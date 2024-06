Schválit nový zákon o kybernetické bezpečnosti ve vládě a poslat ho do Sněmovny do začátku letních prázdnin se již zjevně nepodaří. V programu poslední červnové schůze vlády totiž chybí (byť tím není vyloučeno, že by se v době po vydání tohoto článku mohl formou dodatku do programu narychlo dostat). Přitom jak už několikrát zaznělo i tady na Lupě, návrhy zákonů, které nebudou ve Sněmovně do konce června, mají výrazně menší šance na schválení ještě v tomto volebním období, a většinově tak padají pod stůl. A nejen lobbisté to dobře vědí.

Nemělo by vás to ale zmýlit, že se kolem regulace kyberbezpečnosti nic neděje. Naopak, o co méně je toho vidět veřejně, o to důležitější události se odehrávají na pozadí. Ale ani to dění viditelné a veřejné nemůžeme opominout.

Podnikatelé žádají stažení celého zákona

Předně sílí kritika nových pravidel ze strany regulovaného sektoru. Pět podnikatelských uskupení, včetně Hospodářské komory, mobilních operátorů, a ICT Unie, podepsalo otevřený dopis premiérovi Petru Fialovi, ve kterém ho upozorňují na totéž, na co jsme v rámci našeho seriálu v předchozích dvou dílech poukazovali též. Tedy že předkladatel zákona, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), ani přes zásadní připomínky Legislativní rady vlády (LRV) neopravil vše, co mu bylo vytýkáno.

Sektor požaduje rovnou stažení problematického návrhu zákona. „Není možné, aby zákon (…) pokračoval dál legislativním procesem, aniž by byly zásadní strategické a koncepční otázky vyřešeny na politické úrovni s plným vědomím všech souvislostí, potřeb a možností státu a soukromého sektoru,“ píší podnikatelská sdružení s tím, že se zde znovu jako mantra objevuje hrozba zdražování. Sektor přitom odkazuje na to, že nová regulace si vyžádá zřízení tisíců nových pracovních míst a nutnost je obsadit kvalifikovanými zaměstnanci, kterých je na trhu práce nedostatek.





Svazy si rovněž neodpouští rýpnutí do mechanismu kontroly bezpečnosti dodavatelského řetězce. Volají tak po tom, aby Česko postupovalo podobně jako v dalších zemích, které mají transpozici směrnice NIS2 už za sebou tím, že z větší části provedly prosté přeložení ustanovení směrnice do svého jazyka. „Voláme po nastavení rovných podmínek pro podnikání na jednotném evropském trhu a tudíž přijmutí stejných pravidel jako mají v této oblasti sousední státy Evropské Unie,“ píše se v otevřeném dopise (citováno doslovně i s chybami).

Pisatelé mají za to, že pokud by se náš stát vydal stejnou cestou prosté transpozice NIS2 jako Maďarsko, Chorvatsko nebo Belgie, ušetřilo by se jak na straně státu, tak v podnikatelské sféře na nedostatkové pracovní síle. Vyslovili obavu, že plánovaná byrokratická zátěž k zajištění kybernetické bezpečnosti nepřispěje a že i státu budou chybět odborníci v úřadech, krajích nebo obcích, nebo jimi vlastněných podnicích a příspěvkových organizacích. A opět se tu objevuje kritika naprosto nedostatečně zpracované zprávy RIA o hodnocení dopadů regulace.

Sektor proto volá po tom, aby všechny povinnosti z transpozice směrnice byly přímo součástí zákona, nikoliv až prováděcích vyhlášek, aby bylo doplněno vyhodnocení dopadů regulace na veřejné rozpočty a na náklady soukromého sektoru a aby mechanismus prověřování bezpečnosti dodavatelského řetězce z návrhu zákona zmizel docela.

Stoupenci návrhu přesvědčovali ve Sněmovně

Kyberbezpečnostní zákon má vedle odpůrců i celou řadu vlivných přímluvců. Ti se zúčastnili konference v Poslanecké sněmovně s názvem „Vnitřní bezpečnost a odolnost státu II“. Veškeré podklady k ní, včetně zvukových záznamů z konference, jsou dostupné na webu PSP.

Hlasitým podporovatelem mechanismu bezpečnosti dodavatelského řetězce dlouhodobě je bývalý šéf NÚKIBu a stávající náčelník armádního Generálního štábu Karel Řehka. Ten zdůraznil, že stát nemá žádné legislativní nástroje, jak kontrolovat bezpečnost dodavatelských řetězců v IT technologiích. Za důvod, proč legislativa v tomto ohledu chybí, označil „enormní lobbistické tlaky pod různými záměry“. Řehka přitom podtrhl, že stát musí mít nástroje na efektivní kontrolu svých dodavatelských řetězců a jejich bezpečnosti. „To, co máme v zákoně o kyberbezpečnosti, jako je varování NÚKIBu, to je dost chabý nástroj,“ dodal Řehka s narážkou na stávající zákon.

Přímo za NÚKIB ve Sněmovně vystoupil náměstek Tomáš Krejčí. „NÚKIB je tu od toho, aby nám chránil tu nejkritičtější infrastrukturu, tedy to, na čem jsme závislí,“ řekl na úvod. Úřad se podle něj podobně jako ostatní orgány státní správy potýká s problémy v oblasti odměňování. „Jsme schopni odborníky zaplatit do určité úrovně, ale zlom přichází, když vy je vychováte, pošlete je na drahé vzdělávací kurzy, samozřejmě s doložkou, že musejí pro stát po určitou dobu pracovat, jinak za to hrozí sankce. Potom přijde soukromý sektor, nadnárodní společnost a pro ni doložka v řádu 300 až 400 tisíc není nepřekonatelná,“ popsal Krejčí důvody, proč stát přichází o nejschopnější zaměstnance.

Tyto přestupy však podle něj nemusí být nutně jen na škodu. „Dobře, klidně ať odcházejí, ale nesmí vypadnout spojení. Musíme využívat kontakty a navázanou důvěru pro to, abychom lépe spolupracovali. Ti lidé se promíchají v těch jednotlivých organizacích a pak se mnohem lépe spolupracuje s tím, koho znáte, s kolegou, než když to je někdo úplně neznámý,“ dodává.

Náklady na zajištění kybernetické bezpečnosti Krejčí odhadl na 200 milionů korun ročně. „Pokrývá to jak policii, tak zpravodajské služby, Ministerstvo vnitra nebo NÚKIB,“ upřesnil s tím, že dalším řešením je polská cesta. „Poláci mají speciální kapitolu ve státním rozpočtu, kam nalijí peníze a na základě kritérií pro kybernetickou bezpečnost z té kapitoly jednotlivé instituce čerpají zdroje,“ přiblížil i tuto alternativu.

Pozornost náměstek NÚKIBu věnoval i připravovanému kyberbezpečnostnímu zákonu. Zdůraznil potřebu, aby byl přijat, a to co nejdřív a ve stávající podobě. „Teď jsme v situaci, kdy máme nějaký čas pro to, abychom si řekli, jak nastavit ty mantinely, a dát pravomoci institucím, abychom se do budoucna vyvarovali situací, kdy protivník nás legálními prostředky navede do závislosti na rizikových dodavatelích v oblasti ICT a této závislosti v budoucnu využije,“ uvedl a dodal, že řešení této závislosti alespoň na základní úrovni potrvá tři až pět let.

„Pokud ten krok neuděláme teď, bude to jako s globálním oteplováním. Až zjistíme, že máme problém, až se to projeví, tak už s tím nic neuděláme. Ztrácíme drahocenný čas, který teď máme,“ uzavřel svoje vystoupení ve Sněmovně Krejčí.