Z rozhodovací praxe

DSM 1/2026 Zobrazení: 105
Z rozhodovací praxe

Nizozemský soud potvrdil, že operátor Odido musí z kritických částí své sítě odstranit zařízení Huawei a ZTE, a zároveň zamítl nárok na kompenzaci nákladů. Rozhodnutí zapadá do širší evropské snahy o omezení rizikových dodavatelů v oblasti kybernetické bezpečnosti a dodavatelských řetězců.

   kyberbezpečnost                   bezpečnost dodavatelského řetězce

Většinová pozornost veřejnosti a médií se primárně soustředí na přijímání regulačních norem, ale rozhodovací praxe má méně fanoušků. Jsou to však právě rozhodnutí, která dotvářejí normu samotnou a někdy i pootáčejí kormidlem zámyslů zákonodárce. Pojďme se podívat na některá rozhodnutí, která v poslední době lemovala krajinu digitálního světa a kybernetické bezpečnosti. Dnešní díl se bude věnovat bezpečnosti dodavatelského řetězce.

Dne 19. února 2026 vynesl nizozemský Odvolací tribunál pro obchod a průmysl rozsudek1, kterým potvrdil legálnost vládního nařízení ukládajícího operátorovi Odido (dříve T-Mobile Netherlands) povinnost odstranit vybavení společností Huawei a ZTE z kritických částí své mobilní sítě. Toto rozhodnutí je konečné a nelze se proti němu odvolat.

Kontext a pozadí právního sporu

V dubnu 2021 uložil nizozemský ministr hospodářství operátorovi Odido závazné opatření, aby přestal používat a následně odstranil prvky Huawei a ZTE z určených kritických částí sítě. Cílem byla náhrada těchto technologií produkty od „důvěryhodných dodavatelů“. Opatření se opíralo o dva hlavní pilíře nizozemské legislativy: 

  1. Článek 11a.1 zákona o telekomunikacích: Ukládá operátorům povinnost přijmout přiměřená technická a organizační opatření k zajištění bezpečnosti sítí. 
  2. Dekret o bezpečnosti a integritě telekomunikací (Bvit) z roku 2019: Umožňuje ministrovi vyžadovat používání výhradně důvěryhodných dodavatelů v kritických komponentech v zájmu ochrany národní bezpečnosti nebo veřejného pořádku.

Rozhodnutí předcházely analýzy zpravodajských služeb (AIVD a MIVD), které v roce 2019 upozornily na nárůst digitální špionáže a rizika spojená s přístupem dodavatelů k sítím. Klíčovým podkladem byla neveřejná zpráva organizace TNO ze května 2019, která analyzovala zranitelnosti sítí spojené s vysoce rizikovými dodavateli.

Klíčová zjištění odvolacího tribunálu

Tribunál potvrdil, že nizozemský zákon o telekomunikacích poskytuje dostatečný základ pro taková omezení. Rozsudek zdůraznil, že pojmy „bezpečnost a integrita“ musejí být interpretovány široce, aby zahrnovaly ochranu proti moderním hrozbám, jako je kybernetická špionáž řízená cizími státy.

  • Opatření je v souladu s Evropským kodexem pro elektronické komunikace (EECC).
  • Opatření je podporováno „soft-law“ EU, konkrétně souborem nástrojů pro řízení rizik 5G (5G Toolbox).

Soud také shledal opatření jako proporcionální vzhledem k závažnosti identifikovaných rizik špionáže. Povinnost považuje za cílenou, neboť se týká pouze kritických komponent, nikoli celé sítě, což činí opatření nezbytným a vhodným. Rámec se vztahuje nediskriminačně na všechny operátory stejně a vychází z konkrétních hodnocení rizik, nikoli z libovůle. V neposlední řadě je omezení v souladu s Evropskou úmluvou o lidských právech, neboť jde o zákonnou regulaci majetku sledující legitimní cíl.

Snímek obrazovky 2026 04 12 115442

Tribunál zamítl nárok operátora Odido na kompenzaci nákladů spojených s výměnou zařízení na základě následujících bodů:

  • Předvídatelnost: Změna pravidel byla předvídatelná po zveřejnění zprávy TNO a přijetí dekretu Bvit v roce 2019.
  • Podnikatelské riziko: Finanční dopad ve výši 0,4 % relevantního obratu nedosáhl stanoveného prahu 2 %, který je v Nizozemsku považován za hranici pro vznik „nepřiměřené a individuální zátěže“.
  • Absence příslibů: Ministr neučinil žádný závazný slib ohledně odškodnění, který by mohl založit legitimní očekávání operátora.

Judikatura a stanoviska v rámci EU

Nizozemský rozsudek koresponduje s vývojem v jiných členských státech. Generální advokát Soudního dvora EU podpořil Estonsko v jeho postupu při vylučování vysoce rizikových dodavatelů (dále také „HRS“). Dle jeho názoru by operátoři (např. Elisa v Estonsku) v zásadě neměli mít nárok na kompenzaci, pokud jim byl poskytnut dostatečně dlouhý čas na přizpůsobení se nové situaci.

Budoucí legislativa: Akt o kybernetické bezpečnosti 2 (CSA2)

Evropská komise navrhla 20. ledna 2026 nový legislativní rámec CSA2, který má za cíl:

  • Vytvořit celounijní mechanismus pro označování a omezování ICT komponent od vysoce rizikových dodavatelů.
  • Zavést povinnost postupného vyřazování (phase-out) těchto komponent z klíčových aktiv 5G sítí (včetně pevných a satelitních) do tří let od jejich označení za rizikové.
  • Návrh CSA2 sice neřeší otázku kompenzací pro operátory, ale vyžaduje, aby Komise před uložením restrikcí vyhodnotila jejich ekonomické a společenské dopady.

Nizozemské rozhodnutí je jedním z kroků vedoucích ke snaze definovat evropskou technologickou suverenitu. Což je v době závislosti EU na amerických technologických gigantech a čínských technologiích jistě chvályhodné. Je otázkou, zda tato snaha nezůstane izolovanou aktivitou.

Snímek obrazovky 2026 04 12 115653

Poznámky pod čarou:

  1. Rozhodnutí nizozemského soudu, zdroj internet: https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:CBB:2026:101
Vytisknout