Kybernetická bezpečnost, nebo byrokratický moloch? Nový zákon potrápí firmy i stát
KYBERBEZPEČNOST A DATA
Přes vládu v létě prošel návrh zákona o kybernetické bezpečnosti, který má za úkol přenést evropskou směrnici NIS2 do českého právního řádu. Třebaže to je nezbytné z důvodu harmonizace s předpisy Evropské unie, české firmy jsou z něj spíše rozpačité. Zákon, který mimo jiné zavádí mechanismus prověřování dodavatelských řetězců, mnozí označili za přehnaně složitý, nákladný a zbytečně byrokratický. Kritici varují, že jeho dopady mohou být devastující pro české podnikatelské prostředí, zejména pro menší a střední firmy, a povede k výraznému navýšení administrativní zátěže, kvůli níž nabobtná i stát.
Jedním z klíčových problémů, na které upozorňují odborníci i podnikatelé, je skutečnost, že nový zákon se zaměřuje spíše na formální prokazování přijatých opatření než na faktickou kybernetickou bezpečnost. „Zákon je více o tom, abyste měli vyplněné všechny potřebné papíry, než o tom, aby byla skutečně zajištěna ochrana citlivých dat a systémů. Je to podobné jako GDPR, kde se kladl důraz na dokumentaci spíše než na přímé technické zabezpečení,“ říká jeden z odborníků na IT bezpečnost.
Nový zákon má zavést mimo jiné prověřování dodavatelských řetězců, což je mechanismus, který výrazně přesahuje rámec směrnice NIS2. Tento proces, jehož cílem je ověřit bezpečnost všech dodavatelů zapojených do infrastruktury, je podle kritiků zbytečně komplikovaný a nákladný. Firmy budou muset prokázat, že prověřily nejen své přímé dodavatele, ale i nepřímé dodavatele, což podle odborníků představuje obrovskou byrokratickou zátěž.
Velké personální nároky
Zákon bude znamenat značné zvýšení požadavků na personál, zejména v oblasti veřejné správy. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) odhaduje, že jen pro prověřování dodavatelských řetězců bude muset přijmout desítky nových zaměstnanců. Tento nárůst personálu přichází v době, kdy vláda deklaruje snahu o snižování počtu úředníků. Kritici upozorňují, že stát bude muset tyto specialisty „soutěžit“ se soukromým sektorem, kde bude kvůli směrnici NIS2 a novému zákonu poptávka po tisících nových manažerů kybernetické bezpečnosti.
Nepřipravenost českých firem
Další závažný problém představuje nepřipravenost firem na přísnější požadavky, které nový zákon o kybernetické bezpečnosti přinese. Podle průzkumu, který nedávno provedla aliance NIS2Ready, je více než 70 procent českých společností na nový zákon nepřipraveno. Privátní sektor je na tom sice o něco lépe než veřejný, ale i zde se pouze 14 procent firem považuje za dostatečně připravené. Ve veřejné správě pak nebyla identifikována žádná organizace, která by svou úroveň zabezpečení považovala za dostatečnou.
„Z průzkumu vidíme, že velká část společností čeká na jasnou legislativu nZKB. Z mého pohledu je tento přístup krátkozraký. Řádné zabezpečení IT infrastruktury by nemělo vychNIS2ázet pouze z požadavků NIS2 nebo nZKB, ale mělo by být samozřejmostí. Firmy, které zabezpečení nebudou řešit včas, mohou brzy narazit,“ varuje Michal Zedníček, expert na IT bezpečnost ze společnosti Alef Nula. Dodává, že na trhu je nedostatek kvalifikovaných odborníků, a ti nejlepší mají kapacity pouze pro několik nových klientů ročně.
Vysoké finanční náklady a nejasné dopady
NÚKIB navíc nezpracoval řádně Zprávu o hodnocení dopadů regulace (RIA), což znamená, že vláda nemá k dispozici klíčové údaje o tom, kolik bude implementace nového zákona stát soukromý i veřejný sektor. Odhady poradenských firem se pohybují okolo dvou milionů korun na jednu organizaci s nižšími povinnostmi a až desítek milionů korun pro organizace s vyššími povinnostmi. Například ČEZ očekává náklady v řádu miliard korun.
Nadbytečný rozsah působnosti
Nový zákon se také zaměřuje na velmi širokou škálu subjektů, což podle kritiků vede k jeho nadměrné extenzivnosti. Zatímco směrnice NIS2 se zaměřuje na kritické sektory, nový zákon zahrnuje i menší firmy, které mají jen minimální vazbu na kritickou infrastrukturu. Například firma, která provozuje jedinou nabíjecí stanici pro elektromobily nebo má na střeše solární elektrárnu, bude podléhat přísnějším pravidlům, pokud spadá do kategorie větších podniků.
„Ze směrnice, která byla původně navržena jako ochrana kritických podniků, se stala norma, která zasahuje téměř všechno a všechny,“ upozorňují kritici. Firmy budou muset jmenovat nové odborné pozice, jako jsou manažeři kybernetické bezpečnosti, architekti a auditoři kybernetické bezpečnosti, což zvyšuje personální a finanční zátěž.
Nepředvídatelné investiční prostředí
Kritika zaznívá i z řad Asociace provozovatelů mobilních sítí (APMS), která se obává, že nový zákon vytvoří nepředvídatelné investiční prostředí. NÚKIB totiž bude mít pravomoc jednostranně zakázat technologie na základě země původu dodavatelů, což může vést k obrovským finančním ztrátám pro firmy. „Podnikatelé budou muset vynaložit až 65 miliard Kč v důsledku nové regulace. To může vést ke znehodnocení investic a ke zvýšení nákladů, které ponesou koncoví zákazníci,“ uvedla APMS ve svém prohlášení.
Další obavy panují ohledně toho, že mechanismus prověřování bude zahrnovat i části telekomunikačních sítí, které nemají přímý dopad na poskytování služeb. APMS například kritizuje, že zákon zahrnuje „rádiovou přístupovou síť“, i když její výpadky nemají okamžitý dopad na dostupnost služeb.
Jan Rafaj, prezident Svazu průmyslu a dopravy, zase nedávno v dopise, který má redakce Echo24 k dispozici, vystoupil proti návrhu zákona s důrazem na „značnou nejistotu v procesu rozhodování o zákazu či omezení dodavatele poskytovatelům strategicky významné služby v rámci mechanismu prověřování bezpečnosti dodavatelského řetězce“. Rafaj zdůrazňuje, že vláda České republiky není dostatečně zapojena do rozhodování, což považuje za problém, protože zákon tuto pravomoc přisuzuje primárně NÚKIB.
Rafaj také uvádí, že vydání opatření obecné povahy, označujícího dodavatele za „rizikového“, může mít „velmi zásadní dopady nejen na činnost dodavatele, ale zejména na daného poskytovatele strategicky významné služby“. Tento zásah do práva na podnikání by měl být založen na rozhodnutí politické reprezentace, podobně jako v případě sankcí nebo zahraničních investic.
ČR má čas na přijetí NIS2 do října, NÚKIB se ale už nechal slyšet, že termín zřejmě nedodrží.
