Hodnocení dopadů regulace (RIA) vypracované NUKIBem neposkytuje dostatečný podklad pro kvalifikované rozhodování zákonodárců o návrhu ZKB. RIA byla provedena jen formálně, s velkou pravděpodobností ex post. Úřad pravděpodobně nejdříve napsal zákon a pak k němu provedl hodnocení dopadů, nikoli že by nejdříve provedl analýzy, poté zhodnotil jejich dopady a poté vybral tu, která přináší nejvíce přínosů s nejnižšími náklady.
Vláda ČR jasně deklaruje, že kvalitní hodnocení dopadů regulace RIA[1] napomáhá ke zlepšení efektivity vládnutí a přispívá k výkonnosti hospodářství. V případě Zákona o kybernetické bezpečnosti (ZKB), který připravuje pro Vládu ČR Národní úřad pro kybernetickou a informační bezpečnost (NUKIB), je však předložené hodnocení dopadů regulace (RIA) zcela nedostatečné. Mnohdy i popírá samotná metodická pravidla vlády.
V průběhu přípravy ZKB bohužel NUKIB připomínky soukromého i veřejného sektoru ke kvalitě zpracovaného RIA hodnocení, nebral vážně. APMS se proto rozhodla zadat vypracování oponentního posudku s cílem posoudit kvalitu zpracování předložené RIA a porovnat ji oproti plnění příslušných manuálů, vodítek a pravidel pro provádění RIA, které jsou veřejně dostupné na stránkách Úřadu vlády ČR.
Jelikož APMS jako zájmová sektorová organizace, nedisponuje odbornými kompetencemi spojenými s přípravou RIA, oslovila ke spolupráci na projektu Výzkumné centrum - Laboratoře behaviorálních studií (LABS) Fakulty sociálně-ekonomické Univerzity Jana Evangelisty Purkyně (dále jen hodnotitel). Toto centrum reprezentuje tým předních odborníků z akademického prostředí, který má bohaté profesní zkušenosti jak v oblasti zpracování zpráv o hodnocení dopadů regulace (RIA) tak i v oblasti nastavování metodických pravidel pro korektní pojetí dopadů regulace.
Hodnotitel došel k závěru, že RIA vypracovaná NUKIBem NEPOSKYTUJE dostatečný podklad dalším orgánům, které budou zákon projednávat, aby se dokázaly kvalifikovaně rozhodnout, zda jej schválit, či v některých ustanoveních měnit.
Zpráva především neobsahuje konkrétní přehled subjektů, které budou na základě nového zákona poskytovateli regulovaných služeb a budou tedy muset uvést své systémy a procesy do souladu s tímto zákonem, což pro ně bude znamenat náklady. Zpráva neobsahuje také odhad těchto nákladů a odhad (alespoň formou nějakého rozpětí) agregovaných nákladů, případně nákladů na jednotlivá regulovaná odvětví, aby bylo možné zhodnotit dopad na podnikatelské prostředí, sociální dopady a dopady na spotřebitele.
Ve zprávě zcela absentuje vyhodnocení dopadu na malé a střední podniky, které pravidla pro hodnocení dopadů regulace vyžadují – většina subjektů, na které zákon dopadne, budou přitom z logiky věci malé a střední podniky (zákon je sice primárně jako implementace příslušné evropské směrnice zaměřený na střední a velké podniky, ale v odvětví poskytování služeb/sítí elektronických komunikací má ambici dopadnout na všechny podnikatele bez rozdílu velikosti, což v české realitě znamená bezmála šest tisíc převážně malých podniků a mikropodniků).
Předkladatel také nevyhodnotil dopady ani na výdajovou stranu státního rozpočtu (řada povinných subjektů budou nově regulované organizační složky státu, například státní zastupitelství či soudy, a přijetí nové právní úpravy bude navíc vyžadovat zavedení nových organizačních postupů a zavedení nových rolí v organizacích, což vyvolá personální požadavky), ani na příjmovou stránku rozpočtu, kdy především část zákona týkající se prověřování dodavatelského řetězce může ve finále znamenat významné dodatečné a nečekané investice u subjektů, které jsou zároveň významnými plátci daně z příjmu právnických osob. Pro rozhodnutí by bylo vhodné znát dopady nutných opatření požadovaných NIS2, ale i lokálních nepovinných požadavků nad rámec směrnice.
Předkladatel také zákon koncipuje jako „podvozek“, u kterého konkrétní regulované subjekty a konkrétní opatření, které budou muset plnit, bude definovat až formou vyhlášek. K nim ale dle Plánu vyhlášek na rok 2024 neplánuje už provádět hodnocení dopadů regulace, což fakticky znamená, že reálné dopady kroků státu v této oblasti na podnikatele, veřejnou sféru i spotřebitele nebudou vyhodnoceny nikde.
Celý dokument Posouzení Zprávy o hodnocení dopadů regulace (RIA) k návrhu nového Zákona o kybernetické bezpečnosti si můžete stáhnout níže.
[1] Hodnocení dopadů regulace (Regulatory Impact Assessment) je dokument, který analyzuje dopady navrhovaného právního předpisu nebo regulace na různé oblasti, jako jsou hospodářství, životní prostředí, zaměstnanost a další. Cílem těchto zpráv je poskytnout komplexní hodnocení možných důsledků a efektivity navrhovaného opatření před jeho přijetím. Tato analýza obvykle zahrnuje odhadované náklady a přínosy, možné alternativy řešení a konzultace s dotčenými stranami. Hodnocení dopadů regulace je navíc důležité pro kvalifikované rozhodnutí politické reprezentace, zda návrh zákona akceptovat či ne v podobě, ve které ho navrhovatel předkládá vládě a ve které jej poté vláda předkládá parlamentu pro schválení. Volení zástupci lidu musejí mít maximum informací o dopadu na jejich voliče, na ekonomiku a na společnost k tomu, aby mohli učinit kvalifikované rozhodnutí o tom, zda zákon schválit, změnit či odmítnout.
Bezpečnost, Telekomunikace
Bezpečnost, Telekomunikace
