Samotnou povinnost prověřování dodavatelů nevnímáme za fundamentální problém, problém je její ohromující rozsah, který dává jednomu úřadu státní správy možnost vstupovat do vztahů mezi dodavateli a odběrateli v celém rozsahu infrastruktury, včetně těch nejodlehlejších částí, které rozhodně nepředstavují kritické části našich sítí. Jako Hospodářská komora jsme mnoho měsíců setrvale vysvětlovali, že navržený rozsah regulace je pro zdravé investiční prostředí nepřijatelná, odborně nadbytečná a má potenciál poškodit rychlost rozvoje ICT infrastruktury v celé České republice, zejména v rurálních oblastech. Také nám vadí, že NUKIB, potažmo stát, navrhuje další čistě českou cestu regulace dodavatelů, zatímco my voláme po celounijním řešení.
Nejzávažnější nedostatek návrhu Zákona je přílišná možnost jednoho úřadu vstupovat do obchodních vztahů firem. Navrhujeme, aby případná omezení dodavatelů nemohla být vyhlášena toliko opatřeními Národního úřadu pro kybernetickou bezpečnost, ale Vlády ČR jako celku. Rozhodnutí takového charakteru prostě je politickým rozhodnutím, musí jej vyhlásit politický orgán a při rozhodování je nutné respektovat názory dalších ministerstev či státních úřadů, jako je například Český telekomunikační úřad. NÚKIB bude zohledňovat pouze bezpečnostní hledisko, mnohdy na základě geopolitických, nikoliv kyberbezpečnostních rizik. Vliv na ekonomiku, rozvoj sítí, cenu služby či další sociální aspekty mu mohou být při rozhodování lhostejné. Podle současného návrhu nejsou názory dotčených orgánů pro NUKIB závazné.
Vypořádání připomínek hodnotíme jako zcela nedostatečné. Návrh nového ZKB extrémně tvrdou regulací, která ukazuje fundamentální nedůvěru NUKIBu ve schopnost ICT sektoru zabezpečit svoji infrastrukturu a tím i vlastní „výrobní prostředky“. Privátní česká ICT infrastruktura je dobře zabezpečené a provozovaná bez vážných kyberbezpečnostních incidentů. Předkládaný návrh jde ve svém důsledku do takových povinností, které v mnoha případech budou vyžadovat pro české firmy stavět paralelní infrastrukturu, namísto využití stávajících prostředků propojených se zeměmi EU. Taková situace vytváří extrémní nároky na zdroje, které si například menší podnikatelé nemohou dovolit.
Hospodářská komora dlouhodobě upozorňuje, že Vláda bude o návrhu nového Zákona o kybernetické bezpečnosti rozhodovat bez komplexní analýzy RIA (z anglického Regulatory Impact Assessment). Úředníci se při přípravě návrhu Zákona vůbec nezabývali dopadem regulace na celá průmyslová odvětví, předložená analýza RIA byla i terčem kritiky Legislativní rady Vlády a je zcela nedostatečná. Očekáváme, že Vláda České republiky návrh Zákona o kybernetické bezpečnosti vrátí Národnímu úřady pro kybernetickou bezpečnost k dopracování.