Jedním z klíčových compliance témat příštího roku bude nová evropská směrnice o odolnosti kritických subjektů (tzv. směrnice CER). Kritické infrastruktuře se dlouhodobě věnuješ. Co je obsahem nové směrnice CER?
Michal Moroz (AKI): Směrnice přináší nová pravidla pro subjekty provozující takzvané základní služby. V praxi znamená zásadní proměnu stávající krizové legislativy, především v části týkající se posilování odolnosti kritické infrastruktury, postavení, práv a povinností jejích subjektů, pracovníků a dodavatelů.
Koho se bude směrnice týkat?
Michal Moroz (AKI): Dotkne se všech významných odvětví takzvaných základních služeb stanovených přímo ve směrnici. Jde o energetiku, telekomunikace, veřejnou dopravu, zdravotnictví, vodárenství, potravinářství nebo o finanční trhy. K tomu si každá členská země může přidat svá vlastní kritická odvětví. U nás se mluví o poštovních službách nebo odpadovém hospodářství. Ale to se během legislativního procesu ještě může změnit.
Jak to vypadá s transpozicí směrnice do českého práva? Lhůta je stanovena na 17. říjen tohoto roku. Už je k dispozici návrh národní legislativy?
Michal Moroz (AKI): Směrnice CER byla přijata v prosinci 2022 a v účinnost vstoupila v lednu 2023, společně se směrnicí k zajištění vysoké společné úrovně kybernetické bezpečnosti (NIS2) a s nařízením o digitální provozní odolnosti finančního sektoru (DORA). Toto nařízení má přímou účinnost a vstoupí v celém svém rozsahu v použitelnost 17. ledna 2025. Oproti tomu směrnice CER a NIS2 nemají přímou účinnost, ale každý členský stát EU je musí transponovat ve stanovené lhůtě, 17. říjen 2024, do národní legislativy.
Česká republika tento termín určitě nestihne. Za transpozici směrnice CER je u nás odpovědné ministerstvo vnitra, konkrétně Generální ředitelství Hasičského záchranného sboru ČR. Hasiči zvolili inovativní řešení - navrhují vyjmout kritickou infrastrukturu z krizového zákona, jak tomu bylo dosud, a zakotvit ji do zcela nového zákona o kritické infrastruktuře. Což je sice velmi dobré, ale současně legislativně náročné řešení.
V jaké fázi přípravy se tedy český zákon nachází?
Michal Moroz (AKI): Návrh již prošel meziresortem a vnitro nyní vypořádává sebrané připomínky. To ještě nějaký čas zabere. Navíc nejsou hotové návrhy prováděcích vyhlášek, které by měly být součástí balíku s návrhem zákona. Hotové musí být minimálně ve chvíli, kdy půjde celý návrh na legislativní radu vlády.
Očekáváš při vypořádání nějaké zásadní neshody, které by mohly jeho následné projednání a schvalování ohrozit? Něco podobně kontroverzního, jako pravidla pro řízení dodavatelského řetězce v návrhu nového zákona o kybernetické bezpečnosti transponujícím směrnici NIS2?
Michal Moroz (AKI): Návrh skutečně obsahuje některé sporné body, ale rozpory se týkají spíše navazujících změn v krizovém řízení. Kraje usilují o posílení svých kompetencí na úkor ministerstva vnitra. S tím zásadně nesouhlasí nejen hasiči, ale ani města a obce. Tento kompetenční spor však nesouvisí se směrnicí CER. Generální ředitelství hasičů si dalo s přípravou transpozice hodně práce a průběžně ji s trhem konzultovalo, takže si myslím, že se většinu připomínek podaří úspěšně a konstruktivně vypořádat. Návrh vlastně obsahuje pouze dvě skutečně kontroverzní ustanovení.
O co se jedná?
Michal Moroz (AKI): Mám na mysli zejména výši navrhovaných pokut. Ty se mohou již při první recidivě vyšplhat až k 50 milionům korun, respektive ke 3 % z celosvětově dosahovaného čistého obratu. To je neudržitelné.
Směrnice CER sama výši pokut neupravuje a nechává to na členských státech. Proč předkladatel navrhuje zrovna tuto výši, z čeho vychází?
Michal Moroz (AKI): Směrnice stanoví, že stanovené sankce musí být účinné, přiměřené a odrazující. Autoři se však zřejmě soustředili na slovo odrazující. Konkrétní výši pokut v důvodové zprávě nijak nevysvětlují. Jejich horní hranici stanovili podle vlastního vyjádření tak, aby měla cituji „odstrašující funkci“. Jenže zapomněli na tu přiměřenost. Dovedeš si určitě spočítat, že procenta z obratu u globálně působících telekomunikačních, energetických nebo farmaceutických firem se pohybují v řádu desítek miliard korun. To je naprosto absurdní. Ustanovení o přestupcích a sankcích by měly být v zákoně zpracovány precizněji také proto, že řízení o nich nepovede jeden úřad, ale vždy věcně příslušný resort pro dané odvětví. Takže nám při ukládání sankcí hrozí rozhodovací praxe „od Šumavy k Tatrám“.
A to druhé sporné ustanovení?
Michal Moroz (AKI): Jde o paragraf, na jehož základě by Ministerstvo vnitra mohlo zakazovat subjektům kritické infrastruktury jejich dodavatele. Přitom vnitro nemá k ničemu takovému politický mandát a ani EU po nás nic takového nevyžaduje. Jde o naprosto nesystémový a nekvalitně připravený návrh. Nechápu, proč tím navrhovatelé zbytečně ohrožují transpozici celé směrnice a zdržují schvalování jinak dobře připraveného a s trhem mnohokrát prodiskutovaného zákona. Stačí se podívat, jaké problémy a zpoždění v případě zákona o kybernetické bezpečnosti si podobným počinem způsobil NÚKIB.
Myslíš mechanismus řízení bezpečnosti dodavatelů v návrhu nového zákona o kybernetické bezpečnosti?
Michal Moroz (AKI): Jistě. Nový zákon o kybernetické bezpečnosti je sice o něco dál, ale naráží na zásadní odpor trhu i mnoha státních institucí. Aktuálně se zasekl v legislativní radě vlády, která jej vrátila na NÚKIB k přepracování. Důvodem jsou především obrovské náklady pro regulované subjekty a snaha ukládat řadu povinností prostřednictvím vyhlášek, což mnozí považují za protiústavní. Největší nevoli však vyvolává zmíněná regulace dodavatelů. Přitom směrnice NIS2 nic takového nepožaduje. Přesto se NÚKIB rozhodl včlenit mechanismus právě do její transpozice. Už v lednu 2023 je Asociace kritické infrastruktury ČR veřejně upozorňovala, že tím zbytečně ohrožují celé schvalování jinak potřebného zákona. Jenže vedení NÚKIB na tomto řešení trvalo. Nemám z toho radost, ale na naše slova došlo. Takže jen doufám, že vnitro teď nebude opakovat stejnou chybu.
Obě směrnice jsou platné už od ledna 2023. Čím to je, že se o kybernetické směrnici NIS2 mluví daleko více?
Michal Moroz (AKI): Máš pravdu, že směrnice CER zůstává trochu ve stínu NIS2. Má to několik příčin. Na prvním místě jsou nepochybně peníze. Náklady na zajištění kybernetické bezpečnosti podle nových pravidel budou astronomické. Nejen co do technických opatření, ale i na zajištění lidských zdrojů. Skutečných odborníků je málo a jsou drazí. Čímž neříkám, že investovat do bezpečnosti není potřeba. Naopak. Prevence je vždy levnější a efektivnější než léčba. Ostatně subjekty kritické infrastruktury do posilování své odolnosti masivně investují již nyní, aniž by jim to stát nařizoval. Protože vědí, že se jim to vyplatí. Ale nesmí se to přehnat, musí se vymezit určité racionální mantinely. V tomto ohledu bych se naopak NÚKIB zastal. Připomínkám trhu naslouchají a cítím, že na některé návrhy by byli ochotni přistoupit. Jen se obávám, že s tím narazí u Evropské komise.
Hraje roli také větší počet regulovaných subjektů podle NIS2?
Michal Moroz (AKI): Nepochybně. Ale je potřeba si uvědomit, že drtivá většina z těch tisíců regulovaných subjektů, o kterých se mluví, spadne do takzvaného režimu nižších povinností. V režimu vyšších povinností, který znamená daleko vyšší náklady, jich bude podstatně méně, odhadoval bych vyšší stovky. Tento režim se bude týkat především kritických subjektů a automaticky do něj spadnou všechny subjekty určené podle nového zákona o kritické infrastruktuře. Přesto CER zůstává trochu nezaslouženě ve stínu směrnice NIS2.
Směrnice CER a NIS2 a nařízení DORA sledují do velké míry podobné cíle, ochranu, dostupnost a odolnost klíčových činností a služeb. Jak ty vnímáš jejich vztah či vazbu?
Michal Moroz (AKI): V obecné rovině lze říci, že si všechny kladou za cíl posilování „resilience“. CER obsahuje úpravu pravidel pro obecné posilování odolnosti veškeré kritické infrastruktury a řízení kontinuity činností. Zbývající dvě normy pak stanoví specifická pravidla pro oblast odolnosti informačních a komunikačních technologií. NIS2 univerzálně a DORA specificky pro banky a některé další finanční instituce. Koordinuje se také příprava obou nových zákonů. Ostatně není náhoda, že obě směrnice byly schváleny společně v jeden den a mají stejné transpoziční lhůty.
O NIS2 toho určitě ještě uslyšíme hodně. Pojďme však zpět ke směrnici CER. Znamená zdržení její transpozice nějaký problém pro ČR?
Michal Moroz (AKI): Nedodržení transpoziční lhůty je vždycky nešťastné. Ale řekněme si narovinu, že v tom nejsme v Evropě sami, takže hlavu nám za to určitě nikdo neutrhne. Z mého pohledu není podstatné, zda bude zákon schválen letos na podzim nebo příští rok. Důležité je, aby byl kvalitní. Česká republika potřebuje funkční právní úpravu ochrany kritické infrastruktury. To byl ostatně i hlavní důvod, proč jsme na podzim 2019 zakládali Asociaci kritické infrastruktury ČR. Stávající legislativa je podle nás nevyhovující, což naplno potvrdila nejen pandemie Covid-19, ale i řada dalších mimořádných událostí a živelných pohrom posledních let.
A kdy bude jasněji, jaká práva a povinnosti nová legislativa subjektům kritické infrastruktury přinese?
Michal Moroz (AKI): Základní rámec je jasný už dnes, protože vyplývá ze směrnice CER, ale ďábel se skrývá v detailu. Podrobnosti bych proto raději komentoval v okamžiku, kdy se ukáže, jak ministerstvo vnitra vypořádalo meziresortní připomínkové řízení. Z pozice subjektů kritické infrastruktury bude klíčové, jak se ministerstvo postaví k připomínkám podnikatelských svazů. Pak se můžeme k návrhu zákona vrátit a probrat jej podrobněji.
Asociace kritické infrastruktury ČR je profesní organizací sdružující subjekty kritické infrastruktury a jejich významné dodavatele. Asociace reprezentuje subjekty průřezově napříč sektory, zejména z odvětví energetiky, vodárenství, telekomunikací a veřejné dopravy. Jejím posláním je přispívat k posilování odolnosti kritické infrastruktury, zastupovat a hájit své členy, aktivně se podílí na tvorbě krizové a bezpečnostní legislativy, pořádá odborné konference a popularizuje problematiku ochrany kritické infrastruktury v České republice.
Michal Moroz je absolventem Právnické fakulty Univerzity Karlovy v Praze. Celoživotně se věnuje problematice řízení rizik, bezpečnosti, krizovému řízení a compliance. Aktuálně působí jako výkonný ředitel Asociace kritické infrastruktury ČR a nezávislý konzultant. V minulosti působil jako náměstek ministra vnitra nebo ve společnostech Securitas, Pinkerton, Česká pošta a Česká zbrojovka.