Oprávněně se nyní mluví o nové evropské směrnici NIS2 a novém zákoně o kybernetické bezpečnosti, který ji bude implementovat, jako o velmi náročné normě. Jak bude vypadat plnění onoho „GDPR na steroidech“ pro malé firmy?
Její plnění bude vyžadovat na straně především malých a středních podniků poměrně významné prostředky. Už nyní je z návrhu zákona a vyhlášek jasné, že nás čeká mnoho člověkohodin práce a významné investice. Otázkou je, zda je to k dobru věci.
Je totiž důležité si uvědomit, že zatímco v prakticky všech regulovaných oborech se povinnosti dotknou velkých firem, v oblasti elektronických komunikací se dotknou úplně všech. Jde o požadavek směrnice NIS2, kde se bohužel nepodařilo vyjednat na evropské úrovni žádné zásadní výjimky. To znamená, že s velkou pravděpodobností od ledna přespříštího roku bude každý regionální a lokální operátor vystaven tomu, že bude muset plnit celou řadu nových povinností. Namátkou uveďme, co bude muset i typický „vesnický“ menší hráč, který má do pěti zaměstnanců, plnit:
- Přehled všech bezpečnostních opatření, které zavedl, zavede nebo které nezavedl (a proč je nezavedl).
- Vyhodnocení zavedených bezpečnostních opatření a jejich účinnosti.
- Pověření osoby odpovědné za kybernetickou bezpečnost, která absolvuje „potřebná odborná teoretická i praktická školení administrátorů a osoby odpovědné za kybernetickou bezpečnost v souladu s jejich pracovní náplní“ nebo jinak prokáže, že je odborně způsobilá. Bude muset vytvořit bezpečnostní politiky a vést bezpečnostní dokumentaci.
- Bude muset upravit smlouvy s dodavateli, aby obsahovaly ustanovení, která jsou vyhláškou a zákonem vyžadovaná.
- Bude muset prokazatelně školit vrcholné vedení a školit všechny zaměstnance, vytvořit metodiku pro posuzování kyberbezpečnostních incidentů, různé politiky přístupu, řízení identit, detekci a online zaznamenávání kyberbezpečnostních událostí a tak dále a tak dále.
Paradoxně se to jmenuje „režim nižších povinností“, ale i tak je to pro malé podnikatele pěkný masakr. Povinností jsou desítky. Operátoři bez ohledu na velikost samozřejmě kyberbezpečnost berou smrtelně vážně, protože na tom závisí jejich podnikání.
Ale nyní budou muset povinnosti plnit nejen tak, aby to dávalo smysl pro jejich byznys, ale i podle představ regulátora. To je úhelný kámen transpozice a z ní odvozeného zákona. Požadavky by měly brát více ohled na velikost regulovaného subjektu.
Ano, samozřejmě, našim členům nabídneme poradenství a veškerou podporu. Už nyní bojujeme za jejich zájmy při přípravě a budeme vysvětlovat naše postoje i v průběhu samotného legislativního procesu. Je však důležité, aby si politická reprezentace při projednávání a schvalování těchto návrhů uvědomila, jak velkou moc v podobě vydávání bezbřehých vyhlášek dává do rukou jednomu úřadu a jak zničující vliv to může mít na malé podniky a mikropodniky v regionech. A jak přepnuté požadavky regulace mohou ovlivnit i ty největší regionální podnikatele.
Ti totiž, na rozdíl od velkých nadnárodních telekomunikačních operátorů, nemají k dispozici mnohočlenná regulační oddělení. Výsledek vidíme už nyní – další a další regulační povinnosti způsobují, že vysoce konkurenční a živý telekomunikační sektor na regionální úrovni v některých oblastech stagnuje a konsoliduje se.
Ne proto, že by měli regionální a lokální operátoři problém se svými službami, ačkoliv je samozřejmě zatěžuje občasná snaha o cenovou válku tam, kde chtějí některé velké podniky zvýšit svůj tržní podíl i za cenu smazání marže. Kromě těchto „běžných“ podnikatelských patálií majitele menších firem, kteří často „dělají internet a ICT služby“ od devadesátých let, trápí fakt, že většinu času, který by mohli věnovat rozvoji byznysu, musí trávit vypořádáváním se s regulací.
Odpověď na to, jaký vlastně je vliv přehnané regulace na výši investic, je jednoduchá. Doslova z učebnice Základy ekonomie. Fixní a variabilní náklady jdou nahoru, růst cen v telekomunikacích je velmi pomalý. V prostředí narůstajících nákladů a tím i klesajících příjmů klesá ochota dávat peníze do rozvoje těch částí sítí, kde se návratnost počítá na deset až patnáct let. Tedy ve venkovských oblastech a v malých sídlech, kterých je ovšem v České republice většina.
Kdysi stát telekomunikační byznys reguloval tak, aby zatěžující povinnosti měli především bývalí monopolisté a velké podniky s několika stovkami tisíc přípojek. Malým firmám a drobným podnikatelům se naopak tvůrci regulace snažili do velké míry život ulehčovat. Tendence posledních let, kdy povinnosti dopadají na všechny víceméně stejně, vytváří mezi menšími podnikateli tenze.
Regulačních požadavků přibyly desítky – od každoročních vykazování každé přípojky a technologie pro evropského regulátora BEREC a pro národní účely přes detailní pravidla, jak mají vypadat smlouvy se spotřebiteli, požadavky plynoucí z GDPR, registrace bezdrátových zařízení a tak dále.
Byť je třeba uznat změnu přístupu Českého telekomunikačního úřadu (ČTÚ) a snahu o edukaci, další frontu „papírové války“ otevírají měnící se pravidla ve stavebním právu a speciálních zákonech pro výstavbu. Každý další paragraf chce nějaký čas na zapracování a přizpůsobení se. Z podnikatelů se stávají svého druhu právní znalci.
A teď se zdá, že k plnému poháru povinností nabalí stát další, kyberbezpečnostní. Kyberbezpečnost je potřebná, trh však musí regulaci přežít.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU