Platná a účinná právní úprava zákona o kybernetické bezpečnosti neobsahuje právní úpravu, kterou by bylo možno považovat za dostačující ve vztahu k takzvanému aktu o kybernetické bezpečnosti. Ten stanovuje, že některé oblasti právní úpravy budou dodefinovány na národní úrovni. Jedná se zejména o stanovení vnitrostátního orgánu certifikace kybernetické bezpečnosti a o stanovení správních deliktů za jednání v rozporu s nařízením (aktem o kybernetické bezpečnosti). Vyplývá to z novely o kybernetické bezpečnosti, která leží v Poslanecké sněmovně. Neprovedení adaptace národního právního řádu na uvedené nařízení by mohlo být Evropskou komisí považováno za nesplnění povinnosti a Česká republika by mohla skončit před Soudním dvorem EU.

Nárůst digitalizace a propojenosti zvyšuje kybernetická bezpečnostní rizika, což způsobuje, že společnost jako celek se stává zranitelnější vůči kybernetickým hrozbám a zvyšuje se nebezpečí pro jednotlivé uživatele. Za účelem zmírnění těchto rizik je třeba přijmout opatření, která přispějí ke zlepšení kybernetické bezpečnosti v celé Evropské unii.

V plánu legislativních prací vlády na rok 2020 byl pro Národní úřad pro kybernetickou a informační bezpečnost zařazen legislativní úkol zpracovat a vládě předložit návrh zákona o kybernetické bezpečnosti.

Cílem návrhu zákona mělo být mimo jiné zajistit adaptaci českého právního řádu na nařízení Evropského parlamentu a Rady (EU) o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií.

Tento návrh zákona byl v roce 2020 předložen vládě, následně vládou schválen a předložen Poslanecké sněmovně. Protože ale návrh zákona nebyl do konce volebního období sněmovny schválen, Národní úřad pro kybernetickou a informační bezpečnost zpracoval nový návrh zákona.

Mohlo by vás zajímat

V aktuálně platné a účinné právní úpravě není stanoven nositel role vnitrostátního orgánu certifikace kybernetické bezpečnosti na území České republiky.

Nejsou také stanovena pravidla pro sankce za porušení aktu o kybernetické bezpečnosti, což jsou povinnosti stran normativní právní úpravy stanovené členským státům právě aktem o kybernetické bezpečnosti.

Akt o kybernetické bezpečnosti stanovuje, že některé oblasti právní úpravy budou dodefinovány na národní úrovni. Jedná se zejména o stanovení vnitrostátního orgánu certifikace kybernetické bezpečnosti a správní delikty za jednání v rozporu s nařízením (aktem o kybernetické bezpečnosti). Hlavním účelem navrhované právní úpravy je provedení adaptace národního právního řádu na akt o kybernetické bezpečnosti.

Podle něj musí každý členský stát určit jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na svém území a stanovit pravidla pro sankce za porušení nařízení.

Vnitrostátním orgánem certifikace kybernetické bezpečnosti by měl být Národní úřad pro kybernetickou a informační bezpečnost, jakožto ústřední orgán státní správy, který je garantem kyberbezpečnosti v České republice.

Přestupky jsou pak pojmenovány následovně:

Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti,
b) neuchovává dokumenty a informace,
c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA, nebo
d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem.

(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.

(13) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti na úroveň záruky „vysoká“, přestože k tomu není oprávněna,
d) jako autorizovaný subjekt posuzování shody autorizovaný vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti,
e) provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo
f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace nebo mimo rozsah této akreditace..

Návrh zákona také stanovuje základní pravidla pro provádění autorizací předvídaných aktem o kybernetické bezpečnosti. Požadavky na subjekty posuzování shody hodnocené v rámci řízení o jejich autorizaci mají být v budoucnu konkretizovány v jednotlivých prováděcích aktech Evropské komise.

Kybernetický útok, hackeři, kyberkriminalita. Ilustrační snímek. Foto: Pixabay

Cílem doplňovaného ustanovení je především vytvořit terminologické navázání českého právního řádu na akt o kybernetické bezpečnosti a stanovit délku lhůty pro vydání rozhodnutí v řízení o žádosti o autorizaci.

Smyslem certifikace kybernetické bezpečnosti jako takové, která je upravena přímo aktem o kybernetické bezpečnosti, je zvyšování důvěry v produkty, služby a procesy v oblasti informačních a komunikačních technologií skrze jejich bezpečnost. Certifikace je podle aktu o kybernetické bezpečnosti dobrovolná, nestanoví-li budoucí unijní nebo vnitrostátní právo jinak.

Certifikací se osvědčí, že produkty, služby a procesy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, důvěrnosti a integrity.

Certifikaci samotnou budou provádět tzv. subjekty posuzování shody, které budou akreditovány Českým institutem pro akreditaci a v určitých případech také autorizovány vnitrostátním orgánem certifikace kybernetické bezpečnosti.

Národní úřad pro kybernetickou a informační bezpečnost bude fungovat jako vnitrostátní orgán certifikace kybernetické bezpečnosti, který bude dohlížet na pravidla zahrnutá v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, napomáhat vnitrostátním subjektům akreditace při monitorování činnosti subjektů posuzování shody a při dozoru nad touto činností a poskytovat uvedeným subjektům akreditace podporu, sledovat činnost veřejných subjektů, které jsou subjekty posuzování shody, a dohlížet na tyto aktivity, v příslušných případech autorizovat subjekty posuzování shody, řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti vydanými vnitrostátními orgány certifikace kybernetické bezpečnosti či subjekty posuzování shody, každoročně předkládat agentuře ENISA a Evropské skupině pro certifikaci kybernetické bezpečnosti souhrnnou zprávu o činnostech v rámci certifikace kybernetické bezpečnosti a další. Pravidla budou upravena jednotlivými evropskými systémy certifikace kybernetické bezpečnosti.

Společný evropský rámec pro certifikaci je stanoven v čl. 46 aktu o kybernetické bezpečnosti; nejenom z něj pak vychází agentura ENISA při návrhu jednotlivých systémů certifikace.

Neprovedení adaptace národního právního řádu na uvedené nařízení by mohlo být Evropskou komisí považováno za nesplnění povinnosti vyplývající České republice z primárního práva Evropské unie (Smlouva o Evropské unii a Smlouva o fungování Evropské unie), přičemž by Evropská komise na základě čl. 258 Smlouvy o fungování Evropské unie mohla předložit tuto záležitost Soudnímu dvoru Evropské unie.  

(nik)