Stát rozšíří adresáty zákona o kybernetické bezpečnosti, spadnou do něj vyhledávače i některé e-shopy

Povinnosti vykonávat opatření Národního bezpečnostního úřadu, povinně uzavírat smlouvu o cloud computingu nebo hlásit prostřednictvím zástupce bezpečnostní incidenty chce stát uvalit na více subjektů, než je tomu nyní. Pokuta za nesplnění nových povinností bude činit až pět milionů korun. O jaká opatření půjde, bude však jasné až z prováděcích pokynů.

Jde o způsob transpozice evropské směrnice do novely zákona 181/2014 Sb., o kybernetické bezpečnosti. K novele byly letos v únoru ustanoveny dvě pracovní skupiny a nyní v srpnu byl návrh novely poslán do připomínkového řízení. Důvodem novely jsou podle EU a českého státu, který směrnici přebírá, mimo jiné hrozba hybridní války a společný trh.

Karel Zvára: S plnou vážností varuji

„S plnou vážností tvrdím, že tato novela se docela dobře může stát dalším krokem pro ovládnutí doposud relativně svobodného internetu státem. Nic na tom nemění skutečnost, že novelizace je odůvodněna nutnosti zapracovat ještě neexistující směrnici EU. Posuďte sami, zda se k mému názoru připojíte,“ varuje ovšem před tímto způsobem novelizace nezávislý expert z oboru Karel Zvára.

Návrh zavádí novou terminologii, kterou rozděluje firmy na provozovatele základní služby a poskytovatele digitální služby. Nové povinnosti se budou týkat především těchto poskytovatelů, kteří podle zprávy RIA dosud nebyly nijak regulováni. Provozovatelem základní služby  se rozumí veřejný nebo soukromý subjekt, který  poskytuje službu, jež je základní z hlediska zachování činností kritických pro společenské nebo ekonomické činnosti.

Poskytovatelem digitální služby podle směrnice může být pouze právnická osoba, Dále tento poskytovatel není mikropodnikem či malým podnikem ve smyslu příslušných právních předpisů EU. Navíc jsou poskytovatelé digitálních služeb pro účely směrnice vymezeni pouze ve vztahu ke třem druhům digitálních služeb: online tržištím, internetovým vyhledávačům a službám cloud computingu. „Digitální služba je  další nový pojem. Při prvním čtení by se mohlo zdát, že jde o jiné označení ,digitální infrastruktury´, ale zjevně tomu tak není. V návrhu novely je přímo uvedeno, že jde o ,on-line tržiště´, jež spotřebitelům umožňuje on-line uzavírat obchodní smlouvy  – zboží, služby, že jde o vyhledávače  – bez bližšího určení –  a o služby cloud computingu,“ říká po přečtení materiálu Karel Zvára.

Tato skupina subjektů, poskytovatelé digitálních služeb, nebyla doposud předmětem žádné právní regulace.  „Vezmeme-li však v potaz jejich rychle narůstající počet i význam, není možné tuto sféru digitální ekonomiky již nadále ignorovat. Právě naopak je nutné se začít zabývat jak jejich zákonným vymezením, tak i mírou regulace, kterou by měli být zatíženi,“ uvádí stát v hodnotící zprávě RIA.

Zákon cílí na velké ryby digitální infrastruktury

Koho se tedy zákon bude podle Karla Zváry týkat? „Podle mne každého, kdo má jako podnikatel nějaký vztah k telekomunikacím, internetu a službám internetu, které lze při dostatečné představivosti Národního bezpečnostního úřadu (NBÚ, dále jen „úřad“) a prováděcích předpisů považovat za infrastrukturu  – byť třeba virtuální. Ani samotný pojem „digitální infrastruktura“ totiž zákon nedefinuje. Sice je uvedeno, že za poskytovatele základní služby se nepovažují mikropodniky (do 10 zaměstnanců a s obratem do 2 mil EUR/rok) a malé podniky (do 50 zaměstnanců a s obratem do 10 mil EUR/rok), ale to jen znamená, že novela v tomto ohledu cílí především na „větší ryby“.Pokud jde o informační systémy základní služby, tam žádné omezení velikosti poskytovatele není. Dokážu si dobře představit, že každý, kdo poskytuje na internetu téměř jakoukoliv službu (třeba webhosting) může být označen za poskytovatele digitální infrastruktura a tedy povinnou osobou. Nehledě třeba na poskytovatele připojení, kteří infrastrukturu přímo zajišťují,“ uvádí nezávislý expert, který se dlouhodobě pohybuje v oboru.

Ředitel NBÚ Dušan Navrátil v rozhovoru pro Českou justici řekl, že podobné obavy nevnímá. „S tímto názorem jsem se příliš nesetkal. Od ledna 2015 platí zákon o kybernetické bezpečnosti. To je zákon, který byl v této oblasti jedním z prvních na světě. Když jsme ho připravovali, tak jsme velice intenzivně komunikovali s odbornou veřejností a myslím si, že máme poměrně masivní podporu. Díky tomu, že existuje tento zákon, který má stejnou filosofii jako Směrnice o informační a síťové bezpečnosti (tzv. NIS), tak pro nás není žádný problém s implementací do naší legislativy. Jestli to někdo říká, tak to jsou zřejmě lidé, kterým to vadí z nějakého jejich osobního důvodu,“ uvedl Navrátil. Jako zástupci ČR jsme podle něj byli při tvorbě směrnice NIS velmi aktivní – kromě NBÚ šlo například o zástupce národního CERT a další.

Karel Zvára
Karel Zvára

Podle Karla Zváry ale získá stát zákonný nástroj k řízení firem. Vyvozuje to z popisu činností, které se jich ze zákona nově budou týkat „Poskytovatelů digitální služby se týká zavedení a provádění vhodných a přiměřených bezpečnostních opatření´ a hlášení incidentů, ale nejen to. V platnosti totiž zůstávají i původní ustanovení zákona, například možnost úřadu vydat rozhodnutí, kterým uloží provést ,reaktivní opatření´. Ostatních, tedy všech, jejich systémy jsou informačními systémy základní služby, se týká celá řada dalších povinností. Například již dříve existující § 6, ve kterém se prováděcímu předpisu (vyhlášce či nařízení vlády) dává pravomoc stanovit obsah i rozsah bezpečnostních opatření. Celý původní zákon i připravovaná novela jsou pokryté řadou nespecifikovaných povinností a vágním ustanovením toho, koho se povinnosti mají týkat. Domnívám se, že pod rouškou ,zajištění kybernetické bezpečnosti´ získá úřad oprávnění de facto řídit všechny či většinu podnikatelů v oboru informačních technologií a internetu,“ dochází k závěru Karel Zvára.

Stále více veřejné agendy je v kyberprostoru

Kolik to bude firmy stát? Zcela jistě hodně, přiznává Zpráva RIA – noví zaměstnanci a nově prováděná opatření NBU nebo nová hlášení půjdou za soukromými firmami. Jaký bude přínos? Těžko říci, vyplývá ze zprávy: „Jen velmi těžko se tedy v ekonomických termínech dá vyjádřit zvýšení bezpečnosti např. v případě výkonu práva na svobodu projevu nebo práva na informační sebeurčení. Podobně obtížná je kvantifikace přínosů např. o důvěru občana ve stát a jeho instituce, důvěru ve fungování moderních informačních a komunikačních technologií nebo udržení dobré pověsti ČR a jejích orgánů na mezinárodní úrovni. V situaci, kdy je stále větší část veřejné agendy, včetně kontaktu s občany, realizována prostřednictvím informačních a komunikačních technologií, pak je navíc bezpečnost kybernetického prostoru, v němž se tyto veřejnoprávní informační transakce odehrávají, tím přínosnější, čím větší procento veřejnoprávní komunikace je realizováno elektronicky,“ uvádí se ve Zprávě.

Na nově definované subjekty se rozšiřuje katalog adresátů zákona, který se doplňuje:

„h) základní službou služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení klíčových společenských nebo ekonomických činností v některém z těchto odvětví:

energetika,  doprava,  bankovnictví, infrastruktura finančních trhů, zdravotnictví, dodávky a rozvody pitné vody, digitální infrastruktura. chemický průmysl a veřejná správa,

  1. i) informačním systémem základní služby informační systém, na jehož fungování je závislé poskytování základní služby,
  2. j) provozovatelem základní služby orgán nebo osoba, která je odpovědná za poskytování základní služby a která je určena Národním bezpečnostním úřadem (dále jen „Úřad“) podle § 22a,
  3. k) digitální službou služba informační společnosti, která spočívá v poskytování služby

on-line tržiště, jež spotřebitelům umožňuje on-line uzavírat s prodávajícím kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, jenž využívá službu poskytovanou on-line tržištěm,internetového vyhledávače nebo cloud computingu, jež umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet,

  1. l) poskytovatelem digitální služby právnická osoba, která poskytuje digitální službu a která není mikropodnikem nebo malým podnikem,
  2. m) příslušným orgánem orgán vykonávající působnost v oblasti kybernetické bezpečnosti.

Podle zprávy RIA budou nově  subjekty povinny přijmout vhodná technická a organizační opatření k řízení bezpečnosti rizik jejich sítí a informačních systémů.Vnitrostátní orgán pak bude vůči nim vydávat závazné pokyny a disponovat donucovacími prostředky.

Takto budou také vypadat povinnosti firem:

– informovat správce nebo provozovatele informačního systému základní služby o jejich určení jakožto provozovatele základní služby, pokud nejsou sami správcem nebo provozovatelem informačního systému základní služby;

– oznámit NBÚ významný dopad kybernetického bezpečnostního incidentu na kontinuitu poskytování základní služby, a to i tehdy, pokud takovýto významný dopad způsobí kybernetický bezpečnostní incident, který postihnul poskytovatele digitální služby;

– informovat veřejnost o probíhajícím kybernetickém bezpečnostním incidentu na základě povinnosti uložené NBÚ;

– poskytnout kontaktní údaje

Na poskytovatele digitálních služeb se bude také vztahovat

– implementace bezpečnostních opatření v míře přiměřené k řízení bezpečnostních rizik, jimž jsou vystaveny jejich sítě a informační systémy;

– hlášení kybernetických bezpečnostních incidentů, které mají významný dopad na poskytování digitálních služeb;

– hlášení kontaktních údajů;

– činnost národního CERT a příslušného orgánu (NBÚ).

Nově také stát nařídí, jaké smlouvy musí subjekty uzavírat: Nové povinnosti správců informačních nebo komunikačních systémů kritické informační infrastruktury – zachovávat mlčenlivost o přijatých bezpečnostních opatřeních; v případě, že jsou orgánem veřejné moci, si ve smlouvě s poskytovatelem cloud computingových služeb zajistit možnost přístupu a kontroly k informacím a datům, které pro ně tento poskytovatel uchovává; informovat orgán nebo osobu zajišťující významnou síť o určení informačního nebo komunikačního systému jako prvku kritické informační infrastruktury; informovat provozovatele informačního nebo komunikačního systému o určení informačního nebo komunikačního systému jako prvku kritické,“ uvádí se například ve zprávě RIA.


Národní centrum kybernetické bezpečnosti: NBÚ nemá ambici řídit adresáty zákona o kybernetické bezpečnosti, obava je lichá

Rozšíření adresátů zákona o kybernetické bezpečnosti se zcela určitě nebude týkat všech, kteří podnikají nebo využívají k podnikání internet. Obavy, že NBÚ bude řídit firmy, byly už při vytváření zákona v roce 2014, praxe je však nepotvrdila. Vyhledávačů se novela týká, srovnávačů nikoli, e-shopů asi minimálně. Odpovědi České justici poskytlo Národní centrum kybernetické bezpečnosti prostřednictvím tiskového mluvčího NBÚ Radka Holého.

Do jaké míry je oprávněná obava, že stát respektive NBÚ bude prostřednictvím tohoto zákona adresáty zákona řídit? Jde o částečné omezení vlastnického práva
NBÚ rozhodně nemá ambice ani snahu jakkoli řídit adresáty zákona. Zákon je postaven mimo jiné na principu minimalizace státního donucení a principu autonomie vůle regulovaných subjektů. Postavení zákona na těchto principech je deklarováno např. v obecné části důvodové zprávy (str. 77). Obava, že by NBÚ prostřednictvím zákona o kybernetické bezpečnosti řídilo adresáty zákona je tedy lichá. Je možné podotknout, že tyto obavy byly zmiňovány již při vytváření zákona v roce 2014, nicméně aplikační praxí byly vyvráceny. Vlastnické právo nijak omezeno není a nebude. Zákon sice umožňuje za určitých, předem definovaných okolností vydávat tzv. reaktivní a ochranná opatření, která předpokládají povinnost zavedení bezpečnostních opatření. Taková povinnost je však krajním řešením v případě vážné hrozby či útoku a týkalo by se pouze těch subjektů, na které zákon výslovně dopadá. Opatření by se tedy týkalo těch subjektů, které poskytující občanům vitální služby a k tomu využívají informační či komunikační systémy. Eventuální zavedení takových opatření, které reaguji či předcházejí incidentům, je nejen v zájmu státu, ale i samotných dotčených subjektů.

Jde především o adresáty zákona. Z textu lze vyrozumět, že zákon se bude týkat všech, kdo podnikají nebo při podnikání používají telekomunikace a především internet. Jako neodborník se ptám, zda je tomu tak?
Zákon se zcela určitě netýká všech, kdo podnikají nebo při podnikání využívají telekomunikace či internet. Zákon poměrně jasně definuje povinné osoby, kterým jsou ukládány povinnosti (§ 3). V současně účinné právní úpravě je pět skupin povinných osob, návrh novely zákona tento okruh na základě požadavků Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen směrnice) rozšiřuje o další dvě skupiny – poskytovatele digitálních služeb (PDS) a provozovatele základních služeb (PZS).

Bude se zákon týkat provozovatelů srovnavačů? Vyhledávačů? Majitelů e-shopů? Poskytovatelů služeb internetu – hostování? Eventuálně koho dalšího? Státní správy?
Zákon na základě povinné transpozice směrnice definuje novou povinnou osobu poskytovatele digitálních služeb (PDS). Tato povinná osoba poskytuje služby on-line tržiště, internetového vyhledávače nebo cloud computingu. Z toho vyplývá, že vyhledávačů – např. typu seznam.cz- se zákon týkat bude. V souladu s důvodovou zprávou k návrhu novely a recitály č. 15 a 16 směrnice se regulace nebude týkat cenových srovnávačů ani na vyhledávací funkce, jež jsou omezeny na obsah konkrétních internetových stránek. V souladu se směrnicí se navíc tato regulace (PDS) nevztahuje na malé a mikropodniky.
Na některé poskytovatele služeb internetu se regulace vztahovat může, nelze však říci, že budou regulovány plošně všechny subjekty podnikající v tomto odvětví. Regulace primárně na e-shopy necílí. Pokud ale určitý e-shop naplní kritéria stanovená pro kritickou informační infrastrukturu, PDS či PZS je možné o regulaci uvažovat. Podle dosavadních zkušeností však takových bude minimum. Regulace se tedy bude týkat pouze nejvýznamnějších společností. Rozhodně se nedá mluvit o nějaké plošné regulaci.
Ohledně státní správy je možné uvést, že ta již regulována je. Významné subjekty státní správy jsou často správci kritické informační infrastruktury či významných informačních systémů. Zde nejde o nově zaváděnou regulaci – tyto subjekty jsou zakotveny v aktuálně účinném zákoně. Je samozřejmě možné, že na základě novely bude některá organizace státní správy nově pod regulaci zařazena. Výrazný nárůst se zde však nepředpokládá.

Rozumím tomu dobře, že všechny tyto firmy respektive všechny firmy, které používají digitální sítě si budou muset najmout nějakého bezpečnostního pracovníka digitální komunikace?
Nikoli. Povinnost zřídit bezpečnostní role – tedy mít například manažera kybernetické bezpečnosti, je uložena pouze nejpřísněji regulovaným subjektům – kritické informační infrastruktuře. Je možné, že tuto povinnosti bude mít také jedna z nově regulovaných skupin osob – provozovatelé základních služeb (PZS). Tato skupina však bude do značné míry shodná se skupinou správců kritické informační infrastruktury a vzhledem k tomu, že ta již určována je, nepředpokládá se výrazné množství subjektů v kategorii PZS – většina jich již nyní pod zákon spadá jako KII.

Ve zprávě RIA je psáno, že náklady pro firmy a jednotlivce nelze odhadnout, protože nejsou známy prováděcí vyhlášky, které budou obsahovat povinnosti firem a jednotlivců, které má sepsat NBÚ. Už existuje nějaký konkrétní katalog opatření ze strany NBÚ? Jaká konkrétní technická opatření NBÚ nařídí?
Existuje vyhláška č. 316/2014 Sb., specifikující technická a organizační opatření, která mají povinnost zavést správci KII a VIS. Tato vyhláška je založena na normách řady ISO 27k. Na základě současné praxe a pozitivních referencí ze strany odborné veřejnosti a regulovaných osob se tento koncept měnit nebude. Na provozovatele základních služeb (PZS) se tedy budou vztahovat srovnatelné požadavky jako na správce KII nebo VIS. Ohledně dalších povinných osob – například nově zavedených poskytovatelů digitálních služeb (PDS) lze uvést, že regulace bude minimální. Je tomu tak i na základě zásady maximální harmonizace – tato zásada znamená, že členský stát nemůže ukládat povinnosti nad rámec povinností uložených směrnicí. Slovy návrhu novely zákona bude mít PD S povinnost zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě a informační systémy, které využívá v souvislosti se zajišťováním své služby (§ 4 odst. 3 ).

Existuje odhad nákladů, které ponesou podnikatelů a osoby? Existuje odhad nákladů, které ponese stát?
Reálný odhad nákladů je v této oblasti velmi složitý. Je tomu tak zejména z toho důvodu, že napříč soukromým i veřejným sektorem existují značné rozdíly v míře zabezpečení jednotlivých informačních systémů. Dostupné informace k těmto otázkám shrnuje důvodová zpráva. Obecně lze však říci, že se ve spojitosti s novelou nepředpokládá výrazný nárůst nákladů, neboť se nebude výrazně rozšiřovat základna subjektů, jenž mají zákonem uloženou povinnost zavést technická a organizační opatření.

Co za takové zpřísnění a rozšíření zákona občané získají?
Návrh zákon zpřísňuje pouze sankce za neplnění povinností. K tomuto opatření bylo přistoupeno na základě dosavadní praxe. Maximální sankce v aktuálně účinném znění ve výši 100 tis. Kč není, i podle sdělení některých subjektů, na které zákon dopadá, dostatečně motivační. I směrnice sama stanoví, že členské státy mají zavést přiměřené sankce v případě neplnění požadavků. Z těchto důvodů bylo přistoupeno k jejích navýšení.
Ohledně rozšíření – novela zákona rozšiřuje okruh povinných osob o dvě skupiny – provozovatele základních služeb (PZS) a poskytovatele digitálních služeb (PDS). Kategorie PZS se značně kryje se současně regulovanou kategorií KII. PDS je kategorie nová, regulující výše zmíněný okruh subjektů, kterým jsou uloženy jen minimální povinnosti. V obou případech je toto rozšíření prováděno na základě povinnosti České republiky transponovat směrnici EU.


Podle EU jsou ohroženy trhy, hrozí hybridní válka

Podle zprávy RIA by neprovedení transpozice směrnice mohlo ohrozit i fungování vnitřního trhu a znevýhodnění českých podnikatelů v digitálním sektoru. Sítě a informační systémy hrají totiž zásadní roli při usnadňování přeshraničního pohybu zboží, služeb a osob. Často jsou propojené, přičemž internet je ze své podstaty globálním nástrojem…. „I s ohledem na současnou mezinárodní bezpečnostní situaci, která zahrnuje vznik nových hrozeb, jako jsou např. kyberterorismus nebo hybridní války, není možné ignorovat požadavek na zvýšení zabezpečení kyberprostoru EU. Závislost společnosti a jejího fungování na informačních technologiích rapidně narůstá, a to ve všech oblastech  – nejedná se tedy pouze o služby informační společnosti, jako je internetový obchod, ale i o fungování informačních systémů, na jejichž správné funkci je závislá celá řada základních služeb jako například řízení dopravy, přenos energií, výkon veřejné moci apod.,“ uvádí zpráva RIA s tím, že netranspozice může ohrozit i fungování právního státu.

Členové pracovní slupiny:

Členy této pracovní skupiny byli zástupci Ministerstva financí, Ministerstva zahraničních věcí, Ministerstva vnitra, Ministerstva průmyslu a obchodu, Ministerstva práce a sociálních věcí, Ministerstva dopravy, Ministerstva zdravotnictví, Ministerstva životního prostředí, Ministerstva pro místní rozvoj, Českého báňského úřadu, Energetického regulačního úřadu, Úřadu pro ochranu osobních údajů, Vojenského zpravodajství, Bezpečnostní informační služby, Českého telekomunikačního úřadu, Policejního prezidia ČR, Svazu průmyslu a dopravy ČR, Úřadu pro zastupování státu ve věcech majetkových, Hospodářské komory ČR, zájmového sdružení právnických osob CZ.NIC a Generálního ředitelství hasičského záchranného sboru.

Členové skupiny odborné veřejnosti:

PricewaterhouseCoopers, NIX.CZ, ČIMIB, Google CZ, ISACA, Státní pokladna – Centrum sdílených služeb, Seznam.cz, CESNET, Řízení letového provozu, NSM Cluster, Deloitte, Svaz průmyslu a dopravy, ČEPS, Anect, České radiokomunikace, ČEZ ICT Services, Ředitelství silnic a dálnic, Ústřední vojenská nemocnice – fakultní nemocnice Praha, Fakultní nemocnice Brno, Fakultní nemocnice Motol, Český telekomunikační úřad, Masarykova univerzita v Brně a zájmové sdružení právnických osob CZ.NIC, které provozuje národní CERT.

Irena Válová