Vláda bude v nejbližší době rozhodovat o podobě zásadní a komplexní změny systému krizového řízení a ochrany kritické infrastruktury státu. Novou legislativu pro oblast bezpečnosti citlivých energetických, zdravotnických nebo průmyslových objektů a služeb navrhlo letos ministerstvo vnitra.
Norma vyjímá zajišťování odolnosti jednotlivých prvků kritické infrastruktury z působnosti dosavadního krizového zákona a kromě zpřesnění a optimalizace krizového řízení má přinést také zásadní změny v pravomocích úřadů, ale i povinnostech jednotlivých prvků celého systému. Dramaticky by se v případě schválení návrhu změnil i počet zákonem definovaných součástí citlivé struktury, a to až na dvojnásobek.
Návrh z dílny resortu vedeného šéfem STAN Vítem Rakušanem reaguje na závazné evropské směrnice, ale také na zkušenosti se zvládáním krizových situací posledních let, jako byla pandemie nemoci covid-19, ničivé tornádo na jižní Moravě nebo příliv válečných uprchlíků z Ukrajiny po zahájení ruské agrese.
„Cílem je zejména nastavit flexibilní a optimální procesy ve všech částech tohoto systému (prevence, připravenost, odezva a obnova) tak, aby odpovídal aktuálním potřebám a zohledňoval také možné limity zásahu státu do základních lidských práv a svobod,” zdůvodňuje vnitro potřebu nového zákona. Ten do českého práva „překlápí” příslušné směrnice Evropské unie.
Enormní množství připomínek
K návrhu se během jara vyjadřovala v rámci meziresortního připomínkového řízení ostatní ministerstva a také zainteresované instituce nebo organizace. A výsledkem byl doslova „zával” připomínek, které musel úřad postupně vypořádat. Dokument, který způsob vyřízení jednotlivých stanovisek detailně popisuje, má ostatně velmi nezvykle obsáhlý rozsah – téměř tisíc stran textu.
„V meziresortním připomínkovém řízení uplatnila připomínková místa zcela enormní počet zásadních připomínek. Ministerstvo vnitra vedlo řadu intenzivních jednání tak, aby se podařilo zásadní připomínky vypořádat a zachovat zásadní filozofii a cíle novelizace,” uvádí k tomu úředníci Rakušanova resortu.
Podle nich se přitom podařilo najít v naprosté většině případů kompromis. Kabinet předsedy ODS Petra Fialy ale bude muset i tak „rozseknout” několik zásadních sporů. „Nadále zůstávají nevypořádané připomínky se čtyřmi resorty,” přibližuje v předkládací zprávě pro vládu vnitro.
Mezi těmi, se kterými se nepodařilo rozdílné pohledy na věc urovnat, patří již tradiční odpůrce nových legislativních návrhů, tedy ministerstvo financí vedení místopředsedou ODS Zbyňkem Stajnurou. To totiž kvůli vládním škrtům a nutným úsporám v rozpočtu dlouhodobě odmítá jakékoliv návrhy, které by mohly vznášet na veřejné finance nové požadavky a nároky.
A nejinak je tomu i v tomto případě, připomíná v předkládací ministerstvo vnitra. Finance totiž trvají na tom, že Rakušanův úřad musí lépe a podrobněji popsat finanční dopady nového systému kritické infrastruktury a a explicitně uvést, že veškeré náklady budou příslušné resorty hradit ze svých již schválených rozpočtů.
Vnitro přitom v původním návrhu připouští, že nová legislativa na veřejné finance dopadne, a to ne málo. Náklady s sebou totiž podle důvodové zprávy ponesou například požadavky na plnění nových povinností od subjektů veřejné správy. Zvýšené náklady si ale podle úředníků vyžádá i zajištění nutných kapacit, které budou nezbytné pro plnění koordinační role samotného ministerstva vnitra.
Infrastruktura nabobtná na dvojnásobek
Významné bude v tomto směru především razantní nárůst počtu subjektů, které se budou do kritické infrastruktury počítat. „Naprostá většina nově předpokládaných subjektů kritické infrastruktury vzejde v souladu s obsahem transponované směrnice ze soukromého sektoru. V souhrnu je možné očekávat až dvojnásobný nárůst povinných osob proti současnému stavu,” podotýkají k tomu ministerští úředníci.
Pro úřady to přitom podle nich bude znamenat nárůst agendy a tím i nákladů. „Orgány veřejné správy na ústřední úrovni jsou již v současném systému kritické infrastruktury podle krizového zákona odpovědné za ochranu svých prvků kritické infrastruktury. Vzhledem k rozšíření povinností a stanovení výčtu minimálních opatření k zajištění odolnosti však lze očekávat nárůst požadavků na poskytnutí prostředků k plnění zákonem stanovených kompetencím,” vysvětluje ministerstvo.
V souvislosti s očekávaným razantním nárůstem počtu povinných osob z pohledu zákona bude navíc podle ministerstva vnitra nutné zřídit i nový informační systém, kterým by se měl stát Portál kritické infrastruktury. Ten byl měl sjednocovat informace k zabezpečení plnění úkolů podle nového zákona. A i to bude podle vnitra znamenat zvýšené požadavky na financování.
Kdo zaplatí tisíce nových prověrek?
Mezi nové povinnosti, které jednotlivé subjekty systému dostanou, pak bude například zřízení funkce manažera kritické infrastruktury. Ten zároveň bude muset mít bezpečnostní prověrku Národního bezpečnostního úřadu (NBÚ), a to stejně, jako další lidé nezbytní pro provozování základní služby subjektů z oblasti energetiky, letecké dopravy nebo pitné vody. „Byla prioritizována taková odvětví nebo pododvětví, která mají vysoký plošný dopad na obyvatelstvo v případě úmyslného narušení základní služby ze strany pracovníka,” poznamenává k tomu ministerstvo vnitra.
Samotných manažerů bude podle odhadů úřadu zhruba 300 až 500, přičemž část těchto pracovníků již oprávnění na stupeň utajení důvěrné nebo tajné má. Značné požadavky na kapacity NBÚ ale vzejdou z nutných prověrek pro zmíněné další klíčové pracovníky ve vybraných odvětvích.
„V rámci funkcí nezbytných k zajištění základních služeb se náročnost prověřování odhaduje na řádově tisíce osob s tím, že by tento počet neměl přesáhnout desítky tisíc osob,” upozorňuje ministerstvo vnitra.
A ministerstvo vnitra i v této souvislosti připouští, že tisíce nových prověrek si vyžádají další peníze navíc z rozpočtu. „Dopady na státní rozpočet bude mít také zabezpečení mechanismu ověřování spolehlivosti, zejména pak ověření spolehlivost kritických pracovníků, kteří budou vykonávat citlivou činnost podle zákona o ochraně utajovaných informací,” poznamenává Rakušanův resort.
Konkrétní výši finančních dopadů ale ministerstvo v důvodové zprávě uvádět celkově odmítá s tím, že by šlo o předčasné odhady. „Veškeré požadavky na jejich vyčíslení by vedly k vytvoření odhadů s nízkou vypovídací hodnotou,” konstatuje vnitro. MInisterstvo financí právě takové vyčíslení ale teď požaduje a bude tedy na kabinetu, aby spor obou resortů rozhodnul.
S tím, jak jsou v návrhu zákona a důvodové zprávě řešeny finanční dopady spjaté s novým systémem kritické infrastruktury, pak nesouhlasí ani ministerstvo zemědělství. Kromě toho tento resort odmítnul také to, že by měl mít podle nového znění zákona o kritické infrastruktuře „pod křídly” oblast logistiky, distribuce a skladování potravin.
Ohledy na soukromí
Nejde ale o jediný spor. Vnitro se neshodne na konkrétních detailech návrhu ani například s ministerstvem obrany. Návrh například rozšiřuje paletu možných krizových opatření, která je vláda oprávněna vyhlašovat během nouzového stavu nebo stavu ohrožení státu, a úřadům dává do rukou větší možnosti schraňování osobních dat. Zároveň ale zavádí také systém pojistek proti nepřiměřenosti takových zásahů nebo jejich neúčelnosti.
„Nově tak má vláda povinnost v odůvodnění rozhodnutí o krizovém opatření stanovit konkrétní míru rizika spojeného s vymezenými činnostmi, oblastmi či jinými charakteristikami a posoudit přiměřenost zásahu do práv, svobod a oprávněných zájmů právnických a fyzických osob. Bude tomu tak u všech krizových opatření, kterými je zasahováno do práv a povinností osob,” popisují úředníci ministerstva vnitra.
A právě tato nově zaváděná povinnost se armádnímu resortu zásadně nelíbí. Ministerstvo obrany má pak i další výhradu, na které nenašly oba úřady shodu. „Nesouhlasí s novou právní úpravou soudního řádu správního, která zavádí koncentrovaný přezkum krizových opatření Nejvyšším správním soudem,” zmiňují Rakušanovi lidé s odkazem na stanovisko obrany.
Ministerstvo zdravotnictví pak nesouhlasí s tím, aby v rámci informačního systému krizového řízení byl dán přístup do informačního systému infekčních nemocí.
Změna základních principů
Stávající systém krizového řízení vzniknul na prahu nového tisíciletí, a to zejména v návaznosti na rozsáhlé povodně na Moravě z roku 1997. Praxe i nové zkušenosti ale od té doby pomohly podle ministerstva vnitra identifikovat slabé stránky celého systému a právě ty chce teď úřad novou legislativou řešit a modernizovat.
Změny se dotknou například i určování jednotlivých prvků kritické infrastruktury. To se nyní děje ve dvou rovinách v závislosti na tom, jestli jde o státní subjekt či nikoliv. V případě organizačních složek státu to dosud určovala vláda na základě podkladů od příslušných ministerstev, dalších úřadů nebo České národní banky.
V případě jiných než státních subjektů je systém zatím decentralizován, kdy jednotlivé prvky určovala přímo ministerstva nebo další úřady bez souhlasu kabinetu s tím, že následně mají informovat ministerstvo vnitra. Právě v tom ale docházelo podle samotného resortu často k nežádoucím prodlením. U státních subjektů byl pak neúměrně zdlouhavý přímo celý proces, který trval od identifikace potenciálního prvku a po jeho určení několik měsíců.
„Dalším nedostatkem je pak absence jakýchkoliv sankcí týkajících se porušení povinností subjektu kritické infrastruktury stanovených krizovým zákonem, což výrazně snižuje možnost jejich vynucení,” upozorňuje ministerstvo vnitra.
I proto nové pojetí odolnosti kritické infrastruktury, které vychází z evropské směrnice CER, už neklade hlavní důraz na samotné prvky systému, ale spíše na celkové zajištění poskytování služby daným subjektem. „Stěžejní je tedy stanovení základních služeb a kritérií významnosti, která definují významnost této základní služby a jejího poskytovatele,” vysvětluje vnitro s tím že konkrétní základní služby a kritéria významnosti budou stanovena prováděcím právním předpisem.
Stát bude moct vyřadit nežádoucí dodavatele
V oblasti kritické infrastruktury pak resort navrhuje pro stát například i zcela novou a zásadní pravomoc sáhnout u vybraných subjektů nebo odvětví do dodavatelského řetězce soukromých subjektů. V praxi by tak mohly úřady například vyřadit z bezpečnostních důvodů konkrétní firmy z dodávek pro součást citlivého a pro stát klíčového systému.
„Navrhované opatření je zcela mimořádný nástroj, který ve výjimečných, závažných a odůvodněných případech dává pravomoc ministerstvu vnitra ve správním řízení stanovit podmínky pro dodávky a poskytování služeb, omezit nebo zakázat dodavateli činnost spočívající v dodávání zboží a služeb subjektu kritické infrastruktury, jestliže o tomto subjektu ministerstvo vnitra bude mít relevantní informace o tom, že takový dodavatel představuje riziko pro bezpečnost České republiky,” popisuje svůj návrh samo ministerstvo.
Resort přitom zdůrazňuje, že v současné době stát nemá účinný nástroj, jak podobná rizika řešit, a to i v situaci, kdy o nich ví: „Navrhované opatření reaguje na informace, které má předkladatel k dispozici od ostatních orgánů státní správy, policie a zpravodajských služeb, a které pokrývají celou řadu hrozeb, a to od napojení dodavatelských subjektů na zpravodajské služby cizí moci, přes tuzemský i mezinárodní organizovaný zločin, po hrozby z oblasti terorismu.”
Podle vnitra ustanovení míří na ty dodavatele, jejichž personál může mít v rámci daného subjektu kritické infrastruktury přístup téměř do všech míst. „Typicky půjde o zaměstnance personální agentury, úklidové a bezpečnostní služby a podobně,” přibližuje ministerstvo s tí. že jde o krajní nástroj, který bude využívaný jen zcela ojediněle.
Vnitro ve svém návrhu počítá mimo jiné s tím, že za přestupky podle zákona o kritické infrastruktuře budou sankce odstupňované podle výše obratu viníka. S tím ale nesouhlasí podnikatelské a zaměstnanecké svazy a ani tento rozpor se vnitru podle předkládací zprávy nepodařilo urovnat.
Se zástupci byznysu se ministerstvo neshodlo ani na způsobu procesu určování subjektu kritické infrastruktury, kde je požadováno správní rozhodnutí, nebo na potřebě zákonného zakotvení oprávnění subjektů kritické infrastruktury vyjadřovat se ke strategii, nebo na zavést v zákoně také identifikaci významného odběratele.
Vznikne nová pracovní skupina
Nová úprava je podle úřadu nutná i s ohledem na zhoršení bezpečnostního prostředí. Ministerstvo upozorňuje, že stát by měl vytvořit podmínky pro zvyšování a také zajišťování odolnosti základních služeb, které jsou nezbytné pro jeho fungování.
„Bezpečnost a odolnost organizačních složek státu a dalších orgánů a osob, jež poskytují služby stěžejní pro fungování státu, jsou předpoklady pro zajištění bezpečnosti České republiky. Podle Bezpečnostní strategie České republiky existuje řada hrozeb, kterým Česká republika čelí, a to včetně kybernetických útoků, ohrožení funkčnosti kritické infrastruktury či přerušení dodávek strategických surovin nebo energií,” shrnuje ministerstvo.
Kdy bude Fialův kabinet o návrhu jednat, zatím není jasné. V případě jeho odsouhlasení ho ale budou muset ještě posuzovat obě komory parlamentu. A vnitro přitom v původní důvodové zprávě upozorňuje, že Česko má vzhledem k závazné evropské směrnici čas na uvedení nové legislativy do praxe maximálně do letošního podzimu.
„V případě, kdy by transpozice byla realizována pouze částečně, nebyla realizována vůbec, případně by k ní došlo po 17. říjnu 2024, hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise,” konstatuje resort pod Rakušanovým vedením.
Aktuálně v rámci vypořádání veškerých připomínek pak také úřad doplňuje, že ani schválením nové normy změny v systému kritické infrastruktury zřejmě neskončí. „Samotný průběh dosavadního legislativního procesu této revize krizové legislativy ukázal, že tímto návrhem zákona nemůže být téma změn v oblasti přípravy a řešení krizových situací zcela uzavřeno,” poznamenává ministerstvo.
Vysvětluje přitom, že části poznatků, které nemohly být z časových, věcných, finančních či jiných důvodů, řešeny v popsané rozsáhlé novelizaci, se tak bude dále věnovat meziresortní pracovní skupina. Tu plánuje Rakušanův úřad ustavit v průběhu následujících měsíců.
Tomáš Svoboda