Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                Úřad vlády České republiky
Odbor kompatibility
	

	
	
	
	

	
	
	
	V Praze 19. července 2022

	
	
	
	Čj. 29158/2023-UVCR

	
	
	
	

	Stanovisko

	
	
	
	

	
	
	
	

	k návrhu zákona o kybernetické bezpečnosti
(materiál NÚKIB, č.j.: 4496/2023-NÚKIB-E/110, ze dne 19. června 2023,
určený pro připomínkové řízení)


Po stránce formální:

Předkladatel splnil pouze částečně formální náležitosti týkající se vykazování slučitelnosti s právem EU, jak vyplývají zejména z Legislativních pravidel vlády, v platném znění, a z přílohy k usnesení vlády ze dne 12. října 2005 č. 1304, o Metodických pokynech pro zajišťování prací při plnění legislativních závazků vyplývajících z členství České republiky v Evropské unii, v platném znění.

Předkladatel se ke vztahu návrhu k právu EU vyjadřuje v důvodové zprávě na str. 68 až 70. Tam uvádí – vedle návrhem implementované směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) i několik nařízení, na které je na určitých místech v návrhu odkazováno, resp. je s nimi návrh provázán.

K uvedeným nařízením ale nebyly přiloženy srovnávací tabulky, a tak není možné překontrolovat, která ustanovení jakých nařízení EU přesně byla do návrhu implementována. Přiložena byla pouze srovnávací tabulka ke směrnici NIS 2.
1.
K nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) chybí aktualizace srovnávací tabulky. Implementace je zřejmě provedena v § 41 odst. 4, § 46 odst. 1 až 3, a pak do příslušných sankčních ustanovení. Aktualizovanou srovnávací tabulku je třeba přiložit.
2.
K nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center, rovněž chybí přiložená aktualizovaná srovnávací tabulka. Implementace má být zřejmě provedena v § 41, § 47 a násl., a pak příslušných v sankčních ustanoveních. Aktualizovanou srovnávací tabulku je třeba přiložit.

3.
Ani k nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU, nebyla srovnávací tabulka přiložena. Jsme si vědomi, že gestorem předpisu je Ministerstvo dopravy. Nicméně pokud je nějaká část uvedeného nařízení návrhem zapracovávána, je nutné i v případě, kdy je gestor zapracovávaného předpisu EU jiný orgán státní správy, než je předkladatel daného návrhu, vykázat v příslušné srovnávací tabulce, jaká ustanovení by měla být v předloženém návrhu implementována. Uvedené nařízení je navíc v databázi ISAP hodnoceno jako přímo aplikovatelné, tedy srovnávací tabulka tam chybí zcela. Jediným relevantním ustanovením návrhu bude asi § 41 odst. 4, soudě podle informací v rozdílové tabulce.

4.
Stejná je situace i v případě rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo – i zde srovnávací tabulka chybí zcela, a to i v databázi ISAP. Rozhodnutí je hodnoceno jako přímo aplikovatelné, což evidentně – vzhledem ke kompetenčním provazbám – není, a je v gesci Ministerstva dopravy.

5.
V neposlední řadě důvodová zpráva zmiňuje i směrnici Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES, která je v gesci Ministerstva vnitra a údajně je teprve implementační předpis k této směrnici připravován. Uvedená směrnice ale není uvedena ani v rozdílové tabulce (a srovnávací tabulka rovněž nebyla přiložena), takže není zřejmé, jaká ustanovení z této směrnice by měla být návrhem implementována. Jsme si vědomi, že směrnice NIS 2 na směrnici (EU) 2022/2557 odkazuje, výkaznictví však musí být provedeno řádně.

6.
Dále důvodová zpráva na str. 68 zmiňuje nařízení DORA, kterým je nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011. Uvedené nařízení je v gesci Ministerstva financí a je podle databáze ISAP vyhodnocováno jako přímo aplikovatelné. Není jasné, jak je návrh na toto nařízení adaptován, resp. která ustanovení návrhu jsou pro řádnou aplikaci nařízení DORA rozhodná.
To samé platí pro v důvodové zpráva na str. 70 uvedené nařízení Evropského parlamentu a Rady (EU) 2019/452 ze dne 19. března 2019, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie (v gesci Ministerstva prmyslu a obchodu), ke kterému je v databázi ISAP přiložena srovnávací tabulka, ta však neodkazuje na předložený zákon.

Důvodová zpráva pak odkazuje i na další předpisy EU (například směrnici 2018/1972, kterou se stanoví evropský kodex pro elektronické komunikace), a návrh nařízení Evropského parlamentu a Rady o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020. Není jasné, nakolik se požadavky těchto dalších předpisů EU, resp. návrhů nových předpisů EU, v návrhu v konkrétních ustanoveních odrážejí.
Tato připomínka je zásadní.

Co se týče výkaznictví v rozdílové tabulce, je velmi nepřehledné a hypertrofované. K tomu viz konkrétní připomínky níže.
Po stránce materiální:

Stav relevantní právní úpravy v právu EU:
Návrh zákona je implementační k tomuto předpisu EU:
· Směrnici Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (dále také jenom „směrnice NIS 2“).
V souladu s přijetím směrnice NIS 2 se ruší původní směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.

Návrhu zákona se – se zohledněním vyjádření předkladatele v důvodové zprávě, avšak s výhradou výše uvedeného vyjasnění implementačních ustanovení - týkají následující předpisy EU:
· v širším kontextu se návrhu týkají ustanovení  primárního práva:

· čl. 49 SFEU o svobodě usazování,
· čl. 4 odst. 2 SEU týkající se národní bezpečnosti,

· čl. 16 LZP EU o svobodě podnikání.
· v sekundárním právu EU se pak návrhu dotýká:

· Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“),

· Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center,

· Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES,

· Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011,

· Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU,

· Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo,

· Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),

· Nařízení Evropského parlamentu a Rady (EU) 2019/452 ze dne 19. března 2019, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie, v platném znění,
· Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES,
· Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 Kybernetická bezpečnost sítí 5G,
· Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace,
· Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES, resp. další zakázkové směrnice,

· Návrh nařízení Evropského parlamentu a Rady o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020.

Návrhu se týkají také další právně nezávazné akty orgánů a agentur Evropské unie (např. z činnosti ENISA) a strategické dokumenty EU.
Připomínky a případné návrhy změn:
Obecně:

1.
Návrh zákona považujeme pro adresáta normy obtížně srozumitelný, jelikož obsahuje množství technicistických termínů a definic, které jsou navíc formulovány kruhem. Důležité instituty předkladatel plánuje definovat až v prováděcích právních předpisech. Takové řešení se jeví problematické nejenom z pohledu kontroly správné implementace práva EU, ale také z ústavněprávního hlediska, jelikož práva a povinnosti subjektů mají být jasně stanoveny zákonem.

Konkrétně například k § 4 odst. 2, podle kterého má být prováděcím právním předpisem stanovena kritéria pro identifikaci regulované služby v daných odvětvích, má být zapracován osobní a věcný rozsah směrnice NIS 2 (uvedený v čl. 2 odst. 1 a 2 této směrnice), včetně diskrece členského státu podle čl. 2 odst. 5 této směrnice. Obdobně § 6 odst. 3 návrhu stanoví, že režim poskytovatele regulované služby je stanoven prováděcím právním předpisem, přičemž z rozdílové tabulky vyplývá, že do prováděcího předpisu by měl být zapracován klíčový článek 3, jenž rozlišuje mezi tzv. „základními“ a „důležitými“ subjekty, případně „subjekty poskytující služby registrace jmen domén“. Zdá se tedy, že základní vymezení důležité pro naplnění směrnice bude až v prováděcím právním předpise. Z přiložených tezí prováděcích právních předpisů pak je patrné, že tyto prováděcí předpisy mají de facto zákon doplňovat. To je ale nepřípustná legislativní technika již z hlediska ústavních limitů, navíc ale znemožňuje posoudit míru zapracování směrnice NIS 2 v celém jejím rozsahu.
Tato připomínka je zásadní.
2.
V návaznosti na výše uvedené uvádíme, že návrh zákona nesleduje jasné určení osobního rozsahu směrnice NIS 2, kdy se podle článku 3 rozlišují „základní“ subjekty a „důležité“ subjekty případně „subjekty poskytující služby registrace jmen domén“. Místo toho návrh zákona v § 3 operuje s regulovanou službou, přičemž není zcela jasný vztah regulované služby a rozlišením subjektů v kontextu směrnice NIS 2.
Tato připomínka je zásadní.

3.
Předkladatel na mnoha místech návrhu zákona vykazuje úpravu jako implementační, přičemž postrádáme ustanovení směrnice, které by takovou úpravu po členském státu vyžadovalo, k tomu viz dále.
K jednotlivým ustanovením:

K § 1:

Formulace ustanovení neodpovídá Legislativním pravidlům vlády, kde je uvedena standardní formulace (článek 48). Navrhujeme odstavce spojit.
Dále za relevantní pro implementaci v případě odstavce 2 považujeme ustanovení předpisů EU vyžadující tzv. referenční odkaz (článek 41 směrnice NIS 2), naopak ustanovení o rozsahu působnosti směrnice či platnosti nařízení nejsou pro § 1 relevantní. Požadujeme upravit.

K § 2:

odst. 2 písm. c):
Článek 6 bod 10) v definici kybernetické hrozby odkazuje na čl. 2 bod 8 nařízení 2019/881. Podle něj se kybernetickou hrozbou rozumí „jakákoliv potenciální okolnost, událost nebo čin, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a další osoby“. Navržené implementační ustanovení v § 2 odst. 2 písm. c) obsahuje definici kybernetické hrozby zjevně širší, když operuje s „ovlivněním aktiv“, jež jsou definována velmi široce v odst. 1 písm. a). Je nutné vyjasnit, jaký je rozsah ve vztahu k definici ve směrnici. Také se domníváme, že není možné definici nad rámec směrnice libovolně měnit, resp. rozšíření může mít vliv zejména v přeshraničním (nadnárodním) kontextu.

Tato připomínka je zásadní.

odst. 2 písm. d):

Obdobně, jak je výše uvedeno pro definici kybernetické hrozby, to platí pro definici významné kybernetické hrozby.
Podle čl. 6 bodu 11) směrnice NIS 2 se významnou kybernetickou hrozbou rozumí kybernetická hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál vážně ovlivnit sítě a informační systémy určitého subjektu nebo uživatelů služeb takového subjektu tím, že způsobí značnou hmotnou nebo nehmotnou újmu. Naopak podle navrženého § 2 odst. 2 písm. d) se významnou kybernetickou hrozbou rozumí kybernetická hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál závažně ovlivnit aktiva poskytovatele regulované služby nebo uživatelů regulovaných služeb natolik, že způsobí značnou majetkovou nebo nemajetkovou újmu. Směrnice nemluví o aktivech poskytovatele regulované služby nebo/a (aktivech) uživatelů regulovaných služeb. Směrnicová definice je tak ve výsledku (zjevně) užší. Žádáme tuto diskrepanci vysvětlit a případně navrženou formulaci upravit.
Tato připomínka je zásadní.

odst. 2 písm. g):

Návrh zákona používá českému jazyku cizí slova jako například „prevence“ nebo „detekce“. Navrhujeme zde použít směrnicových výrazů, které používají výrazů „předejít“ nebo „odhalit“ (čl. 6 bod 8 NIS 2).
K § 2, § 3, § 4 a § 5 – vymezení osobního a věcného rozsahu (v návaznosti na obecnou připomínku č. 1 výše):

V návrhu zákona chybí jasné vymezení regulované služby i poskytovatele regulované služby.
Nadpis dílu 1 v § 3 zní: „Stanovení regulované služby a režimu poskytovatele regulované služby“. Dále se upravuje regulovaná služba, a v § 6 jsou již uvedeny pouze příslušné režimy poskytovatelů regulované služby, resp. registrace. Není tedy vůbec jasné, kdo je poskytovatelem regulované služby. Je otázkou, nakolik se má tímto ustanovením upravovat poskytovatel regulované služby, a nakolik pouze regulovaná služba. Navíc poskytovatel je podle § 2 odst. 1 písm. f) návrhu ten, kdo poskytuje regulovanou službu - úprava je nejasná, protože je definována kruhem.
Navíc pokud § 3 návrhu stanoví, že regulovaná služba je stanovena kritérii pro identifikaci regulované služby nebo kritérii pro určení regulované služby, je nejasné, kým, resp. čím bude tato služba stanovena, resp. určena. Předkladatel má zřejmě za to, že ke „stanovení“ dojde prováděcím právním předpisem podle § 4 odst. 2, a k určení dojde podle § 5 návrhu. Takové řešení ale dává širokou působnost jak prováděcímu právnímu předpisu, tak i „určení“ rozhodnutím Úřadu. Směrnice NIS 2 v článku 2 vymezuje svou působnost odkazem na svou přílohu I a II, popřípadě i na doporučení 2003/361/ES (čl. 2 odst. 1 a 2 směrnice NIS 2), a pak do osobní působnosti zahrnuje subjekty určené podle směrnice 2022/2557 (čl. 2 odst. 3 směrnice NIS 2), subjekty poskytující registrace jmen domén, případně fakultativně stanovené subjekty podle čl. 2 odst. 5 směrnice NIS 2. Další možné výjimky, resp. omezení upravují další odstavce článku 2.
Rámec zákona je mnohem širší, navíc nejasný, a to zřejmě i proto, že část transpozice má být v podstatných rysech, zejména ve vymezení osobního a věcného rozsahu (§ 4 odst. 2), provedena až prováděcími právními předpisy. To je postup již z ústavního hlediska nepřípustný, navíc z hlediska řádného provedení směrnice nezkontrolovatelný.

Tato připomínka je zásadní.

K § 5:

písm. b):

Ač části navrženého ustanovení zapracovává určité požadavky článku 2 směrnice NIS 2, není v celém svém rozsahu implementací. Část ustanovení, která nemá přímou oporu ve směrnici NIS 2, nemá být vykázána. Konkrétně podle navrženého ustanovení regulovanou službou je (dále) služba stanovená u orgánu nebo osoby rozhodnutím Úřadu v případě, že její narušení může způsobit závažný zásah do života postihující více než 125 000 osob, a to prostřednictvím ohrožení života, zdraví, majetkové hodnoty, vnitřního či veřejného pořádku, bezpečnosti nebo životního prostředí. Vykázán je zde čl. 2 odst. 6 směrnice NIS 2, podle kterého směrnicí není dotčena odpovědnost členských států za ochranu národní bezpečnosti ani jejich pravomoc chránit jiné základní funkce státu, včetně zajišťování územní celistvosti státu a zachování veřejného pořádku. Jsme názoru, že (příkladmo) slova „může způsobit závažný zásah do života postihující více než 125 000 osob, a to prostřednictvím ohrožení života, zdraví, majetkové hodnoty“, ačkoliv zde jsou užita v souladu s postulátem směrnice, jejich užití nepředstavuje přímou implementací. Žádáme odpodtrhnout.
písm. d):

Zde upozorňujeme, co se týká obsahu pojmů „krizové řízení a kritická infrastruktura“, na propojení se směrnicí 2022/2557, na kterou vykazovaný čl. 2 odst. 3 směrnice NIS 2 odkazuje. Příslušný zákon o kritické infrastruktuře je ale teprve připravován, gesci má MV. Je tedy věcí zřejmě probíhajících legislativních prací k zákonu o kritické infrastruktuře, aby terminologie měla vzhledem k propojení mezi dvěma směrnicemi (dvěma transpozičními zákony) vždy odpovídající obsah.
K § 6 a 7 (v návaznosti na obecnou připomínku č. 2 výše):

Ustanovení má implementovat článek 3 směrnice NIS 2. V čl. 3 odst. 1 směrnice jsou definovány základní subjekty. V čl. 3 odst. 2 pak následně důležité subjekty.
Uvedené požadavky a rozlišení subjektů ze směrnice NIS 2 v § 6 ani § 7 vůbec nenalézáme. Zřejmě předkladatel hodlá uvedené provádět až prováděcím právním předpisem podle § 6 odst. 3. Přiložené teze vyhlášek ale vůbec nedávají jasnou odpověď. Navíc takové řešení, kdy budou základní parametry dotvářeny až prováděcím právním předpisem nepovažujeme za ústavně konformní.

Tato připomínka je zásadní.

K § 8:

Podle rozdílové tabulky je v tomto ustanovení promítnut čl. 3 odst. 4 směrnice NIS 2. Navrženou formulaci považujeme za nejasnou. Ve směrnici je přesněji uvedeno, jaké informace mají být příslušným orgánům poskytovány (název subjektu, adresa a aktuální kontaktní údaje, včetně e‑mailových adres, rozsahu IP adres a telefonních čísel, atd.). Ani § 8 ve spojení s § 12 není dostatečně konkrétní. Žádáme napravit.
Na druhou stranu, ač je ustanovení podtrženo celé, směrnice NIS 2 neobsahuje stanovení konkrétních lhůt. Máme za to, že odstavce 2 až 4 nejsou implementačního charakteru, a tudíž by měly být odpodtrženy a vypuštěny z rozdílové tabulky.

Tato připomínka je zásadní.
K § 9:

Ustanovení je vykázáno v rozdílové tabulce s odkazem na čl. 3 bod 4 směrnice, nicméně ve vlastním návrhu ani není podtrženo a podle našeho názoru ani implementační charakter nemá. Navržené ustanovení tudíž je třeba vypustit z rozdílové tabulky.
Dále vznášíme dotaz, na co se směřuje slovy „v případě naplnění kritérií pro identifikaci každé další regulované služby“ v odstavci 1. Jaká kritéria (kde jsou uvedená) se mají na mysli v odstavci 1?
K § 10:

Zápis do evidence poskytovatelů regulovaných služeb má implementovat čl. 3 odst. 3 směrnice NIS 2. Podle tohoto ustanovení směrnice má být seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen a domén, stanovena do 17. 4. 2025. Odráží se někde toto datum? Zákon má být účinný od 18. října 2024, musejí být tudíž již tímto datem dokončeny registrace? V přechodných ustanoveních relevantní ustanovení nenalézáme, vykázáno není nic. Navíc evidence se má podle čl. 3 odst. 3 každé dva roky přezkoumávat.

Tato připomínka je zásadní.

K § 11:
Ustanovení v odstavci 3 používá formulaci „osoba zapsaná v evidenci poskytovatelů“, ve výše uvedených ustanoveních se mluví o poskytovateli. Nemá být v odstavci 3 rovněž poskytovatel, anebo je to (také) jiný subjekt?
K § 12:
· viz připomínka k § 8.
Ustanovení stanovuje, že poskytovatel regulované služby hlásí registrační, kontaktní a další doplňující údaje. Směrnice NIS 2 ale v čl. 3 odst. 4 uvádí minimální seznam informací, které by se měly poskytovat. Tento seznam se zdá být mimoběžný s § 12, resp. není zřejmé, co kam spadá. Navíc formulace „údaje spojené s“, nebo „údaje potřebné pro“ jsou velmi široké množiny, které zejména v případě § 12 odst. 2 písm. c) mohou přestavovat leccos. Údaje je třeba zkonkretizovat, a to v návaznosti na směrnici NIS 2.

Navíc máme za to, že odstavce 3 až 6 nejsou, nebo převážně nejsou, implementační. Požadujeme ustanovení odpodtrhnout a vypustit z rozdílové tabulky.
Tato připomínka je zásadní.

K § 13:

Ustanovení je vykázáno k čl. 1 odst. 1 či článku 5 směrnice NIS 2, nicméně takové vykázání není přiléhavé. Spíše lze uvažovat o čl. 21 bod 1 směrnice. Je rovněž otázka, na co přesně navazuje § 13 odst. 2 až 5, které jsou vykázány jako implementační. Zdá se nám, že tato ustanovení spíše implementační nejsou. Navrhujeme odpodtrhnout a vypustit z rozdílové tabulky.

K § 14 a 15:

K uvedenému ustanovení je vykázána celá škála ustanovení směrnice NIS 2, ale je otázkou, co je skutečně prováděno. Čl. 1 odst. 1 a článek 5 zřejmě nebudou relevantní. Nejvíce relevantní bude zřejmě článek 21 směrnice NIS 2, ten ale vidíme proveden pouze velmi rámcově. Má být například čl. 21 odst. 2 vtělen do § 15? A kde je uvedeno, že se má při zvažování vhodných opatření zohlednit zranitelnost dodavatele (čl. 21 odst. 3 směrnice NIS 2)?

Ustanovení § 14 odst. 4 předvídá vydání prováděcího právního předpisu, který stanoví bezpečnostní opatření, což zřejmě bude hlavní těžiště transpozice. Samotné zmocňovací ustanovení ale není implementačního charakteru (tudíž by nemělo být podtrženo a uvedeno v rozdílové tabulce). Takové stanovení povinností by navíc mělo být uvedeno přímo v zákoně, výčet (organizačních a technických) opatření v § 15, ze kterých není zřejmý základní rozsah povinností, se nám nezdá ústavně hájitelný. Situaci ale komplikuje to, že mají být teprve vydávány prováděcí akty Evropské komise, kterými se opatření blíže specifikují.
Dále v § 14 odst. 3 je uvedena lhůta 1 roku. Jedná se o směrnicovou věc? Z čeho lhůta 1 roku vyplývá? A neměla by být uvedena v přechodných ustanoveních?

Tato připomínka je zásadní.

K § 15:

Výkaznictví k tomuto ustanovení je zavádějící, viz výše k § 14. Není jasné, kde lze najít definici obsah pojmu poskytovatele regulované služby v režimu vyšších povinností (odstavec 1) a nižších povinnosti (odstavec 2). § 6 odst. 2 pouze stanoví, že jsou poskytovatelé v režimu vyšších a v režimu nižších povinností. Pochopení je významné zejména s ohledem na to, že se jedná o implementační úpravu.
K § 16:

Kdo stanoví rozsah hlášení, které je povinen poskytovatel regulované služby hlásit Úřadu?
Také není jasné, jak je ve vztahu ke směrnici „kybernetický bezpečností incident“, jenž je vymezen v § 2 odst. 2 písm. f). Například v rozdílové tabulce uvedený čl. 23 odst. 3 směrnice NIS 2 uvádí, co se má považovat za významný incident, což je zřejmě užší vymezení, než v návrhu zákona.
Zmocňovací ustanovení v odstavci 3 není implementační, opět je třeba jej odpodtrhnout a vypustit z rozdílové tabulky. Odstavec 4 je opět zřejmě přechodným ustanovením, které navíc není předvídáno směrnicí. Žádáme napravit.

Tato připomínka je zásadní.

K § 17:

odst. 3 písm. a):

Není zřejmé, co jsou indikátory kompromitace, byť se jedná již o směrnicový pojem. Jaké je propojení s nařízením eIDAS č. 910/2014 v poznámce pod čarou č. 3? Neměl by být uveden spíše odkaz na zákon č. 297/2016 Sb., aby bylo zřejmé, kterého poskytovatele služeb má předkladatel na mysli?

odst. 3 písm. c):
Ustanovení má implementovat čl. 23 odst. 4 písm. d) a e) směrnice NIS 2, kde je uvedeno i to, jaký má být obsah závěrečné zprávy. Na jakém místě je to uvedeno v návrhu?

Tato připomínka je zásadní.

Odstavec 5 je zmocňovacím ustanovením, tudíž není implementační; je třeba jej odpodtrhnout a vypustit z rozdílové tabulky.
K § 20:
Ustanovení je vykazováno článkem 5 směrnice NIS 2, který se týká minimální harmonizace, a dále čl. 23 odst. 5 téže směrnice. Implementační charakter není jasný.
Požadujeme vyjasnit.

Tato připomínka je zásadní.

V § 20 odst. 3 chybí za slovem „protiopatřením“ čárka.
K § 20 odst. 3 se také ptáme, co se myslí „státem uznanou povinností mlčenlivosti“. Může se jednat rovněž o mlčenlivost smluvní?
K § 21 až § 34:

V návaznosti na připomínku k § 20 máme pochybnosti, nakolik jsou uvedená ustanovení přímo implementační. Ač připouštíme, že určitý rámec může být v některých případech dán (například čl. 32 odst. 4 směrnice NIS 2 v případě § 21, § 22 a § 23; čl. 23 odst. 7 směrnice NIS 2 v případě § 21), sporné je zejména vykazování převážné většiny ustanovení jako nutně implementačních prostřednictvím článku 5 směrnice, který se týká minimální harmonizace.

Článek 5 směrnice NIS 2 stanoví, že směrnice představuje svou povahou minimální harmonizaci a nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie. Přestože článek 5 směrnice obecně umožňuje národní úpravu, která jde nad rámec směrnice, taková úprava je vnitrostátní diskrecí, a proto se příslušná ustanovení nevykazují jako implementační. Výkaznictví je hypertrofované.

Ustanovení, která není možné vykázat konkrétními povinnostmi nebo konkrétními diskrecemi vyplývajícími ze směrnice NIS 2, je třeba odpodtrhnout a vypustit z rozdílové tabulky.

Tato připomínka je zásadní.

K § 22 odst. 2

Není jasné, kdo a jak stanoví rozsah varování.
V § 23 odst. 3, a zřejmě i odstavce 4 až 6 nebudou implementační, navrhujeme odpodtrhnout a nevykazovat v rozdílové tabulce.

K § 24:

Návrh zákona postrádá zhodnocení vztahu ke směrnici 2014/24/EU o zadávání veřejných zakázek. Přitom svými ustanoveními fakticky nepřímo novelizuje ustanovení zákona č. 134/2016 Sb., o zadávání veřejných zakázek, který tuto směrnici implementuje. Ustanovení lze číst tak, že vysoutěžený dodavatel podle zákona o zadávání veřejných zakázek bude muset dodatečně plnit další požadavky z bezpečnostních opatření, které nebyly při vyhlašování výběrového řízení dané. Přitom zřejmě může jít i o zákaz využití plnění dodavatele, který již byl vysoutěžen, případně o možnost vypovědět závazek (§ 30 a § 33 návrhu). To se zdá být zcela proti transparentnosti výběrových řízení a fakticky v rozporu se zadávací směrnicí 2014/24/EU a dalšími zakázkovými směrnicemi.

Tato připomínka je zásadní.

K § 25:

Ustanovení je opět vykazováno jako implementační pouze článkem 5 směrnice NIS 2. Je třeba ho odpotrhnout a nevykazovat jako implementační v rozdílové tabulce. Možnost jít nad rámec směrnice není sama o sobě implementační povahy.
Podle odstavce 4 jednání o úhradě vynaložených nákladů na předání informací a dat nesmí být překážkou řádného splnění povinnosti předat informace a data. Není zřejmé, na základě čeho bude možné posoudit naplnění podmínek tohoto ustanovení.
K § 26:

Žádáme o reformulaci definice strategicky významné služby, která je pojata kruhem. Navíc část definice je asi i v § 27 odst. 2 návrhu.

K § 27:

Ustanovení odstavce 1 je zmocňovacím ustanovením, nemělo by být podtrženo a vykazováno jako implementační. Vztah směrnice NIS 2 k odstavci 2 je nejasný.

K § 28:

Ustanovení navrhujeme odpotrhnout, zřejmě opět není přímo implementační povahy. Také upozorňujeme na nevhodnost použití slova „prioritizovat“. V odstavci 3 a odstavci 4 není možné delegovat tak významné stanovení kritérií na prováděcí právní předpis. Tyto náležitosti by měl obsahovat zákon.
K § 29:

Máme za to, že zpravodajské služby či nejvyšší státní zastupitelství, popř. i jiné útvary, nebudou moci vždy na žádost Úřadu poskytnout požadované informace z důvodu plnění svých úkolů. Rovněž opět nemáme za to, že ustanovení je implementační.

K § 30:

Jak uvádíme výše k § 24, máme pochybnosti, že je navržená úprava, podle které vítězi zadávacího řízení může NÚKIB zakázat plnění po skončení zadávacího řízení, v souladu se směrnicí 2014/24/EU, popř. dalšími zadávacími směrnicemi, a potažmo zákonem o zadávání veřejných zakázek.

Tato připomínka je zásadní.

K § 32:
odst. 1 písm. a):
Žádáme o vysvětlení pojmu „vynaložení přiměřeného úsilí“. Kdo jej bude hodnotit? Navíc je na toto ustanovení navázána sankce v § 58 odst. 3, což u takto vágně stanovené povinnosti není hájitelné.
K § 33:

V návaznosti na základní připomínku k § 24 a § 30 žádáme o zhodnocení slučitelnosti se směrnicí  2014/24/EU, popřípadě dalšími zakázkovými směrnicemi. Ustanovení máme za rozporné s právem EU.

Tato připomínka je zásadní.
K § 34:

Ustanovení v odstavci 1 mluví o „stanoveném rozsahu“, a „stanoveném čase“ a „kvalitě“, nicméně z návrhu není jasné, kdo tento rozsah, časový limit či kvalitu určí.
K odstavci 2 vznášíme dotaz, jak má poskytovatel testovat schopnost zajištění poskytované strategicky významné služby a kde jsou stanovena kritéria takového testování.
Odstavec 3 obsahuje svou povahou přechodné ustanovení, které nemá oporu ve směrnici.
Odstavec 4 odkazuje na prováděcí právní předpis, nicméně podle našeho názoru tyto parametry by měly být alespoň rámcově upraveny zákonem.
Jak uvádíme výše, ustanovení nepovažujeme za implementační na základě článku 5 směrnice NIS 2.

K § 36:

Žádáme nahradit slova „s právními předpisy“ na „s přímo použitelnými předpisy“. Nemá být ale zmíněn rovněž zákon o osobních údajích navazující na GDPR?

K § 37:

Ustanovení je svou povahou nepřímou novelou zákon o svobodném přístupu k informacím. Žádáme napravit.
K § 39:

Nejeví se jako přípustné, aby o vyhlášení stavu kybernetického nebezpečí rozhodoval sám ředitel Úřadu a ne vláda, a to s ohledem na kontext, že po vyhlášení stavu kybernetického nebezpečí může pouze ředitel Úřadu stanovit taková zásadní omezení, jako je například nařízení práce v pohotovostním režimu, či přednostní poskytnutí personálních kapacit nebo věcných prostředků (viz § 40). Pouhým rozhodnutím ředitele NÚKIB může tedy být zásadně zasaženo do práv a povinností zákonem vymezených osob.

Tato připomínka je zásadní.

K § 40 odst. 1 písm. d):

Žádáme vysvětlit, jak je myšleno nařízení práce ředitelem NÚKIB v pohotovostní režimu (komu?, co je pohotovostní režim?) a jaký je vztah k zákoníku práce. Jednotlivými krizovými opatřeními může být zasahováno do práv a svobod občanů ČR, které garantují Ústava ČR a Listina základních práv a svobod.

K § 41:

V odstavci 1 tohoto ustanovení poslední dvě věty nemají implementační povahu.

Chybí implementace čl. 31 odst. 4 směrnice, kde je zakotvena funkční nezávislost Úřadu, což tradičně implikuje zákaz přijímání pokynů (viz např. § 17 odst. 3 energetického zákona, i jinde).
Tato připomínka je zásadní.

K odst. 4 písmeno f) lze uvést, že uvedené ustanovení má subsumovat několik dílčích povinností, mj. i vysílání zástupců členských států (ČR) do jednotlivých orgánů či skupin (čl. 15 bod 2 a čl. 16 bod 2 směrnice NIS 2) pro účely řešení kybernetických krizí. Máme za to, že ustanovení by mělo být rozepsáno.
Tato připomínka je zásadní.

Dále není jasné, co se míní příslušným předpisem Evropské unie v odstavci 4 písm. f) a g). Míní se tím přímý odkaz na směrnici? To je nutné vyjasnit a uvést jednoznačně, například v písm. g) doplnit „…je příslušným orgánem pro řešení kybernetických krizí podle…“. Je záměrem udělat odkaz jako v případě poznámky pod čarou č. 20?

Tato připomínka je zásadní.

Také v odstavci 4 písm. h) je nutné vyjasnit, na který předpis EU se odkazuje. Má se jednat o hodnocení v rámci skupiny pro spolupráci podle směrnice NIS 2?

Tato připomínka je zásadní.

Odst. 4 písm. k) odkazuje na „akt o kybernetické bezpečnosti“, čímž míní nařízení 2019/881. Legislativní zkratku, kterou toto ustanovení přebírá z uvedeného nařízení, takto použít nelze, když není návrhem zákona zavedena. Dále, nemá se odkazovat na článek 51, nikoliv 58? Požadujeme upravit.
Tato připomínka je zásadní.

K odst. 4 písm. m) uvádíme, že toto ustanovení není uvedeno v rozdílové tabulce. Písmeno l) zase v rozdílové tabulce není citováno stejně jako v návrhu (jiný odkaz na poznámku pod čarou).

K odst. 5 písm. i) uvádíme, že není vhodné stanovovat rozhodnutím vládního CERTu povinnosti všeobecné povahy. Dále není jasné, jaký je vztah národního CERTu k vládnímu CSIRT. To se týká i další připomínky.

K § 42
Ustanovení paragrafu 42, která se týká provozovatele Národního CERT, jsou vykazována stejnými ustanoveními směrnice NIS 2 (článek 10 či článek 11), jako ustanovení týkající se Vládního CERTu, popřípadě Úřadu. Obojí je tedy vykazováno nejčastěji jako implementační vůči „týmům CSIRT“. Zdá se tedy, že navrhovaná úprava upravuje totéž a dubluje se. Konkrétně například § 42 odst. 3 písm. h) se zdá upravovat to samé, co § 41 odst. 5 písm. j). § 42 odst. 3 písm. i) se zdá upravovat totéž, co § 41 odst. 4 písm. h). Požadujeme vysvětlit.

Tato připomínka je zásadní.

odst. 1 písm. g):

Ustanovení stanoví, že provozovatelem Národního CERT může být pouze právnická osoba, která není zahraniční osobou podle jiného právního předpisu. Předpokládáme, že takovéto silné omezení z hlediska přístupu osob k výdělečné činnosti je odůvodňováno bezpečnostními hledisky. Jak bude ale zacházeno s právnickou osobou, která je ovládaná ze zahraničí? Ustanovení zakládá nekonzistenstní přístup, který může být problematicky hájitelný z hlediska svobod vnitřního trhu.

Tato připomínka je zásadní.

Dále upozorňujeme, že není zřejmé, co se rozumí „zahraniční osobou podle jiného předpisu“. Pojem zahraniční osoba používá řada předpisů. Doporučujeme proto slova „podle jiného právního předpisu“ z návrhu vypustit s tím, že lze v daném případě použít obecné pravidlo stanovené v § 26 odst. 1 zákona č. 91/2012 Sb., o mezinárodním právu soukromém.
K odst. 3 písm. h) a i) - viz  připomínka k odkazům na konkrétní předpis EU výše.
K § 44 odst. 2:

V odstavci 2 nemá poslední věta implementační charakter. Nepovažujeme za správné ustanovení podtrhávat a vykazovat jako implementační.
K § 45 odst. 2:

Žádáme vysvětlit, jak bude interpretováno „vynaložení přiměřeného úsilí“. Viz i připomínka k „přiměřenému úsilí“ výše.

K § 46 odst. 2:

Obdobně jako u § 41 odst. 4 písm. k) žádáme napravit citaci aktu o kybernetické bezpečnosti v souladu s výše uvedeným.
K § 47 odst. 1 – poznámky pod čarou č. 7 a 8, a další poznámky pod čarou:

Odkaz na poznámky pod čarou č. 7 a 8 nemusí uvádět datum přijetí předpisů EU, stačí zkrácený název. Po uvedení článků nařízení by mělo následovat malé „n“.

Zkrácený název u předpisů EU uvedených již v návrhu zejména v poznámkách pod čarou č. 1 a 2 platí i pro další místa návrhu – poznámku pod čarou č. 14, 15 či 16 a 20.
K § 70 odst. 1:

Ustanovení není vyznačeno podtržením, ale zřejmě má navazovat na článek 4 směrnice NIS 2. Toto ustanovení směrnice zakládá nepřímou novelu v rámci práva EU, což je obtížně převoditelné do českého právního řádu.

Žádáme nahradit slova „přímo použitelný právní předpis Evropské unie“ slovy „přímo použitelný předpis Evropské unie nebo jiný právní předpis“. Slova přímo použitelný předpis jsou zaužívaná podle LPV. Jiný právní předpis proto, že zřejmě bude potřeba odkázat i na české právní předpisy, do kterých byly transponovány směrnice.

Tato připomínka je zásadní.

K některým ustanovením směrnice NIS 2 (vzhledem k rozsahu uvádíme pouze namátkou):

K čl. 1 bodu 2 směrnice:

Jsme názoru, že provedení tohoto článku není nutné vykazovat.
K čl. 2 bodu 1 směrnice:

Jsme názoru, že provedení tohoto článku směrnice pouze prováděcím právním předpisem není dostatečné, viz výše.

K čl. 8 odst. 5 a čl. 9 odst. 3 a 4 směrnice:

Není zřejmé, jak je zajištěna implementace článku 9 odst. 3 a 4 (povinnost určit dostatečné kapacity a přijmout národní plán reakce). A zda implementace čl. 8 odst. 5 počítá s propojením na služební zákon (obdobně čl. 9 odst. 1 druhá věta).
K čl. 10 odst. 2 směrnice:

Není zřejmé, jak je zajištěna implementace čl. 10 odst. 2 směrnice, podle kterého členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3. Budou členové týmů pod služebním zákonem?
K článku 14 směrnice:

Podle odstavce 1 článku 14 směrnice s cílem podporovat a usnadňovat strategickou spolupráci a výměnu informací mezi členskými státy a posilovat důvěru se zřizuje skupina pro spolupráci. Podle odstavce 2 tohoto článku skupina pro spolupráci vykonává své úkoly na základě dvouletých pracovních programů. Odstavec 3 článku 14 směrnice stanovuje, že skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Implementační zákon však tyto tři odstavce směrnice vykazuje jako nerelevantní z pohledu implementace. Není tedy jasné, kdo bude za Českou republiku jmenován do této skupiny pro spolupráci a kým bude jmenován. Má být snad relevantní § 41 odst. 4 písm. f) návrhu? Pak viz připomínka k tomuto ustanovení.

Také jsme názoru, že by tento aspekt měl být podrobněji upraven buď zákonem anebo alespoň prováděcím právním předpisem. Podle čl. 14 odst. 5 směrnice totiž členské státy zajistí, aby jejich zástupci ve skupině pro spolupráci účinně, účelně a spolehlivé spolupracovali.
K článku 15 směrnice:

Podle čl. 15 odst. 1 se zřizuje síť národních týmů CSIRT s cílem přispívat k budování důvěry mezi členskými státy a podporovat jejich rychlou a účinnou operativní spolupráci. Podle odstavce 2 síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Bod je přitom vykázán jako neimplementační. Mělo by být stanoveno, kdo budou zástupci za Českou republiku v těchto týmech CSIRT. Opět se má uplatnit § 41 odst. 4 písm. f)? Viz připomínka k tomuto ustanovení.
K článku 16 směrnice:

Podle čl. 16 odst. 1 se zřizuje síť EU-CyCLONe, a to za účelem podpory koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni. Podle odstavce 2 je tato síť tvořena zástupci orgánů členských států pro řešení kybernetických krizí. Mělo by být stanoveno, kdo budou zástupci za Českou republiku, a na základě čeho budou určeni. Opět se má uplatnit § 41 odst. 4 písm. f)? Viz připomínka k tomuto ustanovení.
K čl. 19 odst. 6 směrnice:

Podle čl. 19 odst. 6 poslední věty odborníci na kybernetickou bezpečnost účastnící se vzájemného hodnocení nesmí sdělit žádné citlivé nebo důvěrné informace získané v průběhu tohoto vzájemného hodnocení žádným třetím stranám. Předkladatel celý bod označil za nerelevantní z pohledu implementace. Žádáme stav napravit a dosažení cíle stanoveného směrnicí zajistit, bude nutné zakotvit povinnost mlčenlivosti.

K čl. 19 odst, 7 a 8 směrnice:

Článek 19 v odstavcích 7 a 8 je označen jako neimplementační, nicméně podle našeho názoru by bylo vhodné zajistit řádný průběh vzájemných hodnocení ve smyslu tohoto článku právním předpisem. Podle odstavce 7 tytéž aspekty, které již byly v členském státě předmětem vzájemného hodnocení, nepodléhají v tomto členském státě v průběhu dvou let po ukončení vzájemného hodnocení dalšímu posuzování, pokud o to členský stát nepožádá nebo pokud to není výsledkem dohody na základě návrhu skupiny pro spolupráci. Dále mají v kontextu odstavců 8 a 9 členské státy povinnost zajistit proces vznášení námitek a připomínek ke zprávám o vzájemném hodnocení. Domníváme se, že v alespoň v hrubých rysech by bylo vhodné článek implementovat, jelikož o přímo použitelný předpis se zde nejedná a fungování mechanismu podle článku 19 směrnice musí být státem zajištěno.
K článku 26 směrnice:
Není zřejmé, jak je tento důležitý článek týkající se pravomocí implementován.

Mnohá další ustanovení, například článek 32 směrnice, nebyla plně provedena.

Závěr:

Návrh zákona považujeme za částečně slučitelný s právem EU.
Vzhledem k množství připomínek a nejasností je třeba návrh výrazně přepracovat.

	Vypracovali: JUDr. Markéta Whelanová, Ph.D., JUDr. Dominik Králik, LL.M.EUR., Ph.D.
	
	

	
	
	

	
	
	Mgr. Ing. Dušan Uher

	
	
	ředitel odboru


	Úřad vlády ČR
nábř. Edvarda Beneše 4
118 01  Praha 1
	
	ústředna 224 002 111
posta@vlada.cz
dat. schránka ID: trfaa33


Strana 2 (celkem 15)