Připravovaný kyberzákon má problémy. Česká cesta implementace NIS2 jde podle kritiků daleko nad rámec nařízení Evropské unie. Zavádí totiž mimo jiné takzvaný mechanismus posuzování bezpečnosti dodavatelů. „Tím si NÚKIB říká de facto o bianco šek zakázat jakéhokoli dodavatele. Dopady na podnikatelský sektor mohou být v řádu desítek miliard korun,“ říká pro iDNES.cz Jiří Grund, prezident Asociace provozovatelů mobilních sítí (APMS).
O finanční dopady se bojí také Hospodářská komora, která nedávno ve svém dopise premiérovi Petru Fialovi uvedla, že dopady připravovaného kyberzákona do podnikatelské sféry mohou převýšit 65 miliard korun.
Obavy ohledně nového zákona o kybernetické bezpečnosti mají i mobilní operátoři. Vadí jim především to, že možnost omezení konkrétních rizikových dodavatelů, u operátorů je to například čínská státní firma Huawei, se má dotknout nejen koncových zařízení, jako jsou telefony, ale také okrajové části infrastruktury, kterou by museli s novým zákonem měnit.
„Mechanismus zahrnuje i části, jako je koncový vysílač mobilní sítě nebo trafostanice v okrajové části obce. Jejich nedostupnost je běžnou součástí údržby a bezpečnost státu tím není nikterak ohrožena,“ sdělil na konferenci pořádané APMS Ladislav Suk, manažer informační bezpečnosti a kontinuity podnikání společnosti Vodafone.
Firmy kvůli novince čekají milionové výdaje na IT. Všechny o tom ale neví |
Kanón na vrabce
Diskuze se vede hlavně nad případnou velkou mocí NÚKIB. O rizikových dodavatelích by totiž rozhodoval jen úřad, nikoliv vláda. To je ostatně jeden z důvodu, proč v dubnu vládní právníci vrátili zákon úřadu k přepracování.
Podle slov ředitele NÚKIB Lukáše Kintra s tím úřad ale počítal. „Zákon se nevrací na začátek, naopak překonal další metu a my již intenzivně zapracováváme veškeré připomínky,“ uvedl v dubnu Kintr.
Kritici ale kyberúřadu vyčítají, že má v současném znění výhradní možnost kohokoliv z dodavatelů zakázat. NÚKIB přitom už v minulosti uvedl, že z tohoto požadavku nehodlá slevit. „Bezpečnostní cíle máme se státem naprosto stejné. NÚKIB požaduje v zákoně de facto neomezené pravomoci. Chce mít pomyslný ‚kanón na vrabce‘. Náš sektor preferuje daleko racionálnější přístup – navrhujeme zakazovat dodavatele jen v těch skutečně nejcitlivějších částech sítě, kde to má zásadní bezpečnostní relevanci,“ vysvětluje Grund.
Současný návrh zákona by podle Grunda nevedl k vetší kybernetické bezpečnosti. „Tvrdý zákaz konkrétních dodavatelů by mohl vést i k významné monopolizaci celého dodavatelského řetězce, což je bezpečnostní riziko samo o sobě,“ myslí si Grund.
Nová bezpečnostní pravidla by mělo Česko, stejně jako ostatní země Evropské unie, přijmout do 17. října letošního roku, jinak mu hrozí pokuta od Evropské komise a v krajním případě také zastavení evropských dotací. „Deadline“ se ale podle kyberúřadu zřejmě nestihne, kvůli velkému množství připomínek na Legislativní radě vlády bude podle zdrojů iDNES.cz platit až od příštího roku.
Do té doby se s pravidly bude muset detailně seznámit ještě mnoho lidí, podle nového průzkumu totiž tři čtvrtiny manažerů IT odděleních českých firem netuší, zda se tato směrnice bude týkat zrovna jejich společnosti, nebo dokonce neví, co to NIS2 je.
České firmy nejsou připraveny, hrozí jim pokuty, říká expert na kyberbezpečnost |
AJťáci o kybersměrnici často neví
Zatímco letos odpovídalo, že NIS2 neznají nebo netuší, zda se dotkne jejich firmy, 75 procent respondentů, loni to bylo 80 procent. „Stále jde o velmi vysoká čísla, což je alarmující zejména proto, že NIS2 implementovaná do nového zákona o kybernetické bezpečnosti by měla v České republice platit nejpozději od 18. října letošního roku,“ konstatuje Adam Paclt, generální ředitel společnosti APPSEC, pro kterou průzkum zpracovala agentura Ipsos.
Nedodržení předpisů přitom může být trestáno pokutami až do výše deseti milionů eur, nebo dvou procent celosvětových ročních příjmů. Dotknout se má všech firem, které spravují nějaká citlivá data nebo zabezpečují společensky významné služby, typicky energetiku, telekomunikaci, vodní hospodářství nebo třeba dopravu. A to i pokud jsou „pouze“ dodavatelé takových firem a mají k jejich systémům nějaký přístup. Celkem půjde o minimálně šest tisíc subjektů.
Co přinese NIS2Firmy budou mít např. povinnost:
|
„Překvapivé je, že skoro 12 procent dotazovaných stále neví, co to NIS 2 je. Pokud by se průzkum nezaměřoval na IT manažery s rozhodujícími pravomocemi, bylo by to pochopitelné, ale takto se zdá, že poměrně velké množství firem v otázce nové bezpečnostní legislativy tápe,“ konstatuje Paclt.
NÚKIB v tom ale problém nevidí, podle Lenky Soukupové, mluvčí NÚKIB, se kyberúřad snažil firmy proaktivně o všem informovat. Problémem podle Soukupové nebude ani povinnost samoidentifikace, kterou firmy mají. V případě nejasností se firmy mají na NÚKIB obrátit, což se také děje.
„Za dotazy jsme rádi, pomáhají nám identifikovat problematické oblasti,“ říká mluvčí a dodává, že web, který úřad pro firmy připravil již v srpnu 2022, má již 400 tisíc návštěv.
Redakce iDNES.cz s průzkumem seznámila také experty na kybernetickou bezpečnost. Pro Ondřeje Kramoliše, právníka z antivirové společnosti Gen, čísla nejsou zas tak překvapivá.
„Obecně je povědomí o nové evropské technologické legislativě v ČR malé. V praktické rovině jde ale především o to, aby IT společnosti přijaly dostatečná bezpečnostní opatření bez ohledu na to, že to po nich vyžaduje zákon, ale především proto, aby ochránily své IT systémy a data, která spravují,“ vysvětluje Kramoliš.
Větší problém než to, že firmy o kyberzákonu nevědí, je podle oslovených spíše nedostatečný počet těch, kteří se v oblasti vyznají. Firmy také budou muset umět rozlišit, jestli si najímají opravdového experta, nebo jen někoho, kdo se chaosu kolem nových pravidel snaží využít.
„Nově by se povinnosti měly týkat 6 až 15 tisíc firem. Skokově proto naroste poptávka po odbornících a službách v oblasti kyberbezpečnosti, kterých je v Česku dlouhodobě nedostatek. Ještě znatelnější dopady ale pociťují například v sousedním Německu, kde z 5 500 povinných subjektů vzrostl počet téměř na 30 tisíc,“ informuje Vladimíra Žáčková, specialistka kybernetické bezpečnosti společnosti ESET.
Nejvíce tak může NIS2 podle odborníků dopadnout na menší podniky, které si budou muset najímat pomoc zvenku. „Nedostatečné znalosti v dodržování nových pravidel mohou mít za následek pokuty, reputační škody a porušení právních předpisů v oblasti kybernetické bezpečnosti,“ uzavírá Irena Hýsková, výkonná ředitelka společnosti Thein Security.
