Asociace kritické infrastruktury ČR vznikla v roce 2019 a za svůj hlavní cíl si vytyčila modernizaci krizové legislativy. V uplynulých letech jsme na tomto cíli usilovně pracovali, analyzovali poznatky z pandemie a dalších krizových stavů, vedli jsme řadu odborných diskuzí, zpracovávali a předkládali vlastní návrhy legislativních změn.
Po zveřejnění směrnice CER (The Critical Entities Resilience Directive), která dodala tomuto snažení dodala zásadní impuls, jsme se aktivně podíleli také na její transpozici. Výsledkem je návrh moderní a funkční úpravy ochrany a fungování kritické infrastruktury.
Hlavním hybatelem přípravy zákona o kritické infrastruktuře jsme však nebyli my, nýbrž odborný gestor krizové legislativy, jímž je Generální ředitelství hasičského záchranného sboru ČR, tvořící integrální součást Ministerstva vnitra ČR.
Návrh zákona zpracovala sekce pro prevenci a civilní nouzovou připravenost GŘ HZS ČR. Naše asociace návrhy průběžně připomínkovala a spolupracovala v tomto směru i s dalšími profesními komorami a svazy (zejména SPD ČR, HK ČR a APMS).
Výsledkem společného snažení je návrh zákona o posilování odolnosti subjektů kritické infrastruktury, který lze bezesporu označit za velmi dobrý základ budoucí právní úpravy.
Návrh je momentálně v meziresortním připomínkovém řízení. AKI ČR proto zpracovala analýzu tohoto návrhu a komplexní soubor připomínek, které mají pomoci návrh zdokonalit a učinit z něj funkční součást krizové legislativy a spolehlivý nástroj posilování odolnosti kritické infrastruktury.
Naše zásadní připomínky jsme pro lepší přehlednost rozčlenili do několika kapitol. Přehled připomínek pak naleznete v přehledné tabulce vložené pod tímto příspěvkem. V druhém samostatném dokumentu pak naleznete soubor námitek proti § 14, ustanovení o bezpečnosti dodavatelského řetězce.
Kapitola I.
ABSENCE PROVÁDĚCÍCH PRÁVNÍCH PŘEDPISŮ
První zcela zásadní připomínkou je nutnost projednávat a posuzovat nově navrženou legislativu v celém jejím kontextu, tedy nejen vlastní zákonnou úpravu, ale rovněž všechny prováděcí právní předpisy.
Vzhledem k tomu, že prostřednictvím podzákonných právních předpisů mají být upraveny mimo jiné (i.) základní služby, (ii.) kritéria významnosti či (iii.) opatření k zajištění odolnosti subjektů kritické infrastruktury, bude jejich znění pro analýzu skutečných dopadů nové regulace naprosto určující.
Bez znalosti jejich přesného znění nelze analyzovat skutečnou organizační, administrativní, personální, technickou, a především ekonomickou náročnost dopadů nové regulace, a to ani na straně státu, ani na straně regulovaných subjektů, které naše asociace reprezentuje.
Návrhy prováděcích právních předpisů musí být k dispozici v rámci legislativního procesu ve stejnou dobu jako vlastní návrh zákona (a to nikoliv ve formě pouhých tezí, nýbrž jako návrh jejich paragrafového znění). To se však nyní z řady důvodů nepodařilo a návrh zákona je v meziresortním připomínkovém řízení doplněn pouze obecnými tezemi.
Proto zdůrazňujeme, že v dalších legislativních fázích musí být k návrhu zákona doplněny i návrhy prováděcích právních předpisů, a to nejpozději před odesláním návrhu zákona do legislativní rady vlády. Současně žádáme, aby byl obsah vyhlášek nejprve projednán s klíčovými komorami, svazy a asociacemi, sdružujícími subjekty kritické infrastruktury.
V souladu s čl. 16 směrnice CER pak apelujeme na to, aby se při přípravě prováděcích právních předpisů vycházelo z uznávaných mezinárodních a evropských oborových norem, zejména z ISO standardů (např. ISO 22301, 22314, 27001, 27002, 31000, 31004, aj.).
Kapitola II.
REGULACE DODAVATELSKÉHO ŘETĚZCE
Druhou a nejzásadnější připomínkou je námitka proti zvláštnímu ustanovení o bezpečnosti dodavatelského řetězce (§ 14), který navrhujeme z návrhu zákona zcela odstranit. Důvody tohoto zásadního rozporu jsou natolik rozsáhlé a zásadní, že se jim podrobně věnujeme v samostatném materiálu. Na tomto místě shrnujeme pouze klíčové argumenty proti tomuto ustanovení.
V první řadě je ustanovení nepotřebné. Navrhovatel §14 (Odbor bezpečnostní politiky Ministerstva vnitra ČR) argumentuje mnohdy zcela absurdními hypotetickými hrozbami a naprosto přitom ignoruje platnou praxi a skutečnost, že subjekty kritické infrastruktury již dnes aktivně řídí rizika související se svými dodavatelskými řetězci.
Ustanovení nereflektuje ani požadavky směrnice CER ani se neopírá o mandát vlády. OBP MV ČR se pokouší zcela nesystémově vstupovat do problematiky, která byla již v roce 2022 svěřena rozhodnutím Bezpečnostní rady státu Národnímu úřadu pro kybernetickou a informační bezpečnost. Aktivita MV je tak nejen duplicitní, ale postrádá jakýkoli mandát.
Ustanovení je navíc nekoncepční, protože vedle chystaného nového zákona o kybernetické bezpečnosti nezohledňuje ani vztah k dalším právním normám ani dostupnost nástrojů, které již má stát k dispozici. Posuzováním bezpečnostních rizik se věnují například MPO (zákon o prověřování zahraničních investic) nebo MZV (sankční zákon). Stát navíc disponuje kapacitami NBÚ, jenž se specializuje mimo jiné na posuzování bezpečnostní způsobilosti.
Namísto využití existujících nástrojů se MV pokouší atrahovat pravomoc, jejíž použití může mít dalekosáhlé ekonomické a dokonce i geopolitické důsledky. Navržený mechanismus je zcela netransparentní, postrádá funkční kontrolní mechanismy, a proto může být snadno zneužitelný. Související náklady přenáší v plném rozsahu na subjekty kritické infrastruktury.
Největším paradoxem však je skutečnost, že ustanovení § 14 nebylo dosud vypořádané ani v rámci vnitroresortního připomínkového řízení a zůstává předmět vnitřního rozporu mezi zpracovatelem transpozice směrnice CER a věcným gestorem zákona o kritické infrastruktuře (GŘ HZS ČR) a autory tohoto jednoho specifického nesystémového ustanovení (OBP MV ČR).
Z výše uvedených důvodů lze toto ustanovení označit nejen na zbytečné, zmatečné, nekvalitní a nepřiměřené, nýbrž také za protiústavní, a to především ve smyslu čl. 2 odst. 3 ústavního zákona č. 1/1993 Sb., Ústava ČR.
Kapitola III.
GESTOŘI
Zákon obsahuje řadu pasáží, v nichž se hovoří o věcně příslušných ministerstvech, ústředních správních úřadech a České národní bance. Činí tak zejména v situacích, kdy má být určitá pravomoc vůči subjektu kritické infrastruktury vymezena pouze věcně příslušnému úřadu. To je nepochybně krok správným směrem. Bylo by však vhodné stanovit, že za věcně příslušný úřad se vždy považuje pouze gestor příslušného odvětví a pododvětví kritické infrastruktury, ve smyslu přílohy zákona. Tím se efektivně předejde jakýmkoli nejasnostem, kompetenčním sporům a bude striktně limitován přístup úřadů pouze k těm informacím v Portálu kritické infrastruktury, na které mají jako gestoři v souvislosti se svou odpovědností nárok.
Kapitola IV.
DODAVATELÉ
Kromě subjektů kritické infrastruktury a kritických pracovníků zavádí zákon také zvláštní institut významných dodavatelů. Již při přípravě zákona jsme upozorňovali, že nedává smysl označovat infrastrukturu a pracovníky označením „kritický“ a dodavatele označením „významný“. Domníváme se, že by bylo vhodné tuto terminologii sjednotit a rovněž významné dodavatele ve smyslu tohoto zákona označovat jako „kritické dodavatele“.
Kapitola V.
PRÁVA A POVINNOSTI
Navržené povinnosti plynoucí z nové právní úpravy kritické infrastruktury považujeme v obecné rovině za přiměřené. Domníváme se však, že zákonodárce dostatečně nevyužil poznatky z krizových stavů posledních několika let, při stanovení práv subjektů kritické infrastruktury, a to především v krizových stavech. Zdůrazňujeme, že subjekty kritické infrastruktury nevolají po žádných nárocích na tato práva, nýbrž pouze po možnosti o některé výhody za určitých okolností požádat. Zůstalo by na vládě nebo věcně příslušném úřadu, zda by takové žádosti subjektu kritické infrastruktury vyhověl či ne.
Zákon ukládá novou povinnost informovat věcně příslušný úřad o potřebě zabezpečení věcnými prostředky k zajištění poskytování základní služby, které není subjekt kritické infrastruktury schopen zajistit jiným způsobem. Tím se otvírá možnost požádat SSHR o použití státních hmotných rezerv k podpoře odolnosti subjektů kritické infrastruktury.
Toto ustanovení je však uplatnitelné jen pro situace, které dokáží subjekty kritické infrastruktury a jejich věcní gestoři předvídat. Pandemie COVID-19 a řada dalších krizí posledních let však jasně ukázaly, že ne vše lze předjímat a plánovat. Proto navrhujeme doplnit do zákona právo (nikoli nárok) subjektu kritické infrastruktury požádat o mimořádnou hmotnou pomoc ze strany státu a o přednostní přístup k nedostatkovým komoditám. O poskytnutí takové pomoci by musela vždy rozhodnout vláda.
Druhým opatřením je právo subjektů kritické infrastruktury ukládat za krizových stavů pracovníkům zvláštní povinnosti. Zkušenosti z pandemie jasně ukázaly, že existují hraniční situace, během kterých je nemožné uplatňovat v plném rozsahu všechny pracovněprávní předpisy nebo důsledně dodržovat pravidla pro bezpečnost ochrany zdraví při práci. Také v případě tohoto opatření nejde o nárok, nýbrž pouze o právo subjektu kritické infrastruktury o tuto pravomoc požádat, a to striktně v mantinelech stanovených ve státem vyhlášeném krizovém opatření.
Kapitola VI.
PŘEDNOSTNÍ PŘÍSTUP K ZÁKLADNÍM SLUŽBÁM
Zcela specifickým opatřením je návrh na právo subjektů kritické infrastruktury požádat o přednostní přístup k základním službám poskytovaných ostatními subjekty kritické infrastruktury působících v jiných odvětvích a pododvětvích. Tento požadavek reaguje na velkou vzájemnou provázanost a mnohdy kritickou závislost subjektů mezi sebou. Tento návrh je přitom v plném souladu s filozofií uplatňovanou směrnicí CER, která opakovaně na více místech stanoví, že:
„V ekonomice Unie charakterizované stále větší vzájemnou závislostí mají kritické subjekty jakožto poskytovatelé základních služeb nepostradatelnou úlohu při zachování životně důležitých společenských funkcí nebo hospodářských činností na vnitřním trhu.“ (odst. 1) „Je třeba rovněž učinit více s cílem zlepšit vybavení těchto subjektů z důvodu dynamického vývoje v oblasti hrozeb, který zahrnuje vyvíjející se hybridní a teroristické hrozby, a narůstající vzájemnou závislost mezi infrastrukturou a odvětvími.“ (odst. 3) „Narůstající vzájemná závislost mezi infrastrukturou a odvětvími je výsledkem stále častější přeshraniční a vzájemně závislé sítě poskytování služeb využívající klíčovou infrastrukturu v celé Unii …. Tyto vzájemné závislosti znamenají, že jakékoli narušení základních služeb, dokonce i když se původně omezilo na jeden subjekt nebo jedno odvětví, může mít v širším měřítku kaskádové účinky, což může mít za následek dalekosáhlý a dlouhodobý nepříznivý dopad na poskytování služeb na vnitřním trhu. Závažné krize, jako byla pandemie COVID-19, ukázaly zranitelnost našich stále více vzájemně závislých společností vůči rizikům s velkým dopadem a nízkou pravděpodobností.“ (odst. 5)
Směrnice tak dokonale vystihuje naše poznatky z praxe, které potvrzují, že jednotlivá odvětví kritické infrastruktury trpí vzájemnou kritickou závislostí a narušení většiny základních služeb mívá kaskádové účinky a sekundární dopad na řadu dalších odvětví a pododvětví.
Proto navrhujeme zakotvit do zákona právo subjektu kritické infrastruktury požádat o zajištění přednostního přístupu k základním službám jiných subjektů kritické infrastruktury (např. zásobování energiemi nebo pitnou vodou). Zdůrazňujeme, že i v tomto případě se jedná pouze o právo požádat, nikoli o nárok, přičemž pravomoc rozhodnout o takové žádosti by zůstala vždy v kompetenci příslušného gesčního resortu.
Kapitola VII.
MANAŽER KRITICKÉ INFRASTRUKTURY
Manažer kritické infrastruktury je klíčovou osobou odpovědnou za řádné plnění povinností subjektu kritické infrastruktury podle tohoto zákona. S ohledem na to je zcela přirozené, že osoba působící na této pozici musí mít odpovídající kvalifikaci. Stávající návrh požadavků na vzdělání a praktické zkušenosti je však poměrně svazující, a proto jej navrhujeme rozšířit.
Nedostatečně je definována především požadovaná praxe, která pokrývá pouze působení v oboru bezpečnosti (do které by se asi dala zařadit i kybernetická bezpečnost). Opomíjí však zkušenosti, které mohl manažer načerpat v příbuzných profesích, které přitom představují pro pozici manažera kritické infrastruktury ideální zdroj kompetencí. Máme na mysli především problematiku krizového řízení nebo řízení kontinuity činností.
Naopak považujeme za nadbytečné specifikovat konkrétní obor vysokoškolského vzdělání, pokud má manažer odpovídající odbornou praxi. Zkušený absolvent právnické fakulty nebo ekonomické vysoké školy může být podle našeho názoru vynikajícím manažerem kritické infrastruktury.
S ohledem na uvedené návrhy doporučujeme také rozlišit délku požadované praxe, a to právě podle dosažené úrovně vzdělání – 3 roky pro osoby, které dosáhly vysokoškolského vzdělání a 5 let pro osoby se středoškolským vzděláním s maturitou.
A konečně se domníváme, že je žádoucí zamezit konfliktu zájmů mezi rolí manažera kritické infrastruktury a interním auditem, který plní kontrolní funkci a u kterého musí být zajištěna objektivita a nezávislost. Proto navrhujeme funkční a organizační oddělení interního auditu subjektu kritické infrastruktury od funkce manažera kritické infrastruktury a dalších pracovníků zajišťujících plnění povinností plynoucích z tohoto zákona.
Kapitola VIII.
OVĚŘOVÁNÍ SPOLEHLIVOSTI
Navržené znění zákona stanovuje poměrně široký výčet funkcí, které by měly prokazovat bezpečnostní způsobilost ve smyslu zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Jednalo by se nejspíš o tisíce osob, což by představovalo nepřiměřenou administrativní zátěž pro subjekty kritické infrastruktury i Národní bezpečnostní úřad, přitom bez adekvátního přínosu pro posilování odolnosti subjektů kritické infrastruktury. Proto navrhujeme ustanovení § 17 odst. 3 písm. b) zcela odstranit a ponechat v zákoně pouze povinnost prokázání bezpečnostní způsobilosti pro manažery kritické infrastruktury, a to napříč všemi odvětvími a pododvětvími bez rozdílu.
Současně upozorňujeme, že v případě výkonu citlivé činnosti ve smyslu zákona o utajovaných informacích a o bezpečností způsobilosti musí mít subjekt kritické infrastruktury uloženou povinnost prokázání bezpečnostní způsobilosti vyžadovat, nemůže se jednat o pouhé oprávnění. Za účelem zajištění bezpečného poskytování základní služby, řízení bezpečnosti pracovníků a řízení bezpečnosti dodavatelského řetězce musí být tedy subjekt kritické infrastruktury povinen zajistit ověření spolehlivosti pracovníků, včetně uchazečů o zaměstnání, a stanovit adekvátní režimová opatření pro kritickou infrastrukturu.
Současně by měl mít subjekt kritické infrastruktury oprávnění vyžadovat od pracovníků podílejících se na poskytování základní služby a osob, které jsou pověřeny přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím, nebo do jeho kontrolních systémů, další údaje nezbytné k posouzení spolehlivosti pro danou pracovní pozici, včetně osobních údajů zvláštních kategorií.
Kapitola IX.
HLÁŠENÍ INCIDENTŮ
Opakovaně upozorňujeme na skutečnost, že v době prvotní detekce a prvního hlášení incidentu nemusí být subjektu kritické infrastruktury známy informace o skutečné povaze, rozsahu a dopadu incidentu. Proto může subjekt kritické infrastruktury v dobré víře hlásit pouze předpokládané dopady incidentu. Současně nemůže hlásit takové informace, které mu v době hlášení incidentu nejsou dosud známé.
Proto navrhujeme upravit ustanovení o hlášení incidentů tak, aby bylo jasné, že subjekt kritické infrastruktury hlásí vždy (i.) předpokládaný počet a podíl zasažených uživatelů, (ii.) předpokládanou dobu trvání narušení, (iii.) předpokládané území zasažené narušením a (iv.) předpokládanou povahu, příčinu a možné důsledky incidentu. Současně navrhujeme doplnit ustanovení o dovětek, že subjekt kritické infrastruktury hlásí tyto údaje pouze za předpokladu, jsou-li mu tyto skutečnosti v okamžiku hlášení incidentu známé.
Kapitola X.
STANDARDY
Směrnice CER věnuje problematice standardů hodně prostoru a přikládá jí vysokou prioritu. Směrnice především výslovně stanoví, že členské státy mají podporovat užívání evropských a mezinárodních standardů a norem v oblasti bezpečnosti a odolnosti, která jsou použitelné pro kritické subjekty.
Navržené znění zákona, podle kterého si každý resort vydává standardy podle vlastního uvážení, je proto podle našeho názoru v příkrém rozporu s požadavky vyjádřenými ve směrnici CER.
Vydávání standardů pro odvětví a pododvětví kritické infrastruktury by mělo být podle našeho názoru sjednoceno a centralizováno. To povede k udržení vysoké úrovně kvality, k lepší přehlednosti a k větší předvídatelnosti při přípravě nových standardů. Pochopitelně je žádoucí, aby MV přípravu norem konzultovalo s věcně příslušnými gestory.
Ze směrnice však současně jasně vyplývá, že primární snahou státu by mělo být maximální využití mezinárodně uznávaných standardů (zejména ISO norem), které představují kompilát dobré praxe veřejného i soukromého sektoru.
Proto se domníváme, že by mělo MV při přípravě prováděcích vyhlášek zvážit plné / doslovné převzetí vybraných ISO standardů a zajistit jejich zpřístupnění v českém jazyce pro všechny regulované subjekty. Tento finanční náklad na veřejné rozpočty je podle našeho názoru obhajitelný.
Teprve nenajde-li se způsob, jak využít mezinárodní standardy, měl by stát uvažovat o tvorbě a publikaci vlastních standardů (které budou z mezinárodních norem maximálně čerpat).
V rámci finančních dopadů by měl stát každopádně porovnat, kolik by stálo zpřístupnění vybraných standardů všem regulovaným subjektům v porovnání s náklady (mzdovými, administrativními, technickými), které státu (a přeneseně také subjektům kritické infrastruktury) vzniknou, bude-li tvořit a udržovat standardy vlastními silami.
V každém případě je třeba udržet vysokou kvalitu a jednotu standardů pro posilování odolnosti subjektů kritické infrastruktury napříč jednotlivými odvětvími a pododvětvími.
Kapitola XI.
PORTÁL KRITICKÉ INFRASTRUKTURY
Považujeme za naprosto zásadní, aby plnění povinností spočívající ve vedení evidencí, předávání informací a podávání jakýchkoli hlášení probíhalo výhradně prostřednictvím jednoho nástroje – Portálu kritické infrastruktury.
Tento princip je sice v návrhu zákona zakotven, když v §20, odst. 1 stanoví, že Portál kritické infrastruktury slouží k plnění povinností poskytovatelů základní služby a subjektů kritické infrastruktury a k vedení nezbytných informací, dat, údajů a evidencí podle tohoto zákona.
Nicméně přesto vidíme prostor pro určité zlepšení. Především považujeme za důležité, aby byly výslovně stanoveny další informační a ohlašovací povinnosti, které jsou považovány za splněné, dojde-li ke vložení informací, dat, údajů nebo evidencí do Portálu kritické infrastruktury. Konkrétně jde o povinnosti subjektu kritické infrastruktury podle § 13 odst. 1, písm. a), b), c), d), i), k), m), r) tohoto zákona.
Musí platit univerzální princip, že pro splnění uložené povinnosti prostřednictvím Portálu kritické infrastruktury stačí vždy pouze jeden úkon, tedy že po vložení informací do Portálu dojde k automatické a řízené distribuci této informace na všechny oprávněné adresáty (zpravidla na MV a na věcně příslušného gestora). Subjekt kritické infrastruktury tedy nemusí informovat každého z nich jednotlivě.
Vzhledem k tomu, že Portál kritické infrastruktury bude obsahovat mimořádně sensitivní a cenné informace o většině klíčových subjektů tuzemské ekonomiky, o jejich nejcitlivějších aktivech i zranitelnostech, je pro zachování důvěryhodnosti tohoto systému nezbytná vysoká úroveň spolehlivosti, bezpečnosti, ochrany dat, přísná režimová opatření a přístupová omezení.
Proto navrhujeme doplnit ještě nový odstavec, který jasně stanoví, že gestoři mají vyhrazený přístup pouze k těm informacím v Portálu kritické infrastruktury, které se týkají jejich gesce, mají povinnost takové informace chránit a nejsou zmocněni tyto informace dál sdílet bez souhlasu subjektu kritické infrastruktury.
Kapitola XII.
CVIČENÍ
V souladu s našimi připomínkami, které jsme opakovaně uplatňovali již během přípravy zákona, znovu namítáme, že plánování, příprava, nařizování a organizace cvičení, by měly být centralizovány a svěřeny do výhradní gesce MV. Role věcně příslušných gestorů by se měla omezit na právo cvičení navrhovat a posléze na jejich účast na cvičení samotném.
MV by po konzultaci s gestory a se subjekty kritické infrastruktury připravilo plán cvičení, připravovaná cvičení by ohlašovalo subjektům kritické infrastruktury alespoň 6 měsíců dopředu, následně by samotná cvičení řídilo a koordinovalo.
Subjekt kritické infrastruktury by měl mít možnost účast na cvičení odmítnout, pokud by to ohrozilo dostupnost nebo poskytování základní služby. Současně by měl mít nárok na kompenzaci nákladů spojených se cvičením a vynaloženým nad rámec běžných účelně vynaložených nákladů.
Domníváme se, že tento požadavek je v souladu s čl. 25 směrnice CER, který stanoví, že by členské státy měly podporovat kritické subjekty v posilování vlastní odolnosti, aniž je dotčena vlastní právní odpovědnost kritických subjektů za zajištění tohoto dodržování, a zároveň předcházet nadměrné administrativní zátěži. Je-li to nezbytné a odůvodněné cíli veřejného zájmu, mohou členské státy poskytnout příslušné finanční zdroje.
Kapitola XIII.
AUDIT
Možnost kontrolovat a auditovat subjekty kritické infrastruktury ze strany státu je podle našeho názoru dostatečná. Nařizování auditu prováděného třetí stranou jako nápravné opatření, představuje extrémní zatížení subjektů kritické infrastruktury, obzvlášť s ohledem na skutečnost, že náklady na nařízený audit mají být zákonem přeneseny na kontrolovaný subjekt.
Pokud stát vyžaduje audit, pak by jej měl vždy provádět výhradně věcně příslušný úřad. Tento postup je podle našeho názoru plně v souladu se směrnicí CER, která v ustanovení 40 stanoví, že by členské státy měly zajistit, aby jejich příslušné orgány měly ve vztahu ke kritickým subjektům určité zvláštní pravomoci pro řádné uplatňování a prosazování směrnice. Mezi tyto pravomoci patří mimo jiné pravomoc provádět audity. Směrnice však rozhodně nehovoří o právu nařizovat audity subjektům kritické infrastruktury.
Směrnice současně stanoví, že by členské státy neměly vyžadovat opatření, která jdou nad rámec toho, co je nezbytné a přiměřené k zajištění toho, aby dotčený kritický subjekt dodržoval pravidla uvedená ve směrnici, přičemž vezmou v úvahu zejména závažnost porušení a ekonomické možnosti dotčeného kritického subjektu.
Audit nuceně objednávaný u třetí strany na základě nařízení státu nebude mít žádný pozitivní efekt, pouze vytváří obchodní příležitosti pro externí auditorské firmy. Navíc lze úspěšně pochybovat o objektivitě a nezávislosti takového auditu, který si bude nuceně objednávat a hradit kontrolovaný subjekt.
Současně navrhujeme výslovně označit informace z auditů jako neveřejné (stejně jako výsledky kontrol nebo informace z hlášení incidentů).
Kapitola XIV.
SANKCE
V souladu s čl. 22 směrnice CER mají členské státy stanovit pravidla pro sankce za porušení vnitrostátních opatření a přijmout veškerá opatření nezbytná k zajištění jejich uplatňování. Podle směrnice mají být stanovené sankce účinné, přiměřené a odrazující.
Sankce navržené v zákoně jsou však zcela nepřiměřené závažnosti uvedených přestupků, ukládají subjektům kritické infrastruktury drakonické pokuty za pochybení i marginálního charakteru a neodpovídají skutečné výši případného ohrožení chráněného zájmu.
Zejména u podniků s vyšším obratem může představovat sankce např. 0,5 % čistého celosvětového ročního obratu diametrálně odlišnou částku oproti 10 mil. Kč (viz § 26 odst. 1 písm. c), avšak bez adekvátního opodstatnění .
Navrhujeme proto z ustanovení § 26 zcela vyjmout variabilní možnost výběru výše pokuty dle toho, která z daných částek je vyšší, a to z důvodů, že (i.) tato variabilita není předpokládána ve směrnici CER a (ii.) předmětná variabilita výše pokuty (zejména tedy její procentuální vyjádření) nesplňuje požadavek na účelnost a přiměřenost.
Kapitola XV.
CHYBĚJÍCÍ ODVĚTVÍ
V příloze zákona navrhujeme doplnit do odvětví „Veřejná správa“ nové pododvětví “Služby poskytované prostřednictvím poštovní infrastruktury” a jako gestora tohoto pododvětví určit Ministerstvo vnitra.
Kapitola XVI.
PROCES PŘÍPRAVY A PŘIPOMÍNKOVÁNÍ NÁVRHU ZÁKONA
Posledními připomínkami, avšak nikoli co do významu, jsou komentáře k vlastnímu procesu přípravy a připomínkování návrhu zákona. Proces přípravy podle nás narušilo několik faktorů, které je nutné zmínit.
Prvním je absence prováděcích právních předpisů, která je podrobně rozvedena v Kapitole I. Věříme, že tento nedostatek bude co nejdříve napraven a v další fázi legislativního procesu bude již návrh zákona doplněn o návrh prováděcích předpisů.
Druhým je naprosto nepochopitelné rozhodnutí OBP MV ČR, včlenit do návrhu zákona nekvalitní, nesystémové a v mnoha ohledech problematické ustanovení o bezpečnosti dodavatelského řetězce. OBP MV ČR tak učinilo nejen navzdory veřejně deklarovaným námitkám GŘ HZS ČR, ale i s vědomím toho, jaké legislativní komplikace tímto krokem způsobí. Zástupci subjektů kritické infrastruktury na to upozorňovali zástupce OBP MV ČR na třech různých pracovních jednáních (2x na MV, 1x na GŘ HZS) a na několika veřejných diskuzních fórech (např. na kulatém stole v poslanecké sněmovně nebo na výroční konferenci o kritické infrastruktuře). OBP MV ČR však na zařazení tohoto ustanovení do zákona přesto trvalo, navzdory názoru věcného gestora i regulovaných subjektů. Věříme, že toto ustanovení bude z návrhu zákona po meziresortním připomínkovém řízení odstraněno a předkladatel jím nebude vědomě a zbytečně ohrožovat proces transpozice směrnice CER.
Třetí procesní připomínkou je zcela nepochopitelné rozhodnutí OBP MV ČR rozeslat do meziresortního připomínkového řízení návrh zákona, který dosud neprošel vnitroresortním připomínkovým řízením a vůči němuž vznáší námitky i jeho věcný gestor. Domníváme se, že subjektům v meziresortním připomínkovém řízení by měly být předkládány k připomínkám pouze takové návrhy, na kterých je předtím dosažena vnitroresortní shoda. Věříme, že
Závěrem
PODĚKOVÁNÍ
Závěrem považujeme za nezbytné ocenit intenzivní úsilí Generálního ředitelství Hasičského záchranného sboru ČR, které je věcným gestorem krizové legislativy, konkrétně sekce pro prevenci a civilní nouzovou připravenost, která je odpovědná za celou transpozici směrnice CER, a která návrh tohoto zákona ve spolupráci s dalšími subjekty zpracovala.
Jako asociace reprezentující nejvýznamnější subjekty kritické infrastruktury a jejich dodavatele si vážíme toho, že hasičský záchranný sbor své návrhy již ve fázi přípravy průběžně a aktivně konzultoval nejen s dotčenými resorty, ale i se subjekty, z nichž se v budoucnu stanou regulované subjekty.
Díky tomuto společnému úsilí vznikl návrh normy, který lze bez nadsázky označit za kvalitní a dobrý základ pro další legislativní proces.
Nemalou zásluhu nese a ocenění zaslouží také evropský autorský tým směrnice CER, jenž je tímto zákonem transponována do českého právního řádu. Tato směrnice představuje velmi dobrý základ pro posilování odolnosti subjektů kritické infrastruktury napříč Evropskou unií.