Korektura
(15.40 hodin)
: Nyní se budeme zabývat bodem
50.
Vládní návrh zákona o kybernetické bezpečnosti
/sněmovní tisk 759/ - prvé čtení
: Z pověření vlády předložený návrh uvede v zastoupení pan ministr, pan ministr Martin Baxa. Prosím, ujměte se slova.
Ministr kultury ČR Martin Baxa: Vážená paní první místopředsedkyně Poslanecké sněmovny, milé kolegyně, milí kolegové, v kontextu skutečnosti, že řada členů vlády, do jejichž gesce spadá problematika povodní, je v tuto chvíli na výjezdu v terénu v Moravskoslezském kraji, tak jsem byl požádán o předložení několika různých návrhů zákonů, sněmovních tisků, takže začínám tedy teď návrhem, který předkládám z pověření pana premiéra. Vláda předkládá Poslanecké sněmovně návrh zákona o kybernetické bezpečnosti a s tím související návrh změnového zákona.
Návrh zákona implementuje evropskou směrnici NIS2 do českého právního řádu. Návrh zákona obsahuje také právní úpravu mechanismu prověřování bezpečnosti dodavatelského řetězce u strategicky významných služeb, čímž je plněn úkol obsažený v usnesení bezpečnostní rady státu.
Předkládaný návrh zákona významně posiluje kybernetickou bezpečnost České republiky. Navazuje na stávající právní úpravu v oblasti kybernetické bezpečnosti a současně přináší i nové procesy, nástroje a zjednodušuje a zpřehledňuje právní úpravu. V návaznosti na požadavky směrnice NIS2 zákon počítá s nezbytným rozšířením okruhu povinných osob. Ochrana a fungování těchto organizací je v ekonomickém a celospolečenském zájmu jak na národní, tak na evropské úrovni. Podle výpočtů Národního úřadu pro kybernetickou a informační bezpečnost se návrh zákona bude týkat nejméně, nejméně 6000 organizací.
Hlavním cílem návrhu zákona je dosáhnout toho, aby tyto organizace prováděly základní preventivní opatření k posílení vlastní kybernetické bezpečnosti, ale i tím zvyšovaly celospolečenskou odolnost. Jedná se o klíčový krok předcházení, zjištění a zmírňování dopadů případných kybernetických bezpečnostních incidentů.
To, že je zajištění kybernetické bezpečnosti nezbytné, mimo jiné dokládají i data. Podle oslovené renomované nadnárodní pojišťovny náklady na pojistná plnění spojená s jedním kybernetickým útokem vycházejí průměrně na 11,7, milionu korun. 11,7 milionu korun. Proto by se prevenci měla věnovat každá organizace.
Pro zmírnění dopadů navrhované regulace návrh zákona obsahuje sadu minimálních povinností pro méně důležité organizace, čímž jim dává prostor pro adaptaci primárním nástrojem pro veškerou komunikaci ze strany povinných osob s Národním úřadem pro kybernetickou a informační bezpečnost bude portál NÚKIB jakožto jednotná platforma.
Základními principy navrhovaného řešení jsou skrze jeden komunikační systém dosáhnout maximální automatizace a samoobslužnosti vedoucí k redukci administrativní zátěže a zvýšení informovanosti všech povinných osob. Portál NÚKIB bude efektivní platformou pro trvalou spolupráci veřejné správy a soukromého sektoru na ochraně společného kybernetického prostoru. Národní úřad pro kybernetickou a informační bezpečnost tímto mimo jiné podporuje plnění programového prohlášení vlády v oblasti digitalizace. Stejně jako celý návrh zákona podporuje plnění programového prohlášení vlády v oblasti kybernetické bezpečnosti.
Návrh zákona dále obsahuje již zmíněnou právní úpravu mechanismu prověřování bezpečnosti dodavatelského řetězce. Díky mechanismu získá stát nástroj k řízení vlastní závislosti na dodavatelích a bude schopen včas, systematicky a řízeně omezovat tuto závislost, která představuje strategickou hrozbu pro Českou republiku. Mechanismus je navržen jako součást návrhu zákona, protože inherentně navazuje na procesy a instituty v zákoně obsažené. Kybernetická bezpečnost a bezpečnost dodavatelského řetězce spolu úzce souvisejí. Přílohou návrhu zákona jsou také detailní teze prováděcích právních předpisů, které obsahují paragrafové znění návrhů vyhlášek.
Návrh zákona je komplexní úpravou kybernetické bezpečnosti, ale vyžaduje i novelizace souvisejících právních předpisů, například zákona o informačních systémech veřejné správy. Za tímto účelem byl zpracován doprovodný změnový zákon, tento je předkládán samostatně. Možná pan zpravodaj navrhne sloučení rozpravy k těmto návrhům. Uvidíme.
Kybernetická bezpečnost je v dnešní době klíčovým prvkem ochrany a prosperity našeho státu. Předkládaný návrh zákona je zásadní nejen pro udržení vysoké úrovně bezpečnosti České republiky, ale také z hlediska potvrzení pozice České republiky jako jednoho ze světových lídrů v oblasti kybernetické bezpečnosti, světových lídrů v oblasti kybernetické bezpečnosti. Při jeho tvorbě byly zohledněny jak zkušenosti NÚKIBu, tak zkušenosti ostatních orgánů státní správy, adresátů norem kybernetické bezpečnosti, ale takéširoké odborné i široké veřejnosti v rámci veřejných konzultací, které předcházely meziresortnímu připomínkovému řízení.
Závěrem mi dovolte zmínit, že návrhem zákona dochází k implementaci směrnice NIS2, u níž implementační lhůta uplyne 17. října. 2024. Na základě této skutečnosti je účinnost zákona navrhována na 18. října. 2024, protože zde existuje naléhavý obecný zájem spočívající v nutnosti zamezení či zmírnění škod, které vyplývají z nesplnění implementační lhůty předmětné směrnice. Dovolte mi tedy požádat Poslaneckou sněmovnu, aby měla při projednávání návrhu zákona a doprovodného změnového zákona tuto skutečnost na paměti. Děkuji vám za pozornost.
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane ministře, a nyní prosím, aby se slova ujal zpravodaj pro prvé čtení, poslanec Petr Letocha.
Poslanec Petr Letocha: Děkuji za slovo, vážená paní předsedající, vážení členové vlády, vážené kolegyně, vážení kolegové, předkládaný vládní návrh zákona o kybernetické bezpečnosti a s ním související návrh změnového zákona z pera Národního úřadu pro kybernetickou a informační bezpečnost byl Sněmovně předložen a poslancům rozeslán 25. července 2024 jako sněmovní tisk 759 a 760. Národnímu úřadu pro kybernetickou a informační bezpečnost bylo uloženo plánem legislativních prací vlády na rok 2023 zpracovat návrh zákona, který zajistí řádnou transpozici směrnice NIS2, a také návrh zákona, který bude upravovat posuzování bezpečnostní spolehlivosti dodavatelů informačních a komunikačních technologií do strategicky významné infrastruktury České republiky, takzvaný mechanismus prověřování bezpečnosti dodavatelského řetězce. S ohledem na rozsah úprav požadovaných směrnicí NIS2 přistoupil Národní úřad pro kybernetickou a informační bezpečnost ke splnění daných úkolů předložením návrhu nového zákona o kybernetické bezpečnosti, jehož součástí je i mechanismus prověřování bezpečnosti dodavatelského řetězce.
V současné době by již kybernetická bezpečnost neměla být vnímána jako vysoce technické téma týkající se úzkého okruhu specialistů a jako něco, co je řešeno jen na úrovni nejdůležitějších a pro stát nebo soukromý sektor nejvýznamnějších systémů. Z tohoto důvodu je kybernetická bezpečnost správně vnímána jako téma mající významný vliv na každodenní život, což mohou dokládat stále častější kybernetické útoky, které se projevují výpadky služeb či krádežemi údajů, anebo nedávný globální výpadek způsobený softwarovým updatem kyberbezpečnostní platformy společnosti CrowdStrike.
Výbor pro zahraniční věci, obranu a bezpečnost Senátu Parlamentu České republiky konstatoval na své 8. schůzi konané dne 9. května. 2023, že je stát v kybernetickém prostoru v přímém kontaktu s nejrůznějšími aktéry, kteří vůči němu vystupují nepřátelsky, a jeho bezpečnostní politika na tom musí reagovat. Dále konstatoval, že z hlediska národních zájmů zůstává prioritou zajistit bezpečnost České republiky, a to jednak v těsné spolupráci se spojenci v rámci NATO a EU, jednak ve spolupráci s dalšími partnery sdílejícími stejné hodnoty. ***