Novela kyberbezpečnostního zákona míří do finiše a pravděpodobně vstoupí v účinnost na začátku podzimu, nyní se však pozornost odborného sektoru upírá zejména k souvisejícím prováděcím předpisům. Ty jsou podle připomínkového řízení plné nedostatků, námitky mají jak státní úřady, tak soukromý sektor.
Největší pozornost se soustředí na dva prováděcí předpisy z dílny NÚKIBu: „Nařízení o nepominutelných funkcích stanoveného rozsahu“ a „Nařízení vlády o strategicky významných službách“. Oba předpisy souvisí hlavně s mechanismem prověřování bezpečnosti dodavatelského řetězce, který byl dlouhé měsíce jedním z hlavních sporných bodů samotné novely kyberbezpečnostního zákona, jež je transpozicí evropské směrnice NIS2.
Pro připomenutí – proti původnímu návrhu prověřování a ovlivňování dodavatelských řetězců se stavěli zejména mobilní operátoři, pro které by legislativa v původním znění mohla znamenat nutnost výměny hardwarových zařízení za miliardy korun pouze na základě rozhodnutí brněnských úředníků z NÚKIBu. Psali jsme o tom například zde.
Toto znění nakonec neprošlo a poslancům se podařilo dobrat kompromisního návrhu, podle kterého bude o prověřování dodavatelských řetězců rozhodovat vláda, která má na rozdíl od NÚKIBu politickou odpovědnost. Jenže NÚKIB si cestu k operátorům stejně našel, a to v návrhu prováděcího předpisu Nařízení o nepominutelných funkcích stanoveného rozsahu.
Právě dva z prováděcích předpisů procházejí připomínkovým řízením a jak je z námitek soukromého i veřejného sektoru patrné, návrhy NÚKIBu se dostávají pod palbu kritiky. Český telekomunikační úřad například NÚKIBu vytýká, že se brněnský úřad zaměřil výhradně na mobilní operátory.
„Odůvodnění, že je tomu proto, že se jedná o standardizovanou oblast a že by sestavení seznamu pro ostatní sektory bylo náročné, v daném případě podle názoru ČTÚ samo o sobě obstát nemůže, už proto, že právě vysoká míra standardizace pojmově vylučuje v důvodové zprávě deklarovanou hrozbu subjektivního určení kritické části stanoveného rozsahu a s ním spojený rozdílný přístup i kvality provedení identifikace kritických aktiv jednotlivými poskytovateli regulovaných služeb,“ argumentuje ČTÚ.
Výhrady má i Hospodářská komora, která rovněž akcentuje nerovný přístup NÚKIBu k subjektům na trhu, když argumentuje, že pouze mobilní operátoři mají v návrhu vyjmenována aktiva, která jsou hodnocena jako „kritická“.
NÚKIB podle serveru Lupa.cz tvrdí, že by nebyla všechna aktiva, na kterých bude poskytování regulované služby vždy závislé, správně ohodnocena, tedy jinými slovy operátory nepřímo obviňuje z podvodů.
Hospodářská komora kontruje tím, že pokud by skutečně docházelo k rozdílným přístupům i kvalitě provedení identifikace kritických aktiv, pak by na to NÚKIB v rámci kontrol přišel. Vzhledem k tomu, že žádné takové výtky nezazněly, je zjevné, že k tomu nedochází.
