Jaký je aktuální stav transpozice směrnice NIS 2 a nového zákona o kybernetické bezpečnosti?
Upozorňujeme, že tento článek je určený pro Vaše základní seznámení s tématem a píšeme ho tak, aby Vás pokud možno i bavil.
V dubnu loňského roku jsme na našem blogu (konkrétně zde) publikovali článek o předpokládaných změnách souvisejících s účinností nové Směrnice Evropského parlamentu a Rady č. 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v EU… se vžitým názvem „NIS 2“ (dále „Směrnice“).
V uvedeném článku jsme vycházeli z návrhu zákona ve znění, v jakém byl předložen legislativní radě vlády. Jak se za téměř rok posunul legislativní proces vedoucí k přizpůsobení potřebám Směrnice a o kolik nakonec nestihneme lhůtu k transpozici Směrnice? Tak o tom všem se dočtete v tomto aktualizačním článku.
Rekapitulace
V posledním článku jsme:
- zmínili, že dosavadní zákon o kybernetické bezpečnosti bude nahrazen zákonem zbrusu novým;
- připomněli, že lhůta pro transpozici Směrnice ČR uplyne (resp. uplynula) 18. 10. 2024;
- stručně představili nové kategorie povinných subjektů a jak se při jejich určování orientovat; a
- popsali některé základní povinnosti podle Směrnice a návrhu nové zákona.
Přijetí nové zákona a tím i transpozice Směrnice se v době příprav prvního článku odhadovaly na konec roku 2024. My jsme si v předchozím článku tipnuli červenec 2025 a zdá se, že budeme se svým tipem blíže.
Aktuální stav návrhu zákona
Co se v mezidobí s návrhem zákonem stalo? Úspěšně prošel vládou, která ho dne 25. 7. 2024 předložila Poslanecké sněmovně. V rámci Poslanecké sněmovny proběhlo zatím první čtení v září 2024 a následně byl návrh zákona přikázán poslaneckým výborům k projednání. Pozměňovací návrhy uplatnily pouze výbor pro bezpečnost a hospodářský výbor. Další projednání ve sněmovně je v plánu na schůzi zahájené od 21. ledna 2025. NÚKIB na svých stránkách předpokládá účinnost v půlce roku 2025, tak uvidíme. Námi původně tipovaný červenec se kvapem blíží, a ani ten není zdaleka jistý.
Měnilo se v aktuálním znění návrhu něco podstatného?
Ne tak docela. Změny jsou spíše v detailech nebo legislativně technickém pojetí, ale že by se v návrhu zákona měnilo něco opravdu zásadního (např. kategorie povinných subjektů nebo okruh hlavních povinností), to ne. Pro nadšence můžeme doporučit stránky Národního úřadu pro kybernetickou a informační bezpečnost („NÚKIB“), který (zde) připravil moc pěkné stručné shrnutí všech významnějších změn návrhu zákona po projití legislativní radou vlády. NÚKIB také pravidelně a přehledně informuje o všech aktualitách týkajících se návrhu zákona a směrnice NIS 2 (zde).
My si ale pro účely našeho článku vystačíme s ještě podstatně stručnějším shrnutím změn oproti stavu, který jsme popsali v našem dřívějším článku. Ze všech změn jsme pro Vás vybrali tyto:
- technicky lehce odlišné vymezení působnosti zákona;
- upřesnění nebo přesunutí definic některých pojmů (např. „aktiva“, „nezbytný rozsah“ nebo „data“);
- mírné zjednodušení procesu registrace povinných subjektů a regulovaných služeb;
- přibyla další úprava pro posouzení kritéria velikosti při účasti partnerského programu[1];
- NÚKIB bude moci také zakázat informovat uživatele o incidentu, pokud by to nebylo vhodné s ohledem na stanovené důvody;
- omezení povinnosti hlášení pouze pro případy tzv. reaktivních protiopatření (tedy už ne pro výstrahu a varování);
- o udělení sankce „pozastavení výkonu řídící funkce členovi statutárního orgánu“ bude moci rozhodnout sám NÚKIB (a už ne soud, jak se v předchozím návrhu počítalo).
I výše uvedené změny jsou ale svou povahou spíše drobné a reálného fungování zákona se příliš nedotknout. Za zřejmě nejpodstatnější změnu považujeme pravomoc úřadu samostatně ukládat sankci pozastavení výkonu statutárovi.
Navíc nesmíme zapomínat na to, že ani tato verze ještě není konečná. Uvidíme totiž ještě, co s návrhem zákona vymyslí poslanci, případně senátoři.
Závěr
Dokončení uzpůsobení české právní úpravy Směrnici se dle našich předpokladů opravdu nepodařilo včas. Práce na přijetí nového zákona o kybernetické bezpečnosti ale směle pokračují. Navíc musíme opět vyzdvihnout mimořádnou práci NÚKIB při informování veřejnosti a přípravách legislativního návrhu.
Proces přijímání nového zákona pro Vás budeme i nadále se zájmem sledovat.
[1] Za partnerský nebo propojený podnik se nebudou považovat osoby, jejichž technická aktiva jsou zcela oddělená od posuzované osoby.