Kyberzákon: Nové povinnosti, rizika, nebo příležitost pro malé a střední firmy?

V současnosti projednávaný zákon o kybernetické bezpečnosti (nachází se před finálním schválením v Poslanecké sněmovně, pozn. red.) , vycházející z evropské směrnice NIS2, představuje největší změnu v oblasti regulace kyberbezpečnosti v České republice za poslední dekádu.

Klíčovým rysem je dramatické rozšíření okruhu subjektů, na které by se měl vztahovat. Dosavadní právní úprava dopadala pouze na několik stovek organizací. Oproti tomu se nový zákon dotkne až 12 000 subjektů a firem v České republice.

Hlavním cílem se tak stane sektor malých a středních podniků, který podle různých
ekonomických analýz generuje téměř 60 procent HDP.

Náklady a byrokratická zátěž

Mezi největší obavy patří náklady spojené s implementací opatření, které mohou u menších firem znamenat existenční problémy. Čeká je totiž řada nových povinností. Například zavést preventivní opatření, pravidelně provádět audity či hlásit incidenty do 24 hodin od jejich zjištění. Musí také zajistit kybernetickou odolnost dodavatelských řetězců. To vše vyžaduje značné finanční i lidské zdroje.

Malé a střední podniky se budou muset vypořádat s finančními nároky. A nejen  s nimi, ale také s personálními omezeními. Dlouhodobý nedostatek kvalifikovaných IT odborníků na českém trhu tuto situaci ještě komplikuje.

Navíc, podniky upozorňují, že část směrnice NIS2 je pro ně nejasná a řada společností nemá kapacity na interpretaci legislativy bez externích poradců. Více, než třicetinásobné rozšíření okruhu subjektů, který tyto konzultace bude bezesporu potřebovat, tak logicky vytvoří neúnosný tlak i na tyto služby.

Zásadní otázkou zůstává, zda přijetí kyberzákona povede ke skutečnému posílení kybernetické odolnosti firem. Anebo spíše jen k jejich dalšímu administrativnímu zatížení.

Je nesporné, že relativně bezpečný virtuální svět, který známe z dob zhruba před 10 lety, se například s mezinárodní pozicí Ruska a jeho kybernetickou válkou pravděpodobně už nikdy nevrátí. Jestliže existují útočníci, kteří se neštítí zaútočit na veřejné instituce, nebo i nemocnice, jak jsme v nedávné minulosti viděli, je debata o drastických opatřeních zcela na místě.

Z každé bitvy vyjde vítěz

Více regulace může sice znamenat dočasné oslabení konkurenceschopnosti sektoru malých a středních firem, pokud se významně nezvýší podpora ze strany státu. Příležitosti však
přece jen existují.

Firmy, které se adaptují rychleji a implementují silné bezpečnostní standardy, mohou získat významnou konkurenční výhodu. A tu logicky mohou proměnit v budoucí zisky.

Klíčové tedy bude, jak rychle a efektivně dokáže stát podpořit podnikatele při adaptaci na nové podmínky. A také, zda bude existovat nějaký „sektorový dotační program“, který by snížil ekonomickou zátěž firem. Případně zda regulace případně projde úpravami přizpůsobenými zvlášť pro menší subjekty.

Do roku 2026, kdy by zákon měl nabýt účinnosti, bude nutné, aby firmy nejen pochopily nové požadavky, ale také se na ně strategicky připravily…

Autor je vedoucí partner advokátní kanceláře Haven Advisory.