Poslouchat vystoupení představitelů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) na sněmovních výborech bylo jak výlet do nějakého paralelního vesmíru. Všechno, co udělali a navrhují, je správné a nezbytné, obavy nejsou namístě, všichni to zvládneme, náklady jsou minimální, můžete nám věřit! Vlastně tím říká, že navrhovaná politická kontrola regulace by úředníkovi znemožnila reagovat pružněji, což je přesný opak významu slova minimální.
Je úplně fascinující, jak si kariérní úředníci myslí, že podnikatelé mají čas, peníze a prostor na řešení všech jejich nápadů a jak by všechno, co navrhují, „určitě dělali sami“. No, tak to vážně není. Vrchol všeho byl, když ředitel úřadu Lukáš Kintr přiznal na zasedání výboru pro bezpečnost, že zákon o kybernetické bezpečnosti dopadne na asi 2000 menších regionálních a lokálních poskytovatelů internetu, ale tvrdil, že ti už přece dnes plní požadavky na bezpečnost ze svého sektorového zákona, takže vlastně dochází jen k přesunu povinností, zjednodušení a zpřehlednění. A jsou to „digitálně zdatné firmy“! Pohoda jazz!
Nic nemůže být dále od pravdy a pan ředitel poslance mírně řečeno uváděl v omyl. Je tedy nutné uvést věci na správnou míru.
Současné povinnosti ze zákona o elektronických komunikacích jsou dobře nastavené, protože jsou minimální, obecné, a hlavně s sebou nenesou žádnou zásadní byrokracii. Operátoři jsou povinni podle § 98 zákona o elektronických komunikacích skutečně zajišťovat bezpečnost a integritu své sítě a bezpečnost služeb, které poskytují, a přijmout „technicko-organizační pravidla (…), která zajistí takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika s cílem předejít nebo minimalizovat dopad bezpečnostních incidentů na uživatele a na sítě a služby“. To samozřejmě podnikatelé dělají. Hlášení je pak zaměřené jen na závažnější incidenty, které se dotknou většího množství uživatelů, což se většiny malých a středních operátorů prakticky netýká.
Srovnejme to s byrokratickým monstrem, které navrhuje pan ředitel NÚKIBu a jeho úřad. Především se na asi stovku firem z oněch dvou tisíc operátorů (registrovaných na ČTÚ) budou vztahovat vyšší, tedy přísnější kritéria stejná jako ta, která musí plnit T-Mobile nebo Vodafone, kteří na to mají armády regulovčíků a právníků. A to jen proto, že splňují kritéria pro velký a střední podnik, které chce úřad regulovat přísněji.
To znamená brutální nárůst povinností, protože v návrhu vyhlášky jim úřad věnuje asi třicet stránek. Všichni ostatní, bez ohledu na velikost firmy, tedy včetně malých regionálních hráčů, kteří se starají o zaměstnanost chytrých lidí v regionech, budou mít ty „nižší povinnosti“. No a co jsou nižší povinnosti?
Operátoři s pár tisícovkami přípojek budou muset vytvořit přehled bezpečnostních opatření, bezpečnostní politiku s poměrně širokým odůvodněním, proškolit zaměstnance a vrcholové vedení, dbát na to, aby ve smlouvách s dodavateli byla předepsaná ustanovení a aby to dodavatelé dodržovali, musí mít různé metodiky, vytvářet zprávy a tak dále a tak dále. Deset stránek povinností, každý řádek znamená nějaký nový papír, který budeme muset vytvářet. Mnohokrát je totiž ve vyhlášce uvedeno „prokazatelně“, což znamená, že compliance se prokazuje nějakým papírem, záznamem či potvrzením.
Stát tak prostřednictvím NÚKIBu uvaluje na malé firmy požadavky na prokazatelné a byrokratům doložitelné nastavení všech procesů týkajících se kybernetické bezpečnosti. Tím neříkám, že operátoři se o kyberbezpečnost nestarají – samozřejmě starají. Ale nedělají kolem toho brutální byrokratické orgie dle požadavků úředníka v objemu, kdy na to budou potřebovat nějakou externí sílu, aby to zpracovala, zařídila a vytvořila.
Objektivně na regulační compliance takto obrovského rozsahu v drtivé většině případů nemají ani čas, ani peníze. Scénář je všem manažerům jasný – odborníci na papírovou válku budou vytvářet šanony povinných dokumentů, prohlašovat a obnovovat prohlášení o neaplikovatelnosti, aktualizovat analýzy, ale na technická opatření nezbydou čas a prostředky.
V hodnocení dopadů regulace NÚKIB neprovedl žádné smysluplné hodnocení toho, jak opatření dopadnou na různé sektory, které chce regulovat. Rozhodně neprovedl žádné hodnocení toho, jak dopadne regulace na malé a střední podniky, které budou představovat významnou část regulovaných subjektů. Asi proto, že kdyby si někdo přečetl, jak to bude v realitě, žádný poslanec by pro to ruku nezvedl.
Takže, pane řediteli, vaše nápady fakt nejsou žádné „zjednodušení a zpřehlednění“, jak říkáte poslancům. Jsou to zásadní administrativní a byrokratické náklady nad rámec další přísné regulace, kterou stát nabalil už v minulých letech na malé a střední podniky v regionech. Jenomže podnikatelé jsou také voliči, což by si měli uvědomit politici – úředníkovi je nálada ve společnosti lhostejná.
Díky významným malým a středním podnikům v regionech je v Česku nejlevnější pevný internet v Evropě. Mít gigabitové připojení za nějakých 500 korun s DPH, jak nabízí řada českých menších hráčů, fakt není běžné nikde na západě. Tam zaplatíte klidně čtyřnásobek české ceny. Pokud je tohle budoucnost, kterou poslanci chtějí, ať klidně zvednou ruku pro připravovaný zákon, dávající úředníkům nevídané pravomoci. Ale ať se pak nediví, že to voliči úplně neocení.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
