Jak se vyhnout dvojí regulaci podle NIS 2: Praktický výklad výjimky hlavní provozovny

Společnosti, které působí přeshraničně – tedy poskytují služby ve více členských státech EU – však narážejí na otázku, který stát je má regulovat. 

Tuto otázku řeší článek 26 směrnice NIS 2, který upravuje příslušnost jednotlivých národních autorit. Článek obsahuje tři základní pravidla: 

• písm. a) stanoví obecnou zásadu, že společnost podléhá regulaci v tom členském státě, ve kterém má sídlo, 
• písm. b) zavádí výjimku hlavní provozovny pro přeshraniční poskytování služeb, a 
• písm. c) upravuje zvláštní režim pro poskytovatele ze třetích zemí. 

Český návrh nového zákona o kybernetické bezpečnosti přejímá tento mechanismus a dále ho rozvádí. V následujícím článku se budeme zabývat výkladem toho, za jakých podmínek lze uplatnit výjimku hlavní provozovny.[1]

Výjimka hlavní provozovny je v podstatě mechanismus pro určení výlučné jurisdikce. Směrnice tím reaguje na potřebu vyhnout se situaci, kdy by jednoho poskytovatele regulovaných služeb mělo regulovat více národních autorit zároveň. Určení hlavní provozovny má tedy za cíl nejen snížit regulatorní zátěž, ale především zajistit jednotné plnění povinností a určit jednoznačnou odpovědnost.

Výjimka se vztahuje na společnosti, které poskytují služby v několika členských státech současně. Týká se vybraných poskytovatelů regulovaných služeb z odvětví digitální infrastruktura a služby. Těmito poskytovali jsou:[2]

• provozovatelé DNS, 
• registrů domén nejvyšší úrovně, 
• subjekty poskytující služby registrace jmen domén, 
• poskytovatele služeb cloud computingu, 
• poskytovatele služeb datových center, 
• poskytovatele sítí pro doručování obsahu, 
• poskytovatele řízených služeb, 
• poskytovatele řízených bezpečnostních služeb, 
• poskytovatele on-line tržišť, 
• internetových vyhledávačů a 
• služeb platforem sociálních sítí. 

Pokud taková společnost působí prostřednictvím dceřiných společností, poboček nebo organizačních složek v různých členských státech EU, může být na základě výjimky hlavní provozovny regulována pouze jedním členským státem, a to tím, v němž se nachází její hlavní provozovna.

Za hlavní provozovnu je v kontextu směrnice NIS2 považováno místo, kde společnost převážně přijímá rozhodnutí týkající se řízení rizik v oblasti kybernetické bezpečnosti. Pokud nelze určit hlavní provozovnu podle místa, kde společnost reálně přijímá rozhodnutí o řízení kybernetických rizik, použije se jako další v pořadí místo, kde jsou prováděny operace v oblasti kybernetické bezpečnosti. Není-li možné jednoznačně určit ani to, rozhoduje se podle toho, ve kterém členském státě má společnost nejvíce zaměstnanců. Český zákon o kybernetické bezpečnosti dále upřesňuje, že hlavní provozovnou je primárně sídlo společnosti, pokud zde skutečně probíhá rozhodování v oblasti bezpečnosti.[3]

Rozhodujícím faktorem pro určení, která národní autorita bude konkrétní společnost regulovat, není pouze to, zda má společnost v daném státě sídlo či provozovnu, jak je popsáno výše. Podle důvodové zprávy k novému zákonu o kybernetické bezpečnosti je klíčové, který subjekt danou službu skutečně poskytuje – tedy kdo ji nabízí vlastním jménem, rozhoduje o její podobě a nese odpovědnost za opatření v oblasti kybernetické bezpečnosti. Právě tento subjekt má být podle pravidel směrnice považován za poskytovatele regulované služby, a tudíž bude podléhat jurisdikci příslušného členského státu. Naopak společnost, která sice na provozu služby spolupracuje, ale nemá rozhodovací pravomoci ani nevystupuje jako samostatný poskytovatel, nebude regulována.[4]

Tento princip si můžeme ilustrovat na situaci, kdy zahraniční společnost poskytuje službu na českém trhu prostřednictvím své české dceřiné společnosti. Pokud česká společnost službu pouze formálně zastupuje – například v rámci obchodního zastoupení nebo podpůrné pobočky – a sama ji neposkytuje vlastním jménem ani nerozhoduje o jejích parametrech a nemá žádný vliv na bezpečnostní strategii ani parametry poskytování služby, není sama považována za poskytovatele podle českého práva a nebude regulována ze strany českého Národního úřadu pro kybernetickou a informační bezpečnost. V takovém případě se uplatní výjimka hlavní provozovny, a příslušným dozorovým orgánem bude autorita v zemi, kde sídlí společnost, která fakticky rozhoduje o řízení kybernetických rizik. Pokud však česká společnost službu nabízí samostatně, rozhoduje o její podobě a o bezpečnostních opatřeních, stává se regulovaným subjektem podle českého zákona. V praxi proto nepostačuje pouze formální přítomnost na trhu – rozhodující je, kdo službu skutečně poskytuje, kde se o ní rozhoduje a kde probíhají klíčové bezpečnostní operace.

Výjimka hlavní provozovny podle článku 26 směrnice NIS 2 tak může představovat praktický nástroj pro společnosti, které působí ve více členských státech a chtějí se vyhnout duplicitnímu dohledu. Její využití však není jen formální otázkou – rozhodující je, kde skutečně dochází k řízení kybernetických rizik a kde se přijímají klíčová rozhodnutí v oblasti kybernetické bezpečnosti. Právě tato reálná praxe určuje, který stát bude vykonávat dohled. Pokud je hlavní provozovna správně určena a doložena, umožní to efektivnější správu povinností v oblasti kybernetické bezpečnosti napříč EU.

Závěrem lze konstatovat, že přijatá právní úprava a výkladové přístupy prezentované Národním úřadem pro kybernetickou a informační bezpečnost působí vnitřně konzistentně a logicky a odpovídají účelu a systematice směrnice NIS2. Otázkou však zůstává, zda obdobný výklad budou sdílet i orgány dohledu ostatních členských států Evropské unie, nebo zda se výkladová praxe napříč Unií bude vyvíjet nerovnoměrně. V takovém případě by mohlo dojít k regulatorní nekonzistenci či dokonce kolizi výkladů, která by mohla komplikovat uplatňování povinností přeshraničně působících subjektů a vyžadovat další koordinační úsilí na úrovni Evropské komise nebo skupiny pro spolupráci.