Pět otázek pro Martina Maisnera

Budete vystupovat na letošním kongresu Právní prostor 2023, můžete nám nastínit o čem bude Vaše přednáška?

Určitě se bude týkat práva IT, ale ještě jsem téma nefinalizoval. Trochu váhám mezi kybernetickou bezpečností a několika dalšími tématy, ale právě zvažuji, co bude nejvíce aktuální. Takže nejspíše Aktuální otázky práva informačních technologií.

Jedním z právních odvětví na které se specializujete, je ICT právo. Množina předpisů z práva ICT velmi rychle bobtná, ale přesto je technologický pokrok tak rychlý, že je zákonodárce vždy o pár kroků pozadu. Která oblast ICT práva teď nejvíce zaostává a je nutné ji upravit nebo novelizovat co nejrychleji?

Ale to zdaleka neplatí jenom pro ICT právo. Právní předpisy bobtnají obecně a to, že právo tak trochu zaostává za reálným životem je logické a v podstatě také správné. Nejdříve se musí nějaký společenský problém objevit a pak teprve vznikne nutnost jej legislativně podchytit. Možná, že u ICT je to trochu víc vidět.

Před nedávnem bylo schváleno konečné znění směrnice NIS2, která se týká kyberbezpečnosti. Myslíte, že s sebou přinesla výrazné zlepšení dosavadní úpravy? Směrnice zavádí i nové sankce, jsou přiměřené?

To je zajímavá otázka. NIS2 nahrazuje předchozí právní úpravu (NIS) a posoudit, zda se jedná o zlepšení nebo dokonce výrazné zlepšení právní úpravy nebude asi úplně jednoduché. Nová právní úprava si klade za cíl harmonizovat požadavky na kybernetickou bezpečnost v rámci celé EU, zlepšit kybernetickou odolnost EU a schopnost koordinované reakce na kybernetické incidenty napříč EU.

Z pohledu povinných osob v soukromém i veřejném sektoru NIS2 rozšiřuje okruh regulovaných odvětví, a to nejen oproti původní směrnici NIS, ale také oproti domácí právní úpravě v podobě ZKB. Nově bude mít právní úprava dopad na poskytovatele IT služeb, výrobní podniky, poštovní a kurýrní služby nebo organizace působící v oblasti výzkumu. V odvětvích, na která už stávající právní úprava dopadá, pak dojde k rozšíření okruhu povinných osob – například v energetice budou nově regulováni obchodníci s plynem a elektřinou. NIS2 také zavádí novou terminologii. Namísto stávajícího rozdělení povinných osob nově rozlišuje základní (essential) a důležité (important) subjekty, pro které zavádí dva odlišné režimy.

Ačkoliv základní povinnosti dle NIS2 jako zavádění bezpečnostních opatření a hlášení bezpečnostních incidentů budou dopadat na obě kategorie povinných osob, konkrétní požadavky, dohled nad jejich dodržováním a sankce budou ve vztahu k základním subjektům přísnější. Odvětví i povinné subjekty v rámci těchto odvětví jsou uvedeny v přílohách I a II směrnice. Podle odhadů NÚKIB bude v ČR podle NIS2 minimálně 6 000 povinných osob ve srovnání se stávajícími cca 400 povinnými osobami dle ZKB.

Jestli je to lepší nebo horší oproti stávající právní úpravě nedokážu teď jednoznačně říci, nicméně předpokládám, že to určitě donutí řadu lidí věnovat se kybernetické bezpečnosti více, a to je vždycky dobře. Je samozřejmě také otázka, jak dopadne harmonizace tohoto předpisu v rámci českého právního řádu, tedy co nám naši zákonodárci připraví.

Posuzovat přiměřenost sankcí je vždy ošemetné. NIS2 rozhodně zavádí sankce vyšší než NIS a je vždy otázka, jak se budou uplatňovat. Zavedení GDPR s vysokými sankcemi způsobilo naprostou změnu v chápání ochrany osobních údajů a možná, že NIS2 bude mít stejný efekt.

Kybernetická bezpečnost je v současnosti velmi důležité téma. Je i pro Evropskou Unii dostatečnou prioritou? Neměla by přicházet vetší iniciativa i od státu?

Máte pravdu, že kybernetická bezpečnost je stále větší téma a to jednak díky tomu, že informační technologie jsou opravdu všude a narušování kybernetické bezpečnosti už zdaleka není jen otázka hackerů, ale často i součástí zcela konkrétních plánů a aktivit oficiálních státních struktur. Pokud není dostatečnou prioritou, měla by být. A myslím, že ona iniciativa, kterou zmiňujete, by měla mít především podobu finanční – tedy že stát by měl do digitalizace a kybernetické bezpečnosti podstatněji investovat. Chápu, že je to v dnešní situaci složité, ale bez dostatečné finanční dotace se ani digitalizace, ani zvýšení kybernetické bezpečnosti nikam výrazně neposune.

Jaké kroky by do budoucna měl zahrnovat proces digitalizace v České republice?

Já zdaleka nejsem obeznámen se všemi plány vlády, ale něco málo vím o procesu digitalizace v justici (na které se toho za posledních dvacet let mnoho neudělalo a pokud ano, opravdu to není vidět) a myslím si, že na rozdíl od řady jiných evropských zemí by skutečně pomohlo, kdyby zásadně pokročil projekt elektronického spisu s garantovaným a bezpečným dálkovým přístupem pro oprávněné osoby - tedy strany a advokáty.