Fundovaná analýza ekonomických dopadů (takzvaná RIA) na firmy ani veřejnou správu neexistuje. Směrnice NIS2 je vlastně hygienická stanice kybernetiky. Ve své podstatě jde o snahu zavést do firem podobná pravidla, jaká známe z hygieny. Zahrnuje pravidelné školení zaměstnanců, najmutí pracovníků odpovědných za „kyber“ a mnoho „papírování“. Cíl je jednoduchý. Pomoci firmám adoptovat alespoň základní kyberbezpečnostní návyky. Až sem to dává všechno smysl.
Nebyli bychom to ale my, Češi, kdybychom si zavedení normy specificky neohnuli a nezpřísnili nad rámec Evropské unie. Česká cesta tak na rozdíl od sousedních zemí zahrnuje i něco, co se jmenuje mechanismus prověřování bezpečnosti dodavatelského řetězce. Zní to složitě, ale fakticky jde o oprávnění státu zakázat firmám jakéhokoli jejich dodavatele z důvodu národní bezpečnosti. Třeba když jeho domovská země nemá dostatečnou úroveň demokracie, a tudíž by jeho produkty mohly, například v prvcích kritické infrastruktury státu, představovat časovanou bombu. I takový požadavek státu by se dal pochopit, pokud by se o něm diskutovalo věcně a racionálně.
Bohužel se celá debata stala poněkud bizarní. Pokud dnes někdo nejásá z nápadů státu regulovat vše a všude na základě neomezených pravomocí jednoho úřadu, je označen div ne za agenta cizí moci. Z některých politiků se dokonce dělá štvaná zvěř. Jenom proto, že se odváží říct nikoli, že stát nemá mít některé pravomoci, ale že by je neměl mít koncentrované na jednom místě. Což mimochodem vytváří významná korupční rizika.
Zvláštní je, že fanatičtí zástupci takzvaného „deep state“ doposud nepředložili žádnou fundovanou analýzu dopadů obávané regulace. Zato každou analýzu soukromé sféry zcela strhali. Například renomovaná mezinárodní firma Frontier Economics (patří do top 5 evropských konzultačních firem) ve své analýze dospěla k závěru, že pouze dopady zavedení směrnice NIS2 přijde české firmy zhruba na 42,5 miliardy korun. Jde zejména o náklady na nové zaměstnance a administrativní vypořádání s jejími požadavky. Průzkum byl v Česku onálepkován, neboť ho v Německu údajně sponzorovala čínská firma. Mobilní operátoři spočítali, že náklady na tupé vyřazení čínských dodavatelů by představovaly 18 miliard korun. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) výpočet znevěrohodnil s poukazem, že nestojí na jednotné metodice. S vlastní fundovanou metodikou však nepřišel. Konzultační firma Deloitte zveřejnila letos v říjnu další průzkum. V něm odhaduje náklady na zavedení povinností ZKB na až desítky miliard korun. Zde prozatím nedošlo k „onálepkování“, a tak se dělá, že průzkum jakoby neexistuje. Ve výsledku je jedno, jestli dopady na firmy budou deset, dvacet, anebo 60 miliard korun. Zákonodárce by se měl o dopady regulace zajímat vždy, když je evidentní, že náklady budou obrovské. Cílem nemusí být regulaci osekat jen proto, aby to nic nestálo. Znalost dopadů může být třeba významným vodítkem pro správné nastavení mechanismu rozhodování. Třeba aby o regulaci s vysokými potenciálními náklady pro společnost rozhodovala vláda nesoucí politickou odpovědnost, a nikoli jediný úředník z Brna. Bezpečnost je velmi seriózní téma a zaslouží si věcnou a trpělivou debatu. Nálepkování vzájemných postojů zde nemá místo.
Jiří Grund, prezident Asociace provozovatelů mobilních sítí
•