Členské firmy Hospodářské komory vnímají důležitost kybernetické bezpečnosti a nepodceňují rizika spojená s kyberútoky, které mohou ohrozit jak fungování státu, tak také poskytování služeb v soukromém sektoru. Je ale nutné, aby regulace byla co nejméně zatěžující, dopadala na ty subjekty, kde to dává smysl z hlediska jejich systémové významnosti a představovala co nejmenší nárůst administrativní zátěže.

Hospodářská komora ČR proto upozorňuje poslance na vážné nedostatky v posouzení dopadů regulace a vyzývá je, aby zvážili přerušení projednávání zákona, dokud Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nepředloží jasné, srozumitelné a věrohodné vyčíslení nákladů a požadavků na lidské zdroje, které ve studii dopadů regulace (RIA) od počátku chybí. Hospodářská komora potřebu dopadové studie akcentovala již v připomínkovém řízení, předkladatel ale veškeré apely na vyčíslení nákladů odmítl, což je u takto rozsáhlé regulace těžko akceptovatelné a obhajitelné.

Zákon, který je transpozicí evropské směrnice NIS2, představuje zásadní nárůst regulovaných subjektů, povinností a s tím souvisejících nákladů pro české podniky i veřejnou správu. Reguluje osmnáct odvětví a desítky různých služeb, přičemž ve své současné podobě společně s vyhláškami, které plánuje NÚKIB vydávat, přidává další odvětví a další povinnosti nad rámec těch, které vyžaduje unijní legislativa. Ty budou znamenat vysokou administrativní zátěž pro tisíce českých podnikatelů a také pro veřejnou správu.

„Číslo šest tisíc regulovaných subjektů, které uvádí NÚKIB, považujeme za významné podcenění situace. Zákon se dotkne nejen velkých a středních firem, ale i malých podniků, které mají tu smůlu, že jsou s těmi velkými součástí podnikatelské skupiny či holdingu,“ upozorňuje prezident Výboru nezávislého ICT průmyslu Jakub Rejzek.

NÚKIB administrativní náročnost zákona o kybernetické bezpečnosti nepochopitelně podceňuje, přičemž návrhy vyhlášek jasně ukazují, že nové povinnosti přinesou vysokou byrokratickou zátěž pro podnikatele. Hospodářská komora ČR varuje, že zákon vyvolá extrémní poptávku po tisících manažerech kybernetické bezpečnosti, které budou muset firmy a veřejná správa hledat na interní nebo externí pozice. „Dojem NÚKIB, že si to podnikatelé vyřeší s pomocí interních zaměstnanců, je naprosto nerealistický,“ říká Rejzek.

Další spornou částí zákona je mechanismus prověřování bezpečnosti dodavatelských řetězců, který jde nad rámec směrnice NIS2. NÚKIB si sám stanovuje povinné subjekty, rozsah regulace, zda je dodavatel rizikový a sám ho také zakazuje. Může se jednat o rizikovou koncentraci moci na jednom místě se zásadními zahraničně politickými a ekonomickými dopady. „Naprostá nejistota v podnikání, nepředvídatelnost podnikatelského prostředí spočívající v dodatečných finančních dopadech, které by nová regulace přinesla na trh, je pro HK ČR nepřijatelná,“ upozorňuje Tereza Rychtaříková, předsedkyně Sekce IT a telekomunikace HK ČR.

„Není možné odbývat oprávněné obavy podnikatelské veřejnosti pouze tím, že bezpečnost něco stojí. Zvýšené náklady totiž nakonec vždy zaplatí koncový zákazník. Rozhodování o důvěryhodnosti dodavatele a země, ze které daný dodavatel pochází, je spíše geopolitickou záležitostí, která spadá do kompetence vlády, nikoli NÚKIB. Vláda České republiky je vrcholným exekutivním orgánem státu, jen ona je odpovědná za dopady zatěžující regulace do podnikatelského prostředí – v žádném případě tím odpovědným není kyberbezpečnostní úřad, který je pouze jedním z ústředních orgánů státní správy,” dodává Rychtaříková.