ČEZ, Lidl, vodárny i nemocnice. Stovky firem prověří uklízečky i ajťáky

Rozhovor si také můžete poslechnout v audioverzi.

Řetězce jako Lidl nebo Kaufland, vodárny, telekomunikační operátoři i farmaceutické firmy. Nový zákon o kritické infrastruktuře, který schválila Sněmovna o prázdninách, zavádí přísnější ochranu klíčových služeb státu tak, aby nemohly být jednoduše přerušeny.

Zatímco dřív se pozornost zaměřovala především na elektrárny či rozvodné stanice, od listopadu se bude regulace týkat celých firem včetně jejich zaměstnanců či IT bezpečnosti.

„Pokud vaše firma dělá něco, bez čeho by se svět zastavil, prostě dělá nějakou kritickou službu pro stát, pro občany, tak pravděpodobně do té kritické infrastruktury patří,“ říká v Agendě SZ Byznys Kamil Blažek, partner advokátní kanceláře Kinstellar, který je rovněž čestným předsedou Sdružení pro zahraniční investice. Podle jeho odhadů se nová pravidla dotknou 500 až 1 000 firem, přičemž půjde převážně o velké společnosti jako ČEZ, O2 či státní vodovody a kanalizace.

Do kritické infrastruktury budou nově zařazeny energetické společnosti, vodárenství, výrobci a velkoobchodní prodejci potravin, nemocnice, poskytovatelé digitálních služeb, dopravní podniky, finanční instituce nebo farmaceutické firmy. Diskutuje se ale i o zařazení velkých potravinových řetězců.

„Návrh byl od začátku, že by tam měly spadat i velké potravinové řetězce retailové, jako je Lidl, Kaufland, Tesco, Albert a podobně - všichni, kteří mají více než 100 prodejen,“ uvádí Blažek. Podle něj však aktuálně probíhá debata, zda je to opravdu nutné.

Firmy zařazené do kritické infrastruktury budou muset splňovat řadu požadavků. Především investovat do zabezpečení svých IT systémů a vyhodnocovat rizika, která by mohla narušit provoz firmy.

„Musí si vyhodnotit rizika, která při jejich podnikání jsou z pohledu, co může narušit jejich provoz, co je může poškodit. Třeba při opravách náhradní díly, zaměstnanci… To všechno musí vyhodnotit, musí to dát do nějaké matice a pravidelně to podle mezinárodních norem přizpůsobovat,“ popisuje Blažek.

Jednou z kontroverzních povinností je prověřování spolehlivosti zaměstnanců. Týkat se to bude desítek tisíc lidí. Nejen vlastních pracovníků firem, ale i subdodavatelů, kteří mají přístup do kritické infrastruktury. V určitém mírnějším režimu budou prověřováni všichni, od uklízeček a členů ostrahy až po IT specialisty spravující systémy na dálku.

Blažek upozorňuje, že prověřování může být díky digitalizaci relativně levné. „Vím o jedné firmě, která to byla schopna automatizovat tak, že vám prověření konkrétní osoby udělají během dvou sekund. Stojí to třeba 8 eur nebo něco takového,“ říká. U firem s 10 tisíci zaměstnanci to představuje jednotky milionů korun.

Každá firma v kritické infrastruktuře bude muset jmenovat manažera, který bude komunikovat s úřady. „Musí to být člověk, který bude mít jednak trénink, zkušenosti a praxi v tom oboru, který bude styčným bodem vůči Ministerstvu vnitra a Hasičskému záchrannému sboru,“ uvádí Blažek.

Firmy budou také muset vypracovat krizové plány, jak zajistí provoz v případě útoku. „Vzpomínám si, před lety byl v Austrálii výpadek telekomunikačních sítí. Mnoho hodin prostě nefungovaly telekomunikace a oni vlastně neměli ani žádnou zálohu, protože na tak velký výpadek nebyli připraveni,“ připomíná advokát.

Za nedodržení povinností hrozí firmám sankce. Výše pokuty je 50 milionů korun, nebo 1,5 procenta z ročního obratu podle toho, co je vyšší, upřesňuje Blažek s tím, že pokud například firma nejmenuje povinného manažera kritické infrastruktury nebo nenahlásí jeho odchod, hrozí jí pokuta v řádu milionů korun.

Nová regulace se může promítnout i do cen koncovým zákazníkům u regulovaných služeb jako telekomunikace či odpady. „Budou se samozřejmě snažit přenášet náklady na zákazníka a bude to v tomhle případě oprávněné, protože ono to je prostě povinný zákonný náklad,“ dodává Blažek.

Zákon navyšuje administrativní zátěž, ale podle Blažka přispěje k větší bezpečnosti Česka. „Za posledních dvacet či třicet let jsme se moc nesoustředili na věci, které se týkají naší vlastní bezpečnosti. Viděli jsme to i během covidu, když se ukázaly úzká hrdla v dodávkách léků. Když se rizika identifikují, tak se s tím dá něco dělat.“

Kritickou infrastrukturu bude koordinovat Ministerstvo vnitra prostřednictvím Hasičského záchranného sboru. Ten povede centrální portál a bude kontrolovat dodržování povinností.

Zajímavostí je, že firmy, které patří do kritické infrastruktury, se musí samy ohlásit svému ministerstvu. To následně informaci postoupí Ministerstvu vnitra, které vydá rozhodnutí o zařazení do kritické infrastruktury. „Kdyby se za rok zjistilo, že se na to vykašlali a ten zákon vůbec nečetli, tak to pro ně bude mnohem horší,“ varuje Blažek.