Co ještě zkraje minulého týdne na webu chybělo, dnes už je veřejně dostupné se všemi podrobnostmi. Vládní návrh zákona o kybernetické bezpečnosti má ve veřejné knihovně připravované legislativy (eKlepu) doplněny potřebné náležitosti, a nic mu proto nebránilo doputovat do Poslanecké sněmovny, kde se bude projednávat jako sněmovní tisk číslo 759. I tam jeho osud budeme sledovat, neboť se dá čekat uplatnění řady poslaneckých pozměňovacích návrhů.
Vláda ovlivní rozhodování jen u rychlé varianty
K podobě, ve které návrh z vlády odešel, stojí za povšimnutí především nová úprava § 29 týkajícího se mechanismu prověřování rizik dodavatelského řetězce. Vicepremiér pro digitalizaci Ivan Bartoš po jednání vlády tvrdil, že co se týče zákazu určitého dodavatele, bude to úkol vlády. „Z logiky věci s takovým rozhodnutím přicházejí nějaké náklady pro komerční subjekty, které často poskytují tu infrastrukturu. Je správně, že takové rozhodnutí, které může mít dopady třeba i na nějaké výdaje státního rozpočtu, má dělat vláda,“ uvedl Bartoš.
Formálně to pravda není, rozhodnutí bude v každém případě vydávat Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). A fakticky to je pravda jenom na půl. Jen v určitých případech bude vláda moci NÚKIBu určit, jak má přesně postupovat.
Celá dvojkolejnost se řídí tím, jak rychle bude potřeba se případných problematických dodavatelů poskytovatelů strategicky významné služby zbavit. Pokud bude postačovat zákaz účinný až poté, co budou dodávky od takového problematického dodavatele daňově odepsány, nebo až po pěti letech od pořízení hardwaru v případě, kdy daňové předpisy dobu odpisování nestanoví, pak zůstává rozhodování o zákazu zcela v rukou NÚKIBu.
Ten bude muset návrh opatření obecné povahy projednat s ministerstvy financí, průmyslu a obchodu, zahraničních věcí a vnitra, popřípadě s Českým telekomunikačním úřadem a Energetickým regulačním úřadem. A následně jej musí pro informaci předložit Bezpečnostní radě státu. Projednání ale neznamená, že se nutně musejí úřady shodnout. Vyjmenovaná místa regulátor seznámí se svým záměrem, vyslechne si jejich postoj, ale konečné slovo bude mít sám a rozhodne.
V případech, kdy regulátor nazná, že není času nazbyt a nepohodlného dodavatele je potřeba odstranit mnohem dříve, než si ho telekomunikační operátoři stihnou daňově odepsat, bude rozhodnutí formálně vydávat také NÚKIB. Nově je ale v návrhu zákona pojistka, že to bude vláda, podle jejíchž not regulace poběží. Norma předpokládá, že návrh opatření obecné povahy i tehdy vypracuje regulátor a vládě ho předloží k projednání. „Vláda úřadu uloží, jakým způsobem bude úřad ve věci návrhu opatření obecné povahy podle odstavce 3 dále postupovat,“ objevilo se nově v § 29 návrhu zákona.
Tato změna není součástí přílohy ke stanovisku předsedy Legislativní rady vlády (LRV) Michala Šalomouna, a tím pádem jako jediná vzešla z jednání ministrů. Přitom při prvním projednání to byla právě LRV, které vadilo, že o tak důležitém zásahu má rozhodovat jen brněnský regulátor. „Vzhledem k tomu, že celá řada opatření, která mohou být úřadem přijímána, mohou mít významný dopad na ekonomiku České republiky, jeví se jako vhodnější model, aby tato opatření po vzoru zákona o prověřování zahraničních investic projednávala též vláda,“ napsali tehdy do svých výhrad vládní právníci. Napodruhé už ale absence této úpravy LRV nevadila, a do zákona se tak dostala až na základě aktivity ministrů.
Všechny ostatní kosmetické úpravy návrhu vycházejí z projednání na LRV. Jde o doplnění nebo nahrazení různých poznámek pod čarou, opravu překlepů, nahrazení orgánů státní správy správními úřady a nedokonavého vidu u skutkové podstaty přestupků videm dokonavým (např. neplní na nesplní).
Dopracovaná RIA vypočítává dopady útoků
Daleko zajímavější než samotný text navrhovaného zákona nyní je nově zveřejněná hodnotící zpráva dopadů regulace (RIA). Na té původní LRV nenechala nitku suchou, když konstatovala, že je zpracována „nedostatečným způsobem a obsahuje značné nedostatky, zejména pokud jde o nedostatečné odůvodnění výběru varianty řešení nové legislativy, ale i o vymezení a hodnocení dopadů, které návrh zákona o kybernetické bezpečnosti provází.“ Rada doporučila se detailně zaměřit například na hodnocení dopadu na povinné subjekty, a to i toho finančního s rozdělením na režim vyšších a nižších povinností. Úkol si NÚKIB odnesl i s dopracováním takzvaných nulových variant, tedy v případě zachování současného stavu.
Nově zveřejněná RIA o rozsahu téměř stovky stran na tyto výtky reaguje. Je zpracována společně i pro doprovodný změnový zákon. Rozebírá kombinace variant tří cílů, které NÚKIB chce zákonem řešit:
- transpozice NIS2 do českého právního řádu,
- zavedení mechanismu bezpečnosti dodavatelského řetězce a
- odstranění zjištěných nedostatků právní úpravy současného zákona o kybernetické bezpečnosti a reflexe dosavadních zkušeností.
Při nulové variantě, tedy pokud by se nedělalo vůbec nic, úřad identifikoval jako hrozbu zahájení infringementu ze strany Evropské komise (podrobně jsme se tomu věnovali v dřívějším dílu seriálu) a rozpor s plánem legislativních prací. U minimalistické varianty, kde by došlo jen k nutné transpozici směrnice NIS2 bez jakékoliv kreativity regulátora, to znamená stále bez možnosti zasahovat do výběru dodavatele, RIA hovoří o „nevyčíslitelné strategické hrozbě v podobě závislosti na rizikových dodavatelích či přítomnosti technologií vysoce rizikových dodavatelů ICT v této infrastruktuře. Může také dojít k omezení volnosti strategického rozhodování ČR, neboť bude nutné vzít v potaz možnost zneužití přítomnosti rizikových dodavatelů cizím státem, což může zamezit strategické autonomii ČR“.
Obě dvě varianty NÚKIB staví na podobnou úroveň a považuje je za špatné. Vypomáhá si přitom příklady různých kybernetických útoků z poslední doby a vyčíslením škod a ztrát, které (nejen) pro jejich oběti znamenaly. Je tu zmíněn útok na Ředitelství silnic a dálnic z roku 2022, který znamenal ztrátu přinejmenším 30 milionů korun, i útok na brněnskou fakultní nemocnici z roku 2020 se škodami v řádech desítek milionů korun. „Finanční škody ovšem nejsou jedinými dopady kybernetických útoků na strategickou infrastrukturu státu. Nemocnice využívají pokročilé technologie a IT systémy pro monitorování pacientů, provoz lékařských zařízení a správu elektronických zdravotních záznamů. Kybernetický útok, který tyto systémy naruší, může vést k selhání životně důležitého vybavení nebo k přerušení poskytování zdravotní péče, což může mít přímý dopad na životy pacientů,“ varuje RIA.
České firmy jsou proti kyberrizikům často prakticky nepojistitelné
Ve snaze vyčíslit náklady spojené s kybernetickými incidenty se NÚKIB obrátil i na pojišťovny. Podle jejich zastřešující asociace celkové škody za poslední 3 roky nepřesáhly 50 milionů korun. Přitom ale pojištění poptávají běžně jen velké a na IT zaměřené střední firmy. Před uzavřením pojištění jsou firmy podrobovány detailnímu zkoumání a to se ukazuje jako velký problém. „Subjekty na českém trhu nejsou často schopny splnit ani základní úroveň zajištění kybernetické bezpečnosti, a jsou proto de facto nepojistitelné,“ uvádí se ve zprávě.
Vedle toho NÚKIB oslovil i nadnárodní pojišťovnu Chubb, která patří mezi největší pojistitele kyberbezpečnostních rizik na světě. Ta uvedla, že náklady na pojistná plnění průměrně vycházejí na 11,7 milionu korun. Tato částka zahrnuje právní a forenzní služby, náklady na call centrum, PR a krizovou reakci. Chubb také poskytla anonymizované údaje o dvou menších příkladech incidentů, které se odehrály v ČR. V jednom případě mělo jít o lidskou chybu týkající se nakládání s osobními údaji. Celkové plnění tehdy vyšlo na 5,65 mil. korun. Ve druhém případě se jednalo o DoS útok, kdy pojišťovna vyplatila 4,5 milionu korun.
„Všechny údaje zdůrazňují vysoké náklady spojené s nulovou variantou, tedy bez zavedení potřebných bezpečnostních opatření, což podtrhuje důležitost investic do kybernetické bezpečnosti,“ uvádí RIA.
Nejméně útokem utrpí státní správa
NÚKIB ve zprávě počítá s tím, že v případě telekomunikačních služeb by významný incident, při kterém by byly komunikace a internetový provoz paralyzovány, způsoboval škody 2,5 až 10 % denního HDP, tedy od 400 mil. do 1,644 mld. Kč každý den. „Odhad bere v potaz, že na telekomunikačním sektoru je částečně nebo zcela závislá většina ostatních sektorů,“ vysvětluje NÚKIB.
Dalším kritickým odvětvím je energetický sektor. U něj jde předkladatel ještě dál a vypočítává dopad incidentu, při kterém by došlo k přerušení dodávek energie, na 5–15 % denního HDP, tedy asi 822 mil. až 2,466 mld. Kč denně.
V porovnání s tím nejmenší škody vážný incident napáchá nikoliv překvapivě u státní správy. Důsledky výpadku vládních služeb, který by zpozdil administrativní procesy, regulátor odhadl do 5 % denního HDP, tedy v rozmezí 164 až 493 mil. Kč denně.
Pokud se podíváme na druhou stranu bilance, tedy na kolik vyjdou opatření navrhovaná kyberbezpečnostním zákonem pro prevenci těchto incidentů a s tím spojených škod, RIA pracuje s už dříve představeným velmi hrubým odhadem v rozmezí 800 tisíc až 1,5 mil. korun za každý jeden zabezpečovaný systém. „Podstatnou proměnnou bude především to, jaký je daný počet jednotlivých systémů u každé konkrétní organizace, a takový násobek uvedené částky bude potřeba u daných organizací zohlednit,“ uvedl úřad.
Odhady počtu povinných subjektů se drží při zdi
Na závěr zmíníme ještě jednu zajímavost, která se dosud nikde neobjevila, a to je odhad NÚKIBu v rozdělení regulovaných subjektů na ty v režimu nižších a vyšších povinností. Toto rozdělení má být v poměru 5 : 1. Brněnský regulátor počítá minimálně s 6000 subjekty, které do regulace nově spadnou. Tisícovku z nich čeká přísnější režim, zbylých pět tisíc mírnější.
Současně s tím NÚKIB přiznává, že nemá k dispozici data, aby tyto odhady zpřesnil, a celkový počet firem a organizací pod regulací tak bude určitě vyšší. „Stanovený počet minimálně 6 tisíc povinných osob vychází z porovnání těch regulovaných služeb, u kterých je jejich rozsah jasný a není předmětem diskuse, při současné aplikaci kritéria více než 50 zaměstnanců. (…) Nicméně toto číslo není konečné,“ upozorňuje úřad s tím, že k přesnějším odhadům by potřeboval o obratech a hodnotě aktiv relevantních skutečností, které mu Finanční správa před účinností zákona nemůže poskytnout.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU