Návrh vlády na posunutí účinnosti „digitální ústavy“ o dva roky není překvapivý. Dne 27. září tohoto roku zaslal Ivan Bartoš, tehdy ještě zbývající tři dny v roli místopředsedy vlády pro digitalizaci a ministr pro místní rozvoj, vládě materiál „Stav plnění zákona o právu na digitální služby ke dni 27. září 2024“. Materiál konstatuje, že i když DIA po převzetí agendy z Ministerstva vnitra připravila implementační doporučení, školení k interaktivním formulářům, ke Katalogu služeb a ke sdílení údajů, a uspořádala bezpočet jednání s resorty, není výsledek ke konci září 2024 uspokojivý a představuje riziko nesplnění zákona o právu na digitální služby. Následně materiál identifikuje důsledky tohoto nesplnění jako jsou velké reputační riziko, finanční riziko plynoucí z možných žalob a nárůst administrativního zatížení při dohledávání údajů, pokud uživatelé budou vyžadovat svoje práva dané zákonem. Proč? Protože zákon o právu na digitální služby v § 4 odst. 3 říká, že pokud orgán veřejné moci nezveřejní elektronický formulář, má uživatel právo učinit digitální úkon podle své volby v jakémkoli výstupném datovém formátu podle zákona upravujícího archivnictví a spisovou službu. Takže by milému občanovi stačilo zaslat email a ty úřade mi poskytni digitální službu, na kterou mám nárok.
V závěru materiál předkládá dvě varianty řešení. Buď vláda odloží účinnost do 1. ledna 2026, nebo všechny úřady zaberou a termín 1. února 2025 splní. Jak to dopadlo, již víme.
V bitvě o podobu kybernetického zákona příznivci a odpůrci nové právní úpravy vytahují nové argumenty a přibrušují argumenty staré. Datarun, a.s. publikoval studii s názvem „Na koho dopadne zákon o kybernetické bezpečnosti?„, která identifikovala, že do režimu nového zákona o kybernetické bezpečnosti spadne minimálně 8 244 subjektů, z toho v režimu vyšších povinností má být 1 261 subjektů. Tvůrci studie radí zákonodárcům, aby požadovali detailní odhad nákladů pro veřejnou správu i celou ekonomiku. To by bylo fajn…, kdyby s tím přišli o pár let dříve, když se projednávala směrnice NIS2 na evropské úrovni. Jenže v této fázi projednávání nikoho dopady na státní rozpočet a dopady na hospodářství moc nezajímají. Tlak přichází až při národní implementaci. Takže zatímco v roce 2021, během projednávání návrhu NIS2 v Bruselu, píší média, že „kyberbezpečnost musí řešit hlavně vedení firmy„, v roce 2022 (rok schválení NIS2) jsou „jedny z nejefektivnějších kyberútoků skrze dodavatele“ a „nastal rok regulace kybernetické bezpečnosti, zpozornět by měli hlavně statutáři„, tak v roce 2024 „přepálená implementace evropské směrnice vytvoří přes 50 nových míst pro úředníky“ a „nová kyberbezpečnostní regulace vyjde podnikatele draho.„.
NÚKIB mezitím precizuje svůj portál, který se snaží informovat veřejnost o problematice nového kybernetického zákona z pohledu povinných osob i běžné veřejnosti. Radí zde, jak se samoidentifikovat pomocí kalkulačky, co dělat v případě, že na subjekt dopadají povinnosti z nového kybernetického zákona a jak se na něj připravit. V souladu s marketingovými trendy dnešní doby k tomu připravil i jednodušší infografiku.
Ale bez toho, že NÚKIB pošle do meziresortu návrh vyhlášky o regulovaných službách, tak nelze počet povinných osob vyčíslit. Existuje sice návrh ze srpna tohoto roku, ale to je návrh, který je v podstatě jen takové demo, aby byla splněna povinnost vyplývající z legislativních pravidel. Resp. je to víc jak demo verze, protože legislativní pravidla ukládají s návrhem zákona předložit i teze prováděcích právních předpisů. Tím, že NÚKIB předložil návrh paragrafového znění, si trošku prokázal medvědí službu, protože ho nyní všichni berou za bernou minci, ale do meziresortu může přijít návrh jiný.
I když Hospodářský výbor odložil projednávání návrhu nového kybernetického zákona na konec listopadu, již se ví, že pozměňovací návrh by měl přesunout některé kompetence z NÚKIB na vládu. Třeba rozhodnutí o (ne)bezpečnosti dodavatelského řetězce. A co na to Milouš Jakeš?
„No, soudruzi, tohle je, bych řekl, otázka, která je, no, nesmírně zásadní. A já bych to viděl asi takhle. Když se bavíme o tý kritický infrastruktuře, že jo, tak to jsou ty nejdůležitější věci pro chod státu. To je prostě základ, bez kterýho by nám tady nic nefungovalo – elektrika, internet, nemocnice, doprava, a tak dál, že jo. A teď si musíme položit otázku: chceme, aby nám do těchhle věcí viděl někdo, komu nemůžeme úplně věřit? No já bych řekl, že to by bylo, no, krajně nerozumný. Páč kdo kontroluje infrastrukturu, ten vlastně drží stát za krk, no, jestli mi rozumíte.
Huawei, no podívejte se, to je firma, která sice dělá špičkový technologie, to nikdo nepopírá, že jo, ale zároveň je to firma, která má vazby na čínskou vládu. A teď si představte, že by se tam něco zvrtlo, no, a najednou by tu kabely, servery nebo antény byly pod kontrolou někoho, kdo může mít jiný zájmy než my. No to by bylo, jak říkáme, průšvih jak mraky. My přece musíme mít jistotu, že naše kritická infrastruktura je bezpečná, že jo, a že nám do ní nikdo nebude strkat nos.
A já vím, že se někdy říká: „No, Huawei je levnější, modernější, já nevím co,“ ale soudruzi, na bezpečnosti se prostě šetřit nemá, no to je jasný. K čemu by nám bylo, že ušetříme pár korun, když nás to pak může stát, no, mnohem víc – nejenom peníze, ale třeba i data, důvěru lidí, nebo dokonce naši suverenitu.
Takže já bych řekl, že je lepší být opatrnej, no, a radši hledat jiný řešení. Jsou přece i jiný firmy, který můžeme využít, no, třeba z Evropy nebo já nevím, odjinud, kde to riziko není tak vysoký. No a tady, soudruzi, je důležitý říct, že to není jenom o Huawei nebo Číně, to je otázka principu. My musíme mít kontrolu nad věcma, který jsou pro nás strategický, a ne je dávat někomu cizímu do ruky.
Takže, jestli by Česko mělo zabránit používání Huawei v kritický infrastruktuře? No, já bych řekl, že ano, soudruzi, páč opatrnost je základ, a s bezpečností se přece nedělaj kompromisy. Páč když ztratíme kontrolu nad těmahle věcma, tak kdo nám pak pomůže, že jo? No nikdo!“
Pomožme si sami. Howgh.