NIS2

Zákonu o kyberbezpečnosti hrozí skluz. Proti směrnici EU se bouří firmy i operátoři

NIS2
Zákonu o kyberbezpečnosti hrozí skluz. Proti směrnici EU se bouří firmy i operátoři

Obsah dostupný jen pro předplatitele.
Přihlásit se můžete zde.

Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete .

Echo Prime

Obsah dostupný jen pro předplatitele.
Předplatné můžete objednat zde.

Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete zde.

Echo Prime

Nový zákon o kybernetické bezpečnosti, jehož návrh připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), vyvolává v české podnikatelské komunitě výraznou kritiku. Tento zákon, který má přenést evropskou směrnici NIS2 do českého právního řádu a zavést mechanismus prověřování bezpečnosti dodavatelského řetězce, je momentálně na Legislativní radě vlády po přepracování na základě množství připomínek.

Zákon o kybernetické bezpečnosti je zpět na stole Legislativní rady vlády, která jeho projednávání v dubnu přerušila a poslala ho NÚKIB k dopracování. Podle NÚKIB se jedná o běžnou součást legislativního procesu. „Legislativní rada vlády nám dala několik cenných podnětů a připomínek k návrhu nového zákona o kybernetické bezpečnosti. Zákon se tedy nevrací na začátek, naopak překonal další metu a my již intenzivně zapracováváme veškeré připomínky,“ uvedl NÚKIB.

Zákon musí být přijat do 17. října, jinak Česku hrozí sankce od Evropské unie. Nicméně, ředitel NÚKIB Lukáš Kintr uvedl, že se termín zřejmě nepodaří dodržet a zákon bude platit až od příštího roku.

Klíčové prvky zákona

Nový zákon se zaměřuje na dvě hlavní oblasti: implementaci evropské směrnice NIS2 a zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce. Tento mechanismus má za cíl zvýšit bezpečnost telekomunikačních, energetických a dalších kritických infrastruktur, ale právě tento bod je hlavním předmětem sporů.

Kritika zákona

Už delší čas se Asociace provozovatelů mobilních sítí (APMS) obává, že „podnikatelé budou muset vynaložit až 65 miliard Kč v důsledku nové regulace vyplývající z návrhu Zákona o kybernetické bezpečnosti“, uvedla už dříve asociace. Zákon zahrnuje mechanismus prověřování bezpečnosti dodavatelského řetězce, který výrazně překračuje směrnici NIS2. APMS kritizuje, že NÚKIB může jednostranně zakázat technologie na základě země původu dodavatelů, což vytváří „velmi nepředvídatelné investiční prostředí“ a může vést k „znehodnocení investic soukromého sektoru v řádu desítek miliard korun“ bez zvýšení bezpečnosti.

Dalším problémem je rozsah Mechanismu, který zahrnuje celou telekomunikační síť. APMS považuje za neopodstatnělé zahrnout „rádiovou přístupovou síť“ do kritické infrastruktury, jelikož jejich výpadky nemají „přímý okamžitý dopad na nedostupnost služeb mobilního operátora“. Navrhují, aby byl rozsah Mechanismu omezen na aktiva, jejichž nedostupnost má přímý dopad na kritickou úroveň regulované služby, tedy hlavně na jádro sítě a části přenosové sítě.

APMS také upozorňuje na „bezprecedentní koncentraci pravomoci v rukou jediného orgánu“, kdy NÚKIB může samostatně stanovovat rozsah regulace a hodnotící kritéria, což narušuje předvídatelné podnikatelské prostředí.

Jan Rafaj, prezident Svazu průmyslu a dopravy, zase nedávno v dopise, který má redakce Echo24 k dispozici, vystoupil proti návrhu zákona s důrazem na „značnou nejistotu v procesu rozhodování o zákazu či omezení dodavatele poskytovatelům strategicky významné služby v rámci mechanismu prověřování bezpečnosti dodavatelského řetězce“. Rafaj zdůrazňuje, že vláda České republiky není dostatečně zapojena do rozhodování, což považuje za problém, protože zákon tuto pravomoc přisuzuje primárně NÚKIB.

Rafaj také uvádí, že vydání opatření obecné povahy, označujícího dodavatele za „rizikového“, může mít „velmi zásadní dopady nejen na činnost dodavatele, ale zejména na daného poskytovatele strategicky významné služby“. Tento zásah do práva na podnikání by měl být založen na rozhodnutí politické reprezentace, podobně jako v případě sankcí nebo zahraničních investic.

Základní argumenty odpůrců

Odpůrci zákona o kybernetické bezpečnosti obecně upozorňují na excesivní regulaci a administrativní zátěž – zákon podle nich vyžaduje rozsáhlou administrativní činnost, která může být nákladná a zatěžující, zejména pro menší a střední podniky. Tyto regulace mohou vést k vysokým nákladům na regulační soulad a dokumentaci.

Implementace směrnice NIS2 a přidání dalších povinností nad rámec této směrnice podle nich může způsobit vícenáklady v řádu desítek miliard Kč, aniž by výrazně zvýšila kybernetickou bezpečnost. Regulační požadavky mohou vést k zániku menších firem a snížení konkurenceschopnosti českých podniků.

Argumentují i potřebou zhodnocení dopadů regulace: Kritici poukazují na nedostatečné hodnocení ekonomických dopadů této regulace. Nebyla předložena žádná detailní analýza či studie, která by prokazovala, že předkladatelé zákona mají představu o tom, co svými rozhodnutími mohou způsobit. Návrh zákona představuje podle kritiků největší zásah do svobody podnikání za posledních 30 let. Mechanismus prověřování bezpečnosti dodavatelského řetězce by mohl způsobit, že se podnikatelé budou muset ptát státu na povolení pro každého dodavatele, což by výrazně omezilo jejich svobodu a mohlo by vést k závislosti na menším počtu povolených dodavatelů.

 

jhr