Článek
Článek si také můžete poslechnout v audioverzi.
Před měsícem se spolek Jagello 2000, poskytovatel marketingových služeb pro firmy z obranného průmyslu, stal terčem kybernetického útoku. „Došlo k tomu během komunikace s naším zahraničním partnerem,“ líčí šéf Jagella Zbyněk Pavlačík.
Partner mu ohlásil zaslání e-mailu s přílohou, pošta přišla, vypadala standardně, jen příloha nešla otevřít. Jak se později ukázalo, mail byl nositelem malwaru a přišel od neznámého odesílatele.
„Dnes víme, že cílem bylo převzít kontrolu nad našimi zařízeními a odesílat z nich data. Zpětně mi došlo, že útočník musel naši komunikaci předtím sledovat. Až z toho mrazí,“ říká šéf spolku, který je běžně v kontaktu se zbrojovkami, bezpečnostními složkami a úřady několika států.
Kyberkriminalita roste
Vyšetřování v Jagellu pokračuje, je ale jasné, že nešlo o mimořádný incident. Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) řešila loni policie u nás 19 tisíc trestných činů v oblasti kyberkriminality. Šlo o šestiprocentní meziroční nárůst.
Podle analýzy bezpečnostní divize počítačového gigantu IBM stoupla loni ve světě průměrná škoda firem kvůli úniku dat na rekordní výši 4,45 milionu dolarů (103,5 milionu korun). Za poslední tři roky jde o 15procentní růst. Nejvíc za kyberútoky platí zdravotnický sektor – i v Česku byly napadeny nemocnice v Benešově nebo v Brně.
Podle statistik se s kyberkriminalitou setkaly téměř dvě třetiny soukromých firem, nejčastějším motivem je vydírání. Roste i riziko ohrožení národní bezpečnosti, úřady v Evropě zaznamenaly útoky ruských hackerů na dopravní i energetickou infrastrukturu.
Srazit neblahý trend má nový zákon o kybernetické bezpečnosti, který právě projednává Sněmovna. Vychází z eurounijní směrnice, která má zvýšit odolnost jednak veřejného sektoru, jednak firem z oborů důležitých pro chod společnosti. Typicky z energetiky, telekomunikací, potravinářského či chemického průmyslu, strojírenství, zdravotnictví a nakládání s odpady.
Jenomže způsob, jak má být evropská směrnice vložena do českého práva, vyvolal hlasitou kritiku. Podle ní nová regulace přináší pro firmy přílišnou zátěž a jde zbytečně nad rámec evropské direktivy.
Tisíce regulovaných firem
Navrhovaný zákon zavádí pro všechny firmy nad 50 zaměstnanců řadu nových povinností. Nestačí jim jen nakoupit antivirové technologie. Firmy mají provádět analýzy rizik, nastavit firemní bezpečnostní procesy, vést evidenci o aktualizaci softwarů či školit vedení i personál. A jmenovat odpovědné osoby, někde i speciální manažery, architekty a auditory kybernetické bezpečnosti.
Středně velké firmy s 50 až 250 zaměstnanci či s obratem nad 260 milionů korun ročně mají splňovat mírnější požadavky. Podniky nad 250 zaměstnanců nebo s obratem nad 1,25 miliardy korun pak mají podmínky přísnější.
Tvůrci zákona předpokládají, že počet nově regulovaných subjektů stoupne asi patnáctinásobně na šest tisíc. Většinu budou tvořit soukromé firmy, z nichž asi tisíc má spadnout do přísnější formy regulace.
Detailní povinnosti firmám neurčuje samotný zákon, ale prováděcí vyhlášky. Zákon například stanoví, že se regulace týká 19 odvětví a 60 druhů služeb. Vyhláška pak rozsah upřesňuje. Například v telekomunikacích mají být regulovány všechny firmy bez ohledu na velikost, tedy včetně „mikrofirem“.
Podle navrhované vyhlášky se nové povinnosti týkají také všech licencovaných výrobců elektřiny. V praxi tedy i všech firem, které si pořídily pro vlastní spotřebu fotovoltaiku o velikosti, jež vyžaduje licenci od Energetického regulačního úřadu. Což mohou být třeba pekárny, autosalony, pily a obchodní centra. Nebo provozovatelé veřejných dobíječek pro elektromobily.
Větší hráči mají dokládat plnění kyberbezpečnostních parametrů nejen u sebe, ale i v dodavatelském řetězci. Podle mluvčí Hospodářské komory Markéty Svobodové je mechanismus prověřování dodavatelského řetězce čistě národní úpravou nad rámec evropských požadavků.
„Dopadne nejen na velké firmy v sektorech energetiky a telekomunikací, ale proteče i na jejich dodavatele, což jsou často střední a malé regionální společnosti,“ vysvětluje. Regulace tak podle ní nepřímo dopadne na další tisíce dodavatelských subjektů.
Návrh kyberbezpečnostní vyhlášky uvádí na desítkách stran stovky opatření, jež mají firmy plnit. Řada jich na to nemá personál a bude muset najímat nové experty.
„Kyberbezpečnostních manažerů budou potřeba tisíce a ti lidé v Česku prostě neexistují. Toto není GDPR, kde zvládne navrhnout procesy a zařídit soulad s nařízením každý lepší právník,“ upozorňuje mluvčí Hospodářské komory.
NÚKIB: nejnutnější minimum
Sám NÚKIB výhrady odmítá. „Podnikatelský sektor byl zahrnut do procesu přípravy zákona a na základě konzultací s ním už došlo k řadě úprav zohledňujících jeho požadavky,“ říká mluvčí úřadu Alžběta Dvořáková, podle níž provedené ústupky výslovně ocenil třeba operátor O2.
„I proto návrh obsahuje řadu významných ulehčení pro regulované subjekty, například rozdělení povinností na vyšší a nižší režim nebo pravidlo přiměřenosti, které znamená, že si firma nebo instituce sama rozhodne, které opatření se jí zkrátka vyplatí a je pro ni relevantní,“ dodává.
Mírnější režim podle ní představuje absolutní bezpečnostní minimum, „které očekáváte i od hotelu na dovolené“.
Množství regulovaných subjektů je podle ní dáno evropskou směrnicí. Tuzemské pojetí mechanismu prověřování dodavatelského řetězce podle NÚKIB dopadne nejvýš na 150 firem, nikoliv na tisíce.
Zpráva o hodnocení dopadů nového zákona (tzv. RIA) vyčíslila průměrné náklady na nová bezpečnostní opatření v rozmezí 800 tisíc až 1,5 milionu korun na jeden zabezpečovací systém. U velkých podniků to ovšem znamená miliardové výdaje.
Desítky ajťáků pro ČEZ
Například ve skupině ČEZ by se regulace podle současného návrhu týkala 47 dceřiných společností. „Aktuálně odhadujeme náklady okolo dvou miliard korun za pět let. Jsou v tom zahrnuty i náklady na zhruba 75 až 85 nových juniorních, seniorních i expertních pracovních míst, která budeme muset pro plnění požadavků nového zákona zřídit,“ říká mluvčí české energetické jedničky Ladislav Kříž.
Zcela jasno podle něj bude až po schválení finální podoby zákona a zejména prováděcích vyhlášek.
V ocelářské skupině Moravia Steel mají podle mluvčí Petry Mackové nové povinnosti dopadnout na Třinecké železárny, Energetiku Třinec, Strojírny a stavby Třinec i další dcery. „Celkové náklady pro naši skupinu mohou znamenat až stovky milionů korun. Další náklady, jejichž výši zatím nelze předvídat, ale vyplynou z takzvaného mechanismu bezpečnosti dodavatelského řetězce. A případně i z povinností vyplývajících z tzv. zajištění dostupnosti strategicky významné služby z území České republiky, jejíž parametry některé firmy ve skupině budou splňovat,“ říká mluvčí.
„Souhlasíme s tím, že zajištění vyšší míry bezpečnosti strategických služeb je nutné, ale takto masivní regulace přináší velké provozní náklady v období, kdy průmysl v České republice prochází ekonomickou krizí. Obáváme se, že při přípravě regulace i přes opakované varování a připomínky ze strany Svazu průmyslu a dopravy nebyly zohledněny ekonomické dopady na firmy,“ dodává Petra Macková.
Zatímco velké skupiny propočítávají dopady, menší často o nově navrhovaných povinnostech moc nevědí. „Kyberbezpečnostní zákon jsme zatím neřešili, nevím, jak nás ovlivní,“ říká pro SZ Byznys šéf pekárenské firmy Marlenka Nshan Avetisjan.
Marlenka by podle současného návrhu do regulace spadla, protože má licencovanou solární elektrárnu. Firma sama má s kybernetickým útokem zkušenost: „Dvakrát jsme už byli napadeni, hackeři nám zachycovali a přesměrovávali faktury – měnili na nich čísla účtu, aby náš partner posílal peníze třetí straně. Kyberbezpečnost je třeba stále zlepšovat, my do ní také systematicky investujeme. Ale o navrhovaném zákoně moc nevíme,“ přiznává Avetisjan.
Další oslovený manažer Václav Rešetar z firmy Auto Jarov považuje nasazení lepších bezpečnostních standardů a nastavení jednoznačných firemních procesů za nutné, byť to s sebou nese vyšší náklady. Zákon zpřísňující ochranu proti kyberzločinu je podle něj správný, konkrétní návrh nové legislativy ale nechce zatím hodnotit.
Před přílišným rozsahem nových povinností varují zaměstnavatelské asociace. Ředitel sekce digitální ekonomiky a technologií Svazu průmyslu a dopravy Ondřej Ferdus soudí, že zákon v současné podobě může omezit konkurenceschopnost mnoha firem a zhoršit efektivitu i stabilitu podnikání. Nové povinnosti je podle něj třeba nastavovat realisticky, s ohledem na různé typy a velikosti firem.
Ochrana ano, ale přiměřená
Kybernetické zabezpečení se podle Svazu průmyslu a dopravy v českých firmách zlepšuje, přesto zaměstnavatelské asociace souhlasí s posilováním bezpečnosti i kvůli rozvoji nových technologií.
„V některých aspektech návrh zákona objektivní potřebě odpovídá, další oblasti ale podle našeho názoru vyžadují diskuzi. Například bychom rádi viděli větší zapojení sektorových regulátorů do tvorby prováděcích vyhlášek. Tím by se zvýšila transparentnost a zajistilo se, že budou povinnosti přizpůsobeny specifickým potřebám jednotlivých odvětví,“ vysvětluje Ferdus.
„Na evropské úrovni se teď řeší závěry zpráv Enrica Letty o jednotném trhu a Maria Draghiho o konkurenceschopnosti Evropy. Obě říkají, že problém je přeregulovanost, bariéry na vnitřním trhu, zvláštní národní úpravy, které nutí v daném členském státě firmy do vyšších nákladů na jejich plnění, a přehnaný reporting,“ prohlásila Markéta Svobodová z Hospodářské komory.
„Měli bychom se na nově vznikající zákony dívat optikou těchto dokumentů. I proto požadujeme, aby se do tvorby podzákonných předpisů, kde jedna věta může znamenat rozdíl mezi náklady na plnění povinností v řádu desítek milionů, zapojila vláda,“ dodala.
Zaměstnavatelé se pozastavují nad tím, že novou legislativu chystal sám NÚKIB bez zapojení dalších orgánů státní správy. Vadí jim také, že je zákon psán obecně a konkrétní povinnosti stanoví až vyhlášky NÚKIB. „Snižuje to předvídatelnost pro firmy,“ říká Ferdus.
Podle mluvčí NÚKIB je to standardní postup. „Obecně regulaci stanovují zákony a vyhlášky je zpřesňují. To, že je návrh v pořádku, potvrdila i Legislativní rada vlády,“ říká Alžběta Dvořáková.
Podle ní stejné nastavení vztahu zákona a vyhlášky obsahuje i současný zákon o kybernetické bezpečnosti už od roku 2015, model se osvědčil, politici ani podnikatelé ho nerozporovali, takže je logické v systému pokračovat. Pro přípravu firem na novou právní regulaci dělá NÚKIB maximum, už před dvěma lety spustil osvětový portál a denně odpovídá na dotazy k tématu, zdůrazňuje mluvčí.
Zástupcům byznysu ale dávají za pravdu i zákonodárci, u nichž nový zákon narazil.
Ne úřad, ale vláda
Podle šéfa Hospodářského výboru Ivana Adamce (ODS) chybí návrhu z dílny NÚKIB úplné posouzení dopadů.
„Pravomoci v oblasti kyberbezpečnosti by měly být jasně vymezeny zákonem a vycházet z vládního zadání. V demokratickém státě by klíčová rozhodnutí měla přicházet od politické reprezentace, a ne být zcela v kompetenci úředníků. Nyní řešíme, jak návrh změnit, aby regulace byla vedena na vládní úrovni a NÚKIB plnil svou činnost podle vládních nařízení. Nemám nic proti NÚKIB, ale strategická rozhodnutí by měla být v rukou politiků a vlády,“ řekl Adamec.
Zaměstnavatelské asociace i firmy souhlasí s tím, že úroveň kyberbezpečnosti je třeba zvýšit, což Adamec potvrzuje: „Naším cílem není oslabovat zákon, nějaká obrana nutná je. Zajištění bezpečnosti s sebou nese náklady, a proto je důležité, aby vládní instituce vedly tento proces s ohledem na ekonomické a společenské dopady. Klíčové rámce má určovat vláda, což by zajistilo konzistentní přístup. Chceme, aby zákon byl účinný a aby zahrnoval opatření proti technologiím z rizikových zemí,“ dodal poslanec.
Sněmovna přerušila projednávání kyberbezpečnostního zákona po prvním čtení. „Budeme jednat o tom, jak ho formou pozměňovacího návrhu upravit, budeme o tom komunikovat i s NÚKIB,“ uzavírá Adamec a doufá, že se do druhého čtení koncem listopadu najde shoda na kompromisu, který uspokojí všechny zúčastněné.