Prague – Les grandes entreprises nationales ont demandé au premier ministre Petr Fiala (ODS) de suspendre le processus législatif d’approbation de la loi sur la cybersécurité. La loi, élaborée par l’Office national de la sécurité et de l’information (NÚKIB), entend être alignée sur la directive européenne NIS2, exige une évaluation de son impact sur les entreprises et souhaite exclure le mécanisme de vérification de la sécurité de la chaîne d’approvisionnement. La proposition a passé le Conseil législatif du gouvernement et devrait être examinée par le cabinet dans les semaines à venir. Cela ressort d’une lettre dont l’agence de presse ČTK a une copie et d’une déclaration de l’Association des opérateurs de téléphonie mobile (APMS) comme l’une des cinq organisations signataires de la lettre. La porte-parole du cabinet, Lucie Ješátková, a déclaré à ČTK qu’il est nécessaire de procéder de manière à renforcer la cybersécurité et la résilience de la République tchèque.
La lettre a été signée par la Chambre de commerce tchèque, l’Association des opérateurs de téléphonie mobile, l’Union des TIC, le Comité de l’industrie indépendante des TIC et l’Association tchèque des communications électroniques. Selon le président de l’APMS, Jiří Grund, il n’est pas possible d’adopter une norme légale sans évaluer l’impact financier sur les entreprises et les autorités. Selon l’estimation de l’association, ils s’élèveront à des dizaines de milliards de couronnes. « L’évaluation de l’impact de la réglementation (RIA) réalisée par le NÚKIB ne fournit pas une base suffisante pour une décision éclairée des législateurs sur le projet de loi. La RIA a été réalisée uniquement formellement, probablement a posteriori. Il est probable que l’Office a d’abord rédigé la loi, puis procédé à l’évaluation de l’impact et non l’inverse, qu’il aurait d’abord mené des analyses, évalué leurs impacts et ensuite choisi celle qui apporte le plus de bénéfice à moindre coût, » a déclaré Grund à ČTK. La porte-parole du cabinet a déclaré à ČTK que de nombreuses réunions avaient eu lieu sur le sujet et qu’un certain nombre de remarques des syndicats d’entreprises avaient déjà été prises en compte. Selon elle, Fiala répondra à la lettre par les voies habituelles.
Selon l’avis opposé de l’APMS, le rapport ne contient pas un aperçu concret des entités qui deviendront des fournisseurs de services réglementés en vertu de la nouvelle loi et qui devront donc mettre leurs systèmes et processus en conformité avec cette loi, ce qui impliquera des coûts pour elles. Le rapport ne contient pas non plus d’estimation de ces coûts, ni une estimation, même approximative, des coûts agrégés ou des coûts pour les différents secteurs réglementés, afin de permettre d’évaluer l’impact sur l’environnement des entreprises, les impacts sociaux et les impacts sur les consommateurs. Le rapport ne contient aucune évaluation de l’impact sur les petites et moyennes entreprises.
L’objectif initial de la nouvelle loi était de transposer la norme européenne sur la cybersécurité NIS2 dans le droit tchèque. Selon les organisations professionnelles, contrairement à d’autres pays qui ont simplement traduit le règlement, la Tchéquie va bien au-delà de son cadre et a en plus ajouté un mécanisme d’évaluation des entreprises fournissant des services, dans lequel le NÚKIB aurait le rôle principal. La République tchèque a jusqu’en octobre pour adopter la NIS2, mais le NÚKIB a déjà laissé entendre qu’il ne respecterait probablement pas ce délai.
Selon une enquête de l’alliance NIS2READY, seulement 28 % des organisations ont commencé à mettre en œuvre des mesures de sécurité selon NIS2. Seule une organisation sur sept est complètement prête. Les entreprises privées interrogées anticipent des dépenses de plusieurs millions et un tiers d’entre elles envisagent d’utiliser une subvention.