Poslanecká sněmovna dne 17. 9. 2024 projednala 1. čtení vládního návrhu zákona o kybernetické bezpečnosti a návrhu doprovodného změnového zákona.
Navržený zákon má nahradit stávající zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, a transponovat směrnici Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2).
Návrh zohledňuje nové požadavky vyplývající ze směrnice NIS 2, jako je rozšíření počtu povinných osob, změnu způsobu identifikace povinných osob, doplnění nových požadavků na zavádění bezpečnostních opatření a proces hlášení kybernetických bezpečnostních incidentů, větší odpovědnost vrcholného vedení za zajišťování kybernetické bezpečnosti či prohloubení spolupráce mezi Národním úřadem pro kybernetickou a informační bezpečnost, regulovanými osobami a orgány veřejné moci․
Hlavním účelem zákona je chránit „regulované služby“, jejichž narušení by mohlo mít dopad na zabezpečení důležitých společenských nebo ekonomických činností nebo bezpečnost v České republice (§ 4 a 5).
Návrh zákona zachovává a rozpracovává dosavadní čtyři základní povinnosti uložené regulovaným osobám:
1. hlášení kontaktních a dalších údajů (§ 11),
2. zavádění a provádění bezpečnostních opatření (§ 13),
3. hlášení kybernetických bezpečnostních incidentů (§ 15), a
4. provádění protiopatření (§ 20),
a zavádí novou (pátou) základní povinnost, kterou je stanovení rozsahu řízení kybernetické bezpečnosti (§ 12).
Regulované osoby jsou rozděleny do dvou skupin. V režimu vyšších povinností je poskytovatel regulované služby, který je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku. Ostatní poskytovatelé regulované služby jsou zařazeni do režimu nižších povinností (§ 8).
Poskytovatel strategicky významné služby bude povinen zajišťovat její dostupnost v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky (§ 33 odst. 1).
Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti, nebo informace, které jsou vedené v evidencích NÚKIB, se k žádosti podle SvInf či ŽPInf neposkytnou (§ 36).
NÚKIB bude oprávněn vyhlásit stav kybernetického nebezpečí a ukládat opatření k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru (§ 37 a násl.).
Portál Úřadu umožní elektronický výkon pravomocí NÚKIB, sdílení informací, provádění digitálních úkonů a poskytování digitálních služeb podle DigiSl (§ 45).
Doprovodná novela mimo jiné ukládá správcům informačních systémů veřejné správy, kteří nejsou poskytovateli regulované služby podle zákona o kybernetické bezpečnosti, na jimi spravované ISVS zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností (§ 5b InSVS).
Oba návrhy byly přikázány výboru pro bezpečnost (jako výboru garančnímu) a hospodářskému výboru; návrhu zákona o kybernetické bezpečnosti dále i výboru pro obranu.
Účinnost obou zákonů je navržena na – v současnosti již nerealistický – den 18. 10. 2024, kdy uplyne transpoziční lhůta směrnice NIS 2.