Nové nařízení EU o opatřeních proti kybernetickým útokům

Dne 18. května 2019 nabylo účinnosti nové Nařízení Rady (EU) 2019/796 ze dne 17. května 2019, o omezujících opatřeních proti kybernetickým útokům ohrožujícím Unii nebo její členské státy („Nařízení“).

Nařízení je nelegislativním aktem EU, sloužícím k posílení spolupráce při přijímání opatření vůči původcům kybernetických útoků, vznikajícím vně EU a zasahujícím orgány EU nebo kritickou infrastrukturu a funkce státu, fungování služeb a odvětví, majících zásadní význam pro dotčený členský stát, zpracování utajovaných informací nebo práci vládních skupin při reakci na počítačové hrozby uvnitř EU. Vychází z Rozhodnutí Rady (SZBP) 2019/797 ze dne 17. května 2019, o omezujících opatřeních proti kybernetickým útokům ohrožujícím Unii („Rozhodnutí“) nebo její členské státy, a slouží k provedení jeho vybraných ustanovení.

Rozhodnutí, resp. Nařízení stanovuje obecný rámec spolupráce při postupu proti původcům kybernetickým útokům ohrožujícím Unii nebo její členské státy, zejména sjednocuje definice klíčových pojmů a uvádí příkladmý výčet faktorů, které mají být vzaty v úvahu při posuzování, zda se jedná o útok s významným dopadem a zda je tedy třeba uplatnit předepsaná opatření, dále stanovuje povinnosti členských států při provádění opatření, jakož i povinnost členských států určit vnitrostátní orgány, které jsou k provádění opatření příslušné.

Ani přibližně měsíc po nabytí účinnosti Nařízení nejsou dostupné podrobnější informace k jeho aplikaci, nicméně účinnost Nařízení tím není dotčena a s ohledem na potenciálně závažné dopady předepsaných opatření, kdy platí zákaz uspokojení nároků ze smluv jejichž plnění nebo uskutečnění bylo, byť i nepřímo nebo částečně, dotčeno opatřeními uloženými Nařízením, a to včetně náhrady škody, pokud jsou tyto nároky vzneseny osobami uvedenými v Příloze I Nařízení nebo osobami jednajícími jejich jménem či jejich prostřednictvím, a kdy se uplatní obrácené důkazní břemeno (tedy skutečnost, že daný nárok není opatřeními dotčen, musí prokázat ten, kdo nárok vznáší) je třeba věnovat aktuálnímu stavu a vývoji této problematiky zvýšenou pozornost. Níže přinášíme shrnutí nejdůležitějších novinek, které Nařízení přináší.

Nařízení zejména definuje konkrétní opatření, která mají být proti osobám, účastným na kybernetických útocích, ohrožujících Unii, uplatňována. Omezujícím opatřením se rozumí zmrazení finančních prostředků a hospodářských zdrojů, patřících fyzickým nebo právnickým osobám, subjektům či orgánům zařazeným na seznam uvedený v příloze I Nařízení (tzn. původcům kybernetických útoků) nebo které jsou jimi vlastněny, drženy či ovládány.

Vedle zmrazení finančních prostředků, zakotveného přímo v Nařízení, počítá Rozhodnutí navíc i s povinností členských států přijmout opatření k zamezení vstupu dotčených fyzických osob na území členských států EU. O této povinnosti Nařízení sice mlčí, to však neznamená, že toto opatření nemá být v praxi aplikováno – unijní zákonodárce pouze nepovažoval za nezbytné jej podrobněji upravovat prováděcím předpisem.

Nařízení dále počítá s uveřejněním seznamu osob, na které omezující opatření, vyplývající z Nařízení, dopadají; tento má být veřejně dostupný prostřednictvím webových stránek https://www.sanctionsmap.eu , k dnešnímu dni (10.6.2019) však ještě nebyl zveřejněn. Rovněž příslušné přílohy Rozhodnutí a Nařízení ve znění, uveřejněném v Úředním věstníku EU, jsou ponechány prázdné. Dostupné zdroje naznačují, že tento seznam dosud nemusel být sestaven.[1]

Rovněž konkrétní orgány, příslušné na území České republiky, nejsou dosud přesně známy. Jedním z orgánů, příslušných pro účely Nařízení v České republice, podle všeho bude Finanční analytický úřad, na jehož webových stránkách by dle přílohy II Nařízení měly být pod odkazem http://www.financnianalytickyurad.cz/mezinarodni-sankce.html rovněž zveřejněny podrobnější informace, včetně informací o dalších příslušných orgánech. Dosud (10.6.2019) se tak nicméně nestalo.

Další vývoj okolo Nařízení a jeho dopady v ČR pro Vás budeme sledovat. Rovněž doporučujeme sledovat internetové stránky Finančního analytického úřadu, zejména sekci věnovanou mezinárodním sankcím.

Autor: Martina Černá, koncipientka Kocián Šolc Balaštík, advokátní kancelář, s.r.o.

[1] Srov. např. internetové stránky německého úřadu pro hospodářství a kontrolu nad vývozem https://www.bafa.de/DE/Aussenwirtschaft/Ausfuhrkontrolle/Embargos/Massnahmen_gegen_Cyberangriffe/massnahmen_gegen_cyberangriffe_node.html .