Implementace směrnice NIS 2 v České republice: jednorázové náklady převyšují 36 miliard Kč, roční provozní náklady téměř 9 miliard Kč
Implementace směrnice NIS 2 v České republice:
Jednorázové náklady převyšují 36 miliard Kč, roční provozní náklady téměř 9 miliard Kč
Úvod a manažerské shrnutí
- Analýza finančních dopadů zavedení povinností vyplývajících z nového zákona o kybernetické bezpečnosti (transpozice evropské směrnice NIS 2) v České republice, kterou zpracoval Datarun ukazuje, že soukromé firmy zapojené do implementace povinných bezpečnostních opatření budou čelit jednorázovým výdajům přes 36,2 miliardy Kč.
- Roční provozní náklady, které zahrnují údržbu, licence, audity a průběžné monitorování, dosáhnou téměř 8,9 miliardy Kč.
- Významné nároky bude nová regulace klást na lidské zdroje, kterých je velký nedostatek (odborníci na kybernetickou bezpečnost chybí v soukromé i státní sféře).
- Stát by měl tak zvažovat rozsah dalších povinností, které povinným subjektům vyplývají ze zákona nad rámec směrnice, jako je sledování dodavatelského řetězce a lokalizační požadavky.
Cena compliance je zásadní pro stanovení nákladů regulace
Směrnice NIS 2 a z ní vycházející nový Zákon o kybernetické bezpečnosti budou platné s největší pravděpodobností od 1. října. 2025, pokud prezident republiky podepíše zákon, který již schválila Poslanecká sněmovna i Senát. Plná účinnost opatření, tedy doba, od kdy budou muset být všechny regulované subjekty registrované na Národním úřadě pro kybernetickou a informační bezpečnost a budou muset provádět všechna technická i organizační opatření, která po nich zákon požaduje, tak naběhne během příštího roku. Zákon dopadne na organizace v devatenácti různých regulovaných odvětvích, což v praxi znamená dopad na většinu velkých firem, přibližně polovinu všech středních firem v ČR (počítáno dle počtu zaměstnanců od 50 do 250) a množství malých firem, který jsou s nimi propojené v rámci koncernu či holdingu a jako takové spadají do definice střední či malé firmy podle evropského doporučení o velikosti podniku. Kromě nich budou mezi regulované subjekty spadat dle zveřejněného návrhu vyhlášky o regulovaných službách také všechny ústřední orgány státní správy, správní úřady s celostátní působností, policie, hasiči, soudy, státní zastupitelství, kraje, obce s rozšířenou působností a větší pražské městské části.
Datarun celkem spočítal již v loňském roce s využitím dat z veřejně přístupných databází a otevřených zdrojů, že dle původních návrhů vyhlášek, které úřad zveřejnil spolu s návrhem zákona, půjde minimálně o 8 244 subjektů. Nově zveřejněné návrhy vyhlášek, které stanovují, které organizace budou mít povinnosti podle zákona, některá přísná ustanovení zmírnily - například omezily dopad na často diskutované provozovatele solárních elektráren tak, že mezi regulované subjekty budou spadat jen takoví výrobci, kteří mají elektrárny vyrábějící elektřinu z obnovitelných zdrojů o výkonu větším než 1 MW, což řadu subjektů vyřadí. Na druhou stranu námi vypočítané číslo nemohlo zahrnout malé a mikro firmy, které se dostanou do regulace z důvodu, že jsou součástí koncernů či holdingů. Z veřejně dostupných zdrojů není možné zjistit, o jaké entity jde. Studii z loňského roku tak stále považujeme za vypovídající pro stanovení celkových nákladů regulace pro ČR.
Stanovení nákladů dle transparentní a smysluplné metodiky by mělo být pro zákonodárce zásadním požadavkem na předkladatele zákona (v tomto případě Národní úřad pro kybernetickou a informační bezpečnost). NÚKIB to nicméně v průběhu přípravy zákona odmítl, ač k tomu byl v rámci meziresortního připomínkového řízení mnohokrát vyzýván řadou připomínkových míst. I předseda Legislativní rady vlády úřadu vytkl nedostatky v RIA, včetně “vymezení a hodnocení dopadů, které návrh zákona provázejí” a doporučil zaměřit se mimo jiné i na nedostatečné vyčíslení dopadu na povinné subjekty, a to i finanční dopad podle rozdělení vyšších a nižších povinností.
Úřad se obecně s požadavky na vyčíslení nákladů v důvodové zprávě vypořádal větou, že “Výši finančních dopadů není možné předem stanovit a veškeré předchozí požadavky na jejich vyčíslení vedly k vytvoření odhadů s nízkou vypovídající hodnotou.”
Datarun se domnívá, že vyčíslení nákladů možné je s použitím metodiky, kterou uvádíme níže.
Zákon o kybernetické bezpečnosti dopadne na řadu firem, které dosud bezpečnost neřešily
Jak jsme uvedli v předchozí studii, povinných osob bude přes osm tisíc. Jde o subjekty z různých sektorů, které jsou vypsané v zákoně a detailně popsané v prováděcí vyhlášce o regulovaných službách. Ve většině případů půjde o velké a střední firmy (nebo orgány veřejné moci), do regulace ale spadne i řada příspěvkových organizací státu, včetně nemocnic nebo technických služeb.
Požadavky vyplývají ze zákona a z příslušných vyhlášek. V prvé řadě se budou muset subjekty registrovat na portále NÚKIB a nahlásit své kontaktní údaje, poskytované regulované služby a z toho vyplývající režim povinností - vyšší či nižší. Obecně do vyššího režimu spadnou velké firmy (nad 250 zaměstnanců a s obratem přes 50 milionů eur), do nižšího střední firmy. Existují ale výjimky - v některých oborech, například telekomunikacích, budou muset i střední firmy plnit vyšší míru povinností, v některých - třeba výroby potravin - naopak i velké firmy budou muset plnit pouze nižší povinnosti.
Obecně budou muset firmy stanovit rozsah řízení kybernetické bezpečnosti, zavést organizační a technická bezpečnostní opatření, provádět protiopatření ke snížení rizik, hlásit incidenty státu, informovat o nich zákazníky a řídit dodavatelský řetězec. Povinností je celá řada (vyhláška popisující režim vyšších povinností má 40 stran).
Míra připravenosti na nové povinnosti není jasná, ale dle informací z veřejných zdrojů je možné usoudit, že nebude nijak vysoká. Dá se vycházet z např. z dotazníku společnosti Acronis mezi jejími partnery a zákazníky z října roku 2024, který ukázal, že požadavky směrnice splnilo jen osm procent z nich a zbývajících 41 % na zavedení bezpečnostních opatření pracuje. Loňský článek v deníku E15 zmiňuje několik představitelů konzultačních společností, kteří uvádí, že povědomí o povinnostech není příliš vysoké.
Dá se každopádně předpokládat, že připravenost na nové podmínky bude relativně vysoká ve velkých korporacích a organizacích, které již nyní musely plnit povinnosti ze současného Zákona o kybernetické bezpečnosti. Banky, velké energetické společnosti či velcí telekomunikační operátoři mají už dnes celou řadu povinností, které musí plnit a rozsah těchto povinností se tolik nezvýší, spíše se zásadně zvýší rozsah infrastruktury, na kterou se budou vztahovat (protože nový zákon na rozdíl od starého řeší zabezpečení celé “regulované služby”, což znamená postihnout veškerá aktiva, na kterých je tato služba přímo či nepřímo závislá.
Nový zákon a tedy nová pravidla ale dopadne pochopitelně i na sektory, které nebyly regulované nijak, jako jsou například zdravotnické služby, chemický průmysl, výrobní průmysl, doprava, menší telekomunikační firmy, potravinářský průmysl a další. U těchto společností očekáváme, že náklady na zavedení povinností budou patřit k vyšším, protože dosud kybernetickou bezpečnost neřešily prakticky vůbec či pouze na úplně základní úrovni.
Zákon si vyžádá značné lidské zdroje
Především režim vyšších povinností, který postihne přibližně 1100 organizací, bude vyžadovat zapojení značných lidských zdrojů. Organizace musí stanovit konkrétní bezpečnostní role a tyto osoby musí mít dle vyhlášky předepsanou kombinaci praxe a vzdělání, navíc některé se nesmí dublovat samy se sebou či s osobami, které jsou “pověřeny výkonem rolí odpovědných za provoz technických aktiv regulované služby” - přeloženo do normálního jazyka, nesmí to být zároveň lidé odpovědní za správu IT v dané organizaci.
Jak státní orgány, tak velké firmy budou muset mít manažery kybernetické bezpečnosti, architekty kybernetické bezpečnosti, auditory kybernetické bezpečnosti a garanty aktiv. Dá se předpokládat, že u řady organizací dojde k outsourcingu těchto rolí na nějaké třetí subjekty. Stále ale platí povinnosti týkající se řešení případných incidentů a také pravidelná školení, kterými musí procházet management dané organizace i řadoví zaměstnanci. Stanovení bezpečnostních rolí musí také znamenat jasné pověření od managementu dané firmy, že pracovníci, kteří tyto role vykonávají, mají dostatečný mandát k případným změnám, které je nutné provést. Management bude zároveň muset vyčlenit prostředky na to, aby byla kybernetická bezpečnost dané organizace – respektive dané poskytované služby – zajištěna.
Významné lidské kapacity bude muset zaměstnat i stát
Velká část organizací ve vyšším režimu regulace budou ústřední orgány státní správy, na které zákon klade také vysoké nároky na lidské zdroje. Zároveň bude nutné posílit i samotný Národní úřad pro kybernetickou a informační bezpečnost. V důvodové zprávě úřad uváděl, že bude vyžadovat na implementaci “desítky” nových úředníků. Dalších padesát lidí chce NÚKIB pro sebe a další úřady jen na řešení “problematiky dodavatelského řetězce”. Desítky pracovníků budou nutné na resortech a úřadech, na které dopadnou vyšší povinnosti. Řada z nich má samozřejmě už nastavené procesy a role, protože jsou již regulované podle stávající legislativy, ale řada nikoli (větší města, kraje atd).
Sám NÚKIB má už nyní problém udržet zkušené lidi, které má již zaměstnané, jak potvrdil jeho ředitel loni v rozhovoru pro magazín Lupa.cz. Kapacity úřadu postačují nyní přibližně na provádění 20-30 kontrol ročně. Je velkou otázkou, jak dokáže NÚKIB i další úřady nabrat nové lidi v období příštího roku, kdy zde bude poptávka po nových zaměstnancích s odborností manažerů kybernetické bezpečnosti přímo i nepřímo od více než osmi tisíc subjektů.
Zákon přináší požadavky i nad rámec směrnice
Kromě implementace směrnice NIS2 přináší zákon i nové požadavky po velké subjekty ze sektorů energetiky, telekomunikací, státní správy a dopravy, a to mechanismus bezpečnosti dodavatelského řetězce. Tento mechanismus má za cíl identifikovat dodavatele do kritických aktiv v daných entitách a poté státu – respektive vládě - dát možnost tyto dodavatele omezit nebo zakázat, pokud sezná, že takoví dodavatelé představují riziko pro bezpečnost ČR. Náklady na splnění těchto povinností závisí na tom, zda se stát rozhodne pro širokou míru regulace v co největším rozsahu infrastruktury (pak budou náklady na reporting a compliance a především případné náklad na změnu dodavatelům vysoké) či v úzkém rozsahu infrastruktury tak, jak předpokládá zákon. Rozmezí může například u telekomunikačních firem být v řádech desítek milionů až desítek miliard.
Dalším požadavkem nad rámec směrnice je lokalizace “strategicky významných služeb”. Stát požaduje po velkých entitách v oblastech veřejné správy, energetiky a telekomunikací, aby zajistili jejich dostupnost “v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky”. Nezbytným rozsahem je dle návrhů nařízení vlády často celá služba (například to platí v případě elektronických komunikací). Může to vést k vícenákladům a demoralizaci daných subjektů část služeb poskytovat například s využitím cloudových a SaaS služeb, které jsou umístěné i v ostatních státech EU, protože to může znamenat nutnost alespoň zčásti dublovat některou infrastrukturu i v ČR.
Detailní popis metodiky výpočtu nákladů
Pro kvantifikaci finanční zátěže jsme všechny subjekty rozdělili podle režimu:
- Vyšší režim povinností, který dopadne na ústřední orgány státní správy a především na velké korporace ve většině regulovaných odvětví – 1 109 subjektů
- Nižší režim povinností, který dopadne na některé velké korporace a hlavně na střední společnosti (mezi 50 a 250 zaměstnanci) – 6 694 subjektů
Klasifikace vychází z evropských kritérií velikosti podniku, na které dopadá Zákon o kybernetické bezpečnosti, tedy na podniky větší než střední (nad 50 zaměstnanců nebo nad 10 milionů eur obratu či aktiv) a regulovaných služeb popsaných ve vyhlášce o regulovaných službách. V rámci této klasifikace nemohly být zohledněny malé podniky a mikropodniky, které mohou být regulací zasaženy také, pokud jsou součástí většího koncernu, skupiny či holdingu. Dostupná data z veřejných zdrojů totiž neumožňují tyto podniky snadno odhalit. Počet povinných subjektů tak bude významně vyšší, proto považujeme odhad nákladů za spíše konzervativní.
Struktura nákladových položek
Pro každou kategorii subjektů jsme definovali následující složky nákladů:
- Audit a gap-analýza: externí konzultanti, detailní posouzení současného stavu (benchmarking) a identifikace mezer ve shodě s požadavky nového Zákona o kybernetické bezpečnosti, který je transpozicí směrnice NIS 2.
- Technická opatření: pořízení/nevyhnutelné upgrady HW a SW (firewally, IDS/IPS, endpoint protection, VPN, segmentace sítí).
- Školení a interní procesy: příprava a provedení školení zaměstnanců, tvorba interní dokumentace, definice procesů (řetězec hlášení incidentů, RACI matice).
- Kontinuální dohled (SIEM/SOC): implementace nebo rozšíření SIEM platformy, SLA kontrakty na SOC-as-a-Service, nastavení eskalačních postupů.
- Provozní náklady: licenční poplatky, údržba a pravidelné audity, obnova certifikací.
Odhad jednotkových nákladů
Jednotkové náklady pro vyšší režim byly odhadnuty na základě benchmarků z obdobných projektů v EU (Německo, Belgie, Nizozemsko) a ve spolupráci s předními českými dodavateli bezpečnostních řešení. Pro nižší režim jsme aplikovali diskontní faktor vycházející z menší komplexity projektů.
Analýza nákladů zavádění povinností vyplývajících z nového ZKB
Předpoklady analýzy
Z dřívější analýzy Datarun “Na koho dopadne zákon o kybernetické bezpečnosti” jsme využili její výsledky, tedy seznam subjektů a jejich rozdělení na vyšší a nižší režim. Zároveň jsme vyřadili subjekty, které jsou státní či veřejnou správou.
Režim - Počet subjektů
Vyšší režim - 1 109
Nižší režim - 6 694
Poté jsme stanovili průměrné náklady v Kč na danou část zavedení organizačních i technických bezpečnostních opatření. Jde o průměr. Samozřejmě některé subjekty mají již kyberbezpečnost zajištěnou na vysoké úrovni, zatímco jiné začínají prakticky od nuly. Rozšíření záběru na více než patnáctinásobek současného režimu pochopitelně znamená, že do regulace se dostanou podniky, které o tom nyní ani nevědí. Dle našeho odhadu půjde hlavně o různé výrobní či potravinářské firmy.
Položka - Vyšší režim (Kč) - Nižší režim (Kč) - Poznámka
Prvotní audit a gap‑analýza - 1 500 000 - 750 000 - externí konzultanti
Technická opatření - 5 000 000 - 2 000 000 - HW/SW, síťové prvky, zabezpečení
Školení a interní procesy - 1 250 000 - 500 000 - školení, procesní dokumentace
Nastavení kontinuálního dohledu - 2 250 000 - 1 000 000 - SIEM, SOC služby, smlouvy SLA
Celkem jednorázově - 10 000 000 - 3 750 000
Roční provozní náklady - 2 000 000 - 1 000 000 - pravidelná údržba, licence, audit
Výpočet celkových nákladů
Jednorázové náklady na compliance s pravidly nového zákona o kybernetické bezpečnosti spočívají v úvodním zavedení potřebných pravidel, jak jsme uvedli výše. Jsou kombinací investičních nákladů na technická opatření a personálních a dalších nákladů na zavedení organizačních opatření, audit, gap analýzu a podobně.
Režim - Počet subjektů - Náklady na firmu (Kč) - Celkem (mld. Kč)
Vyšší - 1 109 - 10 000 000 - 11,09
Nižší - 6 694 - 3 750 000 - 25,10
Součet - 7 803 - - 36,19
Roční provozní náklady jsou odhadem průměrné sumy, kterou budou muset dané organizace zaplatit za licence, obnovu, mzdové prostředky či prostředky na outsourcing, řešení případných kyberbezpečnostních incidentů, pravidelná školení.
Režim - Počet subjektů - Roční náklady na firmu (Kč) - Celkem (mld. Kč)
Vyšší - 1 109 - 2 000 000 - 2,22
Nižší - 6 694 - 1 000 000 - 6,69
Součet - 7 803 - - 8,91
Citlivostní analýza (±20 %)
Scénář - Jednorázové náklady (mld. Kč) - Roční náklady (mld. Kč)
-20 % (optimistický) - 28,95 - 7,13
Základní (0 %) - 36,19 - 8,91
+20 % (pesimistický) - 43,43 - 10,69
Závěr
Nemůžeme a ani nechceme zpochybňovat, že kybernetická bezpečnost je ve dvacátých letech jednadvacátého století nutná součást řízení prakticky každé organizace, asi jako protipožární předpisy. Množství kyberútoků a sofistikovanost útočníků je hrozbou, se kterou musí počítat management každého subjektu. Míra ransomwarových útoků (tedy útoků, kde dojde k zašifrování klíčových dat subjektu či omezení jeho činnosti a útočníci požadují výkupné za zaslání hesla k dešifrování) roste, stejně tak jako útoků na důležité součásti státu, jako jsou nemocnice či organizace jako Ředitelství silnic a dálnic.
Způsob zavádění nových povinností je těžké srovnávat s některými z předchozích “kobercových” regulačních náletů na velké množství subjektů, jako je GDPR. Nařízení o ochraně osobních údajů umožňuje vytváření de facto formulářových řešení pro dané organizace, zatímco kybernetická bezpečnost vyžaduje individuální přístup, především identifikaci aktiv, analýzu rizik, vytvoření bezpečnostní dokumentace, stanovení jednotlivých rolí a významné zapojení vrcholového managementu (který je navíc ze zákona za zavádění opatření nakonec odpovědný).
Datarun zároveň upozorňuje, že kromě samotných požadavků vyplývajících z evropské směrnice je v novém zákoně pro část regulovaných subjektů přítomná i řada lokálních požadavků nad rámec evropské legislativy. Jde především o “mechanismus bezpečnosti dodavatelského řetězce”, tedy povinnost některých subjektů (jde hlavně o státní organizace, velké energetické společnosti, velké telekomunikační operátory a některé subjekty v odvětví dopravy) hlásit dodavatele do určité části své infrastruktury a možnost státu tyto dodavatele omezit či zakázat. Jakkoli považujeme tento nástroj za důležitý, apelujeme na politickou reprezentaci, která bude o rozsahu i uplatňování těchto opatření rozhodovat, aby byla maximálně zdrženlivá. Již samotná opatření z nového zákona o kybernetické bezpečnosti budou pro tyto subjekty výrazně nákladná a řadu rizik, která stát vnímá, si organizace vyřeší díky tomu samy.
Nový Zákon o kybernetické bezpečnosti bude každopádně znamenat i velký nápor na lidské zdroje na úrovni státu i povinných subjektů. Pracovníky s požadovanou kompetencí bude navíc požadovat najednou velké množství soukromých i státních entit příští rok, kdy budou muset povinné subjekty zavádět bezpečnostní opatření a plnit compliance požadavky. Nedostatek lidských zdrojů vnímáme zřejmě jako největší riziko nové regulace, které spočívá především v tom, že může dojít k spoléhání na dodavatele bez potřebných zkušeností a praxe a vytvoření pocitu falešného bezpečí a compliance.