KOMENTÁŘ JIŘÍHO GRUNDA | Zákon o kybernetické bezpečnosti (ZKB) míří do závěrečné fáze legislativního procesu. Zásadní emoce vzbuzují dva pozměňovací návrhy, jeden hospodářského a druhý bezpečnostního výboru. Oba návrhy na první pohled zachovávají možnost státu v maximální možné míře zakázat dodavatele. V jednom se však skrývá úřednický trik, jak donutit vládu regulovat firmy řádově více, než by sama uznala za vhodné.
Mechanismus prověřování dodavatelů umožní státu zasahovat do dodavatelských řetězců soukromých firem a zakázat jim dodavatele, které z politického hlediska shledá za tzv. nedůvěryhodné.
O tom, zda jde o důvěryhodného dodavatele, nebude rozhodovat technická analýza jeho technologií, ale politické zhodnocení země, ze které pochází. V počátku byla regulace zamýšlená zejména na čínské dodavatele, v současném geopolitickém dění však její význam bezesporu roste. Podnikatel si již nemůže být jistý ani dodavateli ze Západu.
Jako soukromý sektor chápeme a podporujeme snahy státu mít takto silný nástroj. V případě ohrožení třeba kritické infrastruktury mu to dává potřebnou akceschopnost. Opakovaně jsme to deklarovali jak veřejně, tak i za zavřenými dveřmi.
Od počátku však bojujeme proti mocenským zájmům úředníků z Brna tímto nástrojem volně a bez omezení disponovat a snižovat předvídatelnost našeho podnikatelského prostředí.
Mechanismus prověřování dodavatelů, tak jak je napsaný, je výsostně politický nástroj. Z povahy věci o něm musí rozhodovat politici, kteří zhodnotí nejen aspekty bezpečnostní, ale i aspekty geopolitické a ekonomické. A kteří hlavně za rozhodnutí ponesou odpovědnost. Schopnost politiků efektivně a rychle reagovat byla mimo jiné jasně prokázána minulý měsíc, kdy vláda zakázala čínské společnosti, aby na Moravě provozovala pozemní satelitní stanici.
A právě v otázce pravomocí se schovává onen úřednický trik. Rozdíl mezi uvedenými pozměňovacími návrhy je totiž zásadní. Pozměňovací návrh z dílny bezpečnostního výboru říká, že i bez rozhodnutí vlády by se případný zákaz dodavatele automaticky ze zákona vztahoval na velmi široký rozsah infrastruktury, který nedefinuje nikdo jiný než úředníci z brněnského NÚKIB.
Vláda by tedy reálně rozhodovala pouze o tom, zda nějaký zákaz vydá anebo nevydá. Fakticky by ale nerozhodovala o tom, jak masivní onen zákaz bude. Ten by byl totiž dán již samotným zákonem. Dopad na soukromý sektor může být v řádech vyšších desítek miliard korun.
Tento úřednický trik byl do zákona zapracován i přes to, že NÚKIB od počátku deklaroval, ať již v závěrečné zprávě o dopadech (RIA), tak tiskových zprávách či veřejných vystoupeních zástupců NÚKIB, že se regulace dodavatelského řetězce bude vztahovat pouze na ta „nejkritičtější aktiva“.
Ostatně na semináři NÚKIB k bezpečnosti dodavatelského řetězce, který proběhl v prostorech Ministerstva průmyslu a obchodu v prosinci 2022, ředitel NÚKIB Lukáš Kintr výslovně deklaroval, že: „Cílem NÚKIB je připravit návrh regulace bezpečnosti dodavatelského řetězce tak, aby byl co nejefektivnější a co nejméně zatěžující pro stát i soukromé subjekty, na které bude dopadat. Regulace cílí jen na tu nejkritičtější část strategicky významné infrastruktury.“
Velmi nás tak překvapilo, když NÚKIB do zákona zapracoval, že případný zákaz by se měl automaticky ze zákona vztahovat na 2/4 kategorií aktiv, a to jak na aktiva s dopadem „kritická“ (nikdo to nerozporuje), tak na aktiva s dopadem „vysoká“ (jedná se o aktiva, která nemají zdrcující dopad na provoz služby).
Čtenář nemusí být odborníkem na kybernetickou bezpečnost, aby sám vyhodnotil, že za „nejkritičtější aktiva“ soukromý sektor považuje aktiva „kritická“, nikoli doslova polovinu veškerých kategorií, které ve svých IT systémech provozuje.
Důležité je zdůraznit, že v případě přijetí pozměňovacího návrhu z dílny hospodářského výboru získá vláda rovněž plnou pravomoc zakázat jí určený rozsah aktiv, včetně aktiv s dopadem „vysoká“. Zásadní rozdíl je v tom, že pozměňovací návrh hospodářského výboru umožňuje vládě svobodně o šíři zákazu rozhodnout, zatímco pozměňovací návrh bezpečnostního výboru umožňuje vládě pouze zakázat/nezakázat.
Jelikož je zákaz dodavatelů velmi silový nástroj, který může mít zásadně devastující účinky na celý podnikatelský sektor, preferují podnikatelé pochopitelně pozměňovací návrh hospodářského výboru. Jedině ten dává vládě pravomoc upravit parametry zákazu tak, aby byly na jedné straně nejúčinnější a na straně druhé nejméně devastující.
Autor je prezident Asociace provozovatelů mobilních sítí
