EU chce centralizovat zákazy rizikových technologií přes CSA2, Česko se staví na odpor

Novinky Date: 19. kvě 2026 Zobrazení: 18

EU chce centralizovat zákazy rizikových technologií přes CSA2, Česko se staví na odpor

Navrhované nařízení CSA2 by umožnilo Evropské komisi zakázat rizikové technologické dodavatele ve všech 18 kritických sektorech napříč EU – a přesunout část rozhodování o národní bezpečnosti z členských států do Bruselu. Česká republika návrhu vystavila žlutou kartu.

Debata o tom, jak naložit s technologiemi od potenciálně nebezpečných dodavatelů, probíhá v Evropě od konce roku 2018. Tehdy se rozjela diskuse o telekomunikačních sítích a dodavatelích jako Huawei nebo ZTE, jejichž napojení na čínský stát a zákonná povinnost čínských subjektů podílet se na zpravodajské činnosti vyvolaly v řadě zemí regulatorní reakci. V Česku prosadil NÚKIB zákon o kybernetické bezpečnosti, který implementuje směrnici NIS2 a obsahuje i mechanismus pro zákaz dodavatelů klasifikovaných jako bezpečnostní riziko. Tento mechanismus se ale ve vládním procesu zasekl a zatím ho nikdo nepustil dál.

Nyní přichází Evropská komise s nařízením označovaným jako Cyber Security Act 2 (CSA2), jehož návrh předložil Evropský parlament společně s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA). Ambice CSA2 sahají výrazně dál než stávající rámce. Záměrem je vytvořit unijní mechanismus, který by umožnil identifikovat dodavatele technologií jako rizikové na základě nejen technických parametrů, ale také takzvaných netechnických rizik – tedy vlivu cizích vlád, absence demokratických záruk v zemi původu nebo strategické závislosti na dodavateli.

Pokud by byl dodavatel takto vyhodnocen jako problematický, nastoupila by opatření ve třech vrstvách. První vrstva zahrnuje zákaz účasti ve veřejných zakázkách a omezení přístupu k evropským dotacím a certifikacím. ENISA by v tomto procesu získala rozšířené operativní pravomoci. Druhá vrstva ukládá mitigační povinnosti: zákaz vzdálené správy zařízení ze třetích zemí, povinné audity třetích stran a omezení outsourcingu. Třetí, nejpřísnější vrstva pak znamená povinné odstranění technologií dotčeného dodavatele z infrastruktury – s lhůtou 36 měsíců pro mobilní operátory a další provozovatele kritické infrastruktury ve všech 18 regulovaných sektorech, od telekomunikací přes energetiku a dopravu až po bankovnictví. Pokuty za nedodržení by mohly dosáhnout až sedmi procent celosvětového ročního obratu.

Česká republika na návrh zareagovala na více frontách a výsledek je shodný: žlutá karta. Sekce pro evropské záležitosti Úřadu vlády konstatovala, že CSA2 odebírá pravomoci členských státům a posiluje roli Bruselu nad míru, která je pro oblast národní bezpečnosti přijatelná. Výbor pro evropské záležitosti Poslanecké sněmovny pak formálně konstatoval, že návrh porušuje princip subsidiarity. Senát toto hodnocení potvrdil a přidal argument, že při hodnocení konkrétních dodavatelů mohou mít členské státy přístup k informacím, k nimž Komise přístup nemá.

Česká vláda dále namítá, že CSA2 zvyšuje administrativní zátěž – což je v přímém rozporu s programovým prohlášením o snižování byrokracie. Paralelně probíhalo intenzivní lobování průmyslových sdružení: Svaz průmyslu a dopravy, Hospodářská komora i Asociace provozovatelů mobilních sítí se vyjadřovaly ve prospěch mírnějšího výsledku. Prostřednictvím posledních dvou jmenovaných je v procesu aktivní i Huawei.

Záležitost má technický i politický rozměr zároveň. Na technické rovině jde o to, zda centralizované posuzování rizikových dodavatelů přinese koherentnější výsledky než mozaika národních přístupů, v níž například francouzská, německá a česká regulace doposud nesměřují ke stejnému cíli. Na rovině politické jde o zásadní otázku, jak dalece mohou členské státy delegovat rozhodnutí dotýkající se jejich kritické infrastruktury a národní bezpečnosti – témat, která si dosud střeží jako výsostně vlastní kompetenci. Návrh nyní procházív legislativním procesem; žluté karty od více členských států mohou vést ke změnám textu, nejsou však pro Komisi závazné.