Evropská byrokracie zahltí i české úřady. Potřeba jsou stovky nových lidí
O tom, že řada nových evropských nařízení a směrnic je pro byznys významně zatěžující, už jsem psal mnohokrát. Nutnost všemožného reportingu a compliance už je pro řadu odvětví na hranici únosnosti. Paradoxně ale nejen pro soukromý sektor – nové povinnosti dopadají významně i na české úřady, které požadují výrazné navýšení úřednických míst. Je otázkou, zda je vůbec dostanou tabulkově, a také reálně – tedy zda je budou schopni zaplatit.
Evropská legislativa je totiž v drtivé většině navržená tak, že cokoli, co schválí politici na evropské úrovni, se jim o pár měsíců později vrátí na národní úrovni v podobě nových agend, povinností kontrol a nutnosti zprocesovat nejrůznější ohlášení, koordinovat se s ostatními podobnými úřady v dalších členských státech a podobně.
Je úplně fascinující sledovat, jak se na to neustále při schvalování nových unijních regulací zapomíná. Výsledkem jsou pak dlouhé dohady na naší lokální úrovni o tom, kdo bude dělat co a kolik to bude stát. A hlavně, kolik nových lidí bude nutné přijmout. Všechny „digitální“ regulace, které schválila komise v minulém období, nás teď aktuálně dohánějí a představují poměrně velké (a nikoli neoprávněné) nároky na státní aparát.
Jako třeba minulý týden, kdy se podařilo dohodnout po tři čtvrtě roce způsob, jak se státní správa vypořádá s nutností implementovat Akt o umělé inteligenci. Samozřejmě vše se točilo kolem nových míst pro nové úředníky. Nařízení o AI totiž výslovně požaduje, aby členské státy jeho plnění zabezpečily kvalifikovanými lidmi. Unijní státy k tomu přistoupily různě. Třeba Španělsko vytvořilo speciální úřad a naplnilo jím palác La Terazza ve městě A Coruña s asi 130 plánovanými místy, v Polsku vznikl úřad o asi osmdesáti lidech. Jiné členské státy rozházely povinnosti po různých existujících úřadech.
Ministerstvo financí se kouslo
Je samozřejmě možné, a je to velmi chvályhodná iniciativa českého ministerstva průmyslu, že se části AI nařízení odloží, jak psal kolega Jan Sedlák. I tak bude ale potřeba dost nových lidí. České ministerstvo průmyslu odhadlo, že „celkově pro zabezpečení řádného vymáhání v letech 2026 až 2028 bude potřeba nově zajistit minimálně 53 úvazků.“ A to hlavně na různých úřadech, nejen na ministerstvu samotném, protože část agendy bude mít na starosti ČTÚ, část Úřad pro technickou normalizaci, metrologii a státní zkušebnictví, část Úřad pro ochranu osobních údajů a tak dále.
Samozřejmě vše se kouslo na ministerstvu financí, které není úplně ochotné jen tak na nová místa a nové agendy uvolnit peníze. Výsledkem dlouhého procesu tak dle usnesení vlády je, že si mají ministerstva a další úřady zažádat o peníze navíc v rámci vyjednávání o rozpočtu na příští rok a další roky, což znamená nejistotu – je klidně možné, že na úřadech tak skončí agenda a (formálně) i místa, ale nikoli už peníze, pokud to příští ministři nebudou považovat za politickou prioritu.
AI Akt je legislativa plná požadavků na české a evropské firmy, které uvádí na trh nebo využívají AI systémy, aby vedly nejrůznější dokumentaci a plnily celou řadu povinností, včetně různých ohlašování, registrací, hodnocení dopadů na základní práva a získávání prohlášení o shodě od úřadů. Čím je systém rizikovější – tedy čím víc má potenciál zasáhnout do základních práv nebo je využívaný v nějaké citlivé oblasti typu zdravotnictví, tím víc povinností a razítek.
A ta razítka musí někdo vydat a pro české firmy je daleko lepší, když je to někdo místní a když to půjde rychle. I proto třeba Svaz průmyslu poměrně výrazně tlačil na to, aby se vláda rozhoupala a pohnula s implementací této regulace – když už se AI rozhodla Evropa regulovat, tak je lepší, když to nebude brzdit stát tím, že na plnění povinností nebude mít kapacitu.
Nová vlna na obzoru
Ale s AI nábor nových lidí nekončí. Vláda bude rozhodovat do pár týdnů o tom, jak naloží s dalším evropském nařízením, kterým je akt o kybernetické odolnosti. To je legislativa, která má zajistit, že všechny možné chytré produkty připojitelné k internetu plní aspoň nějaké standardy kybernetické bezpečnosti a že, když si někdo koupí třeba ledničku připojenou přes wifi, tak se do pár dnů nestane součástí nějakého ruského botnetu útočícího na evropské banky jenom proto, že výrobce oné ledničky chtěl ušetřit pár korun vývoji softwaru.
Všichni výrobci nebo distributoři produktů s digitálními prvky, což je v podstatě úplně všechno, co se může nějak připojit k internetu, budou muset plnit požadavky z tohoto nařízení. Třeba je pravidelně aktualizovat nebo hlásit zranitelnosti. Není to špatný nápad, problém je, že těchto zařízení je hodně a jejich výrobců nebo distributorů také, podle evropské legislativy se musí oni i daná zařízení někam hlásit a někdo je musí kontrolovat.
Stovky nových pozic
Na světě už je materiál, jak na to v Česku, a je to mimořádné čtení. Logicky nikdo neví, kolik daných produktů se uvádí na trh, protože to zatím nikdo nesleduje, ani neví, kolik firem se tím zabývá. Odhady Národního úřadu pro kybernetickou a informační bezpečnost uvádí, že v Česku je skoro 75 tisíc firem, kterých se nějak může týkat toto evropské nařízení. Aby bylo dlouhodobě udržitelné je kontrolovat, chce úřad 215 nových inspektorů, 22 nových právníků a 98 dalších lidí do provozu, a ještě navíc vytvoření sedmi regionálních poboček podle vzoru České obchodní inspekce. Náklady na to jsou odhadnuté na přes 565 milionů ročně. Ministerstvo financí samozřejmě řeklo to, co říká vždy, tedy „zásadně nesouhlasíme s personálním a finančním navyšováním rozpočtu dotčených organizačních složek státu.“
VIDEO: Žijeme v období polykrize. Evropa není schopná se shodnout na zásadních věcech, snad se probudíme, řekl Salomon pořadu FLOW
Schválně – věděl ministr vnitra Vít Rakušan, když na Radě EU v říjnu loňského roku schvaloval tenhle materiál, kolik to bude Česko stát na lidech, na úřadech a penězích v rozpočtu? Věděli to čeští vyjednavači předtím?
Není to samozřejmě všechno – tak rok a čtvrt před plnou účinností všech požadavků je nový zákon o kybernetické bezpečnosti, tedy adaptace evropské směrnice NIS 2. Minimálně osm tisíc státních i soukromých organizací čekají poměrně přísné požadavky na zajištění ochrany před kyberútoky, z toho odhadem tak ke dvěma tisícům spadne do „vyšších povinností“, což pro ně znamená dodržovat požadavky vypsané na devětatřiceti stránkách příslušné vyhlášky.
Nové šance pro nové lidi
Jedním z nich jsou i povinné role manažerů, architektů a auditorů kybernetické bezpečnosti, které půjdou jistě z části outsourcovat, ale z velké části si je budou muset úřady a firmy najmout. A samozřejmě vyšší desítky lidí odhaduje jako potřebné i NÚKIB, aby mohl nové povinnosti kontrolovat a vymáhat. Pokud se sečte vše, co by měl brněnský úřad nově dělat, měl by do pár let nabobtnat asi na dvoj- až trojnásobek současného stavu.
Není asi třeba říkat, že lidé s potřebnými zkušenostmi a praxí v kyberbezpečnostním oboru na českém trhu neexistují, a pokud ano, tabulkovými platy je stát v potřebném množství asi úplně nenaláká.
Předvolebním ponaučením tohoto příběhu samozřejmě je, že jakékoli sliby o tom, že se propustí úředníci či že pomůže vyšší míra digitalizace, jsou úplná chiméra. Dokud budou čeští politici schvalovat na evropské úrovni nové agendy, které pak budou vyžadovat masivní nábor nových lidí, bude stát nadále bobtnat.
