/steno záznam při projednávání novely/
Dobré dopoledne, já bych vás ráda seznámila s projednáváním této novely na našem výboru. Náš výbor 17. května svým 48. usnesením doporučil Senátu schválit projednávaný návrh zákona ve znění postoupeném Poslaneckou sněmovnou, určil mě zpravodajkou. Ráda bych okomentovala průběh projednávání u nás na výboru pro veřejnou správu.
V podstatě, tak jak tady bylo řečeno, jde o transpozici novely EU, s tím, že bych ráda ještě okomentovala průběh projednávání v Poslanecké sněmovně, že tam skutečně je velká změna, že v uvozovkách pouhým pozměňujícím návrhem vzniká nový úřad. Nicméně, bylo to většinou Poslanecké sněmovny odsouhlaseno, myslím, že ze 168 přítomných hlasovalo pro 161, jak tady již pan ministr řekl, je pro to skutečně široká vládní podpora.
Náš senátní legislativní odbor měl dvě připomínky k tomu zákonu. Jedna byla duplicita sankčních ustanovení, které nebyly v novele dobře provázány. Nicméně jsme si vyříkali to, že vlastně ty sankce jsou až jedním z úplně posledních několika nástrojů, které by byly používány. Takže jsme dospěli k názoru, že by to nemělo vadit při přijetí této novely.
Pokud jste četli připomínky legislativy, tak můžu říct, že u nás na výboru byly probrány a shledány, že nejsou tak významné.
Chtěla bych se zastavit právě u toho vzniku nového úřadu. Mě to velmi zajímalo a proto jsem se s NBÚ sešla. Možná vám přijde to, že vzniká tímto způsobem nový úřad, trošku jako podivné. Zase máme nový úřad… Ale já jsem tady chtěla říct, že jsem přesvědčená, že ho skutečně potřebujeme, protože asi se nemusíme o tom bavit, jak kybernetická bezpečnost je pro nás důležitá. V podstatě my jsme na kyberprostoru závislí, je na tom závislá naše vláda, armáda, finanční instituce, energetika atd. A přicházejí i nové technologie, které s sebou nesou nové možnosti nějakých rizik.
Řeknu příklad, třeba elektronizace zdravotnictví. Určitě jste zaznamenali poslední velký kybernetický útok na zdravotnictví v Anglii. Já jsem tady jenom chtěla vystoupit na podporu, že ten Národní úřad pro kybernetickou bezpečnost potřebujeme. Chtěla jsem vás ještě informovat o tom, že ten tým, který teď je v rámci NBÚ, který má být vlastně základem personálním pro vznik nového úřadu, tak je to opravdu špičkový tým na evropské úrovni. V rámci celoevropského cvičení se tento tým účastnil připravenosti na kybernetické útoky. A zvítězili v celé Evropě. Dokonce nad takovým fenoménem elektronizace veřejné správy, jako je Estonsko.
Takže já jsem přesvědčena, že tento úřad potřebujeme. A ještě je důležité říct, že ty subjekty, které teď budou zařazeny pod jejich… Třeba bankovnictví, zdravotnictví, to znamená některé nestátní organizace, tak jsem i přesvědčena, že by jim v důsledku tento úřad mohl přinést úsporu jejich nákladů, protože oni nejen že budou řídit přípravu nebo budou metodicky připraveni na různé kyberútoky, budou různě sledovat, ale budou i těmto subjektům poskytovat různé služby, návrhy o tom, jak se můžou tyto subjekty bránit, různé audity, konzultace atd. Takže určitě je ten úřad potřebný.
Doporučuji tedy se řídit usnesením našeho výboru. Děkuji
Zpravodajská zpráva
k vládnímu návrhu zákona, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů
Senátní tisk č. 114 (Tisk PS č. 984)
- Obecně
Zákon o kybernetické bezpečnosti byl přijat v roce 2014 a byl zatím pouze jednou novelizován. Hlavním důvodem pro přijetí bylo zajištění bezpečnosti informačních systémů a komunikačních sítí nezbytných pro chod státu při současné prudce vzrůstající míře závislosti společnosti a jejího fungování na informačních technologiích
Předkládanou novelu zákona vypracovali zástupci Národního bezpečnostního úřadu (NBÚ) ve spolupráci s odbornou veřejností a věcně příslušnými ministerstvy. Jedná se zejména o transpozici směrnice EU[1], jejíhož řádného provedení je NBÚ gestorem. Směrnice má za cíl zvýšit a sjednotit standard bezpečnostních sítí informačních systémů, na nichž je dnes do značné míry závislé fungování celé naší společnosti a hospodářství. Hlavním cílem novely je odstranit mezery mezi národní úpravou a požadavky plynoucími ze směrnice EU a pod režim zákona o kybernetické bezpečnosti vztáhnout i doposud neregulované subjekty, jejichž ochrana je ve společenském a ekonomickém zájmu. Návrh zákona ale nedává státním orgánům právo zasahovat do soukromí ani do aktivní komunikace uživatelů služeb informační společnosti.
V souladu s právem Evropské unie musí být směrnice zapracována do českého právního řádu ve stanovené transpoziční lhůtě, která činí 21 měsíců od nabytí platnosti této směrnice (tj. do 9. května 2018). Její brzká transpozice je dle důvodové zprávy plánována jednak kvůli podzimním volbám do Poslanecké sněmovny, jednak kvůli povinnosti určení provozovatelů základních služeb (čl. 5 odst. 1 směrnice) do 9. listopadu 2018.
Vládní návrh novely zákona se promítá do následujících zákonů:
- č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále „zákon o kybernetické bezpečnosti“), ve znění pozdějších předpisů
- č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů
Přestože návrh obsahuje řadu novelizačních bodů, většina z nich souvisí přímo s přijatými pozměňovacími návrhy garančního výboru pro bezpečnost Poslanecké sněmovny, z nichž hlavní zřizuje Úřad pro kybernetickou a informační bezpečnost. Tím se původní počet částí návrhu zákona zvýšil ze tří na čtrnáct, protože vznik úřadu musel být promítnut do všech souvisejících zákonů. Těmi jsou kromě výše zmíněných:
- Změna zákona o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky
- Změna zákona, kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích
- Změna zákona o státní službě
- Změna zákona o informačních systémech veřejné správy
- Změna zákona o inspekci práce
- Změna krizového zákona
- Změna stavebního zákon
- Změna zákona o archivnictví a spisové službě a o změně některých zákonů
- Změna zákona o Policii České republiky
- Změna zákona o zaměstnanosti
- Změna zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti
- Obsah jednotlivých částí návrhu zákona
Část první mění zákon o kybernetické bezpečnosti. Ten se doposud soustředil pouze na informační a komunikační systémy důležité pro fungování státu a veřejné správy, nikoli však na informační systémy, na nichž jsou závislé služby důležité spíše na regionální úrovni. Tento návrh zákona přináší změnu.
Zákon o kybernetické bezpečnosti rozlišuje pět kategorií orgánů a osob, kterým v závislosti na důležitosti jejich informačních systémů nebo služeb a sítí elektronických komunikací ukládá explicitně stanovené povinnosti. Předkládaná novela dále rozšiřuje působnost zákona o další tři kategorie orgánů a osob. V obecné rovině může návrh zákona potenciálně znevýhodnit menší subjekty, které nedisponují dostatečnými finančními prostředky pro zavedení a provádění všech uložených povinností. Pro zamezení tohoto efektu však mají sloužit nástroje selekce, kterými jsou u provozovatelů základních služeb určovací kritéria, a u poskytovatelů digitálních služeb přesně nastavené definice a plošná výjimka pro mikropodniky a malé podniky[2].
Platný zákon o kybernetické bezpečnosti splňuje už v současné době většinu požadavků směrnice. K zajištění úplného souladu se nově se definuje tzv. „základní služba“, „informační systém základní služby“ a „provozovatel základní služby“. Narušení základní služby by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z následujících odvětví:
- energetika,
- doprava,
- bankovnictví,
- infrastruktura finančních trhů,
- zdravotnictví,
- vodní hospodářství,
- digitální infrastruktura,
- chemický průmysl,
Povinnost aplikace určitého standardního zabezpečení včetně povinnosti hlásit výskyt kybernetických bezpečnostních incidentů a odpovídajícím způsobem na ně reagovat je tedy obecně definována pouze pro systémy stanoveného společenského významu. Zákon také nově počítá s možností dobrovolného zapojení do systému národní kybernetické bezpečnosti i pro subjekty mimo okruh regulovaných orgánů a osob (zde reaguje na zkušenosti z praxe a nejedná se o povinnost stanovenou směrnicí). Tak je tomu i v případě zvýšení horní hranice pokuty za nezavedení nebo neprovedení bezpečnostních opatření, a to z jednoho na pět milionů korun.
Dále zákon upravuje tzv. „digitální službu“, která spočívá v provozování on-line tržiště, internetový vyhledavač či cloud computing. Nově je také definován „zástupce poskytovatele digitálních služeb“, což je zástupce v ČR jmenovaný poskytovatelem digitální služby, který poskytuje tuto službu v České republice, nemá sídlo v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie.
Další ustanovení návrhu zákona v první části stanoví povinnost zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti vybraných informačních systémů.
Návrh zákona také upravuje náležitosti smlouvy, které jsou uvedené orgány a osoby povinny zajistit ve smlouvě s poskytovatelem cloud computingových služeb. Nově také upravuje povinnosti správců a provozovatelů informačních nebo komunikačních systémů kritické informační infrastruktury nebo významných informačních systémů.
Významná je úprava povinnosti hlásit kybernetické bezpečnostní incidenty. V případě, že kybernetický bezpečnostní incident má významný dopad na kontinuitu poskytování základní služby, oznámí to provozovatel základní služby úřadu. Obdobně je upravena povinnost poskytovatele digitální služby.
Bezpečnostní opatření budou přesně stanovena až prováděcím právním předpisem, který stanoví:
- obsah bezpečnostních opatření,
- obsah a strukturu bezpečnostní dokumentace,
- rozsah bezpečnostních opatření pro orgány a osoby uvedené v § 3 písm. c) až f),
- významné informační systémy a jejich určující kritéria,
- obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu
Prováděcí předpis také stanoví způsob likvidace dat, provozních údajů, informací a jejich kopií.
V první části návrhu zákona je také nově upraven bod o poskytování informací, který je vypuštěn ze zákona o svobodném přístupu k informacím (nový § 10a):
„Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují.“ Přesněji řečeno nejde jen o pouhý přesun, ale o zobecnění výjimky tak, aby pod ni spadaly například informace o plánech budov, topologii a konfiguraci počítačové sítě, havarijních plánech apod.
Na začátku hlavy IV se vkládá nový § 21a, který ustanovuje Úřad pro kybernetickou a informační bezpečnost jako ústřední správní úřad pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Příjmy a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu. V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává. Ředitel Úřadu je odpovědný předsedovi vlády nebo pověřenému členovi vlády.
Část druhá navrhované právní úpravy se týká změny zákona o svobodném přístupu k informacím, ze kterého se vypouští výjimka z poskytování informací v oblasti kybernetické bezpečnosti (viz výše).
Další části zákona, které jsou jmenované výše, většinou pouhou jednou větou reflektují vznik nového úřadu. Výjimkou je Změna zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, kde jsou změny poněkud rozsáhlejší. Nově úřad rozhoduje o náležitosti žádostí o certifikaci a zániku platnosti certifikátu v určených případech. Pravomoci nového úřadu upravuje § 137, mimo jiné zajišťuje zkoušky zvláštní odborné způsobilosti a vydává osvědčení, zajišťuje činnost souvisejících středisek, provádí certifikace, vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany, vydává bezpečnostní standardy a ukládá správní tresty.
Vláda navrhla účinnost od prvního dne druhého kalendářního měsíce po jeho vyhlášení ve Sbírce zákonů. Návrh zákona ve znění schváleném Poslaneckou sněmovnou změnil účinnost na první den prvního kalendářního měsíce následujícího po dni jeho vyhlášení
- Legislativní proces
Vládní návrh zákona byl předložen Sněmovně dne 9. prosince 2016. Ta jej v prvém čtení na své 54. schůzi dne 11. ledna 2017 přikázala k projednání Výboru pro bezpečnost jako výboru garančnímu, Výboru pro veřejnou správu a regionální rozvoj, Výboru pro obranu a Hospodářskému výboru jako výborům dalším.
Výbor pro veřejnou správu a regionální rozvoj doporučil svým usnesením z 25. 1. 2017 návrh zákona schválit, stejně jako hospodářský výbor a výbor pro obranu. Garanční Výbor pro bezpečnost projednal návrh zákona dne 7. 2. 2017 a přijal 15 pozměňovacích návrhů, včetně návrhu ustavujícího nový Úřad pro kybernetickou a informační bezpečnost.
Projednávání návrhu na zkrácení zákonné lhůty pro projednání návrhu zákona ve výborech Poslanecké sněmovny proběhlo 21. 2. 2017 na 55. schůzi. Lhůta pro projednání byla zkrácena o 19 dní.
Druhé čtení návrhu zákona se uskutečnilo dne 14. března 2017 na 55. schůzi Poslanecké sněmovny
Třetí čtení proběhlo 12. 4. 2017 na 56. schůzi. S návrhem zákona byl vysloven souhlas ve znění schválených pozměňovacích návrhů, když se pro něj v hlasování č. 311 ze 168 přítomných vyslovilo 161 poslanců, nikdo nebyl proti.
III. Změny provedené v Poslanecké sněmovně
V průběhu projednávání v Poslanecké sněmovně nevyvolal návrh zákona žádnou rozsáhlejší diskusi. I přes relativně vysoký počet podaných pozměňovacích návrhů[3] doznal návrh zákona jediné významné změny, a to zřízení Národního úřad pro kybernetickou a informační bezpečnost (čl. I bod 42 – § 21a).
Pro vznik tohoto úřadu byla ve vládě nalezena politická vůle, a tak byla transpozice směrnice „využita“ zároveň k novelizaci příslušných zákonů ve smyslu vzniku nového úřadu. Oproti původním dvěma novelizovaným zákonům byly v Poslanecké sněmovně pozměňovacím návrhem přidáno dalších jedenáct a byla upravena přechodná ustanovení (dokončení řízení o přestupcích, přenesení příslušnosti k hospodaření s majetkem státu, přechod práv a povinností z pracovněprávních vztahů atd.).
Všechny podané pozměňovací návrhy byly v Poslanecké sněmovně přijaty, a to se souhlasem jak garančního výboru, tak i předsedy vlády coby zástupce navrhovatele.
- Připomínky k návrhu novely zákona
Zpravodajka se ztotožňuje s legislativními připomínkami, které zde uvádí tak, jak je zpracoval legislativní odbor.
K čl. I bodům 48 až 52 (k § 25 zákona o kybernetické bezpečnosti)
- Ačkoliv je postoupený návrh zákona zpracován relativně pečlivě, o jeho sankčních ustanoveních platí pravý opak. Zdá se, že kromě nedůslednosti předkladatele sehrálo svou roli i přijetí novely č. 104/2017 Sb. v březnu letošního roku. Důsledkem je nesoulad ve vymezení skutkových podstat přestupků (včetně těch nejzávažnějších), jakož i jejich neprovázanost s odstavcem 12, upravujícím horní hranice pokut.
- Legislativní odbor ve svém vyjádření uvádí např. následující příklad:
- nepředání dat a provozních údajů provozovatelem informačního nebo komunikačního systému kritické informační infrastruktury je upraveno duplicitně v § 25 odst. 2 písm. e) a v § 25 odst. 5 písm. b). Zatímco za porušení povinnosti podle prvního ustanovení lze uložit pokutu do 1 000 000 Kč, za porušení téže povinnosti podle druhého ustanovení hrozí pokuta maximálně 200 000 Kč;
- Tyto a další chyby v sankčních ustanoveních nepochybně zkomplikují, příp. zcela znemožní správní trestání na úseku kybernetické bezpečnosti. S ohledem na to se doporučuje zrevidovat text ustanovení § 25 s přihlédnutím k záměru předkladatele a k novele č. 104/2017 Sb.
K čl. X (k § 16 odst. 2 stavebního zákona)
- Předkladatel by měl zdůvodnit, proč působnost stavebního úřadu u staveb sloužících k plnění úkolů nového Národního úřadu pro kybernetickou a informační bezpečnost má vykonávat Ministerstvo obrany, když u „mateřského“ Národního bezpečnostního úřadu vykonává tutéž působnost Ministerstvo vnitra. Novelizace stavebního zákona byla do předlohy vložena až v průběhu projednávání v Poslanecké sněmovně a její odůvodnění není dostupné. Pakliže jde pouze o nedopatření, měla by novelizace směřovat do ustanovení § 16 odst. 2 písm. b) stavebního zákona, nikoliv do písmene a).
Zpravodajka dále uvádí některé další připomínky týkající se zejména provázanosti legislativy:
Aktualizace návrhu zákona o ustanovení týkající se vzniku Úřadu pro kybernetickou a informační bezpečnost.
- Původní účel zákona byl přijetím tohoto pozměňovacího návrhu do značné míry změněn. Vznik nového úřadu je změnou, která zřejmě nebyla dostatečně projednána v mezirezortním řízení a dostala se do novely zákona až během projednávání v Poslanecké sněmovně. Toto není, dle názoru zpravodajky, dostatečně transparentní postup, i když je zřejmé, že se jednalo využití jisté „politické vůle“, které vznik úřadu umožnilo, a tak byl do tohoto zákona „vhodně zakomponován“.
Provázanost s další novelou, která se týkala oblasti kybernetické bezpečnosti – senátní tisk 58 – novela zákona o informačních systémech veřejné správy, o kybernetické bezpečnosti a o změně souvisejících zákonů
- Může se jevit jako matoucí, proč jdou krátce po sobě do Senátu dva návrhy novely týkající se tzv. zákona o kybernetické bezpečnosti (zákon č. 181/2014 Sb.). Vysvětlení, kterého se mi jako zpravodajce dostalo z Ministerstva vnitra, je takové, že záměrem bylo oddělit zákon transponující směrnici EU od úprav týkajících se realizace usnesení vlády ze dne 2. listopadu 2015 č. 889 k dalšímu rozvoji informačních a komunikačních technologií služeb veřejné správy a úprav terminologie.
- Otázky k upřesnění obsahu návrhu
- Jak bude upraven nesoulad sankčních ustanovení, který odhalil legislativní odbor?
- Jak je upraven soulad s předchozí novelou zákona o kybernetické bezpečnosti z jara letošního roku?
- Stanovisko zpravodajky
Hlavním nedostatkem se jeví nesoulad sankčních ustanovení v jednotlivých částech novely zákona. Dále si můžeme klást otázku, proč přichází tato novelizace odděleně od novelizace zákona o informačních systémech veřejné správy a kybernetické bezpečnosti, která primárně provádí usnesení vlády (senátní tisk 58). Bylo by jistě přehlednější a logičtější, pokud by tyto novelizace byly provázané.
Zpravodajka předpokládá diskuzi a ze strany předkladatele posílá v příloze vyjádření NBÚ. Na jednání Výboru pro územní rozvoj, veřejnou správu a životní prostředí dojde k dalšímu upřesnění.
V Praze dne 16. května 2017
Renata Chmelová v. r.
členka výboru pro územní rozvoj,
veřejnou správu a životní prostředí
[1] Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii
[2] ve smyslu doporučení Komise č. 2003/361/ES o definici mikropodniků, malých a středních podniků
[3] Kromě 15 pozměňovacích návrhů z garančního výboru bylo podáno dalších 26 pozměňovacích návrhů z pléna.