KOMENTÁŘ JIŘÍHO GRUNDA | Česká vláda brzy projedná nový zákon o kybernetické bezpečnosti (ZKB). Ačkoli jeho hlavní ambicí je transponovat evropskou kyberbepečnostní směrnici NIS2, ve skutečnosti jde o další bezprecedentní regulaci soukromého sektoru s dopadem v řádu desítek miliard korun. Náklady neponese nikdo jiný než občan. Česká verze adopce NIS2 je navíc daleko přísnější, než požaduje EU. Pokud se okolní země vydají mírnější cestou, budou mít jejich firmy, oproti českým, jasnou konkurenční výhodu. Z toho máme v Asociaci provozovatelů mobilních sítí (APMS) oprávněné obavy.
Legislativní rada vlády (LRV) dala k návrhu zákona v dubnu 2024 řadu velmi zásadních připomínek. Projednávání zákona dokonce přerušila a vyzvala NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) k zásadnímu přepracování normy.
Pracovní komise LRV jasně řekly, že dopadová studie RIA obsahuje značné nedostatky a je třeba ji zásadně upravit. Dále deklarovaly, že zásadní povinnosti mají být ukládány zákony a nikoli vyhláškami a že o něčem tak zásadním, jako je zákaz dodavatelů, má rozhodovat vláda, nikoli NÚKIB.
Dnes je všechno jinak. Místo, aby se v návrhu zákona projevily zásadní připomínky doporučené komisemi LRV, posvětil v červnu 2024 ministr a předseda LRV Michal Šalomoun zákon jen s kosmetickými změnami k dalšímu projednávání.
Opakuje se tak podobný scénář à la „lex ČEZ“, kdy se vláda snažila prosadit změnu pravidel v Zákoně o obchodních korporacích v rozporu se stanovisky vlastního poradního orgánu (LRV). Nyní se situace opakuje u ZKB.
Aby toho nebylo málo, vstoupilo v mezičase do hry ještě ministerstvo vnitra, které připravuje Zákon o odolnosti subjektů kritické infrastruktury (ZKI). V něm, světe div se, navrhuje vnitro vlastní mechanismus posuzování bezpečnosti dodavatelů.
Obě normy, ZKB i ZKI, se připravují bez vzájemné koordinace, což nám mnohokrát potvrdili jejich předkladatelé. Na firmy se tak reálně řítí dvě regulace, které mají ambici diktovat podnikatelům, s kým smí a s kým nesmí kooperovat. Vše bez vzájemné koordinace na úrovni Vlády ČR.
Omezování dodavatelů
Zásadní rozpor mezi námi a NÚKIBem je v navrhovaném způsobu provedení regulace. Bezpečnostní cíle máme totiž se státem naprosto stejné. Všichni chceme poskytovat maximálně bezpečné služby. Navíc víme, že kdyby naše služby nebyly bezpečné, naši zákazníci by o ně neměli zájem a raději by šli ke konkurenci.
NÚKIB však požaduje v zákoně de facto neomezené pravomoci v oblasti tzv. zákazu dodavatelů. Prakticky se jedná o největší zásah do svobody podnikání od roku 1989. Úřad chce mít pomyslný „kanón na vrabce“. Z veřejných zdrojů víme, že by nejraději zakázal dodavatele z Číny.
My přitom nerozporujeme ambici státu „mít možnost“ v případě krize jakéhokoli dodavatele omezit. Doba je překotná a štěstí přeje připraveným. Pouze tvrdíme, že stát by v takovém případě měl disponovat dopadovou studií a pokud by chtěl následně učinit zásadní „zakazovací rozhodnutí“ s potenciálními ekonomickými dopady v řádu desítek miliard korun, měla by taková rozhodnutí učinit Vláda ČR. Nikoli NÚKIB sám, jen na základě svých vlastních vyhlášek a bez relevantních dopadových studií.
Stejně tak si myslíme, že ten, kdo bude rozhodovat o zákazu regulace, by měl vzít v úvahu i závazná stanoviska jiných regulačních úřadů. V případě telekomunikací je to ČTÚ (Český telekomunikační úřad), v případě energetiky ERÚ (Energetický regulační úřad).
Pokud by tomu tak nebylo, hrozí, že při aplikaci regulačních opatření vznikne značný chaos. Kupříkladu, jeden regulátor ve jménu bezpečnosti zakáže dodavatele, což druhému regulátorovi zhroutí křehkou tržní soutěž v sektoru, za který je regulačně odpovědný. Může se lehce stát, že zákaz dodavatele povede např. k monopolizaci dodavatelského řetězce, což omezí inovační potenciál celého sektoru.
Prostě si myslíme, že před tím, než jeden regulátor rozhodne o čemkoli, měl by se s druhým regulátorem „chytnout za ruku a domluvit“, jak to provedou, tak aby to bylo vyvážené a nezpůsobilo to více škody než užitku. NÚKIB i toto odmítá. Závazné stanovisko by totiž ohrozilo jeho komplexní a neomezenou pravomoc, kterou by rád získal.
S kanónem na vrabce
V oblasti šíře regulace náš sektor preferuje místo modelu „kanón na vrabce“ použít více „smart“ přístup. Navrhujeme zakazovat dodavatele jen v těch skutečně nejcitlivějších částech sítě, kde to má zásadní bezpečnostní relevanci (sami se takto odpovědně už dávno chováme). Chytrý přístup by vedl ke stejným výsledkům z pohledu kybernetické bezpečnosti a stál by stovky milionů, možná jednotky miliard korun.
Přístup „kanón na vrabce“ by firmy zatížil desítkami miliard nákladů a k větší kybernetické bezpečnosti by stejně nevedl. Naopak by se pravděpodobně zastavily investice do potřebné modernizace telekomunikační, ale třeba i zdravotnické infrastruktury v ČR.
Tvrdý zákaz konkrétních dodavatelů by mohl vést i k významné monopolizaci celého dodavatelského řetězce, což je bezpečnostní riziko samo o sobě.
Kyberbezpečnost je bezpochyby fenoménem naší dekády. Žádný z mobilních operátorů nebere problematiku bezpečnosti lehkovážně. Jsme přesvědčeni, že k náležité úrovni bezpečnosti je třeba se proinvestovat zejména adopcí nejmodernějších technologií či jejich vzájemného mixu.
Žádný superúřad s neomezenými pravomocemi nezajistí, že ve vaší firmě bude dostatek expertů s požadovanými kompetencemi. Stát by měl proto vytvářet zejména zdravé předpoklady pro přísun investic do služeb s vysokou přidanou hodnotou.
Když budeme mít předvídatelné investiční prostředí, budeme mít i dostatek špičkových expertů. K bezpečnému blahobytu je daleko snadnější se proinvestovat než jen tupě proregulovat.
Autor je prezident ve společnosti Asociace provozovatelů mobilních sítí (APMS)
