Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                Příloha k čj. MO 550419/2023-1321


Připomínky Ministerstva obrany
k materiálu s názvem „Návrh zákona o kybernetické bezpečnosti“


A. ZÁSADNÍ PŘIPOMÍNKY K PŘEDLOŽENÉMU MATERIÁLU

1. K § 2 odst. 1 

Požadujeme do odstavce 1 vložit nové písmeno „g) kybernetickou bezpečností činnosti nezbytné k ochraně sítí a informačních systémů, uživatelů a dalších osob dotčených kybernetickými hrozbami,“.

Dosavadní písmeno g) označit jako písmeno h). 

Odůvodnění: 
Návrh zákona o kybernetické bezpečnosti široce používá pojem „kybernetická bezpečnost“, aniž by jej definoval. 

Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) 
č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2), přitom definici pojmu „kybernetická bezpečnost“ obsahuje, respektive přebírá jej z nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“). 

Důvodová zpráva k návrhu zákona uvádí, že stejně jako v případě stávajícího zákona o kybernetické bezpečnosti nebyly až na výjimky do návrhu zákona zahrnuty definice těch pojmů, které jsou definovány ve směrnici NIS 2, kterou zákon transponuje, a to s odůvodněním, že je potřebné aplikovat tzv. eurokonformní výklad. Eurokonformním výkladem přímo neaplikovatelného právního předpisu, jakým je směrnice EU, a tedy i směrnice NIS 2, lze řešit ustanovení nebo definice v zákoně obsažené, které nejsou jednoznačné nebo působí jiné výkladové problémy. Nelze, jím však řešit situaci, kdy dotčená ustanovení nebo definice v zákoně zcela chybí. 

Důvodová zpráva k návrhu pak zároveň uvádí, že pojem „kybernetická bezpečnost“ je definován stejně jako v zákoně o kybernetické bezpečnosti přes kybernetický prostor a bezpečnost informací.
 
Výkladový slovník kybernetické bezpečnosti, 5. vydání, Praha 2022, vydaný pod záštitou NÚKIB, pak definuje pojem „kybernetická bezpečnost“ hned dvěma způsoby, a to jako: 
a) „souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru“, a 
b) „zajištění důvěrnosti, integrity a dostupnosti informací v kybernetickém prostoru.“. 

Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 pak definovala pojem „kybernetická bezpečnost“ jako „souhrn organizačních, politických, právních, technických a vzdělávacích opatření a nástrojů směřujících k zajištění zabezpečeného, chráněného a odolného kyberprostoru v České republice“. 
Pokud tak existuje společenská potřeba kybernetickou bezpečnost regulovat a kontrolovat její zajišťování orgánem veřejné moci, měl by být pojem „kybernetická bezpečnost“ definován způsobem, který poskytne dostatečnou právní jistotu regulovaným subjektům. A to zvláště za situace, kdy existuje definice pojmu „kybernetická bezpečnost“ ve směrnici NIS 2 a současně je užíváno několik od této definice odlišných definic ve vnitřním prostředí České republiky. 

Vložení definice pojmu „kybernetická bezpečnost“ tak bude podstatným přínosem pro právní jistotu i srozumitelnost právního předpisu také s ohledem na násobné navýšení počtu regulovaných subjektů. 

Tato připomínka je zásadní.

1. K § 13 odst. 1 až odst. 5 

a) Požadujeme text v odstavci 1 změnit následovně: 
„(1) Poskytovatel regulované služby 
a) identifikuje všechna primární aktiva v rámci celé organizace, která souvisejí s poskytováním regulované služby, 
b) u primárních aktiv určených podle písm. a) identifikuje a určí související organizační části organizace a podpůrná aktiva.“. 

b) Požadujeme text v odstavci 2 opravit následovně: 
„(2) Organizační části a aktiva identifikovaná podle odstavce 1 písm. a) b) a c) tvoří rozsah řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“).“. 

c) Požadujeme text v odstavci 3 upravit, a to následovně: 
„(3) O provedení identifikace a určení organizačních částí a aktiv podle odstavce 1 vede poskytovatel regulované služby dokumentovaný záznam, a to včetně evidence primárních aktiv, která byla ze stanoveného rozsahu vyjmuta, a odůvodnění jejich vyjmutí.“. 

d) Požadujeme odstavec 4 a 5 vypustit.

Odůvodnění: 
Jak vyplývá z textu návrhu zákona i důvodové zprávy k návrhu, okruh adresátů návrhu zákona je stanoven na „poskytovatele regulované služby“. 

Je tak nepřiměřeným zásahem do práv zákonem dotčených osob a porušením zásady hospodárnosti, respektive zásady veřejného práva zatěžovat dotčené osoby co nejméně, pokud se vytváří regulace a s tím související kontrolní činnost i pro oblast, která není předmětem regulace, tj. v případě připomínkovaného ustanovení pro primární aktiva organizace nesouvisející s poskytováním regulované služby. 

Požadavkem na evidenci veškerých primárních aktiv organizace je vytvářena pro organizace ekonomická i časová zátěž, která zejména u rozsáhlých organizací nebo organizací, u nichž je poskytování regulované služby pouze okrajovou záležitostí, má na tyto organizace zásadní dopad, aniž by byla taková regulace odůvodnitelná a ospravedlnitelná veřejným zájmem nebo měla faktický vliv na kybernetickou bezpečnost regulovaných služeb. 

Zároveň ustanovením § 13 odst. 1 dává návrh zákona najevo, že NÚKIB nedůvěřuje schopnostem organizací určit si, která primární aktiva organizace souvisejí s poskytováním regulované služby. 

Tato připomínka je zásadní.  

1. K § 16 odst. 1 a odst. 3 

a) Požadujeme doplnit text v odstavci 1, a to následovně: 
„(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen v rámci stanoveného rozsahu hlásit Úřadu všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a mají významný dopad na poskytování regulované služby.“. 

b) Požadujeme text v odstavci 3 upravit, a to následovně: 
„(3) Způsob stanovení významného dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby poskytovatelem regulované služby v režimu nižších povinností stanoví prováděcí právní předpis.“. 

Odůvodnění: 
Hlášení každého incidentu bez ohledu na jeho významnost (například výpadky webových služeb v řádu sekund) dostatečně nevyrovnává administrativní náročnost zpracování hlášení málo významných nebo nevýznamných incidentů jak ze strany NÚKIB, tak ze strany poskytovatelů regulovaných služeb. Pokud i samotný NÚKIB v důvodové zprávě v souvislosti s hlášením incidentů subjekty v režimu nižších povinností uvádí, že „Úřad nemůže u těchto incidentů nabídnout relevantní podporu pro jejich zvládání“, lze předpokládat, že NÚKIB bude ve shodné situaci i v případě nevýznamných incidentů poskytovatelů regulované služby v režimu vyšších povinností. Omezení hlášení incidentů pouze na incidenty s významným dopadem je přitom zcela v souladu s cílem směrnice NIS 2 zajistit vysokou společnou úroveň kybernetické bezpečnosti v EU, jelikož i samotná směrnice NIS 2 vyžaduje ve svém čl. 23 odst. 1 oznamování pouze významných incidentů. 

Úřadem navrhovaná povinnost oznamovat každý incident jde rovněž proti odst. 102 preambule směrnice NIS 2, v němž je uvedeno: „Členské státy by měly zajistit, aby povinnost podat toto včasné varování nebo následné oznámení incidentu neodváděla zdroje oznamujícího subjektu od činností souvisejících s řešením incidentu, které by měly být upřednostněny, aby se zabránilo tomu, že kvůli povinnosti oznamování incidentů dojde buď k odvádění zdrojů z řešení reakce na významný incident, nebo se jinak naruší úsilí subjektů v tomto ohledu.“. 

Tato připomínka je zásadní.

1. K § 18 odst. 2 

Požadujeme odstavec 2 upravit, a to následovně: 
„(2) Na žádost dotčeného poskytovatele regulované služby poskytne Úřad nebo Národní CERT metodickou podporu k provádění možných zmírňujících opatření, a případnou další technickou podporu ke zvládání hlášeného kybernetického bezpečnostního incidentu s významným dopadem na poskytovatele regulované služby nebo na kybernetický prostor státu.“. 
Odůvodnění: 
Ustanovení v původním znění neumožňuje žádat o metodickou a/nebo technickou podporu poskytovateli regulovaných služeb v režimu vyšších povinností, jehož incident nemá významný dopad na kybernetický prostor státu, přestože může mít takový incident fakticky významný dopad na poskytování regulované služby. 

Stanovení významného dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby se dle ustanovení § 16 odst. 2 provádí pouze u poskytovatele regulované služby v režimu nižších povinností. Návrh zákona o kybernetické bezpečnosti tak nezná kybernetický bezpečnostní incident s významným dopadem na poskytování regulované služby poskytované poskytovatelem v režimu vyšších povinností. 

Tato připomínka je zásadní.

1. K § 23

Požadujeme do § 23 vhodným způsobem doplnit následující nebo významově obdobný text:

„V dostatečném předstihu před vydáním rozhodnutí podle odstavce 1 nebo opatření obecné povahy podle odstavce 4, a pokud to konkrétní okolnosti umožňují, vyrozumí Úřad o záměru vydat a o obsahu rozhodnutí nebo opatření obecné povahy státní orgány podílející se na zajištění kybernetické bezpečnosti a kybernetické obrany.“

Odůvodnění:
Reaktivní protiopatření má s ohledem na svou povahu mít efekt v kybernetickém prostoru a pozitivní efekt na kybernetickou bezpečnost, zároveň však nelze vyloučit, že může podstatně ovlivnit činnosti dalších státních orgánů, vedle NÚKIB, podílejících se na zajištění kybernetické bezpečnosti a kybernetické obrany a na řešení konkrétního incidentu. Např. reaktivní opatření, jehož obsahem bude uložení povinnosti poskytovateli internetového připojení omezit či vypnout přístup k internetu určitému okruhu orgánů a osob, může mít za následek omezení možnosti České republiky efektivně zakročit proti kybernetickému útoku pomocí aktivního zásahu (viz § § 16g zákona č. 289/2005 Sb., o Vojenském zpravodajství) nebo může vést k narušení sledování pachatele trestné činnosti – např. narušení sběru důkazů o trestné činnosti. K vyhodnocení dopadů případného reaktivního protiopatření a přijetí adekvátní reakce státními orgány podílejícími se na zajištění kybernetické bezpečnosti a kybernetické obrany proto navrhujeme zavést s ohledem na aktuální situaci notifikační povinnost Úřadu vůči těmto orgánům.

Zároveň s ohledem na citlivost předmětné informace považujeme za vhodné okruh adresátů takové informace omezit pouze na státní orgány.

V případě, že by předkladatel považoval okruh adresátů za příliš široký, navrhujeme zachování zde navrhovaného ustanovení a omezení rozsahu adresátů pouze na Vojenské zpravodajství, které je, jak je uvedeno výše, pověřeno ze zákona zakročit proti kybernetickému útoku nebo hrozbě. Zakročení proti útoku nebo hrozbě lze předpokládat jako pravděpodobný následek, zejména v situaci trvajícího kybernetického útoku, v případě, kdy přijetí reaktivního protiopatření by nebylo dostatečné.

Tato připomínka je zásadní.

1. K § 40

Požadujeme do § 40 vhodným způsobem doplnit následující nebo významově obdobný text:

„V dostatečném předstihu před vydáním opatření k řešení stavu kybernetického nebezpečí podle odst. 1 písmeno e) nebo f), a pokud to konkrétní okolnosti umožňují, vyrozumí Úřad o záměru vydat a o obsahu tohoto opatření státní orgány podílející se na zajištění kybernetické bezpečnosti a kybernetické obrany.“

Odůvodnění:
Obsah povinnosti ukládané v rámci opatření během stavu kybernetického nebezpečí může mít dopady na činnost ostatních státních orgánů, které se podílejí na zajištění kybernetické bezpečnosti a obrany. Blíže viz odůvodnění k předchozí připomínce.

Tato připomínka je zásadní.

7. K § 45

S ohledem na níže uvedené aspekty rizikovosti penetračních testů navrhujeme uzákonit vedení
evidence všech provedených penetračních testů s uvedením osob, které penetrační test prováděly, aby v případě zjištění kybernetického bezpečnostního incidentu v návaznosti na nekalé jednání osob provádějících penetrační test bylo možné přikročit k odpovídajícím nápravným / kontrolním krokům i u ostatních poskytovatelů regulované služby, u nichž byl penetrační test prováděn stejnou osobou.

V návaznosti na evidenci dále navrhujeme stanovení povinnosti poskytovatelům regulovaných služeb informovat NÚKIB o provedení penetračního testu s uvedení doby a osoby provádějící penetrační test. Uvedené informace bude možné využít, v případě jejich zpracování v rámci informačního systému, i pro automatickou kontrolu plnění povinnosti provádět penetrační test minimálně jednou za 2 roky (5 let v případě částí).

Odůvodnění:
Návrh zákona uvádí, že NÚKIB vede evidenci penetračních testů, nikde v návrhu však není explicitní povinnost pro poskytovatele regulovaných služeb NÚKIB o provedení penetračního testu informovat, či předat zprávu z provedení penetračního testu. NÚKIB je oprávněn nařídit provedení penetračního testu v rámci opatření během vyhlášeného stavu kybernetického nebezpečí.

Při provádění penetračních testů získá osoba provádějící penetrační test mnohdy přístup k citlivým informacím poskytovatele. Jelikož tatáž osoba může provádět penetrační testy u více poskytovatelů regulované služby, může tak shromažďovat informace napříč státní správou i soukromou sférou. Zároveň je třeba vzít v úvahu skutečnost, že pro zachování nezávislosti a reálnosti útoku zvenku jsou zpravidla osobami provádějící penetrační test externisté, tj. osoby, nad kterými poskytovatel regulované služby má nižší míru kontroly.

Tato připomínka je zásadní.

8. K § 58 odst. 15 písm. a), b) a g) 

Požadujeme dotčená písmena upravit, a to následovně:
 
„a) 250 000 000 Kč nebo do výše 2 % čistého celosvětového ročního obratu dosaženého právnickou osobou nebo, pokud je obviněný součástí konsolidačního celku, dosaženého konsolidačním celkem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 1 písm. a), písm. d) až k)g) a písm. m) až p), odstavce 3 písm. a), e) a f), odstavce 6 písm. b) a odstavce 8 písm. a) a b),“, 

„b) 175 000 000 Kč nebo do výše 1,4 % čistého celosvětového ročního obratu dosaženého právnickou osobou nebo, pokud je obviněný součástí konsolidačního celku, dosaženého konsolidačním celkem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 písm. a), písm. d) až k)g) a písm. m) až p) a odstavce 8 písm. d),“, 

„g) 2 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. h) až k), odstavce 2 písm. h) až k), odstavců 10, 11 a 12 a odstavce 14 písm. d),“. 

Odůvodnění: 
Stanovená maximální výše pokut u přestupků uvedených v § 58 odst. 1 písm. h) až l) je zjevně nepřiměřená povaze sankcionovaného přestupku. Jedná se fakticky o oznamovací povinnosti, které nemají přímý dopad na kybernetickou bezpečnost poskytované regulované služby, a není tak odůvodněné, aby za takový přestupek mohla být uložena pokuta ve výši až 250 000 000 Kč, respektive 175 000 000 Kč. 

Tato připomínka je zásadní.

9. K § 59 odst. 2 

Požadujeme dotčený odstavec vypustit.
 
Odůvodnění: 
Uvedené ustanovení je nepřípustné v právním řádu demokratického právního státu, a to z důvodu, že zásadně odporuje pravidlu „in dubio pro reo“ (v pochybnostech ve prospěch obviněného) vycházejícího z principu neviny, které je navíc zakotveno i v § 69 odst. 2 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, konkrétně: „Dokud není pravomocným rozhodnutím o přestupku vyslovena vina obviněného, hledí se na něj jako na nevinného. V pochybnostech správní orgán rozhodne ve prospěch obviněného.“. 

Jak se vyjádřil i Ústavní soud, také přestupková řízení podléhají procesním garancím obvyklým pro trestní právo (z takové premisy vychází nález II. ÚS 192/05). 

V právním státě je tak nepřípustné takovým způsobem přenášet povinnost správního orgánu unést důkazní břemeno prokázání viny a transformovat ji, navíc zcela nesystémově, na povinnost pachatele prokázat svou nevinu. A tím zásadním způsobem zasáhnout do již výše uvedené presumpce neviny. 

Tato připomínka je zásadní.

10. K § 59 odst. 3 

Požadujeme dotčený odstavec upravit, a to následovně:
 
„(3) Na postup Úřadu podle tohoto zákona se ustanovení § 43, § 68 písm. b), § 70, § 71, § 80 odst. 3, § 88 odst. 2, § 89, § 90 odst. 3, § 95 odst. 3 a § 96 odst. 1 písm. b) zákona o odpovědnosti za přestupky a řízení o nich17)nepoužijí.“. 

Odůvodnění: 
Ustanovení § 90 odst. 3 zákona o odpovědnosti za přestupky stanoví: „Pokud byl proti příkazu podán odpor, nelze obviněnému v řízení uložit jiný druh správního trestu s výjimkou napomenutí nebo vyšší výměru správního trestu, než mu byly uloženy příkazem; to neplatí, pokud správní orgán v řízení změní právní kvalifikaci skutku.“. 

Z výše uvedeného vyplývá, že se NÚKIB návrhem zákona pokouší o prolomení zákazu „reformationis in peius“ (zákaz změny k horšímu), který je dle našeho názoru nedílnou součástí práva na spravedlivý proces a který je zjevně důvodně zakotven nejen v zákoně o odpovědnosti za přestupky a řízení o nich, ale rovněž i ve správním řádu, a je tedy běžnou součástí procesu v rámci správního trestání. 

Zásada zákazu „reformationis in peius“ má zabránit situaci, kdy budou odporovatelé odrazováni od podání odporu obavou, že jim může být přihoršeno. Je na správním orgánu, aby provedl řádné šetření skutku již před vydáním příkazu, nikoliv až po podaném odporu proti příkazu. 

Obavy navrhovatele zákona vyjádřené v důvodové zprávě, že nebude možné rozšířit předmět řízení a uložit vyšší pokutu, než která byla stanovena v příkazu, jsou zjevně liché, když § 90 odst. 3 zákona o odpovědnosti za přestupky výslovně umožňuje uložit vyšší výměru správního trestu, tj. i vyšší pokutu. 

Nelze tedy souhlasit s myšlenkou, že by se předmět přestupkového řízení v případě podaného odporu rozšířil o nové skutky. Takový postup není v demokratickém právním státě přípustný. 
Pokud bude mít navrhovatel potřebu rozšířit předmět řízení o nové skutky, bude potřeba, aby o těchto nových skutcích vedl nové přestupkové řízení. 

Tato připomínka je zásadní.

11. K § 69 odst. 1 a 2

Požadujeme do § 69 doplnit nový odstavec, který zní:

„Ustanovení odstavců 1 a 2 se nevztahují na Vojenské zpravodajství. Vojenské zpravodajství má povinnost se řídit pravidly a doporučeními tohoto zákona v rozsahu, ve kterém to povaha jeho činnosti umožní.“

Odůvodnění:
S ohledem na specifické postavení a především činnosti Vojenského zpravodajství požadujeme
zakomponovat obecnou výjimku z povinností souvisejících s regulací a nastavením bezpečnostních opatření. Kromě zpravodajské činnosti se Vojenské zpravodajství významně podílí i na aktivní obraně České republiky v kybernetickém prostoru. Tyto činnosti jsou či mohou být neslučitelné s některými požadavky vyplývajícími z návrhu zákona.
Význam dopadů navrhovaného zákona vůči Vojenskému zpravodajství spočívá v oblasti vzájemné součinnosti a spolupráce, nikoliv v rovině regulatorních dopadů vůči Vojenskému zpravodajství jakožto subjektu veřejné správy. Zdůrazňujeme, že navrhovaná výjimka se nevztahuje k povinnostem v oblasti spolupráce a součinnosti – viz odst. 3.

Obecnou výjimkou není snaha „vyvinit“ se z povinností. Vojenské zpravodajství považuje za nutné trvat na nutnosti legislativně deklarovat závazek, že i Vojenské zpravodajství dodržuje a řídí se zněním navrhované právní úpravy.

Tato připomínka je zásadní.

B. DOPORUČUJÍCÍ PŘIPOMÍNKY K PŘEDLOŽENÉMU MATERIÁLU

1.  K § 2 odst. 2 písm. k)

Doporučujeme před slovo „hrozbami“ vložit slovo „kybernetickými“: 
„k) zranitelností slabé místo aktiva nebo slabé místo bezpečnostního opatření, které může být zneužito jednou nebo více kybernetickými hrozbami.“. 

Odůvodnění: 
Návrh zákona v § 2 odst. 2 písm. c) definuje pojem „kybernetická hrozba“. Pokud se tedy v dalších ustanoveních zákona má na mysli kybernetická hrozba, měl by být v takových ustanoveních používán definovaný pojem „kybernetická hrozba“ a nikoliv pouze nedefinovaný pojem „hrozba“. 

2. K § 29 odst. 2
Doporučujeme do důvodové zprávy doplnit význam pojmu "jiná součinnost" nebo zvážit jeho zrušení.

Odůvodnění:
Pojem je dle našeho názoru neurčitý.

3. K § 34 odst. 3
Doporučujeme nahradit dosavadní slova „strategicky významné služby“ slovy „regulované služby, která je strategicky významnou službou, do evidence“.

Odůvodnění:
Návrh zákona neupravuje doručování vyrozumění o zápisu strategicky významné služby, resp.
nehovoří o vyrozumívání ze strany NÚKIB, upravuje jen vyrozumívání o zápisu regulované služby.

4. K § 58 odst. 1 a 2 

a) Doporučujeme doplnit odstavec 1 písm. d), a to následovně: 
„d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva, která souvisejí s poskytováním regulované služby, podle § 13 odst. 1 písm. a),“. 

b) Doporučujeme upravit text odstavce 1 písm. e), a to následovně: 
„e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechny organizační části a podpůrná aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b)všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm.  b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c),“.

c) Doporučujeme doplnit odstavec 2 písm. d), a to následovně: 
„d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva, která souvisejí s poskytováním regulované služby, podle § 13 odst. 1 písm. a),“ 

d) Doporučujeme upravit text odstavce 2 písm. e), a to následovně: 
„e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechny organizační části a podpůrná aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b) všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm.  b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c),“.

Odůvodnění: 
Návrh úpravy § 58 odst. 1 a 2 souvisí s navrhovanou úpravou § 13 odst. 1 obsaženou v zásadní připomínce č. 3. Při akceptaci zásadní připomínky č. 3 by znění uvedených ustanovení § 58 odst. 1 a 2 neodpovídalo znění § 13.