INZERCE

Elektrická přenosová soustava patří do kritické infrastruktury. Ilustrační snímek. Foto: ČEZ

Nová pravidla pro kritickou infrastrukturu státu? Byznys i bezpečnostní struktury jdou tvrdě proti představě ministerstva vnitra

Nesouhlasil skoro nikdo. Výsledky meziresortního připomínkového řízení k nové úpravě, která od základu mění systém krizového řízení a ochrany kritické infrastruktury státu, vyzněly pro ministerstvo vnitra tvrdě. S podobou klíčového návrhu z pera resortu vedeného Vítem Rakušanem (STAN) souhlasily jen tři úřady a Pražský hrad. Další úřady, ale i ministerstva, kraje nebo profesní a zájmové organizace daly najevo jasný distanc.

Nová úprava reaguje na evropské směrnice a má kromě zpřesnění a optimalizace nejdůležitějších procesů spojených s ochranou kritické infrastruktury a krizového řízení přinést také zásadní změny v pravomocích úřadů, ale i povinnostech jednotlivých prvků celého systému. Dramaticky se změní i počet zákonem definovaných součástí citlivé struktury, a to až na dvojnásobek.

Tisíce nových prověrek

Mezi novými povinnostmi jednotlivých subjektů systému bude také zřízení funkce manažera kritické infrastruktury. Manažer bude muset mít kromě odpovídajícího vysokoškolského vzdělání v bezpečnostní oblasti nově i prověrku Národního bezpečnostního úřadu (NBÚ), a to stejně, jako další lidé nezbytní pro provozování základní služby subjektů z oblasti energetiky, letecké dopravy nebo pitné vody.
Samotných manažerů bude podle odhadů úřadu zhruba 300 až 500, nicméně zmíněných klíčových pracovníků bude mnohem víc. Ekonomický deník už informoval, že vnitro počítá s tím, že povinnost mít prověrku NBÚ se nově bude týkat tisíců lidí.

A právě proti tomu se jasně vymezil kromě dalších připomínkových míst i samotný Národní bezpečnostní úřad, pro který by taková zátěž představovala značné personální i finanční náklady.

„Důrazně upozorňujeme na nutnost zajistit personální a s tím spojenou finanční stránku pro zabezpečení chodu NBÚ tak, aby byl schopen prověřit osoby, které budou žádat o vydání dokladu o bezpečnostní způsobilosti,” uvádí k tomu ve svých připomínkách NBÚ. Alespoň dočasným řešením by přitom podle jeho zástupců bylo uzákonění přechodného období tak, aby příslušní pracovníci měli na splnění nové povinnosti čas tři roky.

Bez přechodného období – a tedy s hromadným vyřizováním tisíců žádostí v jeden okamžik – by podle úřadu hrozila faktická paralýza jeho činnosti.

Zároveň NBÚ požaduje razantní personální posílení vlastních řad, ale i obsazení bezpečnostních služeb, které se na citlivém prověřování žadatelů podílejí.

„Vzhledem k předpokládanému počtu osob, které budou muset být prověřeny ze strany NBÚ, aby mohly vykonávat citlivou činnost stanovenou návrhem zákona, se realizované úkony v rámci bezpečnostního řízení navýší až o stovky procent. Je proto nezbytné počítat s navýšením státního rozpočtu spočívající v dostatečném personálním zabezpečení,” shrnuje své argumenty úřad.

Firmy chtějí kompenzace

Popsané dramatické rozšíření počtu lidí, kteří by potřebovali prověrku na stupeň utajení, pak rovnou odmítl například Svazu průmyslu a dopravy.

„Ve vztahu k citlivým činnostem nesouhlasíme s významným rozšířením okruhu osob, na které by dopadla povinnost prověření. Jedná se o nepřiměřenou zátěž bez konkrétního pozitivního dopadu na odolnost kritické infrastruktury,” uvedl svaz.

V podstatě stejně se pak vyjádřila i Hospodářská komora, která podle znění svých připomínek patří mezi vůbec nejostřejší kritiky návrhu. Připomínky této organizace sdružující průmyslníky a podnikatele čítají 50 stránek a na návrhu vnitra nenechávají pomyslnou nit suchou.

Komora nesouhlasí zejména s celkovým nastavením nových povinností pro jednotlivé součásti infrastruktury. Tu zákon stejně jako doposud vidí v sedmi oblastech – konkrétně jde v o energetiku, dopravu, vodní hospodářství, potravinářství, zemědělství, zdravotnictví, komunikační a informační systémy, finanční trh a měny, nouzové služby a veřejnou správu.

Podle komory by například povinnosti pro jednotlivé podniky nebo organizace měly být vyváženy finančními kompenzacemi od státu.

„Celý soubor povinností určených subjektům kritické infrastruktury je časově, personálně i finančně nákladný. Z toho důvodu by měly být již ve fázi připomínkování zákona diskutovány finanční kompenzace pro subjekty kritické infrastruktury, které by jim pokryly jejich plnění,” uvádí komora.

Ta také připomíná, že v návrhu jakýkoliv popis možné podpory ze strany státu chybí, a to i přesto, že příslušná evropská směrnice s takovou možností počítá.

Vývoj léčiv mimo systém

Komora se pak postavila také proti záměru vnitra zahrnout do kritické infrastruktury řadu nových odvětví v oblasti zdravotnictví a zdraví obecně. Jde například o výzkum a vývoj léčiv nebo jejich distribuce.

„Celý životní cyklus léčivých přípravků je přitom pokryt zákonem o léčivech, který zejména ve znění poslední schválené novely velmi detailně řeší zajištění dostupnosti léčivých přípravků v krizových situacích a v této souvislosti ukládá jednotlivým článkům řetězce celou řadu nových povinností. Navrhované zahrnutí těchto oblastí pod nový obecný zákon o kritické infrastruktuře se jeví jako nadbytečné,” konstatuje Hospodářská komora.

Doplňuje přitom, že plošné zahrnutí článků lékového řetězce mezi poskytovatele základních služeb infrastruktury by jim přineslo další nové povinnosti a s tím i neúměrnou administrativní zátěž.

„Enormní tlak na kapacity firem by pak v některých případech mohl vyústit až v jejich odchod z českého trhu, a následnou nedostupnost některých léčivých přípravků pro české pacienty,” poznamenává komora.

Podle ní by měla být kritéria nastavená tak, aby zasáhla výhradně ty subjekty, u nichž je jejich účast v systému kritické infrastruktury relevantní a nezbytná.

„Důrazně proto doporučujeme vyvarovat se plošného zařazení subjektů působících v uvedených oblastech mezi poskytovatele základních služeb,” dodává komora.

Stejně tak se zástupci průmyslu vymezili proti možnému začlenění celého dodavatelského řetězce do systému kritické infrastruktury, se kterým vnitro ve svém návrhu počítá.

Celkově komora konstatuje, že způsob, kterým má stát podle vnitra jednotlivé prvky kritické infrastruktury určovat, zasahuje nepřiměřeně do práv dotčených subjektů. A to mimo jiné i proto, že proti zařazení na seznam je vyloučena účinná právní ochrana.

„Dle návrhu se určitá osoba stane subjektem kritické infrastruktury tak, že bude zařazena na seznam. K zařazení na seznam se však nemá daná osoba právo předem vyjádřit a s ohledem na nejasnou povahu tohoto úkonu není zřejmé, zda a jakým způsobem se může proti zařazení na seznam bránit,” argumentuje komora.

Ministerstvo vnitra přitom ve svém návrhu počítá s tím, že v souvislosti s novou legislativou dojde v návaznosti na evropskou směrnici k razantnímu nárůstu počtu subjektů, které se budou do kritické infrastruktury počítat.

„Naprostá většina vzejde v souladu s obsahem transponované směrnice ze soukromého sektoru. V souhrnu je možné očekávat až dvojnásobný nárůst povinných osob proti současnému stavu,” podotkli k tomu ministerští úředníci v důvodové zprávě.

Resort zároveň připustil, že to s sebou ponese s ohledem na povinnosti jednotlivých prvků kritické infrastruktury „značné ekonomické a finanční dopady na podnikatelské prostředí v Česku”.

Součástí kritické infrastruktury je i například přečerpávací vodní elektrárna Dlouhé stráně, která je schopna vykrývat výpadky elektrické energie. Foto: ČEZ

Pokuty podle zisků? Podle byznysu nepřijatelné

Vnitro ve svém návrhu také počítá s tím, že za nedodržování povinností plynoucích ze zákona o kritické infrastruktuře budou jejím součástem hrozit sankce. Jejich výše se má přitom mimo jiné odvíjet od ekonomického „výtlaku” dotčeného subjektu. A ani to se Hospodářské komoře nelíbí – argumentuje například tím, že žádný takový požadavek evropská směrnice neobsahuje.

„U velkých podniků může být nepoměr mezi sankcí určenou maximální částkou a sankcí podle výše obratu obrovský. Navíc zákon předpokládá automatickou aplikaci sankce vyšší, což může vést k diametrálním rozdílům ve výši sankce za stejné přestupky pro různé subjekty. Takový přístup je v rozporu se zásadami správního trestání, neboť neumožňuje zohlednit další okolnosti, především závažnost přestupku,” vypočítává komora.

A zmiňuje i to, že v návrhu zákona není jasně popsáno, kdo by vlastně „adresátem” povinností měl být.

„Považujeme za nepřípustné, aby adresáti povinnosti byli specifikováni až na úrovni podzákonných předpisů, které jsou mimo kontrolu zákonodárců. Požadujeme, aby byly základní služby uvedeny přímo v zákoně – v jeho příloze. Jedině tak mohou být povinnosti stanovené pro dané subjekty legální.”

Proti jsou i kolegové „ve zbrani”

Zásadní připomínky přišly ministerstvu vnitra i od dalšího vládního silového resortu, tedy ministerstva obrany vedeného Janou Černochovou z ODS. Její úředníci vládním kolegům vyčítají, že s nimi návrh v dostatečném předstihu předkládaný materiál neprojednali.

„Podrobnější diskuzí by mohlo dojít k odstranění některých systémových nedostatků, které jsou způsobeny skutečností, že krizová legislativa je tvořena různými právními předpisy vytvořenými více gestory a v různých časových obdobích, které spolu ne vždy potřebným způsobem korespondují,” poznamenává ministerstvo obrany.

Připomíná přitom například to, že zákon tak, jak ho resort vnitra sepsal, nepočítá se zařazením ministerstva obrany mezi instituce, které smějí nakládat s daty o jednotlivých subjektech kritické infrastruktury. A to i přesto, že jemu podřízená armáda má ze zákona za úkol stejné subjekty chránit.

„Je nezbytně nutné vést seznam subjektů kritické infrastruktury za účelem provádění činností zajišťování obrany státu, evidovat vznik subjektů a mít umožněno technické napojení na evidenci vedenou cestou ministerstvem vnitra a data dále obohacovat o relevantní atributy armády,” poukazuje vedení armádního resortu.

Ten napadá také záměr vnitra, podle kterého by vláda mohla v případě nebezpečí z prodlení při závažných situacích neodůvodňovat krizové opatření, které zasahují do práv obyvatel.

Vnitro v návrhu mimo jiné paletu možných krizových opatření rozšiřuje.

„Jedná se například o opatření, která souvisí se sběrem a evidencí osobních údajů,” uvedl resort s tím, že tyto návrhy reflektují zkušenosti týkající se zpracování osobních údajů při řešení pandemie covidu, ale částečně i s řešením uprchlické vlny vyvolané ruskou agresí na Ukrajině.

Kromě větší možnosti schraňovat osobní data ale nová legislativa zavádí také systém pojistek proti nepřiměřenosti takových zásahů nebo jejich neúčelnosti.

„Nově tak má vláda povinnost v odůvodnění rozhodnutí o krizovém opatření stanovit konkrétní míru rizika spojeného s vymezenými činnostmi, oblastmi či jinými charakteristikami a posoudit přiměřenost zásahu do práv, svobod a oprávněných zájmů právnických a fyzických osob. Bude tomu tak u všech krizových opatření, kterými je zasahováno do práv a povinností osob,” popsali úředníci ministerstva vnitra.

Jenže podle kolegů z resortu obrany je nastavení systému nezákonné.

„Navržené ustanovení dává pravomoc vládě neodůvodňovat v nebezpečí z prodlení krizová opatření, kterými je zasahováno do práv a povinností osob. Takové ustanovení je protiústavní, a proto požadujeme jeho odstranění,” konstatuje obrana.

Ministerstvo pak naopak požaduje doplnit novou povinnost pro zpravodajské služby. Ty by tak napříště podle něj měly více spolupracovat se subjekty infrastruktury. V případě jakýchkoliv poznatků o jejich možném ohrožení by tak tajná služba musela daný subjekt o takové možnosti stejně jako policie neprodleně informovat. Jedinou výjimkou by byla podle obrany situace, kdy by takovým informováním mohlo dojít k ohrožení důležitého zájmu příslušné zpravodajské služby.

„Jejich nový úkol stanovený tímto zákonem, který přispěje ke zvýšení odolnosti subjektů kritické infrastruktury,” komentuje to ministerstvo.

Omezený čas na přijetí

Námitky mají ale i zástupci samotných zpravodajských služeb. Civilní kontrarozvědka se například dožaduje podobně jako ministerstvo obrany přístupu k neveřejnému seznamu subjektů kritické infrastruktury. Bezpečnostní informační služba (BIS) přitom argumentuje v zásadě stejně, jako armádní resort – pokud máme klíčové subjekty chránit, musíme je i znát. Obrana ale argumentuje také tím, že nejde „jen” o ochranu z důvodu možného terorismu nebo špionáže, ale i o oblast možného prověřování budoucích zahraničních investic nebo bezpečnosti dodavatelských řetězců v rámci zajišťování kybernetické bezpečnosti.

„Tyto procesy jsou nastaveny nejen na reakci BIS na žádost k prověření, ale i na případnou samostatnou reakci. Znalost aktuální informace o tom, zda žadatel nebo prověřený subjekt je subjektem kritické infrastruktury, je důležitou podmínkou pro řádný výkon úkolů BIS v těchto oblastech,” poznamenává tajná služba.

Ministerstvo vnitra navrhuje novou úpravu s s tím, že je nutná i s ohledem na „zhoršení bezpečnostního prostředí”. Ministerstvo upozorňuje, že stát by měl vytvořit podmínky pro zvyšování a také zajišťování odolnosti základních služeb, které jsou nezbytné pro jeho fungování.

„Bezpečnost a odolnost organizačních složek státu a dalších orgánů a osob, jež poskytují služby stěžejní pro fungování státu, jsou předpoklady pro zajištění bezpečnosti České republiky. Podle Bezpečnostní strategie České republiky existuje řada hrozeb, kterým Česká republika čelí, a to včetně kybernetických útoků, ohrožení funkčnosti kritické infrastruktury či přerušení dodávek strategických surovin nebo energií,” shrnuje ministerstvo.

Vnitro nyní musí námitky ostatních resortů a organizací vypořádat. Už v původním návrhu přitom resort upozornil, že Česko má vzhledem k závazné evropské směrnici čas na uvedení nové legislativy do praxe maximálně do letošního podzimu.

„V případě, kdy by transpozice byla realizována pouze částečně, nebyla realizována vůbec, případně by k ní došlo po 17. říjnu 2024, hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise,” konstatoval resort pod Rakušanovým vedením.

Tomáš Svoboda