Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
K č. j.: MPSV-2023/132842
P ř i p o m í n k y
Ministerstva práce a sociálních věcí k návrhu zákona o kybernetické bezpečnosti
K návrhu zákona
K § 1 odst. 3
Větu „Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi.“ navrhujeme změnit takto: „Tento zákon se nevztahuje na informační systémy, které nakládají s utajovanými informacemi.“.
Dle informací předaných NÚKIB při aktualizaci KII je cílem Úřadu slovní spojení „komunikační systém“ dále nepoužívat.
K § 2 odst. 2 písm. c)
Navrhujeme upravit definici tak, aby bylo zřejmé, v jakých případech má být splněna informační povinnost poskytovatele regulované služby.
Aktuální definice významné hrozby „Potenciální okolnost na základě technických charakteristik, která má potenciál“ je nejednoznačná a je spojena s informační povinností.
Tato připomínka je zásadní.
K § 2 odst. 2 písm. g)
Navrhujeme upravit definici tak, aby bylo zřejmé, že zákon upravuje pouze úmyslné chování. (Např.: „…kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v rámci aktiv, v případě že nelze vyloučit úmyslné zavinění.“)
Cílem zákona by nemělo být hlášení veškerých kybernetických incidentů. To by mohlo vytvářet neúměrnou zátěž jak pro regulované subjekty, tak pro NÚKIB. Podle navrhované definice budou muset být hlášeny i neúmyslné chyby, například při plánovaných pracích.
Britské Národní centrum kybernetické bezpečnosti (National Cyber Security Centre – NCSC) definuje kybernetický incident jako porušení bezpečnosti aktiva (systému) s cílem ovlivnit jeho integritu nebo dostupnost nebo neoprávněný přístup nebo pokus o neoprávněný přístup k aktivu (systému) s cílem porušit jeho důvěrnost.
Doporučujeme využít Metodiku k hlášení kybernetického bezpečnostního incidentu NÚKIB – viz https://www.nukib.cz/download/publikace/podpurne_materialy/Metodika-hlaseni-incidentu_1.1.pdf, v jehož čl. 4.1. se uvádí: „Kybernetický bezpečnostní incident není potřeba Úřadu hlásit v případě, kdy došlo v důsledku technického selhání k nedostupnosti části aktiv, lze s jistotou vyloučit úmyslné zavinění (zejména útočníkem) ...“.
Zároveň doporučujeme ze současné Metodiky vyloučit podmínku řádného fungování záložních systémů.
K § 16 odst. 1
Navrhujeme omezit povinnost hlášení kybernetických incidentů pouze na významné incidenty, tedy na incidenty spojené se závažnými hrozbami, nebo zakotvit pravomoc NÚKIB stanovit a uznat výjimky z hlášení kybernetického bezpečnostního incidentu v obdobném rozsahu, jako je rozsah uvedený v kapitole 4 „Úřadem stanovené a uznané výjimky z hlášení kybernetického bezpečnostního incidentu“ Metodiky k hlášení kybernetického bezpečnostního incidentu NÚKIB – viz https://www.nukib.cz/download/publikace/podpurne_materialy/Metodika-hlaseni-incidentu_1.1.pdf .
Povinnost daná v tomto ustanovení je nastavena nad rámec implementace směrnice a bez dostatečného odůvodnění v důvodové zprávě. Z té naopak vyplývá, že pro NÚKIB jsou preferované pouze informace o závažných incidentech. I hlášení závažných incidentů by nemělo subjekt zaměstnat natolik, aby jeho pracovníci byli odváděni od řešení samotného incidentu k plněním administrativních povinností daných ZKB.
Tato připomínka je zásadní.
K § 16 odst. 2
Navrhujeme zavést zkratku CERT.
Zkratka CERT se v tomto ustanovení v rámci návrhu zákona vyskytuje poprvé, aniž by byla zavedena. Navíc z návrhu zákona jednoznačně nevyplývá, že se tímto národním CERT nemyslí právě Úřad.
Zkratka je pravděpodobně převzatá z anglického Computer Emergency Response Team, což adresát normy nemusí vědět.
K § 17 odst. 1
Navrhujeme vypustit část věty za slovy „prvotní hlášení“ a větu za slovy „prvotní hlášení“ ukončit tečkou.
Odůvodnění tohoto našeho návrhu vyplývá z našich návrhů k § 2.
Máme zato, že z důvodu požadavku na dodatečný report do 72 hodin po zjištění incidentu je v první fázi vhodné věnovat prioritu řešení incidentu a analýze možných dopadů. Dodatečné informace lze doplnit v následujících reportech, kdy bude navíc zřejmé, zdali se jedná o významný incident, jak požaduje i směrnice NIS2.
K § 18 odst. 3
Povinnost upravenou v první větě tohoto ustanovení navrhujeme zúžit pouze na případy významných incidentů, a to takto: „Každý je povinen poskytnout na výzvu Úřadu nezbytné informace a další nezbytnou součinnost při zvládání významného kybernetického bezpečnostního incidentu, pokud nelze sledovaného účelu dosáhnout jinak nebo by bylo jinak jeho dosažení podstatně ztížené.“.
Za druhou větu navrhujeme doplnit třetí větu tohoto znění: „V případě, že osoba nebyla incidentem zasažena, náleží ji úhrada nákladů dle zvláštního předpisu.“.
Pokud by se měla povinnost uvedená v první větě tohoto ustanovení týkat jakéhokoliv kybernetického incidentu, znamenalo by to velkou administrativní zátěž zejména pro subjekty s velkým počtem zákazníků.
Zvláštním předpisem je třeba upravit úplatu v případě, že povinná osoba není incidentem sama zasažena, a to zejména v případě osob uvedených v § 63 odst. 2.
Tato připomínka je zásadní.
K § 19 odst. 1
Za dosavadní poslední větu tohoto ustanovení navrhujeme vložit novou poslední větu tohoto znění: „Zveřejnění informace nesmí ohrozit bezpečnost nebo provoz regulované služby a povinné osoby.“.
Rozsah informační povinnosti není nijak upřesněn, respektive omezen. Úřad tak může vyzvat ke zveřejnění informací bez znalosti celkového kontextu incidentu. Přílišná transparentnost může v některých případech ohrozit bezpečnost regulovaných služeb a kritické infrastruktury.
Tato připomínka je zásadní.
K § 19 odst. 2
Část první věty po slovech „bez zbytečného odkladu“ navrhujeme nahradit slovy: „hrozbu vyhodnotit a zvážit informování zákazníků tak, aby nedošlo k ohrožení zajišťování kybernetické bezpečnosti nebo provozu regulované služby.“.
Povinnost informovat o hrozbách za všech okolností může ohrozit bezpečnost regulovaných služeb a kritické infrastruktury.
Tato připomínka je zásadní.
K § 25 odst. 1 jako celku
Navrhujeme, aby předkladatel vyjasnil myšlenku týkající se pravomocí Úřadu v případě „hrozícího“ incidentu, anebo aby toto ustanovení upravil tak, aby bylo zřejmé, o jakou situaci se má jednat, a aby vyjasnil, o jaká data a informace se jedná, pokud ještě incident nenastal.
Pojem „hrozící kybernetický bezpečnostní incident“ není definován, a není použitý ani v jiných částech návrhu. Není zřejmé, zda neměl předkladatel na mysli „událost“.
Především však není zřejmý požadavek na nutnost předávání informací v momentě, kdy ještě nedošlo k incidentu. Není stanoveno, kdo je oprávněn určit, že se jedná o hrozící incident, tedy kdo posoudí oprávněnost podnětu.
Bez vyjasnění může docházet ke zneužití a nepřesným interpretacím.
K § 25 odst. 1, poslední věta
Za dosavadní poslední větu tohoto ustanovení navrhujeme doplnit novou poslední větu tohoto znění: „Formát, rozsah, způsob a termín předání informací nesmí jít nad rámec smluvních závazků.“.
Je nutné respektovat smluvní ujednání.
Tato připomínka je zásadní.
K § 28 odst. 1
Navrhujeme doplnit, že Úřad si může vyžádat pouze informace a data, které jsou k tomuto účelu nezbytné.
Dále navrhujeme doplnit, že Úřad je oprávněn použít informace a data pouze za účelem hodnocení rizikovosti dodavatelů bezpečnostně významné dodávky a pouze za tímto účelem je oprávněn si je vyžádat.
Navrhované znění explicitně neomezuje účel sběru informací, účel žádostí ani charakter sbíraných a vyžadovaných informací. Absence těchto omezení vytváří zjevně nezamýšlený prostor pro zneužití institutu sběru údajů a součinnosti k neodůvodněnému shromažďování údajů o právnických i fyzických osobách. Navrhované znění by bylo možné vykládat např. tak, že zakládá povinnost poskytovatele služeb elektronických komunikací poskytnout NÚKIB na vyžádání shromažďované provozní a lokalizační údaje, ačkoli takové poskytnutí by ve většině případů bylo neproporcionálním zásahem do ústavně chráněného základního práva na soukromí.
Tato připomínka je zásadní.
K § 28 odst. 3 písm. c)
Navrhujeme doplnit úroveň poddodavatelského řetězce, která má být předmětem zjišťování povinné osoby mechanismu prověřování dle § 32 odst. 1 písm. a), nebo způsoby pro její stanovení (např. odkaz na prováděcí právní předpis a zmocnění k jeho vydání).
Dále navrhujeme doplnit povinnost podnikatele vyhodnotit takovou informaci přiměřeně k jeho schopnostem.
V souladu s cílem a účelem předmětné úpravy je přiměřené, aby povinná osoba mechanismu prověřování zjišťovala informace nejen o primárním dodavateli, kterým bude často pouze distributor, ale také o přímém výrobci daného produktu nebo poskytovateli služby, vůči nimž je stěžejní prověřit rizikovost.
Navrhované znění však lze vykládat i jako povinnost zjišťovat informace i o dodavatelích jednotlivých komponent daného výrobku (polovodičových prvků) nebo dodavatelích dílčích programových prostředků (licencí), pomocí nichž je poskytována služba přímým dodavatelem. Taková povinnost pro povinné osoby mechanismu prověřování by byla nepřiměřená, a není opodstatněna bezpečnostními riziky, která jednotlivé komponenty či programové vybavení představují pro kybernetickou bezpečnost regulované služby.
K § 29 odst. 1 a 2
Mezi orgány, které mají poskytovat Úřadu informace a součinnost, navrhujeme doplnit Český telekomunikační úřad (ČTÚ).
Návrh zákona o kybernetické bezpečnosti a související předpisy významně dopadají na poskytovatele regulovaných služeb v oblasti služeb elektronických komunikací, přesto původní znění výslovně nezmiňuje mezi orgány poskytujícími součinnost ČTÚ (jakkoli jej lze považovat za „další orgán“ podle části věty za středníkem). ČTÚ má přitom ve vztahu k oblasti služeb elektronických komunikací největší odbornost, dohlíží nad bezpečností a integritou komunikačních sítí a ukládá opatření k řešení hrozeb (§ 98 zákona č. 127/2005 Sb., o elektronických komunikacích), díky čemuž disponuje řadou informací významných z hlediska technologií, které je pro zajištění bezpečnosti dodavatelského řetězce třeba zohlednit (zejména z hlediska nepominutelných funkcí stanoveného rozsahu).
K § 30 odst. 2
Do tohoto ustanovení navrhujeme doplnit text: „Opatření obecné povahy nabývá účinnosti 6 měsíců od jeho vydání.“.
Navrhované znění v § 30 odst. 3 vylučuje aplikaci vybraných ustanovení správního řádu, včetně ustanovení o účinnosti opatření obecné povahy (dále jen „OOP“), což zakládá právní nejistotu. S ohledem na významné dopady opatření obecné povahy do nákupních procesů povinných osob mechanismu prověřování také není možné realizovat povinnosti plynoucí z OOP okamžitě bez negativního dopadu na poskytování regulované služby. Je proto třeba nastavit účinnost jako odloženou. Námi navržená úprava směřuje k odstranění nejistoty povinných osob mechanismu prověřování a vytváří prostor pro zajištění odpovídajících náhradních bezpečnostně významných dodávek v souladu se zákazy a podmínkami dle OOP.
Avšak obecně nevnímáme využití institutu OOP v této podobě jako vhodné. Proto dáváme do úvahy přehodnocení institutu OOP coby prostředku pro omezení dodavatelského řetězce, případně navrhujeme doplnění tohoto procesu o konkrétní procesní kroky NÚKIB do ZKB. Doplněno by mělo být zejména zajištění právních jistot subjektům, kteří vstupují do procesu Mechanismu a přezkoumatelnost vydaného OOP.
V důvodové zprávě je uváděno: „Stanovit omezení jiným způsobem, například rozhodnutím Úřadu, by vyžadovalo, aby Úřad disponoval významně větším rozsahem informací o bezpečnostně významných dodávkách, než vyžaduje předkládaná podoba návrhu“. Z uvedeného by však vyplývalo, že NÚKIB si je vědom, že koná bez znalosti předmětu posuzování samotného OOP. Nelze se však domnívat, že by mohlo dojít k posouzení něčeho, o čem posuzující subjekt nemá dostatek informací.
Odůvodnitelnost OOP jako prostředku, který je určen neurčitému počtu adresátů nepovažujeme taktéž za adekvátní, a to už z důvodu toho, že NÚKIB je povinen vést databázi poskytovatelů regulovaných služeb. Z takového seznamu je v případě potřeby jistě možné zajistit konkrétní okruh adresátů.
Pokud by existoval konkrétní okruh adresátů, nemohlo by se jednat o OOP, které je charakterizováno (vedle konkrétně určeného předmětu) právě obecně vymezeným okruhem adresátů, nýbrž o individuální rozhodnutí, a to bez ohledu na to, že by se týkalo většího množství adresátů.
Institut OOP v omezené formě, kterou NÚKIB předkládá v návrhu zákona, mimo jiné neumožňuje subjektům podávat námitky jako účastníkům řízení. Zároveň i s ohledem na znění ostatních připomínek akcentujeme, že OOP vydává NÚKIB sám a nepodléhá schválení např. správním orgánům a institucím, kterým náleží gesce ochrany vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu, jak je v zákoně a vyhláškách často zmiňováno. Případně lze navrhnout řešení podle rakouské legislativy spočívající ve vytvoření odborné komise ze zástupců orgánů veřejné správy v daných oblastech a zástupců dotčených osob.
Ve znění § 28 Prověřování rizik spojených s dodavatelem ZKB není dostatečným způsobem popsán proces, kterým NÚKIB dojde k závěrům shrnutým v OOP.
Formulace „Úřad shromažďuje a vyhodnocuje informace a data“ není dostatečným popisem procesních kroků, které bude NÚKIB činit, a nezakládá ani předpoklad, že návrh znění OOP bude zpětně konzultováno s orgány, které NÚKIBu předkládaly informace, ani že bude znění OOP zároveň podléhat schválení některých z těchto orgánů.
Součástí celého procesu by měla být bezpodmínečně analýza rizik a dopadová analýza nákladů a výnosů takového opatření. Jako příklad obdobného procesu, který je již praxí ověřený, může NÚKIBu sloužit např. proces analýzy relevantních trhů ČTÚ, kdy je povinnost plnění povinností OOP udělena subjektu na základě rozhodnutí ČTÚ.
Zásadním nedostatkem OOP je ovšem nemožnost podání opravného prostředku. V případě takto významného omezení tržního prostředí považujeme za zásadní, aby se dotčené subjekty mohly bránit proti vydání takového opatření jinou než pouze soudní cestou. Soudní přezkum vydaného OOP je s ohledem na lhůty výběrového řízení dodavatele a jeho prověřování pro interní účely a celého procesu kontrakce a dodávky nových technologií nedostačující. Aplikuje se zde princip ex nunc, což v tomto případě znamená, že dotčená osoba bude muset po vydání OOP konat okamžitě, aby stihla případnou lhůtu pro výměnu/vyřazení technologií omezeného/zakázaného dodavatele. Proto kontrakty s omezeným/vyřazeným dodavatelem v případě zrušení OOP soudem již nebude možné obnovit.
K § 31 odst. 1
Navrhujeme před čárkou na konci tohoto odstavce doplnit slova „nebo by vyžadovalo vynaložení nepřiměřeného úsilí nebo nákladů ze strany povinné osoby mechanismu prověřování.“
V rámci udělování výjimek by měly být zohledněny ekonomické dopady opatření obecné povahy na povinné osoby a praktická možnost zajištění náhradních bezpečnostně významných dodávek, jelikož povinnosti a omezení plynoucí z opatření obecné povahy mohou mít za následek nepřiměřené náklady nebo jejich splnění může vyžadovat nepřiměřené úsilí (např. na zajištění náhradního plnění jiného bezpečnostně významného dodavatele).
Tato připomínka je zásadní.
K § 32 odst. 2
Navrhujeme doplnit, že doba 1 roku od dne doručení písemného vyrozumění o zápisu se vztahuje také na povinnost zjišťovat informace podle § 32 odst. 1 písm. a).
Přechodné období by se nemělo uplatnit pouze pro povinnost hlásit NÚKIB informace, ale i pro povinnost je zjišťovat a řídit se opatřením obecné povahy. Požadavek, aby povinné osoby mechanismu prověřování zahájily sběr informací a plnění opatření obecné povahy bezprostředně po účinnosti zákona, bez stanovení přechodného období, je nepřiměřený.
K § 38
Navrhujeme toto ustanovení vypustit.
Stav kybernetického nebezpečí nemá svým rozsahem a požadovanými prostředky nahrazovat/ duplikovat standardní nouzový stav.
K § 40 odst. 1 písm. g) a odst. 2 písm. b)
Navrhujeme ustanovení § 40 odst. 1 písm. g) a odst. 2 písm. b) vypustit.
Zákon nedefinuje rozsah ani metodiku provedení skenu zranitelností a penetračního testu. Sken zranitelností a penetrační test technických aktiv provedený na jejich produkční části může zásadně narušit funkčnost technických aktiv až do míry ekvivalentní reálnému kybernetickému útoku. Může způsobit nestabilitu, dlouhodobé selhání, případně přímo usnadnit budoucí kybernetický útok.
Provedení skenu zranitelností a penetračního testu musí být vždy v odpovědnosti vlastníka nebo provozovatele technických aktiv a musí být prováděno v rámci plánovaných výlukových oken, a to v definovaném rozsahu s odhadnutelným dopadem.
K § 41 odst. 3 písm. x)
Navrhujeme za slovo „státu“ doplnit slova „Evropské unie“.
K § 41 odst. 4
Navrhujeme zavést zkratku CSIRT.
Zkratka CSIRT se v tomto ustanovení v rámci návrhu zákona vyskytuje poprvé, aniž by byla zavedena.
Zkratka je pravděpodobně převzatá z anglického Computer Security Incident Response Team, což adresát normy nemusí vědět.
K návrhu vyhlášky o regulovaných službách
K návrhu vyhlášky obecně
Navrhujeme změnit formu prováděcího předpisu na nařízení vlády.
Znění navrhované předkladatelem umožňuje NÚKIB, aby na základě vlastního uvážení rozhodoval o okruhu jím regulovaných subjektů, přičemž zákon nevylučuje, aby tento okruh byl rozšířen na libovolný subjekt v národním hospodářství. Taková míra koncentrace pravomocí v rukou jednotlivého orgánu veřejné správy je v demokratickém a právním státě nepřijatelná.
Navrhovaná změna má za cíl přenést pravomoc určování rozsahu působnosti zákona o kybernetické bezpečnosti na vládu obdobně jako v případě nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, které v současnosti určuje prvky infrastruktury, na něž dopadá nejpřísnější režim regulace dle zákona o kybernetické bezpečnosti.
K § 4 odst. 1
V souvislosti s obecnou poznámkou k návrhu vyhlášky navrhujeme znění tohoto ustanovení navrhované předkladatelem nahradit tak, že kritéria pro identifikaci a určení regulovaných služeb stanoví vláda nařízením.
Kontaktní osoba pro vypořádání připomínek: JUDr. Vladana Vališová, LL.M. - vladana.valisova@mpsv.cz, tel. 221 922 399 (zpracováno 12. 7. 2023)
2