Boj proti kyberzločinu zdraží volání i data
Fialova vláda tlačí extrémní regulaci ICT sektoru. Ajťáckému superúřadu z Brna chce svěřit pravomoc zakazovat nejen technologie, ale i jednotlivé výrobce. Náklady ve vysokých desítkách miliard korun poneseme všichni.
Zákon o kybernetické bezpečnosti. Možná jste o téhle nové regulaci IT a telekomunikací zatím ještě neslyšeli, ale bezpochyby o ní určitě uslyšíte. Proč? Bude se týkat desítek tisíc firem, dopady ovšem pocítí všichni, a to i lidé mimo byznys – stane se tak na fakturách za telefonování, internetové připojení a dost pravděpodobně i v platbách za elektřinu.
Regulaci kyberbezpečnosti totiž hodlá vláda Petra Fialy (ODS) plně svěřit do rukou úředníků Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) formou zmiňovaného zákona o kybernetické bezpečnosti. Ovšem zákona, který si napsali sami úředníci NÚKIB. Zákona, který nedávno vzniklé instituci svěřuje maximální pravomoce rozhodovat o tom, jaké technologie bude moci používat nejen veřejná správa, ale také soukromý sektor. To vše se děje bez vyčíslení ekonomických nákladů regulatorních opatření nebo bez alespoň částečného konsensu odborné veřejnosti či souhlasu legislativních poradců vlády.
Kritika operátorů i regulátora
Nejhlasitějšími kritiky jsou mobilní operátoři, jichž se zákon dotkne jako prvních, ale připomínky k zákonu mají i další organizace z ICT branže a byznysu. Mezi hlasité kritiky připravované legislativy se dokonce řadí i regulátor trhu, Český telekomunikační úřad (ČTÚ). „Úředníci NÚKIB přicházejí se zákonem, který jim dá pravomoc říci: my si myslíme, že dodavatelé vašich technologií nepocházejí ze zemí s náležitě demokratickým režimem. Budete muset svá zařízení nahradit tak, aby pocházelo od dodavatelů, se kterými se chceme více kamarádit. Současně je nám úplně jedno, kolik vás to bude stát, protože bezpečnost je víc než peníze,“ říká Jiří Grund, prezident Asociace provozovatelů mobilních sítí (APMS) s tím, že v Česku neexistuje zákon, který by svěřil tak vysoké pravomoce do rukou jednoho úřadu.
S ideou, že je potřeba kybernetickou bezpečnost v České republice hlídat, Grund plně souhlasí, ovšem po vzoru regulace v některých západoevropských zemích požaduje, aby se případné zákazy technologií či dodavatelů vztahovaly pouze na ty nejkritičtější části mobilních sítí. Jenže: český NÚKIB si v novém zákoně vymezil daleko širší pravomoce.
Mocný superúřad z Brna
Základem celého procesu, který schválila Fialova vláda – a aktuálně je projednáván v Poslanecké sněmovně – je oprávněná snaha Evropské unie bojovat proti kybernetickým hrozbám a stanovit jednotná pravidla pro bezpečnost ICT systémů a sítí. Bojovat tak, aby byly bezpečnější proti útokům hackerů a organizovaných skupin či celých států.
Proto Evropská komise již před časem schválila směrnici NIS2 (Network and Information System Directive 2), kterou mají členské státy EU zaimplementovat do svých systémů.
Jenže politici a úředníci se v Česku rozhodli, že místo pouhé transpozice evropské směrnice připraví rovnou zásadní novelu zákona o kybernetické bezpečnosti (letos jsme o tom již v týdeníku Euro psali). Dotyčný zákon obsahuje nejen Evropskou unií požadovaná opatření, ale také hromadu regulatorních opatření, které EU po Česku ani nežádala, a také – jak tu zopakujeme – svěřuje takřka neomezené pravomoce pro dozorující NÚKIB.
Až na mimořádnosti bude moci superúřad z Brna – bez nutnosti schválení vládou či alespoň příslušných resortních ministrů – rozhodovat prakticky o všem, co bude v oblasti kybernetické bezpečnosti považovat za „hrozbu“. Bude tak moci formou vlastní vyhlášky zakázat určitou technologii, vybrané výrobce a také nakázat všem poskytovatelům ICT služeb v Česku jejich výměnu za nějakou bezpečnější variantu. „Je to zákon, který chce vytvořit všemocný úřad s potenciálem omezit podnikatelskou svobodu nejvíce od roku 1989. Nemyslím si, že úředníci s jediným zájmem by měli přetvářet tržní prostředí nejen v telekomunikacích, ale i v dalších oborech,“ uvedl pro týdeník Euro Jakub Rejzek, prezident Výboru nezávislého ICT průmyslu (VNICTP) a šéf skupiny Hospodářské komory ČR pro kybernetickou bezpečnost.
Telco, pak soláry a e-auta?
V průběhu projednávání zákona v parlamentu navíc vyplynulo, že regulatorní apetit brněnských úředníků je daleko širší. Z vyjádření šéfů NÚKIB vyplývá, že úřadu může vadit závislost na dodavatelích, zejména těch čínských, ve vícero oborech: vedle již zmiňovaných technologií a telekomunikací chce NÚKIB mluvit i do segmentu solárních elektráren, chemikálií, elektroaut a sektoru dopravy. „Pokud by se někdo rozhodl vyřadit větší sluneční zdroj, mohlo by to ohrozit stabilitu energetické sítě,“ vysvětloval náměstek ředitele NÚKIB Tomáš Krejčí poslancům hospodářského výboru, proč chce úřad regulovat i další segmenty.
V Česku je téměř 200 tisíc solárních zdrojů, z toho je více než 50 tisíc instalací považovaných za větší dodavatele do sítě, a to včetně kapacitnějších fotovoltaik na soukromých domech. Podle Krejčího by se zákon o kybernetické bezpečnosti neměl dotýkat provozovatelů „pár solárních panelů na střeše“, ale onu konkrétní hranici neuvedl. „Snažíme se udělat výjimku, aby v regulaci nebylo všech 50 tisíc subjektů,“ uvedl náměstek NÚKIB bez bližších údajů a vysvětlení. Podobně neurčitě reagoval posléze na dotaz, jak bude mocný úřad přistupovat k elektroautům, a především k dobíjecím místům pro e-vozy: „Problém je s nabíjecími stanicemi, určitě ale nebudeme regulovat místa s jednou nabíječkou.“ A se dvěma ano? Kupříkladu skupina Moravia Steel, pod kterou spadají mimo jiné Třinecké železárny, Energetika Třinec a další firmy, odhaduje, že celkové náklady na implementaci nových regulatorních povinností mohou vystoupat na vyšší stovky milionů korun. „Souhlasíme s nutností zajištění vyšší míry bezpečnosti strategických služeb, nicméně takto masivní regulace přináší obrovské administrativní náklady v době, kdy průmysl v Česku prochází ekonomickou krizí,“ uvádí tisková mluvčí Petra Macková. Zmiňuje i fakt, že průmyslové odvětví je v důsledku války na Ukrajině, energetické krize vyvolané obřími investicemi kvůli Green Dealu a dalších strmě rostoucích nákladů pod velkým tlakem: „Obáváme se, že při přípravě této regulace nebyly, i přes opakované varování a připomínky ze strany Svazu průmyslu a dopravy, zohledněny ekonomické dopady, které budou velmi vážné.“
Připomínky? Zamítnuto
O třaskavosti tohoto tématu svědčí i to, že se v připomínkovém řízení NÚKIB sešlo 886 připomínek od 51 subjektů! Zástupci byznysu, ale též řady oborových organizací či regulátora trhu, si v nich stěžují, že jejich návrhy odmítl superúřad akceptovat. „V rámci připomínek i řady jednání jsme se snažili zpracovatele návrhu přesvědčit o řadě našich výhrad. Takřka žádné z nich nebylo vyhověno. Výsledný návrh zákona byl vládě předložen s rozpory nejen od Hospodářské komory ČR (HK ČR), ale i mnoha dalších subjektů, jako jsou Svaz průmyslu a dopravy, Asociace krajů, Svaz měst a obcí či ČTÚ. Vláda návrh zákona schválila ve znění navrhovaném NÚKIB a v tomto znění jej předložila Poslanecké sněmovně,“ postěžoval si Ladislav Minčic, tajemník komory. Největší zástupce českých podnikatelů a firem mimo jiné poukazuje na bagatelizaci dopadů ze strany tvůrců zákona: „NÚKIB odhaduje budoucí počet regulovaných subjektů na šest tisíc, odhady HK ČR jsou však minimálně dvojnásobné. Regulovaných subjektů dle nového zákona bude až pětadvacetkrát tolik než podle nyní platného zákona o kybernetické bezpečnosti.“ Ještě větší dopad odhaduje Hospodářská komora na oblast energetiky. „Dřevozpracující závody, spediční firmy, prodejci automobilů a další subjekty budou spadat do regulace jen proto, že mají na střeše solární elektrárnu, přestože žádnou jinou činností do oblasti regulace nezasahují,“ doplňuje Minčic.
S kritikou neúměrného zásahu do řady podnikatelských sektorů se připojil i Marek Novák (ANO), člen hospodářského výboru a předseda podvýboru pro ICT, telekomunikace a digitální ekonomiku. „Třicet stran povinností, jež dosud musely plnit velké podniky jako ČEZ, Čepro, MERO nebo ČEPS, velké telekomunikační firmy a správci významných informačních systémů, dopadnou na výrobce dortů, skla či sak jen proto, že mají fotovoltaiku nebo provozují dobíjecí stanici,“ uvedl Novák. Opozičního zákonodárce podpořil i vládní poslanec a zpravodaj zákona Petr Letocha (STAN), jenž připustil, že obavy jsou na místě.
Legislativní „rozcupování“
Zvláštní jsou také způsoby, jakým brněnský superúřad předkládá normu vládě a dalším subjektům v legislativním procesu. NÚKIB poslal zákon do „Strakovky“ vloni jen den před Vánocemi a podle serveru Lupa.cz měl sám premiér Fiala k návrhu výhrady takového rázu, že k tomu odmítl připojit svůj podpis. Několikrát upravená, alespoň částečně bezrozporná verze zákona pak na jaře doputovala do Legislativní rady vlády (LRV), tedy expertní skupiny složené z právníků, často i zvučných jmen, a zástupců Úřadu vlády. Apolitický orgán se zaměřil na odbornou stránku novely. Výsledek? Podle dostupných zdrojů zákon doslova rozcupoval a vrátil k přepracování. Jednou ze zásadních připomínek byl fakt, že povinnosti pro dotčené subjekty nechce NÚKIB ukládat zákonem, ale vlastními vyhláškami.
„Vymezení rozsahu věcné působnosti navrhovaného zákona je do značné míry postaveno na prováděcích předpisech, pro které ale navrhovaný zákon neobsahuje dostatečný základ a meze, v jejichž rámci by mohly být předpokládané vyhlášky úřadem vydávány,“ zní usnesení LRV. Když úřad po týdnech úprav zákon poslal na vládu (bez odstranění zásadních závad), legislativní radu v dalším projednávání již obešel. A vláda pak zákon v červenci schválila.
Kolik to bude stát? Nevíme
Nestandardních situací – dle veřejných i kuloárových informací – je v případě projednávání zákona hned několik. Poslanci hospodářského výboru během jeho projednávání na konci září podrobili NÚKIB kritice za to, že za celou dobu nebyl úřad schopen spočítat ekonomické dopady implementace této nové regulace. Přestože vláda na svých webových stránkách uvádí, že nedílnou součástí legislativního procesu v České republice je takzvaná RIA čili regulatory impact assessment (tedy hodnocení dopadů regulace), NÚKIB zákonodárcům dosud nepředložil žádný ekonomický předpoklad dopadů nového kyberzákona.
„Vy nevíte náklady regulace, my nevíme náklady, nikdo neví náklady. Ale je zřejmé, že se přenesou od velkých firem na koncové spotřebitele. V době zdražování a inflace máme obhajovat další růst cen kvůli kyberbezpečnosti?“ ptal se poslanec Patrik Nacher (ANO).
Na přímý dotaz citovaného poslance Nováka, zda si úřad udělal průzkum mezi dotčenými subjekty v soukromém a státním sektoru, jaké budou mít náklady s implementací, odpověděl Tomáš Krejčí vyhýbavě: „Průzkumů jsme se snažili dělat celou řadu, ale jsme odkázáni na data, která dostaneme; bez nich žádný průzkum neuděláte.“ Náměstek superúřadu si také postěžoval, že tu prý není metodika, která by dokázala odlišit běžné provozní náklady na ICT od nákladů souvisejících s kybernetickou bezpečností. „Data, která se nám vracejí, jsou natolik různorodá, že jakýkoliv závěr z nich je zkreslený a z mého pohledu nemají vypovídací hodnotu,“ přiznal nekompetentnost Krejčí. „Teď jste mne přesvědčil, že vy fakt nevíte, kolik to bude stát! My jsme hospodářský výbor, nás zajímá dopad na občany, firmy, aby to bylo co nejlevnější a nejefektivnější,“ horoval předseda hospodářského výboru Ivan Adamec (ODS).
Odhad: 65 miliard
Asociace mobilních operátorů odhaduje, že jen náklady tuzemských telekomunikačních firem, pokud by byly nuceny obměnit své technologie před koncem jejich životního cyklu, úhrnem vystoupají na 20 miliard korun. „Chtěli jsme, aby autoři do zákona vložili pojistku, že nechají stávající nakoupené technologie pro 5G a další sítě ,dožít´, nechtěli to. Když jsme (je) žádali, aby v zákoně jasně vymezili, v jakých částech sítě chtějí uplatňovat svoji regulaci, odmítli to. Když jsme požadovali, aby udělali kvalitní studii dopadů regulace, RIA, s jasnými ekonomickými aspekty, řekli, že to vlastně nejde spočítat,“ popisuje Jiří Grund složité okolnosti vyjednávání s kybernetickým úřadem.
Organizace VNICTP, zmíněný Výbor nezávislého ICT průmyslu, sdružující především menší poskytovatele připojení k internetu, odhaduje potřebné náklady – jen v segmentu regionálních operátorů, mezi nimiž jsou stovky takzvaných lokálních wifinářů – na čtyři miliardy korun. „Náklady budou obří. Pokud dojde k regulaci v podobě, kterou navrhuje NÚKIB, a pokud splní to, co dlouhodobě indikuje – tedy zakáže jakékoliv čínské dodavatele technologií – dojde na dva až tři roky k zastavení investic menších poskytovatelů… A to jen proto, že NÚKIB chce mít prakticky neomezené pravomoce a regulovat každou přípojku v každé vesnici, nikoli jen kritické systémy velkých operátorů,“ vypočítává Rejzek, šéf VNICTP.
Mezinárodní poradenská společnost Frontier spočítala, že pokud jde o náklady firem a veřejných institucí na zajištění odpovídajících pracovníků, kteří budou zodpovídat za plnění kyberbezpečnostních směrnic, bude potřeba přibližně 45 miliard korun. V případě energetické společnosti ČEZ se spekuluje o vyvolaných nákladech kolem 2,5 miliardy korun a nutnosti přijetí přibližně stovky nových IT specialistů, kteří budou dotyčnou problematiku ve firmě obsluhovat. Hospodářská komora ČR již letos na jaře uvedla, že náklady pro podnikatele, firmy a veřejnou správu se budou pohybovat kolem souhrnných 65 miliard korun.
Řehka: Budeme vás sledovat
Je zřejmé, že pokud dojde k tak velkým investicím vyvolaným regulací, náklady ve finále ponesou koncoví spotřebitelé, tedy domácnosti a firmy. Prezident APMS to nezastírá: „Kdo jiný než koncový zákazník? Od zatvrzelých propagátorů co nejsilnější regulace už dva roky slyšíme, že bezpečnost není zadarmo. Nikdo z nich ale nemá odvahu to říci nahlas občanům této země. Stejně jako Green Deal zdražil energie, stáváme se nekonkurenceschopnými, tak i tato regulace může naši konkurenceschopnost ohrožovat. Zvláště pokud velké země EU jako Německo, Francie anebo Španělsko čile s Čínou obchodují dál,“ připomíná Grund.
„Náklady se musejí někam promítnout. Lze tedy předpokládat, že se zvýší ceny. Segment menších a středních poskytovatelů se může stát méně konkurenceschopným, takže řada firem bude odcházet z trhu nebo se nechá koupit většími. Snížení konkurence na trhu obvykle vede opět k vyšším cenám,“ uvedl Jakub Rejzek pro týdeník Euro.
Získat k třaskavému tématu oficiální vyjádření politiků je poměrně složité. Superúřadem nepříliš dobře připravené téma, jež má přesah do mezinárodních vztahů, nechtějí politici „na jméno“ komentovat. Jak již zaznělo, NÚKIB si zákon píše sám, ve vládě se k němu nikdo pořádně nehlásí, sněmovní tisk o předkladateli pouze uvádí: „Zástupce navrhovatele: předseda vlády.“ Sám premiér se však k zákonu takřka nevyjadřuje. Jen mluvčí vlády občas zopakuje, že Česko „musí bojovat proti kybernetickým atakům“ a závislosti na čínských dodavatelích.
Situaci navíc nedávno vyostřil bývalý šéf NÚKIB a náčelník Generálního štábu Armády ČR Karel Řehka. Ten své bývalé kolegy podpořil videem, v němž říká, že bez bezpečného kyberprostoru dnes stát nemůže fungovat. A zákonodárcům poslal vzkaz, že bude sledovat jejich chování ve sněmovně a ve výborech při projednávání a odsouhlasování zákona. „No nic, bude zajímavé sledovat, kdo jak hlasoval, kdo jak chtěl zákon měnit a kdo za koho mluvil. Ale uznávám, že to je jen pro fajnšmekry,“ pronesl Řehka ve videu na síti X (dříve Twitteru). Je zřejmé, že v takové atmosféře bude další projednávání ještě víc vyhrocené.
