6
Blíží se provedení NIS 2 do českého práva
Mgr. Mgr. Radana Burešová
Vláda na konci července 2024 předložila poslanecké sněmovně návrh zákona o kybernetické bezpečnosti, projednávaný jako sněmovní tisk č. 759, a dále návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti (sněmovní tisk č. 760), čímž se příprava tohoto zákona, který je nezbytný k provedení směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2), posunula do závěrečné fáze.
Oba zmiňované návrhy jako datum vstupu v účinnost uvádějí 18. říjen 2024, což je nejzazší termín stanovený směrnicí. Vzhledem k tomu, že návrhy jsou teprve projednávány ve výborech, resp. jsou k nim ve výborech připravovány pozměňovací návrhy, je toto datum vstupu v účinnost zcela nereálné a jako ne zcela pravděpodobný se jeví i vstup v účinnost ke dni 1. ledna 2025, z něhož vychází Národní úřad pro kybernetickou bezpečnost (NÚKIB).
Oproti původnímu návrhu předloženému NÚKIB došlo k určitému zjednodušení ve prospěch povinných subjektů a s ohledem na četné pozměňovací návrhy lze očekávat, že k některým zjednodušením ještě dojde, i když patrně ne v prosazovaném rozsahu, jelikož zákonodárce je limitován směrnicí.
Aktuální znění zákona o kybernetické bezpečnosti částečně zmírnilo původní koncepci sebeidentifikace a odpovědnosti za ni. Subjekty, na které se nová právní úprava bude vztahovat, budou povinny do 60 dní od splnění podmínek stanovených pro danou službu (poprvé tedy do 60 dní po nabytí účinnosti zákona) tuto skutečnost ohlásit NÚKIB, dále již však bude na NÚKIB, aby rozhodl, zda tomu tak skutečně je a vydal rozhodnutí o registraci. V případě, že NÚKIB skutečně rozhodne o registraci, bude povinný subjekt povinen oznámit mu do 30 dnů od doručení tohoto rozhodnutí stanovené údaje. Od doručení uvedeného rozhodnutí také začne běžet roční lhůta, která je v řadě případů poskytnuta za účelem splnění požadavků stanovených zákonem, např. pro zavedení příslušných bezpečnostních opatření.
Veškeré ohlašovací povinnosti vyplývající ze zákona se přitom budou plnit výlučně elektronicky, prostřednictvím formulářů na novém Portálu NÚKIB, do kterého se bude přistupovat pomocí přidělených přihlašovacích údajů.
Prvotní neohlášení služby NÚKIB však bude přestupkem, za který bude možno udělit pokutu do výše 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem podle čl. 101 a 102 Smlouvy o fungování Evropské unie, jehož je přestupce součástí, za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší.
NÚKIB na svých webových stránkách zpřístupnil "kalkulačku", která má usnadnit určení, zda daný subjekt bude spadat do působnosti nového kybernetického zákona ( https://portal.nukib.gov.cz/ dole). Aby bylo možno tento nástroj využít, je si nejprve třeba ujasnit (s výjimkou orgánů veřejné zprávy) velikost daného podniku. V tomto ohledu je rozhodné doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků, jehož české znění bylo vyhlášeno ve Sbírce zákonů jako sdělení Ministerstva průmyslu a obchodu č. 5/2023 Sb. o vyhlášení českého znění doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků. Podle navrhovaného znění zákona o kybernetické bezpečnosti se však toto doporučení nemá uplatnit v plném rozsahu, nýbrž s následujícími výjimkami:
1. čl. 3 odst. 4 doporučení se neuplatní,
2. za podnik se nepovažují organizační složky státu, územní samosprávné celky a Česká národní banka,
3. za…