Revize kyberbezpečnostních pravidel EU - víc kontroly a víc moci pro Evropskou komisi

Evropská komise má sice od členských států pokyn spíše snižovat regulační zátěž, ale reálné návrhy tomu spíše neodpovídají. Je fakt, že počet kybernetických útoků v posledních letech reálně roste, ale zda je nutné samotnou komisi mocensky posílit bude jistě předmětem mnoha měsíců či let vyjednávání na úrovni Rady EU i Evropského parlamentu, které nakonec musí konečnou verzi schválit. Ta může být od návrhu dost odlišná.

Zátěž pro byznys

Dnes platný Akt o kybernetické bezpečnosti nemá příliš velký vliv na byznys. Přináší institucionální zakotvení evropské agentury pro kyberbezpečnost ENISA a umožňuje přijímání evropských certifikačních rámců pro kyberbezpečnost v různých odvětvích. To v současné době nefunguje, například rámec pro cloudové služby už se vyjednává řadu let a není možné nalézt shodu nad jeho finální podobou.

To by měla revize mimo jiné změnit. Lhůta na vytvoření certifikačního schématu ke schválení je stanovená na jeden rok a soulad s certifikací by mohl sloužit i jako demonstrace shody s další legislativou, jako je směrnice NIS 2 (v českém případě zákon o kybernetické bezpečnosti).

Největší změnou v novém návrhu je však nový rámec pro řízení rizik v dodavatelských řetězcích ICT, který v původní legislativě vůbec neexistoval. Návrh dává Evropské komisi pravomoc identifikovat takzvané „vysoce rizikové dodavatele“ (High-Risk Suppliers) a země, které představují kyberbezpečnostní hrozbu. Pokud by byl určitý dodavatel takto označen, mohlo by to znamenat zákaz používání jeho technologií v kritických systémech nebo omezení jeho účasti v některých projektech a veřejných zakázkách. Kritéria pro takové označení mohou zahrnovat například právní prostředí v zemi původu dodavatele nebo riziko politického vlivu cizí vlády na technologickou firmu.

Tento mechanismus může mít zásadní dopady na podnikatelské prostředí. Pokud Evropská komise označí určité technologické firmy nebo celé jurisdikce za rizikové, budou podniky nuceny své dodavatelské řetězce přehodnotit a v některých případech zcela reorganizovat. To může znamenat nutnost nových investic do případné výměny technologií, komplikované právní změny ve smlouvách s dodavateli a potenciální přerušení spolupráce s dlouhodobými partnery.

Regulace dodavatelských řetězců navíc může mít domino efekt. Velké společnosti působící v regulovaných sektorech budou muset nové požadavky přenášet na své subdodavatele, aby splnily evropská bezpečnostní pravidla. To znamená, že i firmy, které samy přímo nespadají pod přísnou kybernetickou regulaci, se mohou ocitnout pod tlakem nových compliance požadavků. Typickým příkladem mohou být menší technologické firmy nebo startupy dodávající software či digitální komponenty větším společnostem.

Nevídaná centralizace moci

Povinnosti se mají podle návrhu dotknout sektorů regulovaných směrnicí NIS 2, jako je energetika, telekomunikace, výrobní průmysl, potravinářství, chemie, veřejná správa, telekomunikace a další digitální služby, doprava a další. V těchto odvětvích mohou regulované firmy čelit povinnosti postupně vyřadit určité technologie ze svých systémů či zavést k snížení rizika opatření, která má předepsat delegovaným aktem Evropská komise.

Komise by podle návrhu získala pravomoc provádět celoevropské posouzení rizik ICT dodavatelských řetězců, označovat klíčová technologická aktiva nebo vydávat opatření omezující používání technologií od vysoce rizikových dodavatelů.

Takový model představuje výrazný posun směrem k centralizovanému řízení kybernetické bezpečnosti v EU. Zatímco dosud hrály klíčovou roli především národní regulační orgány členských států, nový návrh posiluje přímý vliv evropských institucí. Pro firmy to znamená, že rozhodnutí o technologických rizicích může být přijímáno na úrovni EU bez ohledu na specifické podmínky jednotlivých trhů.

Právě tato centralizace regulatorní moci na úrovni Evropské komise bude určitě zevrubně diskutovánapři vyjednávání v Parlamentu i Radě. Právo Komise označit některé státy či dodavatele za vysoce rizikové se prakticky rovná sankčnímu režimu na příslušné firmy či státy. To, že by o takovém opatření rozhodovali úředníci Komise by bylo opravdu nevídané v porovnání s reálnými sankcemi, které je nutné schvalovat jednomyslně na úrovni nejvyšší politické reprezentace členských států, což je úplně jiná liga. 

Evropská komise argumentuje tím, že jednotný přístup k řízení rizik v dodavatelských řetězcích posílí bezpečnost evropské digitální infrastruktury a sníží závislost na rizikových technologiích. Zda jí členské státy dají takto široké pravomoci je otázka. Pro byznys to určitě přijatelné nebude - po celou dobu vyjednávání o obdobném národním opatření tlačil na to, aby o případném vyřazování či omezování dodavatelů rozhodovala vláda a politici a nikoli úředníci.

Z hlediska byznysu to zároveň vytváří novou vrstvu regulatorní nejistoty. Pokud bude Evropská komise schopna relativně rychle označit určité technologie nebo dodavatele za rizikové, mohou být firmy nuceny reagovat v krátkém časovém horizontu. 

Celkově tak revize aktu o kybernetické bezpečnosti představuje další krok v postupném rozšiřování evropské digitální regulace. Z pohledu bezpečnosti může být snaha o kontrolu technologických dodavatelských řetězců pochopitelná. Z pohledu podnikatelského prostředí ale existuje reálné riziko, že nové požadavky zvýší náklady na compliance, zpomalí technologické inovace a posílí centralizovanou regulaci digitální ekonomiky na úrovni Evropské komise. Pokud se tento trend bude dále prohlubovat, může se právě regulatorní komplexita stát jednou z největších překážek pro technologické firmy působící v Evropě.