Firmy budou muset pečlivěji vybírat své dodavatele. Pokud totiž vláda shledá, že by někteří mohli ohrozit bezpečnost České republiky, bude jim je moci zakázat. Novinka vyplývající z návrhu zákona o kybernetické bezpečnosti dopadne na desítky tisíc českých firem. Zvýší jim administrativu a způsobí nejistotu v dodavatelských vztazích. Náklady nové regulace se v podnikovém sektoru budou počítat v miliardách korun.
Firmy působící ve strategických oblastech budou muset mnohem pečlivěji prověřovat, s kým obchodují. Pokud stát – konkrétně Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) – vyhodnotí některého z dodavatelů jako rizikového, může vládě navrhnout, aby ho zakázala. Dotčené podniky a instituce pak nebudou smět využívat jeho služeb.
Návrh zákona o kybernetické bezpečnosti, který rozšiřuje regulaci i na oblast dodavatelských řetězců, zasáhne podle odborníků desítky tisíc subjektů. Zdaleka nepůjde jen o velké firmy či státní podniky. „Pravidla dopadnou i na všechny dodavatele těchto poskytovatelů. To bude znamenat výrazný zásah do dodavatelských řetězců,“ upozorňuje advokát a specialista v oblasti IT práva Dentons Zdeněk Kučera.
Náklady v miliardách
S novou regulací přichází i vysoké náklady. „Změny budou pro firmy znamenat administrativní zátěž, nutnost upravit smluvní dokumentaci a často i výměnu technologií,“ říká partner advokátní kanceláře DLA Piper Tomáš Ščerba. Podle něj mohou firmy čelit i právní odpovědnosti, pokud povinnosti zanedbají. Hrozí například zveřejnění nesouladu na webu NÚKIB nebo až trestní odpovědnost statutárních zástupců.
Náklady potřebných změn se podle dostupných dat pohybují ve statisících až milionech korun za každý zabezpečovaný systém. Důvodová zpráva k zákonu mluví o rozmezí 800 tisíc až 1,5 milionu korun. Podle Ščerby se celkové náklady na straně podniků budou pohybovat v jednotkách miliard korun.
Koho se dotkne nová regulace?
Zásadní dopad budou mít změny na poskytovatele tzv. strategicky významných služeb a jejich dodavatele. Těch může být podle odhadů expertů na kybernetickou bezpečnost v Česku až několik desítek tisíc. Dotčeny budou zejména společnosti a instituce působící v oblasti digitálních služeb, energetiky, zdravotnictví, dopravy či veřejné správy.
Mimořádně problematický bude zákaz dodavatele zejména pro státní podniky, ústřední orgány státní správy a obecně veřejné či sektorové dodavatele. „Tyto instituce soutěžící plnění dle zákona o zadávání veřejných zakázek mohou mít problém v krátkém čase vybrat náhradního dodavatele,“ varuje Tomáš Ščerba z DLA Piper.
Mohlo by vás zajímat
I tam, kde žádný zákaz nepřijde, bude nový zákon klást na firmy a instituce větší nároky. Budou muset evidovat tzv. kritické dodavatele, uzavírat s nimi zvláštní smlouvy, pravidelně je prověřovat a informovat o nich NÚKIB. Veškeré změny budou muset hlásit do deseti dnů.
Hlídat bezpečnost dodavatelských řetězců považují experti za logické. To ale neznamená, že to bude pro firmy a úřady jednoduché. Náklady se budou počítat v miliardách korun. Foto: Dom Ide, Pixabay
„Bude potřeba upravit stávající smlouvy novými dodatky a následně investovat více do prověřování dodavatelů, například pravidelnými audity či vyžadováním různých certifikátů,“ říká Ščerba. To vše zvedne náklady. Pokud firmy nové povinnosti zanedbají, hrozí osobní odpovědnost vedení, včetně pozastavení výkonu funkce nebo i trestního postihu.
Nejistý čas na reakci
Do toho, jak budou nová opatření a hlavně kontroly v praxi fungovat, vnáší světlo Národní úřad pro kybernetickou a informační bezpečnost. Poskytovatelé strategicky významných služeb mu nejprve nahlásí dodavatele do kritické části strategicky významné služby. Úřad pak ve spolupráci s dalšími bezpečnostními orgány státu prověří nahlášené dodavatele, a v případě, že zjistí rizika, navrhne vládě způsob omezení či úplný zákaz problémového dodavatele. Teprve na základě jejího rozhodnutí vydá NÚKIB závazný pokyn směrem k firmám a dotčeným institucím.
Zatím nezodpovězenou otázkou ovšem zůstává, jak rychle budou muset firmy a úřady na případný zákaz reagovat. „To, kolik času budou mít podniky na vyřazení zakázaného dodavatele, návrh zákona o kybernetické bezpečnosti přesně nestanoví. NÚKIB bude muset přihlížet jednak k dopadům zákazu na poskytovatele strategicky významné služby, jednak k dobám odpisování podle právního předpisu upravujícího zdanění příjmu,“ vysvětluje Zdeněk Kučera z Dentons.
Přesné termíny se tak dotčené podniky vždy dozvědí až ve chvíli, kdy na zákaz dojde. „Jednotlivá omezení nebo zákazy budou vždy přizpůsobeny konkrétní situaci a zjištěním. Vždy bude kladen zřetel na to, aby vyřazení rizikového dodavatele bylo pro dotčené firmy co nejméně nákladné a současně reflektovalo bezpečnostní zjištění,“ uvedla mluvčí NÚKIB Alžběta Dvořáková.
Nejistý efekt
Jaký bude skutečný efekt nové regulace, si experti netroufají odhadnout. „Očekávám, že se tím zvýší tlak na firmy, aby důsledněji hodnotily bezpečnost svých dodavatelů a zaváděly odpovídající procesy řízení rizik, což v dlouhodobém horizontu přispěje k celkové odolnosti digitálního prostředí. Se současnou rychle se měnící geopolitickou situací si však vůbec netroufám hodnotit, jestli efekt bude pozitivní nebo negativní,“ říká advokát a specialista na kybernetickou bezpečnost kanceláře Sedlakova Legal Jiří Hradský.
Existuje také velké riziko, že politici nově získané pravomoci vůči firmám zneužijí. „Na jedné straně je potřeba chránit stát a jeho systémy, na druhé straně nesmí jít o neomezenou moc bez legislativní opory jak v českém, tak evropském právním řádu. Musí být jasně dané, koho a proč lze označit za rizikového, a firmy musí mít možnost se bránit,“ upozorňuje Tomáš Budník, řídící partner skupiny Thein, která se zabývá digitalizací a kybernetickou bezpečností.
Sám NÚKIB si chválí, že získá lepší přehled o dodavatelích do nejkritičtějších systémů ve státě, bude moci lépe vyhodnocovat rizika plynoucí ze zapojení problematických dodavatelů a v případě potřeby navrhnout vládě, aby ty nejnebezpečnější zakázala. „Pozitivní je, že vůbec budeme mít nějaký mechanismus pro omezování problémových dodavatelů. Díky tomu budeme moci jako stát řídit naši závislost na nedůvěryhodných partnerech. Dosud takový nástroj v Česku nemáme,“ zdůraznil v rozhovoru pro Českou justici ředitel NÚKIB Lukáš Kintr.
Změna přístupu ke kyberbezpečnosti
Změna zákona podle expertů reflektuje proměnu geopolitické situace. „Pár let zpátky nám přišlo toto ustanovení jako naprosto přestřelené. V poslední době dává, alespoň pro mě, stále větší smysl,“ míní Jiří Hradský.
Když odhlédneme od prováděcích potíží, jde podle expertů na kybernetickou bezpečnost o logický krok, který má Česko ochránit. „Kybernetické útoky často míří na dodavatele, protože ti nejsou často tak dobře chráněni. A přes ně se útočník dostane dál. Věřím, že se tím zvýší celková odolnost podniků a tím i celého Česka,“ říká Tomáš Budník.
Ve výsledku tak bude záležet na konkrétním provedení a na tom, zda stát nebude zákazy nadužívat. Bez ohledu na to ale firmy nyní čeká náročné období přechodu. A stát si bude muset dát pozor, aby nově získané pravomoci nepřerostly v bezbřehou moc bez právního základu.
