Je to už tak trochu český kolorit: když k nám přijde z Evropy legislativa, tak si ji „doma“ zbytečně zpřísníme. Týká se to zejména evropských směrnic – právních aktů, které požadují naplnění konkrétního cíle, ovšem jak k němu evropské země dojdou, je na každé z nich. Zatímco okolní státy často už vydanou směrnici pouze přeloží a schválí, v Česku si to komplikujeme různými „přílepky“. To se týká i implementace směrnice NIS2 do nového kyberbezpečnostního zákona, kvůli níž se nyní na premiéra Petra Fialu v dopise obracejí vlivné byznysové organizace v čele s Hospodářskou komorou.
Novela kybernetického zákona, která aktuálně leží na Legislativní radě vlády, je další z řady „přepálených“ implementací.
Zatímco evropským záměrem bylo zejména zvýšit kybernetickou odolnost klíčových evropských podniků, Česko „využilo“ příležitosti a k legislativě si přidalo řadu přílepků, které vzbuzují nevoli soukromého byznysu. Jedním z kontroverzních bodů je kontrola dodavatelských řetězců soukromých firem podle geografických kritérií.
Kvůli složité a přísné implementaci se nyní na premiéra Petra Fialu (ODS) obracejí vlivné byznysové organizace v čele s Hospodářskou komorou (HK) a Asociací provozovatelů mobilních sítí (ASPM).
Ty v dopise, který má INFO.CZ k dispozici, předsedu vlády žádají, aby Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) zadal jasné politické zadání, jak by implementace měla vypadat.
„V zemích, kde již evropskou směrnici NIS2 do svého právního řádu transponovali (v Maďarsku, Chorvatsku a v Belgii), k tomu došlo z velké míry prostým přeložením ustanovení směrnice do příslušného národního jazyka,“ píší v dopise adresovaném premiéru Petru Fialovi HK, APMS a další byznysové organizace.
„Český zákon jde i přes realizované úpravy přesně opačnou cestou. Přináší mnoho povinností daleko nad rámec evropské směrnice NIS2.“
Prezident Hospodářské komory Zdeněk Zajíček (ODS) v dopise volá po „přijetí stejných pravidel, jaké mají v této oblasti sousední státy Evropské unie“.
Hrozba znehodnocení investic
Jedním z nejspornějších bodů implementace je posílení pravomocí NÚKIBu, který by v budoucnu mohl mít rozhodující vliv na podobu dodavatelských řetězců soukromých firem.
Národní úřad pro kybernetickou a informační bezpečnost by tak mohl firmám dotčeným NIS2 například zakazovat dodavatele podle geografických kritérií, což by se dotklo mimo jiné mobilních operátorů, pro které by to vedlo k povinnosti vyměnit všechna čínská zařízení ve svých sítích – bez ohledu na to, zda se tato zařízení nacházejí v centru, nebo na periferii dané sítě.
Operátoři již dříve varovali, že ekonomické dopady takového kroku by byly velmi vysoké. „Zákon o kybernetické bezpečnosti představuje hrozbu znehodnocení investic podnikatelů v řádu desítek miliard korun, bez naplnění jeho účelu, tedy zajištění vyšší míry bezpečnosti,“ tvrdí operátoři, kteří nevylučují, že by zmařené investice následně vymáhali na státu.
V dopisu adresovaném Petru Fialovi HK, APMS a další organizace argumentují, že česká implementace NIS2 je „byrokratická, drahá a náročná na nedostatkovou pracovní sílu“.
„Jsme si pochopitelně vědomi důležitosti kybernetické bezpečnosti, důvodnou otázkou ale je, zda k jejímu zajištění přispěje plánovaná zatěžující byrokracie a zda stát vůbec bude mít dostatek lidí k tomu, aby návrhy úřadu dokázal zajistit sám v úřadech, nemocnicích, krajích a obcích,“ píší organizace v dopisu Petru Fialovi.
Podle společného stanoviska podepsaných organizací může být zvýšení kybernetické bezpečnosti a odolnosti České republiky dosaženo zejména jednoznačně a předvídatelně definovanou šíří regulace dotčených sektorů ekonomiky a racionálním limitováním pravomocí, které by schválením zákona v navrhovaném znění získal jediný konkrétní úřad – NÚKIB.
„Nelze totiž odhlédnout od skutečnosti, že opatření přijímaná na základě zákona a prováděcích předpisů jediným úřadem mohou mít zásadní dopady do veřejných rozpočtů, hospodaření organizačních složek státu i státních podniků, ale také se v nemalém rozsahu promítnou do finančních výdajů – investičních i provozních – regulovaných soukromých subjektů,“ uzavírají organizace dopis Petru Fialovi, pod nímž jsou kromě HK a APMS podepsány i ICT Unie, Výbor nezávislého ICT průmyslu a ČAEK.