Elektronická knihovna legislativního procesu - textová podoba dokumentu

                V Praze dne 19. července 2023
Čj.: GŘ/112/2023

	Název materiálu:
	Návrh zákona o kybernetické bezpečnosti

	Připomínkové místo:
	Asociace malých a středních podniků a živnostníků ČR (AMSP ČR)

	Telefon:	
	+420 734 302 000

	e-mail:
	amsp@amsp.cz , maule@amsp.cz

Obecné připomínky:

1) RIA
Cíl: Požadujeme doplnit RIA o dopad na malé a střední podniky.
Odůvodnění: Zpracovatel dopad na malé a střední podniky nevyhodnotil. Přitom střední podniky jsou subjekty, na které směrnice - a tedy i zákon - dopadne, v případě malých a mikropodniků pak na ně dopadne zákon pokud jsou vybranými poskytovateli regulovaných služeb (například poskytovateli služeb elektronických komunikací). NÚKIB má přitom množství metodik dostupných na webu Úřadu vlády, například mohl měřit administrativní zátěž podnikatelů dle platné metodiky Ministerstva průmyslu a obchodu z července 2017. Tato metodika je přitom závaznou pro zpracování RIA tak, jak to uvádí na svých stránkách Úřad vlády. Metodika obsahuje vzorovou tabulku pro výpočet administrativní zátěže v právním předpise, kterou NÚKIB zjevně nepoužil, aniž by zdůvodnil, proč. Stejně tak neodůvodnil, proč nepoužil výše zmíněnou metodiku.

Zásadní připomínky:

1) K § 6 odst. 3
Cíl: Požadujeme režim poskytovatele regulované služby stanovit přímo v zákoně (v příloze zákona) z důvodu regulační a právní jistoty.
Odůvodnění: Odstavec požadujeme změnit takto: Režim poskytovatele regulované služby je stanoven prováděcím právním předpisem v příloze tohoto zákona zákonem. Je-li orgán nebo osoba poskytující regulovanou službu určen rozhodnutím Úřadu podle § 5, je vždy poskytovatelem regulované služby v režimu vyšších povinností.

2) K § 10 odst. 2
Cíl: Požadujeme změnit text návrhu takto: Poskytovatel regulované služby zapsaný v evidenci poskytovatelů regulovaných služeb je povinen plnit všechny povinnosti plynoucí mu ze zákona vůči zapsaným regulovaným službám nejpozději od uplynutí šesti měsíců od okamžiku doručení vyrozumění o zápisu do evidence poskytovatelů regulovaných služeb až do okamžiku doručení vyrozumění o výmazu z evidence poskytovatelů regulovaných služeb podle § 11.
Odůvodnění: Je třeba přijmout dostatečnou lhůtu k tomu, aby byl subjekt vůbec schopen plnit požadované povinnosti vyplývající ze zákona tak, aby obstál při případné kontrole. Z tezí vyhlášek vyplývá, že některé povinnosti budou poskytovatelé regulované služeb v režimu vyšších povinností muset realizovat pomocí zaměstnanců či kontraktorů s konkrétními znalostmi a dovednostmi, které nemusí být v dané organizaci dosud vůbec přítomni. Navíc musí dojít k revizi smluv s dodavateli a k další řadě plnění, které zajistí compliance. U menších poskytovatelů služeb elektronických komunikací může být velká komplikace vůbec nalézt vhodné lidi – pokud předpokládáme že po datu účinnosti zákona bude podobné subjekty poptávat velká část nově regulovaných subjektů, nemusí se na ně vůbec dostat. Je potřeba si uvědomit, že úřad bude regulovat nově až 2000 subjektů v odvětví elektronických komunikací, z nichž řada jsou mikropodniky v odlehlých venkovských oblastech.

3) K § 28 odst. 3a)
Cíl: Odst. 3a) tak požadujeme změnit takto: Pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce se rozumí a) kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle prováděcího právního předpisu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní kritická, a jejichž nedostupnost má současně přímý okamžitý dopad na nedostupnost strategicky významné služby,
Odůvodnění: Dle našeho přesvědčení postačí, když budou předmětem prověřování pouze aktiva, u nichž poskytovatel strategicky významné služby postupem podle prováděcího právního předpisu ohodnotí dopad narušení bezpečnosti informací na stanovených rozsah strategicky významné služby na úroveň kritická. Tím bude zachována působnost mechanismu pouze na skutečně “kritickou část stanoveného rozsahu” a nikoli na de facto celou síť, jak je nastaven dnes. To by znamenalo, že regulovanými subjekty budou stovky malých a středních podniků, které dodávají v regionech velkým národním operátorům dílčí lokální služby konektivity, které nejsou kritické z hlediska kybernetické bezpečnosti, ale které by se dle návrhu vyhlášky pravděpodobně dostaly do významně široce definované “kritické části stanoveného rozsahu”. Zároveň jsme přesvědčeni, že identifikace podle prováděcího právního předpisu postačuje k tomu, aby NÚKIB dosáhl zamýšleného cíle, tedy že mechanismus bude prověřovat dodavatele aktiv, která jsou kritickou částí stanoveného rozsahu. Je to patrné i z toho, že v tezích vyhlášky jsou nepominutelné funkce stanovené pro sítě a služby elektronických komunikací, ale nikoli pro subjekty v ostatních odvětvích stanovených v § 27 odst. 1. Požadujeme tak zrušit zákonné zmocnění úřadu vydat prováděcí právní předpis stanovující nepominutelné funkce stanoveného rozsahu. Rozsah mechanismu je navíc nutné zaměřit pouze na taková aktiva, u nichž má jejich nedostupnost přímý okamžitý dopad na nedostupnost strategicky významné služby, což je nejvýznamnější hrozba.

4) K § 28 odst. 3c)
Cíl: Požadujeme lépe definovat, kdo je dodavatelem a kdo je poddodavatelem
Odůvodnění: Problém je, že v současné podobě návrhu dopadá prověřování bezpečnosti dodavatelského řetězce takřka na každého malého a středního lokálního a regionálního poskytovatele služeb či sítí elektronických komunikací, protože NÚKIB definuje extrémně široce “kritickou část stanoveného rozsahu” v sektoru elektronických komunikací tak, že představuje prakticky celou síť, včetně částí a systémů, které nejsou tak kritické (jako rádiová část sítě, transportní část sítě nebo různé fakturační systémy a podobně). Sektor elektronických komunikací je extrémně propojen řadou dodavatelsko-odběratelských vztahů právě v oblasti okrajových částí sítě (velcí národní operátoři si dílčí velmi lokální služby nakupují od lokálních subjektů a naopak). Zjevně nejde o služby, které je možné označit za “kritické” při zachování principu proporcionality, ale přesto je úřad chce regulovat. To by mělo zásadní vliv na podnikání malých a středních regionálních firem, který není zohledněný v RIA (která má dle obecných zásad pro hodnocení dopadů regulace hodnotit dopad na podnikatelské prostředí „zejména s ohledem na osoby samostatně výdělečně činné a malé a střední podniky“).

5) K § 30
Cíl: Požadujeme významné omezení rozsahu mechanismu a jeho provádění orgánem s politickou odpovědností, jako je například Ministerstvo průmyslu a obchodu, které má podobnou pravomoc v podobě prověřování zahraničních investic, které je funkčně podobné (posuzování konkrétní firmy na základě konkrétních kritérií).
Odůvodnění: Kritéria pro hodnocení rizikovosti dodavatelů určená ve vyhláškách se netýkají kybernetické ani informační bezpečnosti (ale jen právního systému země mající vliv na dodavatele a podobně), není tak jasné, proč by měl jejich vyhodnocení provádět Národní úřad pro kybernetickou a informační bezpečnost a nikoli ústřední orgán státní správy, který již obdobný úkol plní v oblasti prověřování zahraničních investic (což je také pravomoc, která není svěřena např. Úřadu pro ochranu hospodářské soutěže). Navrhovaný rozsah a velikost mechanismu je navíc zjevné byrokratické monstrum. V důvodové zprávě se uvádí, že jen na prověřování dodavatelů bude mít NÚKIB a další orgány enormní personální požadavky - dohromady asi 53 lidí. Další “vyšší desítky” míst bude úřad chtít kvůli kontrolování souladu se zákonem nad rámec schválené koncepce rozvoje úřadu, která i tak počítá s jeho rozšiřováním. Po účinnosti zákona se dá očekávat na úrovni poskytovatelů regulovaných služeb vysoká okamžitá poptávka po zaměstnancích či kontraktorech, kteří pomohou daným organizacím zajistit soulad s požadavky zákona (který je vymáhán poměrně drakonickými pokutami). V Česku přitom panuje extrémní nedostatek pracovníků v oblasti IT.

Kontaktní osobou pro vypořádání připomínek je PhDr. Mgr. Petr Maule, MBA, tel. 734 302 000, maule@amsp.cz, amsp@amsp.cz
Stránka 2 z 2

image1.png