Nepominutelné funkce, nepochopitelná regulace
Shutterstock.com
Nepominutelné funkce, nepochopitelná regulace
Vláda připravuje nové nařízení k zákonu o kybernetické bezpečnosti. Na papíře to vypadá logicky: stanovit tzv. nepominutelné funkce, tedy části infrastruktury, bez kterých by se strategické služby mohly zhroutit. Jenže návrh, jak jej předložil NÚKIB, vzbudil v připomínkovém řízení nebývalý odpor – a to jak mezi ministerstvy a regulátory, tak mezi podnikatelskými svazy a firmami. Není divu. Dokument totiž jde mnohem dál, než zákon dovoluje, a hrozí, že místo rozumné ochrany přinese byrokracii, náklady a právní nejistotu.
šéfredaktor
Zákon o kybernetické bezpečnosti jasně hovoří o tom, že zvláštní režim se má vztahovat na kritická aktiva. Návrh vládního nařízení však definici rozšiřuje i na aktiva označená jen jako „vysoká“. To znamená, že regulace by se dotkla mnohem širšího okruhu zařízení a funkcí, včetně těch, které nemají pro fungování sítě klíčový význam. Ministerstva i odborní regulátoři proto varují, že jde o krok v rozporu se zákonem, a dokonce protiústavní zásah do právního pořádku. Ignoruje to nejen vůli zákonodárců, kteří v parlamentu schválili omezený rozsah regulace, ale i základní princip proporcionality. Kontroverzní je i samotný seznam nepominutelných funkcí. Obsahuje totiž nejen jádro sítí, které skutečně představuje kritickou infrastrukturu, ale také transportní části, rádiové přístupové sítě (RAN) nebo dokonce fakturační a podpůrné systémy. Tyto prvky mohou být důležité, ale jejich výpadek nezpůsobí kolaps celé služby – maximálně lokální či dočasné problémy. Přesto by se podle návrhu dostaly pod režim přísné regulace, což by pro firmy znamenalo nové povinnosti, náklady a rizika. Kritici správně upozorňují, že návrh v této podobě spíše devalvuje pojem „kritická funkce“, protože vše najednou získává stejnou váhu.
Třetím velkým problémem je absence seriózní analýzy dopadů. Závěrečná zpráva RIA k nařízení podle připomínkových míst působí jen formálně – konstatuje, že nařízení je třeba, ale nepočítá reálné ekonomické, administrativní ani sociální důsledky. Přitom jde o regulaci, která může mít dopady v miliardách. Odhady telekomunikačního sektoru hovoří až o 22 miliardách korun dodatečných nákladů, pokud by se regulace vztahovala plošně na celou síť. Bez transparentního a seriózního vyčíslení hrozí, že stát zatíží firmy i spotřebitele, aniž by přesně věděl, jak velké budou následky. Celé připomínkové řízení ukázalo, jak hluboký rozpor mezi předkladatelem a ostatními aktéry existuje. NÚKIB akceptoval jen zlomek připomínek – 17 procent. Většinu odmítl nebo odbyl vysvětlením. To není dialog, to je diktát. Jenže u regulace, která má chránit klíčové části naší infrastruktury a zároveň nezadusit podnikatelské prostředí, by měla platit právě opačná logika: maximální transparentnost, vysvětlování a hledání rovnováhy.
Kybernetická bezpečnost je bezesporu téma, které si zaslouží vážnou pozornost. Ale pokud stát začne regulovat plošně, nad rámec zákona, bez ohledu na reálné dopady a proti jasně vyjádřené vůli zákonodárce, nepřinese to větší bezpečnost. Přinese to jen chaos, nejistotu a zbytečné náklady. Pokud má vláda chránit opravdu kritické části sítí, musí regulaci zacílit přesně – nikoli ji rozlévat do oblastí, které kritické nejsou. Jinak z nepominutelných funkcí zůstane jen nepominutelný problém.
