Nový návrh zákona o kybernetické bezpečnosti zavádí do českého právního řádu evropskou bezpečnostní směrnici NIS2. Ale také možnost ověřit a vyloučit dodavatele, kteří by pro stát představovali bezpečnostní riziko.

Hospodářská komora už dříve upozorňovala na to, že Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) do návrhu nezapracoval některé připomínky.

Českým podnikatelům vadí zejména dopady zavedení prověřování bezpečnosti dodavatelského řetězce. Ten dává předkladateli zákona Národnímu úřadu pro kybernetickou a informační bezpečnost značné pravomoci. „Jako problém nevnímáme samotnou povinnost prověřování dodavatelů, ale její rozsah. Jeden úřad státní správy by mohl vstupovat do vztahů mezi dodavateli a odběrateli v celém rozsahu infrastruktury. A to včetně těch okrajových částí infrastruktury, které rozhodně nepředstavují kritické části našich sítí,“ uvádí Jakub Rejzek, vedoucí pracovní skupiny Kybernetická bezpečnost.

Hospodářská komora dlouhodobě vysvětluje, že navržený rozsah regulace je pro zdravé investiční prostředí nepřijatelný a mohl by poškodit rychlost rozvoje ICT infrastruktury v celém Česku. Navíc v případě prověřování bezpečnosti dodavatelského řetězce jde o národní rozhodnutí, Komora přitom volá po celounijním řešení. „NÚKIB navrhuje další čistě českou cestu regulace dodavatelů. Předkládaný návrh zavádí ve svém důsledku striktní povinností, které budou v mnoha případech vyžadovat pro české firmy zřídit si paralelní infrastrukturu, namísto využití stávajících prostředků propojených se zeměmi EU. Taková situace vytváří extrémní nároky na zdroje, které si například menší podnikatelé nemohou dovolit,“ dodává Radek Jakubský, viceprezident HK ČR.

Návrh zákona o kybernetické bezpečnosti počítá s rozšířením okruhu orgánů a osob, na který dopadá a jehož ochrana a fungování jsou v ekonomickém a celospolečenském zájmu. Celkově by mohlo jít až o 10–12 tisíc subjektů. Nyní jich pod regulaci spadá jen 400. „Tak výrazné navýšení počtu regulovaných subjektů by mohlo mimo jiné znamenat, že povinnosti plynoucí ze zákona nebude možné reálně vymáhat,“ upozorňuje Jakub Rejzek. „NÚKIB by mohl zohledňovat pouze bezpečnostní hledisko, mnohdy na základě geopolitických, nikoliv kyberbezpečnostních rizik. Vliv na ekonomiku, rozvoj sítí, cenu služby či další sociální aspekty mu mohou být při rozhodování lhostejné. Podle současného návrhu nejsou názory dotčených orgánů pro NÚKIB závazné,“ hodnotí dále návrh Jakub Rejzek.
Hospodářská komora upozornila také na to, že vláda ČR bude o návrhu nového zákona o kybernetické bezpečnosti rozhodovat bez komplexní analýzy RIA (Regulatory Impact Assessment). Úředníci se při přípravě návrhu zákona o kybernetické bezpečnosti vůbec nezabývali dopadem regulace na celá průmyslová odvětví, předložená neúplná analýza RIA byla i terčem kritiky Legislativní rady vlády jako zcela nedostatečná. Česko má čas na implementaci NIS2 do října letošního roku.

(tz)