České firmy vyzvaly premiéra Fialu, aby přerušil schvalování zákona o kyberbezpečnosti

Premiér Petr Fiala (ODS)

Premiér Petr Fiala (ODS) Zdroj: ČTK / Pavlíček Luboš

Velké tuzemské firmy vyzvaly premiéra Petra Fialu (ODS), aby přerušil legislativní proces schvalování zákona o kybernetické bezpečnosti. Zákon, který vypracoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), chtějí uvést do souladu s evropskou směrnicí NIS2, požadují vyčíslit jeho dopady na podniky a také z něj vyčlenit mechanismus prověřování bezpečnosti dodavatelského řetězce.

Návrh prošel Legislativní radou vlády a kabinet by se jím měl zabývat v nejbližších týdnech. Vyplývá to z dopisu a vyjádření Asociace provozovatelů mobilních sítí (APMS), jako jedné z pěti organizací, které jsou pod dopisem podepsané. 

Dopis podepsala Hospodářská komora ČR, Asociace provozovatelů mobilních sítí, ICT Unie, Výbor nezávislého ICT průmyslu a Česká asociace elektronických komunikací. Podle prezidenta APMS Jiřího Grunda není možné přijmout právní normu bez toho, aby byly vyčísleny finanční dopady na firmy i úřady. Podle odhadu asociace se budou pohybovat v desítkách miliard korun.

„Hodnocení dopadů regulace (RIA) vypracované NÚKIB neposkytuje dostatečný podklad pro kvalifikované rozhodování zákonodárců o návrhu zákona. RIA byla provedena jen formálně, s velkou pravděpodobností ex post. Úřad pravděpodobně nejdříve napsal zákon a pak k němu provedl hodnocení dopadů, nikoli že by nejdříve provedl analýzy, poté zhodnotil jejich dopady a poté vybral tu, která přináší nejvíce přínosů s nejnižšími náklady,“ řekl Grund.

Zpráva podle oponentního posudku APMS především neobsahuje konkrétní přehled subjektů, které budou na základě nového zákona poskytovateli regulovaných služeb, a budou tedy muset uvést své systémy a procesy do souladu s tímto zákonem, což pro ně bude znamenat náklady. Zpráva neobsahuje také odhad těchto nákladů a odhad, alespoň formou nějakého rozpětí, agregovaných nákladů, případně nákladů na jednotlivá regulovaná odvětví, aby bylo možné zhodnotit dopad na podnikatelské prostředí, sociální dopady a dopady na spotřebitele. Zpráva zcela postrádá vyhodnocení dopadu na malé a střední podniky.

Původním cílem nového zákona byla transpozice evropské normy o kybernetické bezpečnosti NIS2 do českého práva. Podle vyjádření profesních organizací jde ale, na rozdíl od jiných zemí, které nařízení jen přeložily, Česko výrazně nad její rámec, a navíc do zákona přidalo i mechanismus posuzování dodavatelských firem, ve kterém by měl hlavní slovo NÚKIB. ČR má čas na přijetí NIS2 do října, NÚKIB se ale už nechal slyšet, že termín zřejmě nedodrží.

„Máme za to, že není možné, aby zákon s potenciálním dopadem v mnoha desítkách miliard korun pokračoval dál legislativním procesem, aniž by byly zásadní strategické a koncepční otázky vyřešeny na politické úrovni s plným vědomím všech souvislostí, potřeb a možností státu a soukromého sektoru,“ uvedly organizace.

Podle průzkumu aliance NIS2READY začalo se zaváděním bezpečnostních opatření podle NIS2 jen 28 procent organizací. Zcela připravená je každá sedmá. Dotázané soukromé společnosti očekávají výdaje v řádech milionů, o využití dotace uvažuje třetina z nich.