Autorizováno, neprošlo jazykovou korekturou!
(15.50 hodin)
(pokračuje Petr Letocha)
Toto vše reflektuje návrh zákona především tím způsobem, že zachovává a rozpracovává čtyři základní povinnosti uložené regulovaným osobám, kterými jsou hlášení kontaktních údajů, zavádění a provádění bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a provádění protiopatření. s ohledem na praktické zkušenosti a poznatky návrh zákona zavádí novou, pátou základní povinnost, kterou je stanovení rozsahu řízení kybernetické bezpečnosti. Kolem těchto pěti ústředních povinností jsou vystavena všechna ostatní ustanovení. Na poskytovatele těch nejstrategičtějších služeb pak v případě, že se jedná o dodávky významné z hlediska bezpečnosti navíc dopadá povinnost zjišťovat a evidovat informace o svých dodavatelích a hlásit je Národnímu úřadu pro kybernetickou a informační bezpečnost.
Původní zákon o kybernetické bezpečnosti byl postaven na principu minimalizace státního donucení, tedy že zákonná úprava nedopadá na veškeré subjekty, ale zaměřuje se pouze na ty, které mají zásadní význam v rámci České republiky. Věcný a osobní rozsah zákonné úpravy byl v rámci rozsahu povinností poměrně minimalistický a sledoval dosažení svého účelu za užití nejnižší možné míry právní regulace. Tento princip je na základě požadavku směrnice NIS 2 narušen a dochází k enormnímu nárůstu budoucích regulovaných subjektů. Přestože již není možné prohlásit, že je rozsah regulace v rámci České republiky minimalistický, snaží se návrh zákona zachovat princip minimalizace státního donucení v rámci daných limitů i nadále. Tento limit překračuje jen tam, kde takový požadavek plyne ze směrnice NIS 2 nebo kde je racionální a nutný k dosažení cíle, jako je tomu například v případě stanovení některých povinností pro povinné osoby nebo v případě mechanismu prověřování bezpečnosti dodavatelského řetězce, u něhož se jedná o národní úpravu, neboť v souladu s čl. 4 Smlouvy o Evropské unii otázky národní bezpečnosti nepodléhají evropské regulaci.
I v rámci mechanismu je patrná snaha minimalizovat státní zásah, a to zejména tím, že se vztahuje pouze na úzkou množinu vybraných subjektů s markantními dopady na fungování státu. Mechanismus prověřování bezpečnosti dodavatelského řetězce, který je součástí návrhu zákona, je pak odrazem národních požadavků na zvýšení bezpečnosti a snížení rizik plynoucích z netechnických aspektů zajišťování kybernetické bezpečnosti. Je zřejmé, že motivací některých dodavatelů, kteří mají původ zejména mimo Evropskou unii a NATO, nemusí být pouze vytváření ekonomického zisku a komerčního benefitu. Výrobky a technologie těchto dodavatelů mohou sloužit i jako nástroj pro prosazování určitých politických cílů a nemusí být vždy v souladu s našimi národními zájmy. Technická opatření či důkazy škodlivosti jsou pak na takový způsob působení nástroji nefunkčními.
Mechanismus prověřování bezpečnosti dodavatelského řetězce jako takový nemá doposud odraz v platné legislativě. V jistých aspektech je zčásti podobný úpravě zákona o prověřování zahraničních investic. Česká republika má jako členský stát Evropské unie povinnost transponovat směrnici NIS 2 do svého právního řádu, a to nejpozději do 18. října 2024. Jelikož byl návrh zákona důkladně konzultován nejen s dalšími orgány státní správy, ale i s odbornou a laickou veřejností při veřejných konzultacích, tak zde existuje reálné riziko, že transpoziční lhůta marně uplyne.
Dovoluji si na vás apelovat, vážené paní poslankyně a vážení páni poslanci, abyste tuto skutečnost při projednávání návrhu zákona o kybernetické bezpečnosti vzali na vědomí. Děkuji.
Místopředsedkyně PSP Věra Kovářová: Děkuji. A nyní otevírám obecnou rozpravu, do které je jako první přihlášen poslanec Zdeněk Kettner, a připraví se pan poslanec Marek Novák. Prosím, máte slovo.
Poslanec Zdeněk Kettner: Děkuji za slovo, paní předsedající. Tak k vládnímu návrhu zákona o kybernetické bezpečnosti by se dal použít takový příměr, jako že cesta do pekla je dlážděna dobrými úmysly nebo velice známé zabij bobra, zachráníš strom. Jedná se o soubor opatření, která povedou k zeurohujeření obsahu nejen na doménách registrovaných v České republice. Dále bude přenesena odpovědnost za obsah a také použité technologie pro přenos dat od výrobců, kteří takzvaně nepolíbili prsten, na poskytovatele připojení z jakékoliv služby.
EU a orgány v České republice budou diktovat, co smí nebo nesmí poskytovatel připojení použít. V případě takzvaného ohrožení se může blokovat jen pouhým rozhodnutím vlády obsah internetu až na 60 dní, cenzurovat obsah a cokoliv na sociálních sítích. Drakonické pokuty až 250 milionů nebo až 2 % obratu pro poskytovatele obsahu nebo připojení, co se nepodřídí cenzurnímu diktátu EU nebo podřízeného NÚKIBU. Do tohoto zákona jsou zřejmě zapojeny i zpravodajské služby a jejich různá nařízení. Implementace u směrnice je v tomto případě nepřijatelná. Jako takový zákon SPD rozhodně nepodpoří a jménem klubu SPD podávám návrh na zamítnutí. Děkuji.
Místopředsedkyně PSP Věra Kovářová: Ano, děkuji.
Zaznamenala jsem váš návrh na zamítnutí předloženého návrhu a nyní je na řadě pan poslanec Marek Novák, připraví se pan poslanec Robert Králíček. Prosím, máte slovo.
Poslanec Marek Novák: Já vám děkuji za slovo, paní místopředsedkyně. Kolegyně, kolegové. Určitě ano. Kybernetická bezpečnost je důležitá, je to problém. A tomuto zákonu se sice na půdě Sněmovny dnes věnujeme v tomto sále poprvé, nicméně už tady proběhlo mnoho seminářů, diskuzí, kulatých stolů, které upozorňovaly na některé problémy, nicméně ty problémy tak nějak nebyly vyslyšeny. Víceméně se nic nestalo i v rámci jednání a projednávání tohoto zákona, v rámci vlády to nebylo úplně tak, jak by si asi někteří představovali. Ale já když to svoje vystoupení, které chvíli bude trvat, takže jestli se někdo chcete občerstvit, máte čas, každopádně budu mít konkrétní případy a konkrétní věci, kterých se tento zákon dotýká, a třeba by se jich neměl dotýkat, a naopak věci, kterých se nedotýká a měl by se jich dotýkat.
My skutečně zákon o kybernetické bezpečnosti potřebujeme, nicméně to, co nám dorazilo z vlády, tak není to, co bychom tak úplně potřebovali, a troufám si znovu říci, protože jsem to opakoval na několika, mnoha seminářích, konferencích a podobně. Zásadní chyba, která se u tohoto zákona stala, je, že na základě směrnice NIS 2, kterou musíme na základě nařízení Evropské unie implementovat, a jasně, pojďme implementovat, vznikla právě ta ambice na základě transpozice směrnice udělat kompletně nový zákon.
A to asi je kámen úrazu toho všeho, co se kolem toho zákona asi tady na půdě Sněmovny nakonec bude dít.
A proč si myslím, že by to mělo být v jiné podobě, že ta současná podoba je doslova exploze administrativní zátěže pro firmy, obce i stát. Proč to říkám? Protože stát v něm jinými slovy říká, že chce tvrdě vymáhat, aby si kybernetickou bezpečnost řešila například i cukrárna. Nelžu. Přečtěte si pořádně, co vlastně máme schvalovat. Já jsem to udělal několikrát. A souhlasí se mnou mnoho dalších odborníků, kteří se kybernetické bezpečnosti věnují. Stát skutečně chce regulovat kybernetickou bezpečnost i cukrárny. Jak?Tak například v § 4 zákona je uvedeno, takzvané podmínky pro registraci regulované služby. ***