Před mikrofonem: Jak se připravuje nová legislativa o kritické infrastruktuře

Jedním z klíčových compliance témat příštího roku bude nová evropská směrnice o odolnosti kritických subjektů (tzv. směrnice CER). Kritické infrastruktuře se dlouhodobě věnuješ. Co je obsahem nové směrnice CER?

Michal Moroz (AKI): Směrnice přináší nová pravidla pro subjekty provozující takzvané základní služby. V praxi znamená zásadní proměnu stávající krizové legislativy, především v části týkající se posilování odolnosti kritické infrastruktury, postavení, práv a povinností jejích subjektů, pracovníků a dodavatelů.

Koho se bude směrnice týkat?

Michal Moroz (AKI): Dotkne se všech významných odvětví takzvaných základních služeb stanovených přímo ve směrnici. Jde o energetiku, telekomunikace, veřejnou dopravu, zdravotnictví, vodárenství, potravinářství nebo o finanční trhy. K tomu si každá členská země může přidat svá vlastní kritická odvětví. U nás se mluví o poštovních službách nebo odpadovém hospodářství. Ale to se během legislativního procesu ještě může změnit.

Jak to vypadá s transpozicí směrnice do českého práva? Lhůta je stanovena na 17. říjen tohoto roku. Už je k dispozici návrh národní legislativy?

Michal Moroz (AKI): Směrnice CER byla přijata v prosinci 2022 a v účinnost vstoupila v lednu 2023, společně se směrnicí k zajištění vysoké společné úrovně kybernetické bezpečnosti (NIS2) a s nařízením o digitální provozní odolnosti finančního sektoru (DORA). Toto nařízení má přímou účinnost a vstoupí v celém svém rozsahu v použitelnost 17. ledna 2025. Oproti tomu směrnice CER a NIS2 nemají přímou účinnost, ale každý členský stát EU je musí transponovat ve stanovené lhůtě, 17. říjen 2024, do národní legislativy.

Česká republika tento termín určitě nestihne. Za transpozici směrnice CER je u nás odpovědné ministerstvo vnitra, konkrétně Generální ředitelství Hasičského záchranného sboru ČR. Hasiči zvolili inovativní řešení - navrhují vyjmout kritickou infrastrukturu z krizového zákona, jak tomu bylo dosud, a zakotvit ji do zcela nového zákona o kritické infrastruktuře. Což je sice velmi dobré, ale současně legislativně náročné řešení.

V jaké fázi přípravy se tedy český zákon nachází?

Michal Moroz (AKI): Návrh již prošel meziresortem a vnitro nyní vypořádává sebrané připomínky. To ještě nějaký čas zabere. Navíc nejsou hotové návrhy prováděcích vyhlášek, které by měly být součástí balíku s návrhem zákona. Hotové musí být minimálně ve chvíli, kdy půjde celý návrh na legislativní radu vlády.

Očekáváš při vypořádání nějaké zásadní neshody, které by mohly jeho následné projednání a schvalování ohrozit? Něco podobně kontroverzního, jako pravidla pro řízení dodavatelského řetězce v návrhu nového zákona o kybernetické bezpečnosti transponujícím směrnici NIS2?

Michal Moroz (AKI): Návrh skutečně obsahuje některé sporné body, ale rozpory se týkají spíše navazujících změn v krizovém řízení. Kraje usilují o posílení svých kompetencí na úkor ministerstva vnitra. S tím zásadně nesouhlasí nejen hasiči, ale ani města a obce. Tento kompetenční spor však nesouvisí se směrnicí CER. Generální ředitelství hasičů si dalo s přípravou transpozice hodně práce a průběžně ji s trhem konzultovalo, takže si myslím, že se většinu připomínek podaří úspěšně a konstruktivně vypořádat. Návrh vlastně obsahuje pouze dvě skutečně kontroverzní ustanovení.

O co se jedná?

Michal Moroz (AKI): Mám na mysli zejména výši navrhovaných pokut. Ty se mohou již při první recidivě vyšplhat až k 50 milionům korun, respektive ke 3 % z celosvětově dosahovaného čistého obratu. To je neudržitelné.

Směrnice CER sama výši pokut neupravuje a nechává to na členských státech. Proč předkladatel navrhuje zrovna tuto výši, z čeho vychází?

Michal Moroz (AKI): Směrnice stanoví, že stanovené sankce musí být účinné, přiměřené a odrazující. Autoři se však zřejmě soustředili na slovo odrazující. Konkrétní výši pokut v důvodové zprávě nijak nevysvětlují. Jejich horní hranici stanovili podle vlastního vyjádření tak, aby měla cituji „odstrašující funkci“. Jenže zapomněli na tu přiměřenost. Dovedeš si určitě spočítat, že procenta z obratu u globálně působících telekomunikačních, energetických nebo farmaceutických firem se pohybují v řádu desítek miliard korun. To je naprosto absurdní. Ustanovení o přestupcích a sankcích by měly být v zákoně zpracovány precizněji také proto, že řízení o nich nepovede jeden úřad, ale vždy věcně příslušný resort pro dané odvětví. Takže nám při ukládání sankcí hrozí rozhodovací praxe „od Šumavy k Tatrám“.

A to druhé sporné ustanovení? 

Michal Moroz (AKI): Jde o paragraf, na jehož základě by Ministerstvo vnitra mohlo zakazovat subjektům kritické infrastruktury jejich dodavatele. Přitom vnitro nemá k ničemu takovému politický mandát a ani EU po nás nic takového nevyžaduje. Jde o naprosto nesystémový a nekvalitně připravený návrh. Nechápu, proč tím navrhovatelé zbytečně ohrožují transpozici celé směrnice a zdržují schvalování jinak dobře připraveného a s trhem mnohokrát prodiskutovaného zákona. Stačí se podívat, jaké problémy a zpoždění v případě zákona o kybernetické bezpečnosti si podobným počinem způsobil NÚKIB.

Myslíš mechanismus řízení bezpečnosti dodavatelů v návrhu nového zákona o kybernetické bezpečnosti?

Michal Moroz (AKI): Jistě. Nový zákon o kybernetické bezpečnosti je sice o něco dál, ale naráží na zásadní odpor trhu i mnoha státních institucí. Aktuálně se zasekl v legislativní radě vlády, která jej vrátila na NÚKIBk přepracování. Důvodem jsou především obrovské náklady pro regulované subjekty a snaha ukládat řadu povinností prostřednictvím vyhlášek, což mnozí považují za protiústavní. Největší nevoli však vyvolává zmíněná regulace dodavatelů. Přitom směrnice NIS2 nic takového nepožaduje. Přesto se NÚKIB rozhodl včlenit mechanismus právě do její transpozice. Už v lednu 2023 je Asociace kritické infrastruktury ČR veřejně upozorňovala, že tím zbytečně ohrožují celé schvalování jinak potřebného zákona. Jenže vedení NÚKIB na tomto řešení trvalo. Nemám z toho radost, ale na naše slova došlo. Takže jen doufám, že vnitro teď nebude opakovat stejnou chybu.

Celé znění rozhovoru naleznete na gdpr.cz.

Asociace kritické infrastruktury ČR je profesní organizací sdružující subjekty kritické infrastruktury a jejich významné dodavatele. Asociace reprezentuje subjekty průřezově napříč sektory, zejména z odvětví energetiky, vodárenství, telekomunikací a veřejné dopravy. Jejím posláním je přispívat k posilování odolnosti kritické infrastruktury, zastupovat a hájit své členy, aktivně se podílí na tvorbě krizové a bezpečnostní legislativy, pořádá odborné konference a popularizuje problematiku ochrany kritické infrastruktury v České republice. 

Michal Moroz je absolventem Právnické fakulty Univerzity Karlovy v Praze. Celoživotně se věnuje problematice řízení rizik, bezpečnosti, krizovému řízení a compliance. Aktuálně působí jako výkonný ředitel Asociace kritické infrastruktury ČR a nezávislý konzultant. V minulosti působil jako náměstek ministra vnitra nebo ve společnostech Securitas, Pinkerton, Česká pošta a Česká zbrojovka.