Nedávné zkušenosti s datovými schránkami potvrzují, že čím víc stát přitvrzuje v regulaci a prosazování eGovernmentu na sílu, tím větší odpor lidí a odmítavých reakcí u nich tím vyvolá. Byli jsme toho svědky po zavedení povinných datovek u živnostníků na začátku loňského roku. Počty rušených živností v důsledku vnucených datovek šly do statisíců. A dalších téměř půl milionu podnikatelů z celkových 3,8 mil. datovku sice mají, ale ještě ji ani jednou neotevřeli, ačkoliv si tím zadělávají (anebo již mají zaděláno) na velmi vážné problémy.
U připravovaného zákona o kybernetické bezpečnosti nelze očekávat, že by firmy kvůli němu věšely své podnikání nějak hromadně na hřebík. Hlavně proto, že primárně dopadne na společnosti takové velikosti, od nichž už lze očekávat, že jsou schopny se s regulatorními nástrahami státu personálně i nákladově vypořádat. Mluvíme o šesti tisícovkách nových firem, na které nový kyberbezpečnostní zákon nejspíše dopadne, i když zatím nikdo přesně neví kdy ani jak. Nejde přitom jen o rozšíření počtu povinných osob (a to patnáctinásobné), ale i rozšíření regulovaných odvětví a nově regulovaných služeb.
Přesto se dá čekat, a je to přirozené, že podnikatelé budou hledat cesty, jak si život zjednodušit a regulaci ze strany Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se buď úplně vyhnout, anebo zařídit, aby byla co nejmírnější.
Dnešní díl seriálu Regulace podle NIS2 proto věnujeme popisu postupů při možných optimalizacích, chcete-li snižování regulatorní zátěže přizpůsobením podnikatelské činnosti. Předně je třeba připomenout, že připravovaný kyberzákon pracuje s kritériem velikosti. Tedy až na výjimky nová pravidla nedopadnou na mikropodniky a malé podniky s méně než 50 zaměstnanci a s ročním obratem (nebo bilanční sumou roční rozvahy) do 10 milionů eur. Podmínky se přitom posuzují současně. Takže nestačí jednou ročně propustit část osazenstva, udržovat průměrně ve stavu 49 zaměstnanců a inkasovat na účty ročně stamiliony. A naopak nepomůže ani zaměstnávat stovky lidí s podlimitním obratem.
Učni a maminky na mateřské se do limitu nepočítají
K tomu je potřeba doplnit, kdo je vlastně za započitatelného zaměstnance považován. Metodika přitom mluví o „roční pracovní jednotce“. Do ní jsou započítáváni zaměstnanci, ať už na plný, nebo částečný úvazek, dočasní a sezónní pracovníci, osoby přidělené, vlastníci v roli vedoucích pracovníků nebo společníci zapojení do běžné činnosti podniku, kteří čerpají finanční výhody plynoucí z podniku. Naopak se do tohoto počtu nezahrnují učni nebo studenti absolvující odbornou přípravu nebo na stáži a zaměstnanci na mateřské nebo rodičovské dovolené.
Překročíme-li kritérium velikosti, které nás může generálně (až na několik oborových výjimek, kde toto kritérium nehraje žádnou roli) ochránit od dopadů kyberbezpečnostní regulace, to hned další, co nás musí zajímat, je, zda služba, kterou poskytujeme, se nekryje se službami rozdělenými do jednotlivých oborů a uvedenými v zákoně.
Pro všechny služby jeden režim
V případech, kdy výčet našich podnikatelských činností bude košatější a bude se krýt s definicemi ve zmíněných přílohách na více místech, platí základní pravidlo, že režim poskytovatele regulované služby může být pro každý subjekt jen jeden. Buď přísnější, nebo mírnější režim pak bude platit vůči všem službám, kde jsou naplněna kritéria.
Ilustrovat dopady tohoto pravidla lze na příkladu společnosti, která by současně provozovala online tržiště, internetový vyhledávač nebo platformu služeb sociálních sítí a současně s tím by byla i poskytovatelem řízených ICT služeb. Pro své zákazníky by pak provozovala nebo spravovala služby a nástroje, typicky na základě ujednání o úrovni služeb (SLA).
Anebo ještě jeden příklad z odvětví zdravotnictví. Představme si firmu, která vyrábí zdravotnické a diagnostické prostředky a současně s tím se věnuje vývoji a výzkumu léčivých výrobků a přípravků.
Zatímco u prvně zmíněných podnikatelských činností (provozovatelé vyhledávačů a online tržišť a výrobci zdravotnických prostředků) se bude hrát o to, jestli podniky o velikosti alespoň střední budou spadat pod mírnější regulaci, u zbývajících regulovaných služeb (provozovatelé řízených ICT služeb a výzkumníci uzdravujících produktů) půjde vždy o režim essential, tedy přísnější regulaci.
A tak se může stát, že podnik se širším záběrem svých aktivit bude muset celozávodně plnit přísnější podmínky než jeho konkurent s úzkým profilem činností. Lze tedy právem čekat, že tam, kde by tato situace přicházela v úvahu, bude docházet ke štěpení a rozdělování podniků do samostatných entit. Pamatujme ale na to, co už jsme zdůrazňovali v jednom z prvních dílů, že co se týče kritéria velikosti, účelové vytváření dceřiných společností nepomůže.
Majetkově propojené struktury se totiž posuzují společně a vyčlenění části aktiv od „matky“ k „dceři“ není cestou k tomu, jak pro účely kyberbezpečnostního zákona udělat z obra trpaslíka. Naopak u oborového přesahu, kde každá z poskytovaných služeb je v jiné kategorii (v příloze I, nebo II), tato optimalizace smysl dává, protože zabrání aplikaci přísnějšího metru i na ty regulované služby, které konkurence poskytuje s mírnějšími omezeními.
Legislativní rada vlády sjednotila lhůty
Ať už změny režimu regulace firma dosáhne jedním, nebo druhým způsobem, tedy ať už se bude jednat o přeřazení do jiného režimu kvůli změny velikosti podniku, nebo kvůli kategorizaci regulované služby, společný je procesní postup, s nímž návrh zákona počítá.
Než si ho přiblížíme, stojí za to zmínit, že původní návrh NÚKIBu zaváděl pro registraci (a jakoukoliv její změnu) dvojí lhůty – subjektivní a objektivní. První, třicetidenní, se vázala k tomu, kdy poskytovatel zjistil, že naplňuje daná kritéria pro registraci. A druhá, devadesátidenní, pak vycházela z okamžiku, kdy k naplnění kritérií reálně došlo. V důvodové zprávě tuto dvoukolejnost NÚKIB obhajoval vstřícností „pro subjekty s komplikovanější organizační strukturou“. Legislativní rada vlády však naznala, že taková úprava nedává smysl, a lhůty sjednotila na 60 dnů od naplnění kritérií pro identifikaci regulované služby.
Stejná lhůta 60 dnů od chvíle, kdy ke změně ve skutečnosti došlo, bude platit i pro nahlášení změny registrace. Pokud změnou registrace dojde ke změně režimu poskytovatele regulované služby z nižší na vyšší, začne běžet nová lhůta pro zahájení plnění nových povinností: do jednoho měsíce nahlásit kontaktní údaje a do jednoho roku začít provádět příslušná bezpečnostní opatření.
Naopak při dosažení mírnějšího režimu se žádné nové lhůty neposkytují a subjekt pouze omezí rozsah svých bezpečnostních opatření a dalších povinností na tuto nižší úroveň.