Nová kyberbezpečnostní regulace vyjde podnikatele draho. Je už administrativní zátěž v ČR neúnosná?

Počet regulačních povinností, které musí podnikatelé plnit, se rok od roku zvyšuje. Příkladem může být obecné nařízení o ochraně osobních údajů (GDPR), trestní odpovědnost právnických osob, prevence praní špinavých peněz i přibývající požadavky vykazovat stále více informací pod hlavičkou ESG. 

Kvůli rostoucímu počtu zákonných povinností s původem na národní nebo evropské úrovni je tak podnikání v České republice stále složitější a nákladnější. Je tomu tak navzdory předvolebním slibům prakticky všech politických stran, že administrativní zátěž a náklady zcela jistě sníží.

Našim klientům se skoro bojím říkat, jaké nové povinnosti je příští rok čekají, a za co všechno ponesou plnou zodpovědnost. Přestože dynamický právní řád advokáty živí, radost ze současného trendu nemám. Pro řadu našich klientů je počet zákonných povinností na hranici únosnosti a schopnosti zajistit s nimi soulad. 

Jedním řešením je strategie „připravit papíry tak, aby nás nezavřeli“. Druhým, podstatně smutnějším, řešením je ukončení činnosti nebo prodej byznysu někomu většímu. Ekonomická poučka, že růst regulačních nároků posiluje velké firmy s dostatečnými zdroji, tedy platí stoprocentně. Proto je na místě se ptát, jestli další a další regulace plní svůj účel, nebo jenom rozšiřuje příležitosti poradenským firmám a prostor úřadům „vozit“ se po podnikatelích.

Nový zákon o kybernetické bezpečnosti transponuje do českého práva evropskou směrnici NIS2 a je ukázkovým příkladem problému rostoucí regulace. Směrnici NIS2 jsem tu již dříve představoval. 

Stručně shrnuto se rozšiřuje rozsah kyberbezpečnostních povinností i subjektů, na které dopadnou. Různé odhady se v zásadě shodují na zdesetinásobení počtu regulovaných subjektů na minimálně šest až osm tisíc. Vedle velkých společností se regulace bude nově vztahovat i na menší organizace. Na řadu z nich dopadnou povinnosti z toho důvodu, že jsou dodavateli větších, přímo regulovaných subjektů.

Pro představu o rozsahu regulace se dá zmínit, že povinnosti, které budou muset regulované subjekty plnit, zaberou desítky stran textu. Například požadavky vyplývající ze směrnicí NIS2 vyžadované „politiky analýzy rizik a politiky bezpečnosti“ zabírají v připravovaných vyhláškách 342 řádků na devíti stranách textu. Pro podnikatele, kteří dosud tak komplexní regulaci neřešili, to bude jako návštěva z jiného vesmíru.

Je pravdou, že současná právní úprava v oblasti kybernetické bezpečnosti obsahuje kolem tisíce konkrétních povinností. Dopadá však hlavně na větší nebo jinak regulované subjekty, které mají vlastní aparát a prostředky povinnosti efektivně implementovat. 

Bojím se, že menší organizace nově čelící tak rozsáhlým povinnostem nebudou umět nebo si nebudou moct dovolit všechny povinnosti plnit tak, aby splnily očekávání regulátora a neskončily jen u toho papíru v šuplíku.

Moje obava vyplývá nejen ze zkušenosti s klienty z řady odvětví, kteří si již dnes nedokážou představit, jak by nové požadavky mohli splnit, a přitom zachovat svou činnost. 

Vyplývá také z chronického nedostatku odborníků a vysoké ceně za služby těch, kteří tu jsou. Implementace povinností z nového zákona o kybernetické bezpečnosti a s ním souvisejících vyhlášek totiž některé vyjde až na vyšší stovky tisíc či jednotky milionů. 

S druhým problémem, tedy nedostatkem odborníků, se potýkají velké i malé organizace. Ty menší si ale nemohou dovolit soupeřit s těmi velkými ve výši mzdy nebo odměny za služby. Připočítáme-li náklady na právní poradenství, pořízení technologií a náklady spojené s vypracováním a uchováváním požadované dokumentace, propadají někteří klienti malomyslnosti.

Nová zákonná úprava také umožňuje úřadu vykonávat přísné kontroly a za pochybení ukládat nemalé sankce. NÚKIB slibuje, že bude ke kontrole a trestání přistupovat zodpovědně a rozumně. České úřady však bohužel mnoho důvodů k optimismu nedávají. 

Já i naši klienti se proto obáváme postupu podle vzoru zaklekávání Finančně analytickým úřadem. Nový zákon o kybernetické bezpečnosti totiž vybavuje NÚKIB bezprecedentně silnými pravomocemi. Přestože právě tento regulátor se dosud choval rozumně a byl často přístupný otevřené diskusi, obávám se o udržitelnost tohoto přístupu.

Jsem zastáncem přiměřenosti (proporcionality) regulace. Regulace by měla obsahovat jen takový minimální rozsah povinností, aby splnila svůj účel bez negativních důsledků. Vše ostatní by si měl stát lidově řečeno odpustit. 

Regulace úroveň kybernetické bezpečnosti v principu zvýší. Pochybuji však o tom, že u všech regulovaných subjektů ji zvýší o tolik, o kolik vzroste jejich administrativní a finanční zátěž. Nový zákon o kybernetické bezpečnosti není přiměřený a měl by se přepracovat, aby rozsah uložených povinností odpovídal velikosti rizik a možnostem zejména menších organizací.

V současné době je návrh zákona o kybernetické bezpečnosti projednáván Legislativní radou vlády. Ta se mimo jiné bude muset popasovat s tím, že návrh zákona v mnoha aspektech silně překračuje rozsah směrnice NIS2, i tím, že Úřadem vypracovanou zprávu RIA rozhodně nelze považovat za dostatečnou, což NÚKIBu v rámci legislativního procesu vyčítalo mnoho připomínkových míst.

Bude tedy zajímavé sledovat, jak se k návrhu nového zákona o kybernetické bezpečnosti postaví jak přímo Legislativní rada vlády, tak v důsledku i současná vláda. Ta opakovaně deklaruje záměr snížit administrativní náklady pro menší a střední podnikatele, kteří dosud byli pro vládní strany silnou voličskou základnou.