení vlády zásadní připomínky. A pokud je NÚKIB není ochoten akceptovat, je vlastně otázkou, kým jsou návrhy nařízení fakticky blokovány. Každopádně pro funkčnost zákona o kybernezické bezpečnost to neznamená zhola nic, jen firmy prozatím nebudou regulovány přísněji, než požaduje samotný zákon,” reagoval Jiří Grund, prezident APMS.

Zdá se, že trash talk a kousavé a sarkastické narážky z obou stran budou ještě nějakou dobu pokračovat a jen tak se toho nezbavíme.

Nařízení jsou záležitostí vlády. Ta současná se vyjádřila, že už nebude dělat žádná politická rozhodnutí. Je tedy velká pravděpodobnost, že záležitost vyřešit nestihne a bude se muset počkat na vládu novou. Ta se k tématu může dostat kdo ví kdy a zároveň není jasné, jak se k celé situaci postaví. Andrej Babiš a spol. byli součástí debat o dodavatelích, Huawei a Číně už během předchozího funkčního období a téma se vleče už od té doby.

Spokojený Svaz průmyslu a dopravy

Naopak Svaz průmyslu a dopravy si pochvaluje, že do nově vydaných vyhlášek dokázal prosadit dle jeho slov klíčové výjimky, které “reflektují specifika podnikatelského prostředí a přinášejí firmám výraznou administrativní úlevu.”

“Díky aktivnímu zapojení do přípravy prováděcích předpisů – jak v rámci mezirezortního připomínkového řízení, tak prostřednictvím odborných jednání s NÚKIBem – se podařilo do finálních textů prosadit několik zásadních úprav. Tyto změny pomohou odstranit zbytečnou administrativní zátěž bez negativního dopadu na úroveň kybernetické bezpečnosti,” uvedl Svaz.

Svaz průmyslu a dopravy za klíčové prosazené výjimky považuje tyto:

• Výroba elektřiny z obnovitelných zdrojů: Z působnosti předpisů jsou nově vyjmuti poskytovatelé, kteří vyrábějí elektřinu z obnovitelných zdrojů o celkovém instalovaném elektrickém výkonu do 1 MW – například provozovatelé menších fotovoltaických elektráren. Tato úprava přináší výraznou administrativní úlevu stovkám firem, které vyrábějí elektřinu pro vlastní spotřebu a neposkytují žádnou další regulovanou službu.
• Vodní a odpadové hospodářství: V tomto případě byli vyjmuti provozovatelé, jejichž příjmy spojené s danou službou tvoří méně než 5 % jejich obratu za poslední účetní období. Díky této změně se vyhlášky nebudou vztahovat na řadu středních a větších průmyslových a potravinářských podniků, které provozují vlastní odpadové hospodářství jako integrální součást výroby.

NÚKIB k novému kyberzákonu připravil kalkulačku. Pomocí ní je možné si ověřit, do jakého režimu (vyšší či nižší) bude pravděpodobně spadat vámi poskytovaná služba.

Přečtěte si také:

Česko konečně začíná stavět neprolomitelnou kvantovou síť. Její část je ale v ohrožení, chybí peníze

• Chcete mít Lupu bez bannerů?
• Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
• Chcete mít k dispozici strojové přepisy podcastů?
• Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

Chci se stát podporovatelem