Korektura
(16.30 hodin)
Poslanec Robert Králíček: Za prvé, v zákoně v podstatě skoro nic není. Vše důležité chce navrhovatel řešit pomocí vyhlášek. Toto řešení mu vytýkala celá řada připomínkových míst a myslím, že právem. To, že někdo bude, nebo nebude mít povinnost ze zákona, se dozví z vyhlášky. Úřad říká, že mu to dá potřebnou flexibilitu. Já říkám, že bychom měli hlavně regulovaným subjektům dát jistotu, o koho jde, a to, že bude v zákoně, nikoliv ve vyhláškách. Jde možná o nějakou principální neshodu v konstrukci toho zákona.
Za druhé, když si přečtete vyhlášky, tak v nich je celá řada povinností, desítky stránek pro subjekty, které budou mít vyšší nebo nižší povinnosti. V důvodové zprávě se uvádí, že povinných subjektů bude až 6 000. To je za mě podhodnocené číslo. Pravděpodobně jich podle současného znění vyhlášek bude klidně dvoj- či trojnásobek. A ti všichni budou potřebovat někoho, kdo jim zařídí soulad s novou regulací. Myslíte, že i firmy s nižší povinností tomu rozumí? Víte, kdo bude regulovaný subjekt? Jen aby bylo jasno, velikost podniku se měří podle evropského doporučení, takže velký podnik je ten, který má více než 250 zaměstnanců, střední víc než 50 zaměstnanců, plus plní obratová kritéria, což tyhle skoro všechny určitě budou.
Vždy jsem si myslel, že kybernetickou bezpečnost je třeba prosazovat na celé úrovni společnosti. Každá firma by měla mít zabezpečené své systémy, protože je to součástí jejího fungování a byznysu. Ale kybernetickou bezpečnost je třeba zásadním způsobem regulovat státem a kontrolovat na úrovni organizací, které jsou skutečně důležité pro chod státu, a nejenom jenom třeba o regionální pekárnu či cukrárnu.
A než mi budete říkat, že je to ve směrnici, takže musíme toto a nemusíme toto, ve směrnici v recitálech 81 a 82 je následující: aby se zabránilo nepřiměřené finanční a administrativní zátěži pro základní a důležité subjekty, měla by být opatření k řízení kybernetických, bezpečnostních rizik úměrná rizikům, kterým jsou dotčená síť a informační systémy vystaveny, s přihlédnutím k aktuálnímu stavu těchto opatření a případně k příslušným evropským a mezinárodním normám, jakož i k nákladům na jejich provádění. Opatření k řízení kybernetických bezpečnostních rizik by měla být úměrná míře vystavení základního nebo důležitého subjektu rizikům a společenskému a ekonomickému dopadu, který by měl incident. Při zavádění opatření k řízení kybernetických bezpečnostních rizik přizpůsobených pro základní a důležité subjekty by měla být náležitě zohledněna rozdílná expozice základních a důležitých subjektů rizikům, jako je kritičnost subjektu, rizika včetně společenských rizik, jimž je vystaven, velikost subjektu a pravděpodobnost výskytu incidentů a jejich závažnost včetně jejich společenského a ekonomického dopadu.
Takže vážně chtěl evropský zákonodárce, aby český zákonodárce schválil několik desítek až stovek podrobných pravidel pro pekárny, drogerie, obchodní centra a bůhví koho, co se jenom dotkne nějaké regulované služby? A proto musí být jasná definice toho, na koho zákon dopadne, v zákoně, a nikoliv ve vyhláškách. A musí být jasné, jaké povinnosti budou mít firmy tak, aby na ně nedopadla plná palba všeho jen proto, že se na nějakou regulovanou službu jen podívali. Není možné přistoupit na argumentaci, že to vyřešíme ve vyhláškách, nebo že vyhlášky budou mít své vlastní mezirezortní připomínkové řízení, které to vyjasní. Ne. My jsme tu od toho, abychom řekli, kdo bude regulovaný subjekt a jaká míra způsobu regulace se mu nastaví. To je naše role zákonodárců, nikoliv jakéhokoliv úřadu.
Můžeme řešit i onen mechanismus bezpečnosti dodavatelského řetězce. Je opravdu nutné, aby byl součástí tohoto zákona a zákon šel tak ještě víc a víc nad rámec evropské směrnice? Já naprosto chápu, že je potřeba hlídat, kdo bude dodávat do kritické infrastruktury. Ale opět očekávám, že regulace se bude týkat jen skutečně kritických částí sítě a bude tak levná a zacílená. Místo toho se tu navrhuje plošný mechanismus, u kterého sám úřad odhaduje, že bude prověřovat 150 subjektů ročně a bude zkoumat, zda nejsou hrozbou pro bezpečnost České republiky a její vnitřní či veřejný pořádek. A bude posuzovat i netechnické otázky, zda má například vliv na dodavatele třetí země. Vůbec nevím, proč toto má posuzovat úřad, v jehož gesci je kybernetická bezpečnost. Vůbec nevím, proč to má posuzovat nějaký úřad. To jsou přece geopolitické otázky. To je přece politické rozhodnutí.
Podívejte se na připomínky řady asociací. Tvrdily, že zákaz dodavatele, což je obrovský zásah do podnikatelských svobod, nemůže udělat referent jakéhokoliv úřadu vydáním opatření obecné povahy. Chtěl jsem říct referent v Brně, ale nebudu tady zbytečně... Protože jsem z Prahy, tak jsem to vynechal. Ale zpátky. Toto musí přece udělat vláda - stejně jak to dělá v případě zařazení nějakého subjektu na sankční seznam nebo v případě posuzování zahraniční investice podle zákona o posuzování zahraničních investic. Protože zákaz dodavatele je velmi, velmi podobný tomu, proč v některých případech chce stát zakázat zahraniční investice. Argumentuje se také úplně stejně: vliv třetí země, nedemokratický režim a tak dále a tak dále.
Vážení členové vlády nebo člene vlády (v sále je jen ministr Baxa), jsem samozřejmě opoziční poslanec, pro vaše programové prohlášení jsem nehlasoval a s vaším programem jsem nekandidoval. Ale pojďme si připomenout, s čím jste kandidovali a co jste si napsali do vašeho programového prohlášení. Tak například program SPOLU před volbami v roce 2021 v kapitole SPOLU pro chytrý stát: Konec byrokracie v Česku. Každá nová povinnost znamená zrušení dvou stávajících. Každý zákon se po pěti letech opraví nebo zruší. Tak tady bych chtěl vědět, jakou povinnost zrušíte přijetím tohoto zákona, který jen ve vyhlášce o regulovaných službách v režimu vyšších povinností přináší těch povinností pro celou řadu subjektů stovky. Nebo: Počet úředníků klesne o 13 %. Tak se podívejme do důvodové zprávy, co po nás chce vláda schválit. Náklady v personálních otázkách budou vyšší desítky tabulkových míst oproti aktuální koncepci rozvoje úřadu. Personální náklady bude potřeba alokovat především do kapacitního posílení služeb vládního CERT, především v otázkách řešení kybernetických bezpečnostních incidentů a jejich analýzy, pentestu (?) či skenu zranitelnosti, výkonu metodického řízení povinných osob lze očekávat, že v souladu s obsahem směrnice NIS2 budou pod regulaci návrhu zákona bude spadat také organizace s nižší úrovní kybernetické bezpečnosti a výkonu kontroly.
A to není všechno. Ten mechanismus bezpečnosti dodavatelského řetězce, o který se vedou asi největší spory, je také pěkným úřednickým monstrem. Poslechněte si, co si vláda schválila. Pokud jde o odbor centrální analytiky úřadu, v případě dosažení frekvence zhruba 150 prověřených ročně byla identifikována potřeba 18 referentů bezpečnosti státu, jednoho referenta sekretariátu a jednoho vedoucího pracovníka, tedy celkem 20 nových tabulkových míst. Co se týče odboru regulace úřadu, v případě dosažení frekvence zhruba 150 prověření ročně byla identifikována potřeba 13 referentů bezpečnosti státu, jednoho referenta sekretariátu a jednoho vedoucího pracovníka, tedy celkem 15 tabulkových míst. V případě zvýšení nároku na odbor kontroly úřadu formou rozšíření jeho pracovní činnosti a oblast kontroly dodržování relevantních povinností mechanismu prověřování bezpečnosti dodavatelského řetězce, tedy řádného nahlášení přímých dodavatelů bezpečnostně významné dodávky, vyvinutí přiměřeného úsilí k dozvědění se o nepřímých dodavatelích bezpečnostně významné dodávky, jejich následného nahlášení a dodržování opatření obecné povahy vydaných úřadem byla identifikována potřeba do roku 2027 rozšířit jeho kapacity o 10 %, tedy o čtyři tabulková místa pro referenty bezpečnosti státu. ***