V Plánu legislativních prací vlády na rok 2020 byl pro Národní úřad pro kybernetickou a informační bezpečnost zařazen legislativní úkol zpracovat a vládě předložit návrh zákona, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů. Cílem návrhu zákona mělo být mimo jiné zajistit adaptaci českého právního řádu na nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“). Tento návrh zákona byl v roce 2020 předložen vládě, následně vládou schválen a předložen Poslanecké sněmovně Parlamentu České republiky. Protože vládní návrh zákona nebyl do konce volebního období Poslanecké sněmovny schválen, Národní úřad pro kybernetickou a informační bezpečnost zpracoval nový návrh zákona, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „návrh zákona“), který již obsahuje toliko adaptační právní úpravu. Tento návrh zákona byl schválen usnesením vlády ze dne 19. ledna 2022 č. 19.
Navrhuje se, aby Poslanecká sněmovna Parlamentu České republiky vyslovila v souladu s § 90 odst. 2 zákona č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, ve znění pozdějších předpisů, souhlas s návrhem zákona již v prvém čtení, a to vzhledem k tomu, že
• návrh zákona obsahuje toliko adaptační novelizaci jediného zákona (zákona o kybernetické bezpečnosti), kdy těžiště právní regulace předmětné problematiky (Evropského rámce pro certifikaci kybernetické bezpečnosti) je obsaženo přímo v aktu o kybernetické bezpečnosti, a • lhůta pro adaptaci českého právního řádu na akt o kybernetické bezpečnosti podle čl. 69 odst. 2 aktu o kybernetické bezpečnosti uplynula dne 28. června 2021.
Při vypracování návrhu zákona byly zohledněny zásady pro tvorbu digitálně přívětivé legislativy.
1. Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Platná a účinná právní úprava zákona o kybernetické bezpečnosti neobsahuje právní úpravu, kterou by bylo možno považovat za dostačující ve vztahu k aktu o kybernetické bezpečnosti. V tomto nařízení je upravena problematika, jejíž dílčí část má být řešena návrhem zákona, který je adaptačním právním předpisem k aktu o kybernetické bezpečnosti. Nařízení (EU) č. 526/2013, které je aktem o kybernetické bezpečnosti rušeno, neupravovalo problematiku, která by byla upravena v tuzemském právním řádu.
V aktuálně platné a účinné právní úpravě není stanoven nositel role vnitrostátního orgánu certifikace kybernetické bezpečnosti na území České republiky a ani nejsou stanovena pravidla pro sankce za porušení aktu o kybernetické bezpečnosti, což jsou povinnosti stran normativní právní úpravy stanovené členským státům právě aktem o kybernetické bezpečnosti.
2. Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Akt o kybernetické bezpečnosti stanovuje, že některé oblasti právní úpravy budou dodefinovány na národní úrovni. Jedná se zejména o stanovení vnitrostátního orgánu certifikace kybernetické bezpečnosti a správní delikty za jednání v rozporu s nařízením (aktem o kybernetické bezpečnosti). Hlavním účelem navrhované právní úpravy je provedení adaptace národního právního řádu na akt o kybernetické bezpečnosti. Podle něj musí každý členský stát určit jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na svém území a stanovit pravidla pro sankce za porušení nařízení. Návrh zákona určuje vnitrostátní orgán certifikace kybernetické bezpečnosti, kterým bude Národní úřad pro kybernetickou a informační bezpečnost, jakožto ústřední orgán státní správy, který je garantem kybernetické bezpečnosti v České republice. Návrh zákona dále stanovuje sankce za jednotlivé přestupky v souladu s čl. 65 aktu o kybernetické bezpečnosti. Návrh zákona také stanovuje základní pravidla pro provádění autorizací předvídaných aktem o kybernetické bezpečnosti. Požadavky na subjekty posuzování shody hodnocené v rámci řízení o jejich autorizaci mají být v budoucnu konkretizovány v jednotlivých prováděcích aktech Evropské komise. Cílem doplňovaného ustanovení je především vytvořit terminologické navázání českého právního řádu na akt o kybernetické bezpečnosti a stanovit délku lhůty pro vydání rozhodnutí v řízení o žádosti o autorizaci (obdobně jako je lhůta stanovena v adaptační úpravě provedené zákonem č. 22/1997 Sb.).
Nárůst digitalizace a propojenosti zvyšuje kybernetická bezpečnostní rizika, což způsobuje, že společnost jako celek se stává zranitelnější vůči kybernetickým hrozbám a zvyšuje se nebezpečí pro jednotlivé uživatele. Za účelem zmírnění těchto rizik je třeba přijmout opatření, která přispějí ke zlepšení kybernetické bezpečnosti v celé Evropské unii. Smyslem certifikace kybernetické bezpečnosti jako takové, která je upravena přímo aktem o kybernetické bezpečnosti, je zvyšování důvěry v produkty, služby a procesy v oblasti informačních a komunikačních technologií skrze jejich bezpečnost. Certifikace je podle aktu o kybernetické bezpečnosti dobrovolná, nestanoví-li budoucí unijní nebo vnitrostátní právo jinak. Certifikací se osvědčí, že produkty, služby a procesy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, důvěrnosti a integrity. Certifikaci samotnou budou provádět tzv. subjekty posuzování shody, které budou akreditovány Českým institutem pro akreditaci a v určitých případech také autorizovány vnitrostátním orgánem certifikace kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost bude fungovat jako vnitrostátní orgán certifikace kybernetické bezpečnosti, který bude dohlížet na pravidla zahrnutá v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, napomáhat vnitrostátním subjektům akreditace při monitorování činnosti subjektů posuzování shody a při dozoru nad touto činností a poskytovat uvedeným subjektům akreditace podporu, sledovat činnost veřejných subjektů, které jsou subjekty posuzování shody, a dohlížet na tyto aktivity, v příslušných případech autorizovat subjekty posuzování shody, řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti vydanými vnitrostátními orgány certifikace kybernetické bezpečnosti či subjekty posuzování shody, každoročně předkládat agentuře ENISA a Evropské skupině pro certifikaci kybernetické bezpečnosti souhrnnou zprávu o činnostech v rámci certifikace kybernetické bezpečnosti a další. Pravidla budou upravena jednotlivými evropskými systémy certifikace kybernetické bezpečnosti. Společný evropský rámec pro certifikaci je stanoven v čl. 46 aktu o kybernetické bezpečnosti; nejenom z něj pak vychází agentura ENISA při návrhu jednotlivých systémů certifikace.
Návrh zákona nepřináší negativní dopady do zákazu diskriminace a do vztahu rovnosti mužů a žen. Novela zákona o kybernetické bezpečnosti neupravuje práva a povinnosti, která by svědčila jen některému z pohlaví, ani se nedotýká témat, která by měla diskriminační potenciál či vytvářela rozdíly mezi ženami a muži a případně jinými pohlavími.
3. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku
Národní úřad pro kybernetickou a informační bezpečnost podrobil zákon o kybernetické bezpečnosti přezkumu z důvodu jeho vhodnosti pro adaptaci národního právního řádu na akt o kybernetické bezpečnosti. V současné době zákon o kybernetické bezpečnosti nestanoví vnitrostátní orgán certifikace kybernetické bezpečnosti ani nestanovuje pravidla pro sankce za porušení aktu o kybernetické bezpečnosti, což je právní úprava, která musí být přijata, aby bylo vyhověno předmětnému nařízení. Neprovedení adaptace národního právního řádu na uvedené nařízení by mohlo být Evropskou komisí považováno za nesplnění povinnosti vyplývající České republice z primárního práva Evropské unie (Smlouva o Evropské unii a Smlouva o fungování Evropské unie), přičemž by Evropská komise na základě čl. 258 Smlouvy o fungování Evropské unie mohla předložit tuto záležitost Soudnímu dvoru Evropské unie. V českém právním řádu není určen subjekt, který by beze změny právní úpravy mohl vykonávat působnost vnitrostátního orgánu certifikace kybernetické bezpečnosti.
Cílem návrhu novely zákona o kybernetické bezpečnosti je adaptace národního právního řádu na akt o kybernetické bezpečnosti (konkrétně na část nařízení týkající se certifikace kybernetické bezpečnosti). Cílový stav se bude vyznačovat tím, že český právní řád bude obsahovat právní úpravu, která je aktem o kybernetické bezpečnosti ponechána na úpravě jednotlivým členským státům. Navrhuje se, že v České republice bude stanoven vnitrostátní orgán certifikace kybernetické bezpečnosti, kterým bude Národní úřad pro kybernetickou a informační bezpečnost, jakožto ústřední orgán státní správy mající obecně za úkol plnit stěžejní roli v oblasti kybernetické bezpečnosti.
Návrh zákona zakotvuje taktéž oblast správního trestání v podobě sankcí za porušení aktu o kybernetické bezpečnosti.
Adaptace národního právního řádu na akt o kybernetické bezpečnosti lze docílit jen prostřednictvím dílčích legislativních úprav zákona o kybernetické bezpečnosti.
Návrh zákona taktéž stanovuje lhůtu pro vyřízení žádosti o autorizaci, kdy stávající lhůta stanovená správním řádem není pro realizaci posuzování odborné způsobilosti subjektů dostatečná.
4. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky
Navrhovaná právní úprava je v souladu s ústavním pořádkem České republiky.
Navrhovaná sankční ustanovení jsou slučitelná s článkem 7 Úmluvy o ochraně lidských práv a základních svobod, tj. se zásadou uložení trestu jen na základě zákona. V tomto článku se odráží princip legality a požadavky na jasnou a předvídatelnou úpravu správního trestání, zejména z hlediska předvídatelnosti hrozících postihů.
5. Zhodnocení slučitelnosti navrhované právní úpravy s předpisy Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie
V rámci předchozích novelizací zákona o kybernetické bezpečnosti byl implementován následující sekundární předpis Evropské unie:
- Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.
Návrhu zákona se dotýká následující předpis Evropské unie:
- Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).
Navrhovaná úprava zákona o kybernetické bezpečnosti je plně slučitelná s předpisy Evropské unie. Návrh zákona rovněž není v rozporu s judikaturou soudních orgánů Evropské unie a je v souladu s obecnými právními zásadami práva Evropské unie.
6. Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, kterými je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách
Problematika certifikace kybernetické bezpečnosti není upravena žádnou mezinárodní úmluvou. Navrhovaná právní úprava je plně v souladu s předpisy Evropské unie, judikaturou Soudního dvora Evropské unie a obecnými právními zásadami práva Evropské unie.
Z hlediska ochrany lidských práv a základních svobod ctí návrh zákona práva a základní svobody přiznávané mezinárodními smlouvami o lidských právech a základních svobodách, jako je Listina základních práv Evropské unie nebo Úmluva o ochraně lidských práv a základních svobod a její protokoly.
Oblast certifikace kybernetické bezpečnosti spadá do oblasti zajištění řádného fungování vnitřního trhu, a tudíž není plně v gesci jednotlivých členských států, ale v oblasti sdílené pravomoci s Evropskou unií.
7. Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty, na podnikatelské prostředí České republiky, sociální dopady, včetně dopadu na rodiny a dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, a dopady na životní prostředí
Návrh novely zákona o kybernetické bezpečnosti určuje vnitrostátní orgán certifikace kybernetické bezpečnosti, kterým bude Národní úřad pro kybernetickou a informační bezpečnost jakožto ústřední orgán státní správy, který je garantem kybernetické bezpečnosti v České republice. Aby byla dostatečně zabezpečena tato působnost, byl v rámci materiálu Koncepce rozvoje Národního úřadu pro kybernetickou a informační bezpečnost (schváleného usnesením vlády ze dne 17. srpna 2020 č. 848) navržen vznik dvou systemizovaných pracovních míst, což představuje náklady v objemu 1 707 104 Kč ročně. Systemizovaná pracovní místa určená k výkonu agendy vnitrostátního orgánu certifikace kybernetické bezpečnosti, stejně jako s nimi související náklady, jsou již zapracovány v materiálu Koncepce rozvoje Národního úřadu pro kybernetickou a informační bezpečnost a nebudou již tedy samostatně požadována v souvislosti s přijetím předkládaného návrhu zákona.
Pro podnikatelské prostředí České republiky nepředstavuje návrh zákona zvýšené finanční náklady.
Návrh zákona vzhledem ke své povaze nepředpokládá žádné sociální dopady ani dopady na životní prostředí. Nepředpokládá ani dopady na rodiny a na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny.
8. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů
Návrh novely zákona o kybernetické bezpečnosti nepřináší žádné změny, které mají dopad na ochranu soukromí nebo ochranu osobních údajů. Návrh novely určuje Národní úřad pro kybernetickou a informační bezpečnost jako vnitrostátní orgán certifikace kybernetické bezpečnosti na území České republiky; návrh novely také stanovuje pravidla pro sankce za porušení aktu o kybernetické bezpečnosti; návrh novely dále stanovuje lhůtu pro vyřízení žádosti o autorizaci. Navrhované řešení nemá dopad na ochranu soukromí a osobních údajů, neboť správní trestání jsou v zákoně o kybernetické bezpečnosti stanoveny již dnes a v praxi je v jejich rámci v případě zpracování osobních údajů postupováno podle nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a podle zákona č. 110/2019 Sb., o zpracování osobních údajů.
9. Zhodnocení korupčních rizik
Předkládaný návrh novely zákona o kybernetické bezpečnosti nepředpokládá korupční rizika a ani jejich nárůst.
10. Zhodnocení dopadů na bezpečnost nebo obranu státu
Návrh novely zákona o kybernetické bezpečnosti nepředpokládá nová rizika v oblasti bezpečnosti a obrany státu ani jejich nárůst.
Cílem aktu o kybernetické bezpečnosti je zajištění řádného fungování vnitřního trhu Evropské unie a dosažení vysoké úrovně kybernetické bezpečnosti, kybernetické odolnosti a důvěry v Evropské unii. Cílem návrhu zákona, jakožto adaptační právní úpravy aktu o kybernetické bezpečnosti, je pak přizpůsobení právního řádu České republiky tak, aby mohlo být uvedených cílů aktu o kybernetické bezpečnosti dosaženo.
K čl. I
K bodu 1 (§ 1 odst. 2)
Je-li právním předpisem prováděno jak přizpůsobení právního řádu přímo použitelnému předpisu Evropské unie, tak je jím promítána do právního předpisu celá směrnice Evropské unie nebo její podstatná část, je nezbytné, aby tyto předpisy Evropské unie byly uvedeny v referenčním ustanovení, jak stanoví Legislativní pravidla vlády. Navrhovaná novela adaptuje přímo použitelný akt o kybernetické bezpečnosti. Ustanovení § 1 odst. 2 se proto upravuje v souladu s čl. 48 odst. 4 Legislativních pravidel vlády.
K bodu 2 (§ 22)
Navrhuje se stanovit, že vnitrostátním orgánem certifikace kybernetické bezpečnosti je ve smyslu čl. 58 aktu o kybernetické bezpečnosti Národní úřad pro kybernetickou a informační bezpečnost. Jedná se o skutečnost, která musí být podle aktu o kybernetické bezpečnosti upravena národním právním řádem. I v této části návrhu novely se tedy jedná o adaptaci národního právního řádu na předmětné nařízení.
Role vnitrostátního orgánu certifikace kybernetické bezpečnosti se navrhuje přidělit Národnímu úřadu pro kybernetickou a informační bezpečnost, neboť je ústředním správním úřadem pro oblast kybernetické bezpečnosti, který plní zákonem stanovené povinnosti v oblasti kybernetické bezpečnosti.
Národní úřad pro kybernetickou a informační bezpečnost bude zejména dohlížet na pravidla zahrnutá v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, napomáhat vnitrostátním subjektům akreditace při monitorování činnosti subjektů posuzování shody a při dozoru nad touto činností a poskytovat uvedeným subjektům akreditace podporu, sledovat činnost veřejných subjektů, které jsou subjekty posuzování shody, a dohlížet na tyto aktivity, v příslušných případech autorizovat subjekty posuzování shody, řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti vydanými vnitrostátními orgány certifikace kybernetické bezpečnosti či subjekty posuzování shody, každoročně předkládat agentuře ENISA a Evropské skupině pro certifikaci kybernetické bezpečnosti souhrnnou zprávu o činnostech v rámci certifikace kybernetické bezpečnosti a další.
K bodu 3 (§ 22b)
Čl. 54 odst. 1 písm. f) aktu o kybernetické bezpečnosti stanoví, že jednotlivé evropské systémy certifikace (tzn. prováděcí akty Evropské komise, přičemž se předpokládá využití institutu přímo použitelného aktu – prováděcího nařízení Evropské komise) v příslušných případech zahrnují rovněž konkrétní nebo dodatečné požadavky na subjekty posuzování shody, s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost. Podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti se splnění těchto požadavků posuzuje v řízení o autorizaci.
Obdobně jako v § 11 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, bylo nutno explicitně jmenovat čtyři typy řízení týkající se autorizací, a to řízení o žádosti o autorizaci subjektu posuzování shody, řízení o pozastavení vykonatelnosti rozhodnutí o autorizaci, řízení o změně rozhodnutí o autorizaci a řízení o zrušení rozhodnutí o autorizaci, protože aktem o kybernetické bezpečnosti [konkrétně čl. 58 odst. 7 písm. e)] je toliko stanoveno, že vnitrostátní orgány certifikace „v příslušných případech autorizují subjekty posuzování shody podle čl. 60 odst. 3 a omezují, pozastavují nebo odebírají stávající autorizaci, pokud subjekty posuzování shody porušují požadavky tohoto nařízení“. S ohledem na uvedenou textaci čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti je současně nutno navázat řízení o pozastavení vykonatelnosti rozhodnutí o autorizaci, o změně rozhodnutí o autorizaci nebo o zrušení rozhodnutí o autorizaci nejen na porušení požadavků prováděcího nařízení Evropské komise (slovy návrhu zákona „přímo použitelného předpisu Evropské unie vydaného na základě aktu o kybernetické bezpečnosti“), ale také samotného aktu o kybernetické bezpečnosti („subjekty posuzování shody porušují požadavky tohoto nařízení“).
V odstavci 2 je stanovena povinnost subjektu posuzování shody přiložit k žádosti o autorizaci všechny doklady o plnění konkrétních nebo dodatečných požadavků. Jedná se opět o formulaci povinnosti koncipovanou obdobně jako v zákoně č. 22/1997 Sb. (konkrétně v § 11 odst. 1 větě druhé), tzn. v míře specifikace dokladů odpovídající tomu, že konkrétní nebo dodatečné požadavky budou stanoveny až (v budoucnu) prováděcími akty Evropské komise, a nelze tedy v tuto chvíli konkrétně stanovit, o jaké doklady prokazující tyto v budoucnu stanovené požadavky se jedná. Současně je ale nutno povinnost předložit doklady prokazující plnění požadavků subjektu posuzování shody uložit, jinak by relevantní skutečnosti nemohly být v řízení o žádosti o autorizaci řádně ověřeny.
V odstavci 3 je (obdobně jako v § 11 odst. 5 zákona č. 22/1997 Sb.) upraven postup správního orgánu v případě, že správní orgán vydá rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. V takovém případě má subjekt posuzování shody možnost ve stanovené lhůtě zjednat nápravu porušení stanovených požadavků. V situacích, kdy je zjednání nápravy možné, nedochází hned k rušení rozhodnutí o autorizaci.
Zvláštní ustanovení k § 71 správního řádu pak představuje návrh úpravy obsažený v § 22b odst. 4. Jedná se o ustanovení zcela obdobné § 20 zákona č. 22/1997 Sb., včetně totožného nastavení lhůt pro vydání rozhodnutí o autorizaci. Důvodem této úpravy je, že autorizace podle aktu o kybernetické bezpečnosti bude obdobně procesně, a tak i časově náročná jako autorizace podle zákona č. 22/1997 Sb.
Lze poznamenat, že v České republice je již zavedena řada obdobných řízení o autorizaci. Jedná se typicky o případy, kdy je u subjektu posuzování shody potřebné posoudit nad rámec akreditačních požadavků splnění také dalších požadavků, viz např. zákon č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 179/2006 Sb., o ověřování a uznávání výsledků dalšího vzdělávání a o změně některých zákonů (zákon o uznávání výsledků dalšího vzdělávání), ve znění pozdějších předpisů, zákon č. 201/2012 Sb., o ochraně ovzduší, ve znění pozdějších předpisů, atd.
K bodům 4 až 6 (§ 25)
Navrhuje se doplnit ustanovení zákona o kybernetické bezpečnosti upravující přestupky o nové skutkové podstaty. Důvodem je povinnost, která členským státům vyplývá přímo z aktu o kybernetické bezpečnosti a podle které mají být stanovena pravidla pro sankce za porušení části aktu o kybernetické bezpečnosti upravující rámec pro certifikaci kybernetické bezpečnosti a evropských systémů certifikace kybernetické bezpečnosti (v příslušných skutkových podstatách přestupků označovaných jako „přímo použitelné předpisy Evropské unie vydané na základě aktu o kybernetické bezpečnosti“). Jako subjekty přestupků se navrhují v § 25 odst. 11 výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající tzv. EU prohlášení o shodě, v § 25 odst. 12 držitel evropského certifikátu kybernetické bezpečnosti a v § 25 odst. 13 obecně právnická nebo podnikající fyzická osoba. V rámci formulace skutkových podstat přestupků bylo vycházeno z povinností stanovených subjektům textem aktu o kybernetické bezpečnosti přímo i nepřímo. Nepřímo v tom smyslu, že některé povinnosti subjektů jsou uvedeny v ustanovení uvedeného nařízení primárně upravujícím kompetence vnitrostátního orgánu certifikace kybernetické bezpečnosti. Formulace většiny skutkových podstat přestupků v rámci provedené adaptace (zejména přestupků navrhovaných v § 25 odst. 13) vychází z již dříve provedené adaptace nařízení Evropského parlamentu a Rady č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93, v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
Adaptace ustanovení aktu o kybernetické bezpečnosti, ze kterých vyplývá povinnost součinnosti při kontrole dodržování povinností, se realizuje platnými ustanoveními zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění zákona č. 183/2017 Sb.
Výše sankcí jednotlivých přestupků jsou stanoveny tak, aby byly přiměřeně přísné ve vztahu k porušeným právním povinnostem se zohledněním zákonem o kybernetické bezpečnosti doposud stanovených výší sankcí. Nové skutkové podstaty přestupků lze rozdělit do dvou kategorií podle horní hranice výše pokuty. Za typově závažnější porušení právních povinností lze udělit pokutu až do výše 5 000 000 Kč, za ta méně závažná porušení lze pak udělit pokutu až do výše 1 000 000 Kč.
Návrh zákona uvádí v § 25 odst. 13 písm. a) neurčitý pojem „jiný dokument“. Tímto pojmem je míněna veškerá technická dokumentace, která je podkladem pro posouzení shody. Podle odstavce 82 odůvodnění aktu o kybernetické bezpečnosti by měla technická dokumentace „upřesňovat požadavky použitelné podle daného systému a v rozsahu odpovídajícím vlastnímu posuzování shody pokrývat návrh, výrobu a provoz produktu, služby nebo procesu IKT“. V tomto duchu je pak na technickou dokumentaci odkazováno v čl. 52 odst. 5 a čl. 53 odst. 3 aktu o kybernetické bezpečnosti.
K čl. II (účinnost)
Lhůta pro adaptaci aktu o kybernetické bezpečnosti v členských státech Evropské unie uplynula dne 28. června 2021. S ohledem na tuto skutečnost se navrhuje, aby navrhovaný zákon nabyl účinnosti dnem následujícím po dni jeho vyhlášení, a tak bylo maximálně zkráceno prodlení při adaptaci. Je ve veřejném zájmu, aby se Česká republika v plném rozsahu zapojila do procesů certifikací produktů, procesů a služeb podle aktu o kybernetické bezpečnosti, stejně jako je ve veřejném zájmu plnění transpozičních závazků České republiky vůči Evropské unii. Proto se navrhuje nabytí účinnosti odlišné od § 3 odst. 3 zákona č. 309/1999 Sb., o Sbírce zákonů a o Sbírce mezinárodních smluv, ve znění pozdějších předpisů.
V Praze dne 19. ledna 2022
Předseda vlády:
prof. PhDr. Petr Fiala, Ph.D., LL.M, v. r.
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost:
Ing. Karel Řehka v. r.