Návrh za 1,8 miliardy eur. Na kolik Česko vyjde nový zákon o kybernetické bezpečnosti?
Celkové náklady zavedení nového zákona o kybernetické bezpečnosti vyčíslila mezinárodní konzultantská společnosti Frontier Economics na bezmála 1,8 miliard eur.
Česká republika musí do příštího října přijmout nová pravidla pro kybernetickou a digitální bezpečnost. K tomuto datu totiž uplyne lhůta pro implementaci evropské směrnice NIS2. Návrh nového zákona o kybernetické bezpečnosti, jehož autorem je Národní úřad pro kybernetickou bezpečnost (NÚKIB), ale prozatím sklízí kritiku zejména kvůli části o hodnocení rizikovosti zahraničních dodavatelů. Nová analýza mezinárodní konzultantské společnosti Frontier Economics navíc odhaluje, jaké ekonomické dopady by zavedení pravidel podle NÚKIB mělo. Celkové náklady pak predikuje ve výši bezmála 1,8 miliard eur.
Posilování národní kybernetické odolnosti je bezpochyby správná cesta vzhledem k tomu, že počty kyberútoků se rok od roku zvyšují. I před nedávnem uzavřené připomínkové řízení ale prokázalo, že Národní kybernetický úřad (NÚKIB) v návrhu nového kybernetického zákona možná přestřelil, když se rozhodl nastavit pravidla o dost přísněji než nařizuje evropská bezpečnostní směrnice NIS2. Vlna kritiky se snesla zejména na Mechanismus hodnocení rizikovosti dodavatelů, který je založen výlučně na geopolitických kritériích a v extrémních případech může vést k vyloučení zahraničních dodavatelů z účasti na trhu.
Nová analýza konzultantské společnosti Frontier Economics naznačuje, že nejen nepředvídatelná a striktní pravidla by se České republice mohla prodražit. Analytici odhadují, že náklady se projeví zejména ve třech dominantních směrech – ČR bude muset počítat s tím, že 1,7 miliardy eur si vyžádá už samotná implementace evropské směrnice, přičemž o dalších 416 milionů eur přijde český export, zatímco na straně importu se objem obchodu sníží o 291 milionů eur s partnery mimo EU a o 200 milionů s partnery v rámci EU. Jak tyto predikce Frontier Economics zdůvodňují?
Prodraží se už samotná implementace
Implementace pravidel obsažených ve směrnici NIS2 prostřednictvím nového zákona o kybernetické bezpečnosti bude mít podle analytiků Frontier Economics přímý dopad na hospodaření podniků v dotčených odvětvích. Upozorňují, že tento posun citelněji ovlivní hlavně menší a střední podniky, kterých v České republice v současnosti působí zhruba jeden milion. Předpokládaným důsledkem dodatečných nákladů v oblasti compliance je zvýšení návazných cen v dotčených odvětvích, i v těch na nich závislých. Analýza hovoří celkem o částce 1,7 miliardy eur, což odpovídá cca 0,52 % úhrnného ročního obratu v zasažených odvětví.
Problematický Mechanismus hodnocení rizikovosti dodavatelů
Specifickým tématem je pak samotný Mechanismus hodnocení rizikovosti dodavatelů. Jde o speciální část nového zákona o kybernetické bezpečnosti, jejímž přidáním jde NÚKIB výrazně nad rámec toho, co požaduje evropská směrnice. Zejména problematická je část, která NÚKIB umožňuje vyloučit dodavatele z trhu na základě toho, že představuje strategické riziko, nikoliv striktně kyberbezpečnostní. Jde přitom o vyloženě politické kritérium, které dle názoru Frontier Economics povede ke zvýšení nákladů pro koncové uživatele i firmy, a bude významnou zátěží pro ekonomiku obecně. To je dáno čistě tím, že taková kritéria nejsou technického charakteru, a tudíž jsou velmi obtížně předvídatelná.
Nejde o jedinou stinnou stránku. Dodatečné náklady na compliance spojené s nejistotou mohou řadu potenciálních dodavatelů rovnou odradit, což povede k tomu, že svoji investici přesměrují jinam. Vyvarují se tak riziku utopených nákladů, které by obnášelo přizpůsobení produktového portfolia lokální poptávce. Stejné platí i pro domácí firmy – ty zase mohou přijít o prostředky investované do budování vztahů s partnery, jejichž vstup na trh pak může být jednoduše ze strany NÚKIB zakázán.
Logickým průvodním jevem je pak deformace zdravého soutěžního prostředí. Mechanismus pravděpodobně povede k redukci počtu dodavatelů, přičemž se dá předpokládat, že další nebudou mít ani zájem investici v ČR zvažovat. Konkurence na trhu se tak bude zmenšovat, což v mnoha dotčených sektorech povede k cenové eskalaci. Frontier Economics odhadují, že tento trend bude nejvíce znatelný v těch odvětvích, kde je zvýšená poptávka po specializovaných technologiích – typově v energetice, zdravotnictví či telekomunikacích. V posledním jmenovaném odvětví analytici predikují, že vyloučení dodavatelů 5G komponent povede do roku 2035 ke snížení hrubého domácího produktu o 400 milionů eur.
V neposlední řadě představuje Mechanismus riziko pro přístup českého trhu k nejnovějším inovacím. Podle analytiků Frontier Economics by totiž v tomto ohledu mohl mít stejný efekt jako navýšení dovozních cel – srovnatelnými důsledky jsou snížení počtu dodavatelů, navýšení cen a potenciální snížení výkonnosti celé ekonomiky. Upozorňují přitom, že podle nedávného průzkumu Mezinárodního měnového fondu, se snížení výše dovozních cel o jedno procento rovná zhruba dvouprocentnímu navýšení výkonnosti ekonomiky. Z toho se dá usuzovat, že zavedení Mechanismu povede ke snížení hrubého domácího produktu o cca 137 milionů eur.
Rána pro zahraniční obchod
Frontier Economics dále předvídají, že utrpí zahraniční obchod – export mimo země EU se sníží v objemu o 291 milionů eur, export do zemí EU o 200 milionů eur. V prvním případě se dají vysledovat dva hlavní důvody. Pokles o 245 milionů eur bude způsoben již tím, že některé firmy ztratí zájem o obchodní vztahy s členskými zeměmi Evropské unie. Dodatečných 45 milionů eur bude pak daní za zavedení hodnotícího mechanismu, který není založen na předvídatelných a racionálních kritériích. V souhrnu se dá tedy předpokládat, že nový zákon o kybernetické bezpečnosti by mohl hrubý domácí produkt v oblasti obchodu vyjít na snížení o celkem 416 milionů eur – z čehož 376 milionů spolkne vlastní implementace nových pravidel, zbylých 40 milionů půjde na vrub již několikrát zmíněnému mechanismu.
Dalším potenciálním nebezpečím je snížení objemu mezinárodního importu do České republiky ze zemí mimo Evropskou unii. Zahraniční mimoevropské firmy jsou totiž opravdu jediné, na které pravidla v kybernetickém zákoně nedopadnou, a proto pro ně bude atraktivnější zaměřit svou pozornost taktéž na mimoevropské trhy, kde budou ceny nižší. Domácí firmy tak budou de facto nuceny konkurovat jen sobě navzájem, což povede jednak ke snížení dovozu, jednak k odstřižení českého trhu od kompletního portfolia dostupných inovací a nejnovějších produktů.