Na nedávném kulatém stole v Poslanecké sněmovně, který proběhl pod záštitou poslankyně Ing. Vladimíry Lesenské, jsme se zabývali dopady nového zákona o kybernetické bezpečnosti na obce a kraje. Tuto diskuzi jsem měl tu čest organizovat a shrnuji v tomto článku hlavní body, které v průběhu jednání zazněly.
Obce a kraje jsou důležitými součástmi naší infrastruktury, ale často nemají k dispozici dostatečné zdroje, aby zvládaly čelit novým kybernetickým hrozbám. Nový zákon o kybernetické bezpečnosti ukládá povinnosti nejen velkým firmám a institucím, ale také těmto menším subjektům. Jaké výzvy a přínosy tento zákon přináší pro místní samosprávy? V následujících částech článku se zaměříme na klíčové aspekty, které ovlivňují obce a kraje, včetně nákladů na implementaci, přínosů pro občany a podpory ze strany státu.
Kybernetické útoky nejsou zaměřeny pouze na velké korporace nebo národní instituce. Menší obce, města a kraje také spravují citlivé údaje a poskytují klíčové služby, jako je například správa veřejných financí nebo infrastruktury. Zástupci krajských a obecních samospráv během kulatého stolu vyjádřili obavy, že nemají dostatek zdrojů na to, aby implementovali všechna bezpečnostní opatření, která nový zákon vyžaduje.
Alena Klimt, zástupkyně Svazu měst a obcí, se během diskuze
jasně vyjádřila k tomu, že požadavky zákona jdou příliš daleko a nejsou v
souladu s evropskou směrnicí. Podle ní se zde opět dostáváme do situace
takzvaného „gold-platingu,“ kdy legislativa jde nad rámec požadavků EU.
Klimt uvedla, že směrnice „v žádném případě nehovoří o tom, že by se
obce, jakékoliv obce, měly stát předmětem regulace a měly by se stát
povinnými subjekty.“ Vyzvala proto k tomu, aby menší obce nebyly
zahrnuty mezi povinné subjekty kybernetické bezpečnosti.
Dále
upozornila na nedostatek personálu a finančních zdrojů v menších obcích:
„Ptali jsme se vás, kde vezmeme personál. Neustále slyšíme o tom, že
bude docházet ke zvyšování odměňování zaměstnanců ve veřejné správě, ale
my je nezaplatíme a nemáme je kde brát.“ Klimt také zdůraznila, že
doporučení outsourcovat tyto služby může pro obce představovat značné
finanční náklady.
Na závěr shrnula hlavní postoj Svazu měst a obcí
slovy: „Apelujeme na to, aby mezi povinné subjekty nebyly zařazeny obce
ani s rozšířenou působností.“
Náklady na implementaci
Jednou z hlavních obav, které zazněly, byly náklady spojené s implementací bezpečnostních opatření. Zástupci obcí a krajů uvedli, že menší města a obce často nemají dostatek finančních ani personálních zdrojů, aby mohly být splněny všechny požadavky zákona. To může vést k tomu, že budou muset investovat značné prostředky do zabezpečení svých systémů, což může zatížit jejich rozpočty.
Přínosy pro občany
Na druhou stranu je ale důležité, aby byly systémy obcí a krajů chráněny. Zástupci NÚKIB během diskuze upozornili na to, že bezpečnostní incidenty mohou mít vážné dopady na obyvatele – například výpadky služeb, ztráta citlivých dat nebo narušení veřejné správy. Implementace bezpečnostních opatření tak zajistí, že občané budou mít větší jistotu, že jejich údaje a služby, na které spoléhají, jsou v bezpečí.
Navíc, jak zdůraznili zástupci státního zastupitelství, prevence kybernetických incidentů je vždy méně nákladná než řešení následků po útoku.
Podpora ze strany státu
Další důležitou otázkou, kterou řešili zástupci obcí a krajů, byla podpora ze strany státu. Menší obce často nemají technické zázemí ani odborníky na kybernetickou bezpečnost. Zástupci NÚKIB během diskuze u kulatého stolu uvedli, že stát bude poskytovat metodickou podporu a školení, která obcím a krajům pomohou s implementací bezpečnostních opatření. Plánují také audity, které by měly obcím pomoci identifikovat slabá místa a zlepšit úroveň jejich zabezpečení.
Shrnutí
Nový zákon o kybernetické bezpečnosti přináší obcím a krajům nové povinnosti, které budou muset zavést, aby ochránily své systémy před kybernetickými útoky. I když to může být pro menší obce náročné kvůli finančním a personálním omezením, je důležité, aby tyto instituce přijaly opatření na ochranu citlivých údajů a služeb, na které občané spoléhají. Stát v této oblasti plánuje poskytovat pomoc formou školení a metodické podpory, aby obcím a krajům usnadnil tuto implementaci.
Můj osobní názor
Je nepochybné, že
ochrana před kybernetickými hrozbami musí být prioritou. Avšak při
stanovení povinností by měla být zohledněna rozmanitost a specifické
podmínky jednotlivých subjektů. Nemůžeme přistupovat k obcím a krajům
jednotným metrem. Je nezbytné, aby byly nároky na menší obce přiměřené
jejich možnostem a zdrojům. Čím menší subjekt, tím menší zátěž by na něj
měla být kladena. Podporuji tedy názor Svazu měst a obcí, který volá po
tom, aby byly menší obce z některých povinností vyjmuty nebo aby jejich
závazky byly podstatně sníženy. Tento přístup by umožnil efektivní
ochranu dat a systémů, aniž by byly obce nadměrně zatíženy.
Záznam z celého jednání můžete shlédnout zde:
https://videoarchiv.psp.cz/playa.php?cast=4102