Ačkoli byl NÚKIB zřízen teprve před pár lety, i za tuto krátkou dobu si v oblasti kybernetické bezpečnosti vybudoval nezastupitelnou roli. Bohužel doposud se veřejně mluví zejména o jím vydaném varování, které je společně s kauzou Huawei pro média velmi lákavé téma. Přitom to není to nejdůležitější, co úřad po dobu své existence učinil.

I přes „brutálně omezené kapacity“[1] se jeho aktivity neustále rozšiřují. Nejnovějším důkazem je např. reaktivní opatření týkající se aplikace platformy Orion společnosti SolarWinds[2][3]. NÚKIB hrál také nezadatelnou roli v době koronavirové, kdy podporoval kybernetickou bezpečnost nemocnic a dalších částí kritické infrastruktury. Oceňuji i to, že NÚKIB se snaží komunikovat s trhem (i když třeba dle mobilních operátorů by komunikace mohla být intenzivnější)[4] a nalezl i čas pročíst si naši studii, ač se s jejími závěry neztotožnil. Chtěl bych tak tímto i přes naše odlišné právní názory ocenit významnou práci, kterou NÚKIB na poli kybernetické bezpečnosti odvádí.

Teď však zpět k varování a k naší pokračující diskusi, kterou s NÚKIB i formou těchto článků vedeme. To, že varování nebylo vydáno řádným způsobem, když žádná z dotčených osob nebyla před jeho vydáním předem informována či vyzvána k vyjádření, jsme již popsali v naší studii. Sami jsme si jej pracovně nazvali „Varování bez varování“.

Čím tedy do stále trvající diskuze přispět nyní, dva roky od jeho vydání? Třeba tím, jakým způsobem je vydáváno podobné varování v Německu. Tamní právní úprava totiž odpovídá našemu pohledu na věc a její novelizace může být inspirací i u nás v ČR.

Varování dle českého právního řádu

Varování vydává NÚKIB dle § 12 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“) dozví-li se o hrozbě v oblasti kybernetické bezpečnosti. Varování má mimo jiné dopad pro osoby dle § 3 písm. c) – f) ZKB, které jej musí zohlednit při hodnocení rizik a v plánu zvládání rizik zohlednit i opatření.[5][6]

Je-li vydáno varování proti zařízení konkrétních osob, dochází tím nepochybně k významnému zásahu do jejich práv. Jsou tedy dotčenými osobami ve smyslu zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „správní řád“ či SŘ“)[7]. Těmto poskytuje správní řád (který dopadá subsidiárně i na činnost NÚKIB) zvýšenou ochranu. Mimo jiné by měly být správním orgánem s dostatečným předstihem informovány o úkonu, který učiní, je-li to potřebné k hájení jejich práv a neohrozí-li to účel úkonu[8], mít možnost uplatňovat svá práva a oprávněné zájmy[9] a vyjadřovat své stanovisko.[10]

K tomu, jak víme, v případě varování ze dne 17. 12. 2018 nedošlo.

Jak by NÚKIB varoval v Německu?

K zodpovězení otázky, zda je „varování bez varování“ v daném případě správným postupem, lze použít i zahraniční srovnání. V tomto ohledu se nabízí Německo, neboť i jeho právní řád obdobu českého varování upravuje. Jakým způsobem by NÚKIB varoval zde?

V Německu platí zákon o Spolkovém úřadu pro bezpečnost v informační technice - Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG).[11] Podle § 7 uvedeného zákona úřad vydává varování před bezpečnostními mezerami v produktech a službách informačních technologií, škodlivými programy a v případě ztráty nebo neoprávněného přístupu k datům. Zákon výslovně stanoví, že výrobci dotčených produktů musí být informováni včas před zveřejněním varování týkajícího se těchto produktů, pokud to neohrozí dosažení účelu sledovaného opatřením.

Německý zákon tak na rozdíl od českého ZKB výslovně chrání práva výrobce (dodavatele) – dotčené osoby a dává mu právo být o chystaném varování zásadně předem informován, pokud to neohrozí jeho účel.

V současné době je navíc v legislativním procesu novelizace, která mimo jiné[12] dává zmíněnému úřadu pravomoc k prověřování IT produktů a systémů a vyžadovat od výrobců informace včetně technických detailů. Výrobci má být dána přiměřená lhůta k tomu, aby se k závěrům úřadu vyjádřil. Závěry mohou být zveřejněny. V případě, že výrobce žádosti úřadu o poskytnutí informací nevyhoví, může o tom úřad informovat veřejnost. I v tomto případě má výrobce má právo se předem přiměřeně vyjádřit.

Inspirace pro budoucí česká varování?

Německá právní úprava je v souladu s naším již dříve prezentovaným a rovněž zde argumentovaným názorem, podle kterého by dotčené osoby měly být o chystaném varování předem informovány a mít možnost se k němu vyjádřit. Jak by tedy mělo napříště varování vypadat?

Stávající výslovná právní úprava varování v ZKB je vhodná v případě situací, kdy se jedná o obecnou hrozbu (např. podvodné e-maily atd.). Tedy za situace, kdy varování formulací konkrétní hrozby nezasahuje negativně do práv konkrétní osoby. Hrozba je formulována bez vazby na konkrétní subjekt, není přítomna dotčená osoba ve smyslu § 2 odst. 3 SŘ.

Míří-li však varování proti konkrétní osobě (např. určitému dodavateli), je třeba postupovat tak, aby proces jeho vydání byl v souladu s právem, tzn. aby byla šetřena práva dotčené osoby. Ta by měla mít přinejmenším možnost předložit NÚKIB své vyjádření ještě předtím, než varování vydá. A případně jej přesvědčit o jeho nedůvodnosti. Toho lze dosáhnout buď zakotvením specifického správního řízení předcházejícího varování, nebo aplikací stávající obecné úpravy správního řádu (viz výše), která již nyní právo předchozího informování a právo vyjádřit se dotčené osobě poskytuje. Vydávání varování způsobem obdobným varování ze dne 17. 12. 2018 by ve světle výše uvedeného bylo jen stěží udržitelné.

Mgr. Petr Motyčka,
advokát