Česko zažívá další spor o hranice státní regulace a její dopady na podnikatelské prostředí. Tentokrát se v něm ale hraje o bezpečnost země. Vláda připravuje nové nařízení vymezující části infrastruktury, jejichž výpadek by mohl ohrozit strategické služby státu i společnosti. Jenže podle kritiků v něm v zájmu bezpečnosti Česka požaduje příliš. Firmám by novinka způsobila další a těžko odůvodnitelné náklady. Růst by mohly až do stovek miliard korun.
Ještě více dokumentace, auditů a kontrolních procesů by mohlo od listopadu dopadnout na firmy, jichž se dotkne nová regulace kybernetické bezpečnosti. Nepoplynou jim přitom jenom ze zákona. Ministerstva, právníci i odborníci z podnikatelské sféry poukazují na to, že připravované vládní nařízení o nepominutelných funkcích jde dokonce nad rámec zákona. Regulace v navržené podobě by se totiž nevztahovala jen na skutečně kritická aktiva. Zasáhla by plošně i ta, která jsou hodnocena pouze jako „vysoká“. Mezi ně návrh počítá například i fakturační a podpůrné systémy s bezprostředním významným dopadem na přístup k veřejné komunikační síti.
O co se vede spor?
Rozšíření takzvaných nepominutelných funkcí prosazuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Pokud by vláda nařízení vyhlásila v navržené podobě, rozšířil by se plošně rozsah povinností a kontrol. Seznam nepominutelných funkcí totiž mimo jiné určuje, na co se mají firmy zaměřit při analýze bezpečnostních rizik a při navazujících krocích včetně posuzování důvěryhodnosti dodavatelů.
„Pokud by se povinnosti vztahovaly i na takzvaná ‚vysoká‘ aktiva, do režimu dodavatelů strategicky významných služeb by spadly i menší podniky v roli subdodavatelů. Ty by pak musely plnit obdobné procesní a auditní požadavky jako velké firmy. Nemají na to ale odpovídající finanční a personální kapacity,“ varuje člen sekce IT a telekomunikací Hospodářské komory ČR Jakub Rejzek. To by znamenalo výraznou administrativní i finanční zátěž. Mohlo by to také z trhu vytlačit právě ty firmy, které do české ekonomiky vnášejí konkurenci a inovace.
Miliardové náklady a roztříštěná pozornost
Jen mobilní operátoři, na něž navrhovaná regulace přímo dopadá, vyčíslili náklady na její aplikaci na 22 miliard korun. Zahrnutí „vysokých“ aktiv do regulace by dokonce mohlo zpomalit tempo zavádění nových technologií, například sítí 5G. Firmy by musely nahrazovat technologie ještě před koncem jejich životního cyklu, což by výrazně zvýšilo investiční nejistotu.
„Jde o obrovský zásah do svobody podnikání,“ říká prezident Asociace provozovatelů mobilních sítí Jiří Grund.
Mohlo by vás zajímat
Další zvýšené náklady by musely nést i podniky z dalších oborů, například z energetiky, dopravy či zdravotnictví.
Ještě horší je, že přílišné rozkročení regulace by mohlo odvést pozornost stovek tisíc podniků, které již nyní nový zákon plně zaměstnává, od skutečně podstatných kroků. „Musíme si uvědomit, že už samotná část zákona zavádějící evropskou směrnici NIS 2 představuje pro firmy významnou finanční i personální zátěž. Pokud by musely zpracovávat rozsáhlé audity a procesy i pro méně významná aktiva, došlo by k oslabení alokace zdrojů na skutečně klíčové oblasti,“ varuje Rejzek.
Bezpečnost versus ekonomická přiměřenost
Úřad pro kybernetickou bezpečnost argumentuje: aktiva úrovně „vysoká“ mají pro provoz strategicky významných služeb podstatný dopad. Jejich narušení může ohrozit dostupnost, důvěrnost i integritu služeb.
„Nepominutelná funkce zařazená na seznam v nařízení musí být schopna při svém narušení způsobit závažný dopad na poskytování strategicky významné služby. Aktiva úrovně vysoká tento dopad nezpochybnitelně mají,“ vysvětluje za úřad Lenka Soukupová.
Dodává, že se zahrnutím takzvaných vysokých aktiv pod regulaci se počítalo od začátku. Původně měla být výslovně zahrnuta přímo v zákoně o kybernetické bezpečnosti. Při projednávání ve Sněmovně se ale zákonodárci rozhodli, že je upraví až podzákonným předpisem.
Naopak Jiří Grund upozorňuje, že rozšiřovat regulaci o další aktiva není nutné. Zásadní efekt pro posílení bezpečnosti to nepřinese. „Zákon obecně cílí na ochranu částí infrastruktury, které nesou označení kritická. Navrhované nařízení má ambici okruh regulovaných systémů dále rozšířit i o ty méně důležité, jejichž výpadek by neměl tak fatální následky,“ uvádí Grund.
O smyslu rozšíření pochybuje i Zdeněk Kučera, partner advokátní kanceláře Dentons a jeden z předních českých specialistů na IT právo. Návrh se podle něj dotýká i oblastí, které s kritickým provozem sítě přímo nesouvisejí.
„Například fakturační a podpůrné systémy, o které jde, sice mohou ovlivnit provoz, ale obvykle jen lokálně a dočasně – rozhodně ne tak, aby měly být považovány za nepominutelné,“ míní Kučera.
Nefunkční kontrola
Návrh sporného nařízení nyní leží zablokovaný v připomínkovém řízení. Vláda o něm ještě nejednala. Ministerstva dopravy a financí i Český telekomunikační úřad ho nechtějí pustit dál, pokud v něm aktiva úrovně vysoká zůstanou. „S ohledem na složitá jednání vyvstává otázka, zda se podaří nalézt kompromis, schválit a vydat nařízení dřív, než bude jmenována nová vláda,“ uvádí Soukupová z NÚKIB.
Jenže zákon o kybernetické bezpečnosti má už jasně stanovenou účinnost – na 1. listopadu. Pokud vláda nařízení do té doby neschválí, vznikne legislativní vakuum. Zákon bude platit, ale s nejasným rozsahem povinností. Firmy pak mohou zavádět opatření „naslepo“ a později je dost možná upravovat podle konečného znění nařízení.
„Společnosti, které pod regulaci spadají, dnes vlastně nevědí, v jakém rozsahu se na ně nové povinnosti vztáhnou. To vytváří právní i provozní nejistotu. Těžko se plánují investice nebo alokují zdroje, když nejsou jasně daná pravidla,“ varuje Zdeněk Kučera z Dentons. Tak podle něj nevypadá ideální stav těsně před účinností tak zásadního předpisu, jako je zákon o kybernetické bezpečnosti.
V podobném stavu je navíc i druhé navazující nařízení. Jedná se o nařízení vlády o strategicky významných službách, které definuje, na koho dopadne povinnost prověřovat dodavatelský řetězec. Pokud ani toto nařízení neschválí vláda včas, bude podle NÚKIB bezpečnostní kontrola nad dodavateli prakticky nefunkční.
Co bude dál
Experti oslovení Českou justicí věří, že vzhledem k velkému množství zásadních rozporů návrh nařízení ještě dozná změn. „Pokud NÚKIB a vláda vyslyší faktické připomínky všech klíčových subjektů a budou do návrhu náležitě zapracovány, může se nakonec jednat o velmi kvalitní návrh,“ míní Jiří Grund.
Rozhodnutí vlády nakonec určí nejen výši bezpečnostního standardu, ale i ekonomickou zátěž českých firem v řádu miliard korun.
