Evropská unie míří k historicky největší změně v regulaci ICT dodavatelských řetězců – a dotkne se prakticky všech odvětví spadajících pod NIS2. Návrh CSA2 přináší ambiciózní, ale zároveň kontroverzní rámec, který může zásadně ovlivnit nejen bezpečnost, ale i ekonomiku a provozní realitu evropských podniků. Kombinuje geopolitické úvahy, bezpečnostní požadavky a velmi tvrdé regulatorní nástroje, jejichž dosah si dnes řada adresátů možná ani plně neuvědomuje. Tento text přináší podrobný pohled na to, jak návrh funguje, kde má slabiny a proč vyvolává tolik obav – zejména u operátorů elektronických komunikací.
kyberbezpečnost dodavatelské řetězce EU CSA2 regulace
Problematika dodavatelských řetězců se v uplynulých letech dostala na pomyslnou přední příčku regulačních i byznysových úvah. Ve světě globalizovaného obchodu a rozprostření dodavatelských vztahů napříč kontinenty se ukázalo jako zcela zjevné, že tento dekády budovaný systém může být extrémně křehký, a to v reakci na události typu pandemie COVID-19, prosté nezprůjezdnění Suezského průplavu a pochopitelně i války na Ukrajině. Ve formujícím se multipolárním světě, kde se ustavují nová globální i lokální velmocenská centra, přírodní zdroje, obdobně jako technologie, jsou prostředkem i nástrojem vlivu. Regulace dodavatelských řetězců pak má být opatřením, které zvýší odolnost a potažmo i bezpečnost jednotlivých aktérů a ve svém důsledku i celku jako v případě zajištění fungování služeb a infrastruktury, které jsou kritické pro celou společnost. Ve snaze reagovat na zhoršující se bezpečností situaci ve světě a geopolitické proměny s dopadem na Evropu EU připravila novou právní regulaci v oblasti kybernetické bezpečnosti, kterou představila Evropská komise (dále také jen „Komise“) v lednu letošního roku.
Návrh nařízení EU o kybernetické bezpečnosti (dále také jen „CSA2“) si tak klade za cíl zvýšit schopnosti a odolnost EU v oblasti kybernetické bezpečnosti a zabránit roztříštěnosti jednotného digitálního trhu EU. Tento návrh má dle Evropské komise nejen zvýšit bezpečnost dodavatelských řetězců EU v oblasti informačních a komunikačních technologií (dále také jen „ICT“), ale současně i zajistit, aby produkty, které se dostanou k občanům EU, byly kyberneticky bezpečné již od návrhu, a to prostřednictvím jednoduššího certifikačního procesu. Návrh má dále usnadnit dodržování stávajících pravidel EU v oblasti kybernetické bezpečnosti a posílit Agenturu EU pro kybernetickou bezpečnost (ENISA) při podpoře členských států a EU při zvládání kybernetických bezpečnostních hrozeb.
Pro tento článek je pak právě část návrhu zabývající se tématem regulace dodavatelských řetězců v oblasti informačních a komunikačních technologií tou zásadní částí, kterou se i dále v textu budeme zabývat.
Rámec pro důvěryhodný dodavatelský řetězec ICT dle návrhu CSA2
Návrh CSA2 ve svých článcích 98 až 117 představuje velmi ambiciózní představu EU o rámci pro důvěryhodné ICT dodavatelské řetězce. Tato část návrhu představuje výrazný posun v regulatorním přístupu EU – od reaktivního řízení kybernetické bezpečnosti k proaktivní, rizikově orientované a geopoliticky uvědomělé regulaci. EU zde poprvé formálně uznává, že netechnické, systémové a geopolitické rizikové faktory mohou být stejně závažné jako tradiční technické zranitelnosti. Toto ovšem může být současně zásadní nedostatek celého představeného konceptu, jelikož se návrh CSA2 snaží reflektovat netechnická rizika, která spadají do oblasti národní bezpečnosti členských zemí, nikoli působnosti EU. Evropská komise opírá potřebu regulovat oblast dodavatelských řetězců o potřebu chránit jednotný trh a tvrdí, že tato opatření jsou slučitelná s článkem 114 Smlouvy o fungování Evropské unie. Avšak Komise nepředkládá žádný důkaz, že by dosavadní přístupy členských států k řízení rizik spojených s dodavatelskými řetězci jakkoli narušovaly fungování jednotného trhu. Nabízí se tak zcela zřejmá možnost, že samotný návrh v rozsahu úpravy dodavatelských řetězců není v souladu s článkem 4 (2) Smlouvy o EU, podle kterého je národní bezpečnost výlučnou odpovědností členských států.
Článek 98 návrhu CSA2 vymezuje horizontální a napříč sektory použitelný rámec vztahující se na všechny zásadní a důležité subjekty podle směrnice NIS2. Čtenáři je tak třeba zdůraznit potenciální dopad této regulace, která zahrnuje veškeré regulované sektory v režimu směrnice NIS2. Účelem článku 98 pak je identifikovat klíčová ICT aktiva v kritických sektorech a zajistit, aby jejich dodavatelské řetězce nebyly vystaveny nepatřičným zahraničním vlivům či strategickým zranitelnostem.
Základním nástrojem pro zajištění bezpečnosti dodavatelského řetězce pak je unijní koordinované hodnocení rizik dle článku 99 návrhu CSA2, které musí zahrnovat analýzu hrozeb a zranitelností, sektorových specifik a návrhy mitigací. V případě mimořádných hrozeb pak lze využít i zrychlený nouzový postup. Je třeba zmínit, že návrh pro koordinované hodnocení navrhují pouhé tři členské země EU či Komise. Lze si tak poměrně snadno představit situaci, kdy samotný návrh na koordinované hodnocení rizik může cílit i na země jako např. Izrael, kdy motivací může být nejen bezpečnost, ale i politická orientace.
Podle článku 100 návrhu CSA2 pak EU může určit třetí zemi jako původce „vážných a strukturálních netechnických kybernetických rizik“. Posuzují se mimo jiné zákony dané země, možnost vlivu na dodavatele, historie kybernetických aktivit či ochota spolupracovat s EU. Dodavatelé z těchto zemí se po určení stávají vysoce rizikovými.
Článek 102 pak umožňuje Komisi určit klíčová ICT aktiva, která mají zásadní roli pro bezpečnost a odolnost kritických služeb. Zařazení aktiv na seznam aktivuje povinné mitigace. V této části je pak třeba upozornit na to, že určení klíčových ICT aktiv může mít zcela zásadní ekonomický a technologický dopad na adresáty dané regulace. Přičemž nelze nezmínit, že vlastní určení má být stanoveno prováděcím předpisem Evropské komise, a to bez jakékoli reálné ingerence ze strany členských zemí. Navazující článek 103 dává Komisi možnost přijmout závazná opatření, jako jsou zákazy, omezení, diverzifikace dodavatelů a povinné postupné vyřazování rizikových komponent. Prakticky tak může nastat situace, kdy např. výrobce a distributor elektřiny v dané členské zemi bude donucen nahradit určenou infrastrukturu ICT (např. bateriové systémy, ale také rozvodné sítě či výrobny elektřiny), a to bez možnosti byť jen konzultovat v rámci členské země dopady takového rozhodnutí.
Seznam vysoce rizikových unijních dodavatelů zřizuje článek 104 návrhu CSA2. Tento seznam je závazný v celé EU.
Články 105 až 109 návrhu CSA2 pak upravují formalizovaný proces pro udělení individuální výjimky z výše popsaného seznamu, pokud bude prokázána nezávislost, transparentnost a schopnost mitigovat rizika.
Jak již bylo zmíněno výše, regulace dodavatelských řetězců dle návrhu CSA2 se vztahuje na všechna odvětví spadající do působnosti směrnice NIS2, přesto návrh klade nejvyšší nároky do oblasti sítí elektronických komunikací, kde články 110 až 111 stanoví přísnější pravidla, a to včetně zákazu použití komponent od vysoce rizikových dodavatelů a povinného vyřazení komponent do určité lhůty. V případě mobilních sítí je určena lhůta pro vyřazení na 36 měsíců od uveřejnění seznamu vysoce rizikových unijních dodavatelů. Nejen autorovi článku schází v dokumentaci připojené k návrhu CSA2 přesvědčivá argumentace, proč Komise zvolila jako jedinou oblast s nejpřísnějšími pravidly právě podnikatele v oblasti sítí elektronických komunikací, přestože např. směrnice NIS2 ve svých pravidlech nevyzdvihuje jednu konkrétní oblast nad další z hlediska cíle zajištění kybernetické bezpečnosti.
Články 112 až 117 návrhu CSA2 upravují dohled, vynucování a sankce v této oblasti. Pokuty pro porušení příslušné části návrhu CSA2 pak mohou vystoupat až do výše 7 % celosvětového obratu případného porušitele. Podobně jako Komise zvolila nejpřísnější pravidla pro oblast provozovatele sítí elektronických komunikací, i v případě možných postihů pro tyto subjekty upravila vedle možné pokuty i možnost ztráty licence k podnikání, a to provázáním na návrh nařízení o digitálních sítí uveřejněného taktéž v lednu letošního roku.
Zásadní nedostatky nové regulace dodavatelských řetězců v ICT z pohledu podnikatele v oblasti sítí elektronických komunikací
Zásadní nedostatky daného návrhu lze spatřit zejména ve třech dále popsaných prvcích.
Jak již bylo zmíněno, návrh CSA2 opírá potřebu regulovat oblast dodavatelských řetězců o potřebu chránit jednotný trh a tvrdí, že tato opatření jsou slučitelná s článkem 114 Smlouvy o fungování EU, přestože Komise nepředkládá žádný důkaz, že by dosavadní přístupy členských států k řízení rizik spojených s dodavatelskými řetězci v ICT jakkoli narušovaly fungování jednotného trhu. Vzniká tak významné riziko zásahu do národní suverenity členských zemí z hlediska národní bezpečnosti.
Za druhý nedostatek lze označit koncepční přístup „one to fit them all“, jak ho lze vypozorovat právě v pravidlech kladených do odvětví sítí elektronických komunikací. Jednotný termín pro náhradu technologií v mobilních sítích tak nezohledňuje nejen rozdílné situace v jednotlivých členských zemích, ale i mezi jednotlivými společnostmi. Tento přístup pak nedoprovází fakty podložená analýza dat z hlediska procedurální proveditelnosti, dostupných kapacit, paralelně postupujících požadavků EU v oblasti sítí elektronických komunikací a ani v možné finanční zátěži plynoucí z vynucené náhrady technologií před uplynutím životního cyklu takových technologií. Pro praktickou představu lze uvést, že předpokládané investiční náklady ze strany Komise a odborného evropského uskupení GSMA se rozcházejí řádově minimálně o 40 mld. €, a to se nejedná o aktuální vyčíslení reflektující např. dopady probíhajícího konfliktu na Blízkém východě či inflaci uplynulých pěti let.
Za poslední a fundamentální nedostatek autor považuje absenci kompenzačního mechanismu pro případ, kdy bude povinný subjekt nucen odstranit legálně získané a stále funkční zařízení před koncem jeho ekonomické životnosti, a to bez náhrady škody. Povinné odstranění zařízení, které je v provozu, funguje a nemá žádné alternativní využití (tj. musí být odepsáno), je z právního hlediska ekvivalentem vyvlastnění. A podle ustálené judikatury musí být vyvlastnění doprovázeno férovou kompenzací vyplacenou v přiměřené době. Návrh CSA2 však žádný mechanismus náhrady škody neobsahuje. To znamená, že finanční břemeno povinného odstranění technologie zcela přechází na příslušné povinné subjekty, přestože se jedná o opatření ukládané nad rámec národní politiky a v rozporu s unijní zásadou proporcionality. Takový přístup může být s přihlédnutím na rozsah potenciálně postižených odvětví dle návrhu CSA2 nejen ekonomicky neudržitelný, ale i právně napadnutelný. Zásah může mít v nejhorším případě i znaky nuceného odnětí majetku bez náhrady, což vyvolává riziko dlouhotrvajících právních sporů.
Závěr
Návrh CSA2 představuje zcela nový přístup EU, který pracuje s geopolitickými a systémovými (netechnickými) riziky v ICT dodavatelských řetězcích, a to napříč všemi sektory regulovanými směrnicí NIS2. Zavádí koordinované unijní hodnocení rizik, možnost označit třetí země jako zdroj netechnických kybernetických hrozeb a pravomoc Komise určit vysoce rizikové dodavatele či klíčová ICT aktiva s povinnými mitigacemi. Komise získává rozsáhlé pravomoci přijímat závazná opatření včetně zákazů, povinné diverzifikace či nucené postupné výměny infrastruktury – a to bez reálné možnosti členských států tato rozhodnutí ovlivnit. Nejtvrdší dopady návrh ukládá v tuto chvíli společnostem podnikajícím v odvětví sítí elektronických komunikací, na které jsou kladeny nejpřísnější povinnosti včetně povinné výměny rizikových komponent mobilních sítí do 36 měsíců. Návrh však trpí zásadními nedostatky, zejména pochybným právním základem, jelikož Komise nepřichází s podloženými podklady, že by přístupy členských států narušovaly jednotný trh, čímž může docházet k zásahu do národní bezpečnosti členských zemí. Dalším problémem je jednotný, rigidní přístup „one to fit them all“, který ignoruje rozdílné podmínky jednotlivých trhů a společností, kapacitní limity a dramatické rozdíly v reálných odhadech nákladů na výměnu technologií. Zcela také absentuje kompenzační mechanismus pro případy, kdy podniky budou nuceny odstranit plně funkční, legálně pořízené technologie před koncem jejich životního cyklu. Tento aspekt může mít povahu vyvlastnění bez náhrady, což může být nejen ekonomicky neudržitelné, ale i právně napadnutelné a potenciálně to může vést k dlouhodobým soudním sporům a právní nejistotě.
