Úterý 17. září 2024, stenozáznam části projednávání bodu pořadu schůze
(pokračuje Věra Kovářová)
50.
Vládní návrh zákona o kybernetické bezpečnosti
/sněmovní tisk 759/ - prvé čtení
Z pověření vlády předložený návrh uvede v zastoupení pan ministr, pan ministr Martin Baxa. Prosím, ujměte se slova.
Ministr kultury ČR Martin Baxa: Vážená paní první místopředsedkyně Poslanecké sněmovny, milé kolegyně, milí kolegové, v kontextu skutečnosti, že řada členů vlády, do jejichž gesce spadá problematika povodní, je v tuto chvíli na výjezdu v terénu v Moravskoslezském kraji, tak jsem byl požádán o předložení několika různých návrhů zákonů, sněmovních tisků, takže začínám tedy teď návrhem, který předkládám z pověření pana premiéra. Vláda předkládá Poslanecké sněmovně návrh zákona o kybernetické bezpečnosti a s tím související návrh změnového zákona.
Návrh zákona implementuje evropskou směrnici NIS2 do českého právního řádu. Návrh zákona obsahuje také právní úpravu mechanismu prověřování bezpečnosti dodavatelského řetězce u strategicky významných služeb, čímž je plněn úkol obsažený v usnesení bezpečnostní rady státu.
Předkládaný návrh zákona významně posiluje kybernetickou bezpečnost České republiky. Navazuje na stávající právní úpravu v oblasti kybernetické bezpečnosti a současně přináší i nové procesy, nástroje a zjednodušuje a zpřehledňuje právní úpravu. V návaznosti na požadavky směrnice NIS2 zákon počítá s nezbytným rozšířením okruhu povinných osob. Ochrana a fungování těchto organizací je v ekonomickém a celospolečenském zájmu jak na národní, tak na evropské úrovni. Podle výpočtů Národního úřadu pro kybernetickou a informační bezpečnost se návrh zákona bude týkat nejméně, nejméně 6000 organizací.
Hlavním cílem návrhu zákona je dosáhnout toho, aby tyto organizace prováděly základní preventivní opatření k posílení vlastní kybernetické bezpečnosti, ale i tím zvyšovaly celospolečenskou odolnost. Jedná se o klíčový krok předcházení, zjištění a zmírňování dopadů případných kybernetických bezpečnostních incidentů.
To, že je zajištění kybernetické bezpečnosti nezbytné, mimo jiné dokládají i data. Podle oslovené renomované nadnárodní pojišťovny náklady na pojistná plnění spojená s jedním kybernetickým útokem vycházejí průměrně na 11,7, milionu korun. 11,7 milionu korun. Proto by se prevenci měla věnovat každá organizace.
Pro zmírnění dopadů navrhované regulace návrh zákona obsahuje sadu minimálních povinností pro méně důležité organizace, čímž jim dává prostor pro adaptaci primárním nástrojem pro veškerou komunikaci ze strany povinných osob s Národním úřadem pro kybernetickou a informační bezpečnost bude portál NÚKIB jakožto jednotná platforma.
Základními principy navrhovaného řešení jsou skrze jeden komunikační systém dosáhnout maximální automatizace a samoobslužnosti vedoucí k redukci administrativní zátěže a zvýšení informovanosti všech povinných osob. Portál NÚKIB bude efektivní platformou pro trvalou spolupráci veřejné správy a soukromého sektoru na ochraně společného kybernetického prostoru. Národní úřad pro kybernetickou a informační bezpečnost tímto mimo jiné podporuje plnění programového prohlášení vlády v oblasti digitalizace. Stejně jako celý návrh zákona podporuje plnění programového prohlášení vlády v oblasti kybernetické bezpečnosti.
Návrh zákona dále obsahuje již zmíněnou právní úpravu mechanismu prověřování bezpečnosti dodavatelského řetězce. Díky mechanismu získá stát nástroj k řízení vlastní závislosti na dodavatelích a bude schopen včas, systematicky a řízeně omezovat tuto závislost, která představuje strategickou hrozbu pro Českou republiku. Mechanismus je navržen jako součást návrhu zákona, protože inherentně navazuje na procesy a instituty v zákoně obsažené. Kybernetická bezpečnost a bezpečnost dodavatelského řetězce spolu úzce souvisejí. Přílohou návrhu zákona jsou také detailní teze prováděcích právních předpisů, které obsahují paragrafové znění návrhů vyhlášek.
Návrh zákona je komplexní úpravou kybernetické bezpečnosti, ale vyžaduje i novelizace souvisejících právních předpisů, například zákona o informačních systémech veřejné správy. Za tímto účelem byl zpracován doprovodný změnový zákon, tento je předkládán samostatně. Možná pan zpravodaj navrhne sloučení rozpravy k těmto návrhům. Uvidíme.
Kybernetická bezpečnost je v dnešní době klíčovým prvkem ochrany a prosperity našeho státu. Předkládaný návrh zákona je zásadní nejen pro udržení vysoké úrovně bezpečnosti České republiky, ale také z hlediska potvrzení pozice České republiky jako jednoho ze světových lídrů v oblasti kybernetické bezpečnosti, světových lídrů v oblasti kybernetické bezpečnosti. Při jeho tvorbě byly zohledněny jak zkušenosti NÚKIBu, tak zkušenosti ostatních orgánů státní správy, adresátů norem kybernetické bezpečnosti, ale takéširoké odborné i široké veřejnosti v rámci veřejných konzultací, které předcházely meziresortnímu připomínkovému řízení.
Závěrem mi dovolte zmínit, že návrhem zákona dochází k implementaci směrnice NIS2, u níž implementační lhůta uplyne 17. října. 2024. Na základě této skutečnosti je účinnost zákona navrhována na 18. října. 2024, protože zde existuje naléhavý obecný zájem spočívající v nutnosti zamezení či zmírnění škod, které vyplývají z nesplnění implementační lhůty předmětné směrnice. Dovolte mi tedy požádat Poslaneckou sněmovnu, aby měla při projednávání návrhu zákona a doprovodného změnového zákona tuto skutečnost na paměti. Děkuji vám za pozornost.
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane ministře, a nyní prosím, aby se slova ujal zpravodaj pro prvé čtení, poslanec Petr Letocha.
Poslanec Petr Letocha: Děkuji za slovo, vážená paní předsedající, vážení členové vlády, vážené kolegyně, vážení kolegové, předkládaný vládní návrh zákona o kybernetické bezpečnosti a s ním související návrh změnového zákona z pera Národního úřadu pro kybernetickou a informační bezpečnost byl Sněmovně předložen a poslancům rozeslán 25. července 2024 jako sněmovní tisk 759 a 760. Národnímu úřadu pro kybernetickou a informační bezpečnost bylo uloženo plánem legislativních prací vlády na rok 2023 zpracovat návrh zákona, který zajistí řádnou transpozici směrnice NIS2, a také návrh zákona, který bude upravovat posuzování bezpečnostní spolehlivosti dodavatelů informačních a komunikačních technologií do strategicky významné infrastruktury České republiky, takzvaný mechanismus prověřování bezpečnosti dodavatelského řetězce. S ohledem na rozsah úprav požadovaných směrnicí NIS2 přistoupil Národní úřad pro kybernetickou a informační bezpečnost ke splnění daných úkolů předložením návrhu nového zákona o kybernetické bezpečnosti, jehož součástí je i mechanismus prověřování bezpečnosti dodavatelského řetězce.
V současné době by již kybernetická bezpečnost neměla být vnímána jako vysoce technické téma týkající se úzkého okruhu specialistů a jako něco, co je řešeno jen na úrovni nejdůležitějších a pro stát nebo soukromý sektor nejvýznamnějších systémů. Z tohoto důvodu je kybernetická bezpečnost správně vnímána jako téma mající významný vliv na každodenní život, což mohou dokládat stále častější kybernetické útoky, které se projevují výpadky služeb či krádežemi údajů, anebo nedávný globální výpadek způsobený softwarovým updatem kyberbezpečnostní platformy společnosti CrowdStrike.
Výbor pro zahraniční věci, obranu a bezpečnost Senátu Parlamentu České republiky konstatoval na své 8. schůzi konané dne 9. května. 2023, že je stát v kybernetickém prostoru v přímém kontaktu s nejrůznějšími aktéry, kteří vůči němu vystupují nepřátelsky, a jeho bezpečnostní politika na tom musí reagovat. Dále konstatoval, že z hlediska národních zájmů zůstává prioritou zajistit bezpečnost České republiky, a to jednak v těsné spolupráci se spojenci v rámci NATO a EU, jednak ve spolupráci s dalšími partnery sdílejícími stejné hodnoty.
Toto vše reflektuje návrh zákona především tím způsobem, že zachovává a rozpracovává čtyři základní povinnosti uložené regulovaným osobám, kterými jsou hlášení kontaktních údajů, zavádění a provádění bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a provádění protiopatření. s ohledem na praktické zkušenosti a poznatky návrh zákona zavádí novou, pátou základní povinnost, kterou je stanovení rozsahu řízení kybernetické bezpečnosti. Kolem těchto pěti ústředních povinností jsou vystavena všechna ostatní ustanovení. Na poskytovatele těch nejstrategičtějších služeb pak v případě, že se jedná o dodávky významné z hlediska bezpečnosti navíc dopadá povinnost zjišťovat a evidovat informace o svých dodavatelích a hlásit je Národnímu úřadu pro kybernetickou a informační bezpečnost.
Původní zákon o kybernetické bezpečnosti byl postaven na principu minimalizace státního donucení, tedy že zákonná úprava nedopadá na veškeré subjekty, ale zaměřuje se pouze na ty, které mají zásadní význam v rámci České republiky. Věcný a osobní rozsah zákonné úpravy byl v rámci rozsahu povinností poměrně minimalistický a sledoval dosažení svého účelu za užití nejnižší možné míry právní regulace. Tento princip je na základě požadavku směrnice NIS 2 narušen a dochází k enormnímu nárůstu budoucích regulovaných subjektů. Přestože již není možné prohlásit, že je rozsah regulace v rámci České republiky minimalistický, snaží se návrh zákona zachovat princip minimalizace státního donucení v rámci daných limitů i nadále. Tento limit překračuje jen tam, kde takový požadavek plyne ze směrnice NIS 2 nebo kde je racionální a nutný k dosažení cíle, jako je tomu například v případě stanovení některých povinností pro povinné osoby nebo v případě mechanismu prověřování bezpečnosti dodavatelského řetězce, u něhož se jedná o národní úpravu, neboť v souladu s čl. 4 Smlouvy o Evropské unii otázky národní bezpečnosti nepodléhají evropské regulaci.
I v rámci mechanismu je patrná snaha minimalizovat státní zásah, a to zejména tím, že se vztahuje pouze na úzkou množinu vybraných subjektů s markantními dopady na fungování státu. Mechanismus prověřování bezpečnosti dodavatelského řetězce, který je součástí návrhu zákona, je pak odrazem národních požadavků na zvýšení bezpečnosti a snížení rizik plynoucích z netechnických aspektů zajišťování kybernetické bezpečnosti. Je zřejmé, že motivací některých dodavatelů, kteří mají původ zejména mimo Evropskou unii a NATO, nemusí být pouze vytváření ekonomického zisku a komerčního benefitu. Výrobky a technologie těchto dodavatelů mohou sloužit i jako nástroj pro prosazování určitých politických cílů a nemusí být vždy v souladu s našimi národními zájmy. Technická opatření či důkazy škodlivosti jsou pak na takový způsob působení nástroji nefunkčními.
Mechanismus prověřování bezpečnosti dodavatelského řetězce jako takový nemá doposud odraz v platné legislativě. V jistých aspektech je zčásti podobný úpravě zákona o prověřování zahraničních investic. Česká republika má jako členský stát Evropské unie povinnost transponovat směrnici NIS 2 do svého právního řádu, a to nejpozději do 18. října 2024. Jelikož byl návrh zákona důkladně konzultován nejen s dalšími orgány státní správy, ale i s odbornou a laickou veřejností při veřejných konzultacích, tak zde existuje reálné riziko, že transpoziční lhůta marně uplyne.
Dovoluji si na vás apelovat, vážené paní poslankyně a vážení páni poslanci, abyste tuto skutečnost při projednávání návrhu zákona o kybernetické bezpečnosti vzali na vědomí. Děkuji.
Místopředsedkyně PSP Věra Kovářová: Děkuji. A nyní otevírám obecnou rozpravu, do které je jako první přihlášen poslanec Zdeněk Kettner, a připraví se pan poslanec Marek Novák. Prosím, máte slovo.
Poslanec Zdeněk Kettner: Děkuji za slovo, paní předsedající. Tak k vládnímu návrhu zákona o kybernetické bezpečnosti by se dal použít takový příměr, jako že cesta do pekla je dlážděna dobrými úmysly nebo velice známé zabij bobra, zachráníš strom. Jedná se o soubor opatření, která povedou k zeurohujeření obsahu nejen na doménách registrovaných v České republice. Dále bude přenesena odpovědnost za obsah a také použité technologie pro přenos dat od výrobců, kteří takzvaně nepolíbili prsten, na poskytovatele připojení z jakékoliv služby.
EU a orgány v České republice budou diktovat, co smí nebo nesmí poskytovatel připojení použít. V případě takzvaného ohrožení se může blokovat jen pouhým rozhodnutím vlády obsah internetu až na 60 dní, cenzurovat obsah a cokoliv na sociálních sítích. Drakonické pokuty až 250 milionů nebo až 2 % obratu pro poskytovatele obsahu nebo připojení, co se nepodřídí cenzurnímu diktátu EU nebo podřízeného NÚKIBU. Do tohoto zákona jsou zřejmě zapojeny i zpravodajské služby a jejich různá nařízení. Implementace u směrnice je v tomto případě nepřijatelná. Jako takový zákon SPD rozhodně nepodpoří a jménem klubu SPD podávám návrh na zamítnutí. Děkuji.
Místopředsedkyně PSP Věra Kovářová: Ano, děkuji.
Zaznamenala jsem váš návrh na zamítnutí předloženého návrhu a nyní je na řadě pan poslanec Marek Novák, připraví se pan poslanec Robert Králíček. Prosím, máte slovo.
Poslanec Marek Novák: Já vám děkuji za slovo, paní místopředsedkyně. Kolegyně, kolegové. Určitě ano. Kybernetická bezpečnost je důležitá, je to problém. A tomuto zákonu se sice na půdě Sněmovny dnes věnujeme v tomto sále poprvé, nicméně už tady proběhlo mnoho seminářů, diskuzí, kulatých stolů, které upozorňovaly na některé problémy, nicméně ty problémy tak nějak nebyly vyslyšeny. Víceméně se nic nestalo i v rámci jednání a projednávání tohoto zákona, v rámci vlády to nebylo úplně tak, jak by si asi někteří představovali. Ale já když to svoje vystoupení, které chvíli bude trvat, takže jestli se někdo chcete občerstvit, máte čas, každopádně budu mít konkrétní případy a konkrétní věci, kterých se tento zákon dotýká, a třeba by se jich neměl dotýkat, a naopak věci, kterých se nedotýká a měl by se jich dotýkat.
My skutečně zákon o kybernetické bezpečnosti potřebujeme, nicméně to, co nám dorazilo z vlády, tak není to, co bychom tak úplně potřebovali, a troufám si znovu říci, protože jsem to opakoval na několika, mnoha seminářích, konferencích a podobně. Zásadní chyba, která se u tohoto zákona stala, je, že na základě směrnice NIS 2, kterou musíme na základě nařízení Evropské unie implementovat, a jasně, pojďme implementovat, vznikla právě ta ambice na základě transpozice směrnice udělat kompletně nový zákon.
A to asi je kámen úrazu toho všeho, co se kolem toho zákona asi tady na půdě Sněmovny nakonec bude dít.
A proč si myslím, že by to mělo být v jiné podobě, že ta současná podoba je doslova exploze administrativní zátěže pro firmy, obce i stát. Proč to říkám? Protože stát v něm jinými slovy říká, že chce tvrdě vymáhat, aby si kybernetickou bezpečnost řešila například i cukrárna. Nelžu. Přečtěte si pořádně, co vlastně máme schvalovat. Já jsem to udělal několikrát. A souhlasí se mnou mnoho dalších odborníků, kteří se kybernetické bezpečnosti věnují. Stát skutečně chce regulovat kybernetickou bezpečnost i cukrárny. Jak?Tak například v § 4 zákona je uvedeno, takzvané podmínky pro registraci regulované služby.
Jednou z regulovaných je právě i služba v odvětví energetiky a regulovanými subjekty jsou střední nebo velké podniky, tedy podniky nad 50,respektive 250 zaměstnanců. No a pokud chceme znát seznam služeb v onom odvětví energetiky, které bude regulované, tak se zase musíme podívat do vyhlášky. A když se podíváme do vyhlášky o regulovaných službách, tak zjistíme, že subjekt je regulovaný, pokud poskytuje třeba v oblasti energetiky službu výroba elektřiny. No a poskytovatele takové služby, jako je výroba elektřiny, definuje vyhláška jako držitele licence na výrobu elektřiny podle energetického zákona.
Takže takhle složitě vlastně dojdeme k tomu, kdo podléhá, no, a kdo je vlastně ten držitel licence na výrobu elektřiny podle energetického zákona. Kolik byste si tipli, že jich je? (Ministr Baxa mimo mikrofon: 27.) Je jich 28 tisíc, pane ministře. Ale měl jste nádherný přednes, tak jsem čekal, že budete s tímto číslem seznámen, protože jste mě přesvědčil, že víte, o čem mluvíte, ale máte hezký přednes, to vám musím pochválit. Jasně, že většina z těch 28 tisíc jsou malé firmy, fyzické osoby, na které ten zákon nejspíš nedopadne. Ovšem na druhou stranu drtivá většina velkých firem a zároveň velmi mnoho středních firem má i licenci na výrobu elektřiny podle energetického zákona. A proč ji má? No protože si na základě všech možných evropských i našich zelených pobídek a i na základě zkušeností z energetické krize pořídili na střechu nebo na svůj pozemek fotovoltaiku. No a díky téhle solární elektrárně se z nich stanou poskytovatelé regulované služby. A když to budou velké firmy, tak to budou poskytovatelé regulované služby v režimu vyšších povinností.
A kdo je zároveň velká firma a má na střeše fotovoltaiku? Znáte Marlenku? Já ano. Občas si ji dávám, nechci dělat úplně reklamu, ale proč ne. Je to výrobce medovníku, no, a ten bude muset plnit všelijaká organizační a technická opatření právě podle vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. Marlenka. No, a to vám pak ten dort v té puse pěkně zhořkne, že jo. A kdo ještě? Tak jsem ze Zlína, tak taková firma Tescoma, vyrábí hrnce a různé kuchyňské potřeby, zase abych je úplně neomezil v jejich produktovém portfoliu. No a jenom proto, že má na střeše fotovoltaiku, tak tam spadne taky. BANDI VAMOS; jejich obleky teda nenosím, ale je to společnost, která ty obleky šije, no, a spadne tam. Kloboucká lesní, taky od nás, to jsou lesáci a dřevaři. SIKO koupelny, sanitární technika. Bohemia Crystal, skvělá firma. Ti všichni budou regulované subjekty jenom proto, že jsou zároveň definováni jako výrobci elektřiny. Takže to jsou ty subjekty, skrze které může projít ta nebezpečná hrozba.
Vážně si myslí někdo, že pokud je výsledkem regulace kybernetické bezpečnosti, že 30 stránek povinností, které dosud musely plnit podniky jako ČEZ, strategické státní podniky jako Čepro, MERO nebo ČEPS a podobně, velké telekomunikační firmy nebo správci významných informačních systémů státu, dopadnou na výrobce dortů, skla nebo dřevaře? Já tedy ne.
A to není všechno. Je to, jako kdyby se NÚKIB snažil sabotovat váš český Green Deal, milí koaliční kolegové. Protože kdo myslíte, že je takzvaný provozovatel veřejně přístupné dobíjecí stanice podle zákona o pohonných hmotách, který je odpovědný za správu a provoz dobíjecí stanice? Jediné, co ta dobíjecí stanice vlastně dělá, tak je, že poskytuje službu dobíjení koncovým uživatelům, a to i jménem a na účet poskytovatele mobility. No, kromě klasických podezřelých, jako jsou ČEZ, E.ON, Innogy a podobně, které samozřejmě regulované budou, a to správně, tak to bude také plno autoservisů a autosalonů, kteří si instalovali dobíječky na své parkoviště. I ti tam spadnou. A taky třeba firmy jako SONNENTOR, což je výrobce čajů a bylinkových směsí. Tam skutečně je ta hrozba asi největší. Nebo třeba sociálně obecně prospěšné společnosti jako SKP Centrum v Pardubicích. I ti tam spadnou; jenom proto, že uvěřili v budoucnost elektromobility, si teď budou muset pořídit konzultanty na kyberbezpečnost. Stačí porovnat seznam dobíječek, který vede Ministerstvo průmyslu, a registr ekonomických subjektů ČEZu, a zjistíte, kolik jich je.
Já skutečně začínám chápat, proč bylo v připomínkovém řízení tolik výtek, proč nás všechny, ještě než se ten zákon projednal na Úřadu vlády, oslovovalo tolik lidí, tolik bezpečnostních techniků, protože prostě věděli, koho všeho, a naprosto nesmyslně a zbytečně, se tahle administrativní exploze dotkne. Dává vám to vlastně smysl? Já když jsem poslouchal jak pana ministra, tak pana zpravodaje, tak to, co říkali, mi smysl dávalo, ale je potřeba to vzít i v tom kontextu, na který tady upozorňuji, protože výsledkem regulace kybernetické bezpečnosti přece nemůže být nárůst byrokracie pro sociální pracovníky nebo výrobce čajů nebo cukráře, a to jenom proto, že mají fotovoltaiku nebo dobíjecí stanice. To prostě přece není možné.
Ten zákon je špatně navržený a je mi líto, že úřad při jeho projednávání neposlouchal Svaz průmyslu a dopravy, neposlouchal Hospodářskou komoru, neposlouchal Svaz měst a obcí a řadu a řadu dalších organizací, které na tyto chyby upozorňovaly a říkaly, že návrh prostě není dobrý a že je potřeba ho přepracovat. Vykašlali jste se na to. Proč? Ty organizace jasně říkaly, že není možné, aby o všem rozhodoval NÚKIB, že není možné všechno dávat jen do vyhlášek a zákon vlastně vyprázdnit a v takhle strategických věcech se zbavit politické odpovědnosti a nechat rozhodovat úřad.
To přece nejde. Protože co tu schvalujeme? Schvalujeme tady bianco šek pro úřad, NÚKIB. Ti za to nemůžou, ti to napsali, napsali to podle svého nejlepšího vědomí a svědomí a holt je potom na nás, abychom se s tím tady vypořádali. A je to o tom vlastně, že úřad si řekl, koho chce regulovat, a to je právě ta vyhláška o regulovaných službách. A my skutečně schvalujeme dneska bianco šek pro Národní úřad pro kybernetickou bezpečnost, aby si sám stanovil, jaké povinnosti budou regulované subjekty mít a za jejichž neplnění či špatné plnění jim budou hrozit pokuty až čtvrt miliardy korun nebo 2 procenta z celosvětového obratu. To je docela šupa, že. My tady schvalujeme bianco šek pro NÚKIB, aby si sám stanovil, které služby jsou strategické a u kterých bude jaké funkce kontrolovat; ještě přísněji v rámci takzvaného mechanismu bezpečnosti dodavatelského řetězce, jejichž dodavatele bude sám vyhodnocovat podle toho, jestli představují, a teď cituji: "možné hrozby pro bezpečnost České republiky, nebo vnitřní pořádek".
Ano, i tohle je práce NÚKIB, nicméně tady už narážíme na silné politické rozhodnutí a tohle přece nemůžeme nechat na úřadu, to nejde. Je to skutečně doslova vágní kritérium. Není to vůbec kogentní, protože do tohoto kritéria se vejde všechno a nic. Úřad si tak fakticky může vlastně vybrat, koho chce, kdo se mu líbí, kdo se mu nelíbí, a my s tím potom tady neuděláme vůbec nic. Jedině že bychom to potom znovu otvírali a řekli si - udělali jsme, vážení kolegové, chybu, nechali jsme zásadní rozhodnutí na úřadu. Vlastně jsem velmi rád, že do Sněmovny doputovaly i vyhlášky v podobě velmi podrobných návrhů, nikoliv jen právě obecných tezí, protože jsem se utvrdil v názoru, že takhle to tedy vůbec není možné dělat a je nutné tento koncept přepracovat.
Jak řekl zástupce NÚKIB na konferenci v Brně, tak můžu citovat, že vyhlášky jsou - a teď cituji: "Teze, aby zákonodárce mohl kvalifikovaně rozhodnout v rámci celého stavu." Tak pro mě to opravdu znamená, že touto cestou prostě jít nemůžeme, jednoznačně ne. Protože pokud je výsledkem návrhu to, že se reguluje kybernetická bezpečnost cukrárny nebo sociálního podniku, tak je něco špatně. Není to možné takzvaně opravit až v těch vyhláškách. To musíme my tady rozhodnout, jak to bude, protože ty vyhlášky dle mého z velké části vůbec nemají existovat. Má to být definováno v zákonu.
Není prostě možné udělat z jednoho úřadu super regulátora všeho, který si zvolí, koho bude regulovat a jak ho bude regulovat v podstatě sám. Věřte, že já proti NÚKIB nemám vůbec nic a věřím, že svoji práci dělají dobře. Ale teď už se bavíme o předložené legislativě a o jejích vadách. Skutečně si nemůžeme dovolit, aby tak zásadní věc ležela na úřadu a Sněmovna a vláda potom jen přihlížely, co ten úřad udělá. To prostě možné není. Ty mantinely musíme dát my tady ve Sněmovně, pokud to nebyla schopna udělat vláda ještě předtím, než se k nám dostal ten zákon. Znovu, vzpomeňte si, jakým způsobem tou vládou prošel. Pro mě nepochopitelně, nerozumím tomu. Nemůžeme se pak divit, že lidé jsou nespokojeni s politikou, když máme schvalovat zákony, kde pak o všem důležitém rozhodují právě úředníci. My tady přece máme nějakou zodpovědnost a neměli bychom se jich zbavovat, protože právě proto nás ti voliči volí.
Jako předseda podvýboru pro ICT, telekomunikace a digitální ekonomiku bych se chtěl věnovat ještě jedné důležité věci, a to je právě dopad na telekomunikační firmy. Zatímco ve všech ostatních odvětvích budou regulované jen střední a velké firmy, poskytovatelé služeb elektronických komunikací budou regulováni všichni. Když vám řeknu mobilní operátoři, vy si asi vybavíte tři a dost, ale ono je to trošku jinak. Jasně - T-Mobile, O2, Vodafone - velké firmy, které mají armády právníků a které to prostě zvládnou, a už dneska jsou na to připraveni, ti ano. Ale to je jen část trhu.
V oblasti pevného připojení k internetu tady máme podle dat Českého telekomunikačního úřadu přes 1 800 aktivních poskytovatelů internetu. Co vesnice a město, to operátor. Jsou tvrdou konkurencí pro ty velké. Právě díky nim máme zrovna třeba u nás ve Zlíně i čtyřikrát levnější optiku než v Bruselu. Je to právě díky této konkurenci. Řada z nich si dnes bude muset pořídit manažery kybernetické bezpečnosti, architekty kybernetické bezpečnosti, auditory kybernetické bezpečnosti a bůhví jaké další role k tomu, aby zvládli ty vyšší povinnosti, které jsou předdefinovány v zákoně. Ti menší pak budou muset plnit nižší povinnosti, ale i to je silně zatěžující pro malé firmy a mikrofirmy. Většina z lokálních operátorů jsou firmy o maximálně pěti lidech. Jak tito mají zvládnout ty nároky, které se na ně kladou, a hlavně proč to po nich stát chce?
Konkurence je u nás v této oblasti tak velká, že pokud by některý z lokálních operátorů utrpěl výpadek kvůli kybernetickému útoku nebo čemukoliv jinému, je možné ho dnes nahradit prakticky lusknutím prstu. Není to vůbec problém. Tak proč na ně ta regulace dopadá tak zásadně tvrdě?
Můžu avizovat, že zákon budeme probírat příští týden na dalším zasedání našeho podvýboru, kde jsem opravdu zvědavý na to, jaké budou definovány další reálné dopady na české podniky, na obce a kraje, protože i na to se budeme ptát.
Ještě k tomu, co bude asi nejdiskutovanější, právě k tomu mechanismu dodavatelského řetězce. Tam je logicky odpor největší, protože nikdo nechce dávat úřadu ke schválení své dodavatele. Já si myslím, že je správné, že stát bude mít nástroj k tomu, aby mohl víc kontrolovat kritickou infrastrukturu, nebo jak tomu říká zákon strategicky významnou infrastrukturu. Jenže opravdu je to zaměřené právě jen na tu strategicky významnou infrastrukturu?
Znovu se podívejme do zákona i do těch vyhlášek. NÚKIB to vše navrhl tak, aby kontroloval dodavatele všeho a všech. Když jste například velký operátor, úřad nechce kontrolovat jenom to, kdo vám dodává mozek té vaší sítě, ale i to, kdo vám dodá tu poslední anténu v té poslední vesnici. No, a připojení těch antén mimochodem řeší často velcí operátoři pronájmem od malých a ti malí tak budou také regulovaní, také bude stát zkoumat jejich dodavatele. To je ten řetězec. Je to fakt nutné? Myslím, že ne. Má o tom, který dodavatel bude zakázaný a který ne, rozhodovat úředník? Který dodavatel bude zakázaný a který ne? Je to o tom, aby tuhle pravomoc měl úředník? Ne, je to mnohdy politické rozhodnutí a tady musí převzít odpovědnost minimálně vláda. Pokud už řekneme, že z bezpečnostního hlediska někdo dodávat nesmí, tak prostě musí rozhodnout politik, nikdo jiný.
Třetí věc, dopad na obce. Je tu velký rozpor se Svazem měst a obcí. Ten se oprávněně bojí, že nebudou mít lidi ani peníze na to, aby zajistili povinnosti stanovené zákonem a říkají, že NÚKIB nijak nevysvětlil, proč chce vlastně regulovat i obce, když to směrnice ministerstva nevyžaduje. No, tady bychom si mohli říkat, jestli obce tam mají spadat, nebo nemají. Je to věc názoru. Nicméně kritická infrastruktura - při tom co se dnes děje, je potřeba, aby ty obce fungovaly. Z mého pohledu ano, ale na druhou stranu, kdo jim pomůže? Nikdo. Opět dostanou nařízení, budou muset ze zákona zřídit místa, zaplatit je a nikdo jim nepomůže. Kolik bude potřeba nových manažerů kybernetické bezpečnosti v regionech? To už víme? Máme je vůbec?
Nebude to regulace pro regulaci, má ji kdo vymáhat. Někde jsem slyšel, že potřeba bude až 5000 nových manažerů kybernetické bezpečnosti, aby zvládli požadavky všech subjektů na zavedení organizačních a technických a procesních opatření, které budou potřeba. Ale v důvodové zprávě jsem nenašel řešení, kdo vlastně vše, co tu máme odhlasovat, bude v těch obcích, nebo na krajích, nebo v různých obecních a krajských firmách, které do toho spadnou také, v nemocnicích, v městských teplárnách, městských vodovodech a kanalizacích a nevím, kde ještě, kdo to bude vlastně dělat?
Fakt si pojďme říct jasně, jaký bude reálný efekt tohoto zákona, kolik to bude stát, jakou organizaci a kdo konkrétně zařídí, kolik lidí má tu potřebnou odbornost a kolik jich bude potřeba dřív, než ten zákon schválíme. Tady bychom skutečně měli odhodit naše stranické dresy a jít do toho společně a společně s tím NÚKIBem, s podnikateli, s obcemi, s kraji, s ministerstvy, protože ten problém je napříč, ten problém se týká úplně všech a je úplně jedno, jaké tričko má dneska zrovna ten hejtman, radní, starosta, je to úplně fuk, všech se to dotkne úplně stejně a všichni to řeší.
Já jsem přesvědčený, že tento návrh sleduje bohulibý účel. Ale ta zvolená cesta dobrá jednoduše není.
Pokud to shrnu, tak bych určitě navrhoval a podpořil jakékoliv prodlužování lhůt nebo vracení, ale neudělám to. Neudělám to z jednoho prostého důvodu. My jednoznačně potřebujeme dobrý zákon o kybernetické bezpečnosti, my jednoznačně potřebujeme implementovat směrnici NIS2. Nicméně všechny vás, kolegyně, kolegové, prosím, pojďme se dohodnout, jak to změnit tak, aby to byl skutečně zákon, který řeší kybernetickou bezpečnost, řeší ji dobře a řeší ji tam, kde ji řešit má. Ne třeba v cukrárně.
Takže tohle je ode mě i jako předsedy podvýboru pro ICT atd. podaná ruka. Myslím si, že i můj kolega králíček, který vystoupí po mně, bude mít podobný návrh. Pojďme si sednout a pojďme to přepracovat my tady, ale hlavně nepouštějme to v té podobě, jaká je předložená. Děkuju vám za pozornost.
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Ještě než dám slovo panu poslanci Králíčkovi, který je přihlášen do obecné rozpravy, mám tu jednu přihlášku k faktické poznámce, s kterou se přihlásil pan poslanec Petr Letocha. Prosím, máte slovo.
Poslanec Petr Letocha: Děkuji za slovo. Já teda tady ve stručnosti zareaguju na pár věcí. Pak se s největší pravděpodobností přihlásím do klasické rozpravy, protože těch poznámek tady jde vícero.
Já bych chtěl teda jednak říct, abychom respektive to, v čem se shodneme tady s panem kolegou, je, že bychom měli skutečně odhodit stranická trička a pořešit tento zákon tak, aby ochránil informační a kritickou infrastrukturu České republiky, protože to si myslím, mělo by být pro nás všechny velmi důležité.
A teď, když bych měl namítnout na některé zde uvedené příklady, tak já si osobně myslím, že společnosti velikosti, které tady pan kolega zmiňoval, už kybernetickou bezpečnost řeší, a myslím si, že tu kybernetickou bezpečnost bychom měli dneska řešit všichni. To, že zákon nějakým způsobem ukládá základní mantinely, opravdu základní mantinely toho, co by mělo být součástí toho řešení, tak v podstatě je jenom o tom, že bychom měli těm, kteří ještě v tuto chvíli tu bezpečnost neřeší, říct alespoň to, na co by se soustředit měli.
Za všechny ještě tady chci podotknout ohledně těch obcí a měst, že by měli najmout nějaké specialisty, vůbec to tak není. Já potom ve své rozpravě tedy přečtu, co všechno bude povinností těch obcí, a jistě uvidíte, že toho není zase tolik a že na tuto funkci není třeba brát nějakého dalšího člověka, ale jednoduše je třeba na to někoho přiřadit. Takže jak říkám, já se ještě přihlásím do klasické rozpravy, kde rozvedu jednotlivé body, které jsem si tady poznačil, a abychom nalezli společnou řeč, tak bych chtěl, abychom opravdu tento zákon schválili a poslali dál, protože si myslím, že je pro nás velmi, velmi důležitý. Děkuji.
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. A nyní se přihlásila k faktické poznámce paní poslankyně Lenka Knechtová. Prosím, máte slovo.
Poslankyně Lenka Knechtová: Paní místopředsedkyně, děkuji za slovo. Já bych ráda zareagovala na slova pana poslance Letochy, vaším prostřednictvím. Já prostě nemůžu vydržet vždycky tady ten přístup, že se to někomu na úřadě přidá. Já bych vás chtěla, pane poslanče, ubezpečit, že jsem z ORP Tišnov. Každý úředník má plný pracovní úvazek a neví, kam dřív skočit. Takže jakákoliv agenda nebo jakýkoliv nápad, že bychom jim ještě něco přidali v těch úřednících, když pominu ty platy, tak vzbuzuje úplné zděšení, kdy to budou dělat. Děkuju za pozornost.
Místopředsedkyně PSP Věra Kovářová: Děkuji, paní poslankyně. Nyní do obecné rozpravy je přihlášen pan poslanec Robert Králíček, poté z místa pan poslanec Adamec. Prosím, máte slovo.
Poslanec Robert Králíček: Vážená paní předsedající, vážený pane ministře, kolegyně, kolegové. Asi by nikdo nečekal, že zákon o kybernetické bezpečnosti bude norma, která by měla budit nějaký rozruch. Kybernetická bezpečnost je přece věcí odborníků. Je to něco,o co se stará někdo jiný. Současně platný zákon o kybernetické bezpečnosti tehdy v roce 2014 prošel vcelku hladce s několika kosmetickými úpravami. Mimochodem, nikdo z poslanců, kteří k němu vystupovali, už ve Sněmovně není. Deset let je dlouhá doba v životě zákonodárce.
V tomto případě bych se vsadil, že to tak nebude. Ti z vás, kteří se kyberbezpečností zabývají, měli možnost v minulých měsících vidět poměrně zásadní odpor vůči mnoha ustanovením návrhu tohoto zákona. Zřídka se stane, že by šel na vládu zákon s tolika rozpory. Stačí odcitovat z předkládací zprávy.
Cituji: "Nadále i přes veškeré pokusy o vypořádání trvá rozpor u zásadních připomínek těchto připomínkových míst, jejichž připomínky mohou být v souladu s legislativními pravidly vlády předmětem rozporu. Asociace krajů, Svaz měst a obcí České republiky, Svaz průmyslu a dopravy České republiky a Český telekomunikační úřad." Konec citace.
A to není vše, protože další nesouhlas byl od Hospodářské komory a nad rámec subjektů běžně oslovených se ozvaly s nesouhlasem i výbor nezávislého ICT průmyslu a Český telekomunikační klastr.
Takže vláda v podstatě návrhem zákona v této podobě jde dál navzdory nesouhlasu reprezentantů vyšších územně správních celků i municipalit, reprezentantům velkých, středních, malých i nejmenších firem, reprezentantů malých a středních firem v oblasti telekomunikací a také dalšího ústředního orgánu státní správy, a to telekomunikačního regulátora ČTÚ.
Mimochodem mi to připomíná poslední dva měsíce diskutovaného digitalizace stavebního řízení. Tam šel taky někdo proti všem, a jak to dopadlo? Takže za mě docela zásadní nesoulad. Zvláště u vlády, jejichž některé strany ze sebe dělají reprezentanty podnikatelské sféry. Jsem sice opoziční poslanec, ale čekal bych od ní větší vnímavost k tomu, co říkají čeští podnikatelé. Myslím, že je dobře vidět, proč podnikatelé, ale i kraje a obce tuto podobu zákona nechtějí.
Já osobně považuji kybernetickou bezpečnost za velmi, opravdu velmi důležitou. Ale způsob, jak se uchopil návrh tohoto zákona, považuji, mírně řečeno za nešťastný.
Za prvé, v zákoně v podstatě skoro nic není. Vše důležité chce navrhovatel řešit pomocí vyhlášek. Toto řešení mu vytýkala celá řada připomínkových míst a myslím, že právem. To, že někdo bude, nebo nebude mít povinnost ze zákona, se dozví z vyhlášky. Úřad říká, že mu to dá potřebnou flexibilitu. Já říkám, že bychom měli hlavně regulovaným subjektům dát jistotu, o koho jde, a to, že bude v zákoně, nikoliv ve vyhláškách. Jde možná o nějakou principální neshodu v konstrukci toho zákona.
Za druhé, když si přečtete vyhlášky, tak v nich je celá řada povinností, desítky stránek pro subjekty, které budou mít vyšší nebo nižší povinnosti. V důvodové zprávě se uvádí, že povinných subjektů bude až 6 000. To je za mě podhodnocené číslo. Pravděpodobně jich podle současného znění vyhlášek bude klidně dvoj- či trojnásobek. A ti všichni budou potřebovat někoho, kdo jim zařídí soulad s novou regulací. Myslíte, že i firmy s nižší povinností tomu rozumí? Víte, kdo bude regulovaný subjekt? Jen aby bylo jasno, velikost podniku se měří podle evropského doporučení, takže velký podnik je ten, který má více než 250 zaměstnanců, střední víc než 50 zaměstnanců, plus plní obratová kritéria, což tyhle skoro všechny určitě budou.
Vždy jsem si myslel, že kybernetickou bezpečnost je třeba prosazovat na celé úrovni společnosti. Každá firma by měla mít zabezpečené své systémy, protože je to součástí jejího fungování a byznysu. Ale kybernetickou bezpečnost je třeba zásadním způsobem regulovat státem a kontrolovat na úrovni organizací, které jsou skutečně důležité pro chod státu, a nejenom jenom třeba o regionální pekárnu či cukrárnu.
A než mi budete říkat, že je to ve směrnici, takže musíme toto a nemusíme toto, ve směrnici v recitálech 81 a 82 je následující: aby se zabránilo nepřiměřené finanční a administrativní zátěži pro základní a důležité subjekty, měla by být opatření k řízení kybernetických, bezpečnostních rizik úměrná rizikům, kterým jsou dotčená síť a informační systémy vystaveny, s přihlédnutím k aktuálnímu stavu těchto opatření a případně k příslušným evropským a mezinárodním normám, jakož i k nákladům na jejich provádění. Opatření k řízení kybernetických bezpečnostních rizik by měla být úměrná míře vystavení základního nebo důležitého subjektu rizikům a společenskému a ekonomickému dopadu, který by měl incident. Při zavádění opatření k řízení kybernetických bezpečnostních rizik přizpůsobených pro základní a důležité subjekty by měla být náležitě zohledněna rozdílná expozice základních a důležitých subjektů rizikům, jako je kritičnost subjektu, rizika včetně společenských rizik, jimž je vystaven, velikost subjektu a pravděpodobnost výskytu incidentů a jejich závažnost včetně jejich společenského a ekonomického dopadu.
Takže vážně chtěl evropský zákonodárce, aby český zákonodárce schválil několik desítek až stovek podrobných pravidel pro pekárny, drogerie, obchodní centra a bůhví koho, co se jenom dotkne nějaké regulované služby? A proto musí být jasná definice toho, na koho zákon dopadne, v zákoně, a nikoliv ve vyhláškách. A musí být jasné, jaké povinnosti budou mít firmy tak, aby na ně nedopadla plná palba všeho jen proto, že se na nějakou regulovanou službu jen podívali. Není možné přistoupit na argumentaci, že to vyřešíme ve vyhláškách, nebo že vyhlášky budou mít své vlastní mezirezortní připomínkové řízení, které to vyjasní. Ne. My jsme tu od toho, abychom řekli, kdo bude regulovaný subjekt a jaká míra způsobu regulace se mu nastaví. To je naše role zákonodárců, nikoliv jakéhokoliv úřadu.
Můžeme řešit i onen mechanismus bezpečnosti dodavatelského řetězce. Je opravdu nutné, aby byl součástí tohoto zákona a zákon šel tak ještě víc a víc nad rámec evropské směrnice? Já naprosto chápu, že je potřeba hlídat, kdo bude dodávat do kritické infrastruktury. Ale opět očekávám, že regulace se bude týkat jen skutečně kritických částí sítě a bude tak levná a zacílená. Místo toho se tu navrhuje plošný mechanismus, u kterého sám úřad odhaduje, že bude prověřovat 150 subjektů ročně a bude zkoumat, zda nejsou hrozbou pro bezpečnost České republiky a její vnitřní či veřejný pořádek. A bude posuzovat i netechnické otázky, zda má například vliv na dodavatele třetí země. Vůbec nevím, proč toto má posuzovat úřad, v jehož gesci je kybernetická bezpečnost. Vůbec nevím, proč to má posuzovat nějaký úřad. To jsou přece geopolitické otázky. To je přece politické rozhodnutí.
Podívejte se na připomínky řady asociací. Tvrdily, že zákaz dodavatele, což je obrovský zásah do podnikatelských svobod, nemůže udělat referent jakéhokoliv úřadu vydáním opatření obecné povahy. Chtěl jsem říct referent v Brně, ale nebudu tady zbytečně... Protože jsem z Prahy, tak jsem to vynechal. Ale zpátky. Toto musí přece udělat vláda - stejně jak to dělá v případě zařazení nějakého subjektu na sankční seznam nebo v případě posuzování zahraniční investice podle zákona o posuzování zahraničních investic. Protože zákaz dodavatele je velmi, velmi podobný tomu, proč v některých případech chce stát zakázat zahraniční investice. Argumentuje se také úplně stejně: vliv třetí země, nedemokratický režim a tak dále a tak dále.
Vážení členové vlády nebo člene vlády (v sále je jen ministr Baxa), jsem samozřejmě opoziční poslanec, pro vaše programové prohlášení jsem nehlasoval a s vaším programem jsem nekandidoval. Ale pojďme si připomenout, s čím jste kandidovali a co jste si napsali do vašeho programového prohlášení. Tak například program SPOLU před volbami v roce 2021 v kapitole SPOLU pro chytrý stát: Konec byrokracie v Česku. Každá nová povinnost znamená zrušení dvou stávajících. Každý zákon se po pěti letech opraví nebo zruší. Tak tady bych chtěl vědět, jakou povinnost zrušíte přijetím tohoto zákona, který jen ve vyhlášce o regulovaných službách v režimu vyšších povinností přináší těch povinností pro celou řadu subjektů stovky. Nebo: Počet úředníků klesne o 13 %. Tak se podívejme do důvodové zprávy, co po nás chce vláda schválit. Náklady v personálních otázkách budou vyšší desítky tabulkových míst oproti aktuální koncepci rozvoje úřadu. Personální náklady bude potřeba alokovat především do kapacitního posílení služeb vládního CERT, především v otázkách řešení kybernetických bezpečnostních incidentů a jejich analýzy, pentestu (?) či skenu zranitelnosti, výkonu metodického řízení povinných osob lze očekávat, že v souladu s obsahem směrnice NIS2 budou pod regulaci návrhu zákona bude spadat také organizace s nižší úrovní kybernetické bezpečnosti a výkonu kontroly.
A to není všechno. Ten mechanismus bezpečnosti dodavatelského řetězce, o který se vedou asi největší spory, je také pěkným úřednickým monstrem. Poslechněte si, co si vláda schválila. Pokud jde o odbor centrální analytiky úřadu, v případě dosažení frekvence zhruba 150 prověřených ročně byla identifikována potřeba 18 referentů bezpečnosti státu, jednoho referenta sekretariátu a jednoho vedoucího pracovníka, tedy celkem 20 nových tabulkových míst. Co se týče odboru regulace úřadu, v případě dosažení frekvence zhruba 150 prověření ročně byla identifikována potřeba 13 referentů bezpečnosti státu, jednoho referenta sekretariátu a jednoho vedoucího pracovníka, tedy celkem 15 tabulkových míst. V případě zvýšení nároku na odbor kontroly úřadu formou rozšíření jeho pracovní činnosti a oblast kontroly dodržování relevantních povinností mechanismu prověřování bezpečnosti dodavatelského řetězce, tedy řádného nahlášení přímých dodavatelů bezpečnostně významné dodávky, vyvinutí přiměřeného úsilí k dozvědění se o nepřímých dodavatelích bezpečnostně významné dodávky, jejich následného nahlášení a dodržování opatření obecné povahy vydaných úřadem byla identifikována potřeba do roku 2027 rozšířit jeho kapacity o 10 %, tedy o čtyři tabulková místa pro referenty bezpečnosti státu.
Pokud dále jde o mechanismus prověřování bezpečnosti dodavatelského řetězce, v případě 150 prověření ročně platí, že v rámci Bezpečnostní informační služby bude pro zajištění nové agendy zapotřebí navýšit počet systémových míst o tři nová tabulková místa. Finanční analytický úřad pro účely plnění této agendy nárokuje tři nová tabulková místa. Plné a kvalitní zapojení Ministerstva průmyslu a obchodu do mechanismu na prověřování dodavatelů si vyžádá při očekávaném počtu 150 prověření ročně rovněž tři nová tabulková místa. Z důvodu současné naprosté kapacitní vytíženosti útvaru Ministerstva průmyslu a obchodu zodpovědného za prověřování zahraničních investic by tedy nová agenda mohla být vykonávána výhradně za podmínky jeho personálního posílení. Přijetím zákona současně vznikne potřeba personálního posílení dotčených útvarů Ministerstva vnitra, a to zejména v oblasti součinnosti při hodnocení naplnění kritérii nedůvěryhodnosti dodavatele, a to až o čtyři tabulková místa. - Tohle je přímá citace z důvodové zprávy k zákonu. Pokud pro něj zvednete ruku k přijetí, zvedáte ruku k přijetí 150 nových úředníků. Možná, že kdyby navrhovatel byl méně velkorysý v generování administrativní zátěže pro české firmy, nemuseli bychom potřebovat tolik lidí.
A pak se podívejme na některé body prohlášení vlády. Programové prohlášení: Budeme pokračovat ve snižování byrokratické zátěže firem a živnostníků. Nový zákon o kybernetické bezpečnosti představuje významnou zátěž firem, které budou muset plnit řadu nových povinností. Úřad připravil sérii vyhlášek, která na stovce stran obsahuje velmi podrobný postup, jak postupovat k zajištění kybernetické bezpečnosti. V některých sektorech, především v telekomunikacích, se dotknou pravidla i nejmenších lokálních operátorů s jednotkami zaměstnanců, kteří budou muset plnit pro ně významně náročné povinnosti ze zákona pod hrozbou likvidačních pokut.
Pokračujeme například: Zaměříme se na podporu malých a středních podniků. Nový zákon o kybernetické bezpečnosti donutí střední podniky a v odvětví telekomunikací i malé a mikropodniky nově plnit povinnosti z mnoha stran vyhlášek bez ohledu na to, zda jejich byznys je reálně nějak napadnutelný z kyberprostoru. Přísně regulované tak mají být třeba i sklady chemikálií nebo firmy, které staví na železnici.
Závěrem bych rád podotkl jednu trochu procedurální záležitost. Po připomínkovém řízení je nyní nový zákon o kritické infrastruktuře. Ten pro změnu vychází ze směrnice CER, tedy směrnice o odolnosti kritických subjektů. I ta přináší celou řadu povinností v oblasti fyzické bezpečnosti, což znamená odolnost vůči například teroristickým útokům, změně klimatu, živlům a tak dále. A v této směrnici je napsána následující věta - cituji: "S ohledem na vztah mezi fyzickou bezpečností a kybernetickou bezpečností kritických subjektů zajistí členské státy, aby tato směrnice a směrnice EU 2022/2555 byly prováděny koordinovaně." A já se ptám, jak koordinovaně jsou prováděny, když jsou od sebe, co se týče stupně připravenosti, tak zhruba půl roku vzdálené a jejich zpracovatelé se spolu zjevně zrovna moc nekoordinují? Určitě by bylo vhodné je projednávat zároveň, protože obojí je materie, která se týká bezpečnosti, a oba zákony by spolu měly hrát takový duet, což se zatím moc neděje.
Vážené kolegyně, vážení kolegové, myslím, že je před námi ještě hodně práce, a doufám, že v druhém čtení dojdeme k nějaké dohodě. Já bych určitě chtěl navrhnout, aby kromě zmíněných výborů to také projednal výbor pro veřejnou správu a regionální rozvoj, protože ty dopady na municipality kraje jsou poměrně zásadní. Děkuji za pozornost. (Potlesk poslanců ANO.)
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Nyní bude následovat s přihláškou do obecné rozpravy z místa pan poslanec Ivan Adamec. Prosím.
Poslanec Ivan Adamec: Vážená paní místopředsedkyně, kolegyně, kolegové, já snad velmi stručně k tomu, co jsem tady teď poslouchal celou dobu. A přiznám se, že se mi to neposlouchalo dobře, protože když vidím ty předpoklady, které ten návrh zákona přináší, co je potřeba naplnit a kolik budou stát tyhle věci, jak se to projeví v naší ekonomice, pro kterou každé zatížení je velmi problematické, protože dneska ten ekonomický růst je hodně na hraně a my potřebujeme ekonomický růst do budoucna. Na druhé straně ta kyberbezpečnost je nutnost, na tom se asi shodneme všichni. A teď je otázka, jak to provést?
Já si myslím, že to, co tady přichází z vlády, není úplně to pravé ořechové. Máme tady lhůtu 18. 10. letošního roku. To je šibeniční termín. A já to řeknu úplně otevřeně - to nestihneme, ani kdybychom chtěli. Berte legislativní proces jako celek. A kdybychom se tady s tím zdrželi - a stát se to může, tak než to doputuje do Senátu, případně pokud Senát pochopí a schválí sněmovní verzi k podpisu prezidenta, dání do sbírky, tak rozhodně ten datum nebude 18. října letošního roku. To si řekněme na rovinu.
A já si myslím, že pokud ta kyberbezpečnost nebude efektivní, nebude cílená, všechna ta plošná opatření podle mě jsou šílená. Na druhé straně když pak vidíte, co se může stát při těch útocích... Ještě jinak jsou ty dodavatelské řetězce, to vím o tom problému a tam to vidím úplně zoufale, protože si myslím, že je potřeba se ponořit do té odborné stránky věci. A kdyby se mělo naplnit podle toho návrhu to, co nám tady vláda předkládá, tak by to bylo velmi smutné pro naše operátory, a tím pádem i pro uživatele těch sítí. To prostě není zadarmo, tyhle věci, a zbytečně to prodražuje ty systémy. A já si myslím, že tady je velké podcenění toho problému.
Já si myslím, že můžeme tady deklarovat, že všichni chceme kyberbezpečnost, protože ty následky jsou děsivé kolikrát. Na druhé straně bychom měli hledat a opravdu najít cestu, kde tu kyberbezpečnost naplníme, zajistíme a zároveň za co nejnižších nákladů. Já to chápu, když tady slyším ty počty úředníků. A nikdo nechce tady zvyšovat byrokracii, tady se vlastně hádáme de facto o všem, co se týká byrokracie, jestli to tu byrokracii nějakým způsobem omezí, ale tohle jde přesně obráceným směrem. Na druhé straně je to aplikace směrnice, která občas nám přináší velké problémy. Ale já si myslím, že to je i o uchopení té směrnice, že většinu problémů si pak uděláme sami tím, kdo to napíše a jak to napíše.
A já bych byl rád, kdyby se nám podařilo - a za mnou taky chodí spousta lidí z oboru, odstranit spoustu těch věcí, které v tom zákoně jsou, protože ono nám vlastně toho moc nezbývá. Protože pokud řekneme, že chceme tu kyberbezpečnost mít v souladu s předpisy Evropské unie, tak pak musíme zatnout zuby a prostě vzít to na ty patřičné výbory, projednat to a prostě pokusit se to dát do stavu, že ty škody, které by to mohlo ekonomicky napáchat - a to není jenom o ekonomických škodách, to je i pak o uvědomění si, bych řekl, té stránky pro všechny účastněné toho trhu, jestli to nejsou zbytečně vynaložené peníze, to kazí morálku potom celé té společnosti, a to bych si velmi nepřál.
To znamená, jestli je tu shoda na tom, že bychom se to pokusili vyřešit, tak chci říct, že já už jsem projednával i s naším vedením, aby už z organizačního šlo přímo, že to chce i hospodářský výbor, protože opravdu tady je potřeba minimalizovat ty náklady, tam, kde to být nemusí, ať se to nedělá, opravdu stupeň té bezpečnosti je na různých místech různý a jenom prostě, že si, řekneme - všechno zajistíme, no, tak když všechno, tak draze a za velkých nákladů. Je potřeba, aby v tom byla efektivita, a to si myslím, že na tom hospodářském výboru můžeme posoudit. Nakonec kolega Marek je předseda podvýboru pro ICT, takže ten se tomu věnuje velmi.
Tak já bych vás moc poprosil, abyste nám to schválili i do hospodářského výboru. Vidíte, že to beru jako velmi vážnou věc, protože pokud se nám to nepodaří, tak ty následky nemusí být úplně dobré vzhledem k tomu dopadu na společnost, ať už finanční, nebo i morální. Děkuji vám za pozornost. (Potlesk poslanců ANO.)
Místopředsedkyně PSP Věra Kovářová: Děkuji. Pan zpravodaj se hlásí do rozpravy. Prosím, máte slovo.
Poslanec Petr Letocha: Děkuji. Teď bych se rád vyjadřoval jako poslanec, nikoliv jako zpravodaj, k návrhu zákona. Vzhledem k tomu, že jsem taky předsedou komise pro kontrolu činnosti NÚKIB a kybernetika je mi blízká, chtěl bych říct něco k těm věcem, které tady dneska již padly.
Ten základ jsem řekl, vidím pozitivní věc v tom, že chceme řešit kybernetickou bezpečnost, chceme řešit kritickou infrastrukturu a její zabezpečení. To jsou dobré zprávy.
Nicméně z těch (od?) předchozích předřečníků tady mohly vyplynout nějaké obavy, že to bude skutečně norma, která se dotkne desetitisíců společností - a není tomu tak. Já bych chtěl říct na tom příkladu cukrárny, která tady byla zmíněna, která by měla nějakou fotovoltaiku na své střeše - pokud by svým výkonem ovlivnila stabilitu přenosové soustavy, tak by se skutečně jí tato regulace dotýkala.
Pokud by tomu tak nebylo, tak v současné chvíli se NÚKIB snaží, aby vyhlášky, které obsahují, kdo má spadat do tohoto, by být snad již brzo neměla. A to je další věc, co tady i poukazoval pan kolega Králíček, že se jedná v podstatě o vyhlášky, nikoli o zákon jako takový - ale dneska tady řešíme zákon jako takový a o vyhláškách se teprve bude bavit, bude, teprve to jde do legislativního procesu, bude se k tomu vyjadřovat i Legislativní rada vlády. Takže řada těch vyhlášek se skutečně ještě dá pozitivně ovlivnit. Stejně tak jako například ta cukrárna, pokud by měla na střeše takovou sílu, že by mohla ohrozit stabilitu přenosové soustavy, což se možná ale všichni shodneme na tom, že v tu danou chvíli by měla být regulována.
A teď tedy k těm číslům. Skutečně se může jednat o minimálně 6 000 firem. Já se budu držet toho čísla 6 000, protože z těch 6 000 je zhruba 5 000 v takzvaném nižším režimu. Dále je tady nějakých 1 000 subjektů, které jsou ve vyšším režimu, a 150 subjektů, kterých se bude týkat ta bezpečnost dodavatelského řetězce. To znamená, část, o které tady kolega mluvil, o tom, do čeho může NÚKIB hovořit, tak se skutečně jedná o nějakých 150 subjektů. A já si tady dovolím přečíst jenom výčet toho, o co by se mělo jednat.
Jedná se o subjekty v energetice, jedná se o subjekty v letecké dopravě, v drážní dopravě, digitální infrastruktuře a - ano, i ti operátoři se do toho budou počítat. Uvědomme si, jakou mají úlohu operátoři v naší zemi: bez nich bychom dneska v podstatě nemohli telefonovat v jakékoli krizi, ať už jsou to povodně nebo jakákoliv jiná tornáda, tak bychom bez operátorů byli nahraní. A je třeba si říct, že my musíme jako stát zajistit dostupnost tohoto kritického řetězce, který nám jako státu pomáhá chránit obyvatele a chránit služby státu. Takže pojďme si říct, co je vlastně předmětem.
Pokud bychom se bavili o hlavních povinnostech v nižším režimu, tak do 60 dní od nabytí účinnosti zákona se musí nahlásit kontaktní a další údaje. Jednou. Dále do jednoho roku od nahlášení by měl ten kontrolovaný subjekt v nižším režimu stanovit rozsah řízení kybernetické bezpečnosti, definuje rozsah regulace v té organizaci. Zároveň by měli zavádět bezpečnostní opatření. Můžu vám říct, já jsem byl na řadě školení kybernetické bezpečnosti a možná byste se tomu nedivili, ale já jsem se tomu divil, jak lidé i třeba na úřadech - ale nejenom na úřadech, v jakékoliv společnosti hazardují, vysloveně hazardují se svými hesly. A heslo je dneska vstupenkou do něčeho, co by mělo být chráněno. To znamená, už i to, že si na úřadu řeknou, že je tady nějaká práce s hesly, kdy by měli splňovat nějaké základní podmínky, to je jedna z těch věcí, to je jedno z těch uvědomění, kdy ten úřad by si měl říct - ano, měla by tady být nějaká pravidla a tohleto je nějaké minimum, které nám tady NÚKIB doporučuje. To znamená, zavádět bezpečnostní opatření.
Dále by ale měli také hlásit kybernetické bezpečnostní incidenty, což je logické, protože na základě hlášení my jsme schopni potom identifikovat, anebo napomoci tomu, aby se to do budoucna nedělo.
V neposlední řadě - to se jedná zejména o společnosti - informovat zákazníky o incidentech a o hrozbách, které se jich dotkly, ať už se jedná o to, když je někomu vykradena databáze emailu. Pokud vy byste byli dotčeným klientem této společnosti, asi byste chtěli vědět, že někomu unikl váš email, možná nějaká vaše adresa, IP adresa a tak dále. Takže informovat zákazníky o incidentech a hrozbách. A samozřejmě provádět protiopatření. Antivirus je dneska snad úplně základ, ale těch protiopatření tady může být vícero. Plnit povinnosti z takzvaného mechanismu bezpečnosti dodavatelského řetězce se, jak už jsem zmínil, dotkne zhruba 150 firem v Česku, 150 firem, které, myslím si, už by to měly řešit dnes.
A teď k bezpečnostní dodavatelského řetězce bych chtěl říct, že tady padla poznámka, že si vlastně NÚKIB bude moci rozhodovat o všem a o všech a že by to neměl rozhodovat jenom NÚKIB. Tady chci říct, že to nebude rozhodovat jenom NÚKIB. Je tady celá řada subjektů, které do toho budou hovořit, ať už se jedná o Ministerstvo zahraničních věcí, Ministerstvo vnitra, Ministerstvo pro místní rozvoj, Ministerstvo financí, sektoroví regulátoři a samozřejmě zpravodajské služby. NÚKIB se mezi tyto samozřejmě počítá také. Je to opravdu dáno na to, abychom si tu svoji kritickou informační infrastrukturu ochránili.
A já se těším, že v druhém čtení se (tím) budeme podrobněji zabývat. Já už dneska nechci dále zdržovat a věřím, že nakonec skutečně najdeme cestu, jakým způsobem najít shodu i nad tímto zákonem. Děkuji za pozornost.
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Nyní s faktickou poznámkou je přihlášen Robert Králíček, poté pan poslanec Ivan Adamec a dále pan poslanec Král. Prosím, vaše dvě minuty.
Poslanec Robert Králíček: Vážená paní předsedající, já jenom, aby nedošlo k mýlce - pro pana zpravodaje. My se na tom shodujeme. A já jenom říkám: máme tu zákon o kritické infrastruktuře, ve kterém je § 14, kdy si Ministerstvo vnitra napsalo, že bude rozhodovat o tom, koho vyloučí a nevyloučí z dodávek pro kritickou infrastrukturu. My tady máme dva zákony, které jdou ruku v ruce, a vy jste to zmínil sám, že máme se zajímat o kybernetickou bezpečnost a kritickou infrastrukturu. Já tady říkám, že jenom podle mě chybně, že dnes probíráme jeden a za půl roku budeme probírat druhý. Protože až přijde do Sněmovny, tak ten § 14 je to samé, co ochrana dodavatelského řetězce nebo bezpečnost dodavatelského řetězce. Za prvé.
Za druhé, my jenom říkáme - a v tom se shodnu s kolegou Adamcem, jednak nám chybí obecně odborníci na kybernetickou bezpečnost - kdo těm malým firmám bude s tím pomáhat? Protože vy jste tu vyjmenoval nějaké procedury, které ta firma bude (dělat?), ale vezměte si, že to jsou opravdu mnohdy lidé z jiných oborů, kteří vůbec nemají jakoby potuchy, co by měli vyplňovat, jak by měli vyplňovat, o nějakém názvosloví. A oni z té vyhlášky to prostě nemusí pochopit. A budeme potřebovat lidi a my je nemáme, budeme je muset někde najít. Pro tu firmu to bude znamenat nějakou zátěž - a potom ta hrozba penalizace. Takže já souhlasím s tím, co říkal Ivan Adamec. My jenom říkáme, že bychom navíc chtěli ještě výbor pro veřejnou správu, protože ono to má stejné dopady i pro ty municipality. Mnohdy to jsou malé obce, které mají problém sehnat vůbec někoho na ten úřad, a my je nutíme k dalším, řekl bych, dovednostem, které tam prostě nebudou. A pokud tam je nějaká penalizace i pro ty obce, tak pro některé to může být i zásadní zásah do rozpočtu. Takže principiálně ano, ale my říkáme: pojďme ve druhém čtení diskutovat ještě ty věci, které nejsou vyřešeny.
Místopředsedkyně PSP Věra Kovářová: Děkuji za dodržení času. Nyní s faktickou poznámkou vystoupí pan poslanec Adamec, poté pan poslanec Král. Prosím, máte slovo.
Poslanec Ivan Adamec: Ano, já děkuji za slovo, paní místopředsedkyně. No, tak já jsem kdysi řídil de facto - nebo já jsem neřídil, řídil ho tajemník - úřad, který měl asi 250 zaměstnanců, a vím, jaký problém byla hesla do počítačů třeba nebo do pošty. Jako to je něco neuvěřitelného, když úřednice v různé věkové kategorii by měly měnit po čase své heslo, tak prostě nejsou toho schopny - to vám říkám úplně otevřeně. A technik, který tam zajišťuje provoz sítě, ten se uběhá, protože budou furt si vzpomínat na hesla, kde je mají - nebo si je napíše a dá si ho pod sklo. No, to je taky bezpečné. Ale to jsou takové drobnosti. Já jsem o tomhle mluvit nechtěl, jenom jsem si na to vzpomněl, když jste o tom hovořil, pane kolego, prostřednictvím paní předsedající.
Ale já jsem chtěl říct něco jiného. Tady pořád mluvíme o těch vyhláškách. A víte co? Vyhláška je přece podzákonná norma. A to, že se tím bude zabývat Legislativní rada vlády a bůhví kdo a všichni tamto, to je mi fakt úplně jedno. Co mně na tom vadí, že (důrazně) my se tím už nikdy nebudeme zabývat, jo? Ono to nesmí překročit jakoby rámec toho zákona. A tady je otázka, co je ten rámec toho zákona, jak to vůbec ten zákonodárce myslel a jak to ti právníci a jak to ti uživatelé si budou vykládat. A to je velmi nebezpečná věc!
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Nyní pan poslanec Král s faktickou poznámkou, poté pan poslanec Letocha. Prosím, máte slovo.
Poslanec Václav Král: Tak já navážu asi na oba předřečníky, protože když si vezmeme, že ten úřad kolegy Adamce potom začne jednoho dne vyrábět i elektřinu a bude agregován s dalšími tisíci výrobci z fotovoltaiky do jednoho výrobního bloku, tak v rámci komunitní energetiky by pak měl splňovat stejná kritéria, jako je ta velká, řekněme, energetická infrastruktura. A souhlasím s kolegou Adamcem, že je to problém o vymezení pole působnosti toho zákona a tomu bychom se měli věnovat. Koneckonců probírali jsme to opakovaně i na Komisi pro dohled nad NÚKIBem a musím říct, že v tom zákoně to úplně jako nečtu. Tak abychom se potom nedivili tomu, protože všichni víme, odkud pocházejí komponenty pro komunitní energetiku, to jsou ty fotovoltaické panely, baterie a tak dále, že jednoho dne prostě můžeme se dostat do problémů. Tak to bychom si tady skutečně měli říct.
A pak souhlasím i s kolegou Králíčkem v tom smyslu, že bychom jedním dechem při tomto zákoně se měli zamýšlet i nad nějakou definicí kritické infrastruktury, protože ne všechno, co se na první pohled jeví, že je kritickou infrastrukturou, tak dle zákona prostě je tomu přímo naopak. Takže skutečně je potřeba široce projednat tenhle zákon a tak, jak se sem dostal do Sněmovny, tak to není úplně optimální a měli bychom se tomu věnovat. Děkuju.
Místopředseda PSP Jan Bartošek: Vážené paní poslankyně, vážení páni poslanci, přeje pěkné odpoledne. Vyměnili jsme se v řízení schůze. Pokračujeme v obecné rozpravě další faktickou poznámkou, a tu má pan poslanec Petr Letocha. Prosím, máte slovo.
Poslanec Petr Letocha: Děkuji. Já už jenom velice krátce. Možná že to opravdu bude politické rozhodnutí, protože kolega Králíček tady zmínil, kdo bude těm obcím pomáhat. Kdo to tady bude zajišťovat, když to samotné obce neumí? My je nutíme k dovednosti, které tam prostě nebudou. A já se ptám, budeme tedy na kyberbezpečnost našich municipalit z tohoto důvodu rezignovat? To, že je v současné chvíli ta kyberbezpečnost na každé obci diametrálně odlišná, ještě neznamená, že bychom neměli my všichni zákonodárci trvat na tom, aby úplně základní minimum kybernetické bezpečnosti i na těch municipalitách bylo.
A jak jsem zmínil, nemyslím si, že by to měl být plný úvazek, nebo snad možná až jako nějaký částečný úvazek. Jsou to všechno věci, které nejsou až tak složité. Ano, jistě to nějakým způsobem zaměstná na určitou chvíli, ale myslím si, že to je čas, že ta investice toho času, který dá každá obec do své kybernetické bezpečnosti, je důležitá, a myslím si, že věnovat bychom se tomu měli.
To je můj poslední vstup do této debaty, ať dále nezdržuju. Děkuju za pozornost.
Místopředseda PSP Jan Bartošek: Já vám děkuji. Je zde další faktická poznámka, pan poslanec Robert Králíček. Prosím.
Poslanec Robert Králíček: Já nevím, vy mi podsouváte něco, co jsem neřekl. já jsem neřekl, že máme na něco rezignovat, ale když schvaluju zákon, tak přece bych měl jako zákonodárce vědět, jak ho naplnit. A jestliže rozšiřuju nějaké povinnosti na malé, střední firmy, malé obce, střední obce, kraje, tak přece musím vědět, jak to naplnit. Přece nedám zákon jenom proto, aby jako že byl, a kdo ho teda naplní? Tak vy mi říkáte, vy mi podsouváte, že říkáme, že na to máme rezignovat. Ne! Já kdybych vaší rétorikou, tak řeknu, já vás teda vyzývám jako vládního poslance, abyste zajistil dostatek kapacit, aby ty obce je měly. Prostě ta realita je taková, že ty odborníky nemá soukromá sféra, natož státní. Tak pokud připravuju zákon, tak bych v rámci toho zákona měl diskutovat s odbornou veřejností, jestli jsme schopni nějakým způsobem to zajistit. Ať už to bude za pomocí soukromého sektoru, či bez něj, nebo nějakou službu, nebo něčím takovým. Já jenom na to upozorňuju, aby to tady prostě nezapadlo. Řekla to kolegyně Knechtová, jistě to potvrdí i někteří možná starostové z vládní koalice. To přece není politická věc, to je prostě fakt.
Nám chybí odborníci. Vždyť koneckonců Ivan Bartoš chtěl ajťákům na městech přece přidávat. My jsme s kolegou Stržínkem, Navrátilem dávali pozměňovací návrh, aby ajťáci mohli dostávat 100 procent odměn. Prostě ty věci nemáme. A jestliže tady chceme dát zákon, který dává pokuty i těm městům a obcím, a poměrně vysoké, tak já jenom říkám, že bysme v první řadě měli všichni zajistit, aby jim to někdo mohl procesovat. To bylo jediné, co jsem řekl. Tak mi nepodsouvejte věci, který jsem neřekl.
Místopředseda PSP Jan Bartošek: Nepodsouvejte je mým prostřednictvím. Děkuji. Tak poprosím další faktické poznámky. Nejprve pan poslanec Marek Novák, potom paní poslankyně Lenka Knechtová. Prosím, máte slovo.
Poslanec Marek Novák: Děkuji za slovo. Já na pana zpravodaje Letochu. Ono to totiž asi mělo směřovat spíš ke mně, ty obce, protože jsem je tady zmiňoval. Ale je to jednoduché, pokud by se v připomínkovém řízení dostatečně řešila připomínka Svazu měst a obcí, tak se tady o tom nebavíme, my jenom říkáme to, co připomínkoval Svaz měst a obcí. A vy se divíte, že to tady zmiňujeme, protože té připomínce se prostě nikdo dostatečně nevěnoval. To je celé.
No a druhá věc o těch úřednících. Prosím vás, pane kolego, nevím, kde všude jste se věnoval bezpečnosti. Ale zapomeňte na to, že jakýmkoliv zákonem vyřešíte problém mezi klávesnicí a židlí. To nevyřešíte.
Místopředseda PSP Jan Bartošek: Tak já vám děkuji. I v tomto případě požádám, aby dle jednacího řádu se poslanci oslovovali prostřednictvím předsedajícího. (Poslanec Novák z místa: Omlouvám se.) V pořádku. Jen jsem to připomněl. Tak paní poslankyně Lenka Knechtová, faktická poznámka. Prosím.
Poslankyně Lenka Knechtová: Vážený pane předsedající, děkuji za slovo. Já bych chtěla znovu upozornit na tu rozpočtovou odpovědnost, protože my prostě ty finanční prostředky bychom si měli počítat v okamžiku, kdy zavádíme tyto nové postupy. Protože potom nám obce, a starostové v našich poslaneckých kancelářích argumentují s tím, že jenom přidáváme práce a bohužel na to nenavazujeme ty finanční prostředky. Takže já bych se také přimlouvala, aby se těm podnětům Svazu měst a obcí věnovala pozornost. Děkuju.
Místopředseda PSP Jan Bartošek: A já vám také děkuji. Ptám se, zda někdo další se hlásí do obecné rozpravy. Nikoho dalšího nevidím s přihláškou, v tom případě končím obecnou rozpravu a ptám se na závěrečná slova? Pan předkladatel? Prosím, pane ministře.
Ministr kultury ČR Martin Baxa: Děkuji za slovo, vážený pane místopředsedo, milé kolegyně, milí kolegové, já bezpochyby budu panu premiérovi tlumočit to, jakým způsobem tady ta debata běžela, jenom chci ujistit poslankyně a poslance o tom, že na vládě se tomuto tématu věnovala řekl bych velmi intenzivní pozornost, včetně některých těch aspektů, o kterých tady hovořili poslanci stran opozice i poslanci stran vládní koalice.
Ten návrh je podle našeho názoru velmi důležitý, bezpochyby je tady mnoho témat, o kterých můžeme detailně hovořit. Který se týká finančních nákladů, personálních nákladů, toho, kolika úředníků by se měl dotýkat a zda zajistit to financování, stejně tak počtů toho, kterých subjektů se to dotýká. Nad tím vším bezpochyby stojí velký národní a státní zájem, který v současné době znamená ochrana před kybernetickými útoky.
Měl-li bych s někým odborně polemizovat, tak bezpochyby bych odborně polemizoval s panem kolegou Kettnerem, který tady přednesl, bych řekl, velice expresivní, ale hluboce mylné předpoklady o tom, co tento zákon obsahuje. Předpokládám, že pak na výborech jiné expertky a jiní experti budou hovořit o třeba nějakých technických či dalších parametrech tohoto zákona se všemi těmi z vás, kteří tady přednesli svůj návrh. Děkuju.
Místopředseda PSP Jan Bartošek: Já vám děkuji, pane ministře. Ptám se pana zpravodaje. prosím, vaše závěrečné slovo..
Poslanec Petr Letocha: Děkuji. Já chci jenom říct, že v prvním čtení proběhl návrh na zamítnutí zákona a zároveň návrh na přikázání do výboru pro veřejnou správu a regionální rozvoj a hospodářského výboru. Děkuju.
Místopředseda PSP Jan Bartošek: Já vám děkuji. Než přistoupíme k hlasování, ještě přečtu omluvy. Na celý jednací den ze zdravotních důvodů se omlouvá pan poslanec Ondřej Benešík, od 16 hodin z pracovních důvodů se omlouvá pan poslanec Tomáš Helebrant, od 15 do 15.45 z pracovních důvodů se omlouvá pan poslanec Jan Kuchař, na celý jednací den ze zdravotních důvodů paní poslankyně Vladimíra Lesenská a na celý jednací den z pracovních důvodů pan poslanec Petr Sadovský.
Tak závěrečná slova zazněla a eviduji žádost o vaše odhlášení. Já vás odhlásím a požádám vás, abyste se přihlásili svými kartami.
V obecné rozpravě nepadl návrh na vrácení navrhovateli, ale padl návrh na zamítnutí od pana poslance Kettnera. Ten budeme hlasovat jako první. Počet poslankyň a poslanců v sále se ustálil.
A já zahajuji hlasování a ptám se, kdo je pro návrh na zamítnutí, ať zmáčkne tlačítko a zvedne ruku. Kdo je proti?
Je to hlasování s pořadovým číslem 109, přihlášeno je 128 poslankyň a poslanců, pro 11, proti 107. Tento návrh byl zamítnut.
Nyní se tedy budeme zabývat návrhem na přikázání výborům k projednání. Nejprve rozhodneme o přikázání garančnímu výboru.
Předsedkyně Poslanecké sněmovny svým rozhodnutím navrhla přikázat předložený návrh k projednání výboru pro bezpečnost jako výboru garančnímu. Ptám se, zda má (někdo) návrh na přikázání jinému výboru jako garančnímu? Nevidím takový návrh, v tom případě přistoupíme k hlasování.
Zahajuji hlasování a ptám se, kdo je pro, aby předložený návrh byl přikázán k projednání výboru pro bezpečnost jako garančnímu výboru, ať zmáčkne tlačítko a zvedne ruku. Kdo je proti tomuto návrhu?
Je to hlasování s pořadovým číslem 110, přihlášeno je 128 poslankyň a poslanců, pro 126, proti nikdo. Konstatuji, že tento návrh byl přikázán k projednání výboru pro bezpečnost jako garančnímu výboru.
Organizační výbor navrhl přikázat tento návrh hospodářskému výboru jako dalšímu výboru a v rozpravě pan poslanec Králíček navrhl přikázat tento tisk výboru pro veřejnou správu a regionální rozvoj. Ptám se, zda je zde návrh na přikázání ještě jiným výborům? Prosím, pan poslanec Novák.
Poslanec Marek Novák: Vzhledem k té proběhlé rozpravě a tomu sporu dodavatelský řetězec a podobně, určitě navrhuji ústavně-právní výbor a vzhledem k tomu, že se to týká také infrastruktury zdravotnické, tak navrhuji i zdravotní výbor.
Místopředseda PSP Jan Bartošek: Poznamenal jsem si. Prosím, pane poslanče.
Poslanec Josef Flek: Děkuju, pane předsedající. Jelikož se to týká hlavně bezpečnosti a obrany, tak bych chtěl tento bod zařadit i na výbor pro obranu. Děkuji.
Místopředseda PSP Jan Bartošek: Děkuji. Ptám se, zda je zde ještě nějaký další návrh přikázání jinému výboru? Takový návrh nevidím, v tom případě přistoupím k hlasování.
Nejprve tedy, tak jak navrhl organizační výbor, tak nejprve dám hlasovat o tom, abychom tento tisk přikázali hospodářskému výboru.
Zahajuji hlasování a ptám se, kdo je pro, ať zmáčkne tlačítka, zvedne ruku. Kdo je proti tomuto návrhu?
Hlasování s pořadovým číslem 111, přihlášeno je 128 poslankyň a poslanců, pro 123, proti 1. Konstatuji, že s návrhem byl vysloven souhlas.
Jako další je návrh pana poslance Králíčka - výbor pro veřejnou správu a regionální rozvoj.
Zahajuji hlasování a ptám se, kdo je pro, ať zmáčkne tlačítko a zvedne ruku. Kdo je proti tomuto návrhu?
Hlasování s pořadovým číslem 112, přihlášeno je 127 poslankyň a poslanců, pro 61, proti 6. S návrhem nebyl vysloven souhlas.
Jako další je ústavně-právní výbor.
Zahajuji hlasování a ptám se, kdo je pro přikázání tomuto výboru, ať zmáčkne tlačítka a zvedne ruku. Kdo je proti?
Hlasování s pořadovým číslem 113, přihlášeno je 128 poslankyň a poslanců, pro 57, proti 20. S návrhem nebyl vysloven souhlas.
Jako další je zde návrh přikázání zdravotnickému výboru.
Zahajuji hlasování a ptám se, kdo je pro, ať zmáčkne tlačítko a zvedne ruku. Kdo je proti tomuto návrhu?
Hlasování s pořadovým číslem 114, přihlášeno je 128 poslankyň a poslanců, pro 59, proti 14. S návrhem nebyl vysloven souhlas.
A jako poslední je zde návrh přikázat výboru pro obranu.
Zahajuji hlasování a ptám se, kdo je pro tento návrh, ať zmáčkne tlačítko a zvedne ruku. Kdo je proti tomuto návrhu?
Hlasování s pořadovým číslem 115, přihlášeno je 128 poslankyň a poslanců, pro 82, proti 3. S tímto návrhem byl vysloven souhlas.
Já tedy konstatuji, že dále tento návrh byl přikázán jednak hospodářskému výboru a potom výboru pro obranu k projednání. Vzhledem k tomu, že žádné další návrhy nezazněly, není o čem hlasovat, já končím projednávání tohoto bodu.
A otevírám další bod, a tím je
Aktualizováno 21. 11. 2024 v 11:21.