Před mikrofonem: Nový zákon o kritické infrastruktuře se blíží!

Minule jsme rozebrali, jak probíhá transpozice směrnice CER do českého právního řádu. Připomínkové řízení nového zákona o kritické infrastruktuře je takřka hotové, v červnu či červenci by návrh zákona měl jít na vládu. S platností zákona se počítá od roku 2025, účinný by měl být od roku 2026. Stát nakonec zvolil zajímavé řešení v podobě nového zákona o kritické infrastruktuře, který probereme dnes. Jaké novinky zákon přinese?

Michal Moroz (AKI): Já vnímám tři opravdu důležité koncepční změny. Tou první je změna orientace celého systému na dostupnost takzvaných základních služeb. Dosud se legislativa soustředila jen na ochranu nejzranitelnějších prvků kritické infrastruktury. V nové koncepci již nejde o to ochránit konkrétní objekty, ale zabezpečit dostupnost služeb jako takových, např. dopravní obslužnost, výrobu a distribuci energií, poskytování zdravotních služeb atd. Bude záležet na každém regulovaném subjektu, jaká opatření zvolí, aby byl schopen zajistit kontinuitu své činnosti i v okamžiku, kdy čelí živelné katastrově, cílenému útoku nebo selhání v dodavatelském řetězci.

 A druhá důležitá změna?

Michal Moroz (AKI): Konečně si všichni uvědomili, že s rostoucí komplexitou se prohlubuje i vzájemná provázanost jednotlivých odvětví kritické infrastruktury mezi sebou. Směrnice CER hovoří o narůstající závislosti, která má přeshraniční charakter. Nová legislativa se proto daleko více zabývá celým dodavatelským řetězcem a rolí kritických dodavatelů v něm. Dosud bylo každé odvětví řešeno izolovaně a příliš se neřešilo, že kolaps jedné služby může způsobit rychlé řetězení dalších výpadků. A zdaleka nejde jen o elektřinu.

Můžeš být konkrétnější?

Michal Moroz (AKI): Naprosto zásadní je dnes například datová konektivita. Jak s oblibou říká jeden můj kolega, bez spojení není velení. Bez komunikační infrastruktury se dnes neobejde žádné zařízení v energetice, vodárenství nebo veřejné dopravě. A telekomunikační blackout rozhodně není žádné sci-fi.

Telekomunikační blackout? Už k tomu někdy opravdu došlo?

Michal Moroz (AKI): Jistě, například loni v Austrálii. Postihl operátora Optus a polovina země zůstala bez hlasových služeb a internetu. Black-out způsobil masivní výpadky platebních systémů a zastavil vlakovou dopravu v celé zemi. Měl fatální dopad na celou australskou ekonomiku a také na pověst společnosti Optus. Její management navíc posléze přiznal, že pro výpadek tohoto rozsahu neměl žádný krizový plán. Firma pak zažila masový odliv zákazníků ke konkurenčním operátorům.

Mluvil jsi o třech zásadních změnách. Která je ta poslední?

Michal Moroz (AKI): Orientace na rizika. Stát si konečně osvojuje přístup založený na posuzování rizik. Abych tu zbytečně nešermoval odbornými pojmy, tak to popíšu laicky. Každý řetěz je právě tak silný, jak silný je jeho nejslabší článek. Proto musím dokonale znát všechny články svého provozního i dodavatelského řetězce, jeho slabiny a škodlivé vlivy, které na něj mohou působit. Ty pak musím nepřetržitě sledovat, hodnotit a přijímat opatření k posílení své odolnosti. Ale ani když udělám všechno správně, možnost selhání nelze vyloučit. Takže jde o to, snížit tu pravděpodobnost selhání (riziko) na minimum a být připraven na situaci, že i přes veškerou snahu všechno selže.

Směrnice CER, resp. nový český zákon o kritické infrastruktuře, přinesou poměrně zásadní změny, zejména pro organizace, které do regulace kritické infrastruktury dosud nespadaly. Koho se tedy budou nová pravidla týkat?

Michal Moroz (AKI): V širším smyslu každé organizace, který poskytuje základní služby v některém z regulovaných odvětví. O těch jsme již mluvili posledně, nejdůležitější jsou energetika, digitální služby, vodárenství, veřejná doprava, potravinářství, finanční služby, zdravotnictví nebo farmaceutická výroba. Každý, kdo podniká v těchto odvětvích, bude muset sám posoudit, jestli naplňuje takzvaná kritéria významnosti.

Co si pod těmito kritérii můžeme představit?

Michal Moroz (AKI): Každé odvětví bude mít svou specifickou kombinaci kritérií. Půjde například o počet uživatelů závislých na službě, tržní podíl, pokrývané území, důležitost a jedinečnost služby, dopad do jiných kritických odvětví a v neposlední řadě o důsledky případných incidentů na společnost, zdraví obyvatelstva, národní hospodářství, životní prostředí nebo na bezpečnost. Kritéria pro každé odvětví nyní zpracovává ministerstvo vnitra ve spolupráci s dalšími resorty.

A pokud nějaký podnik stanovená kritéria naplní?

Michal Moroz (AKI): Tak se bude muset zaevidovat do nového informačního systému, nazvaného Portál kritické infrastruktury, který bude provozovat Generální ředitelství Hasičského záchranného sboru. Stát tak získá přehled o všech poskytovatelích základních služeb v kritických odvětvích. Samotná registrace však ještě neznamená, že se z podniku automaticky stane povinný subjekt. Hasiči nejprve jeho význam posoudí a rozhodnou o jeho určení. Teprve poté se z podniku stane subjekt kritické infrastruktury, kterému vznikají práva a povinnosti.

Zkusme začít pozitivně, tedy těmi právy.

Michal Moroz (AKI): To je vlastně další docela podstatná změna. Dosavadní systém totiž kladl na subjekty kritické infrastruktury spoustu nároků, ale neposkytoval jim žádné výhody. To se projevilo například během pandemie Covid-19, kdy měla kritická infrastruktura stejné postavení jako kterýkoli jiný podnik a při zajišťování očkování nebo ochranných pomůcek se dost improvizovalo. To se teď konečně mění. Na subjekty kritické infrastruktury bude myšleno již při plánování hmotných rezerv, během krizových stavů budou moci požádat o přístup do uzavřených oblastí a doufám, že finální návrh zákona bude počítat i s přednostním přístupem k některým základním službám.

Většinu organizací budou ale zřejmě zajímat hlavně ty povinnosti. Které z nich jsou podle tebe nejzásadnější?

Michal Moroz (AKI): Povinností je pochopitelně víc, ale zdůraznil bych dvě: posouzení rizik a plán odolnosti. Subjekty kritické infrastruktury budou muset nejprve dokonale zmapovat svá aktiva a určit mezi nimi ta, která jsou skutečně klíčová pro zajištění základních služeb. Současně určí své kritické pracovníky a dodavatele, bez kterých se poskytování základních služeb neobejde. Následně zpracují vlastní posouzení rizik podle jednotné metodiky, která by se měla inspirovat známými mezinárodními standardy.  A to všechno budou průběžně aktualizovat.

Proč je podle tebe posouzení rizik a jeho aktualizace pro posilování odolnosti kritické infrastruktury tak zásadní?

Michal Moroz (AKI): Je to základní ingredience. Musím přeci vědět, co chráním, proč a před čím. Jinak utratím spoustu peněz zbytečně. Stále existuje spousta podniků, které zavádí opatření jen na základě zvyku, protože tak se to přeci vždy dělalo. Nebo proto, že v nich někdo vyvolal pocit potřeby. Zpravidla nějaký šikovný obchodník s technologiemi. Nejenže to je v rozporu s principy péče řádného hospodáře, ale především je to nefunkční.

Při posouzení rizik je také potřeba myslet na to, že méně znamená více. Viděl jsem katalogy rizik o desetitisících položkách, v nichž se snad neorientoval ani jejich autor. Někteří poradci stále žijí v domnění, že čím více rizik popíšou, tím více mohou fakturovat. Praktická použitelnost takových výstupů je tristní. Kvalitní management rizik znamená, že jsou výstupy srozumitelné, reálné a snadno použitelné.

A co si můžeme představit pod plánem odolnosti?

Michal Moroz (AKI): Půjde o materiál, ve kterém budou stanovena praktická opatření k zajištění odolnostisubjektu kritické infrastruktury. Jejich rozsah si stanoví každý podnik sám na základě posouzení rizik. Plán odolnosti je nutné také pravidelně aktualizovat, aby se opatření přizpůsobovala dynamice nových hrozeb a změnám, které jejich podnikání ovlivňují. Půjde o pokročilejší a detailnější verze plánů krizové připravenosti, jak je znají subjekty kritické infrastruktury dnes.

O jaká opatření konkrétně půjde?

Michal Moroz (AKI): Půjde o kombinaci mnoha organizačních, bezpečnostních a technických opatření. Jejich cílem bude především prevence a předcházení vzniku incidentů, predikce nebo přinejmenším včasná detekce bezprostředních hrozeb, správná reakce na incidenty a jejich zmírňování. Příznačným motivem nové právní úpravy je pak řízení kontinuity činností, které se jí vine jako červená nit. Důležitou kapitolou budou také opatření k řízení rizik pracovníků a dodavatelského řetězce.

Pokračování rozhovoru naleznete na gdpr.cz.

Asociace kritické infrastruktury ČR je profesní organizací sdružující subjekty kritické infrastruktury a jejich významné dodavatele. Asociace reprezentuje subjekty průřezově napříč sektory, zejména z odvětví energetiky, vodárenství, telekomunikací a veřejné dopravy. Jejím posláním je přispívat k posilování odolnosti kritické infrastruktury, zastupovat a hájit své členy, aktivně se podílí na tvorbě krizové a bezpečnostní legislativy, pořádá odborné konference a popularizuje problematiku ochrany kritické infrastruktury v České republice. 

Michal Moroz je absolventem Právnické fakulty Univerzity Karlovy v Praze. Celoživotně se věnuje problematice řízení rizik, bezpečnosti, krizovému řízení a compliance. Aktuálně působí jako výkonný ředitel Asociace kritické infrastruktury ČR a nezávislý konzultant. V minulosti působil jako náměstek ministra vnitra nebo ve společnostech Securitas, Pinkerton, Česká pošta a Česká zbrojovka.