Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti

Nový zákon o kybernetické bezpečnosti (dále jen „NZKB“),[1] který transponuje požadavky směrnice Evropského parlamentu a Rady (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (dále jen „NIS2“), přináší řadu významných změn v oblasti kyberbezpečnosti, přičemž v tomto článku se zaměříme na úvodní vhled, pokud se jedná o otázku určení povinných osob, resp. odvětví regulovaných novou právní úpravou. Jak je patrné již z míry pozornosti, která se nové právní úpravě v oblasti kybernetické bezpečnosti věnuje nejen v advokátních kruzích, je okruh povinných osob (neboli poskytovatelů regulovaných služeb) násobně větší než tomu bylo dosud[2], přičemž nová právní úprava přináší dvě kategorie povinných osob, resp. tomu odpovídající dva základní režimy povinností s přihlédnutím k míře strategické významnosti.

Dle NZKB je regulovanou službou služba, o které tak rozhodl Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) podle § 6 odst. 2 NZKB. NZKB fakticky rozlišuje dva samostatné úkony vedoucí k zařazení poskytovatele regulované služby do regulace, totiž ohlášení regulované služby poskytovatelem regulované služby a návazně registraci regulované služby ze strany NÚKIB. Ustanovení § 6 odst. 1 NZKB stanoví, že poskytovatel služby, který splňuje podmínky pro registraci regulované služby podle § 4 odst. 1 NZKB, je sám povinen tuto službu NÚKIB ohlásit pro účely vydání rozhodnutí o registraci regulované služby. NZKB tedy většinově vychází z principu tzv. samoidentifikace, kdy povinná osoba sama na základě vlastní analýzy ověří, zda pod regulaci spadá, či nikoliv. Z návrhu důvodové zprávy k § 6 NZKB přitom vyplývá, že ve většině případů půjde o jednoduše vyhodnotitelná binární kritéria (mnohdy vázána na držení licence nebo povolení k poskytování služby), nicméně v komplikovanějších případech bude možné využít podpůrných materiálů NÚKIB a ad hoc konzultací. Pokud poskytovatel posoudí, že služba, kterou poskytuje, splňuje podmínky pro registraci, musí pro účely vydání rozhodnutí o registraci regulované služby ohlásit tuto službu NÚKIB nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo.[3] Dle návrhu důvodové zprávy by měli poskytovatelé regulovaných služeb samoidentifikaci provést (či alespoň zahájit) nejlépe ihned po zveřejnění platného znění NZKB a příslušného prováděcího právního předpisu ve Sbírce zákonů, neboť zákonná 60denní lhůta pro ohlášení začne pro mnoho povinných osob běžet nabytím účinnosti NZKB. Samotnou registraci poté provádí NÚKIB.

Podmínky pro registraci regulované služby (jinými slovy podmínky, při jejichž naplnění má povinná osoba ohlašovací povinnost vůči NÚKIB) zákonodárce stanovil v § 4 odst. 1 NZKB následovně:

1. jde-li o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:

• veřejná správa a výkon veřejné moci,
• energetika,
• výrobní průmysl,
• potravinářský průmysl,
• chemický průmysl,
• vodní hospodářství,
• odpadové hospodářství,
• doprava,
• digitální infrastruktura a služby,
• finanční trh,
• zdravotnictví,
• věda, výzkum a vzdělávání,
• poštovní a kurýrní služby,
• obranný průmysl,
• vesmírný průmysl a

6. poskytovatel služby je středním nebo velkým podnikem ve smyslu doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků, nebo je významný pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice.

K provedení základního posouzení, zda jsou (kumulativně) naplněny výše uvedené podmínky dle písm. a) a b) lze také využít indikativní kalkulačky dostupné na portálu NÚKIB pod následujícím odkazem: https://portal.nukib.gov.cz/. Podrobnější informace k vymezení regulovaných služeb, jakož i k režimu povinností dále obsahuje návrh vyhlášky o regulovaných službách (prováděcí předpis k NZKB).

Bez ohledu na kritérium velikosti podniku či konkrétní odvětví jsou dále v § 5 NZKB stanoveny podmínky pro registraci regulované služby v případě organizací s klíčovou rolí pro fungování státu a jeho ekonomiky. Podmínky pro registraci regulované služby jsou splněny v případě, že:

1. jde o službu podle § 4 odst. 1 písm. a) NZKB a

• její poskytovatel je jediným poskytovatelem této služby v České republice a tato služba je zásadní pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice,
• narušení této služby by mohlo mít významný dopad na bezpečnost České republiky, vnitřní pořádek nebo život a zdraví,
• narušení této služby by mohlo vyvolat významná systémová rizika, zejména v odvětvích, kde by takové narušení mohlo mít přeshraniční dopad, nebo
• její poskytovatel je kvůli svému specifickému významu na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví, ve kterém působí, nebo typ služby, kterou poskytuje anebo pro jiná vzájemně propojená odvětví v České republice,

1. jde o službu, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob, a to prostřednictvím ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkové hodnoty nebo životního prostředí,
2. jde o službu, jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele v režimu vyšších povinností, nebo
3. jde o službu, jejíž poskytovatel je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu; v takovém případě je regulovanou službou služba odpovídající prvku kritické infrastruktury určenému u tohoto subjektu.

V případě registrace regulované služby dle § 5 NZKB nevzniká poskytovateli služby ohlašovací povinnost (srov. § 6 odst. 1 NZKB a contrario a § 6 odst. 3 NZKB, dle kterého řízení o registraci regulované služby splňující podmínky dle § 5 NZKB lze zahájit pouze z moci úřední). Dle důvodové zprávy bude s těmito osobami vedeno správní řízení o registraci regulované služby a NÚKIB obvykle bude informacemi potřebnými pro registraci sám disponovat, čímž však není dotčena povinnost povinné osoby nahlásit kontaktní údaje dle § 11 NZKB.

Vedle otázky naplnění podmínek pro registraci regulované služby je významná rovněž otázka, jaký režim povinností se na konkrétního poskytovatele vztahuje. Jak již bylo nastíněno v úvodu tohoto článku, NZKB nově u poskytovatelů regulovaných služeb rozeznává dva režimy, a to režim nižších a vyšších povinností (dikcí směrnice NIS2 se jedná o základní subjekty a důležité subjekty).[4] Dle NÚKIB je zavedení dvou režimů odrazem nového principu tzv. dvourychlostní kybernetické bezpečnosti, jehož cílem je ulehčit menším organizacím od přísných pravidel. Na organizace v režimu vyšších povinností jsou tak kladeny vyšší požadavky než na organizace v režimu nižších povinností.[5] Jeden poskytovatel regulovaných služeb přitom může být vždy pouze v jednom režimu bez ohledu na to, zda má např. několik služeb spadajících do režimu nižších povinností a jednu spadající do režimu vyšších povinností (spadá-li byť jediná služba do režimu vyšších povinností, uplatní se pro danou osobu tento režim). Odlišnosti jednotlivých režimů pak spočívají zejm. v rozsahu přijímaných bezpečnostních opatření ve smyslu § 14 NZKB, který v odst. 1 stanoví širší rozsah povinností pro poskytovatele regulovaných služeb v režimu vyšších povinností.

S ohledem na výše uvedené lze uzavřít, že pro určení povinné osoby, neboli poskytovatele regulované služby ve smyslu NZKB, je v prvé řadě významná samoidentifikace poskytovatele regulovaných služeb, který je při naplnění kritérií dle § 4 odst. 1 NZKB povinen provést ohlášení NÚKIB, a to v zákonné lhůtě 60 dnů ode dne, kdy ke splnění podmínek došlo, resp. v mnoha případech od nabytí účinnosti NZKB. Samotnou registraci poskytovatele regulované služby poté provádí NÚKIB, a to zejména na základě ohlášení povinné osoby, případně též z moci úřední. Z vyhlášky o regulovaných službách dále vyplývá, jaký režim (nižších či vyšších) povinností se na konkrétního poskytovatele regulovaných služeb vztahuje. Pro prvotní posouzení pro účely samoidentifikace je vhodné využít například kalkulačky dostupné na portálu NÚKIB, přičemž v případě závěru o tom, že služba není regulovaná, je žádoucí provést záznam o posouzení. Jak vyplývá z důvodové zprávy k § 6 NZKB, v komplikovaných případech je možné využít také ad hoc konzultací s NÚKIB. Neohlášení splnění podmínek pro registraci regulované služby je dle § 60 odst. 1 písm. a) NZKB přestupkem, za který lze uložit pokutu až do výše 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem (srov. § 60 odst. 7 písm. a) NZKB). Závěrem je na místě zdůraznit, že povinnost ohlášení se vztahuje i na adresáty, kteří byli povinnými osobami dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, tzn. i osoby povinné dle stávající právní úpravy musí provádět kroky vedoucí k registraci regulované služby dle NZKB (nedochází tak k automatickému „přechodu“).

Mgr. David Mareš, Ph.D.

advokát

Mgr. Milan Friedrich, LL.M.

advokát

MT Legal s.r.o., advokátní kancelář

[1] V době přípravy tohoto článku byl návrh nového zákona o kybernetické bezpečnosti stále v legislativním procesu (zaevidován jako sněmovní tisk č. 759). Autoři článku vycházejí z poslední verze návrhu zákona, která prošla tzv. druhým čtením v Poslanecké sněmovně, tj. návrh zákona do jeho přijetí a vyhlášení může doznat dílčích změn. Sněmovní tisk č. 759 dostupný zde: https://www.psp.cz/sqw/tisky.sqw?O=9&T=759.

[2] Důvodová zpráva k NZKB uvádí, že rozšíření počtu povinných osob oproti současnému stavu bude nejméně 15násobné.

[3] Pro případ, že osoba na základě vlastního posouzení dospěje k závěru, že podmínky pro registraci regulované služby nesplňuje, lze v souladu s návrhem důvodové zprávy k NZKB doporučit, aby o tom provedl relevantní záznam.

[4] V případě služby registrované rozhodnutím NÚKIB na základě splnění podmínek podle § 5 NZKB je její poskytovatel vždy v režimu vyšších povinností.

[5] https://portal.nukib.gov.cz/informace/legislativa/zakon-o-kyberneticke-bezpecnosti/okruh-rozdeleni-povinnych-organizaci