Minule jsme rozebrali, jak probíhá transpozice směrnice CER do českého právního řádu. Připomínkové řízení nového zákona o kritické infrastruktuře je takřka hotové, v červnu či červenci by návrh zákona měl jít na vládu. S platností zákona se počítá od roku 2025, účinný by měl být od roku 2026. Stát nakonec zvolil zajímavé řešení v podobě nového zákona o kritické infrastruktuře, který probereme dnes. Jaké novinky zákon přinese?
Michal Moroz (AKI): Já vnímám tři opravdu důležité koncepční změny. Tou první je změna orientace celého systému na dostupnost takzvaných základních služeb. Dosud se legislativa soustředila jen na ochranu nejzranitelnějších prvků kritické infrastruktury. V nové koncepci již nejde o to ochránit konkrétní objekty, ale zabezpečit dostupnost služeb jako takových, např. dopravní obslužnost, výrobu a distribuci energií, poskytování zdravotních služeb atd. Bude záležet na každém regulovaném subjektu, jaká opatření zvolí, aby byl schopen zajistit kontinuitu své činnosti i v okamžiku, kdy čelí živelné katastrově, cílenému útoku nebo selhání v dodavatelském řetězci.
A druhá důležitá změna?
Michal Moroz (AKI): Konečně si všichni uvědomili, že s rostoucí komplexitou se prohlubuje i vzájemná provázanost jednotlivých odvětví kritické infrastruktury mezi sebou. Směrnice CER hovoří o narůstající závislosti, která má přeshraniční charakter. Nová legislativa se proto daleko více zabývá celým dodavatelským řetězcem a rolí kritických dodavatelů v něm. Dosud bylo každé odvětví řešeno izolovaně a příliš se neřešilo, že kolaps jedné služby může způsobit rychlé řetězení dalších výpadků. A zdaleka nejde jen o elektřinu.
Můžeš být konkrétnější?
Michal Moroz (AKI): Naprosto zásadní je dnes například datová konektivita. Jak s oblibou říká jeden můj kolega, bez spojení není velení. Bez komunikační infrastruktury se dnes neobejde žádné zařízení v energetice, vodárenství nebo veřejné dopravě. A telekomunikační blackout rozhodně není žádné sci-fi.
Telekomunikační blackout? Už k tomu někdy opravdu došlo?
Michal Moroz (AKI): Jistě, například loni v Austrálii. Postihl operátora Optus a polovina země zůstala bez hlasových služeb a internetu. Black-out způsobil masivní výpadky platebních systémů a zastavil vlakovou dopravu v celé zemi. Měl fatální dopad na celou australskou ekonomiku a také na pověst společnosti Optus. Její management navíc posléze přiznal, že pro výpadek tohoto rozsahu neměl žádný krizový plán. Firma pak zažila masový odliv zákazníků ke konkurenčním operátorům.
Mluvil jsi o třech zásadních změnách. Která je ta poslední?
Michal Moroz (AKI): Orientace na rizika. Stát si konečně osvojuje přístup založený na posuzování rizik. Abych tu zbytečně nešermoval odbornými pojmy, tak to popíšu laicky. Každý řetěz je právě tak silný, jak silný je jeho nejslabší článek. Proto musím dokonale znát všechny články svého provozního i dodavatelského řetězce, jeho slabiny a škodlivé vlivy, které na něj mohou působit. Ty pak musím nepřetržitě sledovat, hodnotit a přijímat opatření k posílení své odolnosti. Ale ani když udělám všechno správně, možnost selhání nelze vyloučit. Takže jde o to, snížit tu pravděpodobnost selhání (riziko) na minimum a být připraven na situaci, že i přes veškerou snahu všechno selže.
Směrnice CER, resp. nový český zákon o kritické infrastruktuře, přinesou poměrně zásadní změny, zejména pro organizace, které do regulace kritické infrastruktury dosud nespadaly. Koho se tedy budou nová pravidla týkat?
Michal Moroz (AKI): V širším smyslu každé organizace, který poskytuje základní služby v některém z regulovaných odvětví. O těch jsme již mluvili posledně, nejdůležitější jsou energetika, digitální služby, vodárenství, veřejná doprava, potravinářství, finanční služby, zdravotnictví nebo farmaceutická výroba. Každý, kdo podniká v těchto odvětvích, bude muset sám posoudit, jestli naplňuje takzvaná kritéria významnosti.
Co si pod těmito kritérii můžeme představit?
Michal Moroz (AKI): Každé odvětví bude mít svou specifickou kombinaci kritérií. Půjde například o počet uživatelů závislých na službě, tržní podíl, pokrývané území, důležitost a jedinečnost služby, dopad do jiných kritických odvětví a v neposlední řadě o důsledky případných incidentů na společnost, zdraví obyvatelstva, národní hospodářství, životní prostředí nebo na bezpečnost. Kritéria pro každé odvětví nyní zpracovává ministerstvo vnitra ve spolupráci s dalšími resorty.
A pokud nějaký podnik stanovená kritéria naplní?
Michal Moroz (AKI): Tak se bude muset zaevidovat do nového informačního systému, nazvaného Portál kritické infrastruktury, který bude provozovat Generální ředitelství Hasičského záchranného sboru. Stát tak získá přehled o všech poskytovatelích základních služeb v kritických odvětvích. Samotná registrace však ještě neznamená, že se z podniku automaticky stane povinný subjekt. Hasiči nejprve jeho význam posoudí a rozhodnou o jeho určení. Teprve poté se z podniku stane subjekt kritické infrastruktury, kterému vznikají práva a povinnosti.
Zkusme začít pozitivně, tedy těmi právy.
Michal Moroz (AKI): To je vlastně další docela podstatná změna. Dosavadní systém totiž kladl na subjekty kritické infrastruktury spoustu nároků, ale neposkytoval jim žádné výhody. To se projevilo například během pandemie Covid-19, kdy měla kritická infrastruktura stejné postavení jako kterýkoli jiný podnik a při zajišťování očkování nebo ochranných pomůcek se dost improvizovalo. To se teď konečně mění. Na subjekty kritické infrastruktury bude myšleno již při plánování hmotných rezerv, během krizových stavů budou moci požádat o přístup do uzavřených oblastí a doufám, že finální návrh zákona bude počítat i s přednostním přístupem k některým základním službám.
Většinu organizací budou ale zřejmě zajímat hlavně ty povinnosti. Které z nich jsou podle tebe nejzásadnější?
Michal Moroz (AKI): Povinností je pochopitelně víc, ale zdůraznil bych dvě: posouzení rizik a plán odolnosti. Subjekty kritické infrastruktury budou muset nejprve dokonale zmapovat svá aktiva a určit mezi nimi ta, která jsou skutečně klíčová pro zajištění základních služeb. Současně určí své kritické pracovníky a dodavatele, bez kterých se poskytování základních služeb neobejde. Následně zpracují vlastní posouzení rizik podle jednotné metodiky, která by se měla inspirovat známými mezinárodními standardy. A to všechno budou průběžně aktualizovat.
Proč je podle tebe posouzení rizik a jeho aktualizace pro posilování odolnosti kritické infrastruktury tak zásadní?
Michal Moroz (AKI): Je to základní ingredience. Musím přeci vědět, co chráním, proč a před čím. Jinak utratím spoustu peněz zbytečně. Stále existuje spousta podniků, které zavádí opatření jen na základě zvyku, protože tak se to přeci vždy dělalo. Nebo proto, že v nich někdo vyvolal pocit potřeby. Zpravidla nějaký šikovný obchodník s technologiemi. Nejenže to je v rozporu s principy péče řádného hospodáře, ale především je to nefunkční.
Při posouzení rizik je také potřeba myslet na to, že méně znamená více. Viděl jsem katalogy rizik o desetitisících položkách, v nichž se snad neorientoval ani jejich autor. Někteří poradci stále žijí v domnění, že čím více rizik popíšou, tím více mohou fakturovat. Praktická použitelnost takových výstupů je tristní. Kvalitní management rizik znamená, že jsou výstupy srozumitelné, reálné a snadno použitelné.
A co si můžeme představit pod plánem odolnosti?
Michal Moroz (AKI): Půjde o materiál, ve kterém budou stanovena praktická opatření k zajištění odolnosti subjektu kritické infrastruktury. Jejich rozsah si stanoví každý podnik sám na základě posouzení rizik. Plán odolnosti je nutné také pravidelně aktualizovat, aby se opatření přizpůsobovala dynamice nových hrozeb a změnám, které jejich podnikání ovlivňují. Půjde o pokročilejší a detailnější verze plánů krizové připravenosti, jak je znají subjekty kritické infrastruktury dnes.
O jaká opatření konkrétně půjde?
Michal Moroz (AKI): Půjde o kombinaci mnoha organizačních, bezpečnostních a technických opatření. Jejich cílem bude především prevence a předcházení vzniku incidentů, predikce nebo přinejmenším včasná detekce bezprostředních hrozeb, správná reakce na incidenty a jejich zmírňování. Příznačným motivem nové právní úpravy je pak řízení kontinuity činností, které se jí vine jako červená nit. Důležitou kapitolou budou také opatření k řízení rizik pracovníků a dodavatelského řetězce.
Proč věnují autoři zákona tolik pozornosti kritickým dodavatelům? Stávající právní úprava kritické infrastruktury tuto oblast prakticky neřešila...
Michal Moroz (AKI): S rostoucí komplexitou kritické infrastruktury roste nejen závislost jednotlivých odvětví navzájem, ale také závislost na třetích stranách. Externí dodavatelé dnes zajišťují celou řadu činností, které si historicky zajišťovaly subjekty kritické infrastruktury samy. Jenže politika snižování provozních nákladů vedla řadu firem k rozhodnutí vyčlenit své podpůrné útvary. Takže dnes je naprosto běžné, že jim provoz, údržbu, servis nebo havarijní služby zajišťují třetí strany. Na trhu už nenajdete subjekt, který by se bez nich odešel. Zákon o kritické infrastruktuře nicméně ponechává subjektům volné ruce v tom, jak tato rizika spojená s konkrétními dodavateli a dodavatelskými řetězci ošetří. Moje předpověď je, že většina si s tím poradí tak, že na své kritické dodavatele přenesou jedna ku jedné stejné povinnosti, jaké budou muset plnit oni sami.
Lze v této souvislosti hovořit až o strategické závislosti?
Michal Moroz (AKI): Určitě. Strategická závislost je sice termín používaný spíše na úrovni státu, ale myslím, že se hodí i pro firemní prostředí. Řešením je pochopitelně lokalizace a diverzifikace, ale ta není vždycky možná. Někteří dodavatelé mají natolik jedinečné postavení, že je jednoduše nemáte kým nahradit. A nemusí se jednat jen o suroviny nebo technologie, ale také o jedinečné kompetence a dovednosti. V extrémních případech pak může selhat kritický článek, který ovlivní celý dodavatelský řetězec.
Mým oblíbeným příkladem jsou úzká hrdla námořních cest – průplavy a úžiny. Vzpomeň si na nehodu lodi Evergiven v Suezu, která na několik měsíců paralyzovala obchodní cesty mezi Evropou a Asií. Nebo na letošní útoky Húsíů na úžinu Mandeb. Ne náhodou se jí česky přezdívá Brána slz.
Další oblastí, které věnuje nový zákon zvláštní pozornost, je kritický personál. Kdo se za tímto pojmem skrývá?
Michal Moroz (AKI): Zákon naštěstí nepoužívá pojem zaměstnanec, ale pracovník. Za tím se skrývá každý, kdo je v jakémkoli pracovním, služebním nebo jiném obdobném poměru vůči subjektu kritické infrastruktury nebo vůči jeho kritickému dodavateli. Kritičtí pracovníci jsou pak ti, kteří jsou nezbytní pro zajištění poskytování základní služby. Větší orientace na personál je správná, protože lidský faktor bývá nejčastější příčinou problémů. Ať už jde o provozní selhání, nedodržování pravidel kybernetické bezpečnosti nebo chyby při reakcích na incidenty, které jejich škodlivý dopad ještě umocňují.
Co mohou zaměstnavatelé s těmito riziky dělat? V řadě odvětí, typicky kybernetické bezpečnosti, řízení incidentů či zajištění nepřerušeného provozu (business continuity) na našem pracovním trhu dostatek lidí prostě není. Organizace jsou pak často nuceny zaměstnávat, a poměrně draze, i lidi s menší mírou zkušeností a znalostí.
Michal Moroz (AKI): Zejména u kritických pracovníků je nesmírně důležité ověřit jejich bezpečnostní způsobilost, spolehlivost a kompetence. Během pracovního poměru pak průběžně monitorovat, zdokonalovat a testovat jejich znalosti a schopnosti.
Jak už jsi zmínil, žádný systém není stoprocentní, a i když subjekt kritické infrastruktury udělá všechno správně, incidentům s možným dopadem na dostupnost poskytované služby se stejně nevyhne. Jaké budou jeho povinnosti po tom, kdy incident zachytí a začne řešit?
Michal Moroz (AKI): Incidenty se budou hlásit státu prostřednictvím zmíněného Portálu kritické infrastruktury. Pokud by nefungoval, stanoví zákon náhradní způsoby hlášení. V téhle souvislosti bych ale rád upozornil na jednu zajímavost. Směrnice CER vyzvala členské státy, aby vytvořily podmínky pro vzájemné sdílení informací mezi kritickými subjekty. Autoři zákona proto počítají s druhým informačním systémem nazvaným Platforma pro výměnu informací, která umožní subjektům kritické infrastruktury sdílet informace o událostech mezi sebou. Její využití bude dobrovolné, ale podle mě půjde o nesmírně užitečný nástroj, jehož význam teprve časem doceníme.
No a na závěr otázka, která asi napadne každého odpovědného manažera. Jak se na zákon o kritické infrastruktuře nachystat a kdy začít?
Michal Moroz (AKI): Určitě bych nepanikařil, ale ani zbytečně neotálel. Začal bych jednoduchou analýzou, která ukáže, jestli se vaší organizace nový zákon vůbec bude týkat. Pokud ano, je dobré stanovit si implementační harmonogram a zajistit si s předstihem potřebné personální a finanční zdroje. Protože bude-li implementace probíhat v příštím roce, je třeba počítat s ní při přípravě rozpočtu na nejbližší fiskální období. Důležité je rovněž sledovat relevantní zdroje o konečném znění českého zákona a jednotlivých požadavcích.
Asociace kritické infrastruktury ČR je profesní organizací sdružující subjekty kritické infrastruktury a jejich významné dodavatele. Asociace reprezentuje subjekty průřezově napříč sektory, zejména z odvětví energetiky, vodárenství, telekomunikací a veřejné dopravy. Jejím posláním je přispívat k posilování odolnosti kritické infrastruktury, zastupovat a hájit své členy, aktivně se podílí na tvorbě krizové a bezpečnostní legislativy, pořádá odborné konference a popularizuje problematiku ochrany kritické infrastruktury v České republice.
Michal Moroz je absolventem Právnické fakulty Univerzity Karlovy v Praze. Celoživotně se věnuje problematice řízení rizik, bezpečnosti, krizovému řízení a compliance. Aktuálně působí jako výkonný ředitel Asociace kritické infrastruktury ČR a nezávislý konzultant. V minulosti působil jako náměstek ministra vnitra nebo ve společnostech Securitas, Pinkerton, Česká pošta a Česká zbrojovka.
