12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti

Změna zákona o kybernetické bezpečnosti související se směrnicí NIS2 s sebou ponese i náklady potřebné na zajištění kybernetické bezpečnosti v rozsahu a kvalitě, kterou návrh zákona potažmo směrnice požadují. To, že v součtu celého národního hospodářství budou náklady na splnění povinností nezanedbatelné, je dáno zejména navýšením počtu subjektů, na které bude vzhledem k požadavkům směrnice NIS2 nově zákon o kybernetické bezpečnosti dopadat

POSTUP PRO ZJIŠTĚNÍ FINANČNÍCH NÁKLADŮ V RÁMCI ORGANIZACE

Finanční plánování, a zejména nutnost jeho předstihu a další aspekty, se mezi jednotlivými organizacemi liší. Bezpochyby však lze říci, že je nutné se finančním plánováním zajištění prostředků pro budoucí splnění povinností daných navrhovaným zákonem o kybernetické bezpečnosti začít zabývat co nejdříve.

Je nutné poskytnout příslušným celkům (zabývajícím se finančním plánováním) v rámci organizace informace o tom, jaké prostředky bude na zajištění bezpečnosti nutné vynaložit, aby s nimi bylo v rozpočtu počítáno a povinnosti dané zákonem o kybernetické bezpečnosti mohly být splněny ve stanoveném termínu. To platí, ať se jedná o formu sestavování rozpočtu organizace ve veřejné sféře, a tedy o uplatnění nákladů v rámci své rozpočtové kapitoly, či o sféru soukromou a finanční plánování v rámci dané organizace či většího celku.

Vzhledem k tomu, že alespoň rámcové zjištění sumy, kterou bude daná organizace muset vynaložit, je pro finanční plánování nezbytné, je vhodné postupovat tak, aby byla tato suma co nejvíce v souladu s realitou, tedy zvážit, která bezpečnostní opatření z příslušného předpisu chybí v organizaci zavést a odhadnout jejich finanční náročnost.

OBECNÉ KROKY K PLÁNOVÁNÍ NÁKLADŮ NA BEZPEČNOST V ORGANIZACI:

Zjistit potřebu v rámci své organizace
Tuto potřebu vhodným způsobem uplatnit v rámci procesu rozpočtování
V rozpočtu vhodně rozložit náklady v čase

NÚKIB ve spolupráci s Ministerstvem vnitra vytvořil metodickou pomůcku ke zjištění výše nákladů potřebných pro zavedení povinností, které jsou na subjekty kladeny v souvislosti se zaváděním bezpečnostních opatření dle návrhu zákona o kybernetické bezpečnosti. Schopnost postupovat dle této pomůcky byla ověřena prostřednictvím zkušebního vyplnění ze strany oslovených organizací.

Metodická pomůcka ke zjištění nákladů je ke stažení zde.

NÁKLADY NA ZAVEDENÍ NIS2

Nevýhodou otázky analýzy finančních dopadů na regulované subjekty je skutečnost, že distribuce nákladů na kybernetickou bezpečnost není plošná a existuje zde naprostá informační asymetrie ve směru od subjektů samotných k regulačnímu orgánu ‒ NÚKIB (tzn. jen regulovaná organizace samotná je schopná identifikovat své vlastní náklady na zavedení a udržování přiměřené úrovně kybernetické bezpečnosti). Výši finančních dopadů není tedy možné předem z pozice centrální autority stanovit (veškeré předchozí požadavky na jejich vyčíslení vždy vedly k vytvoření odhadů s nízkou vypovídající hodnotou).

Distribuci nákladů na kybernetickou bezpečnost nelze uvažovat plošně z důvodu velkého počtu neznámých a proměnlivých indikátorů, mezi které patří zejména:

aktuální stav zajištění kybernetické bezpečnosti v jednotlivých organizacích,
různý cílový stav každé organizace související s významností její činnosti a potřebou zajistit její fungování,
široká variabilita rozsahu opatření na zajištění kybernetické bezpečnosti, která může být u jednotlivých organizací naprosto odlišná,
identifikace toho, co je nákladem na zajištění kybernetické bezpečnosti a co je nákladem na běžný provoz informačních a komunikačních technologií u daného subjektu (tyto množiny se prolínají),
soulad se současným zněním zákona o kybernetické bezpečnosti,
neznámý přesný počet výsledných regulovaných subjektů,
proměnlivost nákladů v čase související jak s makroekonomickými otázkami, tak s vývojem technologií a mnoha dalších indikátorů.

Tyto indikátory jsou spjaty se systémem zajištění kybernetické bezpečnosti, ať už podle současného znění zákona, tak i z obecně přijímaných norem upravujících kybernetickou bezpečnost.

NÁKLADY NA TRANSPOZICI SMĚRNICE NIS2 LZE ROZDĚLIT DO TŘÍ KATEGORIÍ:

Náklady na bezpečnostní opatření veřejné správy
Náklady na bezpečnostní opatření soukromých společností
Náklady na zajištění činnosti NÚKIB

Náklady na činnost NÚKIB a náklady na bezpečnostní opatření veřejné správy jsou nákladem veřejných rozpočtů.

Následující finanční odhad je primárně spjat s problematikou nákladů pro veřejné rozpočty. Vychází ze zohlednění výpočtů nákladů provedených ve vztahu ke státnímu rozpočtu a konkrétními podklady pro něj jsou metodiky uvedené v rámci:

návrhu novelizace zákona o kybernetické bezpečnosti z roku 2017 (především s. 51 a dále),
návrhu novelizace vyhlášky o významných informačních systémech z roku 2019) (především s. 8 a dále),
Zprávy o investicích do síťových a informačních systémů (NIS) podle Evropské agentury pro bezpečnost sítí a informací z roku 2021,
Zprávy o investicích do síťových a informačních systémů (NIS) podle Evropské agentury pro bezpečnost sítí a informací z roku 2022.

Tyto podklady vedou k orientačnímu výpočtu nákladů na zavedení a následné provádění bezpečnostních opatření, který se pohybuje mezi 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému (přičemž službu může jako celek zajišťovat více jednotlivých informačních systémů).

Změny v přístupu k regulaci zavedené směrnicí NIS2 a výše uvedené proměnné (především již zmíněný různý stav současného zabezpečení u regulovaných organizací, rozdělení povinností uložených těmto subjektům, stejně tak jako agregace řady bezpečnostních opatření u více systémů v rámci organizace) pak mohou tyto hodnoty ovlivnit. Podstatnou proměnnou bude především to, jaký je počet jednotlivých systémů u každé konkrétní organizace. To pak bude celkově determinovat požadavek na veřejné rozpočty.

Pokračujte kliknutím na modrou šipku na levé straně, nebo si vyberte jedno z témat v níže uvedeném rejstříku.

Rejstřík témat

NIS2: 12 - Finanční aspekty