Česká republika se chystá zavést nový zákon o kybernetické bezpečnosti, který má posílit ochranu strategických systémů a zavést kontrolu dodavatelů informačních technologií. Zákon, který prošel Poslaneckou sněmovnou i Senátem a nyní čeká na podpis prezidenta, by měl nabýt účinnosti v říjnu letošního roku. Kolem prováděcích předpisů k této normě se však strhlo mimořádně ostré meziresortní řízení. Z druhé strany zase přichází hrozba, že pokud vyhlášky nebudou brzy přijaty, může Česko čekat žalobu Evropské komise.

Zákon je českou transpozicí evropské směrnice NIS2 a podle vlády má „přispět k posílení kybernetické bezpečnosti České republiky“, přičemž zahrnuje i nový mechanismus prověřování dodavatelů technologií pro stát. Zároveň se má rozšířit okruh subjektů, které podléhají zvláštní ochraně. Klíčová pravidla pro určování takzvaných povinných osob však bude určovat vláda nařízením, nikoli vyhláškami Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), jak původně úřad plánoval.

Právě k návrhům devíti prováděcích předpisů se ale v minulosti snesla lavina připomínek, které nebyly vyřešeny. Ministerstva i profesní organizace vyčítají vyhláškám především překročení zákonného zmocnění, nedostatek analýz, právní nejistotu i nadměrné nároky na firmy.

Například ministerstvo zdravotnictví konstatuje, že „vyhlášky překračují zmocnění a zavádějí povinnosti, které nemají oporu v zákoně“. Podle resortu je „zvolený postup nejen nevhodný, ale i nezákonný“. Kritizuje rovněž neadekvátní kritéria pro zařazení nemocnic a dalších zdravotnických zařízení mezi regulované subjekty.

Ministerstvo financí považuje za nepřijatelné, že vyhlášky „stanovují smluvní a bezpečnostní povinnosti bez opory v zákoně“ a upozorňuje na nesystémové zařazení subjektů, jako je Česká národní banka nebo Kancelář prezidenta republiky. Resort požaduje „konkretizaci pojmu ‚úřad‘ a úpravu rozsahu působnosti vyhlášek“.

Silná kritika zaznívá i z ministerstva průmyslu a obchodu, podle nějž jsou „vyhlášky v zásadním rozporu s evropským nařízením o cloud computingu“ a s mezinárodní normou ISO 27001. Úřad proto požaduje „harmonizaci terminologie i požadavků s evropským rámcem“.

Úřad vlády pak konstatuje, že pro jednotlivé vyhlášky zcela chybí dopadové analýzy (tzv. RIA). „Některé povinnosti by měly být zmírněny, například každoroční přehodnocování rizik,“ navrhuje úřad a doporučuje i zkrácení doby uchovávání záznamů z 18 na 6 měsíců.

Hlas podnikatelské sféry zastupuje Hospodářská komora ČR, podle níž je požadavek na uchovávání logů po dobu 18 měsíců „neúměrný, neefektivní a nákladný“. Kritizuje také limit 100 tisíc aktivních přípojek pro regulaci telekomunikačních operátorů – podle komory „žádný menší ani regionální operátor tuto podmínku nesplní“.

Na vážné dopady pro malé firmy upozorňuje také Asociace malých a středních podniků ČR, podle níž přísné požadavky na vzdělání a praxi bezpečnostních manažerů „způsobí nedostatek kvalifikovaných pracovníků“ a „omezí zapojení regionálních firem do systému“.

Z mezinárodního hlediska má navíc Česko vážný problém. Ministerstvo zahraničí varuje, že kvůli zpoždění při přípravě vyhlášek již Evropská komise zahájila řízení kvůli porušení unijní povinnosti. „V uvedeném řízení bylo vydáno odůvodněné stanovisko, ke kterému se Česká republika má vyjádřit do 7. července 2025. Uplynutí této lhůty může být v případném soudním řízení rozhodné pro konstatování porušení povinnosti členského státu,“ uvedlo ministerstvo.

NÚKIB, který předpisy připravil, přiznává, že jejich finální vydání bude záviset na množství připomínek. „Odhadujeme, že k vydání předpisů by mohlo dojít v říjnu nebo listopadu 2025,“ uvedl úřad.