Výbor nezávislého ICT průmyslu z.s. uplatnil připomínky v konzultaci Evropské komise k návrhu revize evropského Aktu o kybernetické bezpečnosti, označované jako Cybersecurity Act 2 / CSA 2. Výbor podporuje posilování kybernetické bezpečnosti v Evropě, upozorňuje však, že předložený návrh v řadě částí překračuje rozumnou míru regulace, neobsahuje dostatečné vyčíslení dopadů a může významně zatížit podnikatele, provozovatele sítí i veřejné rozpočty.
Podle VNICTP je nejproblematičtější část návrhu, která Evropské komisi svěřuje rozsáhlé pravomoci v oblasti posuzování dodavatelů ICT technologií a dodavatelských řetězců. Komise by podle návrhu mohla na základě vágně vymezených technických i netechnických rizik označovat celé třetí země za rizikové a konkrétní dodavatele za vysoce rizikové. Takový postup by mohl vést k jejich faktickému vyloučení z evropského trhu, aniž by tomu předcházelo dostatečně konkrétní posouzení rizik, ekonomických dopadů a procesních záruk.
„Kybernetická bezpečnost je pro digitální ekonomiku zásadní. Pravidla ale musí být předvídatelná, přiměřená a opřená o skutečnou analýzu dopadů. Návrh CSA 2 v současné podobě vytváří riziko, že se z technické regulace stane nástroj plošných politických zásahů do dodavatelských řetězců, s velmi vážnými dopady na podnikání, investice i dostupnost služeb,“ uvádí Výbor nezávislého ICT průmyslu.
VNICTP proto požaduje, aby byla celá část návrhu týkající se přímých zásahů do ICT dodavatelských řetězců zásadně přepracována, nebo z návrhu odstraněna. Na evropské úrovni by podle Výboru měla tato oblast zůstat řešena především formou vodítek, doporučení a koordinace členských států. Konečné rozhodování o otázkách spojených s národní bezpečností musí zůstat v rukou členských států a jejich demokraticky odpovědných orgánů.
Zvláštní pozornost věnuje VNICTP dopadům návrhu na telekomunikační sektor. Návrh podle Výboru bez dostatečného odůvodnění ukládá tomuto sektoru přísnější režim než ostatním odvětvím. Povinná výměna technologií od dodavatelů označených za vysoce rizikové by mohla znamenat masivní a neplánované investice, zpomalení rozvoje sítí, zhoršení kvality služeb a přenesení nákladů na koncové zákazníky. VNICTP upozorňuje, že u mobilních sítí návrh počítá s výměnou technologií v mimořádně krátkých lhůtách, které nejsou v praxi realistické.
Výbor dále upozorňuje, že návrh nedostatečně zohledňuje dopady na malé a střední podniky. Členy VNICTP jsou především menší a střední podnikatelé v ICT sektoru, kteří již dnes čelí rostoucím povinnostem v oblasti kybernetické bezpečnosti. Každá další regulace proto musí být důsledně posuzována z hlediska proporcionality, nákladů a skutečného přínosu pro bezpečnost.
VNICTP zároveň podporuje racionální využívání certifikací v oblasti kybernetické bezpečnosti. Certifikační schémata však musí zůstat technická, transparentní, dobrovolná a nesmí vést k duplicitním povinnostem pro podniky, které již dodržují zavedené mezinárodní standardy, například ISO 27001. Výbor také požaduje jasnější vztah mezi budoucími evropskými certifikačními schématy a již existující sektorovou regulací.
V oblasti NIS 2 VNICTP vítá snahu o určité zjednodušení pravidel, považuje ji však za nedostatečnou. Regulace by neměla dopadat plošně pouze podle velikosti podniku, ale podle skutečného rizika, které daný subjekt představuje pro společnost, ekonomiku nebo kritické dodavatelské řetězce. Výbor dlouhodobě upozorňuje také na nepřiměřenou zátěž mikro a malých podniků v oblasti poskytování služeb a sítí elektronických komunikací.
Evropa potřebuje kybernetickou bezpečnost, která posiluje odolnost a konkurenceschopnost. Nepotřebuje však pravidla, která bez dostatečné analýzy dopadů zvyšují náklady, omezují soutěž a přesouvají zásadní rozhodování z členských států na úřednickou úroveň Evropské komise.
Výbor nezávislého ICT průmyslu proto vyzývá Evropskou komisi, aby návrh stáhla a významně přepracovala, případně aby pokračovalo samostatné vyjednávání pouze o těch částech návrhu, které mohou skutečně přispět ke zjednodušení pravidel, posílení technické kyberbezpečnosti a snížení zbytečné administrativní zátěže podnikatelů.