GLOSA VOJTĚCHA KRISTENA | My si to prostě musíme udělat po našem, stůj co stůj. Řeč je o novele kyberbezpečnostního zákona, kterým Česko transponuje evropskou směrnici NIS 2 – ovšem výrazně nad rámec toho, co po nás Evropa požaduje. Výsledkem jsou nejen vyšší náklady pro soukromý sektor, ale i pro erár. Kvůli přepálenému návrhu implementace totiž vznikne přes 50 nových úřednických míst. A to přesto, že se kabinet Petra Fialy zavázal byrokracii naopak snižovat.
Vláda Petra Fialy se v programovém prohlášení zavázala ke snižování počtu státních zaměstnanců, jenže jich podle posledních údajů naopak přibývá. A nejspíš se tak bude dít i v budoucnu. S více než padesáti novými úřednickými místy totiž počítá novela kyberbezpečnostního zákona, ukazuje důvodová zpráva této legislativy.
Kdo by se domníval, že tyto úřednické pozice vzniknou kvůli „zlému Bruselu“, šeredně by se pletl. Za nová úřednická místa si můžeme sami. Protože jak má Česko ve zvyku, evropskou směrnici NIS2 implementujeme v kyberbezpečnostním zákonu výrazně nad rámec toho, co se po nás chce. A víc agendy a víc lejster zkrátka znamená víc úředníků a větší výdaje.
Nic proti kybernetické bezpečnosti. Jde o nanejvýš podstatné téma, zvlášť s nepřátelsky naladěným Ruskem na hranicích EU, teroristy na Blízkém východě a Čínou, která si tak ráda přisvojuje cizí know-how. Jenže většina odborníků vám řekne, že evropská kyberbezpečnostní směrnice je mnohem spíš o byrokracii než o kyberbezpečnosti, a česká úprava v tom jde ještě dál.
Ten největší vykřičník je v návrhu novely zákona o kyberbezpečnosti kontroverzní pasáž o nutnosti prověřování dodavatelského řetězce dotčených firem a úřadů. „V této oblasti jde úprava vysoce nad rámec směrnice NIS2,“ vysvětluje pro INFO.CZ, web Právní rádce a Hospodářskou komoru Jakub Rejzek z Výboru nezávislého ICT průmyslu.
„Směrnice předpokládá, že k takovému prověřování dojde koordinovaně na evropské úrovni. Český stát si to chce dělat sám a dle důvodové zprávy na to chce najmout asi padesát nových úředníků na NÚKIB a další rezorty a úřady. To považujeme za nesmyslné.“
Pokud legislativa projde, stane se z NÚKIBu jeden z nejmocnějších úřadů v zemi.
Přímá úměra „více úředníků, více kyberbezpečnosti“ pochopitelně neplatí. A neplatí to ani z pohledu množství dotčených subjektů, kterých bude minimálně šest tisíc, spíš více. Mezi ně totiž automaticky spadnou všechny firmy podnikající v telekomunikacích, což je například přibližně patnáct set tuzemských mobilních operátorů.
Ano, včetně těch extrémně lokálních, nebo jakýkoliv provozovatel veřejně přístupné dobíjecí stanice, kterých je v Česku přes dva tisíce. Na ty všechny čekají lejstra, tabulky, školení...
„Subjekty, které jsou regulované podle současného kyberbezpečnostního zákona, mají drtivou většinu opatření už zavedenou, je to vidět například u telekomunikací či energetiky, které už dnes často čelí kyberútokům,“ vysvětluje Rejzek. „U nově regulovaných subjektů je hlavní rozdíl v tom, že po nich potřebné procesy a dokumentaci zatím nikdo nevyžadoval. Neznamená to, že nemají nic, znamená to hlavně to, že nemají nezbytné papírování a analýzy,“ doplňuje.
Na prověřování compliance těchto podniků pochopitelně bude třeba více úředníků – a důvodová zpráva kyberbezpečnostního zákona jasně pojmenovává, kde bude třeba přidat stavy.
Nabírat bude hlavně NÚKIB, ze kterého se – pokud legislativa projde – stane jeden z nejmocnějších úřadů v zemi. Nově mu podle důvodové zprávy přibude 20 tabulkových míst na odboru centrální analytiky, 15 tabulkových míst na odboru regulace, čtyři tabulková místa pro referenty bezpečnosti státu. Celkem 52 nových úřednických míst.
Pokud je to v eráru přes 50 pozic, soukromý sektor bude muset zřídit počet pracovních míst až o dva řády vyšší. Kyberbezpečnostní zákon totiž počítá se šesti tisíci dotčenými subjekty, a každý z nich bude muset mít manažera pro kybernetickou bezpečnost, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti. A i když je možné tyto pozice napříč firmami sdílet, stále půjde i při konzervativním odhadu o tisíce nových pozic, u kterých lze jen těžko očekávat, že pomohou produktivitě podniku. Problém je navíc v tom, kde se tito lidé vezmou.
Tuzemský trh s těmito profesemi je totiž extrémně „přebraný“, tisíce IT expertů na něm zkrátka nejsou. „Kde se tito lidé vezmou, nevíme. Na trhu už nyní chybějí zkušení manažeři kybernetické bezpečnosti, přitom odhady uvádějí, že poptávka po nich půjde do tisíců,“ glosuje Rejzek. „Není tak možné navrhovat regulaci v podobě, kdy zde fyzicky nebudou existovat lidé, kteří by mohli ve státní správě, samosprávách i v soukromé sféře zaručit soulad s novou regulací či na NÚKIB její vymáhání,“ uzavírá odborník.
🔥🗞️ Přidejte si INFO.CZ do svých oblíbených zdrojů na Google Zprávy. Díky.
