Na asi šest tisíc firem má dopadnout nový zákon o kybernetické bezpečnosti. Ten navrhla vláda v reakci na evropskou směrnici NIS2. Týká se těch subjektů, které podnikají v odvětvích kritické infrastruktury, ale také třeba v potravinářství či v chemickém průmyslu. Podobu zákona minulý týden zkritizovali poslanci z hospodářského výboru. Firmám podle nich přinese vysoké náklady, obávají se také silné role Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Pozměňovací návrhy mohou předkládat do 29. října.
Minimální požadavky na kybernetickou bezpečnost musí nyní splňovat v Česku asi 400 subjektů. Nový zákon tento počet zvyšuje na asi šest tisíc. Firmy však rozděluje na dvě úrovně. Na pět tisíc tak budou dopadat menší požadavky, zbylých tisíc firem z krizových odvětví, jako je třeba energetika, bude muset plnit požadavky přísnější. Hlavním smyslem je dosáhnout toho, aby důležité organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti včetně hlášení a zvládání kybernetických bezpečnostních incidentů.
Kromě toho zákon zavádí nový institut mechanismus bezpečnosti dodavatelského řetězce. Ten se má týkat podle NÚKIB asi 180 subjektů. Státu má umožnit kontrolu nad tím, nakolik je Česko v oblasti informačních technologií závislá na dodavatelích z rizikových zemí.
Poslanci: Hrozí vysoké náklady
Podle poslanců z hospodářského výboru s sebou však zákon nese přehnané finanční náklady. „Zachytil jsem ve veřejném prostoru odhad ČEZ, že to bude přes 2,5 miliardy korun na pět let,“ uvedl třeba poslanec Martin Kolovratník (ANO). Vyjádřil přitom obavu, že se tato částka promítne do koncové ceny pro zákazníka.
„Já chápu to, že obrana v kyberprostoru je nutná, ale nejsem schopen akceptovat, kolik to přinese nákladů na lidské zdroje, kolik to přinese nákladů na ekonomické zdroje,“ řekl zase předseda hospodářského výboru Sněmovny Ivan Adamec (ODS).
Ředitel NÚKIB Lukáš Kintr argumentuje zvyšujícím se počtem kyberútoků, které s sebou nesou i stále vyšší škody. „Kdyby firma typu ČEZ byla v jednom z těch pěti let zasažena kybernetickým útokem, stojí to mnohem víc, bavíme se o pětinásobku až desetinásobku,“ poukázal. Řada firem navíc podle něj do své kyberbezpečnosti výrazně investuje již nyní. Pro ty budou dodatečné náklady jen minimální.
Podle Kateřiny Kalužové, manažerky pro digitální ekonomiku Svazu průmyslu ČR, jsou velké firmy na podobnou zátěž připravené. U středních pak záleží podnik od podniku. „Některé střední firmy mohou být již dobře připraveny na kybernetickou bezpečnost, zatímco jiné mohou mít omezené zdroje a omezenou kapacitu na tento úkol. Může to být dáno i tím, v jakém oboru působí. Je tedy možné, že některé střední firmy budou muset investovat do posílení svých kybernetických bezpečnostních opatření a mohou potřebovat více podpory a vzdělávání pro zvýšení své bezpečnosti,“ uvedla.
Pravomoce v rukou NÚKIBu
Kontroverzní je pro poslance z hospodářského výboru také zmíněná kontrola bezpečnosti dodavatelského řetězce. Mechanismus prověřování dá totiž státu možnost vyloučit z dodávek do strategicky významné infrastruktury vysoce rizikové dodavatele. Poslanci se však obávají příliš silné role NÚKIB, kterému připadne povinnost riziko vyhodnocovat a případně reagovat za pomoci vyhlášek.
Jiří Grund, prezident Asociace provozovatelů mobilních sítí, na výboru řekl, že jde o „největší zásah do svobody podnikatelského prostředí od roku 1989“. Návrh v této podobě podle něj vytváří obrovskou nepředvídatelnost podnikatelského prostředí. Volá proto po tom, aby vyhlášky musela schvalovat vláda.
Kintr poukázal na to, že již podle současné podoby bude muset vláda v některých případech vyslovit svůj souhlas. Debata o rizikových technologiích se navíc podle něj vede již od roku 2018. Poptávku po zákoně, který by umožnil bezpečnost dodavatelských řetězců kontrolovat, podle něj vytvořila již předešlá vláda Andreje Babiše. Nejde tak podle něj o nijak nepředvídatelný krok.
Termín Česko prošvihne
Podle odborníků je nutné se tématem zabývat. „Jsme toho názoru, že stát má mít pravomoc v případě kritických částí důležitých systémů za určitých podmínek rozhodnout o vyloučení dodavatele z důvodu jeho bezpečnostního profilu,“ uvedl Jaromír Novák, partner sdružení CZ.NIC pro vztahy s veřejnou správou.
Zákon by měl být s ohledem na naplnění unijní bezpečnostní směrnice přijat co poloviny letošního října. To se stihnout nepodaří. Hospodářský výbor ve čtvrtek odložil další projednávání, poslanci mohou do 29. října předkládat pozměňovací návrhy, výbor se k nim vrátí 7. listopadu.
Karolína Novotná