Evropská unie po zkušenostech s pandemií, energetickou krizí či kybernetickými útoky přijala nová pravidla pro ochranu kritické infrastruktury. Česko je nyní převádí do praxe. Podle Michala Moroze, výkonného ředitele Asociace kritické infrastruktury ČR, jde o zásadní změnu přístupu. Místo ochrany jednotlivých objektů se pozornost přesouvá k zajištění fungování klíčových služeb i v době krizí.
Česko v současné době implementuje nová evropská pravidla pro ochranu kritické infrastruktury. A to skrze zákon o kritické infrastruktuře. Týkají se organizací, které zajišťují klíčové služby pro fungování státu a společnosti – například energetika, doprava, bankovnictví, vodárenství či zdravotnictví. Jaké největší změny a přínosy legislativa obsahuje?
Hlavní změnou je, že stát se na kritickou infrastrukturu přestává dívat optikou chráněných objektů. Nově na ni nahlíží především z pohledu zachování základních služeb, které poskytuje. To znamená, že uplatňuje principy řízení rizik a business continuity managementu, tedy řízení kontinuity činností. Subjekty jsou tak vedeny k tomu, aby se zamyslely nad tím, jak samy mohou předcházet hrozbám a jak na ně v případě jejich vzniku co nejrychleji reagovat a zmírňovat jejich dopady. Cílem je co nejrychlejší obnova poskytovaných služeb.
Za největší pozitivum považuji něco, co není ani tak přínosem samotné evropské legislativy, jako spíše její české transpozice. Poprvé totiž nebudou mít dotčené subjekty pouze povinnosti, jak tomu bylo doposud. Dosavadní legislativa jim ukládala výhradně povinnosti a ani nová evropská směrnice na tom nic nemění. Český zákon se však odlišuje tím, že subjektům přiznává také celou řadu práv, která mohou využít. V případě krizových stavů tak budou moci čerpat různé výhody a oprávnění, jež nejsou běžným podnikatelům dostupné.
Můžete uvést nějaký příklad těch práv? Co konkrétně se jim díky tomu otevře a nabídne v případě krizových situací?
Určitě. Klíčové je, že mohou požádat o přednostní přístup ke službám ostatních subjektů, tedy v podstatě mezi sebou navzájem. Bude-li například nedostatek zemního plynu, což jsme zažili v nedávné minulosti, mohou subjekty kritické infrastruktury požádat stát o to, aby byly přednostně zásobovány. Úplně stejně to platí u jakékoli komodity, jako je elektřina, pohonné hmoty, ale i telekomunikační služby a další. Pokud by byly nedostatkové nebo nedostupné, existuje možnost požádat o přednostní přístup a přednostní zásobování.
Druhým zásadním posunem a důležitým právem je skutečnost, že subjekty kritické infrastruktury jsou nově zařazeny do systému státních hmotných rezerv. Pak je tam celá řada dalších oprávnění, která vycházejí ze zkušeností s covidem nebo jinými mimořádnými událostmi, například umožnění přístupu do uzavřených oblastí a další výhody.
Když to převedeme do praxe, co by teď měly firmy udělat? Kdy se musí novým pravidlům přizpůsobit?
Je potřeba sledovat Sbírku zákonů, ve které by mělo brzy vyjít nařízení vlády stanovující základní služby regulované tímto zákonem.
Jakmile toto nařízení vstoupí v platnost, budou se muset dotčené subjekty bez zbytečného odkladu zaregistrovat a vyčkat na potvrzení svého určení jako subjektu kritické infrastruktury.
Následně stát jejich situaci posoudí a s největší pravděpodobností jim prostřednictvím datové schránky oznámí, že byly zařazeny mezi subjekty kritické infrastruktury. Od tohoto okamžiku jim začnou běžet zákonné povinnosti. Nové subjekty budou mít například devět měsíců na to, aby zpracovaly posouzení rizik.
Nová legislativa byla potřebná
Proč bylo zapotřebí legislativu nějakým způsobem měnit – ať už na evropské, nebo na české úrovni? Znamená to, že předchozí úprava byla nedostatečná?
Na zákonu se začalo pracovat už někdy kolem roku 2021. Když jsme zakládali Asociaci kritické infrastruktury, jedním z hlavních důvodů bylo právě to, že jsme chtěli apelovat na stát, aby takový zákon přijal. Naší hlavní motivací bylo, aby subjektům kritické infrastruktury přiznal práva, která by mohly v krizových situacích využívat.
Současně jsme vnímali, že dosavadní právní úprava byla do značné míry psána na základě zkušeností státu s událostmi, jako byly například povodně, ale nebyla úplně optimální pro jiné typy mimořádných situací. To se později také potvrdilo. V posledních pěti letech jsme zažili celou řadu mimořádných událostí – ať už to byl covid, povodně, tornádo, různé kybernetické útoky, plynová a energetická krize nebo válka na Ukrajině a s ní spojená migrační vlna. Objevily se také významné problémy v dodavatelských řetězcích, ať už šlo o zablokování Suezského průplavu, nebo současné komplikace spojené s exportem z Perského zálivu přes Hormuzský průliv.
To všechno ukázalo, že existují velmi odlišné typy krizí a že je potřeba mít zákon nastavený tak, aby se dokázal adaptovat bez ohledu na to, zda čelíme živelním pohromám nebo například kybernetickým útokům. Předchozí legislativa tomu úplně neodpovídala a nebyla na takové situace dostatečně připravena. Vznikala především v reakci na živelní pohromy typu povodní, se kterými měla Česká republika historickou zkušenost.
Druhým důvodem byla meziodvětvová spolupráce. Do té doby si jednotlivá odvětví – energetika, vodárenství, doprava nebo telekomunikace – řešila tuto problematiku převážně samostatně. Málo se spolupracovalo, málo komunikovalo a jen omezeně se cvičilo zvládání mimořádných situací napříč těmito sektory. To jsme chtěli změnit.
Poté přišel impuls v podobě covidu, kdy se ukázalo, že celá řada věcí nefunguje a není dobře nastavena. Na straně státu tak vzniklo silnější uvědomění, že je potřeba s tím něco dělat. Posledním a zřejmě nejvýznamnějším impulsem byla příprava směrnice CER (směrnice EU o odolnosti kritických subjektů – pozn. red.), která v podstatě řešila přesně to, po čem jsme my i subjekty kritické infrastruktury dlouhodobě volali. Evropská unie přišla se stejnou myšlenkou shora, zatímco my jsme na ni upozorňovali zdola, a tyto dva impulsy se potkaly.
Je třeba říct, že Evropská komise navrhla směrnici ve velmi podobném rozsahu, o jaký jsme usilovali a o kterém se diskutovalo už dříve. Díky tomu do sebe jednotlivé části dobře zapadly.
Jste tedy spokojen s tím, jak nová legislativa vypadá?
Já jsem s tím velmi spokojený. Přestože k některým věcem, které k nám přicházejí z Evropské unie, bývají výhrady, v tomto případě se podařilo napsat normu, která reaguje na skutečné potřeby. Nedává tam žádné absurdní povinnosti nebo něco, co by z mého osobního a odborného pohledu či z pohledu našich členů bylo zásadně problematické. Evropská směrnice jako taková je relativně stručná, není komplikovaná a skutečně přináší posun, který považuji za kvalitativně správný.
Z hlediska české transpozice se podařilo zabránit gold platingu (implementace evropské legislativy, při které jde stát nad rámec požadavků EU a vytváří další zátěž – pozn. red.). Česká právní úprava naopak obsahuje několik věcí navíc, které jsou spíše ve prospěch regulovaných subjektů. Typicky to, že zakotvuje práva v krizových stavech, což je i v evropském kontextu unikátní. Norma je vyvážená, aby v mimořádných situacích subjektům něco přinášela, nejen aby na ně kladla povinnosti a nároky.
Do regulace nově spadnou nemocnice
Kdo novou legislativu pocítí nejvíce? Když se podíváme na jednotlivé sektory, ve kterých očekáváte, že proběhne největší změna?
Obecně tu změnu více pocítí ti, kdo doteď nebyli regulováni podle starého krizového zákona. Pro subjekty, které již kritickou infrastrukturou byly a budou jí znovu, změny nebudou tak radikální a myslím si, že pro ně bude relativně snadné se na nový systém adaptovat.
Co se týče konkrétních odvětví, kde to bude představovat největší změnu, jednoznačně to bude zdravotnictví. Nemocnice mohly být určovány jako subjekty kritické infrastruktury už v minulosti, ale ministerstvo zdravotnictví je neurčovalo. Do regulace tak nově spadnou jak nemocnice, tak farmaceutické firmy, distributoři, nebo referenční laboratoře. Českou specialitou je, že do systému budou zařazeny i zdravotní pojišťovny, což je odchylka, kterou prosadilo ministerstvo zdravotnictví. Další odvětví, kde bude poměrně hodně nových subjektů, bude určitě vodárenství a veřejná doprava, například městské dopravní podniky.
Kde mají subjekty kritické infrastruktury v Česku nejslabší místa?
V České republice se v tuto chvíli nedostává specialistů na problematiku business continuity managementu, což bude stěžejní pilíř nového systému. Celá řada firem může mít teoreticky problém najít, ať už interně, nebo externě na úrovni poradenské činnosti, někoho, kdo by jim pomohl systém zavést kvalitně a profesionálně. Bojím se, že celá řada firem naletí pseudoexpertům, kteří si prostě přepíšou profil na LinkedInu. Trh bude čelit nedostatku těchto lidí, proto bych byl opatrný a dobře si ověřoval reference poradců, jestli s tím mají skutečně praktické zkušenosti. Z hlediska slabin v systému kritické infrastruktury se těžko odpovídá a nechci úplně generalizovat.
Na naší nedávné debatě zaznělo, že některé subjekty chtějí být vyňaty z působnosti této legislativy. Jak to vnímáte? Snaží se firmy vyhnout odpovědnosti a zachovat status quo, nebo je to u některých z nich i pochopitelné, protože je to náročný proces?
Zaprvé je potřeba zdůraznit, že je vždy nutné sledovat, zda je dané odvětví a služba zakotvena přímo ve směrnici. Jakmile ano, Česká republika i ostatní členské státy je musí zahrnout a nelze se od toho odchýlit. Vím o několika odvětvích, kterým se to nelíbí, ale s tím nikdo nic neudělá, protože je to stanoveno na evropské úrovni.
Pak jsou odvětví, která jsou v Česku stanovena nad rámec směrnice, například poštovní infrastruktura nebo zdravotní pojišťovny. Ty Evropská unie za kritické nepovažuje, ale Česká republika je do systému sama zařadila. Česká pošta i zdravotní pojišťovny to v podstatě kvitují nebo jsou s tím srozuměny.
Trochu odlišná situace je u distribuce a prodeje potravin nebo například u distribuce pohonných hmot. Tyto segmenty opět nejsou na evropské úrovni regulovány, ale ČR je plánuje do kritické infrastruktury zařadit. Ministerstvo vnitra s nimi prý již našlo určitý kompromis ohledně toho, jak budou jejich základní služby definovány. Vím, že třeba provozovatelé čerpacích stanic velmi aktivně lobbovali za to, aby do regulace nespadali.
My jako asociace jsme veřejně deklarovali, že považujeme za žádoucí, aby největší sítě čerpacích stanic subjekty kritické infrastruktury byly. V případě blackoutu je totiž zásobování pohonnými hmotami naprosto klíčové. A to nejen na centrální úrovni. Zásadní je i dostupnost samotných čerpacích stanic, a to nejen pro integrovaný záchranný systém, ale také pro subjekty kritické infrastruktury, které potřebují provádět celorepublikový servis a zásobování, což by bez možnosti natankovat nebylo možné.
Může hrozit nedostatek specialistů
Máte obavy, že některé subjekty budou chtít požadavky plnit pouze papírově, ale v praxi nezavedou potřebná opatření?
Nemám obavy, že by to mohlo nastat. Jsem si jistý, že to nastane. A to ze dvou důvodů.
Tím prvním bude objektivní nedostatek zkušených specialistů. Ti, kteří neseženou kompetentního člověka, budou mít tendenci plnit požadavky pouze formálně.
Druhý důvod je prostý – jsme jen lidé. Určitě se najdou osvícení manažeři, kteří budou chápat, že je dobré být připraven na mimořádnou událost, a to ne proto, že to zákon nařizuje, ale protože je to správné. A pak budou i tací, kteří budou legislativu systematicky ignorovat nebo obcházet, což je přirozené u každé regulace.
Postupně to ale narovnají kontrolní mechanismy, které stát má k dispozici, a také poměrně vysoké sankce. Stát k tomu navíc přistupuje rozumně a myslím si, že nebude od prvního dne nikoho penalizovat. Sám má nyní zpoždění s přípravou prováděcích právních předpisů, takže očekávám, že bude určitou dobu tolerantní a systém si bude postupně sedat. Kontrolní činnost bude navíc zpočátku zaměřena především na větší subjekty a teprve postupně začne dopadat i na ty menší.
Říkal jste, že legislativa byla v podstatě reakcí na události, jako byl covid nebo povodně. Dnes žijeme v době, kdy krizových situací přibývá a jsou stále rozmanitější. Nemůže se stát, že legislativa brzy zastará a nebude odpovídat realitě?
Zákon je napsán tak, že ho považuji za velmi nadčasový a funkční bez ohledu na to, jakému typu nebo množství krizí budeme čelit.
Autoři zákona z Generálního ředitelství Hasičského záchranného sboru k tomu přistoupili velmi rozumně. Nastavili systém tak, že odpovědnost za volbu nástrojů a způsobů přípravy přenesli na samotné subjekty kritické infrastruktury, což považuji za správnou cestu.
Také prováděcí právní předpisy ponechávají relativně obecné, což subjektům poskytuje dostatečný prostor k tomu, aby si na základě vlastní analýzy rizik zvolily nejvhodnější řešení. Stát stanovuje oblasti, ve kterých musí být opatření přijata, ale konkrétní kroky závisejí na samotných subjektech, jejich analýzách a plánech.
Je to systém, který je nadčasový a odpovídá dobré byznysové praxi. Zákon navíc odkazuje na ISO standardy, které jsou dlouhodobě funkční. Z mého pohledu jde o správný směr a o normu, která má potenciál obstát i v budoucnu.
