Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
IV.
DŮVODOVÁ ZPRÁVA
A. Obecná část
Národní úřad pro kybernetickou a informační bezpečnost (dále jen „Úřad“) vykonává na základě § 22 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, státní správu v oblasti kybernetické bezpečnosti. Z tohoto důvodu je i mimo jiné gestorem řádné transpozice směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2), která je provedena předloženým návrhem nového znění zákona o kybernetické bezpečnosti (dále jen „návrh zákona“), kterým se ruší a nahrazuje zákon o kybernetické bezpečnosti.
V Plánu legislativních prací vlády na rok 2023, schváleném usnesením vlády č. 1075 ze dne 21. prosince 2022, byl pro Úřad zařazen legislativní úkol zpracovat a vládě předložit návrh zákona, kterým se mění zákon o kybernetické bezpečnosti. Cílem návrhu zákona je především zajistit řádnou transpozici směrnice NIS 2.
Dále byl v Plánu legislativních prací vlády na rok 2023 pro Úřad zařazen legislativní úkol zpracovat a předložit vládě návrh zákona, zpracovaný na základě zvoleného přístupu A – Prověřování dodavatelů podle aktuální bezpečnostní situace z materiálu uvedeného v usnesení Bezpečnostní rady státu č. 41 ze dne 21. června 2022 k Bezpečnosti dodavatelských řetězců strategické infrastruktury státu, č. j. 28261/2022-UVCR“ (dále také jako „mechanismus prověřování bezpečnosti dodavatelského řetězce“).
S ohledem na rozsah úprav požadovaných směrnicí NIS 2, přistoupil Úřad ke splnění daných úkolů předložením návrhu zákona, v rámci kterého byl zpracován také mechanismus prověřování bezpečnosti dodavatelského řetězce.
Při vypracování návrhu zákona byly zohledněny zásady pro tvorbu digitálně přívětivé legislativy.
Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
V rámci České republiky již existuje komplexní právní úprava týkající se kybernetické bezpečnosti, která z části odpovídá i požadavkům uvedeným ve směrnici NIS 2. Touto právní úpravou je především zákon o kybernetické bezpečnosti. Vedle něj však existují i dílčí právní úpravy zaměřující se na specifičtější oblasti. Tyto právní úpravy jsou ve vztahu k zákonu o kybernetické bezpečnosti lex specialis, popřípadě směřují úplně mimo režim tohoto zákona.
Zvláštní právní úpravu obsahuje zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a to v § 98 a § 99, které se vztahují na podnikatele zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací. Tyto subjekty mají povinnost zajišťovat bezpečnost a integritu své sítě a bezpečnost služeb, které poskytují.
Dále existuje zvláštní právní úprava pro kvalifikované a nekvalifikované poskytovatele služeb vytvářejících důvěru, kteří jsou regulováni podle nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „nařízení eIDAS“), v otázce kybernetické bezpečnosti především čl. 19 a jeho adaptační zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů.
Speciální úpravu v oblasti kybernetické bezpečnosti má také např. odvětví letectví, kde se spolu se zákonem o kybernetické bezpečnosti použije prováděcí nařízení Komise (EU) 2019/1583 ze dne 25. září 2019, kterým se mění prováděcí nařízení (EU) 2015/1998, kterým se stanoví prováděcí opatření ke společným základním normám letecké bezpečnosti, pokud jde o opatření týkající se kybernetické bezpečnosti.
Na některé dílčí otázky kybernetické bezpečnosti má u orgánů státní správy vliv zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů.
Zabezpečení informačních a komunikačních systémů nakládajících s utajovanými informacemi pak upravuje zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů.
Téma ochrany osobních údajů, které se může v řadě aspektů s tématem kybernetické bezpečnosti protnout, upravuje obecné nařízení o ochraně osobních údajů a jeho český adaptační zákon č. 110/2019 Sb., o zpracování osobních údajů.
Kybernetická bezpečnost však ve svém širším pojetí nemusí být tématem striktně ohraničeným. V současné době by již kybernetická bezpečnost neměla být vnímána jako vysoce technické téma týkající se úzkého okruhu specialistů a jako něco, co je řešeno jen na úrovni nejdůležitějších a pro stát nebo soukromý sektor nejvýznamnějších systémů. Z tohoto důvodu je kybernetická bezpečnost správně vnímána jako téma mající významný vliv na každodenní provoz a může a má na úrovni jednotlivých právních předpisů pronikat do jiných, zcela běžných a mnohem rozšířenějších regulatorních témat – např. do tématu obecné prevence podle občanského zákoníku, péče řádného hospodáře nebo odpovědnosti statutárního orgánu. Výše uvedený výčet právních předpisů majících vztah k tématu kybernetické bezpečnosti je proto jen demonstrativní.
Mechanismus prověřování bezpečnosti dodavatelského řetězce, který je součástí návrhu zákona, je pak odrazem národních požadavků na zvýšení bezpečnosti a snížení rizik plynoucích z netechnických aspektů zajišťování kybernetické bezpečnosti a jako takový nemá doposud odraz v platné legislativě. V jistých aspektech je zčásti podobný úpravě zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic).
Předkládaný návrh zákona má v souladu s požadavky stanovenými ve směrnici NIS 2 přinést další sjednocení požadavků na kybernetickou bezpečnost, zjednodušit a zpřehlednit právní úpravu a odstranit mezery mezi národní úpravou a požadavky plynoucími ze směrnice NIS 2. Spolu s tím dojde k podřazení řady doposud neregulovaných subjektů, jejichž ochrana je ve společenském a ekonomickém zájmu, pod veřejnoprávní regulaci kybernetické bezpečnosti a k zavedení několika nových procesů a nástrojů k posílení kybernetické bezpečnosti České republiky.
Požadavky stanovené směrnicí NIS 2 jsou ve svém důsledku takové povahy, že návrh zákona musí s ohledem na změnu dosavadního přístupu k oblasti kybernetické bezpečnosti upravit nejen některé dílčí oblasti tak, aby bylo možné sladit požadavky směrnice NIS 2 s dosavadním způsobem regulace kybernetické bezpečnosti, ale především musí dojít k podstatným změnám v oblasti stanovení a identifikace povinných osob, změn interních procesů a dalších náležitostí, které přinesly požadavky na další dílčí úpravy zákona o kybernetické bezpečnosti. Výše uvedené skutečnosti vedly k rozhodnutí, že dojde ke zrušení zákona o kybernetické bezpečnosti a vytvoření předloženého návrhu zákona. V návaznosti na návrh zákona bude také nutné zrušit a nahradit prováděcí právní předpisy zákona o kybernetické bezpečnosti.
Pokud jde podrobněji o mechanismus prověřování bezpečnosti dodavatelského řetězce, v českém právním řádu je v současnosti tato oblast upravena především zákonem o kybernetické bezpečnosti a vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).
Zákon o kybernetické bezpečnosti v tomto ohledu zejména ukládá v § 5 svým povinným osobám zavádět technická a organizační bezpečnostní opatření. Jedná se o konkrétní kroky k seznámení se s aktivy svých systémů, řízení rizik s nimi spojenými, zavedení minimálních opatření k technickému zabezpečení a jiné. Ve vztahu k dodavatelskému řetězci ukládá stávající právní úprava v oblasti kybernetické bezpečnosti povinným osobám v regulované infrastruktuře povinnost znát své významné dodavatele,[footnoteRef:1] informovat je o tomto jejich postavení, hodnotit rizika spojená s významnými dodavateli a smluvně své dodavatele zavazovat k přijetí některých kybernetických bezpečnostních opatření.[footnoteRef:2] [1: Významným dodavatelem je podle § 2 písm. n) vyhlášky o kybernetické bezpečnosti provozovatel informačního nebo komunikačního systému podle zákona o kybernetické bezpečnosti a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti systému.] [2: § 8 vyhlášky o kybernetické bezpečnosti.]
Dalším regulatorním nástrojem v této oblasti je institut varování upravený v § 12 zákona o kybernetické bezpečnosti a další opatření podle § 11 zákona o kybernetické bezpečnosti. Varování podle zákona o kybernetické bezpečnosti slouží mimo jiné k upozornění veřejnosti na hrozbu v oblasti kybernetické bezpečnosti, o které se Úřad dozvěděl z vlastní činnosti nebo od jiných orgánů či osob. Nejen pro výkon této kompetence je Úřadu umožněno provádět analýzu a monitoring hrozeb a rizik.[footnoteRef:3] Vydané varování pak mají povinné osoby podle zákona o kybernetické bezpečnosti v některých případech povinnost zohlednit v rámci řízení rizik spojených se svými systémy. [3: § 22 písm. u) zákona o kybernetické bezpečnosti.]
Právní řád tedy sice umožňuje zjišťovat a vyhodnocovat informace o hrozbách v oblasti kybernetické bezpečnosti, Úřadu a ostatním státním orgánům působícím v oblasti bezpečnosti dodavatelského řetězce ale dává pouze velmi omezenou možnost seznámit se s informacemi o dodavatelích v regulované infrastruktuře nebo o dodavatelích, kteří se o zakázky do regulované infrastruktury uchází, způsobem, který by umožňoval odhalit a vyhodnotit hrozbu spojenou s dodavateli ještě před její realizací.
V případě, kdy se ale Úřadu přesto podaří potřebné informace o současném či budoucím riziku spojenému s dodavatelským řetězcem získat a vyhodnotit, neumožňuje mu zákonná úprava na tato zjištění vhodně reagovat. Zákonné možnosti, které Úřad v takové situaci má, jsou pouze informovat o hrozbě formou varování podle § 12 zákona o kybernetické bezpečnosti nebo vydat reaktivní opatření podle § 13 zákona o kybernetické bezpečnosti – to však již cílí na určitý kybernetický bezpečnostní incident, a tedy na situaci bezprostředního narušení bezpečnosti regulované infrastruktury v konkrétní podobě. Minimalizovat zjištěnou strategickou hrozbu, spojenou s konkrétním dodavatelem prostřednictvím omezení jeho přítomnosti ve strategicky významné infrastruktuře, se státním orgánům v současné právní úpravě nenabízí.
Možnost omezovat přítomnost rizikových dodavatelů ve strategicky významné infrastruktuře je tak primárně ponechána na povinných osobách podle zákona o kybernetické bezpečnosti. S ohledem na rozdělení pravomocí a povinností mezi státem a soukromým sektorem, jakož i mezi jednotlivými státními orgány, nejsou však tyto povinné osoby motivovány analyzovat a omezovat hrozby pro větší množinu systémů strategicky významné infrastruktury, než za jaké jsou odpovědné.
Nicméně i pokud by se povinná osoba chystala takovou hrozbu ve svém řízení rizik podle vyhlášky o kybernetické bezpečnosti reflektovat, nemá zpravidla oprávnění, nástroje ani kapacitu shromažďovat a vyhodnocovat informace k tomu potřebné.
Strategické hrozby spojené s dodavateli, například možnost nepřezkoumatelných zásahů cizích států do aktivit dodavatele či neformální působení na dodavatele, směřující k poškození jiného státu, vyžadují pro svoji sofistikovanost a komplexitu seznámení se s velkým množstvím informací, často neveřejného či dokonce zpravodajského charakteru. K těmto informacím má z podstaty věci povětšinou přístup pouze stát, resp. jeho bezpečnostní aparát, a neoprávněná dispozice s takovými informacemi, byť subjektem jednajícím v dobré víře (jako například zmiňovaná povinná osoba, mající vůli strategickou hrozbu reflektovat), je právními předpisy přísně sankcionována.[footnoteRef:4] [4: Např. zajištění si přístupu k utajované informaci bez současného splnění zákonných předpokladů je možné potrestat pokutou až do 1 000 000 Kč podle § 148 odst. 4 písm. d) a § 155a odst. 2 zákona o ochraně utajovaných informací.]
Správci regulované infrastruktury tak stojí před opačným problémem než Úřad – mají přehled o užívaných dodavatelích (tzn. informace, které Úřadu schází), mají možnost omezit v infrastruktuře přítomnost vysoce rizikových dodavatelů, nemají ale možnost získat a vyhodnotit veškeré potřebné informace pro to, aby mohli hrozbu spojenou s dodavatelem účinně minimalizovat. Nezřídka se navíc stává, že identifikovaná hrozba, před níž Úřad vydal varování podle zákona o kybernetické bezpečnosti, není v analýze rizik povinných osob podle zákona o kybernetické bezpečnosti dostatečně, či dokonce jakkoli, reflektována. Podle výstupů z kontrol a auditů povinných osob prováděných podle zákona o kybernetické bezpečnosti je úskalím tohoto přístupu nejčastěji samotná maturita povinných osob v oblasti řízení rizik, kdy povinná osoba nesplňuje samotnou procesní prerekvizitu vykonávání analýzy rizik. V případě, kdy je varování v analýze rizik náležitě zohledněno, často nejsou řízeny následné procesy a alokovány zdroje pro ošetření daného rizika doložitelné formou např. plánu zvládání rizik.
Pro řešení problematiky bezpečnosti dodavatelského řetězce nepostačuje ani současné zmocnění Úřadu k zajišťování metodické podpory v oblasti kybernetické bezpečnosti podle § 22 písm. j) zákona o kybernetické bezpečnosti. V rámci této pravomoci vydal (ve snaze prezentovat tuto problematiku dotčeným subjektům) Úřad v únoru 2022 Doporučení pro hodnocení důvěryhodnosti dodavatelů technologií do 5G sítí v České republice (dále jen „5G Doporučení“).
5G Doporučení představuje podpůrný materiál pro výběr dodavatelů subjektů budujících a provozujících sítě a poskytujících služby elektronických komunikací, které jsou kritickou informační infrastrukturou. Cílem 5G Doporučení je nabídnout operátorům, potažmo celému odvětví elektronických komunikací, pohled Úřadu, Ministerstva průmyslu a obchodu, Ministerstva zahraničních věcí, Bezpečnostní informační služby, Úřadu pro zahraniční styky a informace a Vojenského zpravodajství na základní východiska posuzování důvěryhodnosti dodavatelů technologií do 5G sítí a navrhnout kritéria, která mohou přispět k výběru důvěryhodných dodavatelů.
Přestože však byla vodítka tohoto druhu ze strany správců této infrastruktury dlouhodobě požadována, k reflexi 5G Doporučení jeho adresáty po jeho vydání prakticky nedošlo; mnozí správci kritické informační infrastruktury v sektoru elektronických komunikací nadále uzavírají kontrakty na dodávky technologií do bezpečnostně citlivých částí své infrastruktury s dodavateli, kteří po vyhodnocení kritérií 5G Doporučení na první pohled nevychází jako důvěryhodní.[footnoteRef:5] [5: T-MOBILE CZECH REPUBLIC, A.S. T-Mobile pokračuje s rozšiřováním 5G sítí – spustil dalších 270 vysílačů. Dostupné z: https://www.t-press.cz/cs/tiskove-materialy/tiskove-zpravy-t-mobile/t-mobile-pokracuje-s-rozsirovanim-5g-siti-spustil-dalsich-270-vysilacu.html; SEDLÁK, Jan. Varování navzdory. Vodafone a T-Mobile budou dál v 5G sítích nasazovat zařízení od Huawei. Dostupné z: https://www.e15.cz/byznys/technologie-a-media/varovani-navzdory-vodafone-a-t-mobile-budou-dal-v-5g-sitich-nasazovat-zarizeni-od-huawei-1389914]
Na základě této zkušenosti se jeví neregulatorní působení formou nezávazného doporučení na zohledňování strategické roviny důvěryhodnosti dodavatele v sektoru elektronických komunikací jako nedostatečné. Lze se domnívat, že ani v jiných sektorech hospodářství nebudou podnikatelské subjekty ochotny upřednostňovat strategickou důvěryhodnost dodavatele před bezprostředními ekonomickými aspekty dodávek, jako je například nabídková cena, nebudou-li existovat závazná regulatorní pravidla.
Problematika posuzování subjektů, mj. také na základě vyhodnocování kritérií netechnického charakteru, je v současnosti již zavedena v právním řádu pro vymezené skupiny subjektů. Jedná se zejména o zákon o informačních systémech veřejné správy, který v § 6m odst. 1 písm. c) požaduje, aby poskytovatel cloud computingu poskytující cloud computing orgánu veřejné správy, byl osobou nebo jiným právním uspořádáním, která je způsobilá pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob. Poskytovatel cloud computingu musí splnit zákonem definované požadavky, aby mohl být zapsán do katalogu cloud computingu pro orgány veřejné správy (dále jen „katalog cloud computingu“). Pouze poskytovatelé zapsaní v katalogu cloud computingu mohou poskytovat služby cloud computingu orgánům veřejné správy.
Kromě nedostatečného zmocnění Úřadu k řešení definovaného problému nemají ani orgány a osoby v postavení zadavatele podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, reálnou možnost zohlednit aspekt strategické bezpečnostní rizikovosti dodavatele v zadávacích podmínkách a při následném hodnocení nabídek. Stanovení a následné posuzování netechnických aspektů dodavatele vyžadují specifickou expertízu a informace, kterými zadavatelé zpravidla nedisponují. V konečném důsledku tak primárně dochází k výběru dodavatele veřejné zakázky na základě nabídkové ceny, případně jiných snadno vyhodnotitelných kritérií.
Další regulací je zákon o prověřování zahraničních investic. Podle § 1 písm. a) zákona o prověřování zahraničních investic je předmětem této právní úpravy mj. stanovení pravidel „prověřování některých zahraničních investic z důvodu ochrany bezpečnosti České republiky a vnitřního či veřejného pořádku“. Zahraniční investoři do cílových osob definovaných § 7 zákona o prověřování zahraničních investic tak budou podrobeni prověření s cílem získat povolení zahraniční investice, bez nějž tuto investici nebudou moci uskutečnit.
K účelu udržení nebo obnovení mezinárodního míru a bezpečnosti, boje proti terorismu, dodržování mezinárodního práva, ochraně lidských práv a svobod a podpoře demokracie a právního státu směřuje zákon č. 69/2006 Sb., o provádění mezinárodních sankcí. Na základě tohoto zákona je možné nařízením či rozhodnutím vlády při splnění jedné z podmínek vymezených v § 2 uplatnit omezení či zákazy v oblastech stanovených v § 4 odst. 2 zákona. Ve vztahu k produktům informačních a komunikačních technologií (dále jen „ICT“) na území České republiky může dojít na základě:
a) ustanovení § 5 odstavce 1 písm. a) zákona o provádění mezinárodních sankcích, k omezení nebo zákazu dovozu anebo koupě zboží, na které se vztahují mezinárodní sankce, jeho prodeje nebo jakéhokoli jiného nakládání s ním a
b) ustanovení § 7 zákona o provádění mezinárodních sankcích, v oblasti technické infrastruktury, k omezení či zákazu dodávek energie nebo dodávek surovin, strojů nebo zařízení potřebných k její výrobě subjektu, osobě či celému území, na které se mezinárodní sankce vztahují.
Stávající právní úprava umožňuje omezit či zakázat produkty či služby poskytované určitými osobami, a to z důvodu možnosti existence strategického rizika spojeného s těmito osobami majícího negativní vliv na zajištění ochrany bezpečnosti, veřejného pořádku či bezpečnosti a dodržování práv třetích osob v České republice. Poskytovatelé cloud computingu či zahraniční investoři jsou na základě platné právní úpravy v současnosti regulováni a prověřování mj. i na základě hodnocení tzv. netechnických kritérií. Obdobná regulace je v současnosti potřebná taktéž pro dodavatele ICT do strategicky významné infrastruktury České republiky, a to z důvodu nedostatečnosti existující právní úpravy pro řešení problematiky bezpečnosti dodavatelského řetězce. Zákon o provádění mezinárodních sankcí umožňuje dokonce omezení či zákaz dodávek zboží, popř. v oblasti dodávek energie taktéž veškerých zařízení potřebných k její výrobě, a to ve vztahu k určitému subjektu či osobě na kterou se sankce vztahují, anebo celému území, na které se sankce vztahují. Ačkoli tento sankční režim umožňuje regulovat dodávky mj. také do strategické infrastruktury, z povahy věci jsou omezení spojená s udělováním sankcí především reaktivního charakteru na vývoj na mezinárodní úrovni. Jejich využívání pro potřeby mitigace rizika úmyslného narušení kybernetické bezpečnosti strategicky významné infrastruktury či vzniku strategické závislosti na rizikovém dodavateli tedy není dostačující. Plánovaná regulace dodavatelů nicméně počítá s využitím informací a poznatků těchto existujících mechanismů pro proces hodnocení důvěryhodnosti dodavatelů do strategické infrastruktury státu, a to pro zvýšení efektivnosti tohoto procesu.
V současnosti je na úrovni Evropské unie (dále také jako „EU“ či „Unie“) plánováno zavedení evropského systému certifikace kybernetické bezpečnosti,[footnoteRef:6] např. certifikační schéma pro 5G sítě. Evropský certifikační systém zahrnuje pouze technickou certifikaci produktů, služeb a procesů a nevyhodnocuje rovinu strategické důvěryhodnosti dodavatele. Prověřování strategické důvěryhodnosti dodavatelů však především nelze aplikovat na úrovni EU z důvodu vyloučení problematiky vnitřní bezpečnosti z úpravy primárního práva EU.[footnoteRef:7] Evropský systém certifikace kybernetické bezpečnosti se tedy v současnosti jeví pouze jako vhodný doplněk k navrhovanému řešení, avšak nemůže a ani nemá ambice jej nahradit. [6: Tento systém je zaváděn na základě nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře EU pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).] [7: Viz např. čl. 72 Smlouvy o fungování EU.]
Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Návrh zákona vychází tam, kde je to možné, z principů současného znění zákona o kybernetické bezpečnosti a tyto principy uplatňuje i na nově regulované skupiny orgánů a osob. V případě nutnosti se od uvedených principů odchýlit tak činí pouze, pokud je toto odchýlení nezbytné, a to přiměřeným způsobem.
Nové požadavky, reprezentované především požadavky směrnice NIS 2, vedou k tomu, že návrh zákona musí zohlednit především:
· rozšíření počtu povinných osob (nejméně 15násobné navýšení oproti současnému stavu), a to jak rozšířením regulovaných odvětví, tak rozšířením stávajících regulovaných odvětví o nové regulované služby,
· změnu způsobu identifikace povinných osob,
· doplnění nových požadavků na zavádění bezpečnostních opatření,
· doplnění nových požadavků na proces hlášení kybernetických bezpečnostních incidentů,
· větší odpovědnost vrcholného vedení za zajišťování kybernetické bezpečnosti,
· větší důraz na sdílení informací,
· prohloubení spolupráce nejen mezi Úřadem a regulovanými osobami, ale i mezi Úřadem a dalšími orgány veřejné moci,
· zvýšení pokut a nové formy správního trestání, nebo
· rozšíření dobrovolného hlášení relevantních incidentů, událostí, hrozeb a zranitelností, a
· nové požadavky na řešení problematiky bezpečnosti dodavatelského řetězce.
Toto vše reflektuje návrh zákona především tím způsobem, že zachovává a rozpracovává čtyři základní povinnosti uložené regulovaným osobám:
· hlášení (kontaktních) údajů,
· zavádění a provádění bezpečnostních opatření,
· hlášení kybernetických bezpečnostních incidentů, a
· provádění protiopatření (současných opatření).
S ohledem na praktické zkušenosti a poznatky návrh zákona zavádí novou (pátou) základní povinnost, kterou je stanovení rozsahu řízení kybernetické bezpečnosti. Kolem těchto pěti ústředních povinností jsou vystavěna všechna ostatní ustanovení.
Zákon o kybernetické bezpečnosti byl postaven na principu minimalizace státního donucení, tedy že zákonná úprava nedopadá na veškeré subjekty, ale zaměřuje se pouze na ty, které mají zásadní význam v rámci České republiky. Věcný a osobní rozsah zákonné úpravy byl v rámci rozsahu povinností poměrně minimalistický a sledoval dosažení svého účelu za užití nejnižší možné míry právní regulace. Tento princip je na základě požadavků směrnice NIS 2 narušen a dochází k enormnímu nárůstu budoucích regulovaných subjektů. Návrh zákona proto musí na tento požadavek reagovat.
Přestože již není možné prohlásit, že je rozsah regulace v rámci České republiky minimalistický, snaží se návrh zákona zachovávat princip minimalizace státního donucení v rámci daných limitů i nadále. Tento limit překračuje jen tam, kde takový požadavek plyne ze směrnice NIS 2, nebo kde je racionální a oprávněný k dosažení cíle (např. v případě stanovení některých kritérií pro povinné osoby nebo v případě mechanismu prověřování bezpečnosti dodavatelského řetězce).
Vzhledem ke značné různorodosti a násobnému navýšení počtu regulovaných subjektů jde návrh zákona cestou tzv. dvourychlostní kybernetické bezpečnosti. Prakticky tedy dochází k rozdělení regulovaných osob do svou skupin, reprezentovaných tzv. „režimy“. Regulovaným osobám je v rámci vyššího režimu povinností (essential podle směrnice NIS 2) uloženo více povinností a požadavky na ně jsou přísnější, než jak je tomu v případě regulovaných osob v režimu nižších povinností (important podle směrnice NIS 2). V obou případech však dochází k zachování stanovení základních povinností a standardních bezpečnostních parametrů, které tyto regulované osoby v rámci svého režimu zavádí. Stále zůstává zachován v plném rozsahu princip, že standardní zabezpečení lze řešit za užití různých zabezpečovacích technologií (tzn. technologická neutralita). Regulatorní řešení je liberální i v konkrétních způsobech, jimiž bude na straně orgánů a osob zajištěno plnění zákonných povinností – stále se jedná o performativní pravidla. Konkrétní organizační a technické postupy včetně např. školení zaměstnanců či interních kontrol, ponechává navrhovaná právní úprava v diskreci regulovaných subjektů a zpřesňuje tyto požadavky pouze tam, kde je to s přihlédnutím k praktickým zkušenostem a poznatkům z praxe Úřadu nezbytné. Tím je zajištěno, že výsledné zabezpečení informačních systémů bude ve svém souhrnu spolehlivě funkční. Individualita jednotlivých partikulárních bezpečnostních řešení zase umožní efektivní využití příslušných zdrojů.
Rozdělení regulovaných subjektů do režimů má svůj význam také v případě hlášení kybernetických bezpečnostních incidentů. Vedle standardního povinného zapojení regulovaných subjektů do systému ochrany před kybernetickými bezpečnostními incidenty počítá návrh zákona také se zachováním dobrovolného zapojení do národního systému kybernetické bezpečnosti i pro subjekty mimo okruh regulovaných subjektů. V souladu se směrnicí NIS 2 dochází navíc k rozšíření možností dobrovolného hlášení.
S ohledem na požadavky směrnice NIS 2 obsahuje návrh zákona také specifickou úpravu povinností subjektů poskytujících služby registrace doménových jmen. Specifickou národní úpravou jsou pak např. mechanismus prověřování bezpečnosti dodavatelského řetězce (viz níže v této kapitole) nebo zachování některých již existujících národních institutů, jakým je např. stav kybernetického nebezpečí.
Návrhem zákona je prohloubena ochrana práv každého jednotlivce v rámci České republiky prostřednictvím zvýšení (kybernetické) bezpečnosti služeb, které veřejný nebo soukromý sektor pro jednotlivce v rámci České republiky zajišťují. Přijetím těchto pravidel a zvýšením bezpečnosti v každém členském státě EU dochází také ke snižování rizika plynoucího z toho, že jednotlivci v rámci členských států budou ohrožení prostřednictvím závadného jednání činěného prostřednictvím jiného státu. Zvýšení kybernetické bezpečnosti v rámci České republiky také přispívá k plnění mezinárodních závazků a neporušování mezinárodního práva z pozice České republiky.
Obecně lze však konstatovat, že opatření návrhu zákona odpovídají požadavku na přiměřenost zásahu do osobnostních práv, zejména do práva na informační sebeurčení a s ním souvisejících základních práv (např. vlastnické právo).
Mechanismus prověřování dodavatelského řetězce, který je obsažen v návrhu zákona, má sloužit k monitoringu dodavatelů působících či plánujících působit v České republice, k prověřování těchto dodavatelů a k případnému omezení těch dodavatelů, u kterých bude v důsledku vyhodnocení kritérií rizikovosti dodavatele zjištěno možné významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku. Žádná z těchto aktivit v tuto chvíli není v České republice na úrovni zákona regulována a systematicky prováděna.
Mechanismus prověřování bezpečnosti dodavatelského řetězce vychází z principů a hodnot zákona o kybernetické bezpečnosti a respektuje v maximální možné míře stávající performativní povahu pravidel řízení dodavatelů a jiných ustanovení vyhlášky o kybernetické bezpečnosti. Návrh zákona zaměřuje prověřování ze strany státu toliko na ty strategické aspekty důvěryhodnosti dodavatelů, jež správci této strategicky významné infrastruktury z podstaty své činnosti (a vzhledem k monopolizaci určitých pravomocí státem) nemohou provádět. Jedná se zejména o identifikaci a omezení známých případů či existujícího rizika ingerence státních aktérů do produktů, služeb či procesů prostřednictvím dodavatelů či poddodavatelů, s cílem narušení bezpečnosti s ohledem na důvěrnost, integritu a dostupnost strategicky významné informační a komunikační infrastruktury státu. Informace o takových případech či rizicích ingerence vychází v mnohých případech z neveřejných zdrojů a vyžadují kontextuální analýzu citlivých či jinak režimových informací, kterou je v požadované míře vybaven, schopen a oprávněn provádět pouze stát.
Mechanismus prověřování bezpečnosti dodavatelského řetězce přitom není pouze službou státu pro stát a jím chráněné informační a komunikační systémy a sítě. Díky již zmíněným unikátním informačním zdrojům, a z toho plynoucí komplexitě analýzy přítomnosti hrozeb a z nich plynoucích rizik, si mechanismus klade za cíl přinést zvýšenou úroveň důvěry a bezpečnosti také pro samotnou strategicky významnou infrastrukturu. Skutečnost, že mechanismus identifikuje přítomnost strategického rizika důvěryhodnosti dodavatele, významně omezí riziko narušení předmětné dodávky či jí dodávané technologie z neobchodních důvodů, jejichž identifikace a posouzení nemusí být v možnostech a schopnostech správce infrastruktury jakožto odběratele. Prověření a omezení strategických rizik důvěryhodnosti dodavatele je tedy rovněž službou státu pro poskytovatele strategicky významné služby.
Problematika komplexního zajištění bezpečnosti nicméně zůstává věcí správce systému či sítě. V souladu se stávajícím nastavením systému zajišťování kybernetické bezpečnosti v České republice je klíčovým prvkem systém řízení rizik podle vyhlášky o kybernetické bezpečnosti. Ačkoli navrhovaný mechanismus přichází s novým vstupem státu do tohoto systému, komplexní analýzu hrozeb a rizik v oblasti kybernetické bezpečnosti ponechává na odpovědnosti poskytovatelů strategicky významné služby.
Výstup z mechanismu bezpečnosti dodavatelského řetězce má sloužit toliko jako jeden ze vstupů do procesu řízení rizik a neměl by pro poskytovatele strategicky významné služby představovat významnou administrativní či jinou zátěž. Navrhovaný mechanismus prověřování je vytvářen s cílem minimalizovat ekonomické náklady pro soukromé subjekty i pro stát na úroveň nezbytnou pro zajištění účelu mechanismu. Účelem je omezení závislosti poskytovatelů strategicky významné služby na dodavatelích představujících strategickou hrozbu v oblasti informačních a komunikačních technologiích a přispět tak k zajištění dlouhodobě udržitelného zabezpečení a odolnosti, jež je nezbytná pro naplňování základních funkcí státu.
Klíčovým principem mechanismu je i jeho efektivita vycházející z přesvědčení, že rizika v oblasti kybernetické bezpečnosti nelze zcela eliminovat, ale pouze omezovat. Mechanismus prověřování bezpečnosti dodavatelského řetězce bude ve všech částech svého procesu poměřovat náklady a přínosy dané části i mechanismu jako celku. S ohledem na zachování proporcionality zajištění národní bezpečnosti a ochrany svobody podnikání, jakož i s ohledem na minimalizaci státního donucení a ekonomických dopadů navrhovaného řešení na veřejný i soukromý sektor, je nezbytné cílit případná omezení plynoucí z výstupů prověřování pouze na dodavatele vymezených strategicky významných služeb, a to pouze na jejich část, která je kritická pro bezpečnost daného prvku vymezené infrastruktury (kritickou část systému). Případná omezení plynoucí z výstupů prověřování budou cílit pouze na omezení dodavatelů takových dodávek, které jsou relevantní z hlediska bezpečnosti daného prvku (bezpečnostně významné dodávky). Se shora uvedeným poměřováním nákladů a přínosů souvisí i lhůty v opatřeních vydaných při zjištění rizikovosti konkrétního dodavatele. Byť pro dosažení účelu mechanismu se jeví jako nejefektivnější ihned omezit plnění takového dodavatele, navržená úprava umožňuje reflektovat i náklady s tím spojené a respektovat životní cyklus ICT produktů, tak aby nebylo disproporčně zasaženo do práva na podnikání osob povinných z mechanismu.
Návrh zákona zohledňuje i skutečnost, že rizikovost dodavatele nelze stanovit binárně, naopak je třeba ji vnímat jako škálu. Z tohoto důvodu nemusí být každý rizikový dodavatel nutně vyřazen z možnosti poskytovat bezpečnostně významné dodávky. U méně rizikových dodavatelů postačí omezení daného rizikového dodavatele nepřímo prostřednictvím vydání varování podle návrhu zákona, jehož cílem je upozornit na hrozbu spojenou s dodavatelem tak, aby ji povinné osoby reflektovaly ve své analýze rizik.
Návrh zákona ve svém celku v neposlední řadě nepřináší negativní dopady do zákazu diskriminace a do vztahu rovnosti mužů a žen. Současně neupravuje práva a povinnosti, která by svědčila jen některému z pohlaví, ani se nedotýká témat, která by měla diskriminační potenciál či vytvářela rozdíly mezi ženami a muži, případně jinými pohlavími.
Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku
Přijetí předloženého návrhu zákona vychází z následujících dílčích požadavků:
1) Návrh zákona zapracovává požadavky směrnice NIS 2 do českého právního řádu. Vzhledem k povaze ukládaných povinností je nutno tuto transpozici provést legislativní cestou, přičemž v souladu s právem EU musí být směrnice NIS 2 zapracována do českého právního řádu ve stanovené transpoziční lhůtě, která činí 21 měsíců od nabytí platnosti této směrnice (tj. do 17. října 2024).
2) Návrhem zákona dochází ke splnění úkolu uloženého řediteli Úřadu bodem III. usnesení Bezpečnostní rady státu č. 41 ze dne 21. června 2022, a to zpracovat a vládě předložit návrh zákona k zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce v podobě dle přístupu A – Prověřování dodavatelů podle aktuální bezpečnostní situace z materiálu „Bezpečnost dodavatelských řetězců strategické infrastruktury státu“, č. j. 28261/2022-UVCR.
3) Návrh zákona reflektuje zkušenosti a připomínky z praktické aplikace zákona o kybernetické bezpečnosti.
Nezbytnost přijetí návrhu zákona je dána nejen tím, že první dva výše uvedené požadavky je potřeba provést, a to v daném čase, ale především praktickým celosvětovým vývojem problematiky kybernetické bezpečnosti a nutností na tento vývoj reagovat, aby mohl být i nadále plněn základní cíl – zajištění kybernetické bezpečnosti České republiky, resp. ochrany práv každého jednotlivce v rámci České republiky prostřednictvím zvýšení (kybernetické) bezpečnosti služeb, které veřejný nebo soukromý sektor pro jednotlivce v rámci České republiky zajišťují.
Pro zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce platí, že návrh zákona zmocní Úřad a další organizační složky státu k identifikaci a vyhodnocení hrozeb plynoucích z dodavatelských řetězců pro národní bezpečnost nebo veřejný pořádek. Zda jsou tyto hodnoty v ohrožení, bude vyhodnoceno na základě transparentních kritérií stanovených prováděcím právním předpisem – vyhlášce o kritériích rizikovosti dodavatele, k prověřování kritérií bezpečnostní spolehlivosti dodavatelů poskytovatelů strategicky významné služby, a to skrze vyhodnocování kritérií a případné omezování bezpečnostních rizik spojených s těmito dodavateli. Mechanismus prověřování bezpečnosti dodavatelského řetězce umožní Úřadu na základě zákonného zmocnění omezit či vyloučit z vymezených dodávek poskytovatelů strategicky významné služby takové dodavatele, kteří budou vyhodnoceni jako rizikoví, v důsledku čehož dojde ke snížení dopadu negativních zahraničních vlivů na zajištění základních funkcí státu prostřednictvím dodávek technologií.
Účelem navrhovaného řešení je omezení závislosti strategicky významné infrastruktury státu na dodavatelích, kteří představují strategickou hrozbu v oblasti kybernetické bezpečnosti pro své politické či právní prostředí, ve kterém působí, nebo pro své dosavadní jednání proti zájmům České republiky. Prověřování bude založeno na hodnocení naplnění netechnických kritérií konkrétním dodavatelem (resp. dodavatelským řetězcem) a zhodnocení dalších informací (vč. zpravodajských) o možných strategických hrozbách a rizicích spojených s konkrétním dodavatelem. Jedná se tedy o kritéria, která není schopen adekvátně vyhodnotit správce strategicky významné infrastruktury.
Bezpečnost a odolnost organizačních složek státu a dalších orgánů a osob, jež poskytují služby stěžejní pro chod státu, jsou předpoklady pro zajištění bezpečnosti České republiky. Podle Bezpečnostní strategie České republiky existuje řada hrozeb, kterým Česká republika čelí, a to včetně kybernetických útoků, ohrožení funkčnosti kritické infrastruktury či přerušení dodávek strategických surovin nebo energie. Všechny zmíněné hrozby lze realizovat také v kyberprostoru. Útoky státních aktérů na systémy kritické pro chod státu se stávají běžnou realitou ovlivňující život a fungování mnoha obyvatel a institucí. Bezpečnost strategicky významné infrastruktury České republiky je ohrožena nejen kybernetickými útoky, ale i prostřednictvím dodavatelů a dodavatelských řetězců, spadajících do sféry vlivu zejména státních aktérů, jejichž zájmy a mezinárodní působení jsou v konfliktu se zájmy České republiky. Dodavatelé se tak mohou stát prostředkem k prosazování politických cílů.
Jelikož Česká republika v rámci plnění svých základních funkcí povětšinou spoléhá na infrastrukturu vlastněnou, dodávanou či spravovanou třetími osobami, vzniká státu na těchto dodavatelích závislost (dále také „strategická závislost“). Pokud vznikne strategická závislost na rizikovém dodavateli, plynou z toho pro stát významná rizika. Možné dopady takových rizik ukázal např. vývoj související s vojenskou invazí Ruské federace na Ukrajinu, která byla zahájena 24. února 2022. Válka na Ukrajině měla a má kromě nezměrných humanitárních, bezpečnostních a geopolitických dopadů také značné dopady na evropskou ekonomiku, což se nejhmatatelněji projevuje v energetice. Razantní zvýšení cen energií, zejména plynu,[footnoteRef:8] bylo způsobeno právě strategickou závislostí, jež si Česká republika na dovozu plynu z Ruska vytvořila.[footnoteRef:9]Obdobná situace strategické závislosti státu na dodavatelích může nastat také v oblasti ICT, a v mnoha sektorech v současné době již nastává. V ICT je kromě již identifikovaných problémů strategické závislosti potřeba vyhodnocovat také rizika související s narušením důvěrnosti, integrity i dostupnosti dat a informací přenášených dodávanými technologiemi ze strany dodavatele. [8: ČESKÁ NÁRODNÍ BANKA. Vývoj na evropském trhu se zemním plynem. Dostupné z: https://www.cnb.cz/cs/o_cnb/cnblog/Vyvoj-na-evropskem-trhu-se-zemnim-plynem/] [9: Eurostat uvádí 75–100% závislost České republiky na ruském plynu pro první pololetí roku 2021. (Viz EUROSTAT. File: Share of Russia in national extra EU imports of each Member State, first semester 2021.png. Dostupné z: https://ec.europa.eu/eurostat/statistics-explained/index.php?title=File:Share_of_Russia_in_national_extra_EU_imports_of_each_Member_State,_first_semester_2021.png)]
Strategicky významná infrastruktura je přitom na ICT značně závislá. Společně se zvyšující se mírou přenosu odpovědnosti za zajištění důvěrnosti, integrity a dostupnosti informací přenášených informačními systémy na dodavatele ICT a zvyšující se mírou složitosti jednotlivých prvků technologických systémů, dále narůstá závislost strategicky významné infrastruktury na těchto dodavatelích.
Dodavatelé mají v ICT infrastruktuře výsadní postavení. Hardwarová a softwarová řešení ICT jsou již natolik komplexní a v infrastrukturách poskytovatelů strategicky významné služby tak četně zastoupená, že je nelze technicky komplexně včas a efektivně prověřovat.
I s ohledem na časté aktualizace je technické testování ICT produktů ve velkém měřítku vysoce neefektivní. Problematika bezpečnostních záplat taktéž ztěžuje správcům infrastruktury technicky ověřit implementovaná softwarová řešení od svých dodavatelů, jelikož v případě odhalení (i zcela neúmyslných) slabin je potřeba co nejrychleji vydat softwarové aktualizace, než jich využijí útočníci (tzv. zranitelnosti nultého dne[footnoteRef:10]). Takové aktualizace proto nemohou být podrobeny důkladné analýze, a nelze tak vyloučit riziko, že budou obsahovat například zadní vrátka[footnoteRef:11] (tzv. backdoors), nebo jiný škodlivý kód. Klíčovým faktorem zabezpečení ICT je proto důvěra v dodavatele, že nezneužije své výsadní postavení ve prospěch svůj, státu, který má na dodavatele vliv, či jiného aktéra. [10: Podle Zprávy o stavu kybernetické bezpečnosti za rok 2021 se jedná o typ zranitelnosti, který bývá často využíván např. státem podporovanými skupinami.] [11: V informatice se jedná o název metody umožňující obcházení autentizačních opatření a neoprávněné užívání počítačového systému. Zadní vrátka mohou být zabudována jak do softwarových, tak i hardwarových komponent.]
Dodavatelé ze zemí majících např. nestandardní legislativní prostředí umožňující ingerenci státních aktérů do produktů, služeb či procesů dodavatelů, a jejichž zájmy jsou v konfliktu se zájmy České republiky a jejích spojenců, lze považovat za rizikové. Ačkoli výrobci či dodavatelé ICT produktů a služeb (dále jen „dodavatelé ICT“) mají s ohledem na generování zisku zájem o prodej kvalitních a bezpečných produktů, ne vždy se musí jednat o jejich jediný zájem.
Dodavatelé ICT mají sídla v různých zemích a podléhají rozličným právním řádům, mocenským strukturám a jiným neobchodním vlivům. Zvýšené riziko představují primárně dodavatelé ICT z autoritářských států, které mají silný vliv na své domácí společnosti a neváhají jej zneužít pro prosazování svých geopolitických cílů, jež mohou být v rozporu se zájmy České republiky či jejích spojenců. Dodavatel ICT může být natolik ovlivněný a propojený se státním a politickým aparátem své domovské země, že může nezřídka činit i ekonomicky kontraproduktivní rozhodnutí v souladu se zájmy režimu, který mu potenciální reputační škodu může kompenzovat, případně jej za jednání v rozporu se svými zájmy potrestat. Navíc, vzhledem k obtížnému odhalení, a ještě obtížnější atribuci (přičitatelnosti) kybernetických útoků,[footnoteRef:12] mohou tyto aktivity představovat pro výrobce přijatelné riziko, které mu zajistí výhodné postavení v domovském státě a výrazněji neohrozí jeho zisk. [12: Atribuce podle vyjádření Úřadu představuje proces, během něhož dochází k určení pravého zdroje útoku a samotného útočníka (Viz Národní úřad pro kybernetickou a informační bezpečnost. Bezpečnější zdravotnictví i řešení rizikových dodavatelů – Vláda schválila Akční plán ke strategii kybernetické bezpečnosti. Dostupné z: https://www.nukib.cz/cs/infoservis/aktuality/1735-bezpecnejsi-zdravotnictvi-i-reseni-rizikovych-dodavatelu-vlada-schvalila-akcni-plan-ke-strategii-kyberneticke-bezpecnosti/)]
V řadě států mohou být společnosti také nuceny ke spolupráci se zpravodajskými službami státu na základě legislativy, jež na ně dopadá. V Čínské lidové republice ukládá legislativa povinnost jednotlivcům i společnostem spolupracovat s čínskými státními orgány. Jedná se např. o mechanismus, který je začleněný do zákona o společnostech z roku 2013, jež ukládá všem společnostem povinnost ustanovit uvnitř svých struktur stranickou organizaci Komunistické strany Čínské lidové republiky, pokud ve společnosti pracují nejméně tři členové strany. V praxi to znamená přímý dosah této strany na dění v jakékoli významné společnosti. Komunistická strana Čínské lidové republiky vykonává skrze stranické organizace přímou kontrolu nad společnostmi a zajišťuje, že beze zbytku plní, co se od nich očekává, včetně požadavků v oblasti státní bezpečnosti.[footnoteRef:13] [13: Law Bridge. 28.12.2013. Dostupné z: http://www.lawbridge.org/zhong-hua-ren-min-gong-he-guo-gong-si-fa-2013-nian-xiu-ding/]
Taktéž Ruská federace přijala během poslední dekády několik zákonů s významným dopadem v oblasti kybernetické a informační bezpečnosti, které zásadním způsobem zasahují do fungování soukromých společností.[footnoteRef:14] Zákon o Federální službě bezpečnosti (FSB) Ruské federace (federální zákon č. 40, označován také jako 40-FZ) poskytuje státu právní nástroje k donucení ke spolupráci formálně soukromé entity, a to včetně globálně působících výrobců ICT.[footnoteRef:15] Na základě tohoto zákona je Federální služba bezpečnosti oprávněna instalovat dodatečný software a hardware do ICT produktů ruských společností,[footnoteRef:16] stejně tak jako dosazovat důstojníky služby do struktur soukromých firem.[footnoteRef:17] Přestože i v České republice, stejně tak jako v dalších zemích EU a spojeneckých zemích České republiky, existuje legislativa regulující vztah státu a soukromých společností pro potřeby zajišťování obrany státu a národní bezpečnosti,[footnoteRef:18] pravomoci českého státu jsou ve srovnání s těmi čínskými či ruskými nepoměrně nižší. Případné zásahy státu musejí být řádně odůvodněny, podléhají soudnímu přezkumu a usilují o co nejmenší rozsah získávaných informací. [14: Human Rights Watch. 2020. Russia: Growing Internet Isolation, Control, Censorship. Dostupné z: https://www.hrw.org/news/2020/06/18/russia-growing-internet-isolation-control-censorship] [15: Peter B. Maggs. 2018. Report of Peter B. Maggs. Dostupné z: https://assets.documentcloud.org/documents/4386053/Report-of-Peter-B-Maggs-Russian-Surveillance-Law.pdf] [16: Federalnyjj zakon ot 03.04.1995 N 40-FZ (red. ot 02.12.2019) "O federalnojj sluzhbe bezopasnosti [Федеральный закон от 03.04.1995 N 40-ФЗ (ред. от 02.12.2019) "О федеральной службе безопасности"].] [17: FSB Dossier. 2020. Apparat prikomandirovannykh sotrudnikov. [Аппарат прикомандированных сотрудников.] Dostupné z: https://fsb.dossier.center/prikom/] [18: V České republice se jedná zejména o zákon č. 289/2005 Sb., o Vojenském zpravodajství.]
Dodavateli (či s jejich asistencí) úmyslně způsobené narušení kybernetické bezpečnosti strategicky významné infrastruktury, a to zejména nejzávažnější případy jako je narušení dostupnosti systému ve velkém rozsahu, představuje podstatný problém pro významné ekonomické a jiné zájmy České republiky a její bezpečnost, jelikož mohou výrazně narušit fungování státu, ekonomiky, společnosti a v krajním případě ohrozit zdraví a životy obyvatel.
Identifikovaná rizika současného stavu spojená s nečinností jsou:
a) Vytvoření strategické závislosti na rizikových dodavatelích. V případě realizace hrozby by došlo k ohrožení strategicky významné infrastruktury, jejíž narušení by mohlo mít dopad na fungování celé České republiky.
b) Existence nepředvídatelného prostředí a nejistota poskytovatelů strategicky významné služby, kteří ačkoli mají přehled z ostatních států o rizikovosti vybraných dodavatelů, mohou při výběru i nadále upřednostňovat jiné, zejména ekonomické, aspekty nabízeného řešení, což je podněcováno zejména obavou z nekonkurenceschopnosti na trhu a taktéž podmínkami, které jim jsou v České republice nabízeny.
c) Reputační dopad na Českou republiku. Absence regulatorního rámce dodavatelů do strategicky významné infrastruktury řadí Českou republiku mezi státy, jež v této oblasti zaostávají. Proto je důležité zachovat dobré jméno České republiky a budovat strategicky významnou infrastrukturu na bezpečném základu s adekvátně nastavenou regulací. Absence regulace bezpečnosti dodavatelského řetězce by v budoucnu mohla vést ke zhoršení pozice podnikatelských subjektů působících na území České republiky, které by nemohly nabídnout stejnou míru bezpečnosti svého produktu či služby jako subjekty ve státech, které obdobnou regulaci přijaly. Nepřijetí předmětné právní úpravy by mohlo vyvolat nucené odmítání dodávek českých společností zahraničními odběrateli kvůli bezpečnostním a strategickým hrozbám plynoucím z dodávek subdodavatelů. České společnosti by se tím de facto staly nespolehlivými dodavateli pro zahraniční obchodní partnery, kteří by byli v takovém případě nucení svým národním legislativním systémem upřednostnit dodavatele ze zemí, které rizika dodavatelského řetězce legislativně ošetřují.
d) Vytvoření strategické závislosti na rizikových dodavatelích či přítomnosti technologií vysoce rizikových dodavatelů ICT ve strategické infrastruktuře. V rámci této hrozby může také dojít k omezení volnosti strategického rozhodování státu, kdy bude nutné vzít v potaz možnost zneužití přítomnosti rizikových dodavatelů cizím státem.
e) Výskyt vícero závažných zranitelností a navýšení počtu kybernetických incidentů a útoků ze strany států, které mohou zneužívat svého vlivu nad dodavateli operujícími ve sféře jejich vlivu. Tito dodavatelé poskytující hardware či software do strategické infrastruktury České republiky mohou cíleně narušit důvěrnost, integritu a dostupnost dat.
f) Vznik nepřiměřených finančních dopadů pro stát. Sanace kybernetických incidentů s sebou může přinášet náklady pohybující se v řádech desítek miliónů až miliard korun. Dále je nutné zmínit nežádoucí finanční dopady spojené se situací, kdy může být nezbytné produkty bezpečnostně rizikových dodavatelů bezodkladně nahradit až ve chvíli, kdy se již hrozba bezprostředně realizovala. A to navíc pouze v případě, že by takové odstranění bylo po technické, finanční a legislativní stránce proveditelné. Časový rámec potřebný pro nahrazení infrastruktury pak navíc může násobně překračovat lhůtu pro efektivní reakci, což jen podtrhuje potřebu včasného a proaktivního řešení, nikoli až reakci ex post.
g) Nepřímé financování států, které mohou tyto prostředky následně využívat pro narušování zájmů České republiky a jejích spojenců. Tuto situaci lze nyní pozorovat například při nákupu komodit pocházejících z Ruské federace, kdy jsou získané finanční prostředky z těchto prodejů vynakládány na vedení ozbrojeného konfliktu na Ukrajině.
Přestože jsou popsaná rizika spojená s dodavateli známá, v současnosti neexistuje v České republice komplexní mechanismus, který by umožnil rizika plynoucí z těchto strategických hrozeb pro strategicky významnou infrastrukturu cíleně a účinně vyhodnocovat a mitigovat. Stát by neměl rezignovat na svoji základní povinnost tím, že ji přenese na třetí, často soukromé, osoby. Stát proto nemůže ponechat výhradní výběr potenciálně rizikového dodavatele do strategicky významné infrastruktury státu zcela v rukou soukromých společností, které nemusí být dostatečně vybaveny nebo motivovány k ochraně bezpečnosti České republiky. Ačkoli mají soukromé společnosti zájem o poskytování kvalitních a bezpečných produktů a služeb, jejich primárním cílem je dosažení zisku, přičemž tyto dva aspekty (bezpečnost versus výše zisku prostřednictvím minimalizace nákladů) mohou být v určitých případech v přímém rozporu a společnosti mohou upřednostnit vyšší zisk na úkor bezpečnosti. V souladu s čl. 1 ústavního zákona č. 110/1998 Sb., o bezpečnosti České republiky, ve znění pozdějších předpisů, podle kterého je základní povinností státu „zajištění svrchovanosti a územní celistvosti České republiky, ochrana jejích demokratických základů a ochrana životů, zdraví a majetkových hodnot“, musí stát ze své podstaty na takové riziko reagovat a usilovat o jeho mitigaci. Akceptace existující míry rizika v tomto případě je nepřijatelná a cílem návrhu zákona je umožnit státu disponovat takovými nástroji, které uvedené riziko sníží na akceptovatelnou úroveň.
Díky kontinuálnímu prověřování dodavatelů ve strategicky významné infrastruktuře bude docházet také ke zvyšování povědomí o Úřadu, jakožto ústředním správním orgánu pro oblast kybernetické bezpečnosti, a o aktuálních trendech a hrozbách pro kybernetickou bezpečnost v regulovaných sektorech. Získané poznatky bude Úřad následně dále využívat v mezích svých zákonných pravomocí, i mimo oblast strategicky významné infrastruktury, směrem ke všem poskytovatelům regulovaných služeb. Nová právní úprava tedy přispěje k navýšení bezpečnosti a odolnosti České republiky.
Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky
Navrhovaná právní úprava je v souladu s ústavním pořádkem České republiky.
Vzhledem k tomu, že byl při tvorbě zákona o kybernetické bezpečnosti i návrhu zákona zvolen minimalistický přístup k ukládání povinností osobám soukromého práva, nezasahuje tento záměr do práva na ochranu soukromí, práva na ochranu osobních údajů, práva na soukromý život, práva na svobodu projevu ani do dalších práv souhrnně označovaných jako práva na informační sebeurčení člověka – ochrana těchto práv je naopak primárním účelem navrhované právní úpravy.
Na druhou stranu, návrh zákona musí z důvodu splnění svého očekávaného cíle zasáhnout do práva vlastnického a částečně též i z něj odvozovaného práva na podnikání. Povinnosti, které navrhovaná právní úprava stanoví vybraným subjektům (tj. orgánům a osobám), totiž v různé míře omezují tyto subjekty v neomezeném užívání systémů, k nimž vykonávají vlastnická nebo obdobná práva.
Výše uvedený zásah do práva vlastnického a práva na podnikání spočívá především v tom, že návrh zákona stanoví okruh adresátů – tzv. poskytovatelů regulované služby – a těmto jsou následně uloženy povinnosti.
Stanovení samotných poskytovatelů regulované služby vychází jak z požadavků směrnice NIS 2, tak také z praktických zkušeností s významností a dopadem jednotlivých sektorů a služeb na fungování státu. S ohledem na tyto zdroje je i stanovení poskytovatelů regulovaných služeb orientováno na minimalistický přístup, jehož podstatou je podřadit pod regulaci návrhu zákona to, co je potřeba, současně však nepřekračovat a neregulovat orgány a osoby plošně.
Pokud již orgán nebo osoba bude poskytovatelem regulované služby, omezí navrhovaná právní úprava tyto subjekty v zásadě plošně co do šíře povinností. Plošné omezení vlastnického práva, resp. práva na podnikání má v tomto případě formu zavedení povinnosti implementovat bezpečnostní opatření, oznámit provozovateli národního CERT nebo Úřadu registrační, kontaktní a další údaje, hlásit kybernetické bezpečnostní incidenty vládnímu nebo národnímu CERT a podřídit se uloženým protiopatřením.
Návrh zákona z povahy věci zasahuje do práv adresátů normy, a je proto koncipován na tzv. dvourychlostním modelu kybernetické bezpečnosti. Poskytovatelé regulované služby jsou v rámci návrhu zákona proto rozděleni do dvou režimů – nižších a vyšších povinností. Návrh zákona pak oběma těmto režimům jednotně přiřazuje povinnosti, které adresáti návrhu zákona plní – zavádějí bezpečnostní opatření, hlásí kybernetické bezpečnostní incidenty, zavádějí protiopatření apod., nicméně detail plnění těchto povinností je odlišný právě na základě přiřazeného režimu. Z toho důvodu potom většině povinných osob, na které se vztahoval zákon o kybernetické bezpečnosti, ukládá návrh zákona i do budoucna povinnosti z velké části obdobné. Naopak většině subjektů, které doposud v rámci zákona o kybernetické bezpečnosti regulovány nebyly, ukládá (tam kde je to s ohledem na obsah směrnice NIS 2 možné) méně přísné povinnosti.
Také v případě řešení a hlášení kybernetických bezpečnostních incidentů lze tímto návrhem zákona navázat na předchozí právní úpravu. Kybernetické bezpečnostní incidenty mají za následek vedle různých typů škod též omezení dostupnosti služeb informační společnosti nebo zásahy do informačního sebeurčení člověka. Právo na informační sebeurčení, které bylo jako souborné základní právo identifikováno Spolkovým ústavním soudem a od té doby bylo též několikrát zmíněno v rozhodnutích i Evropským soudem pro lidská práva a Ústavním soudem České republiky, přitom sestává z pasivních a aktivních informačních práv člověka. Pasivní informační práva zahrnují především ochranu soukromí či obecně diskrétní informační sféry, zatímco aktivní informační práva mají charakter práv přístupu ke službám informační společnosti. Definice informačního sebeurčení tak vychází nejen z předpokládané nutnosti chránit diskrétní informace, ale též z předpokladu, že člověk v současné době může žít plnohodnotný život jen tehdy, pokud má možnost komunikovat s ostatními. Z toho plyne povinnost státu chránit pasivní i aktivní informační práva člověka ochranou kybernetického prostoru, v němž se tato práva realizují.
Omezení práva na užívání majetku, za které by snad povinná bezpečnostní opatření uložená tímto návrhem zákona a jeho budoucími prováděcími právními předpisy mohla být považována, resp. jejich účel, chrání obecné zájmy, kterými jsou bezpečnost státu a obyvatelstva či významné ekonomické a společenské zájmy. Kybernetická bezpečnost České republiky jako podmnožina bezpečnosti České republiky spadá do rozsahu působnosti ústavního zákona o bezpečnosti České republiky. Podle čl. 1 uvedeného ústavního zákona je zajištění svrchovanosti a územní celistvosti České republiky, ochrana jejích demokratických základů a ochrana životů, zdraví a majetkových hodnot základní povinností státu. Návrh zákona lze považovat za jeden z prostředků plnění této povinnosti státu. Návrh zákona zároveň reflektuje postavení kybernetické bezpečnosti jako nedílného předpokladu rozvoje digitální společnosti a ekonomiky, o nějž Česká republika jako členský stát EU usiluje.
Návrh zákona dále také částečně omezuje právo na informace, které je zaručené podle čl. 17 Listiny základních práv a svobod (dále jen „Listina“). Na základě tohoto článku mají státní orgány a orgány územní samosprávy povinnost přiměřeným způsobem poskytovat informace o své činnosti. Zároveň však tento článek stanoví, že právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná mimo jiné pro bezpečnost státu, veřejnou bezpečnost a ochranu veřejného zdraví. Vzhledem k tomu, že se jedná o atributy chráněné zákonem o kybernetické bezpečnosti, jejichž zajištění by mohlo být právě ohroženo neomezeným poskytováním informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, bylo přistoupeno k zachování v zákoně o kybernetické bezpečnosti již existujícího ustanovení obsahujícího výjimku z práva na informace.
Úzké části poskytovatelů regulované služby s potenciálně největšími dopady pro fungování státu může návrh zákona také omezit vlastnické právo, resp. právo na podnikání v rámci nově zaváděného mechanismu prověřování bezpečnosti dodavatelského řetězce (podrobněji níže v této kapitole).
Vedle toho návrh zákona omezí také subjekty poskytující služby registrace doménových jmen, a to uložením povinnosti shromažďovat a uchovávat přesné a úplné údaje o registraci doménových jmen ve vyhrazené databázi.
Návrh zákona bezprostředně nezasahuje do práva na informační sebeurčení člověka, neboť primárně nezasahuje do obsahové stránky komunikace a nezakládá ani přímé pravomoci státu direktivně zasahovat do běžného života informační společnosti – tedy nepředpokládá žádný státní zásah do soukromí uživatelů ani do jejich možností komunikovat prostřednictvím služeb informační společnosti.
Vedle závazků České republiky plynoucích ze členství v EU představuje zásadní důvod k úpravě kybernetické bezpečnosti, včetně shora uvedeného omezení vlastnického práva, základní princip mezinárodního práva, tj. povinnost bdělosti (due diligence). Výše zmíněný zásah do vlastnického práva soukromoprávních poskytovatelů regulovaných služeb je tedy ve struktuře proporcionality odůvodněn ochranou práva na informační sebeurčení (zejména práva na ochranu soukromí, soukromého života, na svobodu projevu, na přístup k informacím a ochranou dalších informačních práv člověka), bezpečnosti a integrity (nedistributivních práv) a mezinárodních závazků České republiky.
Vzhledem k tomu, že návrh zákona nezatěžuje nijak výrazně právo na informační sebeurčení soukromoprávních osob, neboť nedává státním orgánům právo zasahovat do soukromí ani do aktivní komunikace uživatelů služeb informační společnosti, a naopak zvyšuje míru ochrany základních práv a nedistributivních veřejných statků, lze konstatovat, že vyhovuje požadavkům ústavní proporcionality a je tedy ústavně konformní.
Navrhovaná sankční ustanovení jsou slučitelná se zásadou uložení trestu jen na základě zákona. V tomto se odráží princip legality a požadavky na jasnou a předvídatelnou úpravu správního trestání, zejména z hlediska předvídatelnosti hrozících postihů.
K zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce je namístě konstatovat, že předkládaný návrh zákona je také v tomto směru v souladu s ústavním pořádkem České republiky a nevytváří podmínky vedoucí k nerovnému postavení mužů a žen.
Zavedení uvedeného mechanismu je v souladu s článkem 2 odst. 3 ústavního zákona č. 1/1993 Sb., Ústava České republiky, který stanovuje, že státní moc lze uplatňovat jen v případech, v mezích a způsoby, které stanoví zákon, s článkem 41 odst. 2 Ústavy, podle kterého má vláda právo zákonodárné iniciativy, a článkem 79 odst. 1 Ústavy, podle kterého lze působnost správních orgánů stanovit pouze zákonem.
Navrhovaný způsob posuzování dodavatelů je rovněž v souladu s čl. 2 odst. 2 Listiny, podle kterého lze státní moc uplatňovat jen v případech a mezích stanovených zákonem, a to způsobem, který zákon stanoví, článek 4 odst. 1 Listiny, podle kterého mohou být ukládány povinnosti toliko na základě zákona a v jeho mezích a jen při zachování lidských práv a svobod, a článek 2 odst. 3 Listiny, podle kterého každý může činit, co není zákonem zakázáno, a nikdo nemůže být nucen činit, co zákon neukládá.
Listina upravuje možnost omezení některých práv v ní zakotvených, konkrétně v případě předkládaného návrhu zákona práva podnikat stanoveného článkem 26 odst. 1 Listiny nebo práva na ochranu dobré pověsti stanového v článku 10 odst. 1 Listiny. Obecně platí, že některá základní práva mohou být podle Listiny omezena. Omezení musí být ovšem stanovena zákonem, musí být v souladu s Listinou a musí být založena na jejich potřebnosti k dosažení legitimních společenských cílů, jako je např. zabezpečení existence státu, ochrany jeho demokratické povahy, zachování veřejného zdraví a pořádku (srov. např. usnesení Ústavního soudu ze dne 19. 3. 2009, sp. zn. IV. ÚS 266/09-1 či usnesení Ústavního soudu ze dne 7. 3. 2014, sp. zn. I. ÚS 110/14-1). Při posuzování souladu těchto omezení s ústavním pořádkem je uplatňován princip proporcionality, kdy jsou aplikována kritéria vhodnosti, potřebnosti a poměřování (srov. nález Ústavního soudu ze dne 12. 10. 1994, sp. zn. Pl. ÚS 4/94).
V případě prověřování bezpečnosti dodavatelského řetězce je takovýmto legitimním cílem ochrana bezpečnosti státu a vnitřního či veřejného pořádku, v jejímž rámci stát v souladu s čl. 4 odst. 2 ve spojení s čl. 26 odst. 2 Listiny stanoví omezení pro výkon určitých činností, a tím omezí právo podnikat a provozovat jinou hospodářskou činnost, které je zakotveno v čl. 26 odst. 1 Listiny. Obdobné lze říci i o právu na ochranu dobré pověsti, které náleží i právnickým osobám (srov. např. rozsudek Nejvyššího soudu ze dne 14. 3. 2018, sp. zn. 23 Cdo 5173/2017 či nález Ústavního soudu ze dne 10. 10. 2001, sp. zn. I. ÚS 201/01), a které může být procesem prověřování bezpečnosti dodavatelského řetězce dotčeno. Případné omezení těchto práv je proto v souladu s ústavním pořádkem České republiky.
Článek 11 odst. 4 Listiny stanoví, že vyvlastnění nebo nucené omezení vlastnického práva je možné ve veřejném zájmu, a to na základě zákona a za náhradu. Předkládaný návrh může omezit možnost provozovatelů strategicky významné infrastruktury svobodně nakládat se svým majetkem, ale k takovému omezení dochází při uplatnění principu proporcionality vůči ochraně veřejného zájmu ve formě zvyšování bezpečnosti státu. Minimalizaci zásahu do vlastnictví povinných subjektů zajišťuje přiměřená lhůta k výměně produktu či služby vysoce rizikového dodavatele, která v maximální možné míře respektuje životní cyklus produktů.
Článek 17 odst. 4 Listiny stanoví, že svobodu projevu a právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti. V souladu s tímto ustanovením předkládaný návrh zákona omezuje dostupnost informací např. podle již zmíněného zákona o svobodném přístupu k informacím, neboť v procesu prověřování bezpečnosti dodavatelského řetězce budou zohledňovány citlivé informace o osobě dodavatele (včetně jeho vazeb, majetkové struktury, podnikatelské činnosti) a zákonem chráněné informace, typicky utajované informace podle zákona o ochraně utajovaných informací poskytnuté zpravodajskými službami a jinými státními orgány, nebo informace čerpané z neveřejných zdrojů. Zveřejnění takových informací by mohlo ohrozit zájmy nebo bezpečnost státu, vnitřní či veřejný pořádek, případně zásadním způsobem poškodit zájmy jiné osoby nebo zájmy jiných členských států EU a NATO. Předkladatel proto rovněž navrhuje, aby utajované a důvěrné části písemností a záznamy byly vedeny odděleně od správního spisu, a aby byla omezena možnost nahlížení do spisu.
Navrhovaná právní úprava nijak neomezuje práva dotčených subjektů a nejsou jí diskriminovány žádné specifické skupiny adresátů právních norem. Návrh zákona respektuje obecné zásady ústavního pořádku České republiky a není v rozporu s nálezy Ústavního soudu.
Zhodnocení slučitelnosti navrhované právní úpravy s předpisy EU, judikaturou soudních orgánů EU nebo obecnými právními zásadami práva EU
Návrhu zákona se dotýká především obsah směrnice NIS 2. Návrh zákona provádí ustanovení této směrnice a je s nimi v souladu. Směrnice NIS 2 musí být do právního řádu členských států transponována do 17. října 2024.
Znění návrhu zákona vychází rovněž z konzultací s dalšími členskými státy v rámci skupiny pro spolupráci zřízené směrnicí NIS 2 a dalších bilaterálních jednání určených k seznámení se s jednotlivými národními přístupy, které provedl Úřad především ke konci roku 2022.
Návrh zákona obsahuje také ustanovení, která v rámci daných mezí doplňují obsah nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA, o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013, tzv. „aktu o kybernetické bezpečnosti“. Stejně tak obsahuje také ustanovení doplňující obsah nařízení Evropského parlamentu a Rady (EU) 2021/887, ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center (dále jen „nařízení (EU) 2021/887“).
Navrhované znění zákona bere v potaz také obsah směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (dále jen „směrnice CER“) a nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014 (tzv. nařízení DORA). Tyto evropské předpisy návrh zákona reflektuje ve svém obsahu v rámci ustanovení, která jsou jak pro kritické subjekty, tak pro odvětví finančního trhu relevantní.
Návrh zákona není v rozporu ani s obsahem obecného nařízení o ochraně osobních údajů, kde v souladu s obsahem směrnice dochází k posílení spolupráce mezi národnímu orgány podle těchto dvou evropských předpisů.
Návrh zákona je v souladu s nařízením Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU a rozhodnutím Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo a zaměřuje se zejména na části, které souvisí s plněním funkce příslušného orgánu PRS. Usnesením vlády České republiky ze dne 30. ledna 2013 č. 71 byl výkonem funkce Příslušného orgánu PRS pověřen Úřad. Tento orgán zajišťuje, aby využívání PRS bylo v souladu se Společnými minimálními standarty, které jsou přílohou Rozhodnutí 1104/2011/EU, a zodpovídá za zpracování žádostí o bezpečnostní autorizace pro PRS. Dle čl. 68 nařízení Evropského parlamentu a Rady č. 2021/696 plní Úřad funkce příslušného orgánu pro GOVSATCOM. Návrh zákona je dále v souladu s nařízením Evropského parlamentu a Rady (EU) 2023/588 ze dne 15. března 2023, kterým se zavádí Program Unie pro bezpečnou konektivitu na období 2023–2027, přičemž Úřad plní funkce příslušného orgánu pro bezpečnou konektivitu.
V souladu s přijetím směrnice NIS 2 se ruší původní směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen „směrnice NIS 1“).
Co se týče zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce, platí, že směrnice NIS 2 ukládá v čl. 7 odst. 2 písm. a) členským státům povinnost zohlednit problematiku dodavatelského řetězce v rámci národní strategie kybernetické bezpečnosti a také v čl. 21 odst. 1 a odst. 2 písm. d) povinnost zajistit, aby základní a důležité subjekty přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, které zahrnují opatření k zajištění bezpečnosti dodavatelského řetězce těchto subjektů.
Směrnice NIS 2 také v čl. 22 předpokládá provádění koordinovaných posouzení bezpečnostních rizik kritických dodavatelských řetězců na unijní úrovni. Podle bodu 91 preambule směrnice NIS 2 by se při posuzování rizik kritických dodavatelských řetězců s ohledem na charakteristické rysy dotčeného odvětví měly zohlednit jak technické, tak také případné netechnické faktory, včetně faktorů vymezených v doporučení Komise (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. V bodu 20 preambule doporučení Komise (EU) 2019/534 jsou jako relevantní faktory zmíněné i regulační nebo jiné požadavky kladené na dodavatele zařízení informačních a komunikačních technologií nebo jiná rizika vlivu třetí země jako např. model správy věcí veřejných, neexistence dohod o spolupráci v oblasti bezpečnosti nebo podobných ujednání apod. Význam právních a politických faktorů vyplývá i z odst. 15 bodu a) uvedeného doporučení.
Další legislativní iniciativou, která je nyní ve fázi vyjednávání v unijním legislativním procesu a má také ambici zvýšit bezpečnost dodavatelského řetězce, je návrh nařízení Evropského parlamentu a Rady o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020. Ačkoli návrh tohoto nařízení není zaměřen na strategicko-politické, nýbrž na technické aspekty bezpečnosti výrobků, je v něm zohledněna taktéž problematika bezpečnosti dodavatelského řetězce.
Konkrétně v čl. 10 odst. 4 návrhu nařízení je stanovena povinnost výrobců při začleňování součástí pocházejících od třetích stran do produktů s digitálními prvky postupovat s náležitou péčí tak, aby nebyla ohrožena bezpečnost daného produktu. V čl. 6 odst. 5 návrhu nařízení, který svěřuje Evropské komisi pravomoc upřesňovat kategorie vysoce kritických produktů s digitálními prvky, je odolnost dodavatelského řetězce uvedena v písm. b) tohoto ustanovení jako relevantní hodnotící kritérium, které se má při určování těchto specifických kategorií zohlednit. Zájem na pečlivém přístupu k problematice bezpečnosti dodavatelského řetězce je patrný i v bodě 33 preambule návrhu nařízení, podle kterého technické požadavky nařízením stanovené nezabraňují členským státům přijímat další opatření zohledňující netechnické faktory ve vztahu k bezpečnosti produktu. Dále bod 25 preambule předmětného návrhu nařízení upozorňuje na fakt, že zranitelnosti v jednom produktu mohou vést k šíření problémů v celém dodavatelském řetězci. Je tedy nutné eliminovat riziko u každého jednotlivého produktu, aby došlo k celkovému navýšení odolnosti dodavatelských řetězců. Z výše uvedeného lze tedy dojít k závěru, že z pohledu unijního práva existují tendence zajistit kybernetickou bezpečnost dodavatelského řetězce holistickým přístupem.
Návrh zákona je dále v souladu s nařízením Evropského parlamentu a Rady (EU) 2019/452 ze dne 19. března 2019, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie, podle kterého členské státy mohou mít zavedeny, měnit nebo zavádět mechanismy k prověřování přímých zahraničních investic na svém území z důvodu bezpečnosti nebo veřejného pořádku, tyto investice mohou členské státy dokonce i zakázat (čl. 2 odst. 3 a 4 a čl. 3 nařízení). Nařízení dále v čl. 4 odst. 1 explicitně uvádí, že členské státy mohou v souvislosti s bezpečností a veřejným pořádkem zohlednit potenciální dopady investice na kritickou infrastrukturu, kritické technologie, dodávky kritických vstupů (např. energie nebo suroviny), přístup k citlivým informacím včetně osobních údajů a schopnost takové informace kontrolovat nebo také na svobodu a pluralitu sdělovacích prostředků. Podle čl. 4 odst. 2 nařízení je rovněž vhodné zohledňovat, zdali je daný zahraniční investor přímo či nepřímo kontrolovaný vládou třetí země, zdali již daný investor byl zapojen do činností ovlivňujících bezpečnost nebo veřejný pořádek v některém členském státě či existuje-li vážné riziko, že je daný zahraniční investor zapojen do protiprávní nebo trestné činnosti. Stejně tak směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace, umožňuje v čl. 1 odst. 3 písm. c) členským státům přijímat opatření za účelem zajištění veřejného pořádku a veřejné bezpečnosti, jakož i za účelem obrany. Tyto právní předpisy tedy umožňují přijímání restriktivních opatření z důvodu bezpečnosti státu.
Návrh zákona je také v souladu s příslušnými ustanoveními o volném pohybu osob, služeb a kapitálu Smlouvy o fungování EU – konkrétně s jejím čl. 49 o svobodě usazování Smlouvy, ve kterém je zahrnut přístup k samostatně výdělečným činnostem a jejich výkon, jakož i zřizování a řízení podniků, zejména společností, v návaznosti na čl. 63 a čl. 65 odst. 1 písm. b) o pohybu kapitálu umožňující členským státům, mimo jiné, učinit opatření odůvodněná veřejným pořádkem či veřejnou bezpečností. Neméně důležitý je i soulad se Smlouvou o Evropské unii (dále jen „SEU“), který je dán skutečností, že EU podle této smlouvy respektuje základní funkce státu, zejména ty, které souvisejí se zajištěním územní celistvosti, udržením veřejného pořádku a ochranou národní bezpečnosti. Zejména podle čl. 4 odst. 2 SEU národní bezpečnost zůstává výhradní odpovědností každého členského státu.
Navrhovaná právní úprava je v souladu také s Listinou základních práv EU (dále jen „Listina EU“). Svoboda podnikání je Listinou EU garantována, avšak musí být vykonávána podle čl. 16 Listiny EU v souladu s právem Unie a vnitrostátními zákony a zvyklostmi.
Navrhovaný zákon taktéž nezakládá nerovnost (čl. 20 Listiny EU) ani diskriminaci mezi adresáty (čl. 21 Listiny EU), jelikož nastavuje obecná kritéria vztahující se na všechny adresáty a počítá i s právem na soudní ochranu (čl. 47 Listiny EU). Vzhledem k tomu, že hlavním účelem návrhu zákona je posílení celkové národní bezpečnosti státu a zvýšení ochrany demokratického zřízení, návrh zákona přispěje k zajištění práva na svobodu a osobní bezpečnost (čl. 6 Listiny EU). Zvýšením bezpečnostních standardů dojde v konečném důsledku, také k efektivnější ochraně osobních údajů (čl. 8 Listiny EU).
Na úrovni EU zatím žádná komplexní judikatura soudních orgánů EU týkající se kybernetické bezpečnosti neexistuje.
S ohledem na výše uvedené lze uzavřít, že návrh zákona je ve svém celku plně slučitelný s předpisy EU, respektuje judikaturu soudních orgánů EU a je v souladu s obecnými právními zásadami práva EU.
Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, kterými je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách
Na mezinárodní úrovni zatím žádná komplexní právní úprava kybernetické bezpečnosti neexistuje. Jak je zřejmé z předchozí kapitoly, navrhovaná právní úprava je plně v souladu s předpisy EU, judikaturou Soudního dvora EU a obecnými právními zásadami práva EU.
K dispozici je celá řada mezinárodních právních předpisů a koncepčních dokumentů upravujících buď partikulární aspekty kybernetické bezpečnosti, nebo oblasti s ní úzce související. V tomto ohledu se jedná zejména o dokumenty týkající se problematiky kybernetické trestné činnosti a kybernetické války. Prvním z nich je Úmluva Rady Evropy o kybernetické kriminalitě,[footnoteRef:19] druhým je Tallinnský manuál, který se zabývá aplikovatelností principů mezinárodního práva na kybernetickou válku. [19: Úmluva Rady Evropy o kybernetické kriminalitě č. 185 ze dne 23. listopadu 2001, publikovaná pod č. 104/2013 Sb.m.s.]
Z hlediska ochrany lidských práv a základních svobod cílí dopady navrhované úpravy zejména na ochranu práva na informační sebeurčení a nedistributivních práv České republiky, konkrétně práva státu na zajištění vnitřní bezpečnosti, na ochranu základních funkcionalit státu a na ochranu před škodlivými následky výjimečných stavů. Směrnice NIS 2, a tudíž i návrh zákona, za tímto účelem dodržuje zásady přiznávané především Listinou EU, zejména právo na respektování soukromého života a komunikace, ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Obdobně je návrh zákona slučitelný i s požadavky Úmluvy o ochraně lidských práv a základních svobod a jejích protokolů.
Na základě výše uvedených skutečností lze konstatovat, že návrh zákona je plně v souladu s mezinárodními smlouvami, jimiž je Česká republika vázána.
Oblast kybernetické bezpečnosti spadá z části (tam, kde nezasahuje do oblastí mimo rozsah primárního práva EU, např. národní bezpečnosti) do oblasti zajištění řádného fungování vnitřního trhu, a tudíž není plně v gesci jednotlivých členských států, ale v oblasti sdílené pravomoci s EU.
Rovněž zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce je v souladu s mezinárodními smlouvami, jimiž je Česká republiky vázána, stejně jako s obecnými pravidly a zásadami mezinárodního práva, jak je s ohledem na specifika uvedeného mechanismu podrobně rozvedeno v následujících podkapitolách.
6.1. Lidskoprávní závazky
Návrh právní úpravy mechanismu prověřování bezpečnosti dodavatelského řetězce je v souladu s Evropskou úmluvou o ochraně lidských práv, Relevantními ustanoveními Úmluvy majícími potenciál se uplatnit ve vztahu k mechanismu prověřování bezpečnosti dodavatelského řetězce jsou čl. 6 – Právo na spravedlivý proces a čl. 1 Dodatkového protokolu č. 1 – Ochrana vlastnictví.
Právo na spravedlivý proces je zajištěno možností přezkoumat opatření obecné povahy opravnými prostředky podle zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, a soudním přezkumem podle zákona č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů. Ochrana vlastnictví podle Úmluvy chrání již nabytý majetek, existující nárok nebo legitimní očekávání nabytí majetku. Nevztahuje se na v budoucnu učiněné investice a dodávky. Předkládaný návrh omezuje možnost provozovatelů strategicky významné infrastruktury svobodně nakládat se svým majetkem, ale k takovému omezení dochází při uplatnění principu proporcionality vůči ochraně veřejného zájmu ve formě kybernetické bezpečnosti státu. Minimalizaci zásahu do vlastnictví povinných subjektů zajišťuje přiměřená lhůta k výměně produktu či služby vysoce rizikového dodavatele, která v maximální možné míře respektuje životní cyklus produktů. Předkládaný návrh je tudíž v souladu s právem na ochranu vlastnictví podle Úmluvy.
Navrhovaná právní úprava je také v souladu s Mezinárodním paktem o občanských a politických právech, který zakotvuje v článku 2 odst. 3 právo domáhat se ochrany před případným zásahem do práv garantovaných Paktem. S předkládaným návrhem souvisí právo na spravedlivý proces podle článků 14 a 15 Paktu, jehož obsah lze pro účely předkládaného návrhu považovat za shodný s obsahem čl. 6 Evropské úmluvy o ochraně lidských práv. S odkazem na výše uvedené tedy předkládaný návrh není s Paktem v rozporu.
6.2. Obchodní a investiční závazky
Předkládaný návrh je v souladu rovněž s výjimkami smluv inkorporovaných do Dohody o zřízení Světové obchodní organizace. Jejich společným cílem je zamezení vytváření bariér mezinárodního obchodu a vzájemná doložka nejvyšších výhod, tzn. povinnost zacházet s investory a dodavateli smluvních stran ne méně příznivě než se subjekty třetích států. Předkládaný návrh má potenciál omezit zacházení s dodavateli některých smluvních stran na úroveň méně příznivou ve srovnání se zacházením s dodavateli ze třetích států, ale dochází tak v rámci níže uvedených povolených výjimek.
Všeobecná dohoda o clech a obchodu 1994 (GATT) připouští v čl. XX opatření omezující mezinárodní obchod za předpokladu jejich nutnosti a) k ochraně života a zdraví lidí, nebo d) zachování zákonů a jiných předpisů, které nejsou neslučitelné s jejími ustanoveními. Všeobecná dohoda o obchodu službami (GATS) v čl. XIV upravuje výjimky obdobně jako GATT, přičemž opatření k zabezpečení shody s právními předpisy doplňuje demonstrativní výčet explicitně zmiňující bezpečnostní předpisy (čl. XIV písm. c) bod (iii)).
Omezení mezinárodního obchodu předkládaným návrhem zákona je plně v souladu s výjimkami GATT i GATS, a proto neodporuje závazkům České republiky přijatým v rámci Světové obchodní organizace.
Uvedené skutečnosti se rovněž aplikují ve vztahu k bezpečnosti dodavatelského řetězce. V kontextu této problematiky NÚKIB provedl průzkum a konzultace u zahraničních partnerů Úřadu, jako jsou analogie NÚKIB ze Spojeného království či Německa. Uvedené země již obdobným mechanismem disponují, přičemž gestoři mechanismů neshledávají rozpor mezi fungováním vlastního mechanismu bezpečnosti dodavatelského řetězce, směřujícímu k ochraně bezpečnosti a veřejného pořádku, a smyslem smluv GATT či GATS, jakožto závazcích těchto zemí přijatých na plénu Světové obchodní organizace.
V rámci mechanismu by měly být uplatněny výjimky v případě limitování nebo zákazu dodavatele, zejména ve smyslu čl. XIV GATS a čl. XX GATT a také ve smyslu čl. XIVbis GATS a čl. XXI GATT. Nástroje mechanismu bezpečnosti dodavatelského řetězce se vztahují pouze na nejkritičtější infrastrukturu, jejíž narušení má schopnost narušit jak veřejný pořádek či veřejnou morálku ve smyslu č. XIV GATS a XX GATT, tak také ohrozit bezpečnost státu, což spadá pod čl. XIVbis GATS a čl. XXI GATT.
Navrhovaná právní úprava je dále v souladu s bilaterálními dohodami o podpoře a ochraně investic. Dohody o ochraně investic zavazují Českou republiku k tomu, aby poskytovala ochranu investorům pocházejícím z jiných smluvních států a jejich investicím v České republice. Jednou z podmínek zakotvených ve valné většině bilaterálních dohod o podpoře a ochraně investic, která určuje, zda je zahraniční investice chráněnou investicí, je soulad hospodářských aktivit investora s vnitrostátními předpisy druhé smluvní strany. Předkládaný návrh vytváří právní rámec především pro budoucí investice, kladení nových nároků na dodavatele tudíž není v rozporu s uvedeným.
Ochrana stávajících investic podle bilaterálních dohod o podpoře a ochraně investic taktéž není narušena, neboť návrh respektuje životní cyklus produktů, proto nevytváří nadbytečné náklady spojené s již uskutečněnou investicí. Dostatečná lhůta navíc umožňuje investorům se na nové právní podmínky adaptovat, jak změnou dodavatelů, tak snížením vlastní rizikovosti investorů, jejíž kritéria jsou součástí předkládaného návrhu zákona. Jedná se tudíž o minimální možný zásah k dosažení účelu předkládaného návrhu zákona, zajištění bezpečnosti dodavatelského řetězce strategicky významné infrastruktury. V neposlední řadě obsahuje většina bilaterálních dohod o podpoře a ochraně investic doložku se základními bezpečnostními zájmy smluvních stran. Doložka opravňuje strany přijmout taková opatření, která považují za nezbytná pro ochranu svých základních bezpečnostních zájmů. Ochrana nejvýznamnější kritické infrastruktury nezbytné pro fungování státu se řadí pod základní bezpečnostní zájem státu, tudíž lze případná omezení vyplývající z aplikace předkládaného návrhu podřadit pod skutkovou podstatu uvedené výjimky.
Bilaterální dohody o podpoře a ochraně investic také řadí mezi základní bezpečnostní zájmy smluvní strany ty zájmy, které vyplývají z jejího členství v celní, hospodářské nebo měnové unii, volném trhu nebo zóně volného obchodu. Směrnice NIS 2 ukládá členským státům, aby zajistily přijetí opatření k řízení bezpečnostních rizik sítí a informačních systému, přičemž bezpečnost dodavatelského řetězce zmiňuje v čl. 21 odst. 2. písm. d) v demonstrativním výčtu minima nutných opatření. Návrh právní úpravy mechanismu prověřování bezpečnosti dodavatelského řetězce tedy není v rozporu s bilaterálními dohodami o ochraně investic, jimiž je Česká republika vázána.
Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty, na podnikatelské prostředí České republiky, sociální dopady, včetně dopadu na rodiny a dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, a dopady na životní prostředí
7.1. Dopady na státní rozpočet a ostatní veřejné rozpočty
Dopady plné transpozice směrnice a úpravy dalších dílčích částí zákona
Návrh zákona navazuje na již účinnou právní úpravu, která již pod regulaci zákona o kybernetické bezpečnosti podřadila celou řadu informačních a komunikacích systémů napříč veřejnou správou. V souladu s návrhem zákona tak neexistuje orgán veřejné moci, který by byl podle návrhu zákona nově regulován a současná právní úprava kybernetické bezpečnosti by se jej netýkala (s výjimkou obcí s rozšířenou působností – viz níže). Ani soustava požadavků na danou organizaci (hlášení údajů, zavádění bezpečnostních opatření, hlášení incidentů apod.) z dosavadního přístupu nevybočuje.
Podstatná část subjektů veřejné správy je již nyní povinným subjektem podle zákona o kybernetické bezpečnosti a jsou jim uloženy téměř totožné povinnosti jaké vyplývají z tohoto návrhu zákona. Podstatným rozdílem je šíře navrhované regulace, která v souladu s přístupem zvoleným směrnicí NIS 2 rozšiřuje rozsah zajišťovaných systémů z jednotlivých ohraničených informačních systémů na služby v rozsahu výkonu činnosti daného subjektu veřejné správy, což náklady navyšuje. Přestože tedy subjekty veřejné správy budou moci v části nákladů na zajištění kybernetické bezpečnosti pokračovat podle dosavadního rozpočtování, bude stejně tak potřeba promítnout ostatní nově navýšené náklady do budoucích rozpočtů těchto subjektů.
Primárně budou veškeré výdaje a zvýšená potřeba v personální a platové oblasti, jež jsou spojeny s implementací návrhu zákona o kybernetické bezpečnosti včetně prováděcích předpisů ve všech dotčených rozpočtových kapitolách, pokryty v rámci schválených rozpočtových limitů a stanovených limitů počtu míst a objemu prostředků na platy.
Pokud správci jednotlivých dotčených kapitol identifikují potřebu navýšení své kapitoly rozpočtu nad rámec schválených rozpočtových limitů nebo stanovených limitů počtu míst a objemu prostředků na platy, bude taková potřeba předmětem standardního vyjednávání o podobě relevantní kapitoly státního rozpočtu.
Nad rámec výše uvedeného je pro financování nákladů také možné využívat k tomu vzniklé nebo do budoucna vznikající dotační programy na úrovni Evropské unie, případně dotační programy původně na financování kybernetické bezpečnosti nezaměřené, ale dílčím způsobem k tomu využitelné (např. the Digital Europe Programme apod.).
Otázkou dopadů na veřejné rozpočty je s ohledem na výše uvedené spíše šíře regulace v rámci dané organizace spojená s návrhem zákona. Návrh zákona ve svém obsahu – v souladu s požadavkem směrnice NIS 2 – orientuje regulaci nikoli na konkrétní informační systémy, ale na služby, které organizace poskytuje. Problematickým bodem veřejné správy je fakt, že veškeré činnosti poskytované veřejnou správou jsou službami veřejnosti a vnitřní procesy organizací tyto služby podporují. Dopady na veřejné rozpočty jsou pak dány nikoli tím, že by kybernetická bezpečnost byla pro orgány veřejné správy novým regulatorním tématem, ale tím, že k ní budou muset přistoupit komplexním způsobem, k čemuž ve všech případech nedocházelo.
Nevýhodou otázky analýzy finančních dopadů na organizace, a to i mimo státní správu, je skutečnost, že distribuce nákladů na kybernetickou bezpečnost není plošná a že existuje informační asymetrie ve směru od subjektů samotných k regulačnímu orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat své vlastní náklady na zavedení a udržování přiměřené úrovně kybernetické bezpečnosti).
Výši finančních dopadů není možné předem stanovit a veškeré předchozí požadavky na jejich vyčíslení vedly k vytvoření odhadů s nízkou vypovídající hodnotou.
Distribuce nákladů na kybernetickou bezpečnost není plošná z důvodu velkého počtu neznámých a proměnlivých indikátorů, zejména:
· aktuální stav zabezpečení jednotlivých organizací,
· rozdílný cílový stav každé organizace související s významností její činnosti a potřebou zajistit její fungování,
· široká variabilita rozsahu opatření na zajištění kybernetické bezpečnosti, která může být u jednotlivých organizací odlišná,
· identifikace toho, co je nákladem na zajištění kybernetické bezpečnosti a co je nákladem na běžný provoz ICT u dané organizace (tyto množiny se prolínají),
· soulad se zákonem o kybernetické bezpečnosti,
· neznámý počet výsledných regulovaných organizací, a
· proměnlivost nákladů v čase související jak s makroekonomickými otázkami, tak s vývojem technologií.
Tyto indikátory jsou spjaty se systémem zajištění kybernetické bezpečnosti, ať už podle zákona o kybernetické bezpečnosti, návrhu zákona, nebo podle obecně přijímaných norem upravujících kybernetickou bezpečnost.
Pro stanovení alespoň orientačního výpočtu nákladů na státní rozpočet a ostatní veřejné rozpočty lze vzít v úvahu indikátory uvedené v následujících podkapitolách.
Výpočet nákladů podle návrhu novelizace zákona o kybernetické bezpečnosti (2017)
Odůvodnění komplexní novelizace stávajícího zákona o kybernetické bezpečnosti (2017) pracovalo s premisou, že míra povinností stanovená pro nejvyšší kategorii regulovaných subjektů je stejná, a proto bylo možné dovodit, že náklady vzniklé již regulovaným prvkům jsou pro (tehdy) nové subjekty srovnatelné, či v případě dalších kategorií regulovaných subjektů nižší. Ze získaných dat vyplynulo, že souhrnné náklady na zavádění technických opatření podle zákona o kybernetické bezpečnosti činily na 77 systémů kritické informační infrastruktury a významných informačních systémů téměř 95 000 000 Kč. K provádění organizačních opatření podle zákona o kybernetické bezpečnosti pak bylo podle správců vydáno celkem 23 000 000 Kč na zmíněných 77 systémů. Tyto náklady byly počítány za první rok od určení, tj. ve lhůtě stanovené pro zavádění bezpečnostních opatření. Bylo tedy možné shrnout, že průměrně náklady na zavedení technických opatření na jeden významný informační systém nebo informační nebo komunikační systém kritické informační infrastruktury vycházejí přibližně na 1 233 000 Kč a organizační opatření na cca 300 000 Kč. Důvodová zpráva již tehdy také uváděla, že jde o velmi hrubé odhady, neboť někteří správci nebyli schopni náklady na zavádění zákonných opatření přesně vyčíslit.
V rámci důvodové zprávy se také uváděl výsledek dotazníkového průzkumu prováděného mezi členy pracovní skupiny I[footnoteRef:20], ze kterého vyplynulo, že v závislosti na provádění povinností uložených zákonem o kybernetické bezpečnosti je zabezpečení informačních systémů hodnoceno jako poměrně vysoké, přičemž náklady na doplnění bezpečnostních opatření na úroveň stanovenou pro správce a provozovatele informačního systému základní služby by činily v průměru na jeden subjekt cca 6 000 000 Kč, pokud by požadovaná úroveň zabezpečení byla nastavena na úrovni významných informačních systémů, nebo cca 11 500 000 Kč, pokud by byla požadována stejná úroveň zabezpečení jako pro kritickou informační infrastrukturu. [20: Pracovní skupina I byla vytvořena v roce 2016 pro transpozici směrnice NIS 1 na rezortní úrovni. ]
Výpočet nákladů podle návrhu novelizace vyhlášky o významných informačních systémech (2019)
Při zpracovávání hodnocení dopadů regulace k vyhlášce o významných informačních systémech (v roce 2019) došlo k orientačnímu výpočtu nákladů na zabezpečení jednoho typového informačního systému ve veřejné správě, a to na základě v dané době dostupných dat a průzkumu mezi vybranými regulovanými osobami. Pro ilustraci lze uvést, že se jednalo o částku 821 000 Kč na jeden informační systém, tedy cca 50 % z odhadu výpočtu nákladů podle návrhu novelizace zákona o kybernetické bezpečnosti z roku 2017 (výše), a jen cca 13 % vůči výsledku dotazníkového průzkumu mezi členy pracovní skupiny I. Je nutné říct, že typově nejstrategičtější informační systémy organizačních složek státu byly rovněž již pod regulaci zákona o kybernetické bezpečnosti zařazeny prostřednictvím zmiňované vyhlášky (jednalo se o cca 700 systémů). Takových jednotlivých systémů, které bude nutno v rámci organizací zabezpečit podle návrhu zákona, však může být v rámci jednotlivých organizací velmi různorodý počet v závislosti na jejich velikosti.
Výpočet nákladů podle Zprávy o investicích do síťových a informačních systémů (NIS) podle Evropské agentury pro bezpečnost sítí a informací (2021)
Evropská agentura pro bezpečnost sítí a informací (dále jen „ENISA“) je agentura EU zřízená pro věci kybernetické bezpečnosti. Od roku 2020 zpracovává ENISA každoroční zprávu o výši investic povinných osob spadajících pod směrnici NIS 1 do kybernetické bezpečnosti a vliv povinností z ní plynoucích na výši těchto investic. Relevantní informace o této zprávě poskytují stovky organizací ze všech členských států EU.
Cílem zprávy je zdokumentovat, jak regulované subjekty v odvětvích stanovených původní směrnicí NIS 1 investují do kybernetické bezpečnosti a jak plní cíle stanovené ve směrnici. Spolu s tím se zpráva také zaměřuje na další aspekty, jakými jsou certifikace, kybernetické pojištění a bezpečnost informací u těchto organizací.
Zpráva za rok 2020 vychází ze specializovaného průzkumu trhu provedeného mezi 947 organizacemi – s minimálně 35 organizacemi z každého členského státu, které byly identifikovány jako povinné osoby podle směrnice NIS 1. Kvantitativní ukazatele v průzkumu byly analyzovány na základě mediánu i průměru (mediánová hodnota by měla být považována za typickou hodnotu).
Jak závěry zprávy uvádějí, typický povinný subjekt v EU vynakládá na implementaci požadavků směrnice NIS 1 40 000 EUR, tedy cca 1 000 000 Kč (hodnota je medián). Průměrná hodnota činila 98 000 EUR (cca 2 400 000 Kč). V České republice se jedná podle zprávy průměrně o částku 60 000 EUR (cca 1 500 000 Kč).
Výpočet nákladů podle Zprávy o investicích do síťových a informačních systémů (NIS) podle Evropské agentury pro bezpečnost sítí a informací (2022)
Zpráva za rok 2021 navazuje na výše uvedenou zprávu za rok 2020 a vychází ze specializovaného průzkumu trhu provedeného mezi 1080 organizacemi.
Jak závěry zprávy uvádějí, celkově se zdá, že řada absolutních hodnot, jako jsou rozpočty na informační technologie (dále jen „IT“) a informační bezpečnost nebo procento nákladů v rámci rozpočtů na IT vynaložených na bezpečnost, je ve srovnání s minulým rokem výrazně nižší. Podle zprávy lze toto však přičíst složení vzorku pro průzkum a vyššímu zastoupení provozovatelů základní služby ze sektorů energetiky a zdravotnictví v důsledku nových sektorových výzev, ale také makroekonomickému prostředí, např. dopadu pandemie COVID - 19 na příslušné rozpočty.
Medián nákladů na bezpečnost vynaložených v rámci IT rozpočtů je 6,7 %, což je o jeden procentní bod méně než v roce 2020. Velcí operátoři investují do ICT výrazně více než menší operátoři. Odhadované přímé náklady na závažný bezpečnostní incident činí v průměru 200 000 EUR (cca 4 900 000 Kč), tedy dvakrát více než v loňském roce, což naznačuje nárůst nákladů na incidenty. Zdravotnictví a bankovnictví zůstávají na prvních dvou místech z hlediska nákladů na incidenty. Pouze 27 % dotázaných provozovatelů základní služby v sektoru zdravotnictví má specializovaný program na obranu proti ransomware a 40 % dotázaných nemá žádný program zvyšování povědomí o bezpečnosti pro zaměstnance mimo IT.
Zpráva za rok 2021 neuvádí konkrétní náklady vynakládaných na implementaci požadavků směrnice NIS 1 pro typický povinný subjekt v EU. Mezi relevantní informace je však třeba uvést, že medián výdajů na IT u dotazovaných organizací činil ve zkoumaném roce 10 000 000 EUR (cca 245 000 000 Kč), zatímco průměrná hodnota výdajů na IT byla ve stejném období 60 000 000 EUR (cca 1 470 000 000 Kč). Medián výdajů na bezpečnost informací podle stejných kritérií činil 600 000 EUR (14 600 000 Kč), zatímco průměrná hodnota výdajů byla 4 000 000 EUR (97 000 000 Kč).
Průzkum u vybraných subjektů v rámci přípravy metodického materiálu pro zjištění interních nákladů organizace v souvislosti s přípravou návrhu zákona (2023)
Průzkum související s návrhem zákona, který byl zejména prostředkem ověření funkčnosti metodiky k vyčíslení nákladů uvnitř organizace pro vnitřní potřebu adresátů návrhu zákona, dokumentuje vliv výše popsaných indikátorů a dokládá, že není z pohledu regulátora možné vyčíslit dopady na rozpočty v podobě absolutního čísla, které by bylo dostatečně přesné. Z obdržených vyplněných dotazníků vyplýval extrémní rozptyl těchto předpokládaných nákladů.
I mezi typově a velikostně shodnými subjekty, které poskytují veřejnosti druhově srovnatelné služby byl rozptyl vyčíslených nákladů jednotky milionů, přičemž tyto subjekty vyčíslovaly své náklady rovněž v jednotkách milionů za organizaci. V tomto případě se jednalo o 5 takto srovnatelných organizací, u kterých se rozptyl pohyboval od 6 milionů za organizaci do 11 milionů za organizaci. Co se týče rozptylu mezi velkou koncernovou organizací s mnoha aktivy, která však má z řízením bezpečnosti zkušenosti a malou začínající organizací, lze mluvit o rozptylu jednotek miliard do nízkých jednotek milionů.
I zde je však třeba poznamenat, že se nejedná o výdaje, které by bylo nutné vynaložit v rámci jednoho roku nutného pro implementaci povinností plynoucích z návrhu zákona. Vždy je tu možnost tyto náklady rozložit do jednotlivých let v závislosti na prioritizaci daných aktiv a finančních možností organizací.
Shrnutí dopadů na státní rozpočet a ostatní veřejné rozpočty
Na základě shrnutí všech výše uvedených výpočtů a metodik je možné konstatovat, že v případě výpočtu nákladů na zavedení a následné provádění především bezpečnostních opatření se jedná o velmi hrubé odhady pohybující se přibližně mezi 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému. Změny v přístupu k regulaci zavedené tímto návrhem zákona, výše uvedené proměnné (především různý stav již současného zabezpečení u regulovaných organizací), rozdělení povinností uložených těmto subjektům, stejně jako agregace řady bezpečnostních opatření u více systémů v rámci organizace mohou tyto hodnoty ovlivnit, nicméně s ohledem na výše uvedené lze očekávat požadavky na veřejné rozpočty v této přibližné míře (v souladu s postupem uvedeným v části 7.1.1 důvodové zprávy). Podstatnou proměnnou bude především to, jaký je daný počet jednotlivých systémů u každé konkrétní organizace, a takový násobek výše uvedené částky bude potřeba daným organizacím alokovat v rámci veřejných rozpočtů. Návrh zákona vychází z modelu převedení orgánů veřejné moci, které jsou regulovány již v současné době, do nové právní úpravy, přičemž tento seznam má být doplněn nově o obce s rozšířenou působností (jichž je v České republice 205). Jedná se tedy přibližně o tisíc regulovaných subjektů.
Do mechanismu prověřování bezpečnosti dodavatelského řetězce budou dále zapojeny relevantní státní orgány, které budou z oblasti svojí působnosti Úřadu poskytovat relevantní informace k posuzovaným dodavatelům. Z toho důvodu bude pro účely zavedení a realizaci mechanismu prověřování bezpečnosti dodavatelského řetězce nutné vyčlenit nízké desítky pracovníků. Tento mechanismus je ovšem navržen tak, aby v maximální možné míře využíval již stávajících kapacit jednotlivých státních orgánů. V případě požadavků na navýšení personálních kapacit státních orgánů bude postupováno podle části 7.1.1 důvodové zprávy.
Ve vztahu k návrhu zákona bude nutné vyhradit jednotky až nízké desítky tabulkových míst u zapojených státních orgánů a rozšíření stávajících či připravovaných informačních systémů k technické obsluze procesu prověřování. Na straně Úřadu a spolupracujících institucí budou muset být vynaloženy náklady, aby mohlo docházet k systematickému a koordinovanému prověřování dodavatelů do strategicky významné infrastruktury. V souladu s principem efektivity a cílem minimalizace ekonomických nákladů se bude maximálně využívat fungující synergie s již existujícími agendami a procesy, jakými jsou kupříkladu prověřování žadatelů o zápis do katalogu poskytovatelů služeb cloud computingu orgánům veřejné moci či prověřování zahraničních investorů podle zákona o prověřování zahraničních investic, včetně účelného využívání informačních systémů, které tyto agendy podporují.
Vzhledem k tomu, že navrhovaná právní úprava nevyžaduje ex ante prověření všech dodavatelů, resp. dodavatelských řetězců do strategicky významné infrastruktury, minimalizuje také nároky na personální a administrativní kapacity státu, a tedy na státní rozpočet.
Pracovníci Úřadu a spolupracujících institucí budou podle nařízení vlády č. 222/2010 Sb., o katalogu prací ve veřejných službách a správě, ve znění pozdějších předpisů, provádět šetření rizikových dodavatelů a tuto rizikovost vyhodnocovat.
Pokud jde o odbor centrální analytiky Úřadu, v případě dosažení frekvence zhruba 150 prověření ročně byla identifikována potřeba 18 referentů bezpečnosti států, jednoho referenta sekretariátu a jednoho vedoucího pracovníka, tedy celkem 20 tabulkových míst. Vzhledem k vysoké časové náročnosti ověřování kvality vykonané práce a řízení činnosti byla rovněž identifikována potřeba dedikovaného vedoucího pracovníka. S ohledem na zvýšenou administrativní zátěž je rovněž žádoucí dedikovaný sekretariát. Další součástí nákladů budou školení pro pracovníky věnující se prověřování dodavatelů, zejména s důrazem na vyhledávání v otevřených zdrojích. Prověřování dodavatelů bude rovněž vyžadovat přístup ke specifickým datům a informacím, které nejsou vždy dostupné z otevřených zdrojů, nebo nejsou dostupné v přístupném jazyce. Z toho důvodu budou součástí nákladů i předplatné či nákupy databází, které tato data či informace zprostředkovávají. Pro efektivnější práci s velkým množstvím dat je do nákladů dále zahrnuta akvizice analytických nástrojů určených pro práci s větším objemem dat.
Co se týče odboru regulace Úřadu, v případě dosažení frekvence zhruba 150 prověření ročně byla identifikována potřeba 13 referentů bezpečnosti států, jednoho referenta sekretariátu a jednoho vedoucího pracovníka, tedy celkem 15 tabulkových míst. Vzhledem k vysoké časové náročnosti ověřování kvality vykonané práce a řízení činnosti byla rovněž identifikována potřeba dedikovaného vedoucího pracovníka. S ohledem na zvýšenou administrativní zátěž a komunikaci s externími subjekty je rovněž žádoucí dedikovaný sekretariát. Další součástí nákladů budou školení pro pracovníky věnující se prověřování dodavatelů, zejména s důrazem na vyhledávání v otevřených zdrojích.
V případě zvýšení nároků na odbor kontroly Úřadu formou rozšíření jeho pracovní činnosti o oblast kontroly dodržování relevantních povinností mechanismu prověřování bezpečnosti dodavatelského řetězce, tedy řádného nahlášení přímých dodavatelů bezpečnostně významné dodávky, vyvinutí přiměřeného úsilí k dozvědění se o nepřímých dodavatelích bezpečnostně významné dodávky, jejich následného nahlášení a dodržování opatření obecné povahy vydaných Úřadem, byla identifikována potřeba do roku 2027 rozšířit jeho kapacity o 10 %, tedy o 4 tabulková místa pro referenty bezpečnosti státu. Vychází se tak z předpokladu, že je nadále potřeba vykonávat kontroly podle zákona o kybernetické bezpečnosti v jejich plném rozsahu, výše uvedené oblasti budou do rozsahu těchto kontrol začleněny a kontrola dodržování povinností mechanismu prověřování bezpečnosti dodavatelského řetězce u poskytovatelů strategicky významné služby se tak stane součástí kontrol podle předem stanovených plánů kontrol. Dalšími identifikovanými oblastmi, které byly zohledněny v oblasti požadavků na personální kapacity, byly např. zkušenosti z kontroly provozovatelů, plnění již vydaného varování, konzultační a podpůrné činnosti spojené s řízením dodavatelů a vydaným varováním, zvýšení administrativní zátěže a potřeba školení pracovníků v oblasti řízení dodavatelů a bezpečnosti dodavatelského řetězce.
Pokud dále jde o mechanismus prověřování bezpečnosti dodavatelského řetězce, v případě 150 prověření ročně platí, že v rámci Bezpečnostní informační služby bude pro zajištění nové agendy zapotřebí vyčlenit na tuto agendu 3 tabulková místa. Finanční analytický úřad pro účely plnění této agendy nárokuje 3 nová tabulková místa, plné a kvalitní zapojení Ministerstva průmyslu a obchodu do mechanismu na prověřování dodavatelů si vyžádá při očekávaném počtu 150 prověření ročně vyžádá rovněž 3 tabulková místa. I když je uvedená agenda velmi podobná prověřování zahraničních investic, které je v gesci Ministerstva průmyslu a obchodu, bude se jednat o prověření paralelně běžících, věcně nesouvisejících případů. Z důvodu současné naprosté kapacitní vytíženosti útvaru Ministerstva průmyslu a obchodu zodpovědného za prověřování zahraničních investic by tedy nová agenda mohla být vykonávána výhradně za podmínky jeho personálního posílení.
Přijetím zákona současně vznikne potřeba alokovat personální kapacity dotčeným útvarům Ministerstva vnitra, a to zejména v oblasti součinnosti při hodnocení naplnění kritérií nedůvěryhodnosti dodavatele, a to 3 až 4 tabulková místa. Z pozice státního orgánu zapojeného do procesu prověřování Ministerstvo vnitra konkrétní náplň činnosti bude zaměřovat na zabezpečení posuzování dodavatelů podle kritérií v rámci působnosti Ministerstva vnitra, shromažďování hlášení (vedení databáze a zabezpečení její aktualizace) a provádění jednotných hlášení Úřadu. Z pozice potenciálního poskytovatele strategicky významné služby bude Ministerstvo vnitra dále poskytovat případnou metodickou pomoc útvarům Ministerstva vnitra při řízení dodavatelů související s těmito povinnostmi v souladu s platným zněním systému řízení bezpečnosti informací (ISMS). Ministerstvo zahraničních věcí předpokládá nutnost alokace jednotek tabulkových míst a tomu odpovídajícího vybavení pro vykonávání nové agendy prověřování bezpečnostní rizikovosti dodavatelů. Nejvyšší státní zastupitelství, Policie České republiky, Úřad pro ochranu hospodářské soutěže, Úřad pro zahraniční styky a informace, ani Vojenské zpravodajství nevyžadují pro plnění agendy prověřování bezpečnostní rizikovosti dodavatelů personální posílení a vykonávání této agendy pokryjí ze stávajících personálních zdrojů.
V případě, že na základě výše uvedených skutečností identifikují státní orgány požadavky na navýšení personálních kapacit, využijí za tímto účelem postup uvedený v části 7.1.1 důvodové zprávy, tedy běžný postup, kterým jsou zajišťovány požadavky na navýšení personálních kapacit státních orgánů.
Poskytovatelé strategicky významné služby jsou jak soukromoprávními, tak veřejnoprávními subjekty či orgány, přičemž obě kategorie jsou zastoupeny zhruba 50 % z odhadovaného počtu 150 poskytovatelů strategicky významné služby. Nové povinnosti poskytovatelů strategicky významné služby budou sestávat z povinnosti zjišťovat, evidovat a hlásit Úřadu informace o dodavatelích bezpečnostně významných dodávek, a to s vynaložením přiměřeného úsilí. Tyto nové povinnosti generují na straně poskytovatelů strategicky významné služby minimální administrativní náklady. Potenciální významnější náklady poskytovatelům strategicky významné služby generuje povinnost dodržovat opatření vydaná Úřadem. V případě upozornění na riziko spojené s dodavatelem se bude jednat o reflexi identifikované hrozby v analýze rizik, což je opět proces, který je u poskytovatelů strategicky významné služby již nastavený a fungující.
Na poskytovatele strategicky významné služby má potenciálně vysoký dopad případný zákaz dodavatele bezpečnostně významné dodávky. Pokud by poskytovatel strategicky významné služby využíval plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, k jehož zákazu by došlo, bude muset takové plnění ze své infrastruktury vyloučit. Na základě výsledků dotazníkového šetření[footnoteRef:21] lze předpokládat, že případné omezení či vyloučení dodávek dodavatele, kterého poskytovatelé strategicky významné služby využívají, bude znamenat zvýšené finanční náklady také pro veřejné rozpočty. Maximální náklady spojené s vyloučením významného dodavatele mohou být až ve výši[footnoteRef:22] jednotek milionů Kč (3 % respondentů), desítek milionů Kč (34 % respondentů) i stovek milionů Kč (16 % respondentů). 25 % respondentů uvedlo náklady vyšší než 1 miliarda Kč, nicméně náklady byly vyčísleny do takové výše z důvodu, že dané orgány či osoby uvažovaly o vyloučení dodavatelů, kteří jako jediní jsou schopni dané plnění poskytnout. Do kalkulace nákladů tak započítávali mj. dopady ukončení či omezení poskytování strategicky významné služby, včetně ušlého zisku. Jelikož je podle navrhovaného mechanismu prověřování bezpečnosti dodavatelského řetězce možné udělit výjimku z vyloučení dodavatele, a to v případě, pokud by mohlo být podstatným způsobem ohroženo poskytování strategicky významné služby, takto vysoké náklady nejsou předpokládány. Vyloučení dodavatele ovšem může mít na poskytovatele strategicky významné služby při aplikaci přechodné lhůty odpovídající ekonomické životnosti aktiva také dopad nulový, jak uvedlo 22 % respondentů. [21: Dotazníkové šetření bylo adresováno všem orgánům a osobám podle § 3 c), d), f) a g) zákona o kybernetické bezpečnosti (odesláno prostřednictvím datové schránky 1. 11. 2022 s žádostí o sdílení vyplněného dotazníku do 30. 11. 2022). Následně Úřad vyhodnotil odpovědi orgánů a osob, kteří se stanou poskytovateli regulované služby v režimu vyšších povinností, kterým plynou povinnosti z mechanismu prověřování bezpečnosti dodavatelského řetězce, přičemž některé orgány či osoby spravující či provozující více systémů poskytly odpovědi za každý takový systém zvlášť. Úřad obdržel 65 takových odpovědí (dále jen „respondenti“).] [22: Na otázku uvedení maximálního finančního dopadu na zastupovanou organizaci v případě zákazu využívání plnění nejvýznamněji zastoupeného významného dodavatele podle § 2 písm. n) vyhlášky o kybernetické bezpečnosti po uplynutí ekonomické životnosti poskytovaného aktiva obdržel Úřad 32 odpovědí, které lze kvantifikovat.]
Přesnější vyčíslení nákladů souvisejících se zavedením mechanismu prověřování bezpečnosti dodavatelského řetězce není možné, protože do něj vstupuje řada neznámých proměnných, a to zejména jak často bude nutné přistoupit k omezení některého z dodavatelů, v jakém rozsahu bude omezovaný dodavatel ve strategicky významné infrastruktuře zastoupen a jaký způsob reakce na dané omezení přijme konkrétní poskytovatel strategicky významné služby.
V neposlední řadě lze dodatečné náklady na státní rozpočet očekávat rovněž u zvýšení rozpočtových nákladů u orgánu státní správy odpovědného za výkon státní správy v oblasti kybernetické bezpečnosti, kterým je Úřad. Přestože Úřad plní některé povinnosti plynoucí ze směrnice NIS 2 již v současné době, požadavky na nové procesy, a především enormní nárůst počtu povinných subjektů (nejméně 15násobek) povedou k tomu, že aktuální rozpočet orientován na stav před změnami zavedenými tímto návrhem zákona a plynoucími ze směrnice NIS 2 nepovede k dostatečnému pokrytí daných požadavků. Náklady v personálních otázkách budou vyšší desítky tabulkových míst oproti aktuální Koncepci rozvoje Úřadu. Personální náklady bude potřeba alokovat především do kapacitního posílení služeb vládního CERT (především v otázkách řešení kybernetických bezpečnostních incidentů a jejich analýzy, pentestů či skenů zranitelností), výkonu metodického řízení povinných osob (lze očekávat, že v souladu s obsahem směrnice NIS 2 budou pod regulaci návrhu zákona nově spadat také organizace s nižší úrovní kybernetické bezpečnosti) a výkonu kontroly. Kromě těchto personálních a finančních nákladů se předpokládá vznik informačního systému, který umožní řádné vykonávání pravomocí a povinností Úřadu v souvislosti s nárůstem počtu regulovaných subjektů a celkovým rozšířením souvisejících agend (Portál Úřadu).
Primárně se Úřad bude snažit zajistit výkon pravomocí a plnění povinností vyplývajících z návrhu zákona optimalizací vnitřních procesů, a také co největší možnou automatizací těchto procesů (tomu by měl výrazně napomoct Portál Úřadu), a to v rámci schválených rozpočtových limitů a stanovených limitů počtu míst a objemu prostředků na platy, např. na úkor agend, které se přirozeně utlumují, tj. bez nároku na jejich jakékoliv navýšení. Cílem samozřejmě bude zajistit finanční krytí v rámci rozpočtu Úřadu, popřípadě zajistit prostředky státního rozpočtu na úhradu těchto výdajů přesunem prostředků uvnitř svého rozpočtu.
Pokud Úřad identifikuje potřebu navýšení své kapitoly rozpočtu nad rámec schválených rozpočtových limitů nebo stanovených limitů počtu míst a objemu prostředků na platy, bude taková potřeba předmětem vyjednávání o podobě jeho rozpočtové kapitoly, resp. státního rozpočtu na předmětný rok. Ač by měl Úřad primárně zajistit prostředky ze své rozpočtové kapitoly, lze očekávat požadavky Úřadu na poskytnutí prostředků k plnění nových pravomocí a povinností jemu stanovených návrhem zákona.
7.2. Dopady na územní samosprávné celky
Již zákon o kybernetické bezpečnosti, na který tento návrh zákona navazuje, obsahuje širokou regulaci vyšších územně samosprávných celků. Samotná směrnice NIS 2, ve vztahu k níž je návrh zákona transpozičním právním předpisem, dosavadní postup aprobuje, protože obsahuje oproti znění směrnice NIS 1 ustanovení o tom, že nově jsou regulovány také „subjekty veřejné správy na regionální úrovni, pokud tak budou v rámci národní právní úpravy stanoveny“.
Rozšíření oproti stávající právní úpravě však přináší návrh zákona v nové regulaci části základních územně samosprávných celků, tedy obcí, resp. obcí s rozšířenou působností. Obce s rozšířenou působností dlouhodobě pod regulaci zákona o kybernetické bezpečnosti nespadaly z důvodu výslovné výjimky. Současné trendy a zkušenosti z České republiky a zahraničí nicméně ukazují, že jejich postavení nelze podceňovat – jak ukazují neblahé zkušenosti některých obcí s kybernetickými bezpečnostními incidenty, které se ani jim nevyhýbají. V případě obcí s rozšířenou působností počítá návrh zákona s jejich zařazením zpravidla do režimu nižších povinností. Lze však také očekávat jejich nižší úroveň kybernetické bezpečnosti obecně. Z toho se dá odhadnout, že náklady na jejich zabezpečení budou v zásadě srovnatelné s výpočtem uvedeným výše.
7.3. Dopady na podnikatelské prostředí České republiky
S ohledem na směrnicí NIS 2 požadované podstatné rozšíření počtu povinných osob (nejméně 15násobné navýšení oproti současnému stavu) – a to jednak stávajících regulovaných odvětví o nové regulované služby, ale také především rozšířením regulovaných odvětví – jsou předpokládány zvýšené dopady na podnikatelské prostředí České republiky a na soukromý sektor celkově. Z odhadovaných nejméně šesti tisíc regulovaných subjektů tvoří veřejný sektor přibližně jen tisíc organizací, zbývající počet pak spadá do soukromého sektoru (mezi nimi především dva tisíce podnikatelů poskytujících veřejně dostupné služby elektronických komunikací), a z toho důvodu také přináší významný dopad na podnikatelské prostředí v České republice.
Jak již bylo uvedeno v části 7.1 důvodové zprávy, výpočet nákladů potřebných na zajištění požadavků návrhu zákona je zatížen celou řadou problematických bodů, které znesnadňují výpočet cílové částky.
Plnění povinností stanovených zákonem o kybernetické bezpečnosti, nebo návrhem zákona, je kontinuální proces. Návrh zákona ve svém obsahu – v souladu s požadavkem směrnice NIS 2 – provazuje regulaci nikoli s konkrétními informačními systémy, ale se službou, kterou společnost poskytuje. Nevýhodou otázky analýzy finančních dopadů na společnosti je skutečnost, že distribuce nákladů na kybernetickou bezpečnost není plošná a existuje zde naprostá informační asymetrie ve směru od společností samotných k regulačnímu orgánu (tj. jen společnost samotná by měla být schopná identifikovat její vlastní náklady na zavedení a udržování přiměřené úrovně kybernetické bezpečnosti).
Distribuce nákladů na kybernetickou bezpečnost není plošná z důvodu velkého počtu neznámých a proměnlivých indikátorů:
· aktuální stav zabezpečení každé jedné společnosti,
· různý cílový stav každé společnosti související s významností její činnosti a potřebou zajistit její fungování,
· široká variabilita rozsahu opatření na zajištění kybernetické bezpečnosti, která může být naprosto odlišná u jednotlivých společností,
· identifikace toho, co je nákladem na zajištění kybernetické bezpečnosti a co je nákladem na běžný provoz ICT u dané společnosti (tyto množiny se velmi prolínají),
· soulad se zákonem o kybernetické bezpečnosti v případě, že se jedná o společnost pod zákon už nyní spadající,
· neznámý počet výsledných regulovaných společností, a
· proměnlivost nákladů v čase související jak s makroekonomickými otázkami, tak s vývojem technologií a mnoho dalších indikátorů.
Tyto indikátory jsou bohužel spjaty se systémem zajištění kybernetické bezpečnosti, ať už podle zákona o kybernetické bezpečnosti, návrhu zákona, tak i z obecně přijímaných norem upravujících kybernetickou bezpečnost. Pro stanovení alespoň orientačního výpočtu nákladů na podnikatelské prostředí můžeme vzít v úvahu stejné indikátory, jako tomu bylo v případě části 7.1 důvodové zprávy.
1.3.1 Výpočet nákladů podle návrhu novelizace zákona o kybernetické bezpečnosti (2017)
Tento výpočet můžeme v případě dopadů na podnikatelské prostředí použít z toho důvodu, že pracuje s výpočtem také pro kritickou informační infrastrukturu, do které byly řazeny mj. společnosti soukromého sektoru mající potenciálně největší dopady na fungování České republiky. Odůvodnění pracovalo s premisou, že míra povinností stanovená pro nejvyšší kategorii regulovaných subjektů je stejná, a proto bylo možné dovodit, že náklady vzniklé již regulovaným prvkům jsou pro (tehdy) nové subjekty srovnatelné, či v případě dalších kategorií regulovaných subjektů nižší. Ze získaných dat vyplynulo, že souhrnné náklady na zavádění technických opatření podle zákona o kybernetické bezpečnosti činily na 77 systémů kritické informační infrastruktury a významných informačních systémů téměř 95 000 000 Kč. K provádění organizačních opatření podle zákona o kybernetické bezpečnosti pak bylo podle správců vydáno celkem 23 000 000 Kč na zmíněných 77 systémů. Tyto náklady byly počítány za první rok od určení, tj. ve lhůtě stanovené pro zavádění bezpečnostních opatření. Bylo tedy možné shrnout, že průměrně náklady na zavedení technických opatření na jeden významný informační systém nebo informační nebo komunikační systém kritické informační infrastruktury vycházejí přibližně na 1 233 000 Kč a organizační opatření pak vycházejí na cca 300 000 Kč. Důvodová zpráva již tehdy také uváděla, že jde o velmi hrubé odhady, neboť někteří správci nebyli schopni náklady na zavádění zákonných opatření přesně vyčíslit. V rámci důvodové zprávy se také uváděl výsledek dotazníkového průzkumu prováděného mezi členy pracovní skupiny I, z kterého vyplynulo, že v závislosti na provádění povinností uložených zákonem o kybernetické bezpečnosti je zabezpečení informačních systémů hodnoceno jako poměrně vysoké, přičemž náklady na doplnění bezpečnostních opatření na úroveň stanovenou pro správce a provozovatele informačního systému základní služby by činily v průměru na jeden subjekt cca 6 000 000 Kč, pokud by požadovaná úroveň zabezpečení byla nastavena na úrovni významných informačních systémů, nebo cca 11 500 000 Kč, pokud by byla požadována stejná úroveň zabezpečení jako pro kritickou informační infrastrukturu.
7.3.2 Výpočet nákladů podle návrhu novelizace vyhlášky o významných informačních systémech (2019)
Tento výpočet můžeme v případě dopadů na podnikatelské prostředí použít jen velmi volně, a především v případě společností, jejichž poskytování služeb je závislé spíše na kancelářských typech systémů. Při zpracovávání hodnocení dopadů regulace k vyhlášce o významných informačních systémech (v roce 2019) došlo k orientačnímu výpočtu nákladů na zabezpečení jednoho typového informačního systému ve veřejné správě, a to na základě tou dobou dostupných dat a průzkumu mezi vybranými regulovanými osobami. Pro ilustraci může sloužit, že se jednalo o částku 821 000 Kč na jeden informační systém (tedy cca 50 % z odhadu výpočtu nákladů podle návrhu novelizace zákona o kybernetické bezpečnosti z roku 2017 (výše), a jen cca 13 % vůči výsledku dotazníkového průzkumu mezi členy pracovní skupiny I).
7.3.3 Výpočet nákladů podle Zprávy o investicích do síťových a informačních systémů (NIS) podle Evropské agentury pro bezpečnost sítí a informací (2021)
Zpráva za rok 2020 vychází ze specializovaného průzkumu trhu provedeného mezi 947 organizacemi – s minimálně 35 organizacemi z každého členského státu, které byly identifikovány jako povinné osoby podle směrnice NIS 1. Kvantitativní ukazatele v průzkumu byly analyzovány na základě mediánu i průměru (mediánová hodnota by měla být považována za typickou hodnotu).
Jak závěry zprávy uvádějí, typický povinný subjekt v Evropské unii vynakládá na implementaci požadavků směrnice NIS 1 40 000 EUR, tedy cca 1 000 000 Kč (hodnota je medián). Průměrná hodnota činila 98 000 EUR (cca 2 400 000 Kč). V České republice se jedná podle zprávy průměrně o částku 60 000 EUR (cca 1 500 000 Kč).
7.3.4 Výpočet nákladů podle Zprávy o investicích do síťových a informačních systémů (NIS) podle Evropské agentury pro bezpečnost sítí a informací (2022)
Zpráva za rok 2021 navazuje na výše uvedenou zprávu za rok 2020 a vychází ze specializovaného průzkumu trhu provedeného mezi 1080 organizacemi.
Jak závěry zprávy uvádějí, celkově se zdá, že řada absolutních hodnot, jako jsou rozpočty na IT a informační bezpečnost nebo procento nákladů v rámci rozpočtů na IT vynaložených na bezpečnost, je ve srovnání s minulým rokem výrazně nižší. Podle Zprávy lze toto však přičíst složení vzorku pro průzkum a vyššímu zastoupení provozovatelů základní služby ze sektorů energetiky a zdravotnictví v důsledku nových sektorových výzev, ale také k makroekonomickému prostředí, např. dopad pandemie COVID-19 na příslušné rozpočty.
Medián nákladů na bezpečnost vynaložených v rámci IT rozpočtů je 6,7 %, což je o jeden procentní bod méně než v loňském roce. Velcí operátoři investují do ICT výrazně více než menší operátoři. Odhadované přímé náklady na závažný bezpečnostní incident činí v průměru 200 000 EUR (cca 4 900 000 Kč), což je dvakrát více než v loňském roce, což naznačuje nárůst nákladů na incidenty. Zdravotnictví a bankovnictví zůstávají na prvních dvou místech z hlediska nákladů na incidenty. Pouze 27 % dotázaných provozovatelů základní služby v sektoru zdravotnictví má specializovaný program na obranu proti ransomware a 40 % dotázaných nemá žádný program zvyšování povědomí o bezpečnosti pro zaměstnance mimo IT.
Zpráva za rok 2021 konkrétní náklady vynakládané na implementaci požadavků směrnice NIS 1 pro typický povinný subjekt v Evropské unii již bohužel neuvádí. Mezi relevantní informace je však třeba uvést, že medián výdajů na IT u dotazovaných organizací činil ve zkoumaném roce 10 000 000 EUR (cca 245 000 000 Kč), zatímco průměrná hodnota výdajů na IT byla ve stejném období 60 000 000 EUR (cca 1 470 000 000 Kč). Medián výdajů na bezpečnost informací podle stejných kritérií činil 600 000 EUR (14 600 000 Kč), zatímco průměrná hodnota výdajů byla 4 000 000 EUR (97 000 000 Kč).
7.3.4 Průzkum u vybraných subjektů v rámci přípravy metodického materiálu pro zjištění interních nákladů organizace v souvislosti s přípravou návrhu zákona (2023)
Průzkum související s návrhem zákona, který byl zejména prostředkem ověření funkčnosti metodiky k vyčíslení nákladů uvnitř organizace pro vnitřní potřebu adresátů návrhu zákona, dokumentuje vliv výše popsaných indikátorů a dokládá, že není z pohledu regulátora možné vyčíslit dopady na rozpočty v podobě absolutního čísla, které by bylo dostatečně přesné. Z obdržených vyplněných dotazníků vyplýval extrémní rozptyl těchto předpokládaných nákladů.
I mezi typově a velikostně shodnými subjekty, které poskytují veřejnosti druhově srovnatelné služby byl rozptyl vyčíslených nákladů jednotky milionů, přičemž tyto subjekty vyčíslovaly své náklady rovněž v jednotkách milionů za organizaci. V tomto případě se jednalo o 5 takto srovnatelných organizací, u kterých se rozptyl pohyboval od 6 milionů za organizaci do 11 milionů za organizaci. Co se týče rozptylu mezi velkou koncernovou organizací s mnoha aktivy, která však má z řízením bezpečnosti zkušenosti a malou začínající organizací, lze mluvit o rozptylu jednotek miliard do nízkých jednotek milionů.
I zde je však třeba poznamenat, že se nejedná o výdaje, které by bylo nutné vynaložit v rámci jednoho roku nutného pro implementaci povinností plynoucích z návrhu zákona. Vždy je tu možnost tyto náklady rozložit do jednotlivých let v závislosti na prioritizaci daných aktiv a finančních možností organizací.
7.3.5 Shrnutí dopadů na podnikatelské prostředí
Shrnutím všech výše uvedených výpočtů a metodik je možné konstatovat, že v případě výpočtu nákladů na zavedení a následné provádění především bezpečnostních opatření se jedná o velmi hrubé odhady, pohybující se přibližně mezi 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému (nikoli společnosti jako celku). Změny v přístupu k regulaci zavedené návrhem zákona, výše uvedené proměnné (především různý stav již současného zabezpečení u jednotlivých společností), rozdělení povinností uložených těmto společnostem, stejně tak jako agregace řady bezpečnostních opatření u více systémů v rámci společnosti pak mohou tyto hodnoty ovlivnit, nicméně s ohledem na výše uvedené je možné očekávat dopady na podnikatelské prostředí ve zvýšené míře. Podstatnou proměnnou tak bude především to, jaký je stav kybernetické bezpečnosti ve společnosti a jaký je daný počet jednotlivých systémů u každé konkrétní společnosti, neboť takový násobek výše uvedené částky bude potřeba vedením společnosti alokovat na zavedení či zvýšení kybernetické bezpečnosti v souladu s návrhem zákona.
Stejně jako v případě zákona o kybernetické bezpečnosti je možné zdůraznit, že s jednotlivými oblastmi jsou spojena specifika, která mohou značně ovlivňovat dopady navrhované regulace. Např. v odvětví energetiky budou muset regulované subjekty projednávat náklady a investice vyplývající z návrhu zákona s Energetickým regulačním úřadem, jakožto správním orgánem pro výkon cenové regulace v energetice. Lze předpokládat, že náklady vyvolané návrhem zákona by mohly být pro účely regulace cen považovány za ekonomicky oprávněné náklady (uznatelné náklady na implementaci právních předpisů) a že by tak mohlo dojít k tomu, že investice realizované za účelem splnění povinností stanovených návrhem zákona budou uznatelnou součástí regulační báze aktiv regulované společnosti.
Protože směrnice NIS 2 sama rozděluje povinné osoby do dvou skupin (tzn. „essential“ a „important“) navázal na toto rozdělení také návrh zákona, a to především z toho důvodu, aby se snížily dopady na regulované osoby (tedy státní organizace, především obce, hlavně však nově regulované soukromé společnosti), kterým neplynou doposud ze zákona o kybernetické bezpečnosti žádné povinnosti. S tímto rozdělením počítá návrh zákona takovým způsobem, že společnostem majícím v rámci fungování České republiky významnější dopady, stanovuje povinnosti v míře vycházející ze zákona o kybernetické bezpečnosti a společnostem majícím dopady menší, stanovuje novou sadu pravidel, která ze zákona o kybernetické bezpečnosti také vycházejí, ale omezují se na nutné minimum požadované směrnicí NIS 2.
Rozdíl mezi těmito skupinami ilustruje také jedna kapitola z výše uvedených, a to o investicích do síťových a informačních systémů za rok 2021. Jak je upřesněno ve druhé části Zprávy o investicích, podstatných změn čísla doznají v případě rozlišení podniků, které jsou velké oproti ostatním. Například z celkových investic do IT (30 000 000 EUR medián, 125 000 000 EUR průměr) vyplývá, že v případě velkých podniků náklady na kybernetickou bezpečnost pokrývají drtivou většinu těchto nákladů (35 000 000 EUR medián, 130 000 000 EUR průměr), zatímco ostatní – střední, malé a mikro – podniky dosahují výše nákladů na kybernetickou bezpečnost podstatně menších (1 000 000 EUR průměr i medián). V případě nákladů na bezpečnost informací jsou to 2 000 000 EUR (49 000 000 Kč – hodnota je medián) nebo 10 500 000 EUR (průměr) v případě velkých podniků a 100 000 EUR (2 400 000 Kč – hodnoty jsou pro medián i průměr shodné) v případě ostatních. Také v případě nákladů na požadavky směrnice NIS 1 existuje podle Zprávy podstatný rozdíl mezi velkým podnikem a ostatními. V případě velkých podniků se jedná o náklady ve výši 54 000 EUR (cca 1 300 000 Kč – hodnota je medián) nebo 112 000 EUR (2 700 000 Kč – hodnota je průměr), v případě ostatních podniků se jedná o 18 000 EUR (cca 440 000 Kč – hodnota je medián) nebo 27 000 EUR (660 000 Kč – hodnota je průměr). Výše uvedené hodnoty slouží pro ilustraci toho, že náklady každého subjektu jsou individuální a se zvětšující se velikostí subjektu jsou náklady spíše exponenciální. Lze proto předpokládat, že v případě skutečně velkých subjektů může být výše uvedený odhad nákladů ještě mnohonásobně vyšší.
Vedle negativních dopadů na podnikatelské prostředí, které mohou být vyvolány zvýšením nákladů daných společností, je na druhé straně namístě uvést pozitivní dopady, které návrh zákona, stejně jako i zákon o kybernetické bezpečnosti, přinášejí. V prvé řadě lze očekávat posílení podnikatelského prostředí. Návrhem zákona je totiž garantována určitá úroveň zabezpečení regulovaných služeb. Zvýšení zabezpečení přispívá k budování důvěry spotřebitelů a obchodních partnerů, případně i zahraničních investorů, které může přilákat právě vysoká míra bezpečnosti českého ICT prostředí. Nezavedením povinností by naopak čeští podnikatelé zaostávali za podnikateli ostatních členských států, což by mohlo vést ke ztrátě jejich klientely a zhoršení konkurenceschopnosti.Dále není možno přehlédnout, že zavedením bezpečnostních opatření a plněním dalších povinností podnikatelé minimalizují riziko vzniku kybernetických bezpečnostních incidentů, které mohou značně narušit fungování jimi provozovaných a poskytovaných služeb. Tím bude zabráněno i vzniku rozsáhlých finančních ztrát a poškození dobrého jména, které by mohlo být ve výjimečných případech až fatální.
Mechanismus prověřování bezpečnosti dodavatelského řetězce upravený návrhem zákona přispěje ke zvýšení povědomí podnikatelské sféry o bezpečnostních rizicích, která mohou být spojena se spoluprací s rizikovým dodavatelem. Pro tuzemské podnikatelské subjekty (a to nejen pro strategicky významnou infrastrukturu státu) tak vzniká prostředek, kterým mohou získat informace o zahraničním dodavateli potřebné pro minimalizaci rizika plynoucího z bezpečnostně významných dodávek, které nejsou učiněny v dobré víře.
Mechanismus prověřování bezpečnosti dodavatelského řetězce bude mít další dopady na poskytovatele strategicky významné služby. S ohledem na návaznost procesů spojených s mechanismem prověřování na stávající procesy, které povinné osoby podle zákona o kybernetické bezpečnosti mají již v současnosti povinnost provádět, jako je identifikace a hodnocení aktiv, analýza rizik apod., dochází k minimálnímu zásahu, a tedy i k minimálnímu vzniku dodatečných nákladů při zavádění nové regulace do právních předpisů. Nové povinnosti poskytovatelů strategicky významné služby budou sestávat z povinnosti zjišťovat, evidovat a hlásit Úřadu informace o dodavatelích bezpečnostně významných dodávek, a to s vynaložením přiměřeného úsilí. Tyto nové povinnosti generují na straně poskytovatelů strategicky významné služby minimální administrativní náklady.
Potenciální významnější náklady poskytovatelům strategicky významné služby generuje povinnost dodržovat opatření vydaná Úřadem. V případě upozornění na riziko spojené s dodavatelem se bude jednat o reflexi identifikované hrozby v analýze rizik, což je opět proces, který je u poskytovatelů strategicky významné služby již nastavený a fungující. Případný zákaz dodavatele má potenciální vysoký dopad na poskytovatele strategicky významné služby. Pokud by poskytovatel strategicky významné služby využíval plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, k jehož zákazu by došlo, bude muset takové plnění ze své infrastruktury vyloučit. Dopady vyloučení dodavatele bezpečnostně významné dodávky jsou přiblíženy v podkapitole 7.1.6. důvodové zprávy a analogicky lze tyto dopady aplikovat také na podnikatelské prostředí, včetně omezení vyčíslení nákladů v důsledku velkého množství neznámých vstupů. 56 % respondentů dotazníkového šetření navíc jako nejzávažnější možný dopad na poskytování služby identifikuje omezení či ukončení poskytování služby.[footnoteRef:23] Právě riziko ohrožení poskytování strategicky významné služby podstatným způsobem také umožňuje poskytovateli strategicky významné služby zažádat o výjimku ze zákazu plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu. Pro dalších 32 % respondentů jsou nejzávažnější dopady finanční. 12 % respondentů v případě aplikace lhůty respektující ekonomickou životnost daného aktiva pro vyloučení stávajícího dodavatele neidentifikuje žádné vícenáklady kromě těch, které jsou s obnovou technologie a přechodem na alternativní technologická řešení standardně spojeny. [23: Na dotaz odhadu nejhorších možných dopadů na poskytování služby, pro kterou jsou respondenti regulováni zákonem o kybernetické bezpečnosti, v případě že by bylo zakázáno využívat plnění významného dodavatele, který dodává vysoká a kritická technická aktiva, pokud by lhůta pro vyloučení dodavatele byla stanovena na ekonomickou životnost aktiva, odpovědělo 50 respondentů.]
V případě, že poskytovatel strategicky významné služby plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, jež bylo zakázáno, v současnosti nevyužívá, nicméně v budoucnu by o bezpečnostně významných dodávkách tohoto dodavatele uvažoval, z důvodu vyloučení možnosti bezpečnostně významnou dodávku od takového dodavatele pořídit, může čelit dalším dopadům. Ty souvisejí především s možnou vyšší cenou od alternativních dodavatelů. Tento přístup a zvýšené náklady se mohou objevit obzvláště v případě, že na trhu není dostatečná konkurence a danou dodávku poskytuje pouze omezený počet dodavatelů.
V neposlední řadě přináší návrh zákona dodatečné nepřímé náklady taktéž dodavatelům bezpečnostně významných dodávek. V případě zákazu vyloučení plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu vysoce bezpečnostně rizikového dodavatele z možnosti poskytovat bezpečnostně významné dodávky do strategicky významné infrastruktury dojde k omezení hospodářské soutěže. Toto omezení se ovšem bude zakládat na transparentním a přezkoumatelném rozhodnutí Úřadu, který vyhodnotí veškeré informace, které jsou relevantní vzhledem k vyhodnocování kritérií upravených prováděcím právním předpisem, které má k danému dodavateli k dispozici, a to jak ze svého vlastního šetření, tak také na základě informací obdržených od ostatních státních orgánů zapojených do mechanismu prověřování bezpečnosti dodavatelského řetězce. V případě, že Úřad nezjistí možné významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku v důsledku vyhodnocení kritérií rizikovosti dodavatele, takový dodavatel nebude na svém právu podnikat v České republice jakkoli omezen. I dodavatelé, kteří budou rozhodnutím Úřadu omezeni, ovšem budou moci i nadále poskytovat ostatní dodávky do strategicky významné infrastruktury, stejně jako dalším subjektům v České republice.
Možné zmenšení okruhu dodavatelů na trhu z důvodu jejich omezení může vést k nárůstu cen dodávaných technologií, a tedy i ke zvýšení nákladů na straně poskytovatelů strategicky významné služby. Vzhledem k možnému snížení počtu dodavatelů technologií může dojít k alespoň dočasnému poklesu vzájemného konkurenčního tlaku, a tím pádem i ke snížení motivace k vytváření inovací.[footnoteRef:24] Omezení rizikových dodavatelů u bezpečnostně významných dodávek je ovšem odůvodněno prevencí ohrožení bezpečnosti České republiky či veřejného pořádku. Návrhem zákona dále dojde ke zvýšení celkové úrovně bezpečnosti služeb a produktů, čímž dojde ke snížení investičních rizik spojených s dodavatelským řetězcem pro potenciální investory, obzvláště ze zemí, které bezpečnost dodavatelského řetězce již právně regulují. [24: Podobné obavy měli např. v Dánsku (viz FOLKETINGET. L 190 Forslag til lov om leverandørsikkerhed i den kritiske teleinfrastruktur. Dostupné z: https://www.ft.dk/samling/20201/lovforslag/l190/20201_l190_som_fremsat.htm]
Vzhledem k tomu, že návrh zákona nevyžaduje ex ante prověření všech dodavatelů, resp. dodavatelských řetězců do strategicky významné infrastruktury, minimalizuje také zásah prověřování do podnikatelských procesů, nehrozí tedy zdržení investic a zpomalení rozvoje z důvodu zpomalení výběrových řízení.
7.4 Sociální dopady
Návrh zákona je z pohledu sociálních dopadů neutrální. Nepředpokládají se žádné negativní sociální dopady, neboť nedochází ke snížení úrovně ochrany zaměstnanců, rodin nebo specifických skupin obyvatel (osoby sociálně slabé, osoby se zdravotním postižením ani národnostní menšiny).
7.5 Dopady na životní prostředí
Návrh zákona se zaměřuje zejména na posílení nastavení základních pilířů kybernetické bezpečnosti v České republice. Vzhledem k zásadě technologické neutrality, na které jsou zákon o kybernetické bezpečnosti i směrnice NIS 2 postaveny, nepředepisuje návrh zákona žádná konkrétní technologická řešení, nepředpokládají se tedy dopady na životní prostředí. Veřejní zadavatelé postupují v zadávacím řízení na veřejnou zakázku, jejímž předmětem může být rovněž plnění související se zaváděním povinností podle tohoto návrhu zákona, v souladu s ustanovením § 6 odst. 4 zákona o zadávaní veřejných zakázek a dodržují tudíž zásadu environmentálně odpovědného zadávání a inovací, pokud je to vzhledem k povaze a smyslu zakázky možné.
7.6 Dopady na spotřebitele
Navrhovaná právní úprava nepředpokládá žádné přímé dopady na spotřebitele (nedochází k právní úpravě jejich postavení ani práv nebo povinností). Dopady, jež by se mohly spotřebitele dotknout nepřímo, se mohou vyskytovat dvojí a pravděpodobně se budou realizovat současně. Pozitivním nepřímým dopadem je skutečnost, že realizování výše uvedených povinností u regulovaných orgánů a osob povede ke zlepšení bezpečnosti a zvýšení kvality poskytovaných služeb. Negativním dopadem, který lze očekávat v případě jakékoli veřejnoprávní regulace, je pak tlak regulovaných orgánů a osob na promítání zavádění bezpečnostní opatření do ceny služeb pro jednotlivé spotřebitele. Je však nutno podotknout, že směrnice NIS 2 cílí na ochranu a podporu fungování vnitřního trhu EU. Splněním ukládaných povinností by tedy mělo dojít i ke zlepšení úrovně poskytovaných služeb ve všech základních sledovaných parametrech bezpečnosti informací, a to napříč všemi členskými státy. Občanům České republiky, potažmo EU tak bude garantována vysoká úroveň zabezpečení služeb v rámci celého prostoru EU.
Zlepšení kvality regulovaných služeb poskytovaných orgány a osobami bude zároveň mít pozitivní vliv na ochranu osobních údajů, které jsou mnohdy zejména v souvislosti s poskytováním digitálních služeb informačními systémy zpracovávány a uchovávány.
2. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů
8.1. Základní parametry navrhovaného zpracování osobních údajů
a) Subjekty údajů
Návrh zákona dopadá primárně na tzv. poskytovatele regulovaných služeb, kterými jsou zpravidla právnické osoby či orgány veřejné správy, o fyzické osoby půjde naopak ve zcela ojedinělých případech. Obdobně tomu bylo dle původního zákona o kybernetické bezpečnosti, návrh zákona přitom zásadním způsobem nemění původní účely a rozsah zpracování z hlediska druhů či kategorií osobních údajů. Návrhem zákona nicméně dochází k zásadnímu navýšení počtu regulovaných orgánu a osob z nižších stovek na zhruba 6000 regulovaných subjektů. Každý regulovaný subjekt má přitom alespoň jednu kontaktní osobu, která je oprávněna či pověřena k jednání vůči Úřadu.
Dalšími potenciálními subjekty údajů jsou:
· osoby jednající za subjekty posuzování shody žádající o autorizaci podle nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře EU pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 (tzv. „akt o kybernetické bezpečnosti“),
· osoby žádající o členství v Komunitě kompetencí pro kybernetickou bezpečnost (dále jen „Komunita“) podle nařízení (EU) 2021/887,
· osoby zúčastněné na kontrole nebo řízení o přestupcích.
Ve výše uvedených případech jde o specifická řízení, jejichž účelem je, aby Úřad mohl realizovat své pravomoci v souladu s příslušnými předpisy EU nebo v souladu s návrhem zákona.
b) Druh a kategorie údajů
Návrh zákona se z hlediska druhu a kategorií zpracovávaných osobních údajů nikterak zásadně neodlišuje od zákona o kybernetické bezpečnosti, konkrétní druhy zpracovávaných údajů jsou specifikovány v tabulce níže.
Specificky u žadatelů o členství Komunitě budou zpracovávány údaje svědčící o jejich základní způsobilosti k tomuto členství podle § 51 návrhu zákona, přičemž o osobní údaje půjde pouze, bude-li žadatelem fyzická osoba. Jde o údaje o jeho sídle, nezapsání na vnitrostátním sankčním seznamu[footnoteRef:25], neodsouzení v 5 letech předcházejících podání žádosti pro zákonem specifikované trestné činy, jeho daňových nedoplatcích, nedoplatcích na pojistném nebo penále zdravotního pojištění, sociálního zabezpečení a příspěvku na státní politiku zaměstnanosti, údaje o tom, že není v likvidaci, nebylo proti němu vydáno rozhodnutí o úpadku a nebyla vůči němu nařízena nucená správa podle jiného právního předpisu. [25: Zákon č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon).]
Návrh zákona nepředpokládá žádné zpracovávání zvláštní kategorie osobních údajů.
c) Doba zpracování osobních údajů
Ke zpracování osobních údajů kontaktních osob dochází po celou dobu, kdy konkrétní organizace poskytovatele regulované služby spadá do působnosti zákona. Přestane-li organizace poskytovatele regulované služby spadat do působnosti zákona, jsou údaje relevantních kontaktních osob nadále zpracovávány po dobu 10 let z důvodu zajištění kontinuity evidovaných údajů pro potřeby následné kontroly či přestupkového řízení. Obdobně jsou zpracovávány taktéž údaje bývalých kontaktních osob.
Pokud jde o podklady správního řízení či další dokumenty zpracovávané v rámci systému spisové služby, Úřad se v tomto ohledu řídí svým Spisovým řádem, dle kterého jsou jednotlivým dokumentům přiřazovány skartační znaky, resp. je rozhodováno o archivaci či zničení takových dokumentů, z čehož vyplývá délka jejich zpracování. Dokumenty jsou typicky uchovávány v řádu jednotek let (maximálně 10 let), načež mohou být některé z nich archivovány.
d) Právní základ zpracování osobních údajů
Právním základem zpracování popsaných údajů bude plnění právních povinností podle samotného návrhu zákona o kybernetické bezpečnosti.
Zpracování osobních údajů probíhá v souladu s obecným nařízením o ochraně osobních údajů a dále v souladu s relevantními vnitrostátními právními předpisy v oblasti ochrany osobních údajů.
Jelikož Úřad při výkonu své působnosti zajišťuje plnění základní povinnosti státu, jak je vymezena v čl. 1 zákona bezpečnosti České republiky, bude v činnostech, které nevycházejí ze směrnice NIS 2 (a obecné nařízení o ochraně osobních údajů na ně s ohledem na jeho čl. 2 odst. 2 písm. a) nedopadá), postupovat podle hlavy IV zákona o zpracování osobních údajů (např. správa a provoz Portálu Úřadu dle § 47, vedení evidence podle § 48 návrhu zákona). Protože má však i činnost vycházející ze směrnice NIS 2 velmi zásadní význam z hlediska ochrany bezpečnosti České republiky, je nutno stanovit i pro tyto činnosti základní systém výjimek (v rámci možností stanovených v čl. 23 obecného nařízení o ochraně osobních údajů) tak, aby výkonem práv a povinností podle obecného nařízení o ochraně osobních údajů nemohlo dojít k omezení či dokonce ohrožení plnění povinností Úřadu podle návrhu zákona. Stanovením těchto výjimek však není dotčena možnost využití mechanismu pro výjimku upraveného v § 11 a násl zákona o zpracování osobních údajů ze strany Úřadu.
Dochází také k uplatnění ustanovení § 6 (výjimka z povinnosti posuzování slučitelnosti účelů) a § 11 (omezení některých práv a povinností) zákona o zpracování osobních údajů ve spojitosti s čl. 23 obecného nařízení o ochraně osobních údajů, spadá-li dané zpracování do jeho působnosti.
e) Účely zpracování
Konkrétní agendy a související účely zpracování osobních údajů na základě návrhu zákona jsou popsány v následující tabulce spolu s druhy či kategoriemi zpracovávaných údajů.
Agendy
Účel zpracování
Druh či kategorie osobních údajů
Registrace regulované služby, změna registrace regulované služby a žádost poskytovatele regulované služby o výmaz z evidence regulovaných služeb (§ 8 až 11)
Účelem zpracování je vzájemná komunikace Úřadu a regulovaných organizací, plnění informační povinnosti regulovaných organizací vůči Úřadu a dohled nad plněním povinností regulovaných organizací.
- jméno, příjmení, titul, číslo občanského průkazu nebo rodné číslo kontaktní osoby
- role či pozice kontaktní osoby v rámci regulované nebo dobrovolně spolupracující organizace
- telefonní číslo a emailová adresa kontaktní osoby
Hlášení údajů (§ 12, § 16 až § 18, § 21, § 36, § 57, § 59)
Vedení evidencí (§ 48)
Správa a provoz Portálu Úřadu (§ 47)
Hlášení informací poskytovatelem strategicky významné služby o dodavatelích bezpečnostně významných dodávek (§ 33)
Účelem zpracování je prověřování důvěryhodnosti v souladu s mechanismem prověřování bezpečnosti dodavatelského řetězce zakotveným v návrhu zákona.
Autorizace subjektů posuzování shody (§ 49)
Účelem zpracování je komunikace se subjektem posuzování shody v rámci vedení řízení a případném udělení autorizace ze strany Úřadu.
- jméno, příjmení, datum narození a místo trvalého pobytu osoby jednající za žadatele o autorizaci
- telefonní číslo a emailová adresa kontaktní osoby
Zpracování žádostí o členství a evidence členů Komunity (§ 50 až 54)
Účelem zpracování je posouzení způsobilosti žadatelů o členství v Komunitě v souladu s nařízením (EU) 2021/887.
- jméno, příjmení, datum narození a místo trvalého pobytu žadatele nebo osoby jednající za žadatele
- pravomocné odsouzení v posledních pěti letech
- nedoplatek na daních, pojistném či penále
- likvidace, úpadek či nucená správa
- údaje osvědčující zvláštní způsobilosti žadatele
Vzájemná součinnost s členskými státy EU (§ 57)
Účelem zpracování je poskytnutí vzájemné součinnosti jinému členskému státu.
- dle podoby a rozsahu součinnosti údaje zmíněné u ostatních agend
Výkon kontroly (§58)
Účelem zpracování je dohled nad plněním povinností dle návrhu zákona.
- jméno, příjmení, datum narození a místo trvalého pobytu osob zúčastněných na kontrole
- telefonní číslo a emailová adresa kontaktních osob
- další údaje nezbytné k provedení kontroly nebo vedení přestupkového řízení
Řízení o přestupcích
8.2. Posouzení navrhovaného řešení zpracování z hlediska nezbytnosti
Veškeré zpracování popsané výše je obecně prováděno za účelem plnění zákonných povinností a pravomocí Úřadu dle jeho působnosti vymezené v návrhu zákona. Popsaná zpracování v drtivé většině případů kontinuálně navazují na již probíhající zpracování dle zákona o kybernetické bezpečnosti, rozšíření zpracování vyplývá především z požadavků směrnice NIS 2 a ze zvýšení počtu regulovaných subjektů zmíněného výše.
Pokud by Úřad nedisponoval kontaktními údaji osob pověřených řešením agendy kybernetické bezpečnosti u regulovaných orgánů a osob, mohly by vznikat prodlevy v řešení kybernetických bezpečnostních incidentů, nebo by mohlo docházet k záměnám kontaktních osob.
8.3. Posouzení navrhovaného řešení zpracování z hlediska přiměřenosti
Návrh zákona a veškerá v něm obsažená zpracování směřují primárně k řádné transpozici směrnice NIS 2. Úřad bude v pozici správce zpracovávat především kontaktní a identifikační údaje kontaktních osob pověřených regulovaným orgánem nebo osobou, případně osobní údaje osob dotčených či zúčastněných na dalších řízeních či postupech prováděných na základě a v rámci návrhu zákona.
Z pohledu subjektů údajů koreluje zamýšlené zpracování z velké míry s jejich vlastními zájmy, jelikož budou schopni efektivně komunikovat s Úřadem, dozvídat se potřebné informace a provádět nezbytné úkony a podání, případně jim bude možné udělit potřebné autorizace, schválit jejich členství atp.
Zpracování prováděná v souvislosti s návrhem zákona tak považujeme z uvedených důvodů s ohledem na vymezené účely za přiměřené.
8.4. Posouzení rizik pro práva a svobody fyzických osob
Návrh zákona dopadá primárně na tzv. poskytovatele regulovaných služeb, kterými zpravidla nebudou fyzické osoby, nýbrž právnické osoby či orgány veřejné správy. Na fyzické osoby bude návrh nicméně dopadat sekundárně, jelikož zastupují poskytovatelé regulovaných služeb, pročež budou zpracovávány jejich osobní údaje. Pro tzv. kontaktní osoby vyplývají z návrhu minimální rizika pro jejich práva a svobody. Riziko zneužití osobních údajů existuje u identifikačních a kontaktních údajů kontaktních osob. Toto riziko je však odpovídajícím způsobem mitigováno níže zmíněnými opatřeními. U ostatních osob by narušení důvěrnosti či integrity údajů mohlo mít u vybraných druhů řízení potenciálně reputační dopady na subjekty údajů, nicméně toto riziko by se mohlo projevit jen v souvislosti s přestupkovým řízením a jen za určitých skutkových okolností, pročež jej lze hodnotit jako nevýznamné, resp. redukované veškerými opatřeními popsanými níže. Jediným významnějším uzlem, kdy by mohlo vznikat vyšší riziko neoprávněného přístupu k osobním údajům, jsou informační systémy a evidence Úřadu, které jsou však jakožto prvek kritické informační infrastruktury odpovídajícím způsobem zabezpečeny, a to včetně řízení a zaznamenávání přístupů ze strany oprávněných zaměstnanců Úřadu.
8.5. Omezení oprávnění subjektů údajů
Návrh zákona zachovává omezení oprávnění subjektů údajů dle § 22c odst. 2 a 3 zákona o kybernetické bezpečnosti. Dle § 56 odst. 1 návrhu zákona Úřad či provozovatel Národního CERT nemusí omezit zpracování osobních údajů v případě, že subjekt údajů popírá jejich přesnost nebo vznesl námitku proti tomuto zpracování, a může v rámci výkonu své působnosti využít osobní údaje i pro jiné účely, než pro které byly shromážděny.
Smyslem prvního omezení je zajištění efektivního fungování Úřadu v rámci jeho zákonné působnosti. Omezení zpracování z důvodu námitky subjektu údajů či popření přesnosti by mohlo obstruovat výkon vybraných pravomocí Úřadu při zajišťování chráněných zájmů podle § 6 odst. 2 zákona o zpracování osobních údajů. Regulovaná organizace, resp. kontaktní osoba jakožto subjekt údajů, má kdykoliv možnost nahlásit jakékoliv změny či nesrovnalosti prostřednictvím institutu hlášení údajů, popření přesnosti zpracovávaných údajů tak nemá význam a do práv subjektu údajů je zasahováno zcela minimálně.
Omezení některých oprávnění subjektů údajů dle § 56 odst. 2 návrhu zákona (mj. práva na informace o opravách, výmazech či omezení zpracování, práva na přístup nebo na opravu či doplnění) se uplatní v souvislosti se zpracováním osobních údajů v působnosti obecného nařízení o ochraně osobních údajů, ke kterému dojde při řešení kybernetického bezpečnostního incidentu nebo kybernetické bezpečnostní události anebo při prevenci hrozeb nebo rizik ze strany Úřadu nebo provozovatele Národního CERT. S ohledem na dostupnost drtivé většiny zpracovávaných údajů skrze Portál Úřadu (právo na přístup) a možnost změny nahlášených údajů (právo na opravu či doplnění) zasahuje toto omezení oprávnění do práv subjektů údajů opět zcela minimálně.
Všechna zmíněná omezení navazují a vyplývají z § 6 a § 11 zákona o zpracování osobních údajů a čl. 23 obecného nařízení o ochraně osobních údajů.
8.6. Stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob
Obecně z hlediska zachování integrity (a tedy i přesnosti) a důvěrnosti zpracovávaných údajů je třeba zmínit, že informační systémy Úřadu jsou prvkem kritické informační infrastruktury, a tedy zabezpečeny v souladu se zákonem o kybernetické bezpečnosti a vyhláškou o kybernetické bezpečnosti.
Z hlediska legislativního se na oprávněné úřední osoby vedoucí správní řízení vztahuje povinnost mlčenlivosti podle § 15 odst. 3 správního řádu. Kontrolující nebo přizvané osoby mají povinnost mlčenlivosti o všech skutečnostech, o kterých se dozvěděly v souvislosti s kontrolou nebo s úkony předcházejícími kontrole, a nezneužívat takto získaných informací dle § 20 kontrolního řádu. Samotný návrh zákona pak specifikuje podmínky poskytování informací z jím vedených evidencí jiným orgánům veřejné moci a zavádí specifickou povinnost mlčenlivosti zaměstnanců o údajích z vybraných evidencí Úřadu.
3. Zhodnocení korupčních rizik
Pokud jde o zvažování potenciálních korupčních rizik, rozsah povinností a rozšíření působnosti návrhu zákona oproti zákonu o kybernetické bezpečnosti jsou přiměřené, zejména s ohledem na rizika a dopady, které by vznikly netransponováním směrnice NIS 2 a neodstraněním současných legislativních nedostatků. Rozsah úkolů orgánů státní správy zůstává z velké části nezměněn, významné je však rozšíření působnosti na nově regulované orgány a osoby.
Co se týče zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce, návrh zákona může mít v tomto směru mít potenciálně zásadní dopady na poptávku po zboží a službách některých dodavatelů do strategicky významné infrastruktury České republiky. Tato skutečnost může vyvolat korupční tlak na změnu způsobu prověřování kritérií nebo úpravu celkového zhodnocení rizikovosti dodavatele bezpečnostně významné dodávky. Obdobně mohou i někteří poskytovatelé strategicky významné služby usilovat o to, aby nebyl konkrétní dodavatel bezpečnostně významné dodávky v kritické části stanoveného rozsahu v důsledku vyhodnocení kritérií rizikovosti dodavatele omezen, jelikož by to pro ně znamenalo zvýšené náklady. Někteří správci mohou naopak usilovat o omezení konkrétního dodavatele za účelem zhoršení postavení svého konkurenta, který takového dodavatele využívá ve své infrastruktuře.
Jako pojistku proti možnému korupčnímu jednání vnímá předkladatel zejména to, že spolupráce na konkrétních případech prověřování dodavatelů bezpečnostně významných dodávek bude probíhat v širokém okruhu na sobě nezávislých institucí, které budou poskytovat stanoviska a informace vycházející z vlastních zdrojů. Případné pochybení jedince by ve většině případů nemělo mít dopad na výsledek procesu.
V této souvislosti je rovněž vhodné upozornit na to, že fyzické osoby zapojené do fungování mechanismu prověřování bezpečnosti dodavatelského řetězce mohou přicházet do kontaktu s utajovanými informacemi, a bude tedy nutné, aby byly držiteli osvědčení o bezpečnostní způsobilosti příslušného stupně utajení vydaného v souladu se zákonem o utajovaných informacích. V rámci žádosti o vydání osvědčení a během doby, po kterou budou jeho držiteli, jsou povinny dokládat relevantní informace o svých majetkových poměrech a stát má možnost jim osvědčení odebrat, čímž by byly vyřazeni z možnosti seznamovat se s utajenými informacemi.
4. Zhodnocení dopadů na bezpečnost nebo obranu státu
Vzhledem k povaze výše navrhovaných změn lze konstatovat, že návrh zákona má pozitivní dopady na bezpečnost a obranu státu. Zajištění kybernetické bezpečnosti České republiky, resp. ochrany práv každého jednotlivce v rámci České republiky prostřednictvím zvýšení (kybernetické) bezpečnosti jemu poskytovaných služeb, je totiž hlavním cílem tohoto návrhu zákona. Rozšíření počtu regulovaných orgánů a osob v souladu se směrnicí NIS 2 ve výsledku přispěje k dalšímu posílení zabezpečení jejich služeb, čímž dojde k posílení celkového zabezpečení českého kyberprostoru. Rovněž dojde k navázání bližší spolupráce mezi členskými státy EU, čímž bude zlepšena možnost včasné a efektivní reakce při vzniku masivního kybernetického bezpečnostního incidentu.
Na národní bezpečnost a obranu bude mít pozitivní vliv také zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce, neboť odolná strategicky významná infrastruktura bez rizikových dodavatelů je klíčovým předpokladem pro zajištění národní bezpečnosti a obrany, s nímž pracuje jak aktuálně platná Bezpečnostní strategie České republiky, tak i Národní strategie pro čelení hybridnímu působení a Národní strategie kybernetické bezpečnosti České republiky. Vazbu na odolnou a bezpečnou infrastrukturu jako integrální součást národní bezpečnosti rovněž zdůrazňují strategické dokumenty NATO.[footnoteRef:26] Zavedením mechanismu prověřování bezpečnosti dodavatelského řetězce se navíc podstatně sníží riziko vzniku závislosti strategicky významné infrastruktury na jednotlivých rizikových dodavatelích bezpečnostně významných dodávek. [26: Strategická koncepce NATO 2022, článek 26. ]
5. Zhodnocení dopadů na rodiny
Návrh zákona je z pohledu dopadů na rodiny neutrální. Nepředpokládají se žádné dopady v této oblasti, neboť návrh zákona žádným způsobem do těchto oblastí nezasahuje.
B. Zvláštní část
K § 1
Věcná působnost návrhu zákona je vymezena obecně pro oblast kybernetické bezpečnosti s výjimkou informačních a komunikačních systémů nakládajících s utajovanými informacemi.
Pojmu kybernetické bezpečnosti je v souladu s dosavadní právní úpravou kontinuálně užito k odlišení od pojmu informační bezpečnosti, resp. počítačové bezpečnosti a ke zdůraznění specifického zaměření zákona na ochranu regulovaných služeb z pohledu zajištění všech relevantních aktiv sloužících ve svém důsledku pro shromáždění, zpracování, uchování, užití, sdílení, rozšiřování nebo jiné nakládání s informacemi a daty v elektronické podobě. Tento postup je zvolen s ohledem na skutečnost, že zajišťování kybernetické bezpečnosti výrazně přesahuje technologickou rovinu a vyžaduje ucelený přístup, jak uvádí také Národní strategie kybernetické bezpečnosti České republiky.[footnoteRef:27] Kybernetická bezpečnost pomáhá identifikovat, hodnotit a řešit hrozby a zranitelnosti v kyberprostoru, snižovat kybernetická rizika a eliminovat dopady kybernetických útoků, informační kriminality, kyberterorismu a kybernetické špionáže ve smyslu posilování důvěrnosti, integrity a dostupnosti dat, systémů a dalších prvků informační a komunikační infrastruktury. Co se týká užití pojmu „orgány a osoby“, je toto sousloví převzato a kontinuálně užíváno v souladu s předchozí právní úpravou kybernetické bezpečnosti a jeho cílem je pokrýt celé spektrum všech typů potenciálních adresátů této normy. [27: Tím navazuje na shrnutí pojmu kybernetické bezpečnosti, kterou Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 uváděla jako souhrn organizačních, politických, právních, technických a vzdělávacích opatření a nástrojů směřujících k zajištění zabezpečeného, chráněného a odolného kyberprostoru v České republice, a to jak pro subjekty veřejného a soukromého sektoru, tak pro širokou českou veřejnost.]
Návrh zákona současně stanovuje pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti, především Úřadu a pracovišť Národního a Vládního CERT.
Návrh zákona je téměř zcela transpozičním předpisem směrnice NIS 2. Je-li právním předpisem prováděno přizpůsobení právního řádu přímo použitelnému předpisu EU a je-li jím souběžně promítána do právního předpisu celá směrnice EU nebo její podstatná část, je nezbytné, aby tyto předpisy EU byly uvedeny v referenčním ustanovení, jak stanoví Legislativní pravidla vlády. Spolu se směrnicí NIS 2 je tento zákon také adaptačním zákonem pro akt o kybernetické bezpečnosti, nařízení (EU) 2021/887, nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU, a dále rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
V době vytváření návrhu zákona se na úrovni Evropské unie připravuje celá řada dalších právních předpisů dotýkajících se obsahu směrnice NIS 2, resp. tohoto návrhu zákona, případně byly tyto právní předpisy již přijaty a je očekávána jejich transpozice nebo adaptace do národních právních řádů. V prvé řadě se jedná o transpozici směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES, kterou připravuje Ministerstvo vnitra, resp. Generální ředitelství Hasičského záchranného sboru (transpoziční lhůta je obdobná jako v případě směrnice NIS2), která ovlivňuje vztah návrhu zákona ke kritické infrastruktuře. Přímá transpozice do návrhu zákona se neočekává, nicméně do návrhu zákona je transponována povinnost ze směrnice NIS 2 (zejm. čl. 1 odst. 2 písm. b) nebo čl. 2 odst. 3 atd.) týkající se vazby na obsah směrnice Evropského parlamentu a Rady (EU) 2022/2557. Dalším z již přijatých předpisů je Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011, které vstoupilo v platnost 16. ledna 2023 a je vymahatelné 24 měsíců po vstupu v platnost, tedy od 17. ledna 2025). Toto nařízení a očekávání dalších jemu podobných předpisů (k tomu srov. rec. 28 směrnice NIS 2) vedlo k vytvoření speciálního ustanovení v návrhu zákona řešícího vztah mezi přímo použitelnými právními předpisy na úrovni Evropské unie, které zasahují do obecné působnosti směrnice NIS 2, resp. jejího transpozičního předpisu. Toto ustanovení je odrazem čl. 4 směrnice NIS 2 a zakotvuje aplikační přednost přímo použitelných právních předpisů Evropské unie, které upravují vybrané otázky zajišťování kybernetické bezpečnosti ve srovnatelných nebo větších podrobnostech než tento návrh zákona.
Mezi další právní předpisy, které mohou do návrhu zákona zasahovat, které ale nebyly doposud přijaty, jsou návrh nařízení Evropského parlamentu a Rady o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020 (datum přijetí je zatím neznámé, nicméně po vstupu v platnost budou mít regulované subjekty 24 měsíců na to, aby se přizpůsobily novým požadavkům, s výjimkou omezenějšího 12měsíčního období odkladu ve vztahu k ohlašovací povinnosti výrobců), nebo také návrh nařízení Evropského parlamentu a Rady, kterým se stanoví opatření k posílení solidarity a kapacit v Unii pro odhalování kybernetických bezpečnostních hrozeb a incidentů a pro připravenost a reakci na ně. Dalším vstupem budou také prováděcí předpis podle nařízení Evropského parlamentu a Rady (EU) 2019/943 ze dne 5. června 2019 o vnitřním trhu s elektřinou stanovující požadavky na zajištění kybernetické bezpečnosti při přeshraničním poskytování elektřiny, případně obdobná úprava podle návrhu směrnice Evropského parlamentu a Rady o společných pravidlech pro vnitřní trh s obnovitelnými plyny, zemním plynem a vodíkem nebo návrhu nařízení Evropského parlamentu a Rady o vnitřním trhu s obnovitelnými plyny, zemním plynem a vodíkem (přepracované znění), jejichž účinnost lze očekávat v následujících letech. Část problematiky souběhu návrhu zákona a obdobných specifických právních předpisů majících vztah k návrhu zákona řeší navržené ustanovení o vztahu k přímo použitelným předpisům Evropské unie, zbylé případy bude nutné vždy ad hoc řešit v případě transpozice takových právních předpisů do národní legislativy.
Specifické omezení působnosti návrhu zákona vztahující se k informačním a komunikačním systémům nakládajícím s utajovanými informacemi je důsledkem toho, že úprava povinných bezpečnostních parametrů těchto systémů včetně navazujících právních povinností, kompetencí orgánů veřejné moci, kontroly, sankcí apod. je komplexně provedena zákonem o ochraně utajovaných informací. Toto rozdělení navazuje a zachovává dosavadní regulační rámec a není v současné době důvod do něj zasahovat, neboť uvedené systémy podléhají certifikaci, tj. vyšší formě regulace. Vedle toho je odlišně upravena působnost návrhu zákona také ve vztahu ke zpravodajským službám, a to ustanovením § 70 návrhu zákona.
Zároveň návrh zákona explicitně stanoví, že nevztahuje na osoby, které nejsou usazené na území České republiky s výjimkou osob poskytujících na území České republiky služby elektronických komunikací podle zákona o elektronických komunikacích. Toto ustanovení je odrazem čl. 26 odst. 1 směrnice NIS 2. Platí tedy, že osoby poskytující na území České republiky služby elektronických komunikací spadají do působnosti návrhu zákona nezávisle na tom, zda jsou na území České republiky usazeny nebo ne (půjde například o zahraniční poskytovatele využívající infrastrukturu jiného místního poskytovatele nebo zahraniční poskytovatele satelitních služeb). Zbylé osoby budou spadat do působnosti zákona pouze v případě, že na území České republiky poskytují své služby či zde vykonávají jinou činnost prostřednictvím stálých struktur (blíže viz odůvodnění § 2 návrhu zákona).
K § 2
Návrh zákona přináší sadu nových pojmů, a to ať už z důvodu transpozice směrnice NIS 2, nebo z toho důvodu, že návrh zákona svým obsahem navazuje na přístup a pojmosloví obsažené v zákoně o kybernetické bezpečnosti, avšak tento přístup prohlubuje. Návrh zákona také přichází s použitím některých obecných pojmů, doposud definovaných v některém z prováděcích právních předpisů. Z tohoto důvodu došlo například k přesunutí celé řady pojmů definovaných ve vyhlášce o kybernetické bezpečnosti již na úroveň zákona. Návrh zákona pak pracuje i s pojmy, které jsou definovány jinými právními předpisy (ať již přímo souvisejícími, nebo takovými, které lze použít podpůrně), a s obecně užívanými pojmy, které sám (nebo ve svých prováděcích předpisech) nedefinuje a jejichž obsah se dovozuje zejm. z praxe nebo jiných zdrojů (v oblasti kybernetické bezpečnosti jsou relevantními zdroji zejm. technické normy, mezinárodní standardy nebo např. výkladový slovník kybernetické bezpečnosti od asociace AFCEA a Centra kybernetické bezpečnosti, z. ú.).
Ustanovení o vymezení pojmů je rozděleno do tří odstavců, přičemž v rámci prvního odstavce jsou definovány pojmy stanovující základ nové právní úpravy a prostupující napříč celým návrhem zákona, v rámci druhého je základní pojmový aparát doplněn o další potřebné definice a třetí odstavec se zabývá definicemi regulovaných služeb z digitálního sektoru, plynoucích ze směrnice NIS 2 a používaných zejména v ustanoveních § 19, 36 a 37 návrhu zákona.
V rámci odstavce 1 jsou definovány následující pojmy – aktivum, primární aktivum, podpůrné aktivum, technické aktivum, regulovaná služba, poskytovatel regulované služby a řízení kybernetické bezpečnosti. Vztah mezi těmito pojmy je velmi úzký; poskytovatel regulované služby zajišťuje prostřednictvím řízení kybernetické bezpečnosti aktiva regulované služby.
Aktiva jsou pojem převzatý z dosavadní právní úpravy obsažené ve vyhlášce o kybernetické bezpečnosti, přičemž však došlo k jejich přesunutí z úrovně vyhlášky do úrovně zákona. Aktiva tvoří naprostý základ úvah o kybernetické bezpečnosti, resp. jejím řízení, v rámci jakékoli organizace, a tento pojem tak slouží jako základní stavební kámen pro celý obsah návrhu zákona. Aktivem může být prakticky cokoli relevantního, s čím je potřeba v rámci řízení kybernetické bezpečnosti počítat, resp. to zohledňovat a vést o tom úvahu. Definice aktiva se snaží již ve svém obsahu tuto relevanci stanovit, a to vázaností na zpracování informací a dat v elektronické podobě. Současně návrh zákona vymezuje, že aktiva mohou být primární a podpůrná a tyto skupiny dále definuje v písmenech b) a c), resp. v písm. d) dále definuje, co je potřeba chápat pod technickými aktivy. Do větších podrobností není vhodné v rámci definice takto základních pojmů zacházet, neboť je potřeba je aplikovat v rozličných situacích u rozličných subjektů. Výklad pojmu aktiva v konkrétní organizaci bude předurčen charakterem a specifiky této organizace. Pojem „zpracování“ je v této definici cíleně bezrozporný a obsahově obdobný s definicí zpracování podle obecného nařízení o ochraně osobních údajů, byť zde se samozřejmě nebude jednat jen o zpracování osobních údajů, ale jakýchkoli informací a dat.
Informace a služby jsou definovány jako primární aktiva již ve vyhlášce o kybernetické bezpečnosti. V praxi je nicméně rozšířeno používání normy ISO/IEC 27000, která pracuje s procesy. Pro účely plnění věcné podstaty zákona o kybernetické bezpečnosti, lze akceptovat jako primární aktiva i procesy, které mohou být alternativou k službám podle návrhu zákona. Pro některé organizace mohou být kromě informací zásadní i samotná data, příp. provozní a lokalizační údaje, a proto mohou v některých případech data doplňovat či částečně nahrazovat informace jako primární aktiva. Vždy závisí na kontextu organizace a na tom, zda již má zavedeny procesy či systémy zabývající se řízením aktiv a rizik, které kvalitativně odpovídají požadavkům návrhu zákona.
Vedle primárních aktiv se tímto návrhem nic nemění ani ve vymezení dosavadního pojmu podpůrných aktiv. Právě v případě podpůrných aktiv je nejlépe vidět, že v případě řešení kybernetické bezpečnosti není možné na tento problém pohlížet jen technickým pohledem – nepominutelnou roli mají zaměstnanci a dodavatelé, se kterými je potřeba v rámci řízení bezpečnosti informací také počítat (dokonce se jedná o jeden z nejčastějších problémů v řešení kybernetické bezpečnosti), a proto mají své zvláštní místo jako specifický druh aktiva. Dalším typem podpůrného aktiva jsou objekty.
Podmnožinou podpůrných aktiv jsou aktiva technická. Ani zde nedochází oproti dosavadní právní úpravě ke změnám, nicméně po aplikaci poznatků z praxe i v tomto případě dochází k výslovnému uvedení některých typických technických aktiv, jejichž interpretace jako technického aktiva nemusela být vždy na první pohled zřejmá. Výčet prvků, které zcela jistě spadají do kategorie technických aktiv, má za cíl posílit právní jistotu adresátů a jednoznačně stanovit, že tato aktiva spadají do kategorie podpůrných aktiv. Zvolená formulace je dostatečně obecná, aby pokryla velké množství (v současné praxi běžně používaných) prostředků, zároveň poskytuje prostor pro další, výslovně neuvedené.
Regulovaná služba je stěžejním institutem návrhu zákona, od kterého se odvíjí podstatná část činností regulovaných subjektů. Definičním znakem regulované služby je skutečnost, že její narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností. Principiálně tedy musí jít o službu, která je určitým způsobem významná pro fungování společnosti a zajištění důležitých společenských nebo ekonomických činností. Tento význam v konkrétních službách je pak promítnut do kritérií pro identifikaci nebo určení regulované služby. Kritéria pro identifikaci regulované služby jsou spojena s odvětvími uvedenými v návrhu zákona a ve větším detailu rozpracována v prováděcím právním předpise. Stanovení odvětví na úrovni zákona navazuje na předchozí právní úpravu a přispívá ke zvýšení úrovně právní jistoty adresátů normy, byť v této podobě neumožňuje zákonodárci ani Úřadu pružně reagovat na dynamický vývoj společnosti a změny v důležitosti a vlivu jednotlivých odvětví na její fungování. Potřebu určité flexibility lze dokumentovat na procesu vyjednávání samotného textu směrnice NIS 2, při němž docházelo k živým diskuzím nad okruhem odvětví, která by do její působnosti měla spadat, a výsledný text je třeba chápat především jako kompromis balancující mezi potřebou regulovat všechna podstatná odvětví a objektivní schopností členských států zajistit reálný výkon pravidel obsažených v transpozičních národních předpisech. Okruh odvětví, která mají být tímto zákonem regulována, je tak potřeba i do budoucna přizpůsobovat aktuálním společenským potřebám a rovněž potřebám České republiky. Ke zvýšení flexibility však přispívají kritéria pro určení poskytovatele regulované služby, která jsou také uvedena v návrhu zákona. Společně tak kritéria pro identifikaci a kritéria pro určení stanovují podklad pro stanovení regulovaných služeb.
Druhým definičním znakem regulované služby je skutečnost, že je poskytována za použití aktiv (viz výše). V dalších částech zákona a v prováděcím právním předpisu pak dochází k definičnímu zpřesnění pojmu a k vydefinování kritérií, při naplnění kterých lze službu považovat za regulovanou.
V neposlední řadě je potřeba na tomto místě uvést, že Úřad vykonává v rámci své činnosti vedle regulace poskytovatelů regulované služby také z evropské legislativy vyplývající funkci tzv. příslušného orgánu PRS v souladu s rozhodnutím Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo. Tato zkratka „PRS“ je vytvořena z anglických slov „Public Regulated Service“, což je do českého jazyka překládáno jako „veřejně regulovaná služba“. Přestože tedy i tento pojem pracuje se souslovím „(veřejně) regulovaná služba“, je potřeba mít na paměti že se jedná o zcela odlišné instituty a „veřejně regulovaná služba“ souvisí jako pojem výhradně s programem Galileo.
Poskytovatelem regulované služby se orgán nebo osoba (tj. potenciálně kdokoliv) stává v okamžiku, kdy se služba, kterou poskytuje, stane regulovanou službou. Ve většině případů se orgán nebo osoba stane poskytovatelem regulované služby okamžikem naplnění kritérií pro identifikaci regulované služby (stanovených prováděcím právním předpisem), ve zbylých případech pak dojde k naplnění definičních znaků poskytovatele regulované služby nabytím právní moci rozhodnutí Úřadu o určení regulované služby.
Posledním ze základní čtveřice pojmů uvedených v odstavci 1 je pojem řízení kybernetické bezpečnosti. Tato definice je zastřešujícím pojmem pro činnost směřující k zajištění kybernetické bezpečnosti regulované služby v případě obou režimů poskytovatele regulované služby. Návrh zákona dále počítá s tím, že pokud je řízení kybernetické bezpečnosti vykonáváno poskytovatelem regulované služby v režimu vyšších povinností, označuje se jako systém řízení kybernetické bezpečnosti (zde opět zcela navazuje na dosavadní právní úpravu) a nově zavádí, že pokud je řízení kybernetické bezpečnosti vykonáváno poskytovatelem regulované služby v režimu nižších povinností, označuje se jako zajišťování minimální úrovně kybernetické bezpečnosti. Podstatou tohoto nadřazeného pojmu je tedy označit jednotícím pojmem sadu činností, které podle návrhu zákona poskytovatel regulované služby vykonává, především pro potřeby stanovení rozsahu řízení kybernetické bezpečnosti poskytovatelem regulované služby podle návrhu zákona, což je zcela klíčová povinnost pro plnění navazujících povinností poskytovatelem regulované služby v obou režimech. Samotný pojem „kybernetická bezpečnost“ je pak definován stejně jako v zákoně o kybernetické bezpečnosti přes kybernetický prostor a bezpečnost informací.
Na vymezení pojmů v rámci odstavce 1 navazují v odstavci 2 další doplňující definice.
Definice kybernetického prostoru v návrhu zákona v zásadě přejímá definici obsaženou v zákoně o kybernetické bezpečnosti a nadále tak platí, že kybernetickým prostorem je myšleno informační prostředí k realizaci informačních transakcí, které je vytvořeno aktivy relevantními pro shromažďování, nakládání, uchovávání, užívání, sdílení, rozšiřování nebo jiné zpracování informací a dat v elektronické podobě, jinak také technologiemi, jejichž definice a podmínky užívání mohou upravovat zvláštní zákony, mj. informačními systémy, službami a sítěmi elektronických komunikací. Jedná se přitom i o taková aktiva, informační systémy, služby a sítě elektronických komunikací, které nejsou připojeny k veřejné síti, tj. k internetu. I zde nicméně dochází k drobné úpravě reflektující používání pojmu „zpracování“ v kontextu předpisů regulujících ochranu osobních údajů, který je obecně přejímán a využíván i v tomto návrhu zákona v případě zákonné definice aktiv (nicméně i zde platí výše uvedené, tedy že tento pojem se nepoužije jen vůči osobním údajům, ale aktivům obecně). Nově je tedy jednoznačně deklarováno, že i vznik a výměna informací a dat je součástí širšího pojmu zpracování.
Bezpečnost informací je běžně užívaný pojem, který v rámci tohoto návrhu nedoznal žádných praktických změn oproti dosavadní právní úpravě a opět se jedná o jeho převzetí ze zákona o kybernetické bezpečnosti. Pojem bezpečnosti informací vychází ve své definici z významu tohoto pojmu v odvětví informačních věd a týká se důvěrnosti (tj. diskrece), jednoty (tj. integrity) a dostupnosti informace. Pojem se netýká obsahu informace, ale pouze funkčnosti prostředí, v němž je informace tvořena, zpracovávána, uchovávána a komunikována. Narušením autenticity obsahu informace ovšem zároveň dochází k narušení integrity tohoto funkčního prostředí. Autenticita informace je tedy pro potřeby návrhu zákona chápána jako součást integrity. To odpovídá také principu technologické neutrality. Z více důvodů (např. zaužívanost, stále dostatečná šíře využití) má navrhovatel za to, že dosud používaný tzv. CIA model bezpečnosti informací je stále aplikovatelný a není nutné v rámci návrhu zákona přecházet na modely jiné (např. tzv. Parkerian Hexad model).
V případě pojmu hrozba a významná hrozba se jedná o pojmy převzaté z obsahu směrnice NIS 2 (s mírnými modifikacemi za účelem snazšího pochopení). Jejich význam v rámci návrhu zákona spočívá především pro jejich využití v rámci ustanovení o dobrovolném hlášení a v případě významné kybernetické hrozby pro významové odlišení od běžných hrozeb pro potřeby plnění informační povinnosti poskytovatele regulované služby vůči uživatelům.
K pojmu „značná majetková nebo nemajetková újma“, který je jako následek uveden v odstavci 2 písm. d) návrhu zákona, je namístě doplnit, že návrh zákona v tomto směru rovněž přejímá obsah směrnice NIS 2, v jejímž čl. 6 odst. 11 je významná kybernetická hrozba definována jako „kybernetická hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál vážně ovlivnit sítě a informační systémy určitého subjektu nebo uživatelů služeb takového subjektu tím, že způsobí značnou hmotnou nebo nehmotnou újmu“. Z formulace recitálu č. 101 preambule směrnice NIS 2 přitom vyplývá, že to, zda je újma značnou, či nikoliv, je třeba vyhodnotit s přihlédnutím ke konkrétním okolnostem. Pojem „značná majetková nebo nemajetková újma“ tedy žádným způsobem nesouvisí s terminologií zavedenou ustanovením § 138 zákona č. 40/2009 Sb., trestního zákoníku, ve znění pozdějších předpisů, podle jehož odst. 1 písm. d) se značnou škodou rozumí škoda dosahující částky nejméně 1 mil. Kč.
Definice kybernetické bezpečnostní události a kybernetického bezpečnostního incidentu jsou převzaty ze zákona o kybernetické bezpečnosti, s ohledem na zavedení pojmu aktiva na úrovni zákona však doznaly jazykových úprav. Rozdělení skutkových stavů, na něž zákon reaguje konstrukcí specifických povinností, na kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty sleduje účel odlišení potenciálně problematických situací vykazujících stanovené formální znaky a situací, které na základě vyhodnocení formálních podmínek v kontextu aktuálních okolností představují reálné bezpečnostní riziko. Zatímco kybernetickou bezpečnostní událostí je událost bez reálného negativního následku, kybernetickým bezpečnostním incidentem je pak samotné narušení bezpečnosti informací s negativním dopadem. Cizojazyčný pojem „incident“ byl použit z důvodu zachování kontinuity a souladu návrhem zákona používaného pojmového aparátu s mezinárodní technickou terminologií.
Další definicí obsaženou v odstavci 2 týkající se kybernetických bezpečnostních incidentů je pojem zvládání kybernetického bezpečnostního incidentu. S tímto pojmem sice dosavadní právní úprava pracovala, nicméně jej definovala opisem různých činností bez zakotvení jednotné definice. Návrh zákona tak tento pojem přebírá a nově jednotně definuje jako soubor činností k zajištění všech dílčích kroků před, během i po výskytu incidentu. Tento pojem se vztahuje jak na činnosti poskytovatele regulované služby, resp. jakéhokoli orgánu nebo osoby, u které se vyskytl kybernetický bezpečnostní incident, tak na zapojení dalších organizací do řešení dané situace – typicky např. Vládního nebo Národního CERT. Definice zvládání kybernetického bezpečnostního incidentu vychází z definice obsažené ve směrnici NIS 2, která jej (v české verzi „řešení incidentu“) definuje jako „jakékoli akce a postupy, jejichž cílem je incidentu předejít, odhalit jej, analyzovat, zamezit jeho šíření nebo na něj reagovat a zotavit se z něj“. Zvolená definice koresponduje i s definicí řízení incidentu podle normy ISO/IEC 27000.
Definice významného dodavatele je dalším z pojmů převzatých z dosavadní právní úpravy a dalším z pojmů, které jsou tímto návrhem zákona přeneseny z prováděcích právních předpisů na zákonnou úroveň. Význam této změny je především ten, že dochází ke zrušení pojmu „provozovatel informačního nebo komunikačního systému“ a je tedy nutné již na úrovni zákona pracovat s pro kybernetickou bezpečnost relevantními dodavateli povinných osob. Významnými dodavateli jsou ti dodavatelé, kteří jsou s poskytovatelem regulované služby v právním vztahu a plněním z něj vyplývajících povinností mají vliv na bezpečnost informací u poskytovatele regulované služby. V praxi se může jednat o poskytovatele klíčových služeb, ale i o dodavatele primárních nebo podpůrných (především technických) aktiv. Na základě poznatků praxe je potřeba na tomto místě deklarovat, že z povahy věci se v případě zmíněného „právního vztahu“ jedná o právní vztah dodavatelský a nikoli zaměstnanecký. Zaměstnanec v daném vztahu k poskytovateli regulované služby není významným dodavatelem.
Definice strategicky významné služby navazuje na vymezení regulované služby v odstavci 1. Předkladatel návrhu zákona k vymezení strategicky významné služby přistoupil zejména s ohledem na potřebu odlišit tuto službu pro potřeby mechanismu prověřování dodavatelského řetězce a pro potřeby zajištění dostupnosti strategicky významných služeb tyto služby od regulované služby. Je nutné zmínit, že všechny strategicky významné služby budou současně regulovanými službami, nicméně ne všechny regulované služby budou strategicky významnými službami. Strategicky významnou službou se rozumí pouze ta z regulovaných služeb, jejíž narušení by mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek a současně s tím u nich hrozí vysoké riziko, že při narušení jejich poskytování bude negativně ovlivněn chod dalších regulovaných služeb. Jak současně vyplývá z ustanovení o kritériích strategicky významné služby, konkrétní strategicky významné služby jsou stanoveny buď na základě kritérií pro jejich identifikaci, nebo rozhodnutím Úřadu, a to za podmínek vymezených v daném ustanovení.
Definice poskytovatele strategicky významné služby navazuje jak na vymezení poskytovatele regulované služby uvedené v odstavci 1, tak také na vymezení strategicky významné služby uvedené v odstavci 2. Definice strategicky významné služby navazuje na vymezení regulované služby v odstavci 1. Předkladatel návrhu zákona k vymezení strategicky významné služby přistoupil zejména s ohledem na potřebu odlišit tuto službu od regulované služby pro potřeby mechanismu prověřování dodavatelského řetězce a zajištění dostupnosti strategicky významných služeb. Je nutné zmínit, že každá strategicky významná služba bude současně regulovanou službou, nicméně ne každá regulovaná služba bude strategicky významnou službou. Strategicky významnou službou se rozumí pouze ta z regulovaných služeb, jejíž narušení by mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek. Závažným dopadem se myslí takový dopad, který naruší zajištění dostupnosti, důvěrnosti či integrity dat a tím negativně ovlivní činnosti a služby důležité například pro chod státu, zajištění bezpečnosti České republiky, kritické infrastruktury nebo zdraví či bezpečnosti občanů České republiky. Současně s tím u strategicky významné služby hrozí vysoké riziko, že při narušení jejího poskytování bude negativně ovlivněn chod další nebo dalších regulovaných služeb. Jak současně vyplývá z ustanovení o kritériích strategicky významné služby, konkrétní strategicky významná služba je určena buď na základě kritérií pro její identifikaci, nebo rozhodnutím Úřadu, a to za podmínek vymezených v daném ustanovení. Poskytovatelem strategicky významné služby se rozumí poskytovatel regulované služby, který poskytuje jednu nebo více strategicky významných služeb.
V případě pojmu zranitelnost se jedná o definici, která byla zcela převzata z dosavadní právní úpravy a jde o další z pojmů, které jsou tímto návrhem zákona přeneseny z prováděcích právních předpisů na zákonnou úroveň. Zde je vhodné zmínit, že zranitelnosti jsou zde záměrně myšleny v obecném smyslu, nejen zranitelnosti kybernetického původu, a mohou je zneužívat nejen hrozby s kybernetickým původem, ale i obecné hrozby, typicky se bude jednat o přírodní katastrofy jako požár nebo povodeň. V rámci hodnocení rizik je totiž nutné počítat i s riziky, která nemusí mít kybernetický původ, ale mohou mít na kybernetickou bezpečnost zásadní dopady, např. zničení technologie po zásahu bleskem nebo zničení serverovny následkem požáru.
Návrh zákona dále definuje pojem usazení, který využívá jednak pro potřeby stanovení osobní působnosti zákona, jednak pro potřeby vydefinování práv a povinností vybraných subjektů působících v odvětví digitální infrastruktury a služeb. Pojem usazení byl do českého právního řádu zaveden již směrnicí NIS 1, přičemž byl vykládán funkčně a předpokládal účinný výkon činnosti regulovaného subjektu prostřednictvím stálých struktur, nezávisle na právní formě takové struktury nebo její závislosti na jiných strukturách umístěných mimo území daného státu. Vycházel přitom z práva na usazení definovaného Smlouvou o fungování EU a zahrnoval jak primární usazení, tedy zřízení nebo přesunutí hlavního centra činnosti na území daného státu, tak i sekundární usazení, tedy zřízení zastoupení, pobočky nebo dceřiné společnosti v jiném členském státě EU za současného zachování původního sídla v jiném členském státě. Směrnice NIS 2 zavedený pojem usazení bez dalšího přejímá. I pro potřeby tohoto zákona tak pojem usazení má být vykládán tak, že jde o místo, kde jsou fakticky vykonávány činnosti regulovaného subjektu prostřednictvím stálých struktur. Právní forma takových struktur, ať již jde o pobočku, odštěpný závod nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. Kritérium usazení může být splněno i v případě, že se v daném státě fyzicky nacházejí sítě a informační systémy používané pro výkon regulované služby. Otázka stálého zařízení totiž není ani judikaturou Soudního dvora EU k výkladu svobody usazování přesně definována, může se tak jednat o kancelář, provozovnu, pobočku apod. Stěžejním je požadavek na fyzickou přítomnost daného orgánu nebo osoby na území předmětného státu. V praxi pak bude běžné, že jedna osoba bude usazena ve více státech EU současně.
Posledním definovaným pojmem ve druhém odstavci je pojem orgán. Vymezení tohoto pojmu s pevně stanoveným obsahem a rozsahem odstraní výkladové pochybnosti a povede k právní jistotě adresátů zákona.
Poslední odstavec definuje pojmy a služby související s odvětvím digitální infrastruktury a služeb. Tam, kde to bylo možné, zákon bez dalšího přejímá některé definice obsažené v českém překladu směrnice NIS 2. Mezi tyto pojmy spadají systém překladu jmen domén, síť pro doručování obsahu, platforma sociálních sítí a řízená bezpečnostní služba.
Vzhledem ke skutečnosti, že návrh zákona používá v § 19 pojem „regulovaná služba správy a provozu registru domény nejvyšší úrovně“ a v ustanoveních § 36 a 37 pojem „subjekt spravující a provozující registr domény nejvyšší úrovně“, bylo přistoupeno k definici správy a provozu registru domény nejvyšší úrovně, na kterou mohou navazovat oba výše uvedené pojmy. Zvolená definice taktéž vychází z českého překladu definice registru domény nejvyšší úrovně ve směrnici NIS 2 ale terminologicky ji zpřesňuje. Vzhledem ke skutečnosti, že doména nejvyšší úrovně je subjektu delegována mezinárodní organizací ICANN, je za jejího správce a provozovatele třeba považovat subjekt, kterému byla tato doména nejvyšší úrovně delegována, nikoliv např. jeho dodavatele, kteří mohou zajišťovat některé dílčí činnosti.
Definice služby cloud computingu je obsahově totožná s definicí vyplývající ze směrnice NIS 2, dochází pouze k terminologickému navázání na pojmy již zavedené v českém právním řádu.
Pro účely definice služby datového centra bylo opětovně použito pojmu „zpracování“, které zahrnuje dílčí činnosti explicitně uvedené ve směrnicové definici. Použití tohoto pojmu je obdobné jako u definice aktiva, přičemž i zde se samozřejmě nebude jednat jen o zpracování osobních údajů, ale jakýchkoli informací a dat.
V rámci definice řízené služby byly pro účely vyšší srozumitelnosti normy nahrazeny pojmy „údržba produktů IKT, sítí, infrastruktury, aplikací nebo jakýchkoli jiných sítí a informačních systémů“ užívané českým překladem směrnice NIS 2, pojmem „technická aktiva“, který vychází ze současného zákona o kybernetické bezpečnosti, je zaužívaný, pracuje s ním i návrh zákona. a obsahově nahrazované pojmy pokrývá.
Definice subjektu poskytujícího služby registrace jmen domén vychází z anglického znění směrnice NIS 2, ve kterém byla vytvářena a které nejlépe reflektuje skutečný význam pojmů, se kterými je zde pracováno. Český překlad směrnice NIS 2 anglický pojem „agent“ překládá jako „zástupce.“ Tento pojem není zcela přiléhavý situaci, neboť pojem „zástupce“ je v českém právním prostředí používán spíše ve smyslu právního zastoupení. V praxi zde však může docházet i k jiným formám „zastoupení“, neboť „agent“ může zastávat roli pouhého registrátora pro třetí osobu tím způsobem, že vystupuje jako zprostředkovatel registrace (a může být považován spíše za zástupce registrující osoby, nikoliv za registrátora). Směrnice NIS 2 pak uvádí (nikoli nutně konečný) výčet osob, které mohou být registrátorem nebo zástupcem jednajícím jeho jménem. V tomto výčtu české znění směrnice NIS 2 pracuje s pojmy „poskytovatel služeb ochrany soukromí“ a „zprostředkovatel registračních služeb“ jakožto s překlady pojmů „privacy registration service provider“ a „proxy registration service provider“. Tyto pojmy však nejsou v českém prostředí standardně užívány. Privacy services, tedy služby soukromí, umožňují uchazeči o registraci být veden jako vlastník domény, nicméně s uvedením alternativních, avšak platných kontaktních informací namísto místa bydliště uchazeče o registraci, například za pomocí uvedení adresy služby pro přeposílání pošty. Proxy services provider, v českém překladu směrnice NIS 2 uvedený jako „zprostředkovatel registračních služeb“, umožňuje, aby se namísto informací o potenciálním vlastníku domény ve veřejných informacích Whois zobrazovaly informace o zprostředkovateli registračních služeb. Anglické znění také obsahuje pojem „reseller“, který je možné výstižněji a srozumitelněji přeložit jako „přeprodejce“ namísto použití formulace „zprostředkovatel […] přeprodeje“, se kterým pracuje český překlad směrnice NIS 2.
K § 3
Službu lze považovat za regulovanou při naplnění kritérií regulované služby. Tato kritéria rozvíjí definici regulované služby obsaženou v ustanovení návrhu zákona věnovanému definicím a vymezují, které služby, a ve kterých odvětvích, jsou považovány za takové, jejichž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností. Pojetí kritérií regulovaných služeb vychází z předchozí úpravy identifikace provozovatelů základních služeb a vyhlášky č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, ve znění vyhlášky č. 573/2020 Sb. Oproti předchozí úpravě je však stanoven odlišný způsob použití těchto kritérií při zařazování orgánů a osob pod regulaci. Cílem nového pojetí identifikace povinných orgánů a osob vycházejícího ze směrnice NIS 2 je odstranit značné rozdíly mezi členskými státy v určování povinných orgánů a osob a zajistit právní jistotu pro všechny regulované orgány a osoby, pokud jde o opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti. Za tím účelem stanoví směrnice NIS 2 základní jednotné kritérium (velikost podniku), které určí orgány nebo osoby, jež spadají do oblasti působnosti této směrnice. Orgány a osoby, které naplňují definovaná velikostní kritéria (tedy jsou středními a velkými podniky) a které působí v odvětvích nebo poskytují druhy služeb nebo vykonávají činnosti, na něž se vztahuje směrnice NIS 2, mají být do regulace zařazeny automaticky. Členské státy by pak měly rovněž stanovit, že do oblasti působnosti směrnice NIS 2 spadají některé malé podniky a mikropodniky, které splňují zvláštní kritéria poukazující na klíčovou úlohu pro společnost, ekonomiku, nebo pro konkrétní odvětví či druhy služeb.
Návrh zákona v návaznosti na požadavky směrnice NIS 2 rozlišuje dva druhy kritérií regulované služby – kritéria pro identifikaci regulované služby a kritéria pro určení regulované služby. Kritéria pro identifikaci regulované služby slouží pro potřeby tzv. samoidentifikace, tedy procesu, při kterém orgán nebo osoba sama posoudí, zda kritéria naplňuje či nikoli, a v případě kladného posouzení se registruje u Úřadu jako poskytovatel regulované služby a začne plnit své zákonné povinnosti. Regulovanou službou se služba naplňující kritéria pro identifikaci regulované služby stává ze zákona, bez nutnosti dalšího jednání ze strany Úřadu. S ohledem na široký záběr kritérií (která vycházejí z příloh směrnice NIS 2) lze předpokládat, že většina poskytovatelů regulované služby bude do regulace kybernetické bezpečnosti zařazena právě na základě naplnění kritérií pro identifikaci regulované služby.
Kritéria pro určení regulované služby představují dodatečná kritéria, na základě kterých může Úřad určit svým rozhodnutím službu jako regulovanou. Principiálně jde o kritéria zohledňující důležitost subjektu pro celou společnost nebo určité odvětví. Naplnění kritérií pro určení regulované služby bude zkoumáno v rámci správního řízení, obdobně jako tomu bylo za účinnosti zákona o kybernetické bezpečnosti při určování provozovatelů základní služby. Povinnosti pak poskytovateli regulované služby určené rozhodnutím Úřadu, plynou až od doručení vyrozumění orgánu nebo osoby o jejím zápisu do evidence regulované služby.
K § 4
Návrh zákona určuje seznam odvětví, v rámci kterých mají být prováděcím právním předpisem stanoveny kritéria pro identifikaci regulované služby. Obsah tohoto prováděcího právního předpisu bude z velké části vycházet z požadavků směrnice NIS 2, a to jak v otázce regulovaných služeb samotných, tak jejich konkrétních kritérií (tedy zejm. použití velikostních kritérií). Je však také možné jít nad rámec obsahu směrnice NIS 2 a zařadit do regulace oblasti, které směrnice NIS 2 cíleně neřeší a jejich úpravu nechává na členských státech (např. vojenský průmysl), resp. doplnit ve směrnici NIS 2 uvedená odvětví o nové regulované služby.
K § 5
Toto ustanovení specifikuje kritéria pro určení regulované služby rozhodnutím Úřadu, tedy jeden ze dvou způsobů stanovení regulované služby.
Písmeno a) upravuje sadu speciálních kritérií pro určení regulované služby, která vychází z požadavků směrnice NIS 2. Obsah tohoto písmene je přímým odrazem obsahu čl. 2 odst. 2 písm. b) až e) směrnice NIS 2 a zohledňuje kritické scénáře, které by mohly nastat, pokud by vybrané orgány nebo osoby přestaly poskytovat své služby v předpokládaném rozsahu a kvalitě. Toto kritérium míří na orgány a osoby, které poskytují některou ze služeb uvedených v prováděcím právním předpisu, avšak nedosahují potřebné velikosti v souladu s doporučením Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků nebo nenaplňují jiné kritérium poskytovatele regulované služby stanovené prováděcím právním předpisem (zjednodušeně tedy na orgány a osoby, které nenaplní kritéria pro identifikaci regulované služby). Jsou-li naplněna tato speciální kritéria, může Úřad rozhodnout, že daná služba je regulovanou službou, byť by její poskytovatel nenaplnil kritéria poskytovatele regulované služby stanovená prováděcím právním předpisem.
Nad rámec uvedeného může Úřad rozhodnout, že u poskytovatele regulované služby poskytujícího takovou službu, která je regulována již na základě naplnění kritérií pro identifikaci regulované služby stanovených v prováděcím právním předpisu, je dána zvláštní důležitost jím poskytované služby nebo jeho organizace pro celou Českou republiku nebo konkrétní odvětví. Tato důležitost je rovněž reprezentována kritérii pro určení regulované služby podle § 5 písm. a) návrhu zákona. Úřad v tomto případě, na rozdíl případů upravených v ustanovení § 5 písm. b) až d) návrhu zákona, rozhoduje o naplnění kritérií vůči již regulované službě a může tak dojít k povýšení režimu poskytovatele regulované služby na režim vyšších povinností.
Co se týče i kritérií formulovaných pod písm. a), jsou záměrně formulována tak, aby k nim Úřad mohl přihlédnout v souvislosti s konkrétním zjištěným skutkovým stavem. Stanovení bližší univerzální definice některých obecných pojmů se nejeví jako vhodné, neboť tyto definice by byly poměrně obecné a nepřinášely by adresátům normy žádnou přidanou hodnotu. Bližší výklad těchto pojmů bude prováděn v závislosti na konkrétních skutkových okolnostech posuzovaného případu. Obecně však tyto pojmy slouží k vydefinování situací, které dosahují natolik nadstandardně vysoké intenzity, že stát považuje za nezbytné je podřadit pod zákonnou regulaci.
Systémovými riziky, o nichž hovoří bod 3. písmena a), lze obecně chápat taková rizika, která mohou ohrozit fungování dotčeného odvětví nebo celých složek společnosti či státu, nikoli pouze jednoho poskytovatele. Toto kritérium tedy bude relevantní zejména u takových subjektů, u nichž by narušení poskytování jejich služeb mohlo ohrozit celé odvětví, ve kterém působí (např. strategicky významné energetické společnosti), nebo by mohlo mít dopady do jiných odvětví (např. strategický dodavatel do automobilového průmyslu). Významný je zde také prvek přeshraničního dopadu, toto kritérium tedy bude relevantní především u subjektů působících v odvětvích, která nejsou omezena na území České republiky.
Písmeno b) míří na poskytování takové služby, která není identifikovatelná podle obsahu prováděcího právního předpisu, nicméně je nebo v budoucnu bude pro fungování České republiky natolik zásadní, že bude naplňovat, jak počet potenciálně zasažených osob, tak i potenciální ohrožení významných chráněných zájmů České republiky. Kritérium uvedené v písmenu b) vychází z průřezového kritéria nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění pozdějších předpisů. Naplnění tohoto kritéria musí Úřad prokázat v rámci správního řízení, které vede k rozhodnutí o určení poskytovatele regulovaných služeb. V rámci naplnění kritéria uvedeného v písmenu b) je osobou každý uživatel poskytované služby, přičemž počet. 125 000 osob pak představuje počet obyvatel na území okresu a stanovuje tak míru nutného zasažení co do počtu uživatelů dané služby. Závažný zásah do života uživatelů služby prostřednictvím ohrožení života, zdraví, majetkové hodnoty, veřejného pořádku, vnitřní bezpečnosti nebo životního prostředí pak indikuje, že se nejedná o jakýkoliv zásah, ale o zásah do základních životních potřeb uživatelů dané služby spočívající v zhoršené dostupnosti této služby či její úplné nedostupnosti, nebo v závažném zhoršení její kvality.
Písmeno c) míří na služby obdobné službě uvedené v písmenu b), nicméně v tomto případě mající možnost podstatně ovlivnit některého z poskytovatelů regulované služby v režimu vyšších povinností. Tak jako je smyslem písmene b) posílit zajištění řádného poskytování služby mající významný vliv na obyvatelstvo, je smyslem písmene c) posílit zajištění řádného poskytování služby potenciálně ohrožující poskytování jiných již regulovaných služeb.
Písmeno d) míří na situace, kdy u orgánu nebo osoby dojde k naplnění kritéria kritického subjektu podle směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES, tzv. směrnice CER. Obsah tohoto písmene je přímým odrazem obsahu čl. 2 odst. 3 směrnice NIS 2. Do doby přijetí změn obsažených ve směrnici CER, resp. její transpozice do národního práva, odkazuje prováděcí právní předpis na obsah dosavadní právní úpravy kritické infrastruktury, a to na prvky kritické infrastruktury podle zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů. Poskytovatel regulované služby, jehož služba je určena na základě tohoto písmene, může být tedy považován taktéž za nástupce doposud používaného pojmu subjekt kritické informační infrastruktury.
Jak plyne z povahy všech výše uvedených kritérií pro určení poskytovatele regulované služby, není možné ani praktické uvažovat v těchto případech o samoidentifikaci, a to zvláště z toho důvodu, že jednotlivé subjekty často nemusí disponovat informacemi nezbytnými pro vyhodnocení naplnění některých kritérií. Z toho důvodu je konstatování naplnění těchto kritérií spojeno s rozhodnutím Úřadu.
Přestane-li regulovaná služba naplňovat kritéria, která byla důvodem pro vydání rozhodnutí o naplnění kritérií pro určení regulované služby (a v jehož důsledku mohlo dojít rovněž k povýšení režimu poskytovatele regulované služby), rozhodne Úřad podle § 11 návrhu zákona o výmazu z evidence regulovaných služeb, čímž současně rozhodne i o tom, že daná služba již nadále nesplňuje kritéria pro určení regulované služby, což může mít za následek navrácení poskytovatele do režimu platného před vydáním původního rozhodnutí Úřadu. V takovém případě je třeba zmínit, že podle § 9 odst. 2 návrhu zákona nové lhůty pro zahájení plnění povinností neplynou (viz taktéž odůvodnění k § 9 návrhu zákona).
Odstavcem 2 se upravují specifické požadavky na řízení o určení regulované služby. Řízení o určení regulované služby je řízením vedeným ve veřejném zájmu (na určení regulované služby v důsledku naplnění kritérií reflektujících základní bezpečnostní zájmy státu v oblasti kybernetické bezpečnosti není právní nárok). Z toho důvodu je stanoveno, že toto řízení lze zahájit pouze z moci úřední. Současně z důvodu potřeby rychlého a efektivního rozhodování o zařazení poskytovatele regulované služby nebo některé z jím poskytovaných služeb do regulace tohoto návrhu zákona, je proti rozhodnutí o určení regulované služby vyloučeno podání rozkladu proti rozhodnutí Úřadu. Pokud regulovaná služba zapsaná v evidenci regulovaných služeb již nebude naplňovat kritéria pro určení regulované služby, může poskytovatel regulované služby podat žádost o výmaz služby z evidence regulovaných služeb.
K § 6
Návrh zákona zavádí nový institut, který je stěžejní pro stanovení rozsahu povinností uložených poskytovateli regulované služby, a tím je režim poskytovatele regulované služby.
Podstatou je, že každému poskytovateli regulované služby, ať už se stal poskytovatelem regulované služby pro jakoukoli z regulovaných služeb nebo pro jakékoli množství regulovaných služeb, je přiřazen jeden režim, a to vyšších nebo nižších povinností. Režim následně určuje, jaké povinnosti budou muset poskytovatelé regulované služby plnit vůči všem službám, pro které naplnili kritéria.
Návrhem zákona zaváděný koncept režimů má svůj základ ve směrnici NIS 2, která povinné osoby rozděluje do dvou skupin, tzv. „základních subjektů“ (essential) a „důležitých subjektů“ (important). K tomuto rozdělení z pohledu povinností směrnice NIS 2 uvádí zejména: „Subjekty spadající do oblasti působnosti této směrnice pro účely dodržování opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností by měly být zařazeny do dvou kategorií: základní subjekty a důležité subjekty, s přihlédnutím k míře kritické důležitosti, pokud jde o odvětví nebo druh služby, kterou poskytují, a také k jejich velikosti. V této souvislosti by se v případě potřeby měla náležitě zohlednit veškerá relevantní odvětvová posouzení rizik nebo pokyny příslušných orgánů. Dohledové a donucovací režimy pro tyto dvě kategorie subjektů by se měly odlišovat, aby byla zajištěna spravedlivá vyváženost mezi požadavky a povinnostmi založenými na riziku na jedné straně a správní zátěží vyplývající z dohledu nad dodržováním směrnice na druhé straně.“. Zmíněná potřeba zohlednit výše uvedené skutečnosti vede k tomu, že návrh zákona rozděluje poskytovatele regulovaných služeb do dvou skupin – režimů. Ve vyšším režimu jsou subjekty, které poskytují alespoň jednu z regulovaných služeb odpovídající kategorii „základních subjektů“ podle směrnice NIS 2, případně další subjekty, o kterých tak v souladu se směrnicí NIS 2 nebo nad její rámec stanoví národní právní úprava. V režimu nižších povinností jsou pak především subjekty, které směrnice NIS 2 řadí do kategorie „důležitých subjektů“. Tyto subjekty neposkytují žádnou službu, pro kterou by byly zařazeny do vyššího režimu, případně u nich ani na základě žádného dalšího pravidla uvedeného v návrhu zákona nedošlo k jejich převedení do režimu vyšších povinností.
Pro účely zpřehlednění transpozice směrnice NIS 2 je možné využití také tuto zjednodušenou tabulku vztahu mezi povinnými osobami podle směrnice NIS 2 a návrhu zákona:
Povinná osoba podle směrnice NIS2
Povinná osoba podle návrhu zákona
Základní subjekty
Poskytovatel regulované služby v režimu vyšších povinností*
Důležité subjekty
Poskytovatel regulované služby v režimu nižších povinností*
Registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén (čl. 28)
Subjekt poskytující službu registrace jmen domén (Hlava III)
*Na základě čl. 5 směrnice NIS2 nebo z důvodu národní regulace mimo působnost primárního práva Evropské unie obsahuje daný režim ještě další regulované služby a jejich poskytovatele nad rámec povinné osoby vymezené podle směrnice NIS 2.
Návrh zákona v první větě odstavce 3 zavádí základní obecné pravidlo, že režim je poskytovateli regulované služby stanoven prováděcím právním předpisem. Pokud je tedy poskytovatel regulované služby zařazen do regulace na základě naplnění kritérií pro identifikaci regulované služby, je pro něj výchozí informací o jeho režimu ta informace, která je uvedena v prováděcím právním předpisu. Tato výchozí informace se stane konečnou v případě, že poskytovatel regulované služby poskytuje pouze jednu regulovanou službu a zároveň u něj nedošlo k aplikaci speciálních pravidel obsažených v návrhu zákona, především u něj nedošlo k vydání rozhodnutí Úřadu o naplnění kritérií regulované služby, na základě kterého se změní nebo určí režim poskytovatele regulované služby na režim vyšších povinností na základě návrhu zákona.
Druhá věta odstavce 3 ustanovení o režimu poskytovatele regulované služby je speciálním ustanovením, které přiřazuje režim vyšších povinností těm poskytovatelům regulovaných služeb, u nichž bylo rozhodnuto o naplnění kritérií podle § 5 návrhu zákona, tedy ne prostřednictvím naplnění identifikačních kritérií podle prováděcího právního předpisu. Není přitom důležité, zda se jedná o služby, které nenaplňují identifikační kritéria podle prováděcího právního předpisu vůbec nebo je naplňují tak, že poskytovateli regulované služby přiřazují režim nižších povinností (v takovém případě dojde k povýšení režimu na režim vyšších povinností). Z důvodu povahy kritérií, tedy a priori vysoké důležitosti toho orgánu nebo osoby, který je naplní, a jím poskytované služby, se v případě těchto poskytovatelů regulovaných služeb bude vždy jednat o režim vyšších povinností. Mechanismus automatického povyšování režimu poskytovatele regulované služby představuje realizaci požadavku směrnice NIS 2 plynoucího z obsahu čl. 2 odst. 2 písm. b) až e) této směrnice.
K § 7
Ačkoli režim poskytovatele regulované služby je primárně uveden v prováděcím právním předpisu, zákon upravuje specifický postup pro případ, že poskytovatel regulované služby poskytuje dvě a více regulovaných služeb a tyto služby naplňují kritéria různých režimů. Praxe ukázala, že zavádění několika různých systémů řízení kybernetické bezpečnosti v jedné organizaci poskytovatele regulované služby je neúčelné a dlouhodobě neudržitelné. Potřebu jednotného systému řízení kybernetické bezpečnosti v celé organizaci reflektuje i směrnice NIS 2 v čl. 3 odst. 2, když stanoví, že pouze subjekty, které nelze považovat za základní subjekty, se považují za důležité subjekty. Pokud tedy subjekt současně naplní kritéria základního a důležitého subjektu, hledí se na něj jako na základní subjekt.
Z uvedených důvodů odstavec 1 stanoví, že každý poskytovatel regulované služby, a je lhostejno, kolik regulovaných služeb současně poskytuje, má stanoven pouze jeden režim povinností. Tím je zajištěno, že poskytovatel regulované služby v celé organizaci bude zavádět pouze jeden set pravidel a jeden způsob řízení kybernetické bezpečnosti.
Odstavec 2 pak stanoví nevyvratitelnou právní domněnku, podle které poskytovatel regulované služby, který poskytuje více regulovaných služeb a alespoň jedna z nich naplňuje kritéria pro zařazení poskytovatele do vyššího režimu, musí ke všem regulovaným službám přistupovat z pohledu režimu vyšších povinností. Takový poskytovatel regulované služby bude tedy všechny regulované služby, které poskytuje, zabezpečovat způsobem platným pro vyšší režim, stejně jako bude ve vztahu ke všem regulovaným službám, které poskytuje, plnit požadavky zákona platné pro vyšší režim.
Praktický příklad přibližující výše popsanou situaci: Společnost X po vyhodnocení kritérií v prováděcím právním předpisu zjistí, že se jí týká regulace tří služeb – služby A, služby B a služby C. Prováděcí právní předpis stanovil, že kritériím, které ve vyhlášce společnost X naplňuje, odpovídá u služeb A a B režim nižších povinností, ovšem u služby C zařazuje společnost do režimu vyšších povinností. Výše popsané ustanovení v návrhu zákona však stanoví, že společnost X může mít stanoven pouze jeden režim povinností, společnost proto bude postupovat a zavádět povinnosti vůči službám A, B i C tak, jako by byly všechny v režimu vyšších povinností již podle prováděcího právního předpisu. Pokud by společnost X službu C neposkytovala, poskytování služeb A a B by vedlo ke stanovení jejího režimu na režim nižších povinností.
Právní fikce zavádějící výše zmíněné pravidlo je zásadní pro správné fungování pravidel plynoucích z návrhu zákona, především pro zavádění a provádění bezpečnostních opatření, ale i hlášení kybernetických bezpečnostních incidentů u regulovaného subjektu. Tato pravidla se totiž použijí napříč orgánem nebo osobou a v rámci obou režimů jsou odlišná. Pokud by se režim u orgánu nebo osoby nesjednotil na úrovni návrhu zákona, došlo by k tomu, že by orgán nebo osoba měly povinnost postupovat podle dvojí sady pravidel a zavádět pro různé množiny různě se překrývajících aktiv různé povinnosti, které by se zdvojovaly (či si v extrémních případech dokonce odporovaly). Nezavedení jednotného režimu poskytovatele vícero regulovaných služeb by nejen ztížilo praktické zavádění uložených povinností, ale i výrazně zkomplikovalo či znemožnilo plnění zákonných požadavků by v praxi. Doporučení „best practice“ navíc především v případě bezpečnostních opatření ukazují, že nejlepším přístupem je zavádět jednotná pravidla napříč orgánem nebo osobou, neboť obecně platí, že čím více pravidel a výjimek je stanoveno, tím nižší bezpečnost potenciálně je.
K § 8
Návrh rozlišuje tři samostatné úkony vedoucí k zařazení poskytovatele regulované služby, resp. jím poskytované regulované služby do regulace a zahájení plnění jeho povinností – registraci regulované služby, zápis do evidence regulovaných služeb a vyrozumění o zápisu do evidence regulovaných služeb. Každý z těchto úkonů má svůj specifický význam a napomáhá k lepšímu fungování celé regulace.
V závislosti na způsobu zařazení do regulace, tedy zda došlo k naplnění kritérií pro identifikaci regulované služby a samoidentifikaci poskytovatelem regulované služby, nebo k určení regulované služby rozhodnutím Úřadu na základě naplnění kritérií pro určení regulované služby, provede registraci buďto sám poskytovatel regulované služby, nebo Úřad.
Provedení registrace navazující na naplnění kritérií pro identifikaci regulované služby (samoidentifikaci) je zákonnou povinností poskytovatele regulované služby, která není vázána na žádnou notifikaci ze strany Úřadu. Orgán nebo osoba si tak musí aktivně posoudit, zda služba, kterou poskytuje, kritéria naplňuje či nikoli, a podle toho dále jednat. Kritéria pro identifikaci regulované služby budou stanovena prováděcím právním předpisem a ve většině případů půjde o jednoduše vyhodnotitelná binární kritéria (mnohdy vázaná na držení licence nebo povolení k poskytování služby). V komplikovanějších případech bude možné využít podpůrných materiálů Úřadu a ad hoc konzultací. Posouzení naplnění kritérií pro identifikaci regulované služby by měly orgány a osoby provést (či alespoň zahájit) nejlépe ihned po zveřejnění platného znění návrhu zákona a prováděcího právního předpisu ve Sbírce zákonů, tedy v době určené pro seznámení se s novou právní úpravou. Pro vlastní provedení registrace návrh zákona stanoví subjektivní lhůtu 30 dnů ode dne, kdy poskytovatel regulované služby zjistí, že jím poskytovaná služba naplňuje kritéria pro identifikaci regulované služby, resp. objektivní lhůtu 90 dnů ode dne, kdy k naplnění kritérií pro identifikaci regulované služby došlo (pro mnoho subjektů tato lhůta začne běžet okamžikem nabytí účinnosti návrhu zákona). Vzhledem k relativní jednoduchosti kritérií pro identifikaci regulované služby a nenáročnosti navrhovaného procesu registrace by měly být navrhované registrační lhůty plně dostačující i pro subjekty s komplikovanější organizační strukturou.
Úřad může registraci provést sám v případě, že poskytovatel regulované služby naplňující kritéria pro identifikaci regulované služby nesplní svou zákonnou povinnost zaregistrovat se v zákonné lhůtě a Úřad se o naplnění kritérií dozví z vlastní činnosti (čímž není dotčena odpovědnost poskytovatele regulované služby za spáchání přestupku, kterým nesplnění registrační povinnosti je). Úřad k tomuto kroku přistoupí ve chvíli, kdy bude zřejmé naplnění kritérií pro identifikaci regulované služby.
Povinnost provést registraci se vztahuje i na orgány a osoby naplňující kritéria pro identifikaci regulované služby, které byly před nabytím účinnosti zákona povinnými osobami podle § 3 písm. c) až g) zákona o kybernetické bezpečnosti. Úřad sice disponuje kontaktními údaji těchto osob, jejich rozsah je nicméně odlišný od požadavků navrhovaného zákona a nadto může u těchto orgánů a osob dojít k rozšíření regulovaných služeb oproti službám, pro které byly určeny nebo identifikovány povinnou osobou podle zákona o kybernetické bezpečnosti (další významnou změnou bude i přechod od regulace konkrétních informačních systémů k regulaci celé organizace). Z toho důvodu tyto osoby nepřechází pod regulaci návrhu zákona automaticky, ale stejným způsobem jako dosud neregulované subjekty. Pro dosavadní povinné osoby je nicméně stanoveno přechodné ustanovení zajišťující kontinuitu zajišťování kybernetické bezpečnosti po dobu plynutí lhůty pro zahájení plnění povinností podle návrhu zákona.
Registraci služeb, které byly určeny rozhodnutím Úřadu na základě naplnění kritérií pro určení regulované služby, zajišťuje sám Úřad. S těmito subjekty bude vedeno správní řízení o určení regulované služby a Úřad tak již všemi nezbytnými informacemi pro registraci bude disponovat. Z toho důvodu není třeba poskytovatele regulované služby dále zatěžovat a vyžadovat po nich duplicitní hlášení informací. Tím však není dotčena povinnost poskytovatele Úřadem určené regulované služby nahlásit Úřadu kontaktní a další údaje, neboť těmi Úřad po provedení řízení o určení zpravidla disponovat nebude (nebo nebudou předmětem jeho zkoumání).
Registrace se provádí podle § 47 návrhu zákona prostřednictvím standardizovaného formulářového elektronického podání zpracovaného pomocí Portálu Úřadu. Podrobnosti k fungování Portálu Úřadu, ke způsobu přihlášení do portálu a k rozsahu informací, které se v rámci registrace vyplňují, stanoví prováděcí právní předpis.
Registrace slouží primárně jako prostředek identifikace povinného orgánu nebo osoby a jím poskytované služby vůči Úřadu (většina poskytovatelů regulované služby bude pod regulaci zařazena na základě naplnění kritérií pro identifikaci regulované služby a Úřad tak s většinou regulovaných osob nepovede žádné řízení o určení regulované služby) a představuje transpozici notifikační povinnosti podle čl. 3 odst. 4 směrnice NIS 2. Provedení registrace není okamžikem rozhodným pro zahájení běhu lhůt pro plnění povinností poskytovatele regulované služby, tím je až doručení vyrozumění o zápisu do evidence regulovaných služeb. Předmětem registračních údajů tak budou především základní informace o poskytovateli regulované služby a informace o poskytovaných regulovaných službách. Další informace, zejména o používaných informačních systémech, budou předmětem navazujícího hlášení údajů (není však vyloučeno, aby poskytovatel regulované služby v rámci registrace poskytl i informace vyžadované v rámci hlášení údajů).
V případě, kdy dojde k určení první či další regulované služby rozhodnutím Úřadu na základě naplnění kritérií pro určení regulované služby, provádí registraci podle odstavce 4 samotný Úřad. Není proto třeba rozlišovat mezi registrací a změnou registrace.
Odstavcem 5 se upravují specifické požadavky na proces registrace regulované služby. Úřad je při své činnosti standardně vázán ustanoveními správního řádu, některá specifická jednání však vyžadují úpravu obecných pravidel. Jde zejména o proces registrace regulované služby, změn registrace a zápisu do evidence regulovaných služeb, u nichž je dán zájem na rychlém a efektivním vyřízení bez zbytečného prodlení. Důvody jsou přitom obdobné jako v případě procesu určování provozovatelů základní služby podle zákona o kybernetické bezpečnosti. Vzhledem k zájmům, jejichž ochrana byla určováním provozovatelů základních služeb sledována (zejména národní bezpečnosti a ochrana obyvatelstva), bylo nutné, aby proces určování podle zákona o kybernetické bezpečnosti probíhal, pokud možno bez výraznějšího zpoždění. Oproti zákonu o kybernetické bezpečnosti bude většina regulovaných orgánů a osob zařazena do působnosti tohoto návrhu zákona na základě samoidentifikace a následné odpovědně provedené registrace. Zjednodušení procesu registrace a zápisu je tedy dáno veřejným zájmem na zvýšení úrovně kybernetické bezpečnosti orgánů a osob provozujících služby, jež stát definoval jako nezbytné pro zabezpečení důležitých společenských nebo ekonomických činností, kdy narušení jejich poskytování může vést až k významnému omezení chodu státu. Ve veřejném zájmu je tak provedení zařazení regulovaných služeb, potažmo jejich poskytovatelů do regulace co nejvíce v souladu se zásadou rychlosti a hospodárnosti, neboť neúměrným a nijak účelným prodlužováním celého procesu může být výše zmíněný zájem představující účel tohoto návrhu zákona ohrožen. Do doby registrace a zápisu regulovaných služeb do evidence regulovaných služeb nejsou jejich poskytovatelé odpovědní za zabezpečování svých systémů a hlášení incidentů. Jakékoli prodlužování procesu zařazení regulovaných služeb do regulace návrhu zákona oddaluje okamžik, od kterého jsou jejich poskytovatelé odpovědní za zajišťování kybernetické bezpečnosti své organizace a ochranu poskytované služby.
Identifikace regulovaných služeb probíhá na základě relativně jednoduchých a v zásadě jednoznačných kritérií pro identifikaci regulované služby. Samoidentifikace by tedy pro povinné orgány a osoby neměla představovat významnější komplikace. Proces registrace regulované služby a zápisu do evidence regulovaných služeb tak není potřeba zatěžovat nadbytečnými procesními požadavky, které by proces zařazení do regulace návrhu zákona neúměrně komplikovaly. Registrace regulované služby Úřadem v případě, že poskytovatel svou povinnost zaregistrovat regulovanou službu sám nesplní, je pouze náhradou jednání poskytovatele regulované služby a faktickou nápravou nezákonného stavu. Zápis do evidence regulovaných služeb je pak automatickým důsledkem registrace regulované služby poskytovatelem.
Proces registrace regulované služby je pro větší přehlednost graficky zobrazen v Příloze č. 1 k důvodové zprávě.
K § 9
Proces změny registrace regulované služby slouží pro situace, kdy dojde ke změně režimu poskytovatele regulované služby, na základě naplnění kritérií pro samoidentifikaci poskytovatele regulované služby.
Proces změny registrace je v zásadě totožný s procesem prvotní registrace, i zde tak platí subjektivní 30denní, resp. objektivní 90denní lhůta pro nahlášení registračních údajů a rozdělení odpovědností za nahlášení změny registračních údajů. Rozdíl je však v tom, že změnu registrace provádí samotný poskytovatel regulované služby, přičemž k tomu využije zjednodušený formulář pro změnu registrace zpracovaný pomocí Portálu Úřadu. Vyplnění registračních údajů v rozsahu potřebném pro prvotní registraci v tomto případě není nutné, vzhledem k tomu, že regulovaná služba je v evidenci již zapsána. Na změnu registrace navazuje povinnost vůči novému režimu nahlásit kontaktní údaje.
Pokud změnou registrace regulované služby dojde ke změně režimu poskytovatele regulované služby z nižšího na vyšší, počínají vůči těmto službám běžet nové lhůty pro zahájení plnění povinností. Naopak při změně režimu poskytovatele regulované služby z vyššího na nižší nové lhůty běžet nepočínají, neboť poskytovateli regulované služby povinnosti ubývají, nikoli přibývají (požadavky nižšího režimu budou vždy součástí množiny požadavků vyššího režimu, poskytovatel regulované služby tedy jen omezí rozsah svých bezpečnostních opatření a dalších povinností na tuto nižší úroveň).
K odůvodnění úpravy obsažené v odstavci 3 viz odůvodnění § 8 návrhu zákona.
K § 10
Jakmile je regulovaná služba zaregistrována, Úřad ji bez zbytečného odkladu zapíše do evidence regulovaných služeb. Obdobně Úřad postupuje i po provedení změny registrace. Evidence regulovaných služeb slouží jako databáze regulovaných služeb a jejich poskytovatelů, obdobně jako tomu bylo u evidence kontaktních údajů podle zákona o kybernetické bezpečnosti. Evidence je neveřejná, slouží potřebám Úřadu a informace v ní vedené se neposkytují ani podle právních předpisů upravujících svobodný přístup k informacím (viz odůvodnění k ustanovení § 38 návrhu zákona o výjimce z práva na informace).
Zápis do evidence bude v zásadě automaticky prováděným úkonem, Úřad bude provádět pouze formální kontrolu registrovaných údajů (např. duplicity hlášení, zjevných chyb v registrovaných údajích, nesouladů s informacemi z registrů apod.). Nastavený postup umožňuje minimalizovat délku prodlení mezi registrací a zápisem do evidence regulovaných služeb. O provedení zápisu do evidence regulovaných služeb Úřad daného poskytovatele regulované služby písemně vyrozumí. Písemné vyrozumění o zápisu do evidence bude poskytovateli regulované služby doručeno, a to v souladu se správním řádem.
Doručení vyrozumění je stěžejní pro počátek běhu lhůt pro zahájení plnění zákonných povinností. Teprve od tohoto okamžiku poskytovateli počínají běžet lhůty pro zavádění bezpečnostních opatření, hlášení incidentů, plnění protiopatření Úřadu a dalších povinností upravených návrhem zákona pro jednotlivé zapsané regulované služby. Od tohoto okamžiku je také poskytovatel regulované služby odpovědný za případné přestupky, kterých se neplněním svých povinností dopustí (s výjimkou odpovědnosti za přestupek spočívající v nesplnění povinnosti registrace nebo změny registrace, která nastupuje uplynutím lhůt pro registraci nebo změnu registrace). Jednoznačné určení okamžiku, od kterého je poskytovatel regulované služby odpovědný za plnění svých zákonných povinností, má za cíl odstranit problémy spojené s předchozí regulací významných informačních systémů (u nichž se také uplatnila samoidentifikace), kdy bylo v mnoha případech obtížné určit, ke kterému okamžiku se informační nebo komunikační systém stal významným informačním systémem a jeho správce nebo provozovatel povinnou osobou podle § 3 písm. e) zákona o kybernetické bezpečnosti. Úřad tak bude díky navrhované úpravě schopen zejména v přestupkových řízení zcela jednoznačně stanovit, od kterého okamžiku poskytovateli regulované služby vznikla povinnost řídit se návrhem zákona a plnit povinnosti v něm obsažené a kdy došlo ke spáchání projednávaného přestupku.
Za účelem zachování právní jistoty adresátů normy i dalších osob, které jsou s nimi v právních vztazích relevantních z hlediska regulovaných služeb, je stanoveno, že dokud je služba zapsaná v evidenci regulovaných služeb, jedná se o regulovanou službu. Prakticky tak jde o nevyvratitelnou právní domněnku, že regulovaná služba zapsaná v evidenci regulovaných služeb naplňuje definiční znaky regulované služby (kritéria regulované služby), dokud není Úřadem deklarován opak a nedojde k výmazu regulované služby z evidence. Navrhované ustanovení má za cíl posílit právní jistotu poskytovatelů regulovaných služeb a postavit najisto, kdy jsou ještě povinni plnit povinnosti stanovené návrhem zákona a kdy už nikoliv. Současně je i v zájmu Úřadu, aby v evidenci regulovaných služeb nebyly zapsány služby, které skutečně kritéria pro zařazení do regulace nesplňují. U takových služeb Úřad bez zbytečného odkladu zahájí kroky vedoucí k výmazu jednotlivých služeb z evidence regulovaných služeb.
K odůvodnění úpravy obsažené v odstavci 3 viz odůvodnění § 8 návrhu zákona.
Proces zápisu regulované služby do evidence regulovaných služeb je pro větší přehlednost graficky zobrazen v Příloze č. 1 k důvodové zprávě.
K § 11
První odstavec tohoto ustanovení obecně říká, že pokud regulovaná služba zapsaná v evidenci již nenaplňuje kritéria pro identifikaci regulované služby (§ 4 návrhu zákona) nebo určení regulované služby (§ 5 návrhu zákona), Úřad rozhodne o výmazu takové služby z evidence regulovaných služeb. Nezáleží na tom, zda je služba nadále poskytována, podstatné je, zda přestala naplňovat definiční znaky regulované služby.
Řízení o výmazu může být zahájeno buď na žádost poskytovatele regulované služby nebo Úřadem z moci úřední, pokud se Úřad ze své činnosti dozví, že regulovaná služba již kritéria pro identifikaci či určení nenaplňuje.
Úřad o výmazu nejprve rozhodne, následně po právní moci rozhodnutí výmaz provede, a daného poskytovatele služby písemně vyrozumí. Obdobně jako v případě zápisu do evidence regulovaných služeb musí být poskytovatel regulované služby, jehož služba je z evidence mazána, o výmazu vždy písemně vyrozuměn. Písemné vyrozumění o výmazu z evidence musí být poskytovateli regulované služby prokazatelně doručeno, neboť až od tohoto okamžiku přestává být poskytovatel regulované služby ve vztahu k vymazané službě povinen plnit zákonné povinnosti. Toto z ustanovení vyplývá zejména s ohledem na nevyvratitelnou právní domněnkou, jež je stanovena v § 10 odst. 2 návrhu zákona.
Pokud Úřad rozhodne o výmazu regulované služby, která byla určena rozhodnutím podle § 5 návrhu zákona, rozhodne výmazem současně i o tom, že služba již nadále nesplňuje kritéria pro určení regulované služby.
Rozhodnutí o výmazu může být prvním úkonem Úřadu v řízení. To má za cíl, v souladu se zásadou rychlosti a hospodárnosti, urychlit proces výmazu z evidence. Písemné rozhodnutí se přitom bude vyhotovovat pouze tehdy, když Úřad žádost poskytovatele regulované služby o výmaz z evidence zamítne. S tím následně souvisí možnost podání rozkladu pouze proti zamítnutí žádosti o výmaz regulované služby z evidence regulovaných služeb. V případech, kdy bude žádosti poskytovatele vyhověno, se jeví jako nadbytečné právo podat rozklad ponechat a současně se tím urychlí proces výmazu. Zároveň v případě, kdy Úřad rozhodne o výmazu regulované služby z evidence v řízení zahájeném z moci úřední, má poskytovatel takové služby možnost znovu ji registrovat.
Dále je v tomto ustanovení speciálně upravena situace, která by jinak mohla způsobit zahlcení Úřadu tím, že by poskytovatelé regulované služby opakovaně podávali žádosti o výmaz regulované služby z evidence. V odstavci 6 je proto stanoveno, že opakovaná žádost, ve které žadatel neuvede nové skutečnosti či zjištění, jež by svědčily o tom, že nadále skutečně neposkytuje službu naplňující kritéria pro identifikaci či určení regulované služby, bude posouzena jako nepřípustná. Řízení o výmazu na základě nepřípustné žádosti Úřad bez dalšího zastaví.
Proces výmazu služby z evidence poskytovaných služeb je pro větší přehlednost graficky zobrazen v Příloze č. 2 k důvodové zprávě.
K § 12
Tato povinnost spolu s registrací regulovaných služeb v zásadě odpovídá hlášení kontaktních údajů podle § 16 zákona o kybernetické bezpečnosti. Kromě tvorby znalostní báze Úřadu a získávání přehledu o jednotlivých množinách regulovaných orgánů a osob jde také o nastavení nezbytných komunikačních kanálů s jednotlivými poskytovateli regulovaných služeb tak, aby s nimi Úřad případně mohl řešit potenciální hrozby či incidenty a obracel se přitom v rámci dané organizace na relevantní osoby. Hlášení relevantních údajů přitom bude probíhat prostřednictvím standardizovaných formulářových podání vyplněných pomocí Portálu Úřadu (viz blíže ustanovení o Portálu Úřadu). Dále je v odstavci 1 akcentována odpovědnost poskytovatele regulované služby za úplnost a aktuálnost nahlášených údajů.
Odstavec 2 určuje jednotlivé množiny hlášených údajů, které jsou blíže specifikovány prováděcím právním předpisem. K hlášení registračních údajů přitom dochází již při prvotní registraci poskytovatele regulované služby, k hlášení ostatních údajů musí podle odstavce 3 dojít nejpozději do 30 dnů od doručení vyrozumění o zápisu regulované služby do evidence regulovaných služeb.
Odstavec 4 zakotvuje povinnost hlášení veškerých změn již nahlášených údajů ve lhůtě 14 dní, tak aby byly hlášené údaje udržovány úplné a aktuální. U referenčních údajů vedených v základních registrech se předpokládá automatická aktualizace.
Předposlední odstavec 5 zdůrazňuje důležitost dostupnosti poskytovatele regulovaných služeb, nemělo by tak docházet k situacím, kdy budou pověřené kontaktní osoby nedostupné a bez jakéhokoli zástupu. Takový stav by komplikoval, resp. znemožňoval, efektivní komunikaci ze strany Úřadu vůči danému poskytovateli regulovaných služeb, což by například v souvislosti s probíhajícím incidentem mohlo mít závažné důsledky. Dostatečnou zastupitelnost, tedy odpovídající počet kontaktních osob nelze exaktně určit, bude souviset s velikostí a kapacitami regulované organizace, případně počtem regulovaných služeb. V praxi se však doporučuje u menších organizací uvést minimálně dvě nebo tři kontaktní osoby, aby byla zajištěna jejich dostatečná zastupitelnost. Smyslem je zajištění kontinuity a dostupnosti komunikace s Úřadem v momentě, kdy bude kontaktní osoba například dlouhodobě nepřítomná, nebo zrovna nebude dostupná.
Poslední odstavec tohoto ustanovení odkazuje na prováděcí právní předpis, kde jsou podrobně upraveny jednotlivé kategorie hlášených údajů, včetně způsobu provádění souvisejících úkonů.
K § 13
Základem řízení kybernetické bezpečnosti poskytovatelem regulované služby je správné stanovení jeho rozsahu pomocí identifikace organizačních částí a aktiv. Na tuto povinnost jsou navázány další požadavky zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů. Stanovený rozsah definuje, kde je potřeba zavést bezpečnostní opatření. Nestanovení nebo nedostatečné stanovení rozsahu řízení kybernetické bezpečnosti představuje zásadní problém, který Úřad při kontrolách prováděných podle zákona o kybernetické bezpečnosti identifikoval. Z toho důvodu došlo v rámci návrhu zákona k podrobné úpravě postupu pro jeho stanovení. Cílem je zpřesnit a v praxi zjednodušit poskytovateli regulované služby stanovení rozsahu. Ty orgány a osoby, které jsou regulovány již zákonem o kybernetické bezpečnosti, a které svůj rozsah řízení kybernetické bezpečnosti ve vztahu ke službě, jež jsou povinni zabezpečovat (především základní služba a služba definující kritickou informační infrastrukturu), stanovili skutečně v souladu s požadavky zákona o kybernetické bezpečnosti a vyhlášky o kybernetické bezpečnosti, budou mít situaci výrazně ulehčenu, neboť zpřesnění, které odstavec 1 přináší, koresponduje s požadavky aktuálně účinné úpravy.
Ustanovení odstavce 1 pomáhá poskytovateli regulované služby stanovit rozsah řízení kybernetické bezpečnosti ve třech navazujících krocích. Dle odstavce 1 písm. a) poskytovatel regulované služby nejprve pohlíží na svou organizaci jako na celek, v rámci kterého si identifikuje všechna primární aktiva (neboli jím zpracovávané a poskytované služby a informace), tedy primární aktiva jako její hlavní poskytované služby, činnosti a informace, které odráží to, proč organizace vznikla, proč existuje, jaké služby poskytuje. Jedná se především o druh služeb či informací, nikoliv např. jednotlivé dokumenty nebo činnosti nutné pro poskytnutí služby. Organizace identifikuje primární aktiva do takové míry detailu, aby byla schopna rozhodnout, zda tato aktiva souvisejí s regulovanou službou či nikoliv. Organizací se pro tento účel rozumí vnitřní prostředí poskytovatele regulované služby, typicky ohraničené jeho právní formou, majetkem, vykonávanými službami, procesy, činnostmi, organizační strukturou, zaměstnanci a dalšími prvky vlastními poskytovateli regulované služby. V dalším kroku podle odstavce 1 písm. b) poskytovatel regulované služby z primárních aktiv celé organizace určí primární aktiva, která souvisejí s poskytováním regulované služby. V posledním kroku podle odstavce 1 písm. c) pro určenou množinu primárních aktiv souvisejících s poskytováním regulované služby identifikuje a určí organizační části a podpůrná aktiva. Organizačními částmi a podpůrnými aktivy souvisejícími s poskytováním regulované služby je nutno rozumět takové organizační části a aktiva, která mají vazbu na primární aktiva související s poskytováním regulované služby [určena podle odstavce 1 písm. b) tohoto ustanovení]. Organizační části představují vybrané organizační celky poskytovatele regulované služby, které se např. podílí na zajišťování fungování regulované služby či jsou její uživatelé. V praxi se tak může jednat o celou organizaci nebo o vybrané relevantní části organizace (např. specifické úseky či oddělení). Podpůrná aktiva představují zaměstnance, dodavatele, objekty a technická aktiva.
Ostatní primární aktiva, která s regulovanou službou nesouvisejí, může poskytovatel regulované služby z rozsahu řízení kybernetické bezpečnosti vyjmout. Dále odstavec 3 ukládá poskytovateli regulované služby povinnost vést o všech předchozích krocích vedoucích ke stanovení rozsahu řízení kybernetické bezpečnosti dokumentovaný záznam, tedy o stanovení rozsahu včetně evidence primárních aktiv, která byla z rozsahu vyjmuta, a odůvodnění jejich vyjmutí. Dokumentování stanovení rozsahu řízení je důležité z hlediska jeho zpětného přezkoumání a zároveň je tím zajištěno, že rozsah bude vnímán jednotně napříč celou organizací poskytovatele regulované služby. Rozsah řízení kybernetické bezpečnosti se tak považuje za konečně stanovený, pokud je i proces jeho stanovení řádně a prokazatelně zdokumentovaný včetně náležité evidence vyjmutých primárních aktiv. Mapování primárních aktiv napříč celou organizací a řádné dokumentování je klíčovým požadavkem pro správnou transpozici NIS2, která požaduje přistupovat k implementaci bezpečnostních opatření v rámci celé organizace plošně. Poskytovatel regulované služby díky identifikaci primárních aktiv napříč organizací získá komplexní přehled o svých primárních aktivech, přičemž s ohledem na jejich souvislost s poskytováním regulované služby je do stanoveného rozsahu zahrne nebo z něj vyjme (tím stanovený rozsah zúží z celé organizace na menší část). Dokumentování tohoto rozhodnutí je zásadním důkazem správného postupu v souladu s požadavky NIS2.
Vzhledem k tomu, že je stanovení rozsahu řízení kybernetické bezpečnosti zcela klíčovou povinností, jelikož je nutnou prerekvizitou pro řádné plnění dalších požadavků podle návrhu zákona a jeho prováděcích právních předpisů, došlo k doplnění odstavce 4, který určuje rozsah řízení kybernetické bezpečnosti do doby, než dojde k jeho stanovení postupem podle odstavce 1. Rozsah řízení kybernetické bezpečnosti podle odstavce 4 zahrnuje, jak regulovanou službu poskytovatele regulované služby, podpůrná aktiva celé organizace a další aktiva související s poskytováním regulované služby, tak i externí aktiva (jako např. dodavatelé), která je nutné do rozsahu řízení kybernetické bezpečnosti rovněž zahrnout. Tento výchozí stav může budit dojem, že rozsah řízení kybernetické bezpečnosti je nastaven příliš široce, platí však pouze do doby stanovení rozsahu řízení poskytovatelem regulované služby postupem podle odstavce 1.
Odstavec 5 pokrývá další rozvoj organizace, který je nedílnou součástí jejího fungování. Platí tak, že všechna nově pořízená aktiva jsou automaticky součástí stanového rozsahu, dokud organizace dokumentovaným způsobem nerozhodne o tom, že do rozsahu nepatří. Důvody pro stanovení takto širokého záběru jsou shodné s důvody uvedenými v odstavci 4. Za úplné stanovení rozsahu řízení kybernetické bezpečnosti je pak opět považován okamžik, kdy je jeho stanovení řádně a prokazatelně dokumentováno v souladu s odstavcem 3.
Odstavec 6 pak stanoví povinnost poskytovatelů regulovaných služeb stanovený rozsah pravidelně přezkoumávat a aktualizovat, neboť jen identifikace a určení relevantních aktiv souvisejících s poskytováním regulovaných služeb může zajistit skutečné a účinné řízení kybernetické bezpečnosti v organizaci. To přitom neplatí pouze v okamžiku, kdy se poskytovatel regulované služby stane povinnou osobou ze zákona a provádí stanovení rozsahu poprvé, naopak na aktuálnost systému řízení kybernetické bezpečnosti a rozsahu, v němž probíhá, je potřeba dbát dlouhodobě.
K § 14
Návrh zákona vychází z předpokladu, že zabezpečení regulované služby před negativními následky kybernetických bezpečnostních incidentů může být efektivní pouze v případě, jsou – li jednotlivé jeho prvky aplikovány systematicky a ve vzájemných souvislostech. Jedním z předpokladů návrhu zákona je rovněž faktická důležitost nejen technických opatření, ale též s nimi souvisejících organizačních opatření. Teprve kombinace kvalitních technologických nástrojů s náležitě zorganizovaným personálním zajištěním a jasně nastavenými pravidly totiž může ve výsledku poskytnout kýženou efektivitu.
Návrh zákona počítá se zavedením povinnosti definovat a aplikovat systém opatření a postupy pro vybrané skupiny poskytovatelů regulovaných služeb souhrnně označovaný jako bezpečnostní opatření. Cílem bezpečnostních opatření (organizačního a technického typu) je zajistit řádné poskytování regulované služby a kybernetické bezpečnosti aktiv. Navrhovaná právní úprava předpokládá, že poskytovatelé regulovaných služeb provedou zhodnocení bezpečnostních charakteristik jimi poskytovaných regulovaných služeb a na tomto základě si vytvoří a zdokumentují vlastní systém bezpečnostních opatření sestávajících z opatření organizačních a technických v intencích návrhu zákona. Poskytovatel regulované služby zavádí taková bezpečnostní opatření, která odpovídají jeho režimu, přičemž na poskytovatele regulované služby v režimu vyšších povinností jsou kladeny vyšší nároky než na poskytovatele regulované služby v režimu nižších povinností.
Protože je návrh zákona transpozičním předpisem evropské směrnice NIS 2, která bezpečnostní opatření upravuje, je v obou případech, tedy jak v případě poskytovatele regulované služby v režimu vyšších povinností, tak v režimu nižších povinností, potřeba, aby bezpečnostní opatření splňovala alespoň požadavky dané čl. 20 a 21 směrnice NIS 2.
Je potřeba také uvést, že pokud směrnice NIS 2 hovoří vedle organizačních a technických bezpečnostních opatření také o provozních opatřeních, jedná se jen o použití jiných termínů vůči tomu, co je ve výsledku stejnou množinou bezpečnostních opatření. Tento návrh zákona tedy zachovává dosavadní dělení na organizační a technická opatření pro režim vyšších povinností, avšak pro režim nižších povinností, s ohledem na nižší požadavky, požadovaná bezpečnostní opatření na organizační a technická nerozděluje, přičemž ale směrnici NIS 2 v tomto ohledu plně transponuje. Dále je potřeba uvést, že směrnice NIS 2 uvádí následující:
„Článek 21.
Odstavec 1: Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby. S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
Odstavec 2: Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;(...).“
Směrnice NIS 2 však na tomto místě nestanovuje, že podmínka provedení analýzy rizik musí bezpodmínečně nutně vycházet z hodnocení provedeného samotnými subjekty. Z tohoto důvodu předkládá návrh zákona přístup, který v případě poskytovatelů regulovaných služeb v režimu vyšších povinností nechává řízení rizik na těchto subjektech, avšak v případě poskytovatelů regulované služby v režimu nižších povinností má za cíl těmto subjektům s ohledem na jejich počet, nižší význam a obecně nižší maturitu odlehčit z nutnosti provádět plný balík povinností, především těch nejnáročnějších a v praxi nejobtížněji proveditelných – tedy detailního analyzování rizik. V jejich případě návrh zákona stanovuje sadu pravidel, která reagují na provedení analýzy rizik provedené navrhovatelem. Tím, že je poskytovatelé regulovaných služeb provedou, dojde také k naplnění cílů směrnice NIS 2.
Seznam bezpečnostních opatření pro poskytovatele regulovaných služeb je stanoven návrhem zákona v § 15 návrhu zákona a jejich detail je pak stanoven prováděcími právními předpisy, a to pro každý režim poskytovatele regulované služby zvlášť.
K § 15
Seznam bezpečnostních opatření v návrhu zákona, včetně prováděcích právních předpisů předpokládá, že konkrétní řešení bezpečnostních opatření u jednotlivých poskytovatelů regulovaných služeb se mohou při současném splnění zákonných požadavků vzájemně odlišovat. Povinnosti týkající se zavedení systému bezpečnostních opatření vycházejí z mezinárodně uznaných standardů a týkají se nejen kategorií a funkčních parametrů jednotlivých typů bezpečnostních technologií (zejména zavedení bezpečnosti komunikačních sítí, řízení identit a přístupových oprávnění, detekčních nástrojů a kryptografických nástrojů), ale rovněž organizace jednotlivých souvisejících procesů (zejména řízení aktiv, rizik v případě poskytovatele regulovaných služeb v režimu vyšších povinností, lidských zdrojů, řízení akvizic nových technologií, organizačních postupů pro zvládání kybernetických bezpečnostních událostí a incidentů, řízení kontinuity činností a dalších). Návrh zákona počítá s tím, že podrobný popis jednotlivých bezpečnostních opatření bude obsažen v prováděcím právním předpisu, obdobně jako je tomu v aktuálně účinné vyhlášce o kybernetické bezpečnosti.
Vzhledem k rozdílným nárokům na poskytovatele regulované služby v režimu vyšších povinností a poskytovatele regulované služby v režimu nižších povinností je i seznam bezpečnostních opatření rozdělen podle režimů a odráží rozdílnost požadavků pro tyto režimy. Požadavky na poskytovatele v režimu vyšších povinností reflektují požadavky mezinárodních norem a standardů a nejlepší praxe na plný a účinný systém řízení bezpečnosti informací v organizaci poskytovatele regulované služby. Pro poskytovatele regulované služby v režimu nižších povinností je pak stanovena užší množina povinností, představující základní bezpečnostní opatření (organizačního a technického typu). Tato bezpečnostní opatření by měla být, nezávisle na tom, zda služba poskytována orgánem nebo osobou spadne do působnosti návrhu zákona či nikoli, zavedena v každé organizaci orgánu nebo osoby, kteří pro činnost služby používají informační systémy a mají zájem na tom, aby byly tyto systémy chráněny před narušením bezpečnosti informací. Nic pak nebrání tomu, aby se poskytovatel regulované služby v režimu nižších povinností rozhodl, že bude své systémy dobrovolně zabezpečovat více, např. podle požadavků kladených na poskytovatele regulované služby ve vyšším režimu. Ke změně režimu poskytovatele v tomto případě ale nedochází.
K § 16
Ustanovení zakládá poskytovatelům regulované služby povinnost hlásit kybernetické bezpečnostní incidenty. Účelem je umožnit Úřadu, resp. Vládnímu CERT a Národnímu CERT vykonávat jejich primární funkci, tj. koordinovat ochranu kybernetického prostoru České republiky.
Primárně mají poskytovatelé regulovaných služeb povinnost hlásit incidenty s původem v kybernetickém prostoru, u nichž nelze vyloučit úmyslné zavinění, což vylučuje z hlášení mj. incidenty způsobené vlastní provozní činností (tzv. provozní incidenty). Uvedené vymezení z povinnosti hlášení vyřazuje incidenty, které z povahy věci nespadají do působnosti Úřadu a nemají pro vyhodnocování ze strany Úřadu a další mapování bezpečnostní situace v kybernetickém prostoru zásadní význam. Informační hodnota těchto incidentů dostatečně nevyrovnává administrativní náročnost zpracování jejich hlášení jak ze strany Úřadu, tak ze strany poskytovatelů regulovaných služeb, nadto Úřad nemůže u těchto incidentů nabídnout relevantní podporu pro jejich zvládání. Toto omezení je v souladu s cílem směrnice NIS 2 zajistit vysoké společné úrovně kybernetické bezpečnosti v Unii. Hlášení neúmyslně zaviněných incidentů s původem mimo kybernetický prostor by reálně ke zvýšení kybernetické bezpečnosti nepřispívalo. Úřad tímto způsobem zohlednil na zákonné úrovni část požadavků Metodiky hlášení incidentů, která byla zveřejněná na internetových stránkách Úřadu[footnoteRef:28] s cílem upřesnit, které případy narušení dostupnosti, důvěrnosti a integrity není nezbytně nutné hlásit a jejichž hlášení nebude Úřad vymáhat. Metodiku hlášení incidentů Úřad s účinností návrhu zákona aktualizuje odpovídajícím způsobem. Úmyslnost zavinění incidentu se vždy posuzuje ve vztahu k útočníkovi. Pokud tedy např. zaměstnanec neúmyslně stáhne přílohu e-mailu obsahující malware, který následně způsobí narušení bezpečnosti aktiv, jedná se o incident zaviněný úmyslně ze strany útočníka, který chtěl docílit způsobení škody. Stejně tak v případě neúmyslného úniku přihlašovacích údajů je potřeba posoudit následné zneužití těchto údajů jako úmyslný akt útočníka. Vedle toho, pokud je v důsledku prokazatelně neúmyslné chybné konfigurace systému způsobena jeho nedostupnost, nejedná se o úmyslné zavinění a incident není nutné hlásit. Pokud by ovšem byla tato miskonfigurace zneužita útočníkem k následnému útoku, jehož cílem by byla nedostupnost systému, dá se dovodit úmyslné zavinění. Pro posouzení, zda byl incident zaviněn úmyslně, v případě pochybností platí, že pokud tuto skutečnost nelze ve lhůtě pro prvotní hlášení podle § 17 odst. 1 zcela vyloučit, je incident vždy potřeba nahlásit. Vzhledem k tomu, že incidenty mají být hlášeny pouze v rámci stanoveného rozsahu, který je identifikován s ohledem na poskytování regulované služby (v souladu s § 13 odst. 2), lze dovodit, že hlášeny musejí být především incidenty s potenciálem tuto službu ohrozit přímo. Zároveň je potřeba zohlednit i to, že ve stanoveném rozsahu jsou aktiva, která sice nemusí přímo poskytovat regulovanou službu, ale mají vliv na její kybernetickou bezpečnost, typicky bezpečnostní technologie. V případě incidentu u takového typu aktiva může být v konečném důsledku rovněž narušeno poskytování této služby, i když nemusí být způsobeno přímým ohrožením aktiva poskytujícího regulovanou službu. Povinnost hlášení se netýká událostí, a to ani významných – tedy takových, u kterých došlo k úspěšnému odvrácení incidentu např. tím, že zafungovala bezpečnostní opatření (tzv. near miss). V případě jakýchkoliv pochybností např. ohledně posouzení vzniku incidentu nebo určení hranice mezi událostí a incidentem vždy platí, že je lepší incident (byť domnělý) nahlásit, a to i s ohledem na možnost dobrovolného hlášení událostí a incidentů. Účelem povinnosti nahlašování incidentů není získání indicií pro vykonání kontroly u zasaženého subjektu či udělení sankce. Získané informace jsou zaevidovány, analyzovány, subjektu je nabídnuta podpora při zvládání incidentu a případně jsou z analytické činnosti vyvozeny další kroky, vedoucí např. k preventivním opatřením. [28: https://www.nukib.cz/download/publikace/podpurne_materialy/Metodika-hlaseni- incidentu_1.1.pdf]
Poskytovatelé regulovaných služeb v režimu vyšších povinností hlásí Úřadu všechny kybernetické bezpečnostní incidenty s původem v kybernetickém prostoru, u nichž nelze vyloučit úmyslné zavinění. V tomto případě je navržena přísnější úprava nad rámec směrnice NIS 2, podle které by měly regulované subjekty hlásit pouze incidenty s významným dopadem. Vzhledem ke skutečnosti, že požadavek na hlášení všech incidentů je aplikován i v současné právní úpravě, zvolil Úřad pokračování dosavadního osvědčeného přístupu. Poskytovatelé regulovaných služeb v režimu vyšších povinností jsou z povahy věci zejména subjekty, jejichž chod je stěžejní pro zajištění bezpečnosti státu či fungování státu jako takového. Méně významné incidenty mohou indikovat závažnější bezpečnostní problém, který vyústí ve významný incident, případně mohou být součástí rozsáhlé kampaně napříč subjekty. Proto je vhodné je evidovat u těchto subjektů už od počátku. Z pohledu Úřadu je žádoucí shromažďovat informace i o méně významných incidentech také pro doplnění širšího pohledu a zasazení do kontextu ochrany kybernetického prostoru České republiky, a případné sledování nejen dalšího vývoje u subjektu, ale i možných trendů v rámci okruhu všech povinných osob. Sběr a analýza informací o incidentech umožňuje Úřadu získat přesnější přehled o stavu kybernetické bezpečnosti v České republice a identifikovat potenciální hrozby a slabiny, které mohou být využity útočníky. Tyto informace umožňují Úřadu také identifikovat opakované útoky, které mohou být součástí širšího útoku nebo kampaně. Díky tomuto přístupu lze efektivněji reagovat na hrozby, minimalizovat dopad útoků a celkově zlepšit stav kybernetické bezpečnosti v České republice. Nadto může Úřad využít tyto informace k vytváření doporučení pro poskytovatele regulovaných služeb, které by mohly vést k lepší ochraně před útoky a snížení šance na vznik kybernetických bezpečnostních incidentů.
Na základě připomínek odborné veřejnosti byla diskutována možnost omezení povinnosti hlášení incidentů pouze na ty s významným dopadem obdobně, jako u poskytovatelů regulovaných služeb v režimu nižších povinností. Z dosavadních zkušeností s nahlašováním incidentů vyplývá, že subjekty často nepovažují za nutné hlásit z jejich pohledu nepodstatné incidenty, ačkoli jsou součástí rozsáhlejší kampaně. Z povahy věci subjekty zpravidla nedisponují analytickými kapacitami, které by jim umožnily i méně závažné incidenty v tomto smyslu analyzovat, na rozdíl od Úřadu, jenž je k tomu vybaven a disponuje pravomocemi určenými k prevenci incidentů, případně k mitigaci jejich důsledků. Pokud budou informace o méně významných incidentech sdíleny včas s příslušnými místy, mohou být zavedena preventivní opatření k zabránění šíření útočné kampaně jako např. varování subjektů, které by se mohly stát terčem útoku. Stejně tak hlášení provozních incidentů, u kterých není možné vyloučit úmyslné zavinění, může ve výsledku za využití analytických schopností a zkušeností odborníků Vládního CERT vést např. k odhalení závažného nebo rozšířeného malware. S ohledem na tyto skutečnosti proto nebyla varianta povinného nahlašování pouze incidentů s významným dopadem zvolena.
Poskytovatelé regulovaných služeb v režimu nižších povinností hlásí provozovateli Národního CERT pouze incidenty s významným dopadem, u nichž nelze vyloučit úmyslné zavinění, které nebyly způsobeny vlastní provozní činností. Tito poskytovatelé si, na rozdíl od režimu vyšších povinností, sami určí závažnost dopadu na chod organizace a hlásí pouze ty incidenty, které mají na její chod významný dopad. Toto rozložení míry incidentů, které zákon o kybernetické bezpečnosti požaduje po subjektech hlásit, je odrazem proporčního posouzení významnosti všech incidentů povinných osob v režimu nižších povinností a administrativní náročnosti pro jejich zpracování, a to jak na straně samotných povinných osob, tak na straně Úřadu. To, společně s aspektem markantního nárůstu počtu povinných osob, a to zejména právě v okruhu poskytovatelů regulovaných služeb v režimu nižších povinností, a s tím, že primárně jsou v režimu nižších povinností zahrnuty ty osoby, které doposud nebyly povinnými osobami podle zákona o kybernetické bezpečnosti, vedlo k výše uvedenému rozložení povinnosti mezi tyto dva režimy povinností poskytovatelů regulovaných služeb.
Vzhledem k tomu, že je potřeba pro poskytovatele regulovaných služeb v režimu nižších povinností upravit způsob stanovení významného dopadu, je v tomto ustanovení rovněž obsaženo zákonné zmocnění Úřadu k vydání prováděcího právního předpisu, který bude kritéria pro stanovení významnosti obsahovat.
Lhůta pro plnění této povinnosti je stanovena tak, aby měli poskytovatelé regulovaných služeb dostatečnou časovou rezervu k organizačním opatřením umožňujícím správné stanovení rozsahu, ze kterého se incidenty mají hlásit. Z § 16 odst. 1 a 2 návrhu zákona přitom vyplývá, že poskytovatelům regulované služby v jednotlivých režimech vzniká povinnost v rámci stanoveného rozsahu hlásit kybernetické bezpečnostní incidenty již v okamžiku, kdy se stávají poskytovateli regulované služby. § 16 odst. 4 pouze určuje nejzazší okamžik, od něhož má poskytovatel regulované služby přistoupit k faktickému plnění této povinnosti. V případě, že ke kybernetickému bezpečnostnímu incidentu nedojde, poskytovatel regulované služby není povinen jej hlásit, platí tedy zásada, že kde není incident, nevzniká ani povinnost.
Dále je v ustanovení zakotvena možnost dobrovolného hlášení incidentů, událostí a hrozeb v oblasti kybernetické bezpečnosti i pro orgány a osoby, které nespadají do působnosti návrhu zákona. Tyto orgány a osoby jsou motivovány k tomu, aby společně využívaly svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni s cílem zlepšit své schopnosti předcházet incidentům, odhalovat je, reagovat na ně, zotavovat se z nich nebo zmírňovat jejich dopad. Sdílení informací o incidentech, událostech a hrozbách by mělo ve výsledku přispět k lepšímu povědomí o bezpečnostní situaci v kybernetickém prostoru, což následně posiluje schopnost orgánů a osob předcházet incidentům. Stejně tak hlášení zranitelností pro účely koordinovaného zveřejňování zranitelností výrazně zvyšuje schopnost orgánů a osob snižovat rizika vyplývající z těchto zranitelností, minimalizovat možné útoky a škody. Vládní CERT v roli koordinátora pro účely koordinovaného zveřejňování zranitelností v případě potřeby zajistí anonymitu orgánu nebo osoby oznamující zranitelnost.
Ustanovení o hlášení incidentů je komplementární úpravou k existujícím informačním a ohlašovacím povinnostem, splnění ohlašovací povinnosti podle tohoto ustanovení se orgány a osoby nezbavují informačních povinností založených jinými právními předpisy, např. zákonem č. 127/2005 Sb., o elektronických komunikacích, nebo nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů). § 16 odst. 6 návrhu zákona v tomto směru stejně jako § 8 odst. 1 věta první za středníkem zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, reaguje na čl. 33 posledně zmíněného nařízení.
K § 17
Směrnice NIS 2 ve svém čl. 23 klade požadavky na postup hlášení incidentů, který zahrnuje vícefázové hlášení vztahující se k jednotlivým etapám v rámci řešení incidentu.
V souvislosti s výše uvedeným tak toto ustanovení vytyčuje vícefázový přístup k hlášení kybernetických bezpečnostních incidentů tak, aby bylo dosaženo správné rovnováhy mezi rychlým oznamováním, které pomáhá snížit potenciální šíření významných incidentů a umožňuje poskytovatelům regulovaných služeb žádat Úřad a Národní CERT o podporu, a podrobným oznamováním, které umožňuje poučit se z jednotlivých incidentů a s postupem času zvyšuje kybernetickou odolnost jednotlivých subjektů a celých odvětví.
Poskytovatelé regulovaných služeb v obou režimech hlásí kybernetické bezpečnostní incidenty bez zbytečného odkladu, nejpozději do 24 hodin od detekce incidentu. Vzhledem ke skutečnosti, že poskytovatelé regulovaných služeb v režimu vyšších povinností hlásí všechny incidenty, posoudí významnost dopadu na kybernetický prostor státu Úřad na základě informací z obsahu hlášení a dalších relevantních informací a poskytovatele regulované služby v režimu vyšších povinností informuje o výsledku v takové lhůtě, aby bylo ze strany poskytovatele regulované služby v režimu vyšších povinností možné dodržet zákonné lhůty pro navazující oznámení. V případě incidentů s významným dopadem na kybernetický prostor státu poskytovatel regulované služby v režimu vyšších povinností následně doplňuje zbylé fáze hlášení ve stanovených časových rozmezích.
Významnost dopadu na kybernetický prostor státu hodnotí Úřad na základě informací obsažených v prvotním hlášení o dopadu na regulovanou službu a dalších relevantních informací. Úřad pak v rámci hodnocení zohledňuje např. úroveň útočníka, vektor útoku, aktuální hrozby a incidenty u subjektů ve stejném nebo příbuzném odvětví, známé zranitelnosti v používaných informačních systémech, a další relevantní informace geopolitického, strategického a právního charakteru.
Prvotní hlášení by mělo zahrnovat pouze základní informace a jeho účelem zejména je, aby se Úřad, příp. Národní CERT dozvěděly o incidentu a aby dotčený poskytovatel regulované služby mohl v případě potřeby požádat o pomoc. Prvotní hlášení obsahuje informace o tom, zda existuje podezření, že incident byl způsoben nezákonným zásahem, a zda je pravděpodobné, že bude mít přeshraniční dopad. Povinnost hlášení se vztahuje na incidenty, u kterých lze mj. vyloučit úmyslné zavinění. Ačkoliv NIS2 požaduje v rámci prvotního hlášení i informaci o tom, zda byl incident způsoben svévolně, je tato informace v hlášení nadbytečná s ohledem na skutečnost, že povinnost hlášení se vztahuje pouze na incidenty, u kterých nelze svévoli vyloučit (jinak řečeno nelze vyloučit úmyslné zavinění). Povinnost podat prvotní hlášení nebo následné oznámení incidentu by měla být splněna v takové míře, aby neodváděla zdroje oznamujícího poskytovatele regulované služby od činností souvisejících s řešením incidentu, které by měly být upřednostněny.
Samotnou realizací vícefázového přístupu k hlášení kybernetických bezpečnostních incidentů představuje odstavec 3. Po prvotním hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytovanou službu nebo kybernetický prostor státu předloží poskytovatel regulované služby oznámení, jehož cílem je doplnit informace nad rámech těch, které byly předány v prvotním hlášení. Oznámení současně obsahuje posouzení hlášeného kybernetického bezpečnostního incidentu, včetně jeho dopadu, jakož i indikátory kompromitace, jsou-li k dispozici. Jako indikátory kompromitace jsou označovány artefakty, které jsou užitečné při identifikaci incidentu nebo události v síti nebo systému (např. IP adresy, domény, URL, hashe souborů, atp.). Oznámení musí být Úřadu nebo Národnímu CERT doloženo bez zbytečného odkladu, v každém případě do 72 hodin (poskytovatel služby vytvářející důvěru do 24 hodin) od okamžiku, kdy se o incidentu poskytovatel regulované služby dozvěděl. Nejpozději do 30 dnů po oznámení incidentu by měla být předložena závěrečná zpráva o vyřešení kybernetického bezpečnostního incidentu. V případě, že incident stále trvá i po uplynutí lhůty, kdy by měla být předložena závěrečná zpráva, předloží poskytovatel regulované služby Úřadu nebo Národnímu CERT bez zbytečného odkladu průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu, a poté nejpozději do 30 dnů po vyřešení významného incidentu závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.
Incidenty jsou hlášeny prostřednictvím Portálu Úřadu. Jedná se o splnění požadavku směrnice NIS 2 na snížení administrativní zátěže subjektů. Celý proces tak bude v co nejvyšší míře automatizován a zjednodušen oproti stávající právní úpravě hlášení prostřednictvím formuláře na internetových stránkách Úřadu. Zároveň zůstává zachována i možnost alternativního způsobu hlášení incidentů prostřednictvím elektronické pošty nebo datové schránky Úřadu, příp. Národního CERT, v případě nedostupnosti Portálu Úřadu. Ustanovení vylučuje hlášení incidentů v listinné podobě, což má několik důvodů. S takovým způsobem hlášení incidentů jsou imanentně spojeny průtahy a prodleva v reakci Úřadu v následné komunikaci se zasaženým subjektem, což může v mnoha případech vést i k zásadnějším dopadům řešeného incidentu. S listinnou podobou hlášení je spojena administrativní zátěž na obou stranách, tedy jak u povinných osob, tak u Úřadu, manuální přepisování do systému pro řešení incidentů za účelem další práce s informacemi by jen prodlužovalo dobu, ve které se osobám zasaženým incidentem dostane ze strany Úřadu pomoci, poskytovatelé regulovaných služeb nadto nebudou muset při hlášení vyplňovat informace, které už jsou v systému uloženy. Změna ve způsobu hlášení incidentů také nijak významně nezasahuje do práv regulovaných organizací s ohledem na dostupné alternativy v případě nedostupnosti Portálu Úřadu. Dobrovolné hlášení incidentů podle § 16 odstavec 5 může být ze strany jiných orgánů a osob realizováno prostřednictvím internetových stránek Úřadu.
K § 18
Úřad, resp. Vládní CERT a Národní CERT, poskytují bez zbytečného odkladu, nejpozději do 24 hodin od obdržení prvotního hlášení poskytovatelům regulovaných služeb své vyjádření k nahlášenému kybernetickému bezpečnostnímu incidentu. Uvedená lhůta umožňuje Vládnímu CERT oznámit poskytovateli regulované služby skutečnost, zda má nahlášený incident významný dopad na kybernetický prostor státu tak, aby tomuto poskytovateli bylo umožněno doplnit informace o incidentu s významným dopadem v zákonné lhůtě 72 hodin (poskytovatel služby vytvářející důvěru do 24 hodin). Vyjádření CERT týmu bude obsahovat prvotní posouzení incidentu a doporučení následného postupu. Ne v každém případě je pro zvládání incidentu potřeba podpora CERT, proto bude poskytována pouze na vyžádání ze strany zasažených subjektů. Součinnost bude poskytována také ke kybernetickým bezpečnostním incidentům, které byly oznámeny jiným dozorovým orgánem v souvislosti s plněním povinností podle zvláštního odvětvového předpisu Evropské unie.
Při zvládání kybernetických bezpečnostních incidentů je ze strany Úřadu vyžadována součinnost všech orgánů a osob za účelem odstranění možných překážek zabraňujících zvládání těchto incidentů. Může se jednat například o zpřístupnění prostor, ve kterých se nachází napadená infrastruktura, nebo poskytnutí dat nezbytných pro analýzu incidentu, a to i ze strany orgánů a osob, které nejsou poskytovateli regulovaných služeb, tedy například dodavatelů. Součinnost bude vyžadována pouze v nezbytných a důvodných případech tak, aby byl zásah do práv těchto osob proporční k míře nebezpečnosti a rizikovosti daného incidentu a důležitosti poskytované regulované služby, která je tímto incidentem ohrožena. Tímto ustanovením nemá také dojít k prolamování povinnosti mlčenlivosti nebo jiných omezení předpokládaných právními předpisy (zejm. povinnosti mlčenlivosti advokátů apod.; zpravodajské služby jsou z této povinnosti vyjmuty zcela podle § 70 návrhu zákona). S plněním povinnosti součinnosti podle tohoto ustanovení návrhu zákona se nepředpokládá zvýšená finanční zátěž povinných orgánů a osob. Údaje o kybernetických bezpečnostních incidentech, událostech, hrozbách a zranitelnostech mají velkou vypovídací hodnotu o činnosti pracovišť Národního a Vládního CERT a o kybernetické bezpečnostní situaci České republiky. Analýza těchto údajů je vhodná nejenom k dalšímu zlepšování služeb pracovišť CERT, ale i jako podklad pro další kroky Úřadu, a proto jsou shromažďovány v určené evidenci vedené Úřadem.
K § 19
Subjekty vyjmenované v odstavci 1 ustanovení (vybrané subjekty poskytující služby v odvětví digitální infrastruktury a služeb) mají v rámci směrnice NIS 2 specifické postavení, jelikož se na ně vztahuje režim tzv. výlučné jurisdikce členského státu, ve kterém mají svou hlavní provozovnu (tzv. One Stop Shop mechanismus). Tento přístup vyplývá z typicky přeshraniční povahy těchto služeb a činností. Podle článku 21 odstavec 5 směrnice NIS 2 Komise přijme prováděcí akty, kterými stanoví technické a metodické požadavky na bezpečnostní opatření dle čl. 21 odst. 2 NIS 2 pro subjekty vyjmenované v odstavci 1. Tento přístup má zajistit vyšší míru harmonizace povinností poskytovatelů regulovaných služeb v odvětví digitální infrastruktury a služeb, a to tak, aby současně mohl řádně fungovat mechanismus poskytování součinnosti dozorových orgánů členských států, zejména při výkonu dohledových pravomocí. Rozdílné regulatorní požadavky vůči této skupině subjektů v jurisdikci České republiky a ostatních členských států by komplikovaly možnost poskytování součinnosti a šly proti smyslu výlučné jurisdikce, pročež odstavec 1 odkazuje přímo na prováděcí předpis Komise stanovující technické a metodické požadavky na opatření. Vyjmenovaní poskytovatelé jsou tak vázáni požadavky citovaného prováděcího předpisu Komise, nikoliv ustanovením§ 14 odst. 2 návrhu zákona a v návaznosti na to vyhláškami o bezpečnostních opatřeních poskytovatelů regulovaných služeb v režimu nižších a vyšších povinností.
Odstavec 2 pak stanovuje obdobný přístup ve vztahu k hlášení incidentů ze strany subjektů vyjmenovaných v odstavci 1. Prováděcí předpis Komise je v tomto případě vydán dle čl. 23 odst. 11 směrnice NIS 2 a mj. má stanovit případy, kdy se u subjektů podle odstavce 1 incident považuje za významný. I v tomto případě jde o vyšší míru harmonizace a sjednocení přístupu k hlášení incidentů ze strany poskytovatelů regulovaných služeb v odvětví digitální infrastruktury a služeb, kteří při vymezení incidentu a jeho významnosti vycházejí přímo z prováděcího předpisu Komise, nikoliv z § 16 odstavců 1 a 2 návrhu zákona. Z hlediska procesu a způsobu hlášení se však ustanovení § 16 a § 17 uplatní nadále, jednotlivé fáze hlášení a jejich náležitosti tak zůstávají zachovány, nestanoví-li prováděcí předpis Komise jiný specifický postup (např. jednotný formulář pro hlášení incidentů).
Odstavec 3 rozlišuje mezi poskytovateli podle odstavce 1, kteří mají umístěnou svou hlavní provozovnu nebo mají svého zástupce v jiném členském státě, a poskytovateli, kteří mají umístěnou svou hlavní provozovnu nebo mají svého zástupce v České republice. Poskytovatelé mající umístěnou svou hlavní provozovnu nebo mající svého zástupce v České republice jsou standardní povinnou osobou podle návrhu zákona a mají povinnost plnit všechny povinnosti v něm obsažené, pouze s modifikací pravidel, kterými se budou řídit v případě zavádění bezpečnostních opatření a hlášení kybernetických bezpečnostních incidentů. Lze vůči nim také uplatnit veškeré pravomoci Úřadu, resp. požadovat plnění veškerých dalších povinností uložených na základě zákona. Naopak ti poskytovatelé, kteří mají umístěnou svou hlavní provozovnu nebo zástupce v jiném členském státu Evropské unie, jsou podle návrhu zákona vázáni pouze povinnosti zavádět vhodná a přiměřená bezpečnostní opatření v souladu s prováděcím předpisem Komise. Tato povinnost je do návrhu zákona včleněna za účelem toho, aby mohla Česká republika vyhovět případné žádosti dozorového orgánu členského státu, do jehož výlučné jurisdikce daný poskytovatel spadá, a provést kontrolu na základě žádosti jiného členského státu u tohoto subjektu např. kontrolu podle kontrolního řádu. Nejde o derogaci mechanismu výlučné jurisdikce, ale o její modifikaci za účelem toho, aby mohl Úřad vyhovět všem požadavkům směrnice NIS 2, tedy i požadavku na účinné zajištění vzájemné spolupráce. Dotčeným subjektům nepoplyne z českého právního řádu více povinností, než se kterými počítá směrnice NIS 2, naopak lze důvodně očekávat, že většina členských států přistoupí k obdobné regulaci odvětví a zavážou dotčené poskytovatele digitálních služeb povinnostmi vyplývajícími z prováděcího předpisu Komise. Bude tak zajištěno, že povinnosti těchto subjektů budou napříč Evropskou unií obdobné, a zároveň bude zajištěna účinná spolupráce na dozoru nad dodržováním povinností těmito subjekty.
Zároveň však odstavec 3 stanoví možnost Úřadu zavázat dotčené subjekty svým rozhodnutím nebo opatřením obecné povahy. V tomto případě jde o úpravu nad rámec požadavků směrnice NIS 2 odůvodněnou potřebami národního zájmu a národní bezpečnosti. Ve specifických případech, typicky při hrozících incidentech s potenciálně závažnými dopady do fungování základních ekonomických nebo společenských zájmů státu, může vyvstat potřeba uložit provedení reaktivního protiopatření i těmto subjektům (tyto subjekty budou v mnoha případech významnými poskytovateli služeb jiným poskytovatelům regulovaných služeb a na řádném fungování jejich služeb budou tito jiní poskytovatelé regulovaných služeb závislí). Stejně tak bude v některých případech nezbytné tyto subjekty zavázat opatřeními pro řešení ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru za stavu kybernetického nebezpečí. V takových případech je nezbytné, aby měl Úřad pravomoc těmto subjektům uložit nezbytné povinnosti (a zrcadlově aby tyto subjekty měly povinnost se akty Úřadu řídit). Případné rozhodnutí nebo opatření obecné povahy vydané podle tohoto zákona však musí explicitně stanovovat, že se vztahuje i na subjekty podle odstavce 1, které mají umístěnu svou hlavní provozovnu nebo mají svého zástupce v jiném členském státě.
Odstavec 4 specifikuje, že poskytovatel regulovaných služeb v režimu vyšších povinností je z pohledu směrnice NIS 2 (resp. prováděcího předpisu Komise) základním subjektem a poskytovatel regulovaných služeb v režimu nižších povinností je důležitým subjektem, čemuž odpovídají jejich povinnosti specifikované příslušným prováděcím předpisem Komise.
Odstavec 5 pak reaguje na situace, kdy jeden poskytovatel poskytuje zároveň některé ze služeb vyjmenovaných v odstavci 1 řešeného ustanovení a zároveň jiné regulované služby podle návrhu zákona, a akcentuje, že specifický režim uvedený v odstavcích 1 a 2 se uplatní pouze ve vztahu k poskytování služeb explicitně uvedených v odstavci 1 komentovaného ustanovení. Ve vztahu ke zbylým regulovaným službám se uplatní standardní režim zákona a plný režim povinností. Například pokud by subjekt zároveň poskytoval službu cloud computingu a zároveň vyráběl elektřinu, specifický režim povinností popsaný výše se vztáhne toliko k regulované službě „Poskytování služby cloud computingu“, naopak ve vztahu ke službě „Výroba elektřiny“ se bude poskytovatel nadále řídit všemi ustanoveními tohoto návrhu zákona a prováděcími vyhláškami. Stejně tak pokud bude subjekt, který bude usazen mimo území České republiky, na území České republiky zároveň poskytovatelem služby cloud computingu a veřejných služeb elektronických komunikací, uplatní se na něj vůči službě cloud computingu pouze povinnost zavádět bezpečnostní opatření v souladu s prováděcím předpisem Komise, ve vztahu k telekomunikační službě však bude „plnou“ povinnou osobou podle návrhu zákona a bude se řídit všemi jeho pravidly. V praxi tedy mohou poskytovatelé služeb uvedených v odstavci 1 komentovaného ustanovení spadat do jurisdikcí více členských států současně.
K § 20
Poskytovatel regulované služby sám posoudí potřebu oznámit kybernetický bezpečnostní incident s významným dopadem uživatelům napadené regulované služby. V případě potřeby se zavádí nově oprávnění Úřadu po konzultaci s dotčeným poskytovatelem regulované služby uložit tomuto poskytovateli regulované služby rozhodnutím povinnost, aby uživatele regulované služby informoval. Úřad při rozhodování o zveřejnění informací o kybernetickém bezpečnostním incidentu vezme v rámci správního uvážení do úvahy potřebu zachování rovnováhy mezi zájmem uživatelů regulované služby na informacích o hrozbách a incidentech, a možným poškozením pověsti či obchodních zájmů poskytovatele regulované služby, který incident ohlašuje.
Ohlašování hrozeb má zásadní význam pro předcházení tomu, aby tyto hrozby přerostly do kybernetických bezpečnostních incidentů. Proaktivní přístup k hrozbám je zásadní složkou opatření k řízení kybernetických bezpečnostních rizik. V příslušných případech má poskytovatel regulované služby uživateli svých služeb bez zbytečného odkladu sdělit veškerá opatření nebo nápravná opatření, která může přijmout ke zmírnění výsledných rizik vyplývajících z významné kybernetické hrozby. Poskytovatel regulované služby má podle potřeby, obzvláště pokud je pravděpodobné, že se významná kybernetická hrozba naplní, rovněž informovat uživatele jimi poskytovaných regulovaných služeb o samotné hrozbě. Povinnost informovat uživatele o významných kybernetických hrozbách nezbavuje poskytovatele regulované služby povinnosti přijmout na vlastní náklady přiměřená a okamžitá opatření s cílem zamezit těmto hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o významných kybernetických hrozbách mají být uživatelům služby poskytovány zdarma, a to stručným, transparentním, srozumitelným a snadno přístupným způsobem.
Co se týče posouzení situace, kdy je informování o kybernetickém bezpečnostním incidentu s významným dopadem nebo o významné kybernetické hrozbě vhodné, vždy bude záležet na konkrétních skutkových okolnostech případu a uvážení dotčeného poskytovatele regulované služby (příp. Úřadu), neboť pro každou situaci může „vhodnost“ vypadat zcela jinak. Poskytovateli regulované služby je zde dán prostor určit, kdy a komu má být informace distribuována, případně toto určení v případě kybernetického bezpečnostního incidentu provede Úřad v rámci svého rozhodnutí. V některých případech přitom bude vhodné informovat pouze zákazníka (který si další distribuci informace mezi koncové uživatele podle potřeby zajistí sám), v některých případech bude vhodnější se s informací obrátit rovnou na koncové uživatele služby. Informování se tedy bude dít pouze tam, kde je to vhodné a kde bude mít nějaký užitek.
K § 21
Ustanovení upravuje definici protiopatření jako součást systému k zajištění kybernetické bezpečnosti. Definice protiopatření je provedena za užití obsahového kritéria, tj. účelu nutnosti ochrany kybernetického prostoru před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení kybernetického bezpečnostního incidentu, který již nastal.
Cílem takto stanovené struktury protiopatření je pokrýt formou varování potřebu oficiálního preventivního působení Úřadu vzhledem k aktuálním hrozbám a zranitelnostem ještě před tím, než se tyto hrozby či zranitelnosti projeví v kybernetickém prostoru. Smyslem reaktivních protiopatření pak je působit k dosažení smyslu a účelu návrhu zákona v situaci trvajícího či bezprostředně hrozícího kybernetického bezpečnostního incidentu, či zpětně reagovat na proběhlý kybernetický bezpečnostní incident a využít zkušenosti z jeho řešení k prevenci dalších kybernetických bezpečnostních incidentů obdobného charakteru. Dále pak strukturu doplňuje výstraha, která umožňuje Úřadu veřejně informovat o porušování návrhu zákona či o probíhajícím kybernetickém bezpečnostním incidentu v případech, kdy je to nutné z důvodu ochrany vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu.
Zákon ukládá poskytovatelům regulované služby obecnou povinnost provádět protiopatření. Samo protiopatření pak může stanovit speciální okruh jeho adresátů, tzn. osobní působnost jednotlivých protiopatření se může (a mnohdy bude) lišit. Lišit se bude také síla jednotlivých opatření obsažených v protiopatření, a to v závislosti na typu protiopatření. Zatímco výstraha a varování jsou instituty spíše informativní, reaktivní protiopatření již ukládá konkrétní technická nebo organizační opatření, která je potřeba zavést nebo provést, míra detailu a síly v něm obsažených opaření tedy bude oproti zbytku protiopatření standardně vyšší. Vzhledem ke své povaze je pak reaktivní protiopatření prostředkem ultima ratio. Rozdělení poskytovatelů regulované služby vzhledem k povinnostem provádět protiopatření odpovídá principu minimalizace zásahu do autonomie vůle poskytovatelů regulované služby a zakládá možnost Úřadu autoritativně regulovat chování poskytovatelů regulované služby jen v nezbytně nutné míře.
Zákon dále ukládá poskytovatelům regulovaných služeb, kterých se protiopatření týká, aby informovali Úřad o jeho provedení ve lhůtě v něm uvedené, pokud v daném protiopatření nebude uvedeno jinak. To odráží fakt, že informace o stavu kybernetického prostředí státu a jejich zpracování jsou podstatnou součástí budování odolné společnosti a zajišťování bezpečnosti státu. Úřad na základě správního uvážení současně vyhodnotí, zda informace o splnění daného opatření a jejich následné zpracování bude představovat dostatečný benefit pro plnění účelu návrhu zákona v porovnání s administrativní zátěží, kterou to na jednotlivé poskytovatele regulovaných služeb klade, a případně zváží, že této povinnosti poskytovatele regulované služby v daném protiopatření zprostí. Pro zjednodušení této povinnosti a nezatěžování poskytovatelů regulované služby přílišnými administrativními povinnostmi pak Úřad stanoví prováděcím právním předpisem náležitosti a způsob tohoto oznámení, které bude Úřadu podáváno prostřednictvím Portálu Úřadu.
Co se týče poskytované součinnosti, tu je možné Úřadu odepřít, bránila-li by tomu zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti. Pojem „zákonná nebo státem uznaná povinnost mlčenlivosti“ v § 21 odstavec 3 návrhu zákona významově odpovídá pojmu „státem uložené nebo uznané povinnost mlčenlivosti“ podle § 38 odstavec 3 správního řádu či § 124 trestního zákoníku. Právě posledně zmíněné ustanovení uvádí, že „za státem uloženou nebo uznanou povinnost mlčenlivosti se považuje mlčenlivost, která je uložena nebo uznána jiným právním předpisem,“ přičemž „za státem uznanou povinnost mlčenlivosti se podle trestního zákona nepovažuje taková povinnost, jejíž rozsah není vymezen jiným právním předpisem, ale vyplývá z právního úkonu učiněného na základě jiného právního předpisu“. Z tohoto definičního pojetí trestního zákoníku lze vyjít také při výkladu § 21 odstavec 3 návrhu zákona a takto nahlíženo za zákonnou nebo státem uznanou povinnost mlčenlivosti nelze považovat smluvně sjednanou povinnost mlčenlivosti. Podobně lze mezi skutečnostmi, na něž se podle § 38 odstavec 3 správního řádu vztahuje zákonem uložená nebo uznaná povinnost mlčenlivosti, jmenovat bankovní tajemství či tajemství chráněné jiným zákonem, nejsou jimi však tajemství obchodní podle § 504 občanského zákoníku, jejichž uchování je otázkou jeho faktické ochrany s případnými dopady do oblasti soukromoprávní (viz Potěšil, L., Hejč, D., Rigel, F., Marek, D.: Správní řád. Komentář. 2. vydání. Praha: C. H. Beck, 2020, s. 243‒4).
K § 22
Výstraha jako institut vychází z požadavků směrnice NIS 2 na členské státy. Jde o nástroj informování veřejnosti použitelný pouze v případě, že zveřejnění takové informace je nezbytné pro zajištění ochrany veřejného či vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu. Benefit zveřejnění informace by měl převýšit možné negativní dopady jejího zveřejnění. Úřad vždy zveřejnění informace konzultuje s orgánem nebo osobou, jejíž informace mají být zveřejněny, aby zjistil skutečnosti relevantní pro posouzení naplnění podmínek pro zveřejnění výstrahy. Úřad následně v rámci správního uvážení vezme do úvahy potřebu zachování rovnováhy mezi zájmem veřejnosti být informovanou o hrozbách a mezi možným poškozením pověsti či obchodních zájmů poskytovatele regulované služby. V rámci správního uvážení Úřad zároveň vyhodnotí možné další přímé dopady na veřejnost s přihlédnutím k ochraně bezpečnosti informací, která je návrhem zákona chráněným zájmem. V případě zveřejnění informace o porušení povinností stanovených návrhem zákona je pak nutným předpokladem pro tento krok Úřadu pravomocné rozhodnutí o spáchání přestupku tam, kde je porušení povinností přestupkem proti návrhu zákona. Jedná se pak o zveřejnění dvou typů informací, a to buďto informace o tom, že některý poskytovatel regulované služby nedodržuje povinnosti, které mu ukládá návrh zákona, nebo že došlo ke kybernetickému bezpečnostnímu incidentu. Úřad může buďto rozhodnutím nařídit poskytovateli regulované služby, aby tuto informaci zveřejnil on, nebo tak může Úřad učinit sám formou úkonu podle části čtvrté správního řádu.
Požadavek na institut umožňující Úřadu zveřejnit či nařídit zveřejnění informace o incidentu vychází z požadavku čl. 23 odst. 7 směrnice NIS 2, požadavek na institut umožňující Úřadu zveřejnit či nařídit zveřejnění porušování povinností stanovených návrhem zákona je pak odrazem čl. 32 odst. 4 písm. a) směrnice NIS 2.
K § 23
Účelem varování podle tohoto ustanovení je oficiální publikace informací o bezpečnostní hrozbě či zranitelnosti, tj. preventivní informování poskytovatelů regulované služby (a potažmo i veřejnosti) o míře závažnosti některé hrozby či zranitelnosti, která je následně povinným vstupem do analýzy rizik daného poskytovatele regulovaných služeb. Vzhledem k technickému charakteru některých hrozeb lze očekávat, že v některých případech bude možno takovou hrozbu či zranitelnost ze strany Úřadu po obdržení informací o její existenci pro účely okamžitého vydání varování pouze popsat či ohodnotit. Bude-li mít Úřad k dispozici též informace o technickém řešení, může tyto informace připojit k varování a zvýšit tak návodnost pro poskytovatele regulovaných služeb.
Vydání varování je vázáno na závažnou hrozbu či zranitelnost v oblasti kybernetické bezpečnosti. Pojem závažná hrozba je přitom pojmem odlišným od významné hrozby definované v § 2 a je záměrně konstruován jako neurčitý. Definice významné hrozby uvedená v § 2 se vztahuje především k situaci konkrétního poskytovatele regulované služby, zohledňuje potenciální dopady hrozby na jeho aktiva a primárně se zaměřuje na újmu způsobenou tomuto subjektu. Naopak hrozba, na kterou má upozorňovat varování NÚKIB, má mít dostatečně závažný dopad na společnost a fungování státu jako celek. Varování standardně nebude řešit kybernetické bezpečnostní hrozby specifické pro jeden konkrétní subjekt, které nemají potenciál mít významnější dopad na fungování společnosti jako celku, naopak bude využíváno především v situacích, kdy bude hrozba společná pro širší okruh osob a její realizace by měla závažné dopady přesahující zájmy jedné regulované osoby. Půjde tedy o jiné spektrum situací než v případě významné hrozby podle § 2 a tyto pojmy je potřeba nezaměňovat.
Varování bude zveřejněno na úřední desce Úřadu, aby byla zajištěna informovanost dotčených orgánů a osob, včetně široké veřejnosti. Dotčeným poskytovatelům regulované služby bude varování rovněž oznamováno prostřednictvím kontaktních údajů, které mají povinnost hlásit do evidence kontaktních údajů. V případě, že by však zveřejnění tohoto varování mohlo vést k negativním dopadům na právem chráněné zájmy (konkrétně by tedy mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření vydaného podle návrhu zákona, jiné oprávněné zájmy státu nebo by na jeho základě bylo možné identifikovat orgán nebo osobu, která hrozbu, zranitelnost nebo kybernetický bezpečnostní incident ohlásila), může Úřad od zveřejnění varování upustit a sdílet jej pouze s jím dotčenými poskytovateli regulovaných služeb. K tomu Úřad přistoupí po správním uvážení, zda je zde převažujícím zájmem právo veřejnosti na informace o zranitelnostech a hrozbách či převáží jiný chráněný zájem, který by byl zveřejněním varování narušen. Varování vzhledem ke své povaze představuje úkon Úřadu podle části čtvrté správního řádu. Varování je ve svém důsledku závazné pro poskytovatele regulovaných služeb v režimu vyšších povinností, jelikož ti v rámci svého systému řízení bezpečnosti informací a řízení rizik jsou schopni zohlednit hodnotu dané hrozby či zranitelnosti. Poskytovatelé regulovaných služeb v režimu nižších povinností by měli k informaci obsažené ve varování přistupovat jako k informaci, která může jejich bezpečnost rovněž ovlivnit, nicméně právně závazné pro ně per se není vzhledem k postupům, kterými zajišťují svou kybernetickou bezpečnost.
Ustanovení odst. 2, které upravuje možnost Úřadu stanovit rozdílně rozsah subjektů, které mají varování zohlednit se vztahuje toliko k variantě tento rozsah zúžit, neboť Úřad nemůže varování vlastním rozhodnutím rozšířit na subjekty mimo zákon o kybernetické bezpečnosti a stejně tak není možné varování rozšířit závazně směrem k poskytovatelům regulovaných služeb v režimu nižších povinností, jelikož tito neprovádějí povinně analýzu rizik a nemohou v ní tak ani varování zohlednit.
K § 24
Účelem reaktivního protiopatření je okamžitá reakce na výskyt kybernetického bezpečnostního incidentu. Obsahem tohoto druhu protiopatření jsou povinnosti provést konkrétní úkony nutné k odvrácení kybernetického bezpečnostního incidentu nebo ke zmírnění jeho následků. Může nabývat jak podoby preventivní, kdy kybernetický bezpečnostní incident hrozí, nebo čistě reaktivní, kdy incident právě probíhá, či následně preventivní, kdy incident proběhl, byl vyřešen a je vhodné provést úkony, které budou výskytu tohoto incidentu u vymezeného dotčeného okruhu poskytovatelů regulovaných služeb dostatečně předcházet.
Reaktivní protiopatření je obecně povinné pro poskytovatele služeb jak v režimu vyšších povinností, tak i v režimu nižších povinností. Konkrétní reaktivní protiopatření však může stanovit odlišný okruh adresátů (podle povahy kybernetického nebezpečí, na které reaguje).
Reaktivní protiopatření je zároveň v této podobě i nástrojem odrážejícím požadavek, který směrnice NIS 2 na členské státy klade ve svém článku 21 odst. 3. Ten stanovuje členským státům povinnost disponovat nástrojem prostřednictvím kterého zajistí, aby povinné osoby, tedy poskytovatelé regulovaných služeb musely zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců podle čl. 22 směrnice NIS 2.
Rovněž je rozsah reaktivního protiopatření dostatečně široký a procesně ukotvený na to, aby jím bylo možné provést krok doposud upravený ustanovením § 24 odst. 2 zákona o kybernetické bezpečnosti, a tedy nařídit prostřednictvím reaktivního protiopatření zákaz použití některých aktiv daného poskytovatele do doby odstranění nedostatků, které byly při kontrole nalezeny.
Zákon rozlišuje dvě formy reaktivních protiopatření, a to rozhodnutí a opatření obecné povahy. Smyslem tohoto dělení je pokrýt oba typické případy vyskytující se při ochraně před kybernetickými bezpečnostními incidenty. První možností je výskyt kybernetického bezpečnostního incidentu v rámci určité organizace. Reaktivní protiopatření lze v takovém případě vydat formou rozhodnutí konkrétně specifikujícím povinnosti pro určeného adresáta – poskytovatele regulované služby. Druhou možností je výskyt incidentu, jehož rozsah je větší nebo jehož rozsah nelze kvůli složitosti incidentu nebo jeho rychlému vývoji přesně určit – takový incident pak je možno řešit vydáním reaktivního protiopatření formou opatření obecné povahy, v němž budou specifikovány konkrétní povinnosti k jeho odvrácení neurčitému okruhu poskytovatelů regulovaných služeb definovanému za užití generických znaků odpovídajících jeho charakteru.
Charakter kybernetických bezpečnostních incidentů vyžaduje k účinnosti reaktivního protiopatření reakci v co nejkratším čase. Jakákoli časová prodleva, byť v řádu hodin, může znamenat exponenciální rozvoj kybernetického bezpečnostního incidentu a násobení jeho škodlivého účinku. Z tohoto důvodu je návrhem zákona speciálně upravena vykonatelnost rozhodnutí jeho doručením poskytovatelům regulované služby, resp. vyvěšením na úřední desce Úřadu, a výslovně zakotvena možnost vydání rozhodnutí v řízení na místě podle správního řádu. Z téhož důvodu nelze přiznat odkladný účinek rozkladu podanému proti rozhodnutí. Při doručování orgánům veřejné moci upozorňujeme na skutečnost, že je doručeno okamžikem přijetí zprávy do datové schránky daného orgánu veřejné moci (viz usnesení Nejvyššího správního soudu ze dne 15. 7. 2010 ve věci sp.zn. 9 Afs 28/2010 a nález ze dne 10. 1. 2012 sp. zn. II. ÚS 3518/11). Náhradní doručení vyvěšením na úřední desce Úřadu podle § 24 odst. 3 tak v případě orgánů veřejné moci nebude připadat v úvahu.
Z důvodu nezbytnosti reagovat na hrozící, probíhající nebo vyřešený kybernetický bezpečnostní incident v co nejkratším čase je upravena účinnost těchto opatření obecné povahy dnem zveřejnění na úřední desce Úřadu, přičemž vydání těchto opatření obecné povahy nebude předcházet řízení o návrhu opatření obecné povahy podle § 172 správního řádu, při němž by mohly být proti návrhu podávány oprávněnými osobami námitky nebo připomínky. Poskytovatelům regulované služby je oprávnění uplatnit připomínky podle § 172 odst. 4 správního řádu modifikováno, a to tak, že budou oprávněni podat připomínky směřující přímo proti vydanému opatření obecné povahy, a to ve lhůtě 30 dnů od jeho zveřejnění na úřední desce Úřadu. V případě vyhodnocení připomínek jako důvodných může Úřad příslušné opatření obecné povahy změnit nebo zrušit.
Současně z důvodu zajištění co možná nejrychlejšího a nejefektivnějšího informování poskytovatelů regulované služby o protiopatřeních vydaných formou opatření obecné povahy Úřadu vyrozumí poskytovatele regulované služby o vydání těchto protiopatření prostřednictvím kontaktních údajů, které mají povinnost hlásit do evidence kontaktních údajů.
K § 25
Navrhované ustanovení je přejato ze zákona o kybernetické bezpečnosti, byť v kontextu praktických zkušeností s jeho výkladem došlo k mírné formulační změně, a navazuje na povinnost poskytovatelů regulované služby zavádět a provádět bezpečnostní opatření. Povinnost zohledňovat požadavky vyplývající z bezpečnostních opatření při výběru svých dodavatelů a zanášet je do uzavíraných smluv je jedním z prostředků řízení bezpečnosti dodavatelského řetězce a také požadavkem směrnice NIS 2, která po členských státech požaduje, aby zajistily začleňování opatření k řízení kybernetických bezpečnostních rizik do smluvních ujednání povinných osob s jejich přímými dodavateli a poskytovateli služeb. Oddělením obou povinností, tj. jednak povinnosti zohledňovat bezpečnostní požadavky při výběru dodavatele, jednak povinnosti mít bezpečnostní požadavky kladené na dodavatele součástí smluv (tam, kde je to možné), dochází ke zpřesnění obou povinností a k vyjasnění, že tyto dvě skutečnosti na sebe nutně nemusí navazovat.
Povinnost stanovená v odstavci 1 je společná všem poskytovatelům regulované služby, lhostejno zda jde o veřejného zadavatele, nebo subjekt, který nespadá do působnosti zákona o zadávání veřejných zakázek. Stejně tak je tato povinnost společná pro poskytovatele regulovaných služeb v obou režimech povinností, byť konkrétní rozsah požadavků vyplývajících z bezpečnostních opatření bude samozřejmě záviset na rozsahu bezpečnostních opatření, která budou jednotliví poskytovatelé regulované služby zavádět a provádět. Povinnost formulovanou v tomto odstavci nelze považovat za novelu zákona o zadávání veřejných zakázek, neboť neupravuje procesní požadavky na výběr dodavatele (či snad dokonce speciální důvod pro vyloučení účastníka ze zadávacího řízení), ale požadavky na formulování podmínek, podle kterých bude dodavatel vybrán. Ve vztahu ke vztahům regulovaným zákonem o zadávání veřejných zakázek odstavec 1 představuje formalizaci (vztaženou konkrétně k odvětví kybernetické bezpečnosti) povinnosti zadavatele koncipovat zadávací podmínky v souladu s jeho potřebami a zákonnými povinnostmi, jak ji předpokládají § 28 odst. 1 písm. a) a § 36 zákona o zadávání veřejných zakázek. Objednatelé (v režimu zákona o zadávání veřejných zakázek i mimo něj) při koncipování požadavků na předmět plnění vycházejí jednak ze svých potřeb, jednak z požadavků, které na ně kladou právní předpisy či jiné závazné akty (např. požadavky nadřízených orgánů, uživatelů služeb apod.). Stejně jako požadavky vycházející z bezpečnostních opatření podle tohoto návrhu zákona, zadavatelé musí do svých dodavatelských vztahů promítat i požadavky na předmět plnění vyvěrající z jiných předpisů, např. technických norem, požadavků na bezpečnost práce, požadavky vyplývající ze zákoníku práce atd. Odst. 1 tedy nijak nevybočuje z obecných vzorců chování objednatelů při koncipování podmínek pro výběr dodavatele, pouze jej ve vztahu k odvětví kybernetické bezpečnosti explicitně kodifikuje (neboť ani občanský zákoník, ani zákon o zadávání veřejných zakázek takovou obecnou povinnost neupravují).
Bezpečnostními opatřeními, jak o nich hovoří odstavec 1 (ale i odstavec 2), návrh zákona, se rozumí technická a organizační opatření podle § 14 a § 15. Od těchto bezpečnostních opatření je třeba odlišovat protiopatření Úřadu podle § 21 návrhu zákona, j dále opatření obecné povahy podle § 31 návrhu zákona. Protiopatření Úřadu se provádí podle svého charakteru buďto napřímo (typicky reaktivní protiopatření), nebo se zohlední v procesu řízení rizik (typicky varování), tj. v rámci jednoho z bezpečnostních opatření podle § 15. Opatření obecné povahy podle § 31 bude opět podle jeho konkrétního obsahu potřeba buďto zohlednit ve výběru bezpečnostních opatření podle § 15, nebo provést napřímo. Podle toho pak bude potřeba buďto požadavky vyvěrající z opatření obecné povahy podle § 31 zohlednit při výběru dodavatele, potažmo ve smlouvách s dodavateli (za podmínek aplikace § 25 odst. 2), nebo provést napřímo (v tu chvíli jde o postup odlišný od postupu popsaného v § 25).
Také povinnost stanovená v odstavci 2 je společná všem poskytovatelům regulované služby bez rozdílu. Obdobně jako podle zákona o kybernetické bezpečnosti jsou tedy poskytovatelé regulované služby podle návrhu zákona povinni činit bezpečnostní požadavky součástí smluv, které s dodavateli uzavírají. Ačkoli i zákon o kybernetické bezpečnosti je vykládán tak, že povinná osoba se odpovědnosti za porušení povinnosti zanést bezpečnostní požadavky do smlouvy zprostí tam, kde takové zanesení není skutečně možné (typicky v případech adhezních smluv), pro posílení právní jistoty adresátů normy je v návrhu zákona tato výjimka explicitně uvedena. Povinnost zanášet bezpečnostní požadavky do smluv s dodavateli se vztahuje nejen na nově uzavírané smlouvy, ale i na ty již uzavřené. Pokud se tedy orgán nebo osoba stane poskytovatelem regulované služby v průběhu plnění smlouvy, je potřeba uzavřenou smlouvy revidovat, zda obsahuje skutečně všechny relevantní požadavky vyplývající z bezpečnostních opatření, která musí poskytovatel regulované služby nově plnit, resp. k jejichž plnění zavazuje dodavatele. Pokud smlouva všechny takové požadavky neobsahuje, je potřeba zahájit proces změny smlouvy. Pokud změna není možná (typicky např. ve chvíli, kdy by uzavřením dodatku došlo k porušení pravidel zákona o zadávání veřejných zakázek a jiný postup by nepřicházel v úvahu), je potřeba tuto smlouvu řídit a provést změnu ihned, jakmile možná bude (např. ve chvíli, kdy skončí platnost smlouvy a je dojednáváno její prodloužení). Ani v případě tohoto odstavce nejde o nepřímou novelizaci zákona o zadávání veřejných zakázek, nejedná se o speciální důvod pro ukončení závazku ze smlouvy, naopak je potřeba toto ustanovení vykládat v souladu se zakázkovými pravidly.
Odstavec 3 pak stejně jako v případě předchozí právní úpravy deklaruje slučitelnost požadavků vyplývajících z plnění povinností stanovených návrhem zákona s pravidly pro zadávání veřejných zakázek. Stejně jako v případě předchozí právní úpravy však platí, že za zákonné omezení hospodářské soutěže nebo odůvodněnou překážku hospodářské soutěži se automaticky považuje zohlednění pouze takových požadavků, které jsou nezbytné pro splnění povinností podle návrhu zákona (zejména tedy požadavky založené na výsledcích řízení rizik nebo stanovené protiopatřením Úřadu). Požadavky stanovené nad rámec této minimální úrovně je potřeba odůvodnit jiným způsobem.
K § 26
Řada poskytovatelů regulovaných služeb neprovozuje aktiva sloužící pro poskytování regulovaných služeb a v důsledku toho mnohdy nedisponují informacemi a daty, která s provozem těchto aktiv souvisejí. Při potřebě extrakce informací a dat ze systému (ať již v průběhu plnění smluvního vztahu, nebo při jeho ukončení a migraci informací a dat k jinému dodavateli) jsou tak závislí na součinnosti svého významného dodavatele. Jedním z bezpečnostních opatření, která se vztahují na poskytovatele regulované služby v režimu vyšších povinností, je řízení dodavatelů, jehož součástí je povinnost smluvně si ošetřit situace, kdy potřebuje mít tyto informace a data k dispozici, nicméně v krajních případech mohou nastat situace vyžadující autoritativní zásah ze strany Úřadu. Činnost Úřadu v tomto případě slouží k zabránění realizace a případnému pokračování kybernetického bezpečnostního incidentu v situaci, kdy soukromoprávní prostředky k vyřešení situace nepostačují a je dán veřejný zájem na ochraně regulované služby. Úřad svou činností nijak nenahrazuje či nesupluje úlohu obecných soudů při řešení soukromoprávních sporů týkajících se výkladu uzavřené smlouvy a jeho činnost končí tam, kde končí ohrožení regulované služby a regulovaných aktiv kybernetickým bezpečnostním incidentem. Vydání rozhodnutí Úřadu a splnění povinnosti v něm uložené smluvní strany nezbavuje odpovědnosti za řádné plnění závazku ze smlouvy. Zároveň rozhodnutí nenahrazuje řádný proces migrace a případného čištění předaných dat.
Navrhované ustanovení reaguje na stav, kdy poskytovatel regulované služby v režimu vyšších povinností nemá i přes případnou existenci smluvních ujednání stran předání dat přístup k informacím a datům, např. v důsledku neshod s významným dodavatelem, a zároveň hrozí kybernetický bezpečnostní incident, který může mít vliv na poskytování regulované služby. Pokud poskytovatel regulované služby v režimu vyšších povinností marně vyzval významného dodavatele k předání informací a dat souvisejících s provozem aktiv sloužících k poskytování regulované služby, Úřad může vydat rozhodnutí, kterým uloží významnému dodavateli povinnost tyto informace a data poskytovateli regulované služby předat. Návrh zákona tak míří na případy, kdy významný dodavatel plní nedostatečně, neplní vůbec nebo řádně své smluvní povinnosti stran předání dat směrem k poskytovateli regulované služby, nicméně Úřad se existencí a podobou příslušných smluvních ujednání nebude zabývat v zájmu odvrácení hrozícího či probíhajícího incidentu, jehož existence je nutnou podmínkou pro vydání rozhodnutí.
Současně však Úřad není vázán ustanoveními smlouvy mezi poskytovatelem regulované služby v režimu vyšších povinností a jeho významným dodavatelem a může stanovit vlastní rozsah povinně předaných dat. Vždy však musí jít o informace a data související s provozem aktiv sloužících k poskytování regulované služby.
Navrhované ustanovení upravuje i situace, kdy v důsledku outsourcingu a řetězení dodavatelů postrádá přístup k rozhodným informacím a datům i významný dodavatel. Z toho důvodu může Úřad v rozhodnutí zavázat i další orgány nebo osoby než jen přímého smluvního partnera poskytovatele regulované služby k vydání informací a dat souvisejících s provozem aktiv sloužících k poskytování regulované služby, kterými tento orgán nebo osoba disponuje. Smluvní ujednání mezi významným dodavatelem poskytovatele regulované služby a jeho poddodavateli nejsou pro vydání rozhodnutí Úřadu rozhodná. K rozhodnutí o uložení povinnosti jinému orgánu nebo osobě než významnému dodavateli, může Úřad přistoupit buďto v situaci, kdy významný dodavatel požadovanými informacemi a daty objektivně nedisponuje, nebo jimi sice disponuje, popřípadě by jimi disponovat měl, ale vzhledem ke skutkovým okolnostem není účelné po něm opatření a vydání informací a dat požadovat. To nastane typicky v situaci, kdy by trvání na splnění povinnosti významným dodavatelem vedlo k neúměrnému prodloužení doby předání informací a dat a tím k realizaci kybernetického bezpečnostního incidentu nebo k významnému zvýšení pravděpodobnosti jeho realizace. Uložením povinnosti předat informace a data jinému orgánu nebo osobě není dotčena odpovědnost významného dodavatele za nesplnění jemu uložené povinnosti předat informace a data, pokud mu ji Úřad uložil.
Řízení o vydání rozhodnutí je zahajováno z moci úřední na základě podaného podnětu poskytovatelem regulované služby v režimu vyšších povinností a na jeho zahájení není právní nárok. Úřad řízení zahájí pouze v případě, že jsou pro to splněny zákonné předpoklady. Zákon v tomto ohledu míří na poskytovatele regulovaných služeb v režimu vyšších povinností z důvodu vyšších požadavků kladených na tyto subjekty. S ohledem na skutečnost, že služby těchto subjektů jsou stěžejní pro zajištění bezpečnosti státu, bude dopad kybernetických bezpečnostních incidentů v jejich aktivech obecně významnější než u poskytovatelů regulovaných služeb v režimu nižších povinností.
Rozhodnutí o uložení povinnosti předat informace a data může být prvním úkonem v řízení zejména v případech, kdy je hrozba kybernetického bezpečnostního incidentu bezprostřední, nebo incident už probíhá a zároveň nejsou dány pochybnosti o skutkovém stavu. V ostatních případech Úřad zahájí standardní správní řízení umožňující účastníkům řízení vyjadřovat se k podkladům rozhodnutí či jinak ovlivňovat průběh správního řízení. Rozklad proti rozhodnutí ve věci nemá odkladný účinek z důvodu existence hrozícího kybernetické bezpečnostního incidentu, který by se v případě pozdržení předání informací a dat mohl realizovat. Rozhodnutí je tak předběžně vykonatelné marným uplynutím lhůty stanovené ke splnění povinnosti předat informace a data (pokud lhůta není stanovena, pak dnem jeho doručení). V opačném případě se adresát uložené povinnosti vystavuje jednak postihu za nesplnění povinnosti (spáchání přestupku), jednak exekuci rozhodnutí Úřadu (např. opakovaným ukládáním donucovacích pokut, jejichž výše je v § 64 odst. 2 návrhu zákona upravena odlišně oproti obecné úpravě obsažené ve správním řádu).
Vzhledem k primární povinnosti upravit si podmínky předání informací a dat smluvně by úhrada vynaložených nákladů měla být zahrnuta v těchto smluvních ujednáních, a to včetně např. případné finanční kompenzace práv duševního vlastnictví váznoucích na předávaných datech. Nároky poddodavatele by měly být uplatňovány směrem k významnému dodavateli, resp. jeho smluvnímu partnerovi. Pokud významný dodavatel nebo poddodavatel neplní smluvní ujednání a Úřad v důsledku toho přistoupí k vydání rozhodnutí o předání informací a dat, náleží významnému dodavateli nebo poddodavateli náhrada účelně vynaložených nákladů spojených s předáním informací a dat. Případné neshody v této problematice nesmí být důvodem nesplnění povinnosti uložené rozhodnutím, která je primárním zájmem státu na zajištění kybernetické bezpečnosti v klíčových oblastech. Nelze tedy odpírat poskytnutí informací a dat s odůvodněním, že ještě nedošlo k dohodě o kompenzaci nákladů na jejich předání. Odstavec 5 upravuje speciální pravidla pro exekuci rozhodnutí Úřadu vydaného podle ustanovení § 26 odst. 1 návrhu zákona a ukládajícího povinnost předat nebo jinak naložit s informacemi a daty. Ve vztahu k exekuci rozhodnutí Úřadu, kterým se významnému dodavateli nebo jinému orgánu nebo osobě ukládá povinnost předat poskytovateli regulované služby v režimu vyšších povinností informace a data související s provozem aktiv sloužících k poskytování regulované služby, vyvstávají výkladové spory o to, zda lze informace a data podřadit pod pojem movitá věc, a tedy zda lze při výkonu rozhodnutí postupovat podle ustanovení správního řádu o exekuci odebráním movité věci. Občanský zákoník sice definuje pojem „věc“ široce, když stanoví, že věcí v právním smyslu je vše, co je rozdílné od osoby a slouží potřebě lidí, odborná veřejnost se však přiklání k výkladu, že informace věcí v právním smyslu nejsou. Exekuce rozhodnutí Úřadu by tak v části týkající se informací musela probíhat v jiném režimu než exekuce dat. Z toho důvodu navrhované ustanovení stanoví, že exekuce celého rozhodnutí Úřadu, tedy i v části předání informací, se řídí ustanoveními správního řádu upravujícími exekuci odebráním movité věci.
K § 27
Uvedené ustanovení, v návaznosti na definici strategicky významné služby v ustanovení § 2 odst. 2 písm. i) návrhu zákona uvádí, že tato služba je stanovena buď kritérii pro identifikaci strategicky významné služby ve vymezených odvětvích, nebo kritérii pro určení strategicky významné služby. Podmínky stanovení kritérií pro identifikaci a určení strategicky významné služby (v tomto případě rozhodnutím Úřadu) jsou blíže specifikovány v § 28 návrhu zákona.
K § 28
Strategicky významné služby jsou speciální kategorie regulovaných služeb, jejichž poskytovatelé mají kromě povinností vyplývajících z jiných částí návrhu zákona (plnit bezpečnostní opatření, opatření Úřadu, hlásit incidenty, registrovat se apod.) také povinnosti související se zajištěním dostupnosti strategicky významných služeb z území České republiky a povinnosti související s mechanismem prověřování dodavatelského řetězce strategicky významných služeb. Jde o ty regulované služby, jejichž narušení bezpečnosti by mohlo vést k významnému omezení či ohrožení služeb pro občany státu a chod státu a současně s tím u nich hrozí vysoké riziko, že při narušení jejich poskytování bude negativně ovlivněn chod dalších regulovaných služeb.
Ustanovení o kritériích pro identifikaci a určení strategicky významné služby podrobněji upravuje v odstavci 1 písm. a) podmínky stanovení kritérií pro identifikaci strategicky významné služby v jednotlivých odvětvích, a v odstavci 1 písm. b) podmínky, za nichž Úřad rozhodnutím stanoví, že konkrétní regulovaná služba je službou strategicky významnou.
Pokud jde o jednotlivá odvětví, v nichž lze identifikovat strategicky významnou službu (veřejná správa, energetika, doprava a digitální infrastruktura a služby), byla v odstavci 1 písm. a) uvedeného ustanovení zvolena taková odvětví, v nichž jsou poskytovány služby klíčové pro plnění základních funkcí státu a poskytování jeho základních služeb občanům. Taxativní vyjmenování jednotlivých odvětví na úrovni návrhu zákona představuje základní rámec pro identifikaci strategicky významné služby. Jak je zřejmé z formulace odstavce 1 písm. a), konkrétní kritéria pro identifikaci strategicky významné služby jsou upravena prováděcím právním předpisem.
Za písm. a) je doplněno písm. b), podle něhož Úřad může svým rozhodnutím stanovit, že regulovaná služba je službou strategicky významnou, ovšem pouze tehdy, pokud by narušení bezpečnosti informací regulované služby mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek. Tímto způsobem jsou doplněna dopředu stanovená kritéria pro identifikaci strategicky významné služby a je upravena možnost Úřadu vyhodnotit okolnosti konkrétního případu a rozhodnout, že jsou splněny podmínky pro určení strategicky významné služby.
Při naplnění identifikačních kritérií strategicky významné služby podle odstavce 1 písm. a) návrhu, se uplatní proces registrace služby podle § 8 návrhu zákona. Poté co poskytovatel službu identifikuje jako strategicky významnou a registruje ji, bude tato služba Úřadem označena jako strategicky významná služba v evidenci regulovaných služeb. Bude se přitom jednat o stejný automatizovaný úkon jako je tomu v případě zápisu regulované služby do evidence regulovaných služeb, s tím rozdílem, že součástí vyrozumění o zápisu do této evidence bude navíc informace, že se v daném případě jedná o strategicky významnou službu. Nejedná se tudíž o rozhodnutí, ale o vyústění procesu samoidentifikace a registrace služby v samotný zápis do evidence a označení této služby uvedeným příznakem.
Jiná situace nastává v případě rozhodnutí Úřadu o určení strategicky významné služby podle odstavce 1 písm. b) návrhu. V takovém případě vede Úřad s poskytovatelem řízení podle správního řádu, jehož výsledkem může být rozhodnutí, kterým Úřad danou službu jako strategicky významnou určí. Úřad přitom v řízení musí prokázat, že určovací kritérium je naplněno, přičemž se s důvody zařazení takové služby do regulace náležitě vypořádá v odůvodnění tohoto rozhodnutí.
V případě výmazu strategicky významné služby z evidence regulovaných služeb, která tam byla zařazena na základě samoidentifikace, se postupuje zcela v souladu s § 11 návrhu zákona, jelikož konkrétní regulované služby jsou již naplněním identifikačních kritérií ze své podstaty jako strategicky významné označeny a pokud přestanou být poskytovány nebo přestanou identifikační kritéria naplňovat, může být jak z moci úřední, tak na žádost poskytovatele regulované služby spuštěno řízení o výmazu z evidence regulovaných služeb podle § 11 návrhu zákona.
Pokud pominou důvody, pro které byla regulovaná služba jako strategicky významná určena, uplatní se ustanovení § 11 návrhu zákona obdobně. Pokud Úřad rozhodne o výmazu strategicky významné služby určené rozhodnutím podle § 28 odst. 1 písm. b) návrhu zákona, rozhodne výmazem současně i o tom, že služba již nadále nesplňuje kritéria pro určení strategicky významné služby.
Odstavcem 5 se vylučuje rozklad proti rozhodnutí o určení strategicky významné služby, a to z důvodu potřeby rychlého a efektivního rozhodování o zařazení poskytovatele strategicky významné nebo jím poskytované strategicky významné služby do regulace tohoto návrhu zákona. Pokud regulovaná služba zapsaná v evidenci regulovaných služeb již nebude naplňovat kritéria pro určení strategicky významné služby, může poskytovatel této služby podat žádost o výmaz služby z evidence regulovaných služeb.
K § 29
Navrhované ustanovení zavádí pravomoc Úřadu provádět prověřování rizik spojených s dodavatelem, vymezuje pojmy spojené s touto pravomocí a stanoví zmocnění pro Úřad k vydání prováděcích právních předpisů. Zavedení této pravomoci představuje stěžejní část mechanismu prověřování bezpečnosti dodavatelského řetězce.
Navrhovaná pravomoc se realizuje prostřednictvím shromažďování a vyhodnocování informací a dat, jež mohou přispět k vyvození závěrů o existenci hrozby pro bezpečnost České republiky nebo vnitřní či veřejný pořádek (viz odůvodnění k § 30 odst. 2 návrhu zákona), a které jsou spojeny s konkrétním orgánem či osobou.
Navrhovaná pravomoc neomezuje prověřování pouze na orgány či osoby, které jsou v okamžiku jednotlivých případů její realizace dodavateli do infrastruktury poskytovatelů strategicky významné služby (viz odůvodnění k § 30 odst. 2 návrhu zákona), na kterou mohou dopadnout případná omezení (viz odůvodnění k § 30 odst. 2 a § 31 návrhu zákona). Cílem mechanismu prověřování bezpečnosti dodavatelského řetězce je umožnit státu identifikovat a vyhodnocovat hrozby spojené také s orgány nebo osobami, u nichž se lze domnívat, že by svá plnění do této infrastruktury dodávat mohly. V ideálním případě bude možné odhalit hrozbu ještě dříve, než bude u strategicky významné služby moci způsobit narušení bezpečnosti informací.
S ohledem na velké množství orgánů a osob, které mohou být předmětem prověřování podle odstavce 1, se stanoví odstavec 2 možnost Úřadu upřednostnit činnosti spojené s prověřováním stávajících a potenciálních dodavatelů. Úřad při tom bude vycházet z přístupu založeného na rizicích, tedy z vyhodnocení aktuální bezpečnostní situace, zejména na základě analýzy aktuálních hrozeb a rizik, jakož i z informací získaných od ostatních orgánů a osob působících v oblasti kybernetické bezpečnosti.
Předně by tak měli být prověřeni dodavatelé, u kterých lze předpokládat nejvýznamnější vliv na poskytovatele strategicky významné služby, ať již z důvodu vysokého množství poskytovatelů, kterým poskytují svá plnění, nebo z důvodu vysokého procentuálního zastoupení u několika poskytovatelů. Upřednostnění orgánu a osoby k prověření Úřadem může dále ovlivnit například potřeba prověření konkrétních zájemců o poskytování významné veřejné zakázky nebo podezření na přítomnost bezpečnostní hrozby spojené s konkrétním orgánem nebo osobou zjištěné jiným orgánem státu. Navržený přístup bude aplikován i pro případné opakované prověření dodavatele, např. v případě, že budou zjištěny poznatky ohledně významných změn, které by mohly mít vliv na vyhodnocenou hrozbu.
Přestože cílem mechanismu prověřování bezpečnosti dodavatelského řetězce je prověřit zejména všechny dodavatele vymezených poskytovatelů strategicky významné služby (viz odůvodnění k § 29 odst. 2 návrhu zákona), významným faktorem pro výběr konkrétních orgánů a osob k prověření budou také dostupné personální a technické kapacity Úřadu a ostatních orgánů a osob zapojených do prověřování.
Odstavec 3 vymezuje pojmy, které navrhovaná právní úprava dále užívá v souvislosti s mechanismem prověřování bezpečnosti dodavatelského řetězce.
Pojem „kritická část stanoveného rozsahu“ vymezuje aktiva poskytovatele strategicky významné služby, na která se mohou vztahovat omezení využití plnění rizikových dodavatelů. Dochází tak k vymezení aktiv, která jsou z hlediska stanoveného rozsahu nejvýznamnější a na jejichž bezpečnost je třeba brát zvláštní zřetel, včetně výběru důvěryhodných dodavatelů plnění směřujících do těchto aktiv.
Kritická část stanoveného rozsahu sestává z podmnožiny aktiv strategicky významných služeb, u kterých si poskytovatel strategicky významné služby postupem podle prováděcího právního předpisu upravujícího bezpečnostní opatření poskytovatele regulované služby v režimu vyšších povinností sám ohodnotil dopad narušení bezpečnosti informací úrovní vysoká či kritická, a podmnožiny aktiv, která zajišťují funkce stanoveného rozsahu, vymezené prováděcím právním předpisem upravujícím nepominutelné funkce stanoveného rozsahu (ten vymezuje nepominutelné, neboli základní či „kritické“ funkce celého rozsahu aktiv, na které se vztahuje řízení kybernetické bezpečnosti podle návrhu zákona).
Poskytovatel strategicky významné služby tedy při identifikaci rozsahu aktiv, na která se vztahují povinnosti z mechanismu prověřování bezpečnosti dodavatelského řetězce, nejprve aktiva ohodnotí (a to již v rámci plnění povinností podle § 13 návrhu zákona) a následně výčet aktiv ohodnocených úrovní vysoká či kritická pro potřeby plnění povinností z mechanismu prověřování doplní o aktiva, jež v jejím konkrétním případě zajišťují nepominutelné funkce stanovené příslušným prováděcím právním předpisem.
Pojem „bezpečnostně významná dodávka“ vymezuje plnění, na která se mohou vztahovat omezení využití plnění rizikových dodavatelů. Jedná se o plnění, spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu technických prostředků nebo vybavení, disponujících výpočetní kapacitou (tedy např. základní deska či celý server, nikoli však prostý napájecí kabel), programových prostředků nebo vybavení (typicky software, který technické prostředky a vybavení ovládá), případně informační či komunikační služby (typicky služby cloud computingu, řízené služby a další). Plnění přitom může naplňovat jak jeden z těchto atributů (např. pouze vývoj technického prostředku nebo pouze jeho výroba), tak jejich kombinaci (např. sestavení a servis technického prostředku a poskytnutí programového prostředku).
Účelem vymezení těchto plnění je vztáhnout případná omezení pouze na ty produkty a služby, které mohou mít relevantní dopad na bezpečnost vymezených aktiv. Vymezením pojmu jako některých druhů plnění směřujících pouze do některých druhů aktiv – těch, která jsou součástí kritické části stanoveného rozsahu – dochází ke vztažení případných omezení na nezbytnou množinu situací, u kterých dává takové omezení smysl z technického hlediska, a které mají vazbu na nejvýznamnější aktiva, resp. prvky celé regulace.
Pojem „dodavatel bezpečnostně významné dodávky“ vymezuje okruh orgánů a osob, na jejichž plnění se mohou vztahovat omezení využití v důsledku prověření rizik s nimi spojených.
Dodavatelem bezpečnostně významné dodávky je každý orgán nebo osoba, jež poskytuje bezpečnostně významnou dodávku, a to buď přímo (typicky orgán nebo osoba, s níž uzavírá poskytovatel strategicky významné služby smlouvu o dodávce), nebo prostřednictvím jiného orgánu nebo osoby (typicky svého obchodního partnera – v dodavatelsko-odběratelském řetězci je tedy v pozici poddodavatele).
Omezení využití mohou být vztažena na všechna typově vymezená plnění (tzn. bezpečnostně významné dodávky), v jejichž dodavatelském řetězci se nachází (pod)dodavatel, u něhož bylo vyhodnoceno možné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku (viz § 31 návrhu zákona). S ohledem na problematické vymezení rozsahu dodavatelského řetězce, na který je přiměřené taková omezení vztahovat (jednotlivé dodavatelské řetězce bezpečnostně významných dodávek se diametrálně odlišují co do svého rozsahu – rozvětvenosti), se omezení aplikují pouze na ty dodavatele v řetězci, s nimiž se lze při vynaložení přiměřeného úsilí seznámit (viz § 33 návrhu zákona).
Samotný návrh zákona nepominutelné funkce stanoveného rozsahu neobsahuje. Jejich stanovení předpokládá odstavec 4 v prováděcím právním předpise – vyhlášce, k jehož vydání zmocňuje Úřad. Úprava nepominutelných funkcí v prováděcím právním předpise představuje proporcionální řešení konfliktu mezi neomezeným správním uvážením Úřadu, obdobně jako v případě zákona č. 326/1999 Sb., o pobytu cizinců na území České republiky a o změně některých zákonů, ve znění pozdějších předpisů, či zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), na straně jedné a vymezením nepominutelných funkcí na úrovni návrhu zákona na straně druhé. V takovém případě by se jednalo o bezprecedentní přístup v oblasti prověřování hrozeb.
Pro úpravu nepominutelných funkcí se jeví jako vhodný prováděcí právní předpis k zákonu připravený Úřadem v roli gestora prověřování dodavatelů a procházející legislativním procesem se zapojením všech relevantních aktérů ze strany státu a podnikatelských sdružení. Obdobný postup již funguje v případě vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu.
K § 30
Úřad v odstavci 1 pro potřeby výkonu pravomoci podle § 29 odst. 1 vychází jak z informací zjištěných v rámci vlastní činnosti, tak z informací, kterými disponují jiné orgány či osoby, a které jsou pro prověřování rizik spojených s dodavatelem nezbytné. Mezi orgány státu, jež může v souvislosti s uvedenou pravomocí Úřad oslovit, jsou vyjmenovány ministerstva a jiné orgány s působností zejména v oblasti bezpečnosti, jež mohou disponovat informacemi relevantními pro vyhodnocení rizikovosti dodavatele.
Ministerstvo průmyslu a obchodu, Ministerstvo zahraničních věcí, Ministerstvo vnitra jakožto orgány státu nejzpůsobilejší ke spolupráci ve věcech týkajících se prověřování dodavatelů do strategicky významné služby spolupracují s Úřadem ve formě stanoviska k rizikovosti dodavatelů. V případě, že stanovisko nebude potřebné, spolupracují s Úřadem ve formě poskytnutí informací. Stanovisko poskytnuté orgány státu bude mít nezávaznou povahu, a tudíž k němu bude Úřad toliko přihlížet. Společně s ostatními zdroji pak bude Úřad i na jeho základě vyhodnocovat rizikovost dodavatele.
Podle předběžného projednání koncepce mechanismu prověřování bezpečnosti dodavatelského řetězce s uvedenými orgány státu a s ohledem na formulaci navrhovaného ustanovení se u orgánů uvedených v odstavci 2 však až na výjimečné případy počítá toliko s poskytnutím informací, kterými uvedené orgány již disponují, spíše než s vlastním aktivním zjišťováním takových informací uvedenými orgány, jakkoli tato možnost není obecně vyloučena. Podle odstavce 4 o poskytnutí informací může Úřad z téhož účelu požádat také jiné orgány či osoby, pakliže se lze důvodně domnívat, že mohou disponovat informacemi nezbytnými k vyhodnocení rizikovosti dodavatele a příslušné hrozby.
Odstavec 5 upravuje prolomení mlčenlivosti ve vztahu k orgánům, u nichž lze při prověřování bezpečnosti dodavatelského řetězce očekávat nejčastější spolupráci s Úřadem (režim pro zpravodajské služby je upraven v § 70 návrhu zákona). Pro účely aplikace tohoto ustanovení, vzhledem k jeho povaze a důvodům, pro které je toto ustanovení součástí zákona o kybernetické bezpečnosti, považujeme i Nejvyšší státní zastupitelství za orgán činný v trestním řízení v rámci těch činností, ve kterých v této roli vystupuje. V dalších případech, v nichž budou konkrétní orgány či osoby vázány povinností mlčenlivosti, se předpokládá zaslání žádosti o zproštění této povinnosti orgánu či osobě, které budou k takovému postupu oprávněny. Formulace odstavce 5 vychází z totožného principu jako ustanovení § 14 odst. 3 zákona č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon). Na rozdíl od zmíněného ustanovení je však v návrhu zákona místo slovního spojení „ledaže by poskytnutí informace, na kterou se mlčenlivost vztahuje, ohrozilo nebo zmařilo průběh řízení" užita formulace „ledaže by poskytnutí informace, na kterou se mlčenlivost vztahuje, zmařilo účel trestního řízení". Důvodem je skutečnost, že zákon č. 141/1961 Sb., trestní řád, jako základní právní předpis pro trestní řízení pracuje výhradně (v § 51 odst. 2, § 88 odst. 9, § 88a odst. 3) s formulací "zmaření účelu trestního řízení", ohrožení účelu trestního řízení, jak uvádí sankční zákon, v něm užito není. Trestní řád obsahuje formulaci "podstatné ztížení dosažení účelu" (např. v § 71 odst. 1), ovšem pouze v souvislosti s trestním stíháním, tedy pojmem, který je proti trestnímu řízení významově užší.
V odstavci 6 je ve vztahu k předpokládané pravidelné spolupráci s bankami upraveno prolomení bankovního tajemství.
K § 31
Navrhované ustanovení zavádí pravomoc Úřadu omezit nebo zakázat využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, zjistí-li Úřad postupem podle § 29 odst. 1 návrhu zákona, že může být významně ohrožena bezpečnost České republiky nebo vnitřní či veřejný pořádek. K uvedenému je zásadní dodat, že proporcionální omezení či zákaz využití plnění dodavatele bezpečnostně významné dodávky v částech, které jsou považovány za kritické části stanoveného rozsahu, a mají tak dopad na vnitřní či veřejný pořádek, potažmo bezpečnost České republiky, nejsou v rozporu s obecně uznávanými zásadami mezinárodního práva a zároveň jsou plně v souladu s mezinárodními smlouvami a dohodami, jimiž je Česká republika vázána.
Účelem zavedení této pravomoci je umožnit státu adekvátně reagovat na nejzávažnější zjištění týkající se hrozeb spojených s užitím plnění konkrétního dodavatele ve státem vymezené části regulované infrastruktury. Podle povahy a kontextu konkrétní vyhodnocené hrozby ukládá návrh zákona Úřadu vydat konkrétní omezení formou opatření obecné povahy, kterým se budou muset řídit všichni poskytovatelé strategicky významných služeb. Jelikož však bude opatření mířit vždy vůči typově vymezeným plněním konkrétního dodavatele – bezpečnostně významné dodávce – prakticky se omezení, které stanoví, projeví pouze u těch poskytovatelů strategicky významných služeb, které takové plnění v kritické části stanoveného rozsahu využívají nebo jeho využití plánují. Možnost Úřadu reagovat na zjištěnou hrozbu, která nenaplní podmínky pro vydání opatření obecné povahy, jinými zákonem stanovenými prostředky, například prostřednictvím varování podle § 22 návrhu zákona, není ustanovením dotčena. Tedy až v případě, že Úřad vyhodnotí míru rizikovosti dodavatele tak závažnou, že nepostačí využití mírnějších korektivních a preventivních nástrojů, které již zákon o kybernetické bezpečnosti zná (výstraha, varování, reaktivní protiopatření), vydá Úřad opatření obecné povahy, kterým omezí nebo zakáže využití konkrétního dodavatele u poskytovatelů strategicky významných služeb.
Proces vydávání opatření obecné povahy je koordinován s mnoha dalšími státními aktéry a orgány a osobami, na které opatření obecné povahy dopadne. Ti do procesu vnáší jak své poznatky týkající se bezpečnosti, tak další podněty, které mohou mít vliv na výslednou podobu zákazu či omezení. Může se jednat například o finanční závazky, diplomatické dopady, povinnosti vyplývající z jiných právních přepisů, technické a technologické možnosti v dané oblasti a mnoho dalších aspektů. Z tohoto důvodu jsou jmenovitě uvedeni Český telekomunikační úřad a Energetický regulační úřad jako významní gestoři regulace v oblastech, na které mechanismus prověřování dodavatelského řetězce dopadá.
Opatření obecné povahy je vždy předloženo pro informaci členům Bezpečnostní rady státu. Členům Bezpečnostní rady státu je tak zaručena možnost seznámit se s navrženým omezením a vyjádřit se k němu ještě před předložením návrhu opatření obecné povahy k připomínkám dotčeným osobám.
Institut opatření obecné povahy byl předkladatelem vyhodnocen jako flexibilní nástroj, který umožňuje zohlednit různé situace, které mohou při stanovování povinností poskytovatelům strategicky významných služeb nastat, a reagovat na jejich potřeby. Umožní například současně některé problematické dodavatele zakázat a jiné pouze omezit. V rámci jeho přípravy může Úřad upravit rozsah dopadu opatření a škálovat ho geograficky nebo v čase například tak, aby nejdříve došlo k omezení či zákazu dodavatele v nejkritičtější části strategicky významné služby (části s největším potenciálním dopadem), a až v průběhu času byl dodavatel omezen nebo zakázán v celé službě. Tím dojde k prevenci situace, kdy by zákaz nebo omezení dodavatele mělo příliš velký dopad na poskytovatele strategicky významných služeb – ať už po ekonomické, nebo provozní stránce. Výsledná podoba opatření obecné povahy pak bude zohledňovat proporcionalitu zásahu, který přinese. Součástí návrhu opatření obecné povahy jsou zejména identifikace hrozby; odůvodnění vycházející z analýzy; míra, v jaké bude dotčen stanovený rozsah; stanovení povinností; lhůta, ve které je nutné splnit stanovené povinnosti nebo potenciální výjimky pro poskytovatele strategicky významných služeb.
Lhůta stanovená opatřením obecné povahy je zásadní pro snížení míry jeho dopadu, ať už ekonomického nebo technologického, na poskytovatele strategicky významných služeb. Proto zákon rozlišuje dva přístupy k určení lhůty.
První je situace, kdy zjištěná míra rizika umožní postup, kde se lhůta pro plnění povinností stanovených v opatření obecné povahy nastaví podle odpisových lhůt určených podle právního předpisu upravujícího zdanění příjmu nebo na 5 let, pokud se jedná o dodávku, která nemá stanovenou odpisovou lhůtu.
Druhá je situace, kdy je míra rizika natolik velká, že není možné čekat a je nutné zahájit kroky vedoucí k vyřazení dodavatele ze strategicky významných služeb dříve, nebo dokonce okamžitě. V takovém případě je potřeba nad rámec standardního procesu získat kladné závazné stanovisko od Ministerstva vnitra, Ministerstva zahraničních věcí a Ministerstva průmyslu a obchodu, aby bylo možné povinnosti stanovené v opatření obecné povahy uplatňovat ve zrychleném režimu. Bude se však jednat o naprosto výjimečné případy.
Lhůta pro plnění povinností stanovená opatřením obecné povahy počíná běžet standardně od doby vydání opatření obecné povahy a pokud není stanoveno jinak, je určena jako doba odpisování podle právního předpisu upravujícího zdanění příjmu[footnoteRef:29], tedy počíná běžet buď vydáním opatření obecné povahy nebo po uvedení pořizované věci do stavu způsobilého obvyklému užívání[footnoteRef:30]. V případě, že není pro konkrétní dodávku stanovena odpisová lhůta, platí, že tato lhůta je 5 let. V takovém případě se běh lhůty začíná počítat ode dne pořízení předmětné dodávky, nebo vydání opatření obecné povahy, podle toho, co nastalo dřív. Stejně tak se bude postupovat i v případě, kdy nebude známo datum uvedení pořizované věci do stavu způsobilého obvyklému užívání. Se stanovenou lhůtou lze samozřejmě pracovat individuálně v případě, že by pro poskytovatele strategicky významných služeb bylo v případě zákazu nebo omezení dodavatele například nemožné pokračovat v poskytování služby. Proto je v rámci mechanismu možné požádat Úřad o výjimku z plnění povinností stanovených v opatření obecné povahy. [29: Zákon č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů.] [30: §26 odst 5. zákona č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů.]
Po informování členů Bezpečnostní rady státu Úřad zveřejnění návrh opatření obecné povahy obvyklým způsobem.
Proces vydávání opatření obecné povahy umožňuje jak poskytovatelům strategicky významných služeb, tak dotčeným dodavatelům a dalším dotčeným osobám, uplatnit k návrhu opatření připomínky. Ve spojení s povinností Úřadu zohlednit při stanovení lhůty pro zavedení stanovených omezení v opatření obecné povahy dopady na poskytovatele strategicky významné služby tak je zajištěna přiměřenost a proveditelnost opatření. Vydané opatření obecné povahy je v souladu s jeho obecnou úpravou možné přezkoumat v přezkumném řízení nebo v soudním řízení správním dle obecné úpravy správního řádu a soudního řádu správního.
Navrhovaná úprava procesu vydávání opatření obecné povahy využívá téměř v plném rozsahu obecnou právní úpravu správního řádu, kterou pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce upravuje odlišně pouze v částech, které jsou typicky svázány s nemovitostmi a územním rozvojem a jsou tedy pro potřeby mechanismu nepřiléhavé. Návrh naopak doplňuje povinnost Úřadu pravidelně přezkoumávat trvání skutečností, na jejichž základě byla vydána omezení, aby byla v případě jejich pominutí bezodkladně zrušena.
Vydá-li Úřad opatření obecné povahy, kterým stanoví podmínky nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, považuje se označení dodavatele za rizikového za hrozbu.
Co se týče zohlednění omezení nebo zákazu dodavatele v rámci dodavatelských vztahů, tedy vztahu k § 25 návrhu zákona, formálně vzato jde o dva odlišné instituty a je potřeba je nezaměňovat. Více viz odůvodnění k § 25 návrhu zákona.
K § 32
Pro případ, že by opatření obecné povahy vydané podle § 31 návrhu zákona mohlo za konkrétních okolností podstatným způsobem ohrozit poskytování strategicky významných služeb podle návrhu zákona, zavádí návrh zákona možnost povolení výjimek z opatření obecné povahy. Výjimka může být povolena jak konkrétnímu poskytovateli strategicky významné služby, tak, jsou-li Úřadu známy obecně platné důvody pro udělení výjimky, všem poskytovatelům dotčené strategicky významné služby či jinému okruhu subjektů.
Skutečností odůvodňující povolení výjimky z opatření obecné povahy může být např. vynaložení takového úsilí nebo finančních nákladů, které by přímo ohrozily existenci poskytovatele strategicky významné služby a tím i poskytování samotné strategicky významné služby.
Řízení o povolení výjimky se zahajuje na žádost poskytovatele strategicky významné služby nebo z moci úřední, podnět k zahájení řízení o povolení výjimky tedy může dát kdokoli. Rozsah poskytovatelů strategicky významné služby, na které by se měla výjimka použít, stanoví podle skutkových okolností Úřad. Úřadu návrh zákona ukládá chránit při povolování výjimky v maximální možné míře účel opatření obecné povahy a povolit výjimku pouze v nezbytném rozsahu, kdy převáží potřeba nenarušení poskytování strategicky významné služby nad potřebou omezení hrozby vyhodnocené v důsledku prověřování rizik spojených s dodavatelem. Z tohoto důvodu se žadateli o výjimku ukládá povinnost prokázat, že plnění opatření obecné povahy může podstatným způsobem ohrozit poskytování strategicky významné služby. Dozví-li se Úřad o skutečnostech, pro které by měla být výjimka udělena všem poskytovatelům strategicky významné služby, vůči kterým směřuje opatření obecné povahy, může být na místě spíše než vydání výjimky změna či zrušení opatření obecné povahy. Informace týkající se řízení o povolení výjimky se považují za informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti.
K § 33
Navrhované ustanovení obsahuje dvě základní povinnosti poskytovatelů strategicky významných služeb, a to povinnost zjišťovat základní informace o dodavatelích bezpečnostně významných dodávek do své vymezené infrastruktury – kritické části stanoveného rozsahu, a povinnost tyto informace dokumentovat a hlásit Úřadu. V souladu s odstavcem 3 zahrnuje Úřad takto zjištěné informace do evidence dodavatelů bezpečnostně významných dodávek vedené Úřadem podle § 48 návrhu zákona.
Účelem této povinnosti je seznámit samotné poskytovatele strategicky významných služeb s dodavatelským řetězcem, aby na něj mohli řádně aplikovat vydané opatření obecné povahy a plnit další povinnosti stanovené návrhem zákona. Současně je ustanovení vyjádřením potřeby Úřadu získat informace o dodavatelích dodávajících svá plnění do vymezené infrastruktury, aby mohl řádně zaměřovat a upřednostňovat jednotlivá prověřování rizik spojených s dodavateli podle § 29 návrhu zákona.
Úřad specifikuje, že vzhledem k účelu ustanovení není v případě rámcových smluv na dodávku určitého výrobku nebo služby žádoucí, aby byla opakovaně hlášena jednotlivá dílčí plnění. Postačí hlášení rámcové smlouvy jako celku. Výjimkou jsou však situace, kdy dojde ke změně v dodavatelském řetězci. Pak je povinností poskytovatele strategicky významné služby, aby tuto změnu Úřadu nahlásil.
S ohledem na vymezení rozsahu dodavatelského řetězce, na který by se mělo vztahovat omezení rizik spojených s dodavatelem (viz definice dodavatele bezpečnostně významné dodávky), ukládá návrh zákona poskytovateli strategicky významné služby, že k zjištění informací o dodavatelském řetězci je nezbytné vyvinout přiměřené úsilí, například skrze dotazování přímého dodavatele, s nímž poskytovatel vstoupil do smluvního vztahu, případně skrze dohledání informací o poddodavatelích dodavatele v otevřených zdrojích. Pokud jde o vlastní pojem „přiměřené úsilí“, jedná se o tzv. neurčitý právní pojem, kterému v návrhu zákona (s nutným dopadem na právní jistotu adresáta právní normy) neodpovídá přesná definice. Důvodem je potřeba orgánu aplikujícího dotčené ustanovení zohlednit všechna specifika konkrétního případu. Z uvedeného vyplývá, že přiměřené úsilí lze právě bez přihlédnutí k jednotlivostem konkrétního případu definovat nanejvýš v přibližných obrysech. Na druhou stranu se jedná o pojem, která je užíván napříč právním řádem České republiky, a to i vymezením se proti svému opaku (nepřiměřené úsilí, viz níže uvedená soudní rozhodnutí). V tomto smyslu je namístě odkázat např. na § 14 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, § 27c zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů, § 104 odst. 13 zákona o elektronických komunikacích, § 24e odst. 2 písm. a) bod 2 zákona č. 143/2001 Sb., o ochraně hospodářské soutěže a o změně některých zákonů (zákon o ochraně hospodářské soutěže), ve znění pozdějších předpisů, právní větu usnesení Nejvyššího soudu České republiky ze dne 27. 3. 2019 sp. zn. 27 Cdo 3855/2017 či právní větu III rozsudku Nejvyššího soudu České republiky ze dne 5. 12. 2013 sp. zn. 9 Aps 11/2013.
Jelikož tedy bude hodnocení, zda poskytovatel strategicky významné služby v daném případě přiměřené úsilí vyvinul či nikoli, záležet vždy na konkrétních skutkových okolnostech, lze předpokládat potřebu zahrnout úpravu informování o dodavatelském řetězci do smluv poskytovatelů s dodavateli. Jako vhodné se rovněž jeví zavést u poskytovatelů strategicky významné služby compliance procesy, které budou vyvinutí přiměřeného úsilí v daném případě dokumentovat pro potřeby kontroly plnění uvedených povinností Úřadem. Pojem přiměřené úsilí je tak nutné vždy chápat v kontextu každého prověřování. Obecně lze samozřejmě říci, že čím více informací se podaří poskytovateli strategicky významné služby zjistit o dodavatelích jednotlivých komponent a následně předat Úřadu, tím kvalitnější bude výstup celého procesu, je však nutné postupovat proporcionálně. Nelze tedy předpokládat nutnost poskytovatele strategicky významné služby zjišťovat informace o dodavatelích všech komponent až na zcela základní výrobní úroveň, a to zejména v případě, že proces zjišťování nebude opodstatněn bezpečnostními riziky, která jednotlivé komponenty či programové vybavení představují pro kybernetickou bezpečnost strategicky významné služby. K posílení právní jistoty přiměřenosti vyvinutého úsilí může přispět rovněž výkladová praxe, například v podobě metodických a výkladových materiálů vydaných Úřadem.
K § 34
Návrh ustanovení umožňuje poskytovateli strategicky významné služby vypovědět závazek ze smlouvy, jestliže by plněním z takového závazku došlo k porušení vydaného opatření obecné povahy podle § 31 návrhu zákona.
Ustanovení míří především na situace, kdy poskytovatel strategicky významné služby uzavře s dodavatelem smlouvu s takovou dobou či podmínkami plnění, které neumožňují ve lhůtě stanovené opatřením obecné povahy splnit jím stanovené podmínky či zákazy.
Toto ustanovení zavádí do právního řádu nový zákonný důvod pro výpověď závazku ze smlouvy. Nejde přitom o důvod specifický pro smlouvy uzavřené v režimu zákona o zadávání veřejných zakázek, ale o důvod univerzálně použitelný ve veřejné i soukromé sféře. Tento nový výpovědní důvod představuje speciální úpravu vůči obecným výpovědním důvodům závazkových vztahů upraveným především občanským zákoníkem a navazuje na § 1998 tohoto zákona, podle kterého „závazek lze vypovědět, ujednají-li si to strany nebo stanoví-li tak zákon“. Nejedná se ani o nepřímou novelu zákona o zadávání veřejných zakázek, neboť ustanovení nereguluje specificky zakázkové vztahy. Nadto § 223 odst. 5 zákona o zadávání veřejných zakázek explicitně stanoví, že „právo zadavatele ukončit závazek ze smlouvy na veřejnou zakázku podle jiných právních předpisů není tímto ustanovením dotčeno.
S ohledem na ochranu zásady pacta sunt servanda návrh zákona podmiňuje využití tohoto návrhem zákona přiznaného práva poskytovatele strategicky významné služby pouze, pokud jedná bez zbytečného odkladu poté, co zjistí, že byly předpoklady výkonu tohoto práva naplněny. V případě nedůvodného odkladu takového jednání poskytovatel strategicky významné služby právo na zrušení závazku ze smlouvy pozbývá, jelikož převáží právo dodavatele na ochranu jeho smluvních závazků, což však samozřejmě nezbavuje poskytovatele strategicky významné služby odpovědnosti za splnění, nesplnění či porušení podmínek stanovených opatřením obecné povahy. V odůvodněných případech tedy lze výpověď závazku ze smlouvy odložit.
Smlouva, která by byla uzavřena až po vydání opatření obecné povahy Úřadem a jejíž plnění by bylo s tímto opatřením v rozporu, by pak mohla být úplně nebo v některé její části neplatná pro rozpor se zákonem, stejně jako se rozpor se zákonem dovozuje v případě porušení zákazu stanoveného vykonatelným konstitutivním rozhodnutím, které bylo vydáno na základě zákonného zmocnění.
Otázku vyloučení účastníka zadávacího řízení před uzavřením smlouvy na veřejnou zakázku by mělo řešit stanovení takových zadávacích podmínek, které zadavateli umožní vyloučit účastníka z důvodu omezení stanoveného vydaným opatřením obecné povahy.
K § 35
Lokalizace primárních a podpůrných aktiv strategicky významných služeb mimo území České republiky s sebou nese určitou míru rizika pro zajištění dostupnosti těchto strategicky významných služeb v případě omezení dostupnosti nepostradatelných aktiv nacházejících se v zahraničí. Jde zejména o rizika spojená s nedostupností dat a služeb v případech přírodních katastrof, války, havárie v datovém centru, ztráty konektivity, pandemie či jiných nepředvídatelných událostí na území cizích států, kdy Česká republika nemá legální ani faktickou možnost činit potřebná opatření k řešení dopadů těchto událostí v případech, kdy budou zasažena aktiva potřebná k zajištění fungování strategicky významných služeb. Hlavním cílem tohoto ustanovení je zajištění kontinuity poskytování klíčových (strategicky významných) služeb zásadních pro stabilitu a bezpečnost České republiky.
Rizika spojená s narušením důvěrnosti a integrity jsou ponechána na klasickém řízení rizik v souladu s bezpečnostními opatřeními uloženými tímto návrhem zákona, případně na opatřeních vyplývajících z jiných právních předpisů, ať už z právních předpisů na ochranu osobních údajů nebo právních předpisů regulujících využívání služeb cloud computingu orgány veřejné správy. Povinnost obsažená v odůvodňovaném ustanovení cílí na rizika spojená s dostupností poskytované strategicky významné služby. Mitigace těchto rizik je stanovena jako semi-performativní cíl tohoto ustanovení. Poskytovateli strategicky významné služby je tedy uložena povinnost zajistit dostupnost této služby s ponecháním svobody ve výběru prostředků, jakými tohoto cíle dosáhne. Nicméně je limitován nutností zajistit tuto dostupnost z České republiky a zajistit ji ve stanoveném rozsahu, který stanoví vyhláška Úřadu. Je tedy omezen v možnosti zajistit dostupnost služeb poskytovaných z území mimo území České republiky pouze za využití standardních smluvních ujednání (typicky SLA), jelikož na tyto se nelze v případě mimořádných událostí, jako je válka či přírodní katastrofa, spoléhat u takto významných služeb.
Zajištění dostupnosti strategicky významné služby z území České republiky však nevylučuje možnost poskytování těchto služeb a jejich řízení také z území mimo Českou republiku. Poskytovatel strategicky významné služby je povinen zajistit schopnost obnovení dostupnosti poskytované strategicky významné služby a její další poskytování výhradně z území České republiky, a to bez použití aktiv mimo území České republiky. Zároveň není vyloučeno, aby zajištění dostupnosti takových služeb z území České republiky bylo řešeno rozdílně oproti standardnímu stavu, tedy například fyzicky bez využití ICT prostředků.
Poskytovatel strategicky významné služby je povinen zajistit dostupnost strategicky významné služby z území České republiky v nezbytném rozsahu, ve stanoveném čase a ve stanovené kvalitě.
Nezbytný rozsah stanoví již zmíněná vyhláška Úřadu, přičemž cílem je omezit rozsah této povinnosti v rámci konkrétní strategicky významné služby na tu nejkritičtější část této služby podle jednotlivých odvětví.
Stanovený čas je dobou, za kterou je poskytovatel strategicky významné služby schopen přejít na tímto ustanovením požadované řešení zajišťující dostupnost této služby z České republiky. Pokud poskytovatel strategicky významné služby poskytuje tuto službu za využití aktiv nacházejících se pouze na území České republiky, pak stanovení tohoto času bude bezpředmětné, jelikož tuto povinnost bude splňovat inherentně vždy. Pokud však zajištění dostupnosti nezbytného rozsahu strategicky významné služby závisí na využití aktiv umístěných v zahraničí, pak by měl stanovit čas, za který je schopný přejít na náhradní řešení zajišťované z České republiky a obnovit tak poskytování strategicky významné služby.
Stanovenou kvalitou je úroveň strategicky významné služby, v jaké je schopen poskytovatel zajistit dostupnost strategicky významné služby z České republiky. Přičemž tato kvalita může být odlišná, resp. nižší než kvalita standardně poskytované služby, a může být zajištěna i mimo kyberprostor. Rovněž je tento požadavek relevantní pouze v případě, že je zajištění dostupnosti nezbytného rozsahu strategicky významné služby závislé na využití aktiv umístěných v zahraničí.
Stanovený čas i kvalitu stanoví poskytovatel strategicky významné služby sám. Zákon mu pro tyto potřeby poskytuje vodítka, která by měl zohlednit. Konkrétně by měl zohlednit alespoň charakter a specifika strategicky významné služby, účel, pro nějž je poskytována, a závažnost dopadů narušení jejího řádného poskytování na uživatele služby. Toto zahrnuje například zohlednění povinností vyplývajících pro poskytovatele strategicky významné služby z příslušných odvětvových právních předpisů.
Z důvodů zajištění dostupnosti strategicky významné služby v případě shora zmíněných mimořádných událostí je také požadováno otestování schopnosti zajistit poskytování strategicky významnou službu ve stanoveném čase a kvalitě z území České republiky jako základní a běžně používaný mechanismus pro ověření funkčnosti a aplikovatelnosti nastavených postupů a opatření k zajištění služby. Bez otestování by nebylo zajištěno, že postupy a opatření jsou funkční a v případně mimořádné události použitelné.
Povinnost uvedená v tomto ustanovení se vztahuje pouze na množinu poskytovatelů strategicky významných služeb, resp. na jimi poskytované strategicky významné služby, tedy pouze na nejkritičtější a zcela zásadní pro chod státu, jako je energetika, drážní a letecká doprava, telekomunikační služby a veřejná správa, a pouze na nezbytný rozsah těchto služeb.
K § 36 a 37
Subjekty poskytující služby registrace jmen domén (registrátoři domén) mají povinnost hlásit Úřadu své identifikační a kontaktní údaje a v případě změn je neprodleně aktualizovat. Úřad následně nahlášené údaje postoupí agentuře ENISA za účelem vytvoření registru těchto subjektů. Způsob hlášení těchto údajů je upřesněn prováděcím právním předpisem upravujícím Portál Úřadu.
Povinnost registrátorů domén a subjektů spravujících a provozujících registr domén nejvyšší úrovně (registr TLD) udržovat přesnou a úplnou databázi registračních údajů jmen domén (registr WHOIS) a poskytování zákonného přístupu k těmto údajům má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému jmen domén, což přispívá k vyšší společné úrovni kybernetické bezpečnosti v celé EU. Právním titulem pro zpracování osobních údajů ze strany výše uvedených subjektů by v těchto případech mělo být plnění právní povinnosti ve smyslu čl. 6 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů. Touto povinností není dotčena možnost shromažďovat údaje o registraci jmen domén i z jiných důvodů, například na základě smluvních ujednání nebo právních požadavků stanovených v jiných unijních nebo národních právních předpisech. Cílem této povinnosti je dosáhnout úplnosti a přesnosti souboru registračních údajů, neměla by nicméně vést k vícenásobnému shromažďování stejných údajů. V aktuální praxi je registr WHOIS na národní úrovni veden zájmovým sdružením právnických osob CZ.NIC provozujícím registr TLD pro národní doménu .cz, kterému tyto údaje nahlašují jednotliví registrátoři domén.
Podle návrhu zákona by subjekty spravující a provozující registry TLD a registrátoři domén měli zejména stanovit politiky a postupy pro shromažďování a uchovávání přesných a úplných registračních údajů jmen domén a rovněž zamezit uvádění nesprávných registračních údajů a vést je v souladu s právem EU v oblasti ochrany osobních údajů. Za účelem ověřování údajů souvisejících s registrací jmen domén by měly být ze strany subjektů spravujících a provozujících registry TLD a registrátorů domén přijaty a zavedeny přiměřené postupy odrážející osvědčené postupy používané v daném odvětví a pokud možno pokrok dosažený v oblasti elektronické identifikace. Mezi příklady ověřovacích postupů mohou patřit kontroly ex ante prováděné v době registrace a kontroly ex post prováděné po registraci. Při zavádění postupů pro ověření totožnosti držitele jména domény mohou subjekty spravující a provozující registry TLD a registrátoři domén využívat prostředky pro elektronickou identifikaci podle zákona č. 250/2017 Sb. o elektronické identifikaci, ve znění pozdějších předpisů. Ověření totožnosti držitele jména domény může být ze strany registrátora domén realizováno prostřednictvím registru TLD na základě uzavřené smlouvy. Subjekt spravující a provozující registry TLD může dále s cílem zajistit přesnost a úplnost informací vedených v databázi doručovat elektronicky prostřednictvím datové schránky.
Subjekty spravující a provozující registry TLD a registrátoři domén mají povinnost zveřejňovat také údaje o registraci jmen domén, které jsou vyloučeny z oblasti působnosti práva EU v oblasti ochrany osobních údajů, jako jsou údaje týkající se právnických osob. V případě právnických osob by měly být zveřejněny alespoň název žadatele o registraci a jeho kontaktní telefonní číslo. Kontaktní emailová adresa by měla být rovněž zveřejněna za předpokladu, že neobsahuje žádné osobní údaje, čehož může být dosaženo např. použitím emailové přezdívky. Subjekty spravující a provozující registry TLD a registrátoři domén by také měli v souladu s právem EU v oblasti ochrany osobních údajů umožnit oprávněným žadatelům přístup ke konkrétním údajům o registraci domén týkajících se fyzických osob. Postup poskytování přístupu může zahrnovat užívání rozhraní, portálu nebo jiných technických nástrojů k zajištění účinného systému žádostí o registrační údaje a přístupu k těmto údajům. Přístup k osobním i neosobním údajům o registraci jmen domén by měl být bezplatný.
Dostupnost a včasný přístup k údajům o registraci jmen domén pro oprávněné žadatele o přístup má zásadní význam pro prevenci zneužívání systému jmen domén a boj proti němu a pro prevenci a odhalování incidentů a reakci na ně. Oprávněnými žadateli o přístup se rozumí jakákoli fyzická nebo právnická osoba, která podává žádost na základě práva Unie nebo národního práva. Mohou sem patřit orgány příslušné podle směrnice NIS 2 a orgány, které jsou podle unijního nebo národního práva příslušné pro prevenci, vyšetřování, odhalování či stíhání trestných činů, a skupiny CERT nebo týmy CSIRT. Subjekty spravující a provozující registry TLD a registrátoři domén mají povinnost umožnit oprávněným žadatelům o přístup zákonný přístup ke konkrétním údajům o registraci jmen domén, které jsou nezbytné pro účely žádosti o přístup, v souladu s právem EU a národním právem. K žádosti oprávněných žadatelů o přístup by mělo být přiloženo odůvodnění umožňující posoudit nezbytnost přístupu k údajům.
Plnění povinnosti shromažďovat a uchovat přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi by nemělo vést ke zdvojování shromažďovaných dat. Povinnost bude splněna i pokud bude databáze vedena pouze jedním subjektem, kterému budou ostatní hlásit požadované informace. Za tímto účelem registrátoři domén a subjekty spravující a provozující registry TLD vzájemně spolupracují.
K § 38
Navržená úprava vychází z dosavadní právní úpravy obsažené v § 10a zákona o kybernetické bezpečnosti. Výjimka z práva na informace obsažená v § 10a navazovala na omezující poskytování informací podle § 11 odst. 4 písm. f) zákona o svobodném přístupu k informacím.
Jak uvádí důvodová zpráva k zákonu č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony (dále jen „novelizace zákona o kybernetické bezpečnosti z roku 2017“), jehož obsahem byla mimo jiné i úprava obsažená v § 10a zákona o kybernetické bezpečnosti: „Tato (dosavadní) úprava byla podle předkladatele tohoto návrhu zákona velmi omezená již v době přijímání (prvního znění) zákona o kybernetické bezpečnosti. V současné době, kdy již bylo určeno 155 významných informačních systémů spravovaných 58 subjekty a 48 systémů kritické informační infrastruktury, jejichž správci jsou orgány veřejné správy, tedy potenciálních povinných subjektů podle zákona o svobodném přístupu k informacím, a kdy roste počet útoků v kybernetickém prostoru, je zapotřebí přistoupit k opatření i v obecnější rovině zajišťování kybernetické bezpečnosti. Je zapotřebí zdůraznit, že v současnosti účinná výjimka uvedená v § 11 odst. 4 písm. f) zákona o svobodném přístupu k informacím nenaplňuje požadavky na ochranu citlivých informací, zejména těch, které se vztahují k přijatým bezpečnostním opatřením podle zákona o kybernetické bezpečnosti. Potenciální útočník by tak v současné době mohl požádat podle tohoto zákona správce informačních nebo komunikačních systémů kritické informační infrastruktury nebo správce významných informačních systémů o poskytnutí informací o přijatých bezpečnostních opatřeních, přičemž tento povinný subjekt by byl povinen je poskytnout. [...] Informace, které není v zájmu zajišťování kybernetické bezpečnosti možné poskytovat, mohou být například následující: schémata, plány budov, technické specifikace (např. topologie sítě), konfigurační parametry, havarijní plány.“ Dosavadní úprava obsažená v § 10a zákona také dále rozšiřovala výjimku na informace, jejichž zpřístupnění by mohlo ohrozit účinnost opatření podle § 11 zákona o kybernetické bezpečnosti.
Úřad k tomuto tématu vydal také stanovisko ve formě podpůrného materiálu, kde uvádí především následující: „Při posuzování, zda by poskytnutí určité informace mohlo ohrozit zajišťování kybernetické bezpečnosti, je nezbytné zvážit, které informace jsou z hlediska zachování kybernetické bezpečnosti natolik důvěrné, že by jejich vyzrazením mohlo dojít k jejímu narušení. Taková informace by měla z pohledu důvěrnosti odpovídat úrovni „vysoká“ nebo „kritická“ podle přílohy č. 1 vyhlášky o kybernetické bezpečnosti. Pokud by zpřístupněním takové informace mohlo dojít k narušení kybernetické bezpečnosti, je podle názoru Úřadu nezbytné aplikovat § 10a zákona kybernetické bezpečnosti a takovou informaci neposkytnout. Tímto způsobem je vhodné ohodnotit například technickou či bezpečnostní dokumentaci (jejichž ochrana je akcentována i skutečností, že v komplexní podobě mohou být chráněny i podle zákona o ochraně utajovaných informací). Stejně tak je potřeba postupovat v případě informace, jejíž zpřístupnění by mohlo ohrozit účinnost opatření vydaného podle zákona o kybernetické bezpečnosti. Jak z ustanovení samotného plyne, bude se v tomto případě jednat o informaci, jejíž zveřejnění by mohlo mít negativní dopad na opatření vydané podle zákona o kybernetické bezpečnosti.“
Na potřebě zachovat výjimku ve formě obecného „ohrožení zajišťování kybernetické bezpečnosti“ nic nemění také skutečnost, že zákon o svobodném přístupu k informacím obsahuje s účinností od 24. dubna 2019 ustanovení § 11 odst. 1 písm. d) a v rámci něj možnost omezit poskytnutí informace, pokud „její poskytnutí významně nebo přímo ohrožuje účinnost bezpečnostního opatření stanoveného na základě zvláštního předpisu pro účel ochrany bezpečnosti osob, majetku a veřejného pořádku“. Toto ustanovení je tak potřeba vnímat jako doplňující především tam, kde půjde o informace o bezpečnostních opatřeních podle návrhu zákona, ale zároveň tyto informace nedosahují svou důvěrností úrovně „vysoká“ nebo „kritická“.
Na tuto dosavadní právní úpravu navazuje i navrhovaná úprava, která stanoví tři směry výjimky z práva na informace:
· zpřístupnění informace by mohlo ohrozit zajišťování kybernetické bezpečnosti,
· zpřístupnění informace by mohlo ohrozit účinnost protiopatření vydaného podle tohoto zákona, nebo
· byla by zpřístupněna informace, která je vedena v evidencích vedených Úřadem.
Navrhovaná úprava je oproti dosavadní právní úpravě rozdílná, když přináší rozšíření výjimky z evidence incidentů na všechny evidence, které jsou Úřadem vedeny. Přestože je navrhovanou úpravu možno vnímat jako rozšíření výjimky z práva na informace, jedná se v případě obsahu evidencí fakticky o informace, které je možno považovat z povahy věci za informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti, a také k tomu tak (především v případě evidence povinných orgánů a osob) bylo dosud přistupováno. Návrh zákona důsledně rozlišuje pojem evidence a pojem seznam, přičemž na seznamy se tato výjimka neuplatní a uplatnit nemá (jedná se o veřejné informace). Výčet evidencí je taxativní a je uveden v § 48 v návrhu zákona.
Návrh zákona v otázce omezení práva na informace zajišťuje kontinuitu se zákonem o kybernetické bezpečnosti a zároveň je v souladu s čl. 17 odst. 4 Listiny základních práv a svobod, když je stále toho názoru, že v oblasti kybernetické bezpečnosti, která hraje v oblasti bezpečnosti státu stále důležitější roli, převažuje požadavek na zajištění bezpečnosti státu a veřejné bezpečnosti. Zároveň je nutné konstatovat, že orgán nebo osoba vyřizující žádost o poskytnutí informací budou při rozhodování o žádosti vždy povinni posoudit, zda by opravdu poskytnutí požadované informace mohlo ohrozit zajišťování kybernetické bezpečnosti a pečlivě v daném případě zvažovat potřebu omezení práva na informace.
Vzhledem k tomu, že také dosavadní právní úprava této výjimky byla vzhledem ke specifičnosti oblasti kybernetické bezpečnosti začleněna do obsahu zákona o kybernetické bezpečnosti, a ne do zákona o svobodném přístupu k informacím, přistupuje k této problematice návrh zákona stejně.
Nad rámec uvedeného lze přitom poukázat na provázanost komentovaného ustanovení s jinými právními předpisy upravujícími zpřístupňování či zveřejňování informací, jež by mohly ohrozit kybernetickou bezpečnost regulovaných aktiv. Příkladem je prováděcí právní předpis o dlouhodobém řízení informačních systémů veřejné správy k zákonu informačních systémech veřejné správy, který mimo jiné definuje, co je provozní dokumentací informačních systémů veřejné správy a orgánům veřejné správy stanovuje obecnou povinnost sadu dokumentací zveřejnit způsobem umožňujícím dálkový přístup. Jelikož součástí provozní dokumentace jsou dle prováděcího právního předpisu poměrně detailní informace o systémech, včetně bezpečnostní dokumentace, jeví se v některých případech její zveřejnění jako nežádoucí. Prováděcí právní předpis proto stanoví výjimku, podle které se povinnost zveřejnit dokumentaci nepoužije v případě, kdy zveřejnění vylučuje jiný právní předpis nebo úkon anebo právní jednání vyžadované nebo umožněné takovým právním předpisem. Samotná vyhláška pak odkazuje na demonstrativní výčet, do kterého zařazuje i zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a zákon č. 106/1999 Sb., o svobodném přístupu k informacím, čímž zjevně odkazuje i na § 10a zákona o kybernetické bezpečnosti, resp. na § 38 návrhu zákona. Informace, na které by bylo možno aplikovat současný § 10a, resp. § 38 návrhu zákona, jsou tedy mj. tou výjimkou, na kterou vyhláška odkazuje.
K § 39
Toto ustanovení upravuje problematiku stavu kybernetického nebezpečí od přípravy na jeho řešení, vyhlášení až po samotné řešení vzniklých kybernetických bezpečnostních incidentů a událostí. Vzhledem k tomu, že návrh zákona je postaven na principu minimalizace zásahu do autonomie vůle subjektů působících v kybernetickém prostoru, jsou zákonné povinnosti vyplývající z návrhu zákona za normální situace ukládány pouze těm orgánům a osobám, které poskytují návrhem zákona a prováděcími právními předpisy specifikované regulované služby, a jejichž systémy jsou tudíž vysoce bezpečnostně exponovány, tj. poskytovatelům regulovaných služeb. Zahraniční zkušenosti však ukazují, že může dojít k tak masivnímu ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo na zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, majetku nebo životního prostředí.
Nelze–li takový incident zvládnout za užití standardních mechanismů návrhu zákona, může ředitel Úřadu rozhodnout o vyhlášení stavu kybernetického nebezpečí, v němž dojde k rozšíření osobní působnosti návrhu zákona i mimo okruh poskytovatelů regulovaných služeb, tak aby mohly být dostatečně zabezpečeny chráněné zájmy České republiky vymezené v tomto ustanovení.
K § 40
Stav kybernetického nebezpečí se vyhlašuje v situaci, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru. Znění ustanovení celé soustavy stavu kybernetického nebezpečí je výsledkem konzultací s Ministerstvem vnitra – Generálním ředitelstvím Hasičského záchranného sboru, přičemž záměrem bylo vytvořit nástroj, který bude srovnatelný například s mimořádným stavem nouze v energetice.
Proces vyhlašování stavu kybernetického nebezpečí je upraven analogicky s krizovým zákonem. O vyhlášení stavu kybernetického nebezpečí rozhoduje ředitel Úřadu, který rovněž rozhoduje o prodloužení stavu kybernetického nebezpečí, až do maximální celkové délky 60 dní od jeho vyhlášení. Vzhledem k závažnosti důvodů, které mohou vést k vyhlášení stavu kybernetického nebezpečí, ředitel Úřadu o vyhlášení stavu kybernetického nebezpečí a jeho prodloužení neprodleně informuje vládu.
Rozhodnutí o vyhlášení stavu kybernetického nebezpečí zveřejní Úřad na své úřední desce a dalšími vhodnými způsoby, které zajistí, že budou adresáti, zejména osoby a orgány povinné k provádění či strpění opatření, dostatečně informováni o vyhlášení stavu kybernetického nebezpečí a jeho povaze. K tomu může Úřad využít například veřejná média jako televizní či rozhlasové vysílání, zveřejnění na internetových stránkách Úřadu a dalších organizací, zveřejnění na sociálních sítích a podobně. S ohledem na závažnost a urgentní povahu stavu kybernetického nebezpečí bylo přistoupeno k udělení povinnosti každému, kdo provozuje hromadné sdělovací prostředky podle zákona č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění pozdějších předpisů, zejména pak provozovatelům celoplošného televizního nebo rozhlasového vysílání, kteří jsou povinni bez náhrady nákladů na základě žádosti Úřadu neprodleně a bez úpravy obsahu a smyslu uveřejnit informace o vyhlášení stavu kybernetického nebezpečí.
Pro vyhlášení i prodloužení stavu kybernetického nebezpečí platí vedle obecných právních principů (např. princip proporcionality) též konkrétní materiální omezení uvedená v tomto ustanovení. Stav kybernetického nebezpečí lze vyhlásit pouze ze zákonného důvodu, na dobu nezbytně nutnou k vyřešení ohrožení, které bylo důvodem jeho vyhlášení, a pouze tehdy, nelze-li důvod jeho vyhlášení řešit běžnou činností Úřadu podle tohoto návrhu zákona a jeho prodloužení je možné pouze za splnění podmínky, že důvody pro vyhlášení stavu kybernetického nebezpečí trvají.
Stav kybernetického nebezpečí, jako stav mimořádný, je koncipován jako stav mimo režim krizového zákona, byť z něj vychází a v mnoha ohledech na něj navazuje, i mimo režim ústavního zákona o bezpečnosti České republiky. Stav kybernetického nebezpečí však bylo nutno provázat s mimořádnými (krizovými) stavy podle těchto právních předpisů. Byla tak přejatá i konstrukce, že v případě, kdy je zřejmé, že na odvrácení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru, které vedlo k vyhlášení stavu kybernetického nebezpečí, nedostačují postupy a prostředky přijaté podle návrhu zákona o kybernetické bezpečnosti a tyto důvody budou trvat i po 60 dnech od jeho vyhlášení, požádá ředitel Úřadu neprodleně vládu o vyhlášení nouzového stavu k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru podle ústavního zákona o bezpečnosti České republiky. Obdobné propojení bylo zakotveno již v § 21 odst. 6 zákona o kybernetické bezpečnosti. Za situace, kdy dojde k vyhlášení krizového stavu k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru zůstává stav kybernetického nebezpečí v platnosti po celou dobu vyhlášení tohoto krizového stavu, jedná se tedy o dva odlišné nástroje, které mají stejný cíl. Z důvodu urgentnosti situace je zřejmý zájem na tom, aby opatření za stavu kybernetického nebezpečí vyhlášena ředitelem Úřadu v platnosti, pokud vláda nerozhodne jinak.
Součástí rozhodnutí o vyhlášení stavu kybernetického nebezpečí musí být opatření podle § 41 k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru a jejich rozsah, včetně uvedení důvodů, pro které by stav kybernetického nebezpečí vyhlášen. Změna opatření k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru musí být vyhlášena obdobně jako stav kybernetického nebezpečí, aby byl dodržen požadavek na formu právního jednání.
Stav kybernetického nebezpeční končí uplynutím doby, na kterou byl vyhlášen, nebo jeho zrušením ředitelem Úřadu nebo vládou. Zrušení se vyhlašuje na Úřední desce Úřadu a dalšími vhodnými způsoby, obdobně jako při jeho vyhlášení.
Vyloučení aplikace správního řádu pro potřeby řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru za stavu kybernetického nebezpečí vychází z potřeby reagovat na určitou situaci v co nejkratším možném čase, aby bylo zamezeno škodám na chráněných zájmech České republiky. V případě mimořádné situace, která vyvolá potřebu vyhlásit stav kybernetického nebezpečí, lze očekávat potřebu pohotové reakce bez zbytečného odkladu. Tato potřeba je dále umocněna i povahou kybernetického prostoru, kde mohou kybernetické bezpečnostní incidenty způsobit škody v rámci hodin, ne-li minut. Opravné prostředky proti rozhodnutí orgánu, které správní řád poskytuje, by mohly mít za následek nepřípustné časové prodlení, které by mohlo vést k neúčinnosti uložených opatření k řešení stavu kybernetického nebezpečí, případně způsobit prodlení, které by mohlo mít za následek větší škodu na chráněných zájmech České republiky.
K § 41
Toto ustanovení stanovuje strukturu oprávnění Úřadu a povinností orgánů a osob ve vztahu k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru za stavu kybernetické nebezpečí. Z dosavadních zkušeností při řešení mimořádných událostí a krizových situací v České republice i v zahraničí vyplývá potřeba specifické úpravy práv a povinností relevantních orgánů a osob.
S ohledem na zachování proporcionality zajištění národní bezpečnosti a ochrany svobody podnikání, jakož i s ohledem na minimalizaci státního donucení a ekonomických dopadů navrhovaného řešení na veřejný i soukromý sektor budou opatření za stavu kybernetického nebezpečí aplikována po nezbytně nutnou dobu a v nezbytném rozsahu.
Opatření za stavu kybernetického nebezpečí je oprávněn vydávat a nařizovat ředitel Úřadu, a to v reakci na aktuální hrozbu v oblasti kybernetické bezpečnosti nebo v reakci na konkrétní kybernetické bezpečnostní incidenty při trvání značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru. Úřad je oprávněn aplikovat následující opatření za stavu kybernetického nebezpečí vůči orgánům a osobám v České republice:
· Úřad může v případě potřeby poskytnout věcné prostředky, které má v užívání a které jsou nezbytné k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem. Tímto se rozumí zejména hardware a software. Orgán nebo osoba, které byly věcné prostředky poskytnuty pro řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem, tyto Úřadu navrátí po pominutí důvodů, které vedly k jejich zapůjčení. Případně je orgán nebo osoba povinna Úřadu věcný prostředek nahradit jiným způsobem.
· V případě potřeby si Úřad může vyžádat od orgánů a osob informace o věcných prostředcích, o výrobních a provozních kapacitách a personálních zdrojích a o objemu zásob ve stanovených druzích materiálu, přičemž tyto orgány a osoby mají povinnost poskytnout Úřadu vyžadované informace úplně a pravdivě v Úřadem stanovené lhůtě. Toto opatření se použije zejména při řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem ve specifickém odvětví, o kterém nemá Úřad dostatečné znalosti a kde mu chybí věcné prostředky. Specifickým odvětvím se rozumí odvětví, na jehož zabezpečení a provoz se využívají prostředky informačních technologií a sítí elektronických komunikací, které se běžně nepoužívají nebo vyžadují vysokou specializaci osob zajišťujících jejich provoz.
· Úřad si může v případě potřeby vyžádat u předem zasmluvněných orgánů a osob informace o personálních zdrojích a věcných prostředcích, kterými disponují, požádat o přednostní poskytnutí, resp. sdílení, těchto personálních zdrojů nebo věcných prostředků a tyto personální zdroje nebo věcné prostředky využít k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru, pokud to neohrozí plnění úkolů těchto orgánů a osob při řešení stavu kybernetického nebezpečí. Plnění těchto povinností může být odmítnuto pouze fyzickou osobou, a to za předpokladu, že by dotčená fyzická osoba svým plněním ohrozila život nebo zdraví svůj nebo jiných osob. Informace nejprve Úřadu poskytnou přehled o možnostech orgánu nebo osoby zapojit se do řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem. Tato forma spolupráce se předpokládá zejména s dalšími státními orgány, případně s provozovatelem Národního CERT. Smlouvy a zápisy o sdílení personálních zdrojů a věcných prostředků Úřad sjednává s orgány a osobami na základě § 44 odst. 3 písm. q) navrhovaného znění zákona.
· Úřad má možnost zakázat orgánům a osobám používání technických aktiv v případě, že jsou taková aktiva bezprostředně ohrožena kybernetickým bezpečnostním incidentem, který je může významně poškodit nebo zničit, nebo jsou takovým incidentem již postižena, Úřad toto opatření použije zejména v případech, kdy by další používání dotčených technických aktiv mohlo způsobit rozsáhlejší škody.
· V případě potřeby může Úřad nařídit konkrétním zaměstnancům po konzultaci s jejich zaměstnavateli podle zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, pracovní pohotovost, pokud je to nezbytné k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru. Za práci v pohotovostním režimu přísluší dotčeným osobám adekvátní náhrada. Toto ustanovení míří na vztah zaměstnance a zaměstnavatele a možnost Úřadu aktivovat pracovní pohotovost, na kterou se neaplikuje věta první § 95 odst. 1 zákoníku práce. Tento nástroj byl vybrán jako mírnější varianta ve srovnání s pracovní povinností podle krizového zákona.
· Úřad může uložit orgánům či osobám povinnost provést opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před kybernetickým bezpečnostním incidentem a oznámit provedení opatření a jeho výsledek Úřadu. Tato povinnost poskytne Úřadu přehled o stavu a způsobu provedených opatření. Jedná se o rozšíření povinnosti vyplývající z obecné úpravy v návrhu zákona i na další orgány a osoby, na které se obecná úprava mimo stav kybernetického nebezpečí nevztahuje, a nepostačovalo by tak užití institutu reaktivního protiopatření.
· V rámci řešení kybernetického bezpečnostního incidentu může Úřad nařídit provedení skenu zranitelností. Za účelem zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem pak může nařídit provedení skenu zranitelností nebo penetračního testu.
· Úřad může nařídit orgánům a osobám zpřístupnění neveřejných komunikačních sítí v jejich správě pro potřeby Úřadu. Toto opatření se použije, pokud je zpřístupnění neveřejných komunikačních sítí nezbytné pro řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem. Tento nástroj míří zejména na situaci, kdy nebude dostupná veřejná síť a bude potřeba podat informace skrze síť neveřejnou, případně když se použití neveřejné sítě bude jevit jako efektivnější řešení. Tak tomu může být například v případě sítě distribuční soustavy elektřiny, případně obdobných sítích, které nesplňují náležitosti veřejně dostupné sítě podle zákona o elektronických komunikacích.
· Možnost ředitele úřadu požádat orgán nebo osobu, jež provozuje hromadné informační prostředky, o uveřejnění informace o vyhlášení stavu kybernetického nebezpečí a o opatřeních za stavu kybernetického nebezpečí je promítnutím potřeby informování veřejnosti, u které se předpokládá zájem o situaci, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru a může nést výše zmíněné negativní dopady. Tímto zveřejňováním může být zejména zveřejnění skrze celoplošné televizní či radiové vysílání, periodický tisk, dále také skrze sociální sítě, úřední desky nebo webové stránky dožádaného orgánu nebo osoby. Textace vychází ze zákona o integrovaném záchranném systému, přičemž hromadné informační prostředky jsou neurčitý právní pojem, který je používán ve více předpisech a je v tomto použití zaměnitelný s „hromadnými sdělovacími prostředky“, užitým v jiných právních předpisech (viz ŠÁMAL, Pavel, ŠÁMALOVÁ, Milada, GŘIVNA, Tomáš. § 357 [Šíření poplašné zprávy]. In: ŠÁMAL, Pavel a kol. Trestní zákoník. 3. vydání. Praha: C. H. Beck, 2023, s. 4495, marg. č. 16.).
V odstavci 2 je zrcadlově k opatřením v odstavci. 1 konstituována povinnost orgánů a osob opatření k řešení stavu kybernetického nebezpeční strpět nebo zavést a spolupracovat s Úřadem během řešení značného ohrožení či narušení bezpečnosti informací v kybernetickém prostoru. Splnění opatření za stavu kybernetického nebezpečí je klíčovou povinností orgánů a osob, které jsou k tomu vyzvány, vedoucí k dosažení účelu vyhlášení stavu kybernetického nebezpečí. Jedná se o rozšíření povinnosti vyplývající z obecné úpravy v návrhu zákona i na další orgány a osoby, na které se obecná úprava mimo stav kybernetického nebezpečí nevztahuje, a nepostačovalo by tak užití institutu reaktivního protiopatření. Poskytnutím součinnosti při provádění skenu zranitelnosti nebo penetračního testu se rozumí spolupráce vedoucí k provedení úkonů nezbytných pro provedení skenu zranitelností a penetračního testování bez zbytečného odkladu a s co nejmenším narušením bezpečnostních opatření. Zejména pak umožnění nezbytného přístupu do prostor, k dotčenému aktivu, poskytnutí informací nezbytných pro provedení skenu zranitelnosti nebo penetračního testu a poskytnutí kvalifikovaného personálu, který bude s Úřadem nebo orgánem nebo osobou pověřenou Úřadem spolupracovat. Tím bude zajištěn co nejefektivnější průběh použití tohoto nástroje za dodržení co nejmenšího zásahu do technických aktiv a poskytování regulované služby.
Odstavec 3 upravuje vrácení Úřadem poskytnutých věcných nespotřebovaných prostředků Úřadu po skončení stavu kybernetického nebezpečí.
K § 42
Přiměřené použití ustanovení krizového zákona o náhradách škody plyne z tematické propojenosti stavu kybernetického nebezpečí a krizových stavů. Dotčené ustanovení bylo konzultováno s Ministerstvem vnitra – Generálním ředitelstvím Hasičského záchranného sboru a byl identifikován zájem na analogické úpravě, zejména také vzhledem k očekávané novele zákona o krizovém řízení.
K § 43
Přiměřené použití ustanovení krizového zákona o náhradách škody plyne z tematické propojenosti stavu kybernetického nebezpečí a krizových stavů. Dotčené ustanovení bylo konzultováno s Ministerstvem vnitra – Generálním ředitelstvím Hasičského záchranného sboru a byl identifikován zájem na analogické úpravě, zejména také vzhledem k očekávané novele zákona o krizovém řízení.
K § 44
Úřad byl zřízen k 1. srpnu 2017 na základě novelizace zákona o kybernetické bezpečnosti z roku 2017. Zákon o kybernetické bezpečnosti upravuje postavení Úřadu hned v několika ustanoveních. Jedná se především o § 21a, pojednávající o jeho zřízení a postavení ředitele Úřadu, dále o § 22 stanovující jeho pravomoci, a stejně tak o § 20, který upravuje postavení Vládního CERT „jako součásti Úřadu“.
Navrhovaným ustanovením dochází k logickému sloučení těchto výše uvedených ustanovení do jednoho paragrafu.
V rámci odstavce 1 tohoto ustanovení se jedná o převedení znění ustanovení § 21a odst. 1 zákona o kybernetické bezpečnosti, tedy ustanovení o existenci Úřadu, vytyčení jeho činnosti, důvodu existence a poslání, stejně tak jako jeho základní zakotvení – jak v rámci území České republiky, tak v rámci otázky financování jeho fungování.
Obsah odstavce 2 upravuje postavení ředitele Úřadu a jedná se o doslovné znění ustanovení § 21a odst. 2 a 3 zákona o kybernetické bezpečnosti.
V případě požadavku směrnice NIS2 v čl. 32 odst. 4 („Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.“) má předkladatel za to, že současně platné, stejně tak jako navrhované ustanovení naplňuje požadavek na transpozici zmíněného ustanovení. Návrhem zákona je jasně dáno, že kontrola má probíhat podle zákona a v mezích zákona, přičemž není prostor pro ovlivňování výkonu kontroly. Úřad je už dnes při výkonu kontroly a ukládání sankcí nezávislý. V minulosti s tímto ani neexistoval náznak pochybnosti, že by tomu tak nemělo být. Úřad ukládá pokuty ostatním orgánům státní správy, stejně tak jako celá řada státních orgánů dává sankce jiným státním orgánům, aniž by to muselo být nutně uvedeno podrobným ustanovením o nezávislosti v rámci daného předpisu. Máme také za to, že protože výnosy vlády (která i přesto že je vrcholným orgánem státní správy) nejsou nad zákonem, resp. že předseda vlády je toliko dle současného i navrhovaného znění nadřízeným ředitele Úřadu, nicméně jejich role je toliko koordinační a informační, a proto premiér nemá možnost ovlivňovat výkon zákonné působnosti.
Samotné pravomoci Úřadu jsou stanoveny v odstavcích 3 a 4 návrhu zákona. V odstavci 3 jsou uvedeny činnosti výslovně spjaté s procesy uvedenými v tomto návrhu zákona, především s činnostmi spojenými s poskytovateli regulovaných služeb. Jedná se tak např. o jejich identifikaci, registraci, zápis a vedení evidence, stejně tak jako o jejich plnění dalších povinností, ale také vedle poskytovatelů regulovaných služeb o činnosti spojené s vyhlašováním stavu kybernetického nebezpečí nebo pozastavení evropského certifikátu kybernetické bezpečnosti a další.
Úřad však jako gestor pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací vykonává celou řadu dalších činností. Tyto činnosti jsou uvedeny v odstavci 4, přičemž se jedná o činnosti výzkumné a vývojové, koordinační, kooperační, preventivní nebo činnosti vedoucí k realizaci mezinárodní spolupráce. Tento odstavec také reflektuje evropské právní předpisy a úlohu, kterou na základě nich plní Úřad v rámci České republiky.
Odstavec 5 navazuje na úpravu obsaženou v ustanovení § 20 zákona o kybernetické bezpečnosti týkající se Vládního CERT. Existence Vládního CERT historicky přesahuje existenci Úřadu a datuje se k usnesení vlády ze dne 19. října 2011 č. 781, které uložilo řediteli Národního bezpečnostního úřadu vybudovat do konce roku 2015 plně funkční Národní centrum kybernetické bezpečnosti, jakož i vládní koordinační místo pro okamžitou reakci na počítačové incidenty – tedy Vládní CERT. Vládní CERT je koncipován jako centrální veřejnoprávní pracoviště a veřejnoprávní „single point of contact“ pro oblast kybernetické bezpečnosti. Jeho činnost zahrnuje příjem kontaktních údajů od vybraných orgánů a osob, příjem informací o kybernetické bezpečnostní situaci, a to zejména příjem povinných a iniciativních hlášení kybernetických bezpečnostních incidentů a dalších údajů o kybernetické bezpečnostní situaci od tuzemských a zahraničních orgánů veřejné moci a spolupracujících subjektů a jejich vyhodnocování. Vládní CERT dále poskytuje součinnost vybraným typům orgánů a osob při výskytu kybernetického bezpečnostního incidentu, zajišťuje součinnost s ostatními orgány a osobami zajišťujícími kybernetickou bezpečnost v České republice a ve spolupracujících nebo spojeneckých státech a rovněž provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti, jehož předmětem je zkoumání známých zranitelností a koordinace jejich řešení. Činnosti Vládního CERT související s řešením kybernetických bezpečnostních incidentů, zranitelností a dalších mohou nabývat různých podob, a kromě podoby zcela pasivního příjmu informací od povinných osob mohou mít v omezeném rozsahu též aktivní charakter, například v souvislosti s vyhledáváním zranitelností. Úřad tím přitom nerozšiřuje své pravomoci nad rámec současné právní úpravy, ale pouze tyto činnosti zjednodušuje a upřesňuje (např. provádění vyhledávání zranitelností je v současnosti založeno na několika alternativních ustanoveních zákona o kybernetické bezpečnosti, v závislosti na tom, zda jde o činnost vykonávanou v rámci podpory orgánu či osoby zasažené kybernetickým bezpečnostním incidentem, metodické podpory či pomoci povinné osobě nebo např. o analýzu a monitoring kybernetických hrozeb a rizik). Vládní CERT je také koordinátorem pro účely koordinovaného zveřejňování zranitelností v souladu s čl. 12 odst. 1 směrnice NIS 2. V případě požadavku směrnice NIS2 na zajištění odpovídajících zdrojů ve smyslu čl. 10 odst. 2 („Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3“) se jako doposud počítá se zajištěním financí na výdaje na zabezpečení plnění úkolů vládního CERT prostřednictvím příslušné kapitoly státního rozpočtu Národního úřadu pro kybernetickou a informací bezpečnost, jehož je vládní CERT součástí.
K § 45
Ustanovení v odstavci 1 vymezuje činnost Národního CERT, který bude sloužit zejména jako společné kontaktní a koordinační místo pro poskytovatele regulovaných služeb v režimu nižších povinností a osoby, na které nebude dopadat zákon o kybernetické bezpečnosti. Národní CERT bude Úřadu předávat informace o nahlášených hrozbách, kybernetických bezpečnostních událostech, kybernetických bezpečnostních incidentech a zranitelnostech v oblasti kybernetické bezpečnosti. V případě kybernetických bezpečnostních incidentů s významným dopadem na kontinuitu poskytování regulované služby bude Národní CERT plnit informační povinnost jak vůči Úřadu, tak vůči jiným členským státům, na jejichž území by mohlo dojít k narušení kontinuity zasažené služby. V neposlední řadě bude Národní CERT plnit roli CSIRT týmu podle směrnice NIS 2. Vymezené činnosti, jež Národní CERT sdílí s činnostmi Úřadu, případně Vládního CERT, jsou koncipovány tak, aby se vzájemně nepřekrývaly s výjimkou těch, kde je to žádoucí. Proto je v zákoně nastaveno u obou CERT např. přijímání a vyhodnocování podnětů, podílení se na mezinárodních uskupení v oblasti kybernetické bezpečnosti, případně pak spolupráce Národního CERT a Úřadu při vzájemném hodnocení podle příslušného předpisu Evropské unie.
Model standardně soukromoprávního výkonu funkcí Národního CERT usnadňuje komunikaci mezi Národním CERT a orgány a osobami využívajícími jej povinně jako kontaktní místo. Národní CERT se bude také moci zapojit do mezinárodních sítí obdobných soukromoprávních pracovišť typu CERT a těžit z poznatků, které se v rámci těchto sítí neformálně předávají. Předpokládaný soukromoprávní charakter Národního CERT je vzhledem ke smyslu a účelu návrhu zákona vhodný i z toho důvodu, že provozovatel Národního CERT není ve své činnosti zcela omezen zásadou enumerativnosti veřejnoprávních pretenzí a může z pozice osoby soukromého práva iniciativně provádět také další činnosti k dosažení účelu návrhu zákona, samozřejmě v jeho mezích a v mezích veřejnoprávní smlouvy uzavřené s Úřadem. Provozovatel Národního CERT tak bude moci například poskytovat metodickou a informační pomoc i orgánům a osobám stojícím mimo osobní působnost zákona, tj. těm mimo definice jednotlivých kategorií orgánů a osob, pokud o to projeví zájem. Národní CERT bude moci dále vyvíjet vlastní vzdělávací, publikační, výzkumnou nebo vývojovou činnost apod. Podmínkou omezující iniciativně vykonávané činnosti Národního CERT k dosažení účelu tohoto návrhu zákona je samozřejmě také jejich bezrozpornost s plněním povinností taxativně vyčtených v návrhu zákona.
Návrh zákona dále požaduje, aby provozovatel Národního CERT plnil povinnosti svěřené mu tímto zákonem nestranně a koordinoval svou činnost s Úřadem. Činnosti nezbytné pro zajištění kybernetické bezpečnosti České republiky a plnění požadavků příslušné legislativy EU vykonává provozovatel Národního CERT vůči Úřadu bezúplatně. Uvedené úzce souvisí s požadavkem na provozovatele Národního CERT podle odst. 1 písm. h) ustanovení, podle kterého musí být provozovatel Národního CERT osobou, která nebyla založena nebo zřízena výlučně za účelem dosažení zisku. Tím není dotčena možnost provozovatele Národního CERT vlastním jménem a na vlastní odpovědnost vykonávat i další hospodářskou činnost v oblasti kybernetické bezpečnosti neupravenou návrhem zákona, pokud tato činnost nenaruší plnění povinností podle odstavce 3. Činnost Národního CERT by měla být vykonávána výhradně ve veřejném zájmu s důrazem na zachování důvěrnosti informací obdržených od orgánů a osob tak, aby byla zachována jejich důvěra v Národní CERT.
V případě požadavku směrnice NIS2 na zajištění odpovídajících zdrojů ve smyslu čl. 10 odst. 2 („Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3“) se jako doposud počítá se zajištěním financí na výdaje na zabezpečení plnění úkolů národního CERT prostředky provozovatele národního CERT. V případě Národního CERT se jedná o činnost na základě smlouvy, kdy schopnost Národního CERT zajistit svou činnost je součástí schopnosti veřejnoprávní smlouvu uzavřít. V případě, že by Národní CERT nebyl schopen vykonávat svou činnost, přebírá jeho činnost Vládní CERT.
Ustanovení v odstavci 4 a 5 zakotvují obecné podmínky pro výběr provozovatele Národního CERT a způsob jejich prokázání. V souvisejícím ustanovení § 55 návrhu zákona o náležitostech veřejnoprávní smlouvy s provozovatelem Národního CERT podle tohoto návrhu zákona je současně upraven způsob založení závazku k provozování Národního CERT formou veřejnoprávní smlouvy uzavřené s Úřadem. Užití institutu veřejnoprávní smlouvy odpovídá předpokladu, že provozovatelem Národního CERT bude osoba soukromého práva. Závazky provozovatele Národního CERT vykonávat činnosti uvedené v tomto zákoně mají sice převážně charakter soukromoprávní, ve vztahu k poskytovatelům regulovaných služeb v režimu nižších povinností však bude provozovatel Národního CERT vystupovat jako subjekt, vůči němuž tyto orgány a osoby plní svou zákonnou povinnost hlášení kybernetických bezpečnostních incidentů.
Vzhledem k tomu, že Národní CERT je pracovištěm velkého významu pro systém kybernetické bezpečnosti České republiky, vyžaduje se, aby provozovatel nevyvíjel činnost proti zájmům České republiky ve smyslu zákona o ochraně utajovaných informací. Bezúhonnost a neexistence splatných finančních závazků vůči státu jsou v případě spolupráce státu a osoby soukromého práva standardně požadovanými formálními podmínkami. Zákon rovněž formuluje materiální předpoklady výkonu funkce provozovatele Národního CERT, přičemž se požaduje, aby provozovatel Národního CERT prokázal faktické schopnosti a zkušenosti s provozem a správou relevantních technických aktiv, a to po dobu nejméně 5 let, dále technické předpoklady k výkonu činnosti uložené mu návrhem zákona, jakož i schopnost pracovat v součinnosti se zahraničními subjekty působícími na úseku kybernetické bezpečnosti. Požadavek na platné osvědčení podnikatele pro přístup k utajovaným informacím pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečností způsobilosti plyne zejména z významnosti Národního CERT pro systém kybernetické bezpečnosti České republiky, zároveň se také jedná o přidání bezpečnostního mechanismu, v rámci kterého jsou požadovány mimo jiné i informace o poskytnutých a přijatých půjčkách, zahraniční obchodní partneři nebo doložení ovládací smlouvy nebo písemné zprávy o vztazích vně společnosti. Tato potřeba vyplývá také z nařízení vlády č. 522/2005 Sb., kterým se stanový seznam utajovaných informací, ve znění pozdějších předpisů, podle kterého mohou být informace z bodu 1 přílohy č. 19 utajované a se kterými by se mohl provozovatel Národního CERT ve své působnosti seznámit.
K § 46
Návrh zákona v tomto ustanovení přejímá ustanovení § 24a, § 24b a § 24c zákona o kybernetické bezpečnosti a je tak také možné zcela odkázat na důvodovou zprávu k zákonu č. 35/2018 Sb., o změně některých zákonů upravujících počet členů zvláštních kontrolních orgánů Poslanecké sněmovny, která toto ustanovení do zákona o kybernetické bezpečnosti přinesla.
K § 47
Portál Úřadu umožní poskytovatelům regulovaných služeb provádět digitální úkony a Úřadu poskytovat digitální služby a sdílet informace. Portál Úřadu představuje komunikační platformu, která umožňuje oboustrannou komunikaci mezi Úřadem a poskytovateli regulovaných služeb, zejména snadné provádění standardizovaných podání vůči Úřadu. Do Portálu Úřadu mohou přistupovat pouze orgány a osoby, jimž byly přiděleny přihlašovací údaje, typicky v návaznosti na registraci, ale také další spolupracující organizace, kterým Úřad udělí přístup.
Vybrané úkony vyjmenované v odstavci 2 (například hlášení kontaktních údajů, incidentů nebo provedení protiopatření) musí být činěny prostřednictvím standardizovaných elektronických formulářů, přičemž se předpokládá předvyplnění informací, které bude Úřad u konkrétního orgánu nebo osoby již evidovat. Používání takových podání pomocí Portálu Úřadu umožňuje jejich automatizované zpracování na straně Úřadu, nadto dochází ke snížení administrativní zátěže na straně poskytovatelů regulovaných služeb.
Koncept Portálu Úřadu a prostřednictvím něj Úřadem sdílené informace s povinnými orgány a osobami nebo návrhem zákona vymezené úkony orgánů a osob jsou v souladu se zákonem č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů, zásadami obsaženými v Informační koncepci České republiky a Zásadami pro tvorbu digitálně přívětivé legislativy. Požadavek na vznik kontaktního místa ve formě platformy využívající on-line formuláře a automatizaci navíc explicitně zmiňuje recitál 106 směrnice NIS 2. Právě ve smyslu tohoto recitálu směrnice NIS 2 toto ustanovení nevylučuje budoucí použití Portálu Úřadu jako platformy umožňující jednotný postup pro hlášení bezpečnostních incidentů relevantním orgánům státní správy, které takové hlášení vyžadují (ve smyslu úkolu č. 3 ze schváleného Akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025). Takovými relevantními orgány státní správy, které vyžadují hlášení jsou např. Český telekomunikační úřad, Ministerstvo vnitra – Generální ředitelství Hasičského záchranného sboru nebo Česká národní banka. Úřad takové budoucí využití Portálu Úřadu zamýšlí realizovat v rámci dalších novelizací navrhovaného zákona.
Odstavec 2 stanovuje výčet úkonů, které lze provést výlučně elektronicky s využitím dálkového přístupu prostřednictvím standardizovaných formulářových podání dostupných skrze Portál Úřadu. Tento přístup přitom není v rozporu s § 14 zákona o právu na digitální služby, který sice stanovuje zákaz povinného využívání digitálních služeb a činění digitálních úkonů, ale pouze ve vztahu k nepodnikajícím fyzickým osobám. Poskytovatelé regulovaných služeb jsou v drtivé většině právnické osoby nebo organizační složky státu, teoreticky ve zcela výjimečných případech by mohlo jít o podnikající fyzické osoby, na něž se však citovaný zákaz nevztahuje. Nadto jsou v dílčích zákonných ustanoveních obsaženy náhradní způsoby provedení úkonů a podmínky jejich použití (viz hlášení incidentů). Účelem je zajištění komunikace i v případě, kdy by došlo k objektivní nemožnosti využít Portál Úřadu, ať už z důvodů na straně Úřadu (např. nedostupnost Portálu Úřadu), nebo samotného poskytovatele regulované služby (např. nedostupnost internetového připojení). Zvolené řešení nikterak nelimituje práva povinných orgánů a osob podle návrhu zákona. Veškeré požadované obsahové náležitosti, požadovaný formát, struktura a způsob provádění úkonů jsou upraveny ve vyhlášce o Portálu Úřadu. Provádění těchto úkonů v jiných než stanovených formátech a struktuře či v listinné formě by s ohledem na odhadované počty regulovaných orgánů a osob velmi pravděpodobně vedlo k zahlcení Úřadu, resp. by s takovýmto zpracováváním podání byly spojeny enormní personální nároky, z tohoto důvodu návrh zákona stanovuje neúčinnost takto chybně provedených úkonů.
Poslední odstavec obsahuje pouze zmocňovací ustanovení k vydání vyhlášky o Portálu Úřadu, která stanovuje technické a organizační podmínky používání portálu a obsahové náležitosti, formát, strukturu a způsob provedení formulářových podání v souladu s nálezem Ústavního soudu ze dne 12. listopadu 2019, sp. zn. Pl. ÚS 19/17.
K § 48
Úřad vede v rámci zajištění své činnosti evidence, přičemž návrh zákona důsledně rozlišuje ve své terminologii mezi pojmy evidence a seznam. Vymezení evidencí vedených Úřadem v odstavci 1 je úzce provázáno s výjimkou z práva na informace upravenou v § 37 návrhu zákona. Právě z těchto evidencí nelze poskytovat informace na základě předpisů upravujících svobodný přístup k informacím, protože u těchto evidencí by zveřejňování citlivých informací v nich obsažených vedlo k ohrožení zajišťování kybernetické bezpečnosti. Naopak v případě seznamů, pokud návrh zákona tento termín používá, se jedná o vedení informací, které jsou a priori veřejné.
Odstavec 2 pak stanovuje, že údaje obsažené ve vymezených evidencích lze poskytovat ostatním orgánům veřejné moci, nicméně pouze na základě jejich žádosti, a je-li to nezbytné pro výkon jejich působnosti. Pokud je poskytnutí požadovaných informací nezbytné pro výkon působnosti žadatele a poskytnutí takové informace nebrání jiné zákonné důvody (např. mlčenlivost apod.), Úřad tuto informaci poskytne. Zaslaná žádost zároveň určuje účel využití poskytnutých informací.
Odstavec 3 umožňuje sdílení údajů o kybernetických bezpečnostních incidentech, událostech a hrozbách mezi Úřadem a relevantními partnery, což souvisí s funkčním nastavením koordinačních mechanismů a vzájemné spolupráci při řešení incidentů, ať už na základě směrnice NIS 2 nebo jiných předpisů či dohod. Úzká spolupráce se předpokládá zejména s Národním CERT nebo CERT týmy ostatních členských států EU.
Poslední odstavec 4 nastavuje shodně s § 10 zákona o kybernetické bezpečnosti ještě vyšší standard ochrany ve vztahu k informacím z evidence kybernetických bezpečnostních incidentů, událostí a hrozeb, kdy se na relevantní zaměstnance Úřadu uplatní povinnost mlčenlivosti.
Toto ustanovení nebrání, aby v případech potřeby opakovaného poskytování informací (např. aktualizace obsahu evidencí na pravidelné bázi) došlo k dohodě mezi Úřadem a orgánem veřejné moci na tom, že odůvodněná žádost bude podaná pouze poprvé a na základě jejího obsahu bude k pravidelnému poskytování informací docházet.
K § 49
Návrh tohoto adaptačního ustanovení evropského nařízení beze změn navazuje na ustanovení § 22b zákona o kybernetické bezpečnosti.
Akt o kybernetické bezpečnosti ve svém čl. 54 odst. 1 písm. f) stanoví, že jednotlivé evropské systémy certifikace (tzn. prováděcí akty Evropské komise, přičemž se předpokládá využití institutu přímo použitelného aktu – prováděcího nařízení Evropské komise) v příslušných případech zahrnují rovněž konkrétní nebo dodatečné požadavky na subjekty posuzování shody, s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost. Podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti se splnění těchto požadavků posuzuje v řízení o autorizaci.
Obdobně jako v § 11 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, bylo nutno explicitně jmenovat čtyři typy řízení týkající se autorizací, a to řízení o žádosti o autorizaci subjektu posuzování shody, řízení o pozastavení vykonatelnosti rozhodnutí o autorizaci, řízení o změně rozhodnutí o autorizaci a řízení o zrušení rozhodnutí o autorizaci, protože čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti je toliko stanoveno, že vnitrostátní orgány certifikace „v příslušných případech autorizují subjekty posuzování shody podle čl. 60 odst. 3 a omezují, pozastavují nebo odebírají stávající autorizaci, pokud subjekty posuzování shody porušují požadavky tohoto nařízení“. S ohledem na uvedenou textaci čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti je současně nutno navázat řízení o pozastavení vykonatelnosti rozhodnutí o autorizaci, o změně rozhodnutí o autorizaci nebo o zrušení rozhodnutí o autorizaci nejen na porušení požadavků prováděcího nařízení Evropské komise (slovy návrhu zákona „přímo použitelného předpisu EU vydaného na základě aktu o kybernetické bezpečnosti“), ale také samotného aktu o kybernetické bezpečnosti („subjekty posuzování shody porušují požadavky tohoto nařízení“).
V odstavci 2 je stanovena povinnost subjektu posuzování shody přiložit k žádosti o autorizaci všechny doklady o plnění konkrétních nebo dodatečných požadavků. Jedná se opět o formulaci povinnosti koncipovanou obdobně jako v zákoně o technických požadavcích na výrobky (konkrétně v § 11 odst. 1 větě druhé), tzn. v míře specifikace dokladů odpovídající tomu, že konkrétní nebo dodatečné požadavky budou stanoveny až (v budoucnu) prováděcími akty Evropské komise, a nelze tedy v tuto chvíli konkrétně stanovit, o jaké doklady prokazující tyto v budoucnu stanovené požadavky se jedná. Současně je ale nutno povinnost předložit doklady prokazující plnění požadavků subjektu posuzování shody uložit, jinak by relevantní skutečnosti nemohly být v řízení o žádosti o autorizaci řádně ověřeny.
V odstavci 3 je (obdobně jako v § 11 odst. 5 zákona o technických požadavcích na výrobky) upraven postup správního orgánu v případě, že správní orgán vydá rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. V takovém případě má subjekt posuzování shody možnost ve stanovené lhůtě zjednat nápravu porušení stanovených požadavků. V situacích, kdy je zjednání nápravy možné, nedochází hned k rušení rozhodnutí o autorizaci.
U rozhodnutí o pozastavení vykonatelnosti, o změně nebo o zrušení rozhodnutí o autorizaci může Úřad v případech, kdy to bude vyžadovat veřejný zájem, v souladu s obecnou úpravou v § 85 odst. 2 správního řádu, vyloučit odkladný účinek rozkladu proti těmto rozhodnutím.
Zvláštní ustanovení k § 71 správního řádu pak představuje tento návrh. Jedná se o ustanovení zcela obdobné § 20 zákona o technických požadavcích na výrobky včetně totožného nastavení lhůt pro vydání rozhodnutí o autorizaci. Důvodem této úpravy je, že autorizace podle aktu o kybernetické bezpečnosti bude obdobně procesně, a tak i časově náročná jako autorizace podle zákona o technických požadavcích na výrobky.
K § 50
Úřad plní roli Národního koordinačního centra výzkumu a vývoje v oblasti kybernetické bezpečnosti podle nařízení (EU) 2021/887. EU dlouhodobě usiluje o posílení konkurenceschopnosti, kompetencí a kapacit v oblasti kybernetické bezpečnosti a o podporu průmyslových technologií a opatření v oblasti výzkumu a vývoje. Jednou z aktivit směřujících k tomuto cíli je i vytvoření Evropského průmyslového, technologického a výzkumného centra kompetencí pro kybernetickou bezpečnost (dále jen „Kompetenční centrum“), které má mimo jiné podporovat výzkum, inovace a jejich zavádění v oblasti kybernetické bezpečnosti, a na něj navazující sítě národních koordinačních center (dále jen „Síť“), složené ze všech národních koordinačních center, které členské státy oznámily správní radě Kompetenčního centra. Kompetenční centrum a Síť mají mimo jiné například pomoci soustředit investice do výzkumu, technologií a průmyslového vývoje v oblasti kybernetické bezpečnosti.
Základní činností Úřadu jakožto Národního koordinačního centra výzkumu a vývoje v oblasti kybernetické bezpečnosti je zejména poskytovat odborné znalosti a přispívat ke strategickým úkolům Kompetenčního centra, propagovat, podněcovat a usnadňovat účast relevantních aktérů na vnitrostátní úrovni v přeshraničních projektech a akcích v oblasti kybernetické bezpečnosti financovaných z prostředků EU, poskytovat podporu subjektům při podávání žádostí o projekty v relevantních EU programech (zejména Digital Europe a Horizon Europe), usilovat o vytvoření součinnosti s příslušnými vnitrostátními politikami v oblasti výzkumu, vývoje a inovací v kybernetické bezpečnosti a zajišťovat komunikaci s Kompetenčním centrem a Evropskou komisí ohledně priorit a potřeb České republiky v dané oblasti.
Úřad bude dále působit jako hlavní kontaktní místo na vnitrostátní úrovni pro Komunitu kompetencí pro kybernetickou bezpečnost (dále jen „Komunita“), která vzniká kolem Kompetenčního centra a Sítě a má přispět k plnění poslání a usilovat o zlepšování, sdílení a šíření odborných znalostí v oblasti kybernetické bezpečnosti v EU. Odstavec 1 návrhu zákona v této souvislosti a v souladu s čl. 7 a čl. 8 odst. 4 nařízení (EU) 2021/887 stanovuje, že Úřad bude posuzovat způsobilost žadatelů o registraci v členství v Komunitě. Registraci žadatele jako člena Komunity následně provádí Kompetenční centrum, a to po posouzení způsobilosti žadatele o registraci členství ze strany Úřadu. Registrovaným členem Komunity může být pouze osoba k tomu způsobilá.
Jelikož vznikající Komunita bude sdružovat subjekty napříč členskými státy EU a do procesu registrace je vedle jednotlivých národních koordinačních center spojených v Síti zapojeno také Kompetenční centrum, které finálně provádí registraci členů Komunity, je vhodné s ohledem na potřebu systematického předávání informací mezi Úřadem a Kompetenčním centrem nastavit proces podávání žádostí elektronicky. V této souvislosti je také vhodné zohlednit shodu členských států zastoupených ve Správní radě Kompetenčního centra na digitalizaci procesu, potvrzenou schválením nezávazného dokumentu Community Membership and Guidelines, a to i v kontextu odst. 5 čl. 8 nařízení (EU) 2021/887, který přímo vybízí jednotlivá národní koordinační centra ke spolupráci prostřednictvím Sítě za účelem harmonizace způsobu uplatňování kritérií členství a postupu posuzování způsobilosti žadatelů. Z těchto důvodů je v odstavci 3 nastaven proces podání žádosti elektronicky, a to skrze formulář zveřejněný na internetových stránkách Úřadu.
Nařízení (EU) 2021/887 přenáší odpovědnost na posouzení způsobilosti žadatele na Úřad jakožto národní koordinační centrum. S ohledem na fakt, že jsou informace poskytované žadatelem zásadní pro posouzení způsobilosti žadatele o registraci k členství nebo posouzení trvání způsobilosti žadatele k členství v Komunitě, musí Úřad při tomto posouzení vycházet z pravdivých a úplných informací poskytnutých žadatelem. Z tohoto důvodu odstavec 4 stanovuje povinnost žadatele uvádět v žádosti pravdivé a úplné údaje a určuje lhůtu pro nahlášení těchto změn. Dále je zde nastavena povinnost žadatele hlásit změny těchto údajů i po dobu trvání členství, které je časově neomezené, ale může být v souladu s čl. 8 odst. 4 nařízení (EU) 2021/887 ze strany Kompetenčního centra zrušeno v případě, že Úřad rozhodne o nezpůsobilosti žadatele k členství. Tato podmínka je tak zde nastavena z důvodu toho, že některé změny údajů týkající se žadatele mohou mít vliv na plnění podmínek způsobilosti z jeho strany, a tedy na trvání jeho členství v Komunitě.
K § 51
Člen Komunity musí splňovat podmínky základní způsobilosti pro členství v Komunitě. S ohledem na to, že členové Komunity mohou mít přístup k informacím v oblasti kybernetického výzkumu a vývoje zveřejňovaným Evropskou komisí, Kompetenčním centrem a dalšími subjekty, dále se budou moci podílet na činnostech Kompetenčního centra, účastnit se formálních i neformálních činností a pracovních skupin a poskytovat strategické poradenství ohledně agendy a ročního a víceletého pracovního programu Kompetenčního centra, je vysoce žádoucí vhodně nastavit podmínky základní způsobilosti. Odstavec 1 stanovuje podmínky pro základní způsobilost, které vychází z čl. 8 odst. 3 a odst. 4 nařízení (EU) 2021/887. Základní způsobilost zahrnuje podmínku, aby měl člen Komunity sídlo v České republice. V této souvislosti je třeba uvést, že v souladu s písmenem i) čl. 7 nařízení (EU) 2021/887 se očekává, že jednotlivá NKC budou v rámci Sítě posuzovat subjekty usazené ve stejném členském státě; nařízení (EU) 2021/887 však termín usazení blíže nedefinuje, kdy v důsledku tohoto je nejednoznačné, v jakých případech může NKC subjekt považovat za usazený v České republice a v jakých nikoliv. Zároveň s ohledem na možnou nedostupnost informací o subjektech, které nemají sídlo v České republice, může být omezena schopnost NKC správně posoudit jejich způsobilost k členství. NKC v České republice by proto mělo posuzovat subjekty se sídlem v České republice, kdy následně bude NKC v souladu s písmenem a) čl. 7. nařízení (EU) 2021/887 působit jako kontaktní místo pro členy Komunity na vnitrostátní úrovni. Nastavením požadavku na sídlo v České republice není omezena možnost subjektů stát se členy evropské Komunity, subjekt se však musí s žádostí obrátit na NKC v rámci členského státu EU, ve kterém má sídlo. Tímto dochází k jasnému rozdělení odpovědností mezi NKC napříč členskými státy v rámci Sítě. Navíc v případě, že takové pravidlo aplikují všechny členské státy, dochází k omezení rizika toho, že si subjekty budou účelově vybírat, u kterého NKC v rámci Sítě podají žádost s ohledem na benevolentnější či přísnější úpravu způsobilosti. Požadavek na sídlo v České republice zároveň umožňuje Úřadu získat co nejširší informace o subjektu k posouzení jeho způsobilosti. Dále odstavec 1 stanovuje některé obecné podmínky ve vztahu k Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014 a (EU) č. 283/2014 a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012.S ohledem na vysoce závažné případy chování, pro které může být přikročeno k zapsáni člena Komunity na vnitrostátní sankční seznam, a s tím spojená reputační rizika pro Úřad, potažmo Českou republiku, je základní způsobilost člena Komunity mimo jiné podmíněna neexistencí zápisu člena Komunity na vnitrostátním sankčním seznamu a dále podmínkou, že vůči němu Česká republika neuplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí. Dále ustanovení v odstavci 5 a odstavci 8 formuluje vnitrostátní bezpečnostní důvody vycházející z mechanismu prověřování bezpečnosti dodavatelského řetězce podle tohoto návrhu zákona, zákona č. 37/2021 Sb., o evidenci skutečných majitelů, ve znění pozdějších předpisů, a zákona č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon). Výše zmíněné vnitrostátní bezpečnostní důvody jsou formulovány s ohledem na fakt, že Komunita má představovat rozsáhlou, otevřenou, interdisciplinární a různorodou skupinu evropských zúčastněných stran zapojených do rozvoje technologií kybernetické bezpečnosti, a celkově přispět k posílení konkurenceschopnosti a kapacit EU. Dále, s ohledem na možná reputační rizika pro Úřad spojená s posouzením způsobilosti žadatele o registraci členství v Komunitě nebo člena Komunity, vůči kterému by Úřad zároveň vydal opatření obecné povahy ve smyslu návrhu zákona, bylo v odstavci 8 přistoupeno k tomu, že takový žadatel o registraci členství v Komunitě nebo člen Komunity není způsobilý k členství v Komunitě. V této souvislosti je vysoce žádoucí zamezit situacím, kdy by byl stejný subjekt posuzován ze strany Úřadu s odlišnými výsledky.
Odstavce 2 a 3 a stanovují způsob, jakým se prokazuje splnění podmínek základní způsobilosti, a to předložením výpisů, potvrzení a čestných prohlášení definovaných podle tohoto návrhu zákona pro potřebu provedení posouzení způsobilosti žadatele o registraci členství v Komunitě ze strany Úřadu.
K § 52
Podmínky zvláštní způsobilosti člena Komunity vycházejí z čl. 8 odst. 3 nařízení (EU) 2021/887. Člen Komunity v této souvislosti musí prokázat, že může přispívat k plnění poslání Kompetenčního centra a Sítě a má odborné znalosti v oblasti kybernetické bezpečnosti alespoň v jedné z těchto oblastí:
· akademická oblast, výzkum nebo inovace;
· průmyslový vývoj nebo vývoj produktů;
· odborná příprava a vzdělávání;
· bezpečnost informací nebo reakce na incidenty;
· etika;
· formální a technická normalizace a specifikace.
Žadatel o registraci členství v Komunitě prokazuje zvláštní způsobilost popisem toho, jakým způsobem bude přispívat k plnění poslání Kompetenčního centra a Sítě ve smyslu čl. 3 nařízení (EU) 2021/887. Za účelem prokázání odborných znalostí v alespoň jedné z výše vyjmenovaných oblastí žadatel specifikuje, v jakých oblastech disponuje odbornými znalosti, a připojí podpůrný popis konkrétních vykonávaných činností a aktivit v této oblasti. V rámci tohoto popisu může žadatel například uvést reference, publikace a příklady zapojení do relevantních evropských iniciativ a projektů v oblasti kybernetické bezpečnosti.
K § 53
S ohledem na roli Úřadu v oblasti posuzování způsobilosti žadatele ustanovení stanovuje postup a možné výsledky posouzení způsobilosti žadatele. Jelikož při posuzování způsobilosti žadatele dochází k uplatňování státní moci v určitém rozsahu, kdy výsledek posouzení rozhoduje o způsobilosti žadatele k registraci členství v Komunitě, stanovený postup musí být v souladu se správním řádem. Navrhovaná úprava tedy počítá se dvěma možnými výsledky posouzení, a to splněním podmínek způsobilosti a nesplněním podmínek způsobilosti ze strany žadatele. V případě splnění podmínek základní a zvláštní způsobilosti v souladu s návrhem zákona a nařízením (EU) 2021/887, postoupí Úřad žádost žadatele Kompetenčnímu centru k registraci. V opačném případě Úřad zahájí řízení o nezpůsobilosti žadatele k registraci členství v Komunitě podle správního řádu. V okamžiku nabytí právní moci rozhodnutí o nezpůsobilosti žadatele vydaného ve výše uvedeném řízení podle správního řádu, Úřad postoupí žádost žadatele Kompetenční centru a současně jej vyrozumí o nezpůsobilosti žadatele k registraci členství v Komunitě.
K § 54
V průběhu trvání členství v Komunitě může dojít k výrazným změnám u člena Komunity (např. ve vlastnické struktuře), které by mohly vést k ke zrušení jeho členství v Komunitě. Je tak žádoucí průběžně posuzovat plnění podmínek základní a zvláštní způsobilosti, aby potenciálně rizikový subjekt nedisponoval díky členství v Komunitě např. přístupem k informacím v oblasti výzkumu a vývoje v kybernetické a informační bezpečnosti, které nemusí být veřejně dostupné a mohou být strategického charakteru. Z tohoto důvodu Úřad v souladu s čl. 8 odst. 4 nařízení (EU) 2021/887 průběžně posuzuje plnění podmínek základní a zvláštní způsobilosti člena Komunity i po jeho registraci jako člena Komunity, a to postupem podle v souladu se správním řádem. V případě pochybností zahájí Úřad řízení o nezpůsobilosti člena Komunity k členství v Komunitě. V momentu, kdy rozhodnutí Úřadu o nezpůsobilosti člena Komunity k členství v Komunitě nabude právní moci, Úřad vyrozumí Kompetenční centrum o nezpůsobilosti člena Komunity, které následně provede zrušení jeho registrace členství v Komunitě.
K § 55
Toto ustanovení upravuje způsob výběru provozovatele Národního CERT, účel a podstatné náležitosti veřejnoprávní smlouvy, kterou bude Úřad uzavírat s provozovatelem Národního CERT. Návrh zákona předpokládá, že tato veřejnoprávní smlouva bude zveřejněna ve Věstníku Úřadu. Zveřejnění obsahu této smlouvy společně s institutem výběru provozovatele Národního CERT v řízení o výběru žádosti podle správního řádu a institutem zveřejnění výsledku výběru přitom představuje projev principu transparentnosti výkonu veřejné správy.
Vzhledem k tomu, že může dojít k situaci, kdy nebude uzavřena veřejnoprávní smlouva s provozovatelem Národního CERT nebo kdy uzavřená veřejnoprávní smlouva pozbude účinnosti (např. pokud provozovatel Národního CERT přestane splňovat zákonné podmínky), je potřeba pro tento výjimečný případ upravit provizorní fungování Národního CERT. V takovém případě bude činnost Národního CERT vykonávat Úřad.
K § 56
Návrh tohoto ustanovení představuje obecnou úpravu zpracování osobních údajů ze strany Úřadu a provozovatele Národního CERT, pouze s malými změnami navazuje na ustanovení § 22c zákona o kybernetické bezpečnosti a upravuje ve vztahu k návrhem zákona vymezené působnosti Úřadu a provozovatele Národního CERT způsob jejich nakládání s osobními údaji. Oproti § 22c zákona o kybernetické bezpečnosti byl vypuštěn jeho odstavec 1, který nepřinášel žádnou přidanou hodnotu oproti obecným principům ochrany osobních údajů.
V případě návrhu úpravy vůči Úřadu a provozovateli Národního CERT je možné se plně odkázat na důvodovou zprávu k zákonu č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů a který zavedl § 22c do zákona o kybernetické bezpečnosti.
Činnosti Úřadu a provozovatele Národního CERT vycházející ze směrnice NIS 2 mají zásadní význam z hlediska ochrany bezpečnosti České republiky. Je proto nutné pro tyto činnosti nastavit základní systém výjimek (v rámci možností stanovených v čl. 23 obecného nařízení o ochraně osobních údajů) tak, aby výkonem práv a povinností podle obecného nařízení o ochraně osobních údajů nemohlo dojít k omezení či dokonce ohrožení výkonu návrhem zákona svěřených pravomocí Úřadem nebo provozovatelem Národního CERT. Navrženou úpravou není dotčená možnost Úřadu využít postup podle ustanovení § 11 a násl. zákona o zpracování osobních údajů.
K § 57
Toto ustanovení návrhu zákona přímo transponuje články 26 odst. 5 a 37 směrnice NIS 2, stanovující nezbytný rámec pro úzkou spolupráci mezi členskými státy zejména vůči poskytovatelům regulovaných služeb, kteří poskytují své služby ve více členských státech nebo v nich mají své sítě a informační systémy. S ohledem na skutečnost, že subjekty vyjmenované v čl. 26 odst. 1 písm. b) směrnice NIS 2 spadají do výlučné jurisdikce jediného členského státu, je mechanismus pro spolupráci mezi dozorovými orgány zcela nezbytnou součástí návrhu zákona. Směrnice NIS 2 současně není přímo aplikovatelným předpisem, je proto třeba odpovídající postupy zakotvit v národním právu v souladu s principem secundum et intra legem.
Odstavec 1 řešeného ustanovení zakotvuje základní způsoby spolupráce a pomoci Úřadu s orgány jiných členských států (dále jen „jiný členský stát“) zmíněné v čl. 37 odst. 1 a 2 směrnice NIS 2, tedy sdílení informací, koordinaci a spolupráci při provádění opatření v oblasti dohledu a vymáhání.
Odstavec 2 obsahuje taxativní vymezení důvodů pro odmítnutí žádosti o součinnost jiného členského státu v souladu s čl. 37 odst. 1 směrnice NIS 2. Nad rámec tohoto ustanovení zmiňuje čl. 37 povinnost konzultovat žádost před jejím zamítnutím s ostatními příslušnými orgány dotčených členských států, potažmo s Komisí či agenturou ENISA, požádá-li o to některý z dotčených členských států. Tyto procesy budou řešeny ad hoc například v rámci Skupiny pro spolupráci (NIS Cooperation Group).
Odstavce 3 a 4 stanovují pravomoci Úřadu při vzájemné spolupráci v případě poskytovatele regulované služby uvedeného v čl. 26 odst. 1 písm. b) směrnice NIS 2, majícího umístěnou svou hlavní provozovnu v jiném členském státu a spadajícího do výlučné jurisdikce členského státu, kde má svou hlavní provozovnu. V souladu s čl. 26 odst. 5 směrnice NIS 2 je návrhem zákona zakotvena pravomoc Úřadu vykonat v mezích žádosti jiného členského státu, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu, vůči tomuto poskytovateli opatření v oblasti dohledu a vymáhání, vykonáváli v rámci České republiky daný poskytovatel své služby nebo nacházíli se v České republice aktiva k poskytování těchto služeb. Tato pravomoc „na dožádání“ se však aplikuje pouze vůči činnosti poskytovatele související s výkonem některé ze služeb uvedených v § 19 odstavec 1 návrhu zákona. Pokud poskytovatel v České republice zároveň poskytuje jinou regulovanou službu, pro kterou spadne do působnosti návrhu zákona, dozorové pravomoci Úřadu ve vztahu k těmto službám se budou řídit standardními pravidly. Kromě samotné žádosti je Úřad při poskytování součinnost podle tohoto ustanovení limitován také svými zákonnými pravomocemi. Úřad tak na základě žádosti nikdy nemůže vykonat úkon, ke kterému podle národních předpisů nemá pravomoc. Žádost jiného členského státu, do jehož jurisdikce daný subjekt spadá, pouze aktivuje pravomoci Úřadu vůči danému subjektu a zároveň ohraničuje rozsah užití těchto pravomocí. Z výše uvedených důvodů je na sídlo (nikoli umístění) vázán jak § 19 odst. 3, tak § 57 odst. 3, neboť oba slouží v zásadě jen pro účely umožnění poskytnutí vzájemné součinnosti státu hlavní provozovny.
Odstavec 5 přejímá definici hlavní provozovny podle čl. 26 odst. 2 směrnice NIS 2, což je nezbytné pro zachování fungování výše popsaného mechanismu určování výlučné jurisdikce a případně poskytnutí součinnosti. Zároveň pro zvýšení právní jistoty adresátů návrhu zákona, ale i pro zamezení účelovému zakládání poboček v jiných členských státech za účelem „vyvedení“ hlavní provozovny do jiného členského státu (tzv. forum shopping), je explicitně stanoveno, že místem, kde se standardě převážně přijímají rozhodnutí související s řízením rizik v oblasti kybernetické bezpečnosti, je sídlo společnosti. Záměrem je zde stanovit pravidlo zcela jednoznačně, bez prostoru pro účelovou interpretaci a debatu nad tím, kde jsou „skutečně“ činěna rozhodnutí týkající se kybernetické bezpečnosti. Zároveň je však stále zachován prostor pro určení jiného státu místem hlavní provozovny v případě, že jsou skutečně rozhodnutí přijímána jinde, primárně však bude rozhodující sídlo společnosti.
Je potřeba upozornit, že kritérium hlavní provozovny neznamená, že koncerny a holdingy jsou automaticky považovány za jednoho poskytovatele bez dalšího. Toto kritérium se vždy posuzuje ve vztahu k poskytovateli služby. Pokud je poskytovatelem služby zahraniční společnost, která své služby poskytuje prostřednictvím dceřiné společnosti (se sídlem) v ČR a tato dceřiná společnost prakticky nemá s vlastním poskytováním služby nic společného (typicky služba není poskytována jejím jménem, nemůže ovlivnit podobu poskytované služby, nepřidává ke službě žádné další své služby, kterými by výslednou podobu poskytované služby ovlivňovala apod.), je regulovaným poskytovatelem zahraniční společnost, nikoli česká dceřiná společnost (ta nebude pro danou službu vůbec regulována). Pokud je naopak poskytovatelem služby česká dceřiná společnost, je existence zahraniční mateřské společnosti pro potřeby stanovení jurisdikce irelevantní, neboť mateřská společnost není poskytovatelem posuzované služby, tím je česká dceřiná společnost.
Poslední odstavec 6 v souladu s požadavkem směrnice NIS 2 doplňuje výčet poskytovatelů regulovaných služeb obsažený v odstavci 3 o subjekty poskytující službu registrace doménových jmen v rámci České republiky, a to s ohledem na fakt, že tento druh služby není podle návrhu zákona regulovanou službou. Návrh zákona nicméně pro registrátory doménových jmen stanovuje specifické povinnosti, registrátoři doménových jmen tak jsou povinnými osobami sui generis, na které se potenciálně může vztáhnout mechanismus poskytování vzájemné spolupráce.
K § 58
Kontrolní pravomoci specifikované tímto ustanovením vykonává Úřad. Úřad je jediným orgánem, který může kontrolovat plnění povinností podle tohoto návrhu zákona u všech povinných orgánů a osob.
Předmětem kontroly, při jejímž výkonu se postupuje podle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů, a kterou vykonávají pověření zaměstnanci Úřadu, je dodržování povinností stanovených návrhem zákona, rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle návrhu zákona a dodržování prováděcích právních předpisů v oblasti kybernetické bezpečnosti.
Rozsah kontrolovaných povinností se liší v závislosti na typu orgánu a osoby, u které je kontrola vykonávána – především se bude jednat o kontrolu plnění povinností ze strany poskytovatelů regulovaných služeb, ale také může jít o subjekt poskytující služby registrace doménových jmen, významné dodavatele a další orgány a osoby, na které se návrh zákona vztahuje.
K § 59
Toto ustanovení upravuje podmínky, za nichž lze uložit nápravná opatření orgánům a osobám povinným podle tohoto návrhu zákona. Účelem nápravných opatření je odstranění nedostatků zjištěných při kontrole nebo i bez kontroly (typicky ve skutkově jednoduchých a jednoznačných případech, např. nesplnění informační povinnosti), tj. především dodatečné řádné splnění některé z povinností stanovených tímto návrhem zákona nebo na jeho základě (typicky v případě poskytovatelů regulovaných služeb doplnění nedostatečně prováděného bezpečnostního opatření, aktualizace údajů apod.). Obsahem nápravného opatření však mohou být i jiné povinnosti, a to v závislosti na typu povinného orgánu nebo osoby, charakteru zjištěných nedostatků a jejich možných následků. Adresátem rozhodnutí Úřadu o uložení nápravného opatření může být každý orgán nebo osoba, kterým ze zákona plynou nějaké povinnosti a u nichž je zjištěno (na základě kontroly nebo ve skutkově jasných případech i bez jejího provedení) jejich nedodržování. Kromě poskytovatelů regulované služby tedy může jít i o subjekty poskytující služby registrace doménových jmen, významné dodavatele a další orgány a osoby, na které se vztahuje tento návrh zákona. Na rozdíl od zákona o kybernetické bezpečnosti návrh zákona neukládá Úřadu povinnost konat, pokud zjistí nedostatky, ale ponechává mu určitou volnost pro případ, že by uložení nápravného opatření v konkrétní situaci nebylo přiměřené nebo žádoucí.
Oproti předchozí právní úpravě se návrhem zákona explicitně stanoví oprávnění Úřadu uložit orgánu nebo osobě spolu s nápravným opatřením i povinnost oznámit jeho provedení a výsledek a stanovit pro oznámení lhůtu. Oznámení orgán nebo osoba provede prostřednictvím standardizovaného formulářového podání vyplněného pomocí Portálu Úřadu.
Návrh zákona sice na rozdíl od předchozí právní úpravy explicitně neupravuje oprávnění Úřadu uložit orgánu nebo osobě dočasný zákaz používání systému (nebo jeho části) ohroženého kybernetickým bezpečnostním incidentem do doby, než budou zjištěné nedostatky odstraněny, nicméně toto oprávnění Úřadu je zachováno v rámci pravomoci k vydání reaktivního opatření k řešení kybernetického bezpečnostního incidentu nebo k zabezpečení aktiv před kybernetickým bezpečnostním incidentem.
Stejně jako v případě dosavadní právní úpravy, také podle tohoto návrhu zákona nese náklady spojené s provedením nápravných opatření uložených Úřadem orgán nebo osoba, kterým byla nápravná opatření uložena. Nesplnění některé z povinností uložených nápravným opatřením pak zakládá skutkovou podstatu přestupku podle tohoto návrhu zákona.
Odstavce 2 a 3 upravují procesní otázky spojené s vydáváním nápravných opatření Úřadem. Praxe ukázala, že variabilita povinností, které mohou být v různých situacích nápravným opatřením uloženy, vyžaduje také to, aby mohlo být nápravné opatření uloženo bez nutnosti provedení kontroly podle kontrolního řádu. Smyslem tohoto ustanovení je jeho aplikace na skutkově jasné případy, přičemž cílem je zrychlení celého procesu a šetření práv účastníků řízení. O to větší nároky na odůvodnění a obsah takového úkonu však budou na Úřad v těchto případech kladeny (obdobně jako např. v případě reaktivního protiopatření, které má s nápravným opatřením z tohoto pohledu celou řadu obdobných východisek). Praktické poznatky vedou také k tomu, že možnost odkladného účinku nápravného opatření v případě rozkladu proti němu je z logiky věci zcela v rozporu s podstatou tohoto nástroje. Z tohoto důvodu také návrh zákona vylučuje odkladný účinek rozkladu podanému proti rozhodnutí o uložení nápravného opatření (ustanovení je v tomto obdobné jako např. v případě opatření k nápravě uložených podle ustanovení § 204 odst. 3 zákona č. 18/1997 Sb., o mírovém využívání jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů).
K § 60
Ustanovení o přestupcích se v návrhu zákona člení do jednotlivých odstavců odpovídajících povinnému orgánu nebo osobě, kterým návrh zákona přestupky adresuje.
Odstavec 1 vymezuje jednotlivé přestupky v návaznosti na zákonné povinnosti stanovené poskytovatelům regulovaných služeb v režimu vyšších povinností, tak aby všechny povinnosti byly odpovídajícím způsobem vymahatelné a nešlo pouze o imperfektní normy. Totožným způsobem jsou v odstavci 2 vymezeny přestupky, kterých se mohou dopustit poskytovatelé regulovaných služeb v režimu nižších povinností.
Odstavec 3 míří na poskytovatele strategicky významné služby, pro které platí specifické povinnosti související s mechanismem prověřování bezpečnosti dodavatelského řetězce a povinnost zajišťování dostupnosti strategicky významné služby, včetně testování této dostupnosti v souladu s § 35 odst. 2 návrhu zákona.
Odstavce 4 a 5 pak míří na subjekty spravující a provozující registr domén nejvyšší úrovně a subjekty poskytující služby registrace doménových jmen, kteří mají specifickou množinu povinností zakotvenou v tomto návrhu zákona a nejedná se o stejný typ povinného orgánu nebo osoby jakým je poskytovatel regulované služby.
Jakákoli osoba či orgán se pak mohou dopustit přestupků vymezených v odstavci 6, typicky jde o neposkytnutí součinnosti Úřadu, což je povinnost dopadající v konkrétních případech nejen na poskytovatele regulovaných služeb, ale i další orgány a osoby. Odstavec 7 zakotvuje v písmenu a) specifický přestupek neposkytnutí součinnosti v rámci zvládání kybernetického bezpečnostního incidentu ze strany orgánu nebo osoby, kteří nejsou poskytovatelem regulované služby. Poskytovatelé regulovaných služeb mají zakotven vlastní přestupek s obdobnou skutkovou podstatou, se kterým je však spojena vyšší sankce. Obdobně druhá skutková podstata ve vztahu k neplnění povinnosti uloženou nápravným opatřením a upravená v písmenu b) téhož odstavce je vyhrazena těm orgánům a osobám, kteří zároveň nejsou poskytovateli regulovaných služeb, protože ti mají tuto skutkovou podstatu stanovenou v odstavci 1, resp. 2 tohoto ustanovení.
Odstavec 8 je specifický tím, že zde uvedených přestupků se lze dopustit pouze v souvislosti se stavem kybernetického nebezpečí, jehož obsah je rovněž upravený tímto návrhem zákona. Tento druh přestupků lze obecně vnímat jako závažnější s ohledem na významné zájmy České republiky, jež mohou být negativně ovlivněny značným ohrožením nebo narušením bezpečnosti informací v kybernetickém prostoru.
Odstavec 9 vymezuje přestupek porušení mlčenlivosti, jehož se mohou dopustit pouze zaměstnanci Úřadu ve vztahu k obsahu vedených evidencí.
Přestupky v odstavci 10 a 11 se vztahují k povinnosti žadatele o registraci členství v Komunitě a člena Komunity uvádět pravdivé a úplné údaje nutné pro posouzení jeho základní a zvláštní způsobilosti Úřadem jako Národním koordinačním centrem výzkumu a vývoje v oblasti v oblasti kybernetické bezpečnosti pro Českou republiku v souvislosti s registrací členství a jejím trváním v Komunitě podle nařízení (EU) 2021/887.
Skupina přestupků podle odstavců 12 až 14 souvisí s efektivním uplatňováním systému certifikací kybernetické bezpečnosti v České republice zejména na základě aktu o kybernetické bezpečnosti, ale částečně také v návaznosti na směrnici NIS 2. Odstavec 12 vymezuje specifický přestupek, jehož se může dopustit držitel evropského certifikátu kybernetické bezpečnosti. S tím úzce souvisí přestupky podle odstavce 13, kterých se mohou dopustit výrobci či poskytovatelé produktů, služeb nebo procesů, kteří vydali EU prohlášení o shodě podle aktu o kybernetické bezpečnosti, a přestupky podle odstavce 14, kterých se může dopustit jakákoli právnická či fyzická podnikající osoba. Přestupek podle odstavce 14 písm. g) pak specificky souvisí s efektivním uplatňováním sankčního mechanismu pozastavení platnosti certifikace zakotveným v zákoně na základě směrnice NIS 2.
Výše pokut zakotvená v odstavci 15 buďto přímo vychází ze směrnice NIS 2, nebo je této stanovené výši pokut řádově odpovídající, zejména podmiňuje-li plnění povinností splnění souvisejících povinností vyplývajících ze směrnice NIS 2. Konkrétně odstavce 4 a 5 článku 34 směrnice NIS 2 stanovují, že za porušení povinností vyplývajících z článků 21 až 23 této směrnice, mají být ukládány pokuty s maximální sankcí alespoň 10 mil. EUR nebo 2 % z celosvětového obratu pro tzv. „základní subjekty“, resp. 7 mil. EUR nebo 1,4 % z celosvětového obratu pro tzv. „důležité subjekty“. Tyto kategorie přitom odpovídají poskytovatelům regulovaných služeb v režimu vyšších a nižších povinností podle návrhu zákona. Výše pokut pro jednotlivé přestupky vyjmenované v odstavci 15 písm. a) a b) tak do značné míry vychází ze směrnice NIS 2. Výjimkou jsou přestupky podle odstavce 3 písm. a) a e), které souvisí s mechanismem prověřování bezpečnosti dodavatelského řetězce a zajištěním dostupnosti strategicky významných služeb z území České republiky. Povinnosti v těchto oblastech nevyplývají ze směrnice NIS 2, nicméně jejich porušení je srovnatelně závažné.
Ústředním principem, zdůrazněným i v obsahu směrnice NIS 2, přitom zůstává, že by uložené sankce měly být vždy účinné, přiměřené a odrazující, přičemž budou zohledněny okolnosti každého jednotlivého případu a majetkové a osobní poměry delikventa tak, aby pro něj případná pokuta nebyla likvidační. Vysoká výše maximální hranice pokuty tak Úřadu nebrání ukládat pokuty řádově nižší a současně uplatnit instituty nápravného opatření či protiopatření, nicméně musí existovat efektivní sankční nástroje v případech, kdy se budou potenciálně velmi movité regulované orgány nebo osoby soustavně vyhýbat plnění svých zákonných povinností. Maximální výše pokut v zákonu o kybernetické bezpečnosti často nemusela dosahovat ani výše nákladů na jejich zabezpečení, což mohlo být v určitých případech nedostatečně odrazující, a tedy neefektivní. Propastný rozdíl je patrný zejména při srovnání sankcí v obecném nařízení o ochraně osobních údajů a zákoně o kybernetické bezpečnosti.
Horní hranice pokut odpovídají závažnosti jednotlivých přestupků, respektive možným krajním důsledkům protiprávního jednání či opomenutí. Vzhledem k závažnosti a okolnostem, za kterých může být vyhlášen stav kybernetického nebezpečí, jsou například pokuty ukládané za nesoučinnost během tohoto stavu nebo neprovedení uložených povinností srovnatelné se sankcemi, které hrozí za nezavedení bezpečnostních opatření. S některými na první pohled méně závažnými přestupky jsou spojeny vysoké sankce z důvodu možných zásadních důsledků při neplnění odpovídajících povinností. Například za nenahlášení kontaktních údajů nebo dalších údajů nebo jejich změny Úřadu hrozí pokuta až do výše 100 milionů korun, a to z důvodu, že nenahlášení těchto údajů znamená v určitých případech a priori nemožnost jakékoli součinnosti při řešení akutního kybernetického bezpečnostního incidentu s potenciálně extrémními dopady. Takový stav pak v zásadě znemožňuje činnost Úřadu a v krajních případech může ohrožovat fungování regulovaných služeb významných třeba z hlediska národní bezpečnosti.
Jak již bylo řečeno, maximální výše pokut, které je možné uložit za porušení pravidel obsažených v zákoně, jsou stanoveny v souladu s požadavky NIS 2, v případě některých přestupků jednak pevnou, jednak pohyblivou částkou, přičemž pro konkrétní případ bude relevantní ta z částek, která je vyšší. Pevný strop pro uložení pokuty se tedy uplatní jednak v případech, kdy roční celosvětový obrat osoby nebo podniku, ke kterému osoba patří, nebude dosahovat hodnoty pevného maxima, jednak v případech, kdy nepůjde o orgán nebo osobu, u kterých by byl obrat relevantním kritériem (typicky u orgánů veřejné správy).
Při počítání celosvětového obratu podniku lze aplikovat postupy používané při ukládání pokut za porušení pravidel obsažených v obecném nařízení o ochraně osobních údajů, neboť úprava obsažená v tomto nařízení a ve směrnici NIS 2 je v zásadě shodná. Z důvodu zřejmé inspirace úpravou obsaženou v obecném nařízení o ochraně osobních údajů, a za účelem zajištění co nejefektivnějšího ukládání pokut podle nových pravidel návrh zákona, mírně modifikuje textaci obsaženou v čl. 34 odst. 4 a 5 směrnice NIS 2 a přibližuje znění ustanovení o pokutách směrem k obecnému nařízení o ochraně osobních údajů. Tím je jednak dosaženo souladu s evidentním záměrem směrnice NIS 2, jednak umožněno, aby byla při ukládání pokut podle návrhu zákona plně využita dosavadní judikatura a výkladová pravidla vztahující se k obecnému nařízení o ochraně osobních údajů. Využít tak bude možné např. příručku pro počítání pokut podle obecného nařízení o ochraně osobních údajů Evropského sboru pro ochranu osobních údajů přijatou v květnu 2023, která v podrobnostech rozebírá způsob, jakým při určení základu pro výpočet pokuty za přestupek zohlednit ekonomické vazby mezi relevantními subjekty (které jsou součástí jednoho podniku). Ačkoli příručka není právně závazná, jde o významné a v praxi orgánů odpovědných za dozor obecného nařízení akceptované vodítko pro sjednocení výkladu obecného nařízení o ochraně osobních údajů v členských státech Evropské unie. V zájmu zajištění co nejvyšší možné harmonizace právních úprav kybernetické bezpečnosti v rámci Evropské unie tam, kde to není v rozporu s národními zájmy, proto návrh zákona reflektuje i tento výkladový materiál.
Pojem podnik ve smyslu směrnice NIS 2 i obecného nařízení o ochraně osobních údajů je třeba vykládat ve smyslu čl. 101 a 102 Smlouvy o fungování EU a bohaté judikatury Soudního dvora EU, a to spíše jako ekonomickou, nikoli pouze právní jednotku, přičemž i podle současné podoby návrhu příručky pro počítání pokut podle obecného nařízení o ochraně osobních údajů Evropského sboru pro ochranu osobních údajů je potřeba při stanovení celosvětového obratu podniku zohledňovat ekonomickou situaci skupiny. Tímto směrem míří i směrnice NIS 2, která hovoří o obratu podniku, jehož je obviněný součástí. Zároveň však v souladu s ustáleným výkladem čl. 101 a 102 Smlouvy o fungování EU může být podnikem i jedna společnost, pokud skutečně není ekonomicky spojena s jinými osobami.
K § 61
Řízení o přestupcích proti tomuto návrhu zákona se obecně řídí pravidly zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, ve znění pozdějších předpisů, s některými modifikacemi vyvěrajícími ze specifické povahy pravidel kybernetické bezpečnosti, resp. regulovaných subjektů.
Stejně jako podle zákona o kybernetické bezpečnosti je za projednávání přestupků, ukládání pokut za přestupky a jejich výběr odpovědný Úřad. Pokuty jsou příjmem státního rozpočtu. Orgánem oprávněným k vymáhání pokut v případě jejich neuhrazení v zákonem stanovené lhůtě je příslušný celní úřad.
S ohledem na specifickou povahu přestupků, které projednává Úřad, jsou vyloučena nebo omezena některá ustanovení zákona o odpovědnosti za přestupky a řízení o nich. Tyto přestupky jsou specifické okruhem a charakterem osob, na které dopadají, důvěrností informací, které jsou v rámci řízení projednávány, a veřejným zájmem na rychlém a efektivním vedení přestupkového řízení, neboť jeho cílem není pouze zpětné potrestání pachatele za spáchání přestupku, ale mnohdy též motivace pachatele ke splnění povinnosti, za jejíž nesplnění byl sankcionován a kde je stále dán zájem na jejím splnění (typicky splnění reaktivního opatření nebo zavedení bezpečnostního opatření).
Vylučuje se ustanovení o upuštění od uložení správního trestu, neboť návrhem zákona stanovené přestupky proti kybernetické bezpečnosti jsou natolik závažného charakteru, že pouhé projednání věci před Úřadem nemůže postačovat k nápravě nezákonného stavu nebo pachatele přestupku. Zůstává však zachována možnost uložení napomenutí.
Specifikem přestupků podle návrhu zákona je skutečnost, že porušení povinností stanovených návrhem zákona může negativně působit na velké množství blíže nespecifikovaných osob (uživatele služeb poskytovatele regulovaných služeb, resp. až všechny obyvatele České republiky, potažmo dalších členských států EU v případě, že jsou služby poskytovány přeshraničně). V řízeních o přestupcích podle zákona o kybernetické bezpečnosti jsou standardně zkoumány skutečnosti přímo související s provozováním regulovaných informačních systémů a plněním zákonných povinností, nikoli doprovodné informace o okruhu poškozených osob a jim způsobených škodách. Úkolem Úřadu v oblasti dozoru nad zajišťováním kybernetické bezpečnosti je především působení na povinné osoby a zajišťování toho, aby byly plněny povinnosti vyplývající z návrhu zákona a jeho prováděcích předpisů. Návrhem zákona koncipované zmocnění Úřadu ani jeho personální kapacity neodpovídají tomu, aby byly v rámci jeho působnosti řešeny nároky na náhradu škody způsobené nesprávným postupem povinných orgánů nebo osob. Posuzování práv poškozených a rozhodování o jejich nárocích na náhradu způsobené škody by tak zcela vybočovalo ze smyslu a účelu vedení přestupkového řízení podle návrhu zákona, kterým je represivní působení na adresáta normy a současně jeho motivace ke splnění zákonné povinnosti tam, kde je to stále žádoucí. Současně by došlo k neúměrnému zatížení Úřadu činností, která nijak nepřispěje ke zvýšení kybernetické bezpečnosti České republiky, a naopak jen povede k zahlcení Úřadu. Současně ze skutečností, které Úřad zjišťuje ve vztahu k předmětu řízení o přestupcích podle návrhu zákona, nikdy nebude moct být spolehlivě zjištěna výše škody.
Z uvedených důvodů se vylučuje část ustanovení o účastnících přestupkového řízení, neboť předmětem přestupkového řízení před Úřadem nikdy nebude rozhodování o náhradě škody poškozeného. Z obdobných důvodů se vylučují i ustanovení o poškozeném, ustanovení o nařízení ústního jednání na požádání poškozeného, ustanovení o řízení o náhradě škody a o vydání bezdůvodného obohacení, ustanovení o náhradě nákladů řízení vůči poškozenému a ustanovení o oprávnění poškozeného podat odvolání. Vylučuje se dále ustanovení o osobě přímo postižené spácháním přestupku, neboť okruh přímo postižených osob bude často natolik široký, že by bylo přestupkové řízení přiznáním práv podle § 71 zákona o odpovědnosti za přestupky a řízení o nich neúměrně zatěžováno. Poškození se se svými nároky mohou v souladu s obecně platnou úpravou obracet na obecné soudy.
Vylučuje se část ustanovení o příkazu, neboť není žádoucí, aby v řízeních před Úřadem navazujících na podání odporu proti příkazu nebylo možné uložit vyšší pokutu, než která byla stanovena v příkazu. V řízení mohou vyjít najevo nové skutečnosti, které Úřadu nebyly známy v době vydání příkazu (ačkoli tehdy známé skutečnosti jeho vydání odůvodňovaly) a které mohou odůvodnit stanovení vyšší pokuty (např. vyjde najevo, že se nejedná o první pochybení regulovaného orgánu nebo osoby, nebo že jde o závažnější pochybení, než bylo presumováno příkazem). S ohledem na charakter přestupků proti pravidlům kybernetické bezpečnosti přitom není žádoucí, aby závažnost pochybení nebo jiné přitěžující okolnosti nebyly v řízení reflektovány, neboť by tím byl ohrožen jeden ze základních smyslů vedení řízení o přestupku v této oblasti, tedy donutit pachatele splnit povinnost, za jejíž nesplnění je sankcionován.
Vylučuje se ustanovení o povinnosti správního orgánu projednat ve společném řízení spolu související přestupky více obviněných. Stále zůstává obecná fakultativní možnost vedení takového řízení ve společném režimu, avšak povinnost vést společně řízení s různými pachateli není vhodná s ohledem na informace, které by tak byly vzájemně mezi pachatele rozšířeny o jednotlivých osobách.
Pro odstranění výkladových problémů a zajištění vyšší míry právní jistoty povinných orgánů a osob podle návrhu zákona a s ohledem na závažnost přestupků spočívajících v porušení povinnosti uložené nápravným opatřením, rozhodnutím nebo opatřením obecné povahy, přestupků spočívajících v porušení povinností z mechanismu prověřování bezpečnosti dodavatelského řetězce, přestupků souvisejících se stanovením rozsahu řízení kybernetické bezpečnosti, přestupků spočívajících v neprovedení registrace regulované služby, přestupků související se zohledněním požadavků vyplývající z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem, přestupků spočívajících v neoznámení informací a udržování stavu neinformování Úřadu nebo uživatelů regulované služby, se stanoví nevyvratitelná právní domněnka, že v těchto případech jde o trvající přestupky podle zákona o odpovědnosti za přestupky a řízení o nich. I samotné formulace skutkových podstat správních deliktů podle tohoto návrhu zákona pracují s udržováním protiprávního stavu a s trváním protiprávní skutečnosti, čímž dostávají doktríně i relevantní judikatuře správních soudů, podle kterých je podstatným znakem trvajících deliktů to, že se postihuje právě ono udržování protiprávního stavu, a na udržování protiprávního stavu má směřovat i skutková podstata deliktu.
Oznamovací povinnosti podle tohoto návrhu zákona plní zcela jinou funkci a vyjadřují jiný cíl než typické oznamovací povinnosti podle jiných předpisů, u nichž dává smysl postihovat pouze vyvolání protiprávního stavu, ale již ne jeho udržování (např. povinnost neprodleně ohlásit útvaru policie ztrátu nebo odcizení zbraně podle zákona č. 119/2002 Sb., o střelných zbraních a střelivu a o změně zákona č. 156/2000 Sb., o ověřování střelných zbraní, střeliva a pyrotechnických předmětů a o změně zákona č. 288/1995 Sb., o střelných zbraních a střelivu (zákon o střelných zbraních), ve znění zákona č. 13/1998 Sb., a zákona č. 368/1992 Sb., o správních poplatcích, ve znění pozdějších předpisů, a zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, (zákon o zbraních,) ve znění pozdějších předpisů, nebo povinnost oznámit stavební činnost na území s archeologickými nálezy podle zákona č. 20/1987 Sb., o státní památkové péči, ve znění pozdějších předpisů). Informace, které Úřad po povinných orgánech a osobách vyžaduje, jsou nezbytné pro výkon dalších činností Úřadu podle návrhu zákona a Úřad si je nemůže, nebo může jen stěží, opatřit jinak. Např. informace o splnění protiopatření Úřadu jsou nezbytné pro vyhodnocení účinnosti protiopatření a pro posouzení úrovně kybernetické bezpečnosti v odvětvích, pro která bylo protiopatření vydáno. Dokud Úřad informaci o provedení protiopatření nezíská, nemá informaci o tom, zda a kteří poskytovatelé regulované služby protiopatření splnili a v jakém stavu jsou jejich informační systémy, a nemůže dále v plném rozsahu vykonávat své preventivní a analytické činnosti a reagovat na navazující krizové situace. Stejně tak nesplněním povinnosti informovat Úřad o dodavatelích bezpečnostně významných dodávek poskytovatel strategicky významné služby významným způsobem ztěžuje činnost Úřadu v oblasti prověřování bezpečnosti dodavatelského řetězce, neboť informace o dodavatelích jsou základním vstupem pro prověřování jejich bezpečnosti ze strany Úřadu. Pachatel přestupku tak od okamžiku vzniku oznamovací povinnosti až do okamžiku předání informace Úřadu udržuje protiprávní stav nepředání informace nezbytné pro další činnost Úřadu a zamezuje či významně ztěžuje výkon zákonných pravomocí Úřadu v dotčených oblastech.
K § 62
Pozastavení platnosti certifikace je jednou ze dvou zcela nových sankcí, jejichž zakotvení v právním řádu vyžaduje směrnice NIS 2, konkrétně její čl. 32 odst. 5. Podle tohoto článku musí členské státy zajistit, aby měly dozorové orgány (podle návrhu zákona Úřad) v případě nesplnění uloženého nápravného opatření pravomoc dočasně pozastavit nebo v souladu s vnitrostátním právem požádat certifikační nebo autorizační orgán nebo soud o dočasné pozastavení certifikace nebo povolení (osvědčení) týkajícího se části nebo všech příslušných služeb nebo činností poskytovaných základním subjektem (tzn. essential, podle návrhu zákona poskytovatel regulované služby v režimu vyšších povinností). Uvedený článek směrnice NIS 2 má za cíl dále posílit účinnost a odrazující účinek opatření v oblasti vymáhání, jež jsou uplatňována v případě porušení směrnice NIS 2 (srov. bod 133 preambule směrnice NIS 2). Podpůrně má za cíl také zajistit, aby se základní subjekt, u něhož byly identifikovány nedostatky v řízení kybernetické bezpečnosti v organizaci, nemohl za tohoto stavu svým zákazníkům prokazovat certifikáty deklarujícími jeho kybernetickou bezpečnost, čemuž bude předcházet skutečnost, že základnímu subjektu bylo uloženo tyto nedostatky odstranit, přičemž ten se splnění své povinnosti vyhýbá. Návrhem zákona upravená sankce tak nemá sloužit jako pouhé potrestání poskytovatele regulované služby v režimu vyšších povinností za nesplnění jeho zákonných povinností, ale především jako donucovací prostředek k provedení povinnosti poskytovatele regulované služby v režimu vyšších povinností, pro jejíž nesplnění byl uložen.
Podle odstavce 1 lze poskytovateli regulované služby v režimu vyšších povinností, který je držitelem evropského certifikátu kybernetické bezpečnosti podle aktu o kybernetické bezpečnosti nebo jiného certifikátu nebo osvědčení souvisejícího se zajištěním kybernetické bezpečnosti regulované služby, pozastavit platnost evropského certifikátu kybernetické bezpečnosti nebo jiného certifikátu nebo osvědčení souvisejícího se zajištěním kybernetické bezpečnosti regulované služby (např. ISO/IEC 27 001). Směrnice NIS 2 nestanoví, které konkrétní certifikáty nebo osvědčení mají být uvedeným ustanovením dotčeny, stejně jako v této otázce nevymezuje vztah k certifikacím podle nařízení aktu o kybernetické bezpečnosti. Znění směrnice NIS 2 dokonce nevylučuje, aby byly dočasným pozastavením platnosti dotčeny licence pro poskytování relevantních služeb nebo živnostenská oprávnění. V zájmu zajištění kontinuity poskytování regulovaných služeb (která by pozastavením licence pro poskytování služby nebo živnostenského oprávnění byla významným způsobem ohrožena) návrh zákona míří pouze na osvědčení a certifikace, které jsou relevantní z hlediska zajištění a deklarace kybernetické bezpečnosti regulované služby a jejichž pozastavení neohrozí vlastní poskytování regulované služby.
Sankci pozastavení platnosti certifikace nebo osvědčení lze uložit pouze poskytovateli regulované služby v režimu vyšších povinností. Rozšíření možnosti ukládání i na poskytovatele regulovaných služeb v režimu nižších povinností se s ohledem na charakter těchto subjektů a omezený rozsah povinností, které jim z navrhované regulace plynou, nejeví jako přiměřené. Zároveň je tím vyhověno požadavku směrnice NIS 2, která vyžaduje ukládání tohoto druhu sankce jen základním subjektům. Oproti znění směrnice NIS 2 však z působnosti navrhovaného ustanovení nejsou vyloučeny subjekty veřejné správy.
Vzhledem k závažnosti dané sankce a dopadu na činnost poskytovatele regulované služby v režimu vyšších povinností, a v konečném důsledku na uživatele regulované služby, by toto dočasné pozastavení mělo být uplatňováno pouze v krajních případech, úměrně závažnosti porušení a s ohledem na okolnosti každého jednotlivého případu. Aplikovatelnost sankce není omezena jinými předpoklady (např. vyčerpáním zbylých sankčních mechanismů zákona), nicméně z povahy věci by mělo být ukládáno pouze tam, kde skutečně povede k cíli, tedy ke splnění uloženého nápravného opatření, a nebude představovat nepřiměřený zásah do práv regulovaného orgánu nebo osoby.
Stejně tak by toto dočasné pozastavení mělo být uplatňováno pouze na nezbytně nutnou dobu, tedy jakmile je povinnost uložená nápravným opatřením splněna, mělo by dojít k obnově platnosti certifikace. V zájmu posílení preventivní i represivní funkce navrhované sankce je však stanovena minimální doba, na kterou bude pozastavení platnosti certifikace nebo osvědčení uloženo. Stanovení minimální doby pozastavení má za cíl také ulehčit nápadu práce Úřadu, neboť ten bude moci efektivněji plánovat kontroly splnění uložených nápravných opatření a na ně navazujících pozastavení platností certifikace nebo osvědčení. Stanovená doba 6 měsíců se v kontextu dosavadních zkušeností Úřadu s ukládáním nápravných opatření a lhůt k jejich splnění jeví jako přiměřená, neboť lhůty, které Úřad poskytuje pro splnění uložených nápravných opatření, v mnoha případech tuto dobu přesahují (zvláště pokud se jedná o nápravná opatření spočívající v provedení komplexních bezpečnostních opatření podle zákona o kybernetické bezpečnosti).
V závislosti na vydavateli pozastavovaného certifikátu nebo osvědčení bude sankce provedena buďto pozastavením platnosti evropského certifikátu kybernetické bezpečnosti vydaného Úřadem, nebo uložením povinnosti pozastavit platnost certifikátu nebo osvědčení subjektu posuzování shody, který certifikát nebo osvědčení vydal. V druhém případě bude účastníkem řízení kromě poskytovatele regulované služby v režimu vyšších povinností, o pozastavení jehož certifikace nebo osvědčení se řízení vede, také orgán posuzování shody, který předmětnou certifikaci nebo osvědčení vydal a který bude osobou povinnou k vykonání uložené povinnosti pozastavit platnost certifikace nebo osvědčení. Svým charakterem se tato sankce blíží reaktivnímu opatření, pro jeho vydání jsou tedy stanoveny obdobné procesní požadavky. O uložení pozastavení platnosti certifikace nebo osvědčení bude vedeno správní řízení a vlastní sankce bude uložena rozhodnutím Úřadu.
Považuje-li Úřad skutková zjištění za dostatečná, může být vydání rozhodnutí o pozastavení platnosti certifikace nebo osvědčení prvním úkonem v řízení. Zahájení řízení bude v mnoha případech navazovat na provedenou kontrolu nebo jiné zjištění skutečností o neplnění uloženého nápravného opatření. Obdobně jako v případě reaktivního opatření je cílem navrhované sankce bezodkladná a účinná reakce na identifikovaný nezákonný stav a ohrožení kybernetické bezpečnosti regulovaných aktiv, odkladný účinek proti rozkladu proti rozhodnutí o pozastavení platnosti certifikace nebo osvědčení je tedy vyloučen.
V České republice v současné době neexistuje žádná centrální databáze certifikací a osvědčení, z toho důvodu je potřeba informaci o pozastavení certifikace nebo osvědčení distribuovat mezi veřejnost a uživatele služeb dotčeného poskytovatele regulované služby v režimu vyšší povinností jiným vhodným způsobem. Jako nejefektivnější způsob se jeví uveřejnění informace o pozastavení platnosti certifikace nebo osvědčení na internetových stránkách Úřadu jakožto centrálním zdroji informací o zajišťování kybernetické bezpečnosti v České republice. Na internetových stránkách Úřadu budou uveřejňovány povinně informace o vydání rozhodnutí o pozastavení platnosti certifikace nebo osvědčení. Splnění uloženého nápravného opatření nemůže být ze strany regulovaného orgánu nebo osoby pouze deklarováno, ale musí být též prokázáno. Za tím účelem Úřad u regulované osoby provede kontrolu splnění uloženého nápravného opatření. Kontrola se provede nejdříve po uplynutí minimální lhůty stanovené zákonem. Na základě výsledků provedené kontroly vydá Úřad osvědčení o splnění uloženého nápravného opatření, které bude sloužit jako podklad pro obnovu platnosti certifikátu nebo osvědčení. Pokud se bude pozastavení platnosti certifikace nebo osvědčení týkat certifikace nebo osvědčení vydaného jinou osobou než Úřadem, Úřad o vydání osvědčení informuje všechny účastníky původního řízení o uložení pozastavení platnosti certifikace nebo osvědčení; vlastní provedení obnovy platnosti již Úřad nedozoruje a poskytovatel regulované služby v režimu vyšších povinností by si jej měl ohlídat sám. Informace o vydání osvědčení o splnění nápravného opatření a o pominutí důvodů pro pozastavení platnosti certifikace nebo osvědčení Úřad bude rovněž zveřejňovat na svých internetových stránkách.
Vůči zahraničnímu subjektu posuzování shody, který vydal certifikaci nebo osvědčení, jež je předmětem řízení o pozastavení platnosti, nebo poskytovateli regulované služby v režimu vyšších povinností usazenému v jiném členském státě budou přiměřeně aplikována ustanovení o vzájemné spolupráci členských států obsažená v tomto návrhu zákona a směrnici NIS 2.
Aplikací § 62 (a obdobně § 63) nedochází ke kolizi s ukládáním pokut za přestupky (tedy ke dvojímu trestání). Institut podle § 62 (a obdobně i podle § 63) má jeden konkrétní specifický účel, a to je vymožení splnění povinnosti uložené nápravným opatřením Úřadu. Jde jen o dočasné opatření, jehož cílem je přinutit subjekt, aby splnil své povinnosti. Jakmile jsou povinnosti splněny, toto dočasné opatření pozbývá smyslu a následně i formální platnosti. Jde tak spíše o obdobu donucovací pokuty podle správního řádu, s tím rozdílem, že na rozdíl od donucovací pokuty jsou tyto sankce „vratné“ (tzn. certifikát je po splnění povinnosti obnoven, funkce je po splnění povinnosti vrácena). Naopak uložení pokuty za přestupek, případně uložení jiného trestu, je jednorázový, „nevratný“ proces, primárně sloužící k potrestání pachatele, nikoli k vymožení splnění uložené povinnosti. Pro posílení právní jistoty adresátů normy a zamezení jakýchkoli pochybností o charakteru obou institutů je v odstavci 6 možnost paralelní aplikace výslovně zmíněna.
K § 63
Pozastavení výkonu řídicí funkce je jedním ze dvou zcela nových sankcí, jehož zakotvení v právním řádu vyžaduje směrnice NIS 2, konkrétně její čl. 32 odst. 5. Podle tohoto článku musí členské státy zajistit, aby měly dozorové orgány (podle návrhu zákona Úřad) v případě nesplnění uloženého nápravného opatření pravomoc požadovat po k tomu příslušných orgánech nebo soudech uložení dočasného zákazu výkonu řídicí funkce v základním subjektu (tzn. essential, podle návrhu zákona poskytovatel regulované služby v režimu vyšších povinností) jakékoli fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu. Uvedený článek má za cíl dále posílit účinnost a odrazující účinek opatření v oblasti vymáhání, jež jsou uplatňována v případě porušení směrnice (srov. bod 133 preambule směrnice NIS 2). Citovaný článek je také součástí komplexu opatření pro posílení odpovědnosti vedení základního subjektu za zajišťování kybernetické bezpečnosti, na kterou klade směrnice NIS 2 zvláštní důraz. Doplňuje tak např. články o povinném vzdělávání managementu nebo o odpovědnosti osob oprávněných jednat jménem regulovaného subjektu za plnění povinností spočívajících v zajištění dodržování směrnice (srov. zejm. čl. 20 a čl. 32 odst. 6 směrnice NIS 2).
Navrhované ustanovení má podpůrně za cíl také zajistit, že v řídicí funkci poskytovatele v režimu vyšších povinností nebude po dobu nápravy nedostatku, pro který bylo uloženo provedení nápravného opaření, osoba, která nápravě nedostatku svým jednáním brání. Tato sankce tak nemá sloužit jako pouhé potrestání poskytovatele regulované služby v režimu vyšších povinností za nesplnění jeho zákonných povinností, ale především jako donucovací prostředek k provedení povinnosti, pro jejíž nesplnění byl uložen.
Směrnice NIS 2 stanoví, že členské státy nemají konstituovat dozorovému orgánu novou pravomoc, ale mají využít existujících vnitrostátních mechanismů. Na vnitrostátní úrovni upravuje proces vyloučení člena statutárního orgánu z výkonu funkce zákon č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů, když umožňuje soudu i bez návrhu rozhodnout, že člen statutárního orgánu obchodní korporace, který v posledních 3 letech před zahájením řízení opakovaně nebo závažně porušil své povinnosti při výkonu funkce, nesmí až po dobu 3 let od právní moci rozhodnutí o vyloučení vykonávat funkci člena statutárního orgánu jakékoli obchodní korporace. Návrh zákona z tohoto procesu vychází, některé prvky však v zájmu dosažení sledovaného cíle modifikuje. Ustanovení zákona o obchodních korporacích upravující vyloučení člena statutárního orgánu z výkonu funkce se pak v částech právních účinků pravomocného rozhodnutí o vyloučení člena statutárního orgánu, informování rejstříkového soudu a odpovědnosti za porušení dočasného zákazu výkonu funkce použijí obdobně. To platí i pro procesní otázky spojené s vedením řízení, které se budou řídit zákonem č. 292/2013 Sb., o zvláštních řízeních soudních, ve znění pozdějších předpisů. Úřad je jakožto ústřední orgán státní správy České republiky osvobozen od soudních poplatků.
První odstavec stanoví, že soud může rozhodovat pouze na návrh Úřadu. Návrh Úřadu může směřovat vůči osobám v řídicích pozicích poskytovatele regulované služby v režimu vyšších povinností, s ohledem na rozmanitost regulovaných orgánů a osob pak není omezen pouze na statutární orgány obchodních korporací.
Následující odstavec 2 specifikuje určité limity tohoto mechanismu, který je použitelný pouze vůči osobě vykonávající řídicí funkci ve vztahu k poskytovateli regulované služby v režimu vyšších povinností. Zároveň návrh nebude mířit na veřejnou funkci vymezenou funkčním nebo časovým obdobím, obsazovanou na základě přímé nebo nepřímé volby nebo jmenováním podle zvláštních právních předpisů. Typickými příklady takových osob mohou být ministr, hejtman, předseda profesní komory, rektor či děkan fakulty veřejné nebo státní vysoké školy.
Důvodem pro pozastavení výkonu řídicí funkce musí být jednání, které má přímou souvislost s plněním povinnosti uložené nápravným opatřením Úřadu a které představuje závažné nebo opakované (tedy i méně závažné, ale vícečetné) porušení povinností osoby při výkonu řídicí funkce, které vede ke zmaření řádného splnění rozhodnutí Úřadu. Toto jednání musí být osobě v řídicí funkci přičitatelné. Typicky půjde o situace, kdy osoba v řídicí funkci odmítne provést bez relevantního důvodu povinnost uloženou nápravným opatřením Úřadu, nebo její splnění bezdůvodně maří či oddaluje. Obdobně jako v případě sankce pozastavení platnosti certifikace nebo osvědčení lze i sankci pozastavení výkonu řídicí funkce uložit pouze poskytovateli regulované služby v režimu vyšších povinností. Rozšíření možnosti ukládání i na poskytovatele regulovaných služeb v režimu nižších povinností se s ohledem na charakter těchto subjektů a omezený rozsah povinností, které jim z navrhované regulace plynou, nejeví jako přiměřené. Zároveň je tím vyhověno požadavku směrnice NIS 2, která vyžaduje ukládání tohoto druhu sankce jen základním subjektům.
Vzhledem k závažnosti dané sankce a dopadu na činnost poskytovatele regulované služby v režimu vyšších povinností, a v konečném důsledku na uživatele služby, by dočasné pozastavení výkonu řídicí funkce mělo být uplatňováno pouze v krajních případech, úměrně závažnosti porušení a s ohledem na okolnosti každého jednotlivého případu. Aplikovatelnost sankce není omezena jinými předpoklady (např. vyčerpáním zbylých sankčních mechanismů zákona), nicméně z povahy věci by mělo být ukládáno pouze tam, kde skutečně povede k cíli, tedy ke splnění uloženého nápravného opatření, a nebude představovat nepřiměřený zásah do práv poskytovatele regulované služby v režimu vyšších povinností.
Stejně tak by dočasné pozastavení výkonu řídicí funkce mělo být uplatňováno pouze na nezbytně nutnou dobu, tedy jakmile je povinnost uložená nápravným opatřením splněna, má dojít k obnově možnosti výkonu řídicí funkce. V zájmu posílení preventivní i represivní funkce navrhované sankce je však stanovena minimální doba, na kterou bude pozastavení výkonu řídicí funkce uloženo. Stanovení minimální doby pozastavení má za cíl také ulehčit nápadu práce Úřadu, neboť ten bude moci efektivněji plánovat kontroly splnění uložených nápravných opatření a na ně navazujících pozastavení výkonu řídicí funkce. Stanovená doba 6 měsíců se v kontextu dosavadních zkušeností Úřadu s ukládáním nápravných opatření a lhůt k jejich splnění jeví jako přiměřená, neboť lhůty, které Úřad poskytuje pro splnění uložených nápravných opatření, v mnoha případech tuto dobu přesahují (zvláště pokud se jedná o nápravná opatření spočívající v provedení komplexních bezpečnostních opatření podle zákona). Na základě pravomocného rozhodnutí soudu o pozastavení výkonu řídicí funkce se tato informace zapíše do obchodního rejstříku podle zákona č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob. Zároveň se tato informace uveřejní na internetových stránkách Úřadu jakožto centrálním zdroji informací o zajišťování kybernetické bezpečnosti v České republice.
Splnění uloženého nápravného opatření nemůže být ze strany poskytovatele regulované služby v režimu vyšších povinností pouze deklarováno, ale musí být též prokázáno. Za tím účelem Úřad u poskytovatele provede kontrolu splnění uloženého nápravného opatření. Kontrola se provede nejdříve po uplynutí minimální lhůty stanovené zákonem. Na základě výsledků provedené kontroly vydá Úřad osvědčení o splnění uloženého nápravného opatření, po kterém bude možné obnovit výkon řídicí funkce a které bude sloužit jako podklad pro výmaz informace o pozastavení výkonu funkce z obchodního rejstříku. Informace o vydání osvědčení o splnění nápravného opatření a o pominutí důvodů pro pozastavení výkonu řídicí funkce se uvede na internetových stránkách Úřadu.
Vůči poskytovateli regulované služby v režimu vyšších povinností usazenému v jiném členském státě budou přiměřeně aplikována ustanovení o vzájemné spolupráci členských států obsažená v tomto zákoně a směrnici NIS 2.
Ve věci souběhu aplikace § 63 a ukládání pokut za přestupky lze odkázat na odůvodnění k § 62. Explicitní úprava paralelní aplikace sankce podle § 63 a pokut za přestupky zde však není potřeba. V případě § 63 jde pouze o návrh Úřadu na vydání soudního rozhodnutí, nikoli o uložení povinnosti samotné. V případě postupu podle § 63 je vedeno civilní soudní řízení s fyzickou osobou, tedy osobou odlišnou od té, které je ukládána pokuta za přestupek. Nedochází tady tedy ani k souběhu druhu řízení, příslušného orgánu, sankcionovaného subjektu a sankcionované povinnosti (povinná osoba dostává pokutu např. za nesplnění povinnosti zavést bezpečnostní opatření nebo za nesplnění povinnosti uložené reaktivním opatřením, fyzická osoba je zde sankcionována za neplnění povinnosti řádného výkonu své řídicí funkce a bránění splnění povinností právnickou osobou).
K § 64
Směrnice NIS 2 po členských státech požaduje, aby kontrola dodržování povinností plynoucích ze směrnice byla účinná a aby byly dozorové orgány schopny řádně vykonávat své svěřené pravomoci. Úřad jakožto správní orgán při výkonu svých pravomocí postupuje podle správního řádu, při výkonu kontroly pak podle kontrolního řádu. Oba předpisy poskytují správním, resp. kontrolním orgánům určité nástroje pro efektivní výkon svých pravomocí, včetně prostředků donucení. Pro zajištění řádného průběhu kontrol a správních řízení vedených Úřadem a výkonu rozhodnutí Úřadu lze využít především pořádkovou pokutu podle správního řádu (zejm. pro případ, že účastník řízení nebo jiná osoba významně ztěžuje postup Úřadu tím, že neuposlechne pokynu úřední osoby, nebo se bez náležité omluvy nedostaví na předvolání k Úřadu), pokutu za přestupek proti kontrolnímu řádu (za neposkytnutí potřebné součinnosti podle kontrolního řádu) a donucovací pokutu podle správního řadu, již se vymáhá splnění povinnosti uložené rozhodnutím.
Výše pokut, které je možné podle obou dotčených obecných předpisů ukládat, jsou stanoveny ve výši odpovídající době svého přijímání (v případě správního řádu se částky neměnily od roku 2006, v případě kontrolního řádu jsou neměnné od roku 2014). Za tu dobu došlo mj. vlivem inflace i růstu ekonomiky ke změně vnímání hodnoty peněz a ke změně vnímání účinnosti a efektivity pořádkových a donucovacích pokut, jejíchž výše je v současnosti neúměrně nízká. Oba uvedené předpisy jsou sice univerzálně aplikovatelné na postupy správních orgánů napříč odvětvími, ale žádným způsobem nezohledňují závažnost a charakter pochybení, v jejichž souvislosti jsou aplikovány. Do navrhované regulace kybernetické bezpečnosti budou primárně spadat velké a střední podniky, tzn. subjekty, jejichž obrat se pohybuje v řádech stovek milionů až miliard korun. Maximální pevně stanovená výše pokut, které bude možné podle návrhu zákona uložit za nejzávažnější pochybení proti navrhované regulaci, je 250 milionů Kč. Výše pořádkové nebo donucovací pokuty v současné výši (50, resp. 100 tisíc Kč) v případě jejich uložení tak nemůže být pro regulované orgány a osoby motivační. Stejně tak maximální výše pokuty za přestupek proti kontrole (500 000 Kč), jehož spácháním se regulovaný orgán nebo osoba může vyhnout uložení maximální výše pokuty za neplnění povinností v oblasti kybernetické bezpečnosti, vůbec neodpovídá povaze a závažnosti pochybení regulovaného orgánu nebo osoby. Z uvedených důvodů je potřeba zvýšit maximální sazby pokut, jejichž cílem je donutit regulovaný orgán nebo osobu poskytovat součinnost Úřadu při výkonu jeho dozorových pravomocí.
Speciální úprava ukládání pořádkové pokuty je inspirována zákonem č. 395/2009 Sb., o významné tržní síle a nekalých obchodních praktikách při prodeji zemědělských a potravinářských produktů, ve znění pozdějších právních předpisů. Také do působnosti tohoto návrhu zákona spadají hospodářsky silné subjekty, vůči nimž bylo potřeba posílit motivační funkci donucovacích prostředků správního řádu a kontrolního řádu (byť jeho aplikace je nahrazena speciální procesní úpravou). Pořádkovou pokutu, kterou má být zajištěno poskytnutí nezbytné součinnosti pro provedení šetření, je možné ukládat opakovaně, maximální výše opakovaně uložených pořádkových pokut je stanovena na shodné úrovni jako vlastní pokuta za porušení pravidel stanovených návrhem zákona. Šetřený orgán nebo osoba je tedy motivován k poskytnutí nezbytné součinnosti, neboť až na nejzávažnější případy tím snižuje finanční dopady porušení svých návrhem zákona stanovených povinností. Tím je dosaženo zkrácení šetření věci a umožněna rychlá náprava nevyhovujícího stavu. Obdobný přístup je třeba aplikovat i ve vztahu k regulaci kybernetické bezpečnosti, neboť i v této oblasti je dán zvýšený veřejný zájem na rychlém vyšetření možného porušení pravidel kybernetické bezpečnosti a na bezodkladné nápravě nevyhovujícího stavu.
Odstavec 1 stanoví maximální výši jedné pořádkové pokuty na 100 000 Kč, celkově pak nesmí výše opakovaně ukládaných pokut přesáhnout 10 000 000 Kč nebo 1 % z čistého obratu dosaženého právnickou nebo podnikající fyzickou osobou za poslední ukončené účetní období, podle toho, která z daných částek je vyšší. Pořádkovou pokutu je možné uložit i opakovaně, což jen zdůrazňuje její procesní charakter sloužící k přinucení povinného orgánu nebo osoby k plnění příslušné povinnosti. Maximální částky jsou stanoveny jako dvojnásobek jednorázové pokuty podle správního řádu, resp. jako zlomek pevné a polovina pohyblivé maximální výše pokuty za nejzávažnější přestupky proti návrhu zákona. Nadto stále platí povinnost Úřadu ukládat pokuty ve výši přiměřené okolnostem, zohledňovat konkrétní skutkové okolnosti případu a neukládat pokuty v likvidační výši (což by šlo navíc proti smyslu pořádkových pokut). Méně ekonomicky silným regulovaným orgánům a osobám tak budou zpravidla ukládány pokuty v nižší výši.
Obdobným způsobem a z obdobných důvodů dochází i ke zvýšení maximální výše celkově uložených donucovacích pokut, kterými se vymáhá plnění rozhodnutí Úřadu.
U obou institutů bylo přistoupeno k vázání pohyblivé hranice výše pokuty pouze na obrat dotčené právnické nebo podnikající fyzické osoby (na rozdíl od pohyblivé hranice výše pokuty za přestupek proti návrhu zákona, která je vázána na celosvětový obrat konsolidačního celku, pokud je dotčený orgán nebo osoba jeho součástí). Oba druhy pokut budou ukládány za účelem donucení dotčené osoby plnit své povinnosti, často v okamžiku, kdy celosvětový obrat konsolidačního celku není znám (neboť jsou teprve shromažďovány podklady pro učinění závěru, zda bude uložena pokuta za přestupek) a jeho zjišťování by komplikovalo průběh probíhajícího řízení a mařilo účel ukládání pořádkové nebo donucovací pokuty, kterým je rychlé a efektivní donucení osoby splnit uloženou povinnost.
Odstavec 3 stanoví maximální výši pokuty za přestupek proti kontrole podle kontrolního řádu na 10 000 000 Kč. Jde o zlomek maximální výše pokuty za nejzávažnější přestupky proti zákonu, kterým se regulovaný orgán nebo osoba neposkytnutím součinnosti podle kontrolního řádu může vyhnout. Zároveň však jde o částku, která by i pro ekonomicky silné orgány a osoby měla být motivační. Uložení pokuty za přestupek proti kontrolnímu řádu přitom nevylučuje ukládání pořádkových pokut podle správního řádu v případě, že jsou pro to splněny zákonné předpoklady. Každý z institutů míří na porušení odlišné povinnosti. Cílem sankčních ustanovení kontrolního řádu je přinutit kontrolovaný subjekt ke spolupráci při kontrole, odmítá-li ji dobrovolně. Sankce je zde ukládána za porušení hmotněprávní povinnosti, tedy povinnosti vytvořit podmínky pro výkon kontroly a poskytovat při ní potřebnou součinnost. Naopak cílem pořádkových pokut je sankcionování porušení procesní povinnosti spočívající v umožnění řádného postupu správního orgánu, typicky ve splnění pokynu úřední osoby nebo v dostavení se k Úřadu na jeho předvolání v rámci správního řízení, a jejím primárním cílem není potrestání regulovaného orgánu nebo osoby, ale donucení ke splnění povinnosti, která není plněna. Pořádková pokuta pak bude standardně uplatňována pouze tam, kde nelze využít institutu přestupku podle kontrolního řádu, neboť jeho ustanovení budou mít v případě souběhu obou institutů přednost. Pokud tedy např. kontrolovaná osoba odmítne poskytnout součinnost při kontrole a tím závažně ztíží postup Úřadu v rámci kontroly, Úřad takové osobě uloží pokutu za přestupek podle kontrolního řádu, ne pořádkovou pokutu podle správního řádu. Naopak pokud účastník řízení či jiná dotčená osoba odmítne součinnost v rámci správního řízení, Úřad takové osobě uloží pořádkovou pokutu.
K § 65
Navrhované ustanovení upravuje spolupráci Úřadu s dozorovými orgány podle jiných právních předpisů a dalšími orgány a osobami, u nichž je to vyžadováno směrnicí NIS 2 nebo národními potřebami. Předmětem spolupráce je především výměna informací nezbytných pro řádný výkon návrhem zákona upravených pravomocí Úřadu a jiných dozorových orgánů a poskytování relevantních informací institucím EU. Součinnost podle odstavce 1 a 2 je třeba poskytnout bez zbytečného odkladu a bez úplaty, nestanoví-li zvláštní předpis jinak. Tato povinnost odpovídá zásadě rychlosti správního řízení a zajišťuje soulad s principem dobré správy.
Odstavec 1 se týká spolupráce Úřadu s jinými orgány veřejné moci. Výměna informací má sloužit k efektivnímu výkonu návrhem zákona svěřených pravomocí Úřadu i jiných orgánů veřejné moci, zvláště v oblastech, ve kterých se pravomoci Úřadu a jiných orgánů veřejné moci překrývají nebo doplňují (typicky v oblastech regulace kritické infrastruktury nebo dozoru nad odvětvími, kde je kybernetická bezpečnost regulována také sektorovou legislativou). Výměnou informací však nesmí být dotčena zákonná povinnost mlčenlivosti zaměstnanců Úřadu, stejně jako Úřad musí dbát ochrany zajišťování kybernetické bezpečnosti nebo účinnost protiopatření vydaného podle návrhu zákona.
Podle odstavce 2 jsou orgány a osoby, o kterých lze důvodně předpokládat, že naplňují kritéria pro identifikaci nebo určení regulované služby povinny vyhovovat žádostem Úřadu o součinnost při poskytnutí informací nezbytných pro posouzení naplnění kritérií pro identifikaci nebo určení regulované služby. Toto ustanovení je doplněno ustanovením, které omezuje tuto součinnost v takových případech, kde existuje speciální právní úprava, která tento typ spolupráce omezuje.
Součinnost podle odstavce 1 a 2 je třeba poskytnout bez zbytečného odkladu a bez úplaty, nestanoví-li zvláštní předpis jinak. Tato povinnost odpovídá zásadě rychlosti správního řízení a zajišťuje soulad s principem dobré správy.
Z důvodu automatického propojení procesů v rámci směrnice NIS 2 a směrnice CER, které přebírá také návrh zákona v případě určení prvků kritické infrastruktury poskytovatele regulované služby v režimu vyšších povinností, se v odstavci 3 prohlubuje spolupráce mezi Úřadem a orgány zapojenými do procesu určování kritické infrastruktury.
Odstavec 4 stanovuje výjimku z povinnosti mlčenlivosti Generálního finančního ředitelství podle zákona č. 280/2009 Sb., daňového řádu, ve znění pozdějších předpisů, které vede centrální evidence a registry nezbytné pro výkon působnosti všech orgánů finanční správy a které je nadřízeno Odvolacímu finančnímu ředitelství a všem finančním úřadům. Výjimka se vztahuje na informace získané při správě daní, které jsou nezbytné pro posouzení, zda orgán nebo osoba naplňuje kritéria pro identifikaci regulované služby stanovená návrhem zákona. Průlom do povinnost mlčenlivosti podle daňového řádu je tedy limitován na nezbytný rozsah údajů za účelem identifikace regulované služby, zejména ve vztahu k velikosti podniku, jako jednomu z kritérií pro identifikaci regulované služby. Pro určení velikosti podniku jsou stěžejní údaje o počtu zaměstnanců a údaje o obratu nebo aktivech společnosti a vazbách mezi majetkově spřízněnými společnostmi. Úřad těmito informacemi z vlastní činnosti nedisponuje a je při jejich zjišťování odkázán na veřejně dostupné informace, tvrzení posuzovaného orgánu nebo osoby a informace od jiných orgánů veřejné správy. Informace o hospodaření zejména posuzovaných osob nejsou vždy veřejně dostupné, stejně jako není vždy možné z veřejných zdrojů dohledat kompletní informace o vazbách majetkově spřízněných subjektů. Finanční správa získává informace o majetkových poměrech a finančním hospodaření orgánu nebo osoby při správě daní. Orgány finanční správy jsou tak schopny poskytnout Úřadu relevantní informace nezbytné pro posouzení naplnění kritérií pro identifikaci služby. Stejně tak je finanční správa schopna poskytnout Úřadu spolehlivé informace o předmětu činnosti posuzovaného subjektu, případně další informace nezbytné pro posouzení naplnění kritérií pro identifikaci regulované služby. V odůvodněných případech tak zásada mlčenlivosti při správě daní ustupuje jinému veřejnému zájmu, zde veřejnému zájmu na zajišťování kybernetické bezpečnosti u regulovaných orgánů a osob. Za účelem zajištění hladké komunikace mezi orgány finanční správy a Úřadem z hlediska odbornosti a jednotného postupu finanční správy není prolomení povinnosti mlčenlivosti podle daňového řádu stanoveno návrhem zákona pro finanční správu obecně. Současně navrhované ustanovení zachovává možnost Generálního finančního ředitelství žádosti nevyhovět, pokud by poskytnutím informací mohlo dojít k narušení řádného výkonu správy daní. Návrh tak umožňuje v konkrétních případech zohlednit také zájem státu na účinné správě daní.
Ustanovení odst. 5 je transpozičním ustanovením čl. 35 směrnice NIS 2. "Vzájemná spolupráce" uvedená v první větě reprezentuje širokou škálu společných aktivit, které mezi Úřadem a Úřadem pro ochranu osobních údajů probíhají mimo jiné již nyní a které zahrnují i činnosti uvedené v čl. 35 směrnice NIS 2. „Výměna informací za účelem zamezení dvojího trestání" míří na sdílení informací o tom, že porušením pravidel v oblasti kybernetické bezpečnosti mohlo současně dojít k porušení pravidel pro zabezpečení osobních údajů. Pokud by si úřady tyto informace nepředávaly, mohlo by dojít k potrestání jednoho přestupku podle dvou různých předpisů (zákona o kybernetické bezpečnosti a předpisů upravujících ochranu osobních údajů), a tedy k nežádoucímu dvojímu trestání a k porušení zásady ne bis in idem. Sdílení informací mezi uvedenými úřady má pak význam i v situaci, kdy je k dozoru nad dozorovaným subjektem v oblasti ochrany osobních údajů příslušný orgán jiného členského státu, a je tedy nutné v této věci zahájit mezinárodní spolupráci podle pravidel obecného nařízení o ochraně osobních údajů.
Z obdobných důvodů jako odstavec 4 stanovuje odstavec 6 oprávnění Úřadu získat způsobem umožňujícím dálkový přístup z evidence skutečných majitelů úplný výpis platných údajů a údajů, které byly vymazány bez náhrady nebo s nahrazením novými údaji podle zákona o evidenci skutečných majitelů. Automatizace získávání informací má za cíl zrychlit a zjednodušit proces identifikace nově regulovaných orgánů a osob. Umožnění dálkového přístupu do evidence skutečných majitelů bylo předem konzultováno s Ministerstvem spravedlnosti, které samo navrhlo obecnější formulaci navrhovaného zmocňovacího ustanovení.
K § 66
Ustanovení o informační povinnosti Úřadu upravuje poskytování informací vyžadovaných směrnicí NIS 2. V části se jedná o informace o identifikaci povinných orgánů a osob nebo přijímání a zavádění národních strategií kybernetické bezpečnosti, které jsou poskytovány i za účinnosti zákona o kybernetické bezpečnosti, v části jde o nové informační povinnosti mající za cíl efektivnější řízení kybernetických bezpečnostních rizik na úrovni EU a posílení spolupráce mezi členskými státy a unijními institucemi.
K § 67
Při postupu Úřadu podle navrhovaných ustanovení o výstraze, varování, reaktivním protiopatření, omezení rizik spojených s dodavateli a výjimce z omezení rizik spojených s dodavatelem se, zejména v souvislosti s prověřováním a omezováním rizik spojených s dodavatelem, předpokládá dispozice se značným množstvím utajovaných a jiných citlivých neveřejných informací (vč. například informací podléhající zákonem stanovené či uznané povinnosti mlčenlivosti), vyžadujících v souladu s jinými právními předpisy významně zvýšenou míru ochrany. Za tímto účelem se informace, s nimiž jiná právní úprava takovou zvýšenou míru ochrany pojí, uchovávají podle odstavce 1 v rámci Úřadu mimo spis a nelze vůči nim vykonávat právo nahlížení do spisu podle správního řádu.
S ohledem na skutečnost, že odstavec 1 vedle utajovaných informací vymezuje další množinu informaci, které by v případném soudním řízení nebyly chráněny před automatickým zpřístupněním, v odstavcích 2 až 4 je ve vztahu k § 45 soudního řádu správního upraven zvláštní režim, jehož smyslem je zajistit potřebnou ochranu jak utajovaným informacím, tak také informacím, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření podle § 21 nebo opatření obecné povahy podle § 31 nebo zmařit účel trestního řízení. Tento zvláštní režim se do značné míry podobá úpravě obsažené v § 22 a 23 zákona o prověřování zahraničních investic, která se týká ochrany před neopodstatněným zpřístupněním utajovaných informací v soudním řízení vedeném na základě žaloby proti rozhodnutí vydanému podle posledně zmíněného zákona. Nad její rámec je v odstavci 2 zakotveno, že předseda senátu si vyžádá vyjádření Úřadu před rozhodnutím týkajícím se informací, které jsou uvedeny v odstavci 1 a zároveň nejsou utajované, nebo neutajované s možným následkem zpřístupnění v podobě zmaření účelu trestního řízení. Důvodem pro tento postup je, že je to právě Úřad, který s ohledem na povahu své činnosti bude schopen posoudit, zda by zpřístupnění dotčených informací mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření podle § 21 nebo opatření obecné povahy podle § 31.
K § 68
Navrhované ustanovení je obdobou § 3a zákona o kybernetické bezpečnosti a upravuje ustanovení zástupce poskytovatelů vybraných regulovaných služeb a subjektů poskytujících služby registrace jmen domén usazených mimo Evropskou unii. V případě poskytovatelů vybraných digitálních služeb může, vzhledem k povaze těchto služeb, snadno dojít k tomu, že dotčený poskytovatel nemusí být usazen (mít sídlo) v rámci EU. Směrnice NIS 2 takovou situaci řeší stanovením povinnosti poskytovatele v případě, že nabízí v EU své služby, ustavit si v rámci EU svého zástupce. Členský stát EU, ve kterém je takový zástupce určen, se pak považuje za stát, v němž je poskytovatel digitálních služeb usazen a dopadá na něj tedy regulace příslušného orgánu tohoto členského státu.
Směrnice NIS 2 pojem usazení váže na umístění provozovny a ve svém recitálu 114 jej vymezuje takto: „Kritérium provozovny pro účely této směrnice předpokládá účinný výkon činnosti prostřednictvím stálých struktur. Právní forma takových struktur, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. To, zda je toto kritérium splněno, by nemělo záviset na tom, zda se sítě a informační systémy fyzicky nacházejí na daném místě; sama přítomnost a samotné používání takových sítí a systémů nejsou podstatou hlavní provozovny, a tudíž ani nejsou rozhodujícími kritérii pro její určení. Mělo by se mít za to, že hlavní provozovna se nachází v členském státě, kde jsou v Unii převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. To bude obvykle odpovídat místu, kde se nachází ústřední správa subjektu v Unii. Nelzeli takový členský stát určit nebo nejsou-li tato rozhodnutí přijímána v Unii, mělo by se mít se za to, že hlavní provozovna je v členském státě, v němž jsou prováděny operace v oblasti kybernetické bezpečnosti. Nelze-li takový členský stát určit, mělo by se mít za to, že hlavní provozovna se nachází v členském státě, v němž má subjekt provozovnu s nejvyšším počtem zaměstnanců v Unii. Pokud jsou služby prováděny skupinou podniků, měla by se za hlavní provozovnu skupiny podniků považovat hlavní provozovna řídícího podniku.“
Směrnice NIS 2 se pak dále ve svém recitálu 116 věnuje vymezení poskytování služeb v rámci EU, když stanoví následující: „Aby bylo možno určit, zda takový subjekt nabízí služby v rámci Unie, mělo by být ověřeno, zda má tento subjekt v úmyslu nabízet služby osobám v jednom nebo více členských státech. Pouhá dostupnost internetových stránek subjektu nebo jeho zprostředkovatele v Unii nebo dostupnost e-mailové adresy nebo dalších kontaktních údajů nebo používání jazyka obecně používaného ve třetí zemi, v níž je subjekt usazen, by k ověření tohoto úmyslu postačovat neměla. Avšak faktory jako používání jazyka nebo měny obecně používaných v jednom nebo více členských státech, spolu s možností objednat služby v tomto jazyce, nebo zmínka o zákaznících či uživatelích nacházejících se v Unii by mohly být zjevným dokladem o tom, že subjekt má v úmyslu nabízet služby v rámci Unie.“
Otázkou zaměření služeb na konkrétní členský stát se zaobíral i Soudní dvůr EU, konkrétně ve svých rozhodnutích ve věcech C-585/08 a C-144/09. Za účelem určení, zda podnikatel, jehož činnost je prezentována na jeho internetové stránce nebo na internetové stránce jeho zprostředkovatelské společnosti, může být považován za podnikatele „zaměřujícího“ činnost na členský stát, na jehož území má spotřebitel své bydliště ve smyslu čl. 15 odst. 1 písm. c) nařízení č. 44/2001, je třeba ověřit, zda před případným uzavřením smlouvy se spotřebitelem z uvedených internetových stránek a celkové činnosti podnikatele vyplývalo, že podnikatel zamýšlel obchodovat se spotřebiteli s bydlištěm v jednom či více členských státech, včetně členského státu, ve kterém má spotřebitel bydliště, v tom smyslu, že byl připraven uzavřít s nimi smlouvu.
Následující skutečnosti, jejichž výčet není taxativní, mohou představovat indicie umožňující se domnívat, že činnost podnikatele je zaměřena na členský stát bydliště spotřebitele:
· mezinárodní povaha činnosti,
· popis cesty do sídla podnikatele s počátkem v jiných členských státech,
· použití jiného jazyka nebo jiné měny, než jsou jazyk nebo měna, které jsou obvykle používány v členském státě, ve kterém má podnikatel sídlo s možností provést rezervaci a potvrdit ji v tomto jiném jazyce,
· uvedení telefonického spojení s mezinárodním předčíslím,
· vynaložení nákladů na službu sponzorovaných odkazů na internetu s cílem usnadnit spotřebitelům s bydlištěm v jiných členských státech přístup na stránku podnikatele nebo jeho zprostředkovatele,
· použití jiného jména domény prvního řádu, než je doména členského státu, ve kterém má podnikatel sídlo, a
· uvedení mezinárodní klientely složené ze zákazníků s bydlištěm v jiných členských státech.
Naproti tomu pouhá dostupnost internetové stránky podnikatele nebo jeho zprostředkovatelské společnosti v členském státě, na jehož území má spotřebitel bydliště, nepostačuje. Stejně je tomu v případě uvedení elektronické adresy, jakož i dalších kontaktních údajů nebo v případě využití jazyka nebo měny, které jsou obvykle používány v členském státě, ve kterém má podnikatel sídlo.
V rozhodnutí ve věci C-230/14 Soudní dvůr EU uvedl, že soud může za účelem určení zaměření služeb na členský stát zohlednit zejména skutečnost, že činnost správce, v rámci níž k uvedenému zpracování dochází, spočívá v provozování webových stránek s inzeráty na nemovitosti nacházející se na území tohoto členského státu, které jsou v jazyce tohoto státu, a že je tato činnost tedy zaměřena především, nebo dokonce zcela na uvedený členský stát, a dále skutečnost, že tento správce má v uvedeném členském státě zástupce, jehož úkolem je vymáhat pohledávky vyplývající z této činnosti, jakož i zastupovat správce ve správních a soudních řízeních souvisejících se zpracováním předmětných údajů.
Směrnice NIS 2 řeší i stav, kdy je poskytovatel vybraných digitálních služeb usazen v jednom členském státu EU (v našem případě tedy v České republice), ale jeho sítě a informační systémy jsou umístěny v jiném členském státu. V takovém případě se zavádí povinnost Úřadu spolupracovat s příslušným úřadem tohoto dotčeného členského státu pro zjištění reálného stavu zajištění bezpečnosti sítí a informačních systémů a řešení případných nedostatků. Poskytování vzájemné pomoci upravuje návrh zákona v samostatném ustanovení § 57 věnovaném vzájemné spolupráci členských států.
Ustaveným zástupcem musí být vždy osoba (fyzická, či právnická), která je usazená v EU, neboť v případě, že by tomu tak nebylo, ztrácel by institut ustavení zástupce jakýkoli reálný smysl. Vzhledem k působnosti Úřadu je navrhovaná právní úprava adresována v tomto ustanovení zástupcům usazeným v České republice. Pro větší právní jistotu se stanoví, že zástupce musí být výslovně (doložitelně) pověřen k jednání jménem poskytovatele regulovaných služeb. Tím, že poskytovatel regulované služby určí svého zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti poskytovateli regulované služby samotnému.
Návrh pak v souladu s požadavky směrnice NIS 2 stanoví pravomoc Úřadu dozorovat poskytovatele vybraných digitálních služeb a jednat s nimi jako s usazenými v České republice v případě, že mají hlavní provozovnu mimo EU a neustavili si svého zástupce v žádném členském státě EU. Uvedené má za cíl motivovat poskytovatele regulovaných služeb k ustanovení zástupců v Evropské unii nebo ke zřízení provozoven na území EU, neboť do té doby jsou za své jednání (a porušování pravidel kybernetické bezpečnosti) odpovědní ve všech členských státech EU, ve kterých poskytují své služby.
K § 69
S ohledem na povahu stavu kybernetického nebezpečí a jeho podobnost s jinými krizovými stavy lze důvodně očekávat vznik nákladů spojených s přípravou na stav kybernetického nebezpečí a odstraňování jeho následků prostřednictvím jednotlivých opatření. V souladu se zákonem č.218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů Úřad za tímto účelem vyčleňuje objem finančních prostředků k tomu potřebných, které se považují za závazný ukazatel státního rozpočtu na příští rok. V zásadě totožná právní úprava je obsažena v § 25 krizového zákona ve vztahu k finančnímu zabezpečení krizových opatření, návrh zákona ji tedy přejímá v mírně obměněné podobě.
K § 70
Zpravodajské služby mají i v zákoně o kybernetické bezpečnosti výlučné postavení. Tento návrh zákona navazuje na filozofii zákona o kybernetické bezpečnosti, ovšem nyní již jejich postavení specifikuje ve větším detailu, například vyjasňuje poskytování součinnosti ze strany zpravodajských služeb. Toto ustanovení je tak odrazem předchozí právní úpravy s důrazem na vyjasnění veškerých aspektů aplikace návrhu zákona vůči zpravodajským službám. Zpravodajské služby nejsou poskytovateli regulované služby a nemají žádnou regulovanou službu ve smyslu tohoto návrhu zákona. Toto výlučné postavení vede především k tomu, že je nelze slučovat s množinou poskytovatelů regulované služby, a to i když jim zákon v tomto ustanovení § 70 specificky přiřazuje některé povinnosti, které jsou s poskytovateli regulované služby obdobné.
Výše zmíněné povinnosti, které jsou u zpravodajských služeb obdobné jako v případě poskytovatele regulované služby, jsou vyjmenovány v odstavci 2 tohoto ustanovení. Aplikuje se upraveně ustanovení o hlášení kontaktních údajů pro účely stanovení komunikační linie mezi zpravodajskými službami a Úřadem, dále se přiměřeně zavádí bezpečnostní opatření, jaká jsou stanovena pro poskytovatele regulované služby v režimu vyšších povinností a aplikuje se přiměřené zohledňování varování.
V odstavci 3 je specificky u zpravodajských služeb vyloučena povinnost poskytovat na výzvu Úřadu informace a další součinnost při zvládání kybernetického bezpečnostního incidentu, dále ustanovení, které by zavazovaly zpravodajské služby plnit opatření uložená ředitelem Úřadu za stavu kybernetického nebezpečí a v neposlední řadě všechna ustanovení, která by zpravodajské služby podřazovala pod dohled a kontrolu plnění povinností podle tohoto návrhu zákona ze strany Úřadu.
Poslední odstavec 4 upravuje spolupráci mezi Úřadem a zpravodajskými službami, zejména nastavuje limity této spolupráce a potvrzuje stav, kdy je spolupráce mezi Úřadem a zpravodajskými službami plně ovládána standardními ustanoveními zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, resp. zákona č. 289/2005 Sb. o Vojenském zpravodajství, ve znění pozdějších předpisů.
K § 71
Navrhované ustanovení je odrazem čl. 4 směrnice NIS 2 a zakotvuje aplikační přednost takových přímo použitelných právních předpisů Evropské unie, které upravují vybrané otázky zajišťování kybernetické bezpečnosti ve srovnatelných nebo větších podrobnostech než tento návrh zákona. Návrh zákona představuje horizontální regulaci kybernetické bezpečnosti v České republice, která stanovuje společný základ a společné požadavky pro všechna regulovaná odvětví. Obdobně jako v případě směrnice NIS 2 tak jde o předpis stanovující základ pro opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti napříč odvětvími, jež spadají do jeho působnosti. Pokud orgány Evropské unie posoudí, že odvětvový akt, který upravuje otázky kybernetické bezpečnosti ve vztahu k tomuto odvětví podrobněji než směrnice NIS, je potřebný, mohou takový přímo použitelný odvětvový akt, který vyžaduje, aby orgány a osoby spadající do působnosti směrnice NIS 2 a tohoto návrhu zákona přijaly další opatření k řízení kybernetických bezpečnostních rizik, nebo aby oznamovaly významné incidenty, a jehož účinek je alespoň rovnocenný účinku povinností stanovených ve směrnici NIS 2 a návrhu zákona, přijmout. Takové přímo použitelné předpisy Evropské unie pak budou mít v rozsahu, ve kterém upravují shodnou problematiku jako návrh zákona, aplikační přednost (lex specialis), a to i ve vztahu k vymáhání uložených povinností.
Pokud se přímo použitelný a přednostně aplikovaný právní předpis Evropské unie vztahuje pouze na některé orgány a osoby regulované tímto návrhem zákona, zbylé orgány a osoby jsou i nadále povinny plnit všechny povinnosti stanovené tímto návrhem zákona.
Směrnice NIS 2 výslovně stanoví, že za takovou speciální odvětvovou úpravu, která má v otázkách zavádění a provádění bezpečnostních opatření a hlášení kybernetických bezpečnostních incidentů aplikační přednost, je třeba považovat nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (ve vztahu k orgánům a osobám spadajícím do odvětví finančního trhu). Obdobně tak stanoví i samo nařízení č. 2022/2554. Naopak za přednostně aplikovatelný přímo použitelný předpis Evropské unie ve smyslu komentovaného ustanovení nebude považováno nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Toto nařízení dopadá pouze na část komplexní problematiky řízení bezpečnosti informací v informačních systémech (na ochranu osobních údajů, které jsou v informačních systémech zpracovávány), a i z textu směrnice NIS 2 je zřejmé, že obě úpravy mají být aplikovány současně, nikoli konkurenčně. Z obdobných důvodů nebude za speciální přednostně použitelný odvětvový akt považováno např. ani nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, z něhož je naopak problematika zajišťování kybernetické bezpečnosti informačních systémů vyčleněna právě do směrnice NIS 2 a návrhu zákona.
Lze se domnívat, že pokud bude v budoucnu vydán další přímo použitelný právní předpis Evropské unie, který bude mít aplikační přednost před některými ustanoveními směrnice NIS 2 a návrhu zákona (nejpravděpodobněji se jeví vydání takového předpisu v odvětví dopravy nebo energetiky), bude taková aplikační přednost (resp. vztah k ustanovením směrnice NIS 2) v tomto přímo použitelném právním předpisu explicitně řešena (obdobně jako to činí nařízení č. 2022/2554). Sama směrnice NIS 2 k tomu požaduje, aby budoucí odvětvové právní akty Evropské unie náležitě zohledňovaly definice a rámec pro dohled a vymáhání stanovené v této směrnici.
K § 72
Přechodná ustanovení mají zajistit plynulý přechod z právní úpravy obsažené v zákoně o kybernetické bezpečnosti na právní úpravu obsaženou v návrhu zákona. Navrženým ustanovením je tak například stanovena kontinuita plnění povinností v oblasti kybernetické bezpečnosti u dosud regulovaných orgánů a osob, platnost vydaných opatření Úřadu a nápravných opatření, nebo v jakém režimu budou probíhat řízení Úřadu týkající se splnění povinností uložených zákonem o kybernetické bezpečnosti.
Za účelem zachování dosažené úrovně kybernetické bezpečnosti u informačních systémů regulovaných zákonem zákona o kybernetické bezpečnosti, které budou spadat i do působnosti tohoto návrhu zákona, a nezmaření investic vynaložených na zavedení bezpečnostních opatření podle vyhlášky o kybernetické bezpečnosti návrh zákona upravuje povinnosti vybraných poskytovatelů regulovaných služeb v období mezi zrušením zákona o kybernetické bezpečnosti a uplynutím lhůt pro splnění veškerých požadavků a zavedení požadovaných opatření podle tohoto návrhu zákona.
I pro povinné osoby podle § 3 zákona o kybernetické bezpečnosti, které budou spadat do působnosti tohoto zákona na základě naplnění kritérií pro identifikaci regulované služby, bude platit stejná povinnost registrace regulované služby jako pro subjekty, které dosud regulaci kybernetické bezpečnosti nepodléhaly, a stejně jako nově regulovaným orgánům a osobám jim od okamžiku doručení vyrozumění o zápisu do evidence regulovaných služeb začnou běžet lhůty pro zahájení plnění povinností podle návrhu zákona. Zatímco některé povinnosti podle návrhu zákona bude třeba začít plnit ihned od vyrozumění o zápisu do evidence, u některých povinností, typicky zavádění bezpečnostních opatření a hlášení kybernetických bezpečnostních incidentů, se uplatní přechodná lhůta pro přizpůsobení prostředí organizace regulovaného orgánu nebo osoby plnění nových povinností. Pokud by přechodná ustanovení toto mezidobí explicitně neupravovala, došlo by k narušení kontinuity zajišťování kybernetické bezpečnosti služeb u těch orgánů a osob, které byly povinny plnit povinnosti v oblasti kybernetické bezpečnosti za účinnosti zákona o kybernetické bezpečnosti a u nichž je dán veřejný zájem na pokračování plnění těchto povinností. Z toho důvodu navrhované ustanovení stanoví, že v mezidobí skončení účinnosti zákona o kybernetické bezpečnosti a uplynutí lhůt pro zahájení plnění navrhované nové právní úpravy jsou dosavadní správci informačních systémů podle § 3 písm. c) až f) zákona o kybernetické bezpečnosti povinni plnit povinnosti spojené se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu podle zákona o kybernetické bezpečnosti, a to alespoň v rozsahu, ve kterém budou jimi poskytované služby podléhat regulaci návrhu zákona.
Přechodné ustanovení podle odstavce 1 se použije pouze na správce informačních systémů regulovaných zákonem o kybernetické bezpečnosti. Ačkoli zákon o kybernetické bezpečnosti reguloval jako povinné orgány a osoby i tzv. provozovatele systémů, tj. orgány a osoby zajišťující funkčnost technických a programových prostředků tvořících regulovaný informační systém, tyto orgány a osoby spadaly do působnosti zákona o kybernetické bezpečnosti převážně pro činnost spočívající v provozu „cizích“ informačních systémů, jen výjimečně svých vlastních. Naopak do působnosti návrhu zákona budou někteří dosavadní provozovatelé systémů spadat pro svou vlastní činnost vykonávanou prostřednictvím vlastních informačních systémů, a i povinnosti v oblasti řízení bezpečnosti informací, které jim budou novou úpravou uloženy, se budou vztahovat na jejich vlastní organizaci, nikoli na organizaci odběratelů jejich služeb. Předmět a rozsah činnosti provozovatele informačního systému podle zákona o kybernetické bezpečnosti a podle návrhu zákona se tedy bude významným způsobem lišit, a z toho důvodu postrádá kontinuita regulace činnosti těchto orgánů a osob ve smyslu zákona o kybernetické bezpečnosti význam.
Pro poskytovatele regulované služby v režimu vyšších povinností bude platit, že v přechodném období budou dodržovat všechny povinnosti podle zákona o kybernetické bezpečnosti a vyhlášky o kybernetické bezpečnosti, neboť i za účinnosti nové právní úpravy budou povinni dodržovat všechna ustanovení návrhu zákona a prováděcího předpisu upravujícího bezpečnostní opatření pro vyšší režim. Rozsah nové právní úpravy přitom nebude užší než rozsah povinností stanovených zákonem o kybernetické bezpečnosti. V průběhu přechodné lhůty pak budou poskytovatelé regulovaných služeb v režimu vyšších povinností přizpůsobovat svou organizaci novým požadavkům a doplňovat dosavadní opatření o nová, vyžadovaná novou právní úpravou. Pro poskytovatele regulovaných služeb v režimu nižších povinností pak bude platit, že v přechodném období budou dodržovat alespoň ty povinnosti podle zákona o kybernetické bezpečnosti a vyhlášky o kybernetické bezpečnosti, která mají svůj odraz v povinnostech závazných pro poskytovatele regulovaných služeb v režimu nižších povinností. Opatření, která jdou nad rámec požadavků stanovených pro režim nižších povinností, tedy poskytovatel regulované služby v režimu nižších povinností nemusí nadále plnit. Dobrovolné plnění přísnějších požadavků není vyloučeno.
Přechodné lhůty stanovené návrhem zákona pro zahájení plnění povinností spojených se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu pak poskytovatelé regulovaných služeb využijí k přizpůsobení své organizace novým požadavkům a zavedení nových postupů, pokud je návrh zákona vyžaduje.
Způsob plnění povinností podle zákona o kybernetické bezpečnosti bude odpovídat minimálně požadavkům stanoveným návrhem zákona. Pro hlášení kybernetických bezpečnostních incidentů však platí, že se provádí podle pravidel nové regulace obsažené v návrhu zákona. Je tím zajištěno, že všechny regulované subjekty bez rozdílu budou využívat nový informační systém Úřadu (Portál Úřadu) a Úřad nebude muset udržovat v platnosti staré a překonané procesy. U plnění zbylých povinností je taktéž preferováno používání nových procesních postupů a nových prostředků pro komunikaci s Úřadem.
Pokud by se ve výjimečných případech mělo stát, že dosavadní regulované orgány a osoby, u nichž je dán veřejný zájem na pokračování zařazení do regulace kybernetické bezpečnosti, nenaplní kritéria pro identifikaci regulované služby a z regulace nabytím účinnosti nového zákona automaticky vypadnou, přechodné opatření zajišťující kontinuitu řízení kybernetické bezpečnosti se neuplatní. Pro tyto orgány a osoby bude platit pouze nová lhůta pro plnění povinností z návrhu zákona navazující na určení regulované služby a poskytovatele regulované služby rozhodnutím Úřadu pro naplnění kritérií pro určení regulované služby.
Za účelem zachování právní jistoty adresátů normy je v odstavci 2 stanoveno, že v řízeních ve věcech týkajících se plnění povinností podle zákona o kybernetické bezpečnosti se postupuje podle pravidel návrhu zákona (v posledním účinném znění). Procesní pravidla některých institutů společných staré i nové úpravě doznala v návrhu nové regulace více či méně podstatných změn, které mohou mít vliv na postavení účastníků řízení nebo výběr ukládaných sankcí. Stejně tak hmotněprávní ustanovení doznala zásadních změn. Je proto postaveno najisto, že plnění povinností plynoucích ze zákona o kybernetické bezpečnosti bude vymáháno v rozsahu a způsoby v něm upravenými.
Vzhledem k významnosti Národního CERT je žádané, aby nebyla dotčena platnost veřejnoprávních smluv uzavřených podle zákona o kybernetické bezpečnosti přede dnem nabytí účinnosti tohoto návrhu zákona. Přidání požadavku na platné osvědčení podnikatele pro přístup k utajovaným informacím pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti ve spojení s odstavcem 5 komentovaného ustanovení proto vyžaduje, aby poskytovateli Národního CERT byla poskytnuta lhůta, ve které takové osvědčení získá, pokud držitelem osvědčení do účinnosti návrhu zákona není. Podle přílohy č. 19 nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací, ve znění pozdějších předpisů, mohou být utajovanými informacemi i informace o kritických zranitelnostech v zabezpečení informačních a komunikačních systémů regulovaných zákonem o kybernetické bezpečnosti, a to na stupeň utajení V–T, přičemž pro osvědčení podnikatele pro stupeň utajení Důvěrné je řízení o vydání osvědčení ukončeno ve lhůtě 6 měsíců, pro stupeň utajení Tajné 8 měsíců. Při úvahách o časovém rozsahu doložení osvědčení byla zároveň zohledněna i možnost přerušení řízení a zvolen časový úsek jednoho roku.
K § 73
Protože tímto návrhem zákona dochází ke zrušení a nahrazení zákona o kybernetické bezpečnosti, je nutné v souladu s čl. 10 odst. 3 větou první Legislativních pravidel vlády („Je-li v návrhu zákona navrženo zrušit zákon (nebo jeho část), k jehož provedení je vydán prováděcí právní předpis, navrhne se ve zrušovacích ustanoveních návrhu zákona zrušení i tohoto prováděcího předpisu.“) v tomto ustanovení uvést nejen zrušení samotného zákona, ale také všech jeho dosavadních prováděcích právních předpisů. Tímto návrhem zákona tedy nutně dochází ke zrušení všech dosavadních zákonných i podzákonných právních předpisů upravujících komplexně kybernetickou bezpečnost v České republice a k jejich nahrazení předpisy novými.
K § 74
Protože podstatnou část návrhu zákona tvoří transpozice směrnice NIS 2, je s požadavky této směrnice úzce spojeno také stanovení účinnosti nové právní úpravy. V souladu s obsahem čl. 41 odst. 1 směrnice NIS 2 jsou členské státy povinny přijmout a zveřejnit opatření nezbytná pro dosažení souladu s uvedenou směrnicí do 17. října 2024, tato opatření se použijí od 18. října 2024. Vzhledem k tomu, že zde existuje naléhavý obecný zájem, spočívající v nutnosti implementace směrnice NIS 2 do určeného termínu, lze podle § 3 odst. 4 zákona č. 309/1999 Sb., o Sbírce zákonů a o Sbírce mezinárodních smluv, ve znění pozdějších předpisů, stanovit dřívější den nabytí účinnosti, než který je stanovený v odst. 3 tohoto ustanovení, tedy k 1. lednu nebo k 1. červenci kalendářního roku, nejdříve však počátkem dne následujícího po dní vyhlášení právního předpisu. V případě, že by nebyla směrnice NIS 2 implementována v řádném termínu, může Evropská komise zahájit s Českou republikou řízení o nesplnění povinnost podle čl. 258 a násl. Smlouvy o fungování EU. Z tohoto důvodu je nutné, aby byla právní úprava podle tohoto návrhu zákona a jeho prováděcích právních předpisů účinná nejpozději k 18. říjnu 2024 a zároveň ještě předtím byla zajištěná dostatečná legisvakanční lhůta, aby se orgány a osoby stihly připravit na veškeré povinnosti.
Příloha č. 1 důvodové zprávy
Příloha č. 2 důvodové zprávy
2
2
image1.jpg
image10.jpg
image2.jpg
image20.jpg