Na koho dopadne zákon o kybernetické bezpečnosti?
Na koho dopadne zákon o kybernetické bezpečnosti?
Datarun 2024
Shrnutí
- Nový zákon o kybernetické bezpečnosti dopadne na přibližně polovinu velkých a středních firem v České republice
- Naše analýza identifikovala, že půjde o minimálně 8 244 subjektů, u kterých je možné dohledat parametry velikosti podniku (dle počtu zaměstnanců či obratu). U některých odvětví není možné dohledat povinné osoby, takže toto číslo není konečné.
- Vyšší povinnosti, které zahrnují nutnost jmenovat odpovědné osoby pro konkrétní role a výrazně vyšší náklady, bude mít 1 261 subjektů z veřejné i soukromé sféry.
- Nižší povinnosti, které s sebou nesou pořád poměrně zásadní administrativní a investiční náklady, bude mít 6 983 subjektů.
- Obecně mezi povinnými osobami bude celá řada i menších měst a subjektů vlastněných veřejnou správou, ale také charity, domovy důchodců a léčebny, střední potravinářské podniky, uzenářství a další. Stát po všech bude chtít demonstrovat, že plní povinnosti dané zákonem, pod hrozbou vysokých pokut.
- Zákonodárci, kteří nyní projednávají znění nového zákona o kybernetické bezpečnosti, by měli požadovat detailní odhad nákladů pro veřejnou správu i celou ekonomiku, a především zvažovat, zda je plnění požadavků možné z hlediska nedostatečných personálních kapacit.
Úvod
Nový zákon o kybernetické bezpečnosti je normou, jejíž obsah se probírá v odborných kruzích již více než dva roky. Jde o implementaci evropské směrnice 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (takzvané směrnice “NIS 2”). V České republice byl zpracováním návrhu tohoto zákona pověřen Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Záměrem směrnice je zlepšit kybernetickou bezpečnost v různých organizacích a hlavně v soukromém sektoru, který je z jakéhokoli důvodu důležitý pro společnost, její prosperitu a stabilitu. Směrnice tak má za cíl regulovat úroveň kybernetické bezpečnosti v odvětvích, jako je energetika, telekomunikace, zdravotnictví, dodávky vody, odpadové hospodářství, v digitálních službách a v řadě dalších.
Samotná implementace kybernetické bezpečnosti v organizaci nespočívá v tom, pořídit si nějakou technologii a bránit se díky ní útočníkům (“mám antivirus a jsem v bezpečí”). Spočívá v nastavení komplexu organizačních a bezpečnostních opatření. A také na nastavení firemních procesů, analýze rizik a prokazatelném seznámení vrcholného vedení společnosti s riziky a plány, jasným stanovením rolí ve firmě odpovědných za kyberbezpečnost. Povinnosti podle navrhovaného zákona je možné na administrativní a organizační úrovni srovnat s povinnostmi dle norem regulujících bezpečnost a ochranu zdraví na pracovišti, požární ochranu, zavedením procesu dle HAACP v potravinářských podnicích, nebo souladem s nařízením o ochraně údajů GDPR. Zároveň ale vyžadují individuální přístup v každém povinném subjektu, proto je jejich plnění náročnější.
Zákon a vyhlášky vyžadují, aby organizace byla schopná demonstrovat na konkrétně dokladovaných postupech a režimech, že je v souladu s regulací a navíc doplnila proces technickými opatřeními na reálné zabezpečení svých systémů. Velká část povinností tak představuje zásadní administrativní a byrokratickou zátěž, která má zároveň donutit firmy a instituce k tomu, aby začaly řešit kyberbezpečnost.
Cílem studie Datarunu není hodnotit, zda je to dobře, nebo špatně. Ale přesto poslanci a senátoři, kteří nakonec o každém zákonu hlasují, mají vědět, na koho regulace dopadne. Odhad počtu a charakteru povinných osob je zásadní pro pochopení, jak velký bude dopad opatření na českou ekonomiku.
V důvodové zprávě k zákonu a v závěrečné zprávě o dopadech regulace (RIA) chybí dostatečné množství informací. NÚKIB uvádí na straně 11: “Podle současných odhadů se navrhovaná úprava přímo dotkne přibližně 6000 subjektů, z čehož asi 5000 bude regulováno v režimu nižších povinností. Většina těchto subjektů budou střední podniky.” Dále hovoří úřad o tom, že “odhady hovoří o minimálně 6 000 povinných orgánech a osobách” (str. 19). Neuvádí ovšem čí odhady (z kontextu je pravděpodobné, že asi jeho vlastní) nebo jak k tomuto číslu došel. S číslem 6 000 (rozdělené na 5 000 v režimu nižších povinností a 1 000 regulovaných subjektů v přísnějším režimu) pracuje úřad v celé závěrečné zprávě RIA.
Odhadnout počet regulovaných osob možné je s využitím otevřených dat státní správy i díky řadě registrů, seznamů a rejstříků. Díky alespoň rámcovému odhadu počtu regulovaných subjektů je pak možné namapovat na ně povinnosti, které po nich úřad bude chtít a odhadnout, jaké s tím budou mít povinné subjekty náklady – ale hlavně, kolik na to bude potřeba lidské síly. To, že vůbec nedochází k debatě na téma, kdo bude nové povinnosti zavádět, provádět prakticky ve firmách a kontrolovat na úřadech, považujeme za naprosto alarmující.
Kolik bude povinných subjektů?
Podkladem pro analýzu počtu povinných subjektů je návrh zákona o kybernetické bezpečnosti (sněmovní tisk 759). Zákon vypočítává 15 odvětví, která mají být regulována. Jde o následující sektory:
- veřejná správa a výkon veřejné moci
- energetika
- výrobní průmysl
- potravinářský průmysl
- chemický průmysl
- vodní hospodářství
- odpadové hospodářství
- doprava
- digitální infrastruktura a služby
- finanční trh
- zdravotnictví
- věda, výzkum a vzdělávání
- poštovní a kurýrní služby
- obranný průmysl
- vesmírný průmysl
V souladu se směrnicí NIS 2 pak je základním kritériem, jak se posuzuje, zda daná organizace bude regulovaná, její velikost. Ta je posuzována dle doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků. Podnik, který je klasifikovaný jako střední a velký a funguje v daném sektoru, je regulovaným subjektem (až na některé výjimky).
Úřad pak plánuje stanovit pro dané podniky různé režimy, obecně platí, že střední podniky mají většinou mírnější režim regulace a méně povinností, velké podniky mají přísnější režim regulace a daleko více povinností. Stanovení těchto povinností se odvíjí od toho, zda je dané odvětví v příloze směrnice NIS 2 označené za “vysoce kritické” nebo jen “další kritické”. Vysoce kritická odvětví jsou energetika, doprava, bankovnictví a finanční trhy, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, řízení služeb ICT mezi podniky, veřejná správa a vesmír. Mezi “další kritická odvětví” patří poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemických látek, výroba, zpracování a distribuce potravin, výroba, digitální poskytovatelé a výzkum.
V “dalších kritických odvětvích” mají v české transpozici směrnice i velké firmy úlevu, že nejsou předmětem přísnějšího režimu povinností. Neplatí to ale stoprocentně.
Metodický přístup
Protože regulace se primárně týká velkých a středních podniků, nejdříve bylo potřeba získat sadu dat, která obsahuje informace o tomto typu podniků. Datarun disponuje placenou databází ekonomických subjektů, která obsahuje souhrn dat o různých organizacích dostupný z řady veřejných zdrojů, včetně tržeb (pokud ukládají účetní závěrku do sbírky listin), a to v podobě, kdy se v ní snáze vyhledává a filtruje dle parametrů či kombinace parametrů. Z této databáze byly vyexportovány ty subjekty, které splňují kritéria velkého nebo středního podniku, mají tedy nad 50, respektive 250 zaměstnanců nebo mají obrat nad 10 milionů eur. Z důvodu opatrnosti byly pro toto kritérium vytřízeny pouze takové entity, které mají obrat nad 300 milionů korun. Dohromady to bylo přibližně 18 000 subjektů.
U těchto subjektů studie zkoumá, zda splňují kritéria, která NÚKIB navrhuje ve vyhlášce, tedy zda jsou vedeny v nějakém rejstříku či vykazují nějaké znaky, které by způsobily, že půjde o regulované subjekty:
• Pro odvětví “Výkon svěřených pravomocí” (což je především státní a veřejná správa) jsme využili seznam orgánů veřejné moci, který vede ministerstvo vnitra a využili jsme rovněž seznamu ústředních orgánů státní správy a agentur, který vede web Hlídač státu.
• Pro odvětví “Energetika – elektřina”, “Energetika - plynárenství” a “Energetika - teplárenství” jsme využili otevřená data Energetického regulačního úřadu a seznam subjektů s udělenou platnou licencí na příslušné služby. Pro službu “Provoz veřejně přístupné dobíjecí stanice” jsme využili seznam veřejně přístupných dobíjecích stanic, který vede Ministerstvo průmyslu a obchodu.
• Pro odvětví “Energetika – Ropa a ropné produkty” a “Energetika - vodík” jsme nenalezli vhodné datasety, očekáváme ale, že většina firem, která v této oblasti podniká, bude zároveň zasažená v jiných oblastech (chemie či elektřina), případně půjde o jednotky subjektů. Pro služby poskytovatelů čerpacích stanic jsme využili seznam, který vede Ministerstvo průmyslu a obchodu.
• Odvětví “Výroba” je definované jako výrobci, kteří odpovídají klasifikaci dle příslušného kódu CZ-NACE. Použili jsme tedy příslušné CZ-NACE kódy (oddíly 26, 27, 28, 29 a 30), které korespondují i s klasifikací dle směrnice NIS 2.
• Pro odvětví “Potravinářský průmysl” jsme vybrali podniky, které mají jako obor činnosti dle kódu CZ-NACE oddíl 10 - Výroba potravinářských výrobků, pro distribuci potravin pak kód “463 - Velkoobchod s potravinami, nápoji a tabákovými výrobky.
• Pro chemický průmysl jsme vybrali podniky, které mají jako obor činnosti dle CZ-NACE klasifikace z oddílu 20 - Výroba chemických látek a chemických přípravků. Jsme si vědomi, že ve vyhlášce jsou tyto podniky klasifikované jinak (jako výrobci látek podléhající registraci dle nařízení REACH), ale domníváme se, že korelace s výrobci chemických látek bude v tomto případě vysoká. Seznam provozovatelů objektů podle zákona o prevenci závažných havárií jsme získali z webových stránek Ministerstva životního prostředí.
• Pro odvětví vodní hospodářství jsme provozovatele vodovodů a provozovatele kanalizací získali z Vybrané údaje provozní evidence (VÚPE) za rok 2023 vedené Ministerstvem zemědělství.
• Pro odvětví Odpadového hospodářství jsme získali data po poskytovatelích v systému VISOH2 vedeném Ministerstvem životního prostředí.
• Pro odvětví letecké dopravy jsme využili příslušné seznamy vedené Úřadem pro civilní letectví, tam kde byly dostupné.
• Pro odvětví drážní dopravy jsme využili seznamy dopravců provozujících drážní dopravu na celostátní a regionální dráze a obecně seznamy, které jsou vedené Drážním úřadem ČR.
• U odvětví Vodní dopravy nebyly subjekty dostupné, vzhledem k tomu, že jde ale o provozovatele námořní dopravy, domníváme se, že v ČR bude počet těchto subjektů zanedbatelný.
• U odvětví silniční dopravy je poskytovatel regulované služby definován jako “Osoba vykonávající správu pozemní komunikace podle zákona o pozemních komunikacích”. Jejich seznam není nikde dostupný, předpokládáme, že tato definice se do budoucna zpřesní, protože jinak by byla regulován každý správce městských komunikací, který je zároveň středním nebo velkým podnikem. Omezili jsme se tedy jen na takové subjekty, které deklarují, že dodávají data do NDIC.
• U odvětví digitální infrastruktury a služeb bylo využito:
- Pro určení poskytovatelů sítí nebo služeb elektronických komunikací otevřená data Českého telekomunikačního úřadu, která obsahují seznam těchto poskytovatelů. U tohoto seznamu jsme přidali k regulovaným subjektům všechny entity, protože elektronické komunikace jsou odvětvím, kde jsou regulovanými subjekty všichni poskytovatelé bez ohledu na velikost. Předpokládáme, že část z těchto poskytovatelů bude zároveň “poskytovateli služby systému překladu doménových jmen”.
- U poskytování služby cloud computingu jsme využili zapsané poskytovatele cloud computingu na stránkách Digitální a informační agentury DIA.
- Zbylí poskytovatelé jsou buď jednotky (správa a provoz registru domény nejvyšší úrovně, provozování Národního CERT) nebo jsou nedohledatelní ve veřejných databázích.
- Upozorňujeme zároveň na kategorii “Poskytování řízené služby”. U této kategorie budou regulovanými službami všechny společnosti, které poskytují jako službu IT systémy jiným podnikům, což je zvláště obvyklé při sdílení IT systémů ve skupině, a to do zahraničí. Typicky může do této kategorie spadnout řada českých e-shopů, které sdílí svůj systém s pobočkami v jiných státech EU.
• U odvětví “Finanční trh” byla využita databáze ČNB.
• U odvětví Zdravotnictví studie používá Národní registr poskytovatelů zdravotních služeb vedený Ústavem zdravotnických informací a statistiky ČR. Pro seznam výrobců léčivých látek jsme použili Celkový přehled povolených výrobců léčivých přípravků a kontrolních laboratoří v ČR, který vede Státní úřad pro kontrolu léčiv. Pro seznam výrobců zdravotnických prostředků jsme využili otevřená data Registru zdravotnických prostředků, který vede Státní úřad pro kontrolu léčiv.
• U odvětví “výzkum a vývoj” je to Rejstřík veřejných výzkumných institucí vedený Ministerstvem školst
• U odvětví Poštovní a kurýrní služby používá studie otevřená data Českého telekomunikačního úřadu
• U odvětví obranného průmyslu Datarun vybral takové podniky, které mají kód činnosti CZ-NACE 254 “výroba zbraní a střeliva”. Pravděpodobně tím neobsáhne všechny subjekty, ale předpokládáme, že další budou regulované v jiných odvětvích (např. budou mít zároveň CZ-NACE kód pro výrobu strojů a zařízení).
• U odvětví Vesmírného průmyslu není zjištěna databáze, kde by poskytovatelé příslušné služby byli registrovaní, domníváme se ale, že půjde o mizivé množství subjektů (pokud vůbec nějaké).
Omezení metodiky
Metodika využívá jako zdroje ve většině případů databáze a informační systémy, které vedou státní organizace, považujeme ji tak za dostatečně robustní. Vzhledem k široké škále vstupů a jejich formátů používá studie strojové zpracování a automatické doplnění chybějících informací z veřejně dostupných zdrojů. Ve výjimečných případech tak mohlo dojít k nepřesné identifikaci subjektu.
Základní omezení vyplývá hlavně z kvality zdrojových dat, kde spoléhá na to, že stát vede data o daných organizacích v podobě, aby byla vypovídající a s co nejnižší chybovostí. Studie se spoléhá na to, že data např. o počtu zaměstnanců, která jsou klíčová pro určení toho, zda vůbec subjekt padne do regulace, jsou na Českém statistickém úřadu vedena správně. Pokud subjekt neuvádí počet zaměstnanců, není možné ho postihnout.
Zároveň je dobře známo, že identifikace subjektů dle kódů CZ-NACE není zcela spolehlivá (řada subjektů, které v daném oboru zjevně podnikají, nemají příslušný CZ-NACE kód přiřazen a naopak).
U některých odvětví a služeb není možné dohledat jakékoli databáze, do kterých by se tito poskytovatelé měli registrovat. Typicky jde o “poskytování řízených služeb”, “poskytování řízených bezpečnostních služeb”, “poskytování služby on-line tržiště”, “poskytování platformy sociální sítě” a další. Předpokládáme, že půjde o nižší stovky subjektů, především u “poskytování řízených služeb”, kde je definice velmi vágní.
Velikost podniku
Zároveň evropské doporučení, podle které se stanovuje velikost podniku (Doporučení Komise 2003/361/ES) počítá s tím, že jako “střední” nebo “velké” podniky jsou určené i takové podniky, které jsou sice dle vnějších znaků malé nebo mikro (pod 50, respektive pod 10 zaměstnanců, případně nesplňující kritéria obratu), ale jsou vlastněné velkými nebo středními podniky. Takové subjekty se podle zákona stanou také regulovanými osobami, protože z hlediska definice jsou “střední” nebo “velké” podniky.
V praxi půjde především o takové subjekty, které jsou součástí větších podnikatelských skupin nebo holdingů. K datům o těchto subjektech je obtížné se snadno dostat a je to za hranicemi možností této analýzy.
Určitou nápovědu by mohla dát analýza Eurostatu z roku 2018. Eurostat zkoumal, kolik malých a mikropodniků je “závislých”, tedy vlastněných ve skupině či zahraničním vlastníkem, oproti “nezávislým” které mají přímého vlastníka. Průzkum nebyl veden v ČR, ale počet podniků, které jsou “závislé” na vlastníkovi s více než 250 zaměstnanci (splnily by tak definici velkého podniku) bylo napříč státy mezi 0,8 % v Portugalsku až po 13,3 % ve Švédsku. Pokud studie konzervativně v ČR předpokládá, že takových subjektů bude 5 % z malých a mikropodniků, znamenalo by to přibližně dalších 11 tisíc podniků, které by splňovaly kritérium velikosti bez ohledu na obor, a tedy přibližně dalších 4-5 tisíc, které by mohly teoreticky být regulované dle zákona o kybernetické bezpečnosti (pokud vezmeme v úvahu přibližný poměr regulovaných subjektů, který nám vyšel v této analýze, vůči celkovému počtu středních a velkých podniků v ČR).
AI nástroj
Ke zpracování dat byla využita služba TheOrigins.ai, která se specializuje na strojové zpracování různorodých datových zdrojů s cílem poskytnout jasně proveditelné akce. Díky pokročilým algoritmům a metodám umělé inteligence tato služba umožňuje identifikaci vnitřních vazeb a skrytých souvislostí mezi daty.
Výsledky analýzy
Analýza prokázala hypotézu, že subjektů, které budou regulované Zákonem o kybernetické bezpečnosti tak, jak je definuje NÚKIB v návrhu vyhlášky, bude velké množství. A také významně více, než odhaduje samotný úřad.
Subjektů celkem s jakýmkoli režimem povinností bude 8 244.
VYŠŠÍ povinnosti bude mít 1 261 subjektů
NIŽŠÍ povinnosti bude mít 6 983 subjektů
V kategorii veřejná správa jsme identifikovali 441 subjektů
VYŠŠÍ povinnosti bude mít 152 subjektů
NIŽŠÍ povinnosti bude mít 289 subjektů
Subjektů, které nevykonávají činnosti v kategorii veřejná správa (jde o soukromé subjekty, příspěvkové organizace, případně municipality, které nejsou regulované jako veřejná správa, ale z jiných důvodů, nebo veřejnou správou vlastněné subjekty), bylo identifikováno 7 803.
VYŠŠÍ povinnosti bude mít 1 109 subjektů.
Nižší povinnosti bude mít 6 694 subjektů.
Tato čísla bere studie za minimální počet regulovaných subjektů, které budou podle návrhu vyhlášek předložených NÚKIB regulované. Jejich počet bude pravděpodobně ještě významně vyšší, protože u některých regulovaných služeb se nepodařilo dohledat zdroje, ze kterých by bylo možné čerpat informace. A také nebylo možné zahrnout podniky, které budou považovány za střední či velké podle evropských pravidel kvůli propojení s jinými velkými podniky.
Zároveň je možné, že se vyhlášky změní a úřad přistoupí k omezujícím parametrům, jak již avizoval v případě fotovoltaiky. V takovém případě se počet subjektů sníží.
Srovnání se zahraničím
Odhad počtu subjektů, na které nový zákon o kybernetické bezpečnosti dopadne, se pokoušely učinit i jiné úřady než ten český. Odhady jsou přitom významně nižší. Například Belgie, která je počtem obyvatel jen mírně větší než Česká republika. Struktura ekonomiky je přitom obdobná (i když služby tvoří větší část belgického HDP než v ČR). Tamní úřad odhaduje počet firem, které zasáhne jejich implementace směrnice NIS 2, na 2500, což je významně méně než v ČR. Logickou úvahou je, že česká čísla významně vychyluje sektor elektronických komunikací, kdy v ČR je daleko vyšší počet malých a mikropodniků v tomto sektoru (malí regionální poskytovatelé internetu), kterých je v ČR aktivních necelých 2 tisíce. Nicméně v Belgii jich je dle dat jejich telekomunikačního regulátora 522. I po očištění by tak odhad pro Belgii ze strany belgického úřadu byl cca 2x nižší než odhad českého úřadu pro Česko.
V Německu, které je osmkrát větší než ČR na počet obyvatel a má přibližně čtrnáctkrát větší ekonomiku, odhaduje v důvodové zprávě návrhu zákona tamní regulátor, že přibližně 8250 podniků bude klasifikováno jako “zvláště významné” a přibližně 21 600 podniků jako “významné” instituce. I to je proporčně významně méně než v ČR.
Srovnání jsou komplikovaná tím, že struktura ekonomiky může být jiná, ale srovnání s německou ekonomikou jsou podle autorů studie validní, protože jde o ekonomiku s vysokým podílem průmyslu a středních firem (tzv. Mittelstand). Je tak na místě analyzovat, zda český návrh zákona není příliš striktní a nemá zájem regulovat i ty subjekty, které by jinak regulované nebyly.
Analýza jednotlivých subjektů
Analýza subjektů, které budou regulovanými dle zákona, v řadě případů nepřinesla žádné překvapivé závěry - často jde o organizace či o korporace, u kterých se dá velmi snadno předpokládat, že půjde o regulované subjekty (typicky ČEZ, PRE, O2, Všeobecná fakultní nemocnice a podobně). Všeobjímající charakter směrnice a z něj vycházejícího zákona ale znamená, že regulace dopadne i na subjekty, u kterých se to prvoplánově neočekává či že kombinace některých regulovaných služeb posune podnik do vyšších povinností.
Toto je především případ středních podniků, které jsou zároveň registrované na ČTÚ jako poskytovatel služeb elektronických komunikací či sítí elektronických komunikací. Typicky jde např. o společnost Energoaqua nebo TOS - Kuřim. Zároveň jsou to potravinářské podniky, které mají ještě licenci pro výrobu energie, to je příklad třeba Pekařství a cukrářství Sázava, DZ Klatovy, Linea Nivnice, Bonavita a dalších firem. Totéž platí o strojírenských podnicích, které jsou držitelé licence na distribuci elektřiny (Chotěbořské strojírny, MSV Metal Studénka a další).
Regulace postihne všechny obce s rozšířenou působností a městské části hlavního města Prahy 1-22, což jde nad rámec směrnice NIS 2, která nic takového nepožaduje. Překvapivé ale je, že pod zákonné povinnosti se dostane i řada menších měst, které nejsou obcemi s rozšířenou působností, ale jsou například provozovateli kanalizace či vodovodu nebo provozovateli zařízení pro nakládání s odpadem (jde například o Město Albrechtice, které by dokonce mělo plnit vyšší povinnosti, protože je zároveň registrovaným poskytovatelem služeb elektronických komunikací na ČTÚ a dle registru má více než 50 zaměstnanců), město Unhošť, Kryry, Nejdek, Jesenice a desítky dalších měst i relativně menších obcí - Strání, Rohatec, Rouchovany, Mosty u Jablunkova, Prostřední Bečva atd.). Řada městských servisních společností jsou zároveň provozovateli rozvodů tepla a střední podniky, regulace se jich tedy dotkne také. Některé obce mají z různých důvodů registraci na ČTÚ jako poskytovatel služeb nebo sítí elektronických komunikací (například Rokytnice v Olomouckém kraji)
Povinnosti zřejmě dopadnou i na čtyřicet domovů seniorů, protože jsou poskytovateli zdravotní péče. Většina z nich bude mít nižší povinnosti, ale například na domov seniorů v Havířově a v Chválkovicích vychází přísnější režim. Regulovaná bude i řada charitativních organizací, protože jsou poskytovateli zdravotní péče. Celkem bude poskytovatelů zdravotní péče ve vyšším režimu 342.
Některé autosalony budou muset řešit povinnosti, protože provozují (byť i jen jednu) veřejnou dobíjecí stanici pro elektromobily. Jde například o společnosti UH CAR, Auto Hégr, Autocentrum Lukáš, Autosalon Klokočka Centrum, DRUPOL autodružstvo a další.
Povinnosti se dotknou i několika fyzických osob, především těch, kteří provozují pekařství, řeznictví či zemědělství. Příkladem může být řezník “Uzeniny Beta”, což je fyzická osoba Petr Landa z Kojetic (obec poblíž Neratovic).
Za zásadní považujeme dopad na provozovatele fotovoltaických elektráren. Zmíněné byly poslanci ANO během prvního čtení společnosti jako Marlenka, Tescoma a další. Zde ale vnímáme, že NÚKIB deklaroval omezení parametrů poskytování regulované služby u těchto provozovatelů zdola tak, aby na ně regulace nedopadla, pokud mají jen menší střešní instalace. Předpokládáme, že hranice se bude pohybovat kolem 1 MW. Zároveň to neřeší všechny problematické prvky dopadu regulace v oblasti energetiky, protože ta dopadne na řadu subjektů, které mají třeba licenci na obchod s elektřinou nebo plynem, ačkoli už elektřinu ani plyn dále neprodávají (licenci mají zřejmě hlavně kvůli tomu, aby mohli nakupovat elektřinu či plyn pro sebe přímo na burze).
Závěr
Je patrné, že nový zákon o kybernetické bezpečnosti bude mít významné dopady na veřejné rozpočty i soukromé podnikání. Tento rozsah je problematický ze dvou důvodů, tím prvním jsou náklady, které s tím budou dané subjekty mít a které se budou pohybovat bezpochyby v milionech korun na daný subjekt (kombinace organizačních a technických opatření). Tím druhým a významně důležitějším je požadavek na lidi. Zde je nutné upozornit, že soulad se zákonem o kybernetické bezpečnosti bude muset být realizovaný dramaticky odlišným způsobem, než například v oblasti GDPR. Neexistuje univerzální “balíček” kybernetických opatření, které by stačilo ve firmě zavést a compliance by byla vyřešena. Každá organizace potřebuje individuální přístup dle povahy poskytovaných služeb a svého podnikání, dle velikosti, dle expozice do kyberprostoru, již zavedených technologických řešení a procesů a dle svých finančních možností. Za neplnění povinností přitom hrozí vysoké pokuty.
I “nižší povinnosti” tak budou představovat významnou administrativní a finanční zátěž, kterou budou muset dané firmy i subjekty veřejné správy podstoupit.