Cenovka ve výši 1,7 miliardy eur či aktuálně téměř 44 miliard korun. To je částka, kterou si podle mezinárodní konzultantské společnosti Frontier Economics vyžádá implementace evropské směrnice NIS2 a návrh nového kybernetického zákona, na jehož finální podobě pracuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jedná se například o náklady vyšší než plánované české výdaje na investice do vědy, výzkumu a inovací pro rok 2023 nebo třeba 145 kilometrů nových dálnic. Nedávno uzavřené připomínkové řízení k zákonu naznačilo, že legislativní práce zdaleka nejsou u konce. Spíše kritické jsou i závěry zmíněné analýzy. Co by návrh v současném znění znamenal pro tuzemskou ekonomiku?
Co se týče nákladů nezbytných na samotnou implementaci směrnice NIS2, jde v podstatě o daň za to, že žijeme ve světě, který bez digitálních technologií není moc schopen fungovat. Frontier Economics ve své zprávě předpokládá, že jen samotná implementace směrnice NIS2 vyjde zhruba na 1,7 miliardy eur s tím, že dopady na mezinárodní obchod odhaduje na dalších asi 100 milionů. Tato částka navíc nezatíží všechna hospodářská odvětví, stejně tak ani kybernetický zákon. V zasažených odvětvích ale můžeme počítat s dominovým efektem – zvýšení nákladů na compliance povede ke zvýšení cen v zasažených i návazných segmentech. Nemám tolik strach o velké hráče, spíš o malé a střední podniky, které tvoří páteř české ekonomiky. Nepřekvapilo by mě, pokud pro některé budou nová pravidla a s nimi spojené výdaje důvodem, proč z už tak složitého českého trhu odejít navždy.
Jak už ale bylo řečeno, jsou to náklady, kterým se nevyhneme. Další kategorie nákladů souvisí s takzvaným Mechanismem hodnocení rizikovosti dodavatelů, kterým NÚKIB jde nad rámec původní směrnice. Všichni se shodneme, že kyberbezpečnost je důležitá, na druhou stranu však musí být funkční – a to jak z hlediska obrany, tak z hlediska implementovatelnosti. Aktuální návrh má v tomto směru jisté mezery, na což mohou doplatit koncoví uživatelé, firmy i národní ekonomika. Přílišná regulace a nadbytečná nařízení povedou k odlivu zahraničních investorů, kteří nebudou chtít riskovat utopené náklady. Ze stejného důvodu skončí některá již navázaná obchodní partnerství českých firem.
Tím se ale spirála problémů neuzavírá. Další „obětí“ regulace bude zahraniční obchod. Frontier Economics vyčíslila očekávané ztráty na straně exportu v rámci EU na 291 milionů eur a mimo EU na dalších 200, tj. téměř 12 miliard korun při stávajícím kurzu. To není zrovna málo. Logickým důsledkem je odliv importérů z mimoevropských zemí. Když uvážíme, že jednou z hlavních podmínek efektivní kyberbezpečnosti je volný trh, díky kterému je možné dostatečně diverzifikovat využívané technologie, staví nás to do složité pozice. Pro některé dodavatele bude totiž výhodnější, aby před státy EU dali přednost z jejich pohledu perspektivnějším trhům.
Na co se tedy připravit? Nedostatek konkurence povede k eskalaci cen v zasažených odvětvích, především v energetice, zdravotnictví nebo telekomunikacích. Poslední zmíněný segment změny pocítí jako jeden z prvních, a například Oxford Economics už teď počítá s tím, že nová pravidla zahrnující zákazy pro dodavatele vyjdou ČR do roku 2035 na více než 400 milionů eur čili 10 miliard korun. Dalším důsledkem bude odstřižení českých firem od posledních inovací, podobně jako když zvedáte dovozní cla. Podle Frontier Economics je to minus dalších 137 milionů eur (3,3 miliardy korun) pro hrubý domácí produkt. A je tedy nasnadě otázka: Není to všechno příliš velká daň za něco, co po nás nikdo nevyžaduje?
Expert v oblasti kybernetické bezpečnosti, bývalý ředitel odboru kybernetické bezpečnosti a koordinace ICT na ministerstvu vnitra