Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
Připomínky Úřadu pro zahraniční styky a informace k návrhu zákona
o kybernetické bezpečnosti
Již v průběhu přípravy návrhu zákona o kybernetické bezpečnosti a souvisejících právních předpisů Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) s Úřadem pro zahraniční styky a informace (dále jen „ÚZSI“) na pracovní úrovni komunikoval. ÚZSI již v této fázi uplatňoval k návrhu právní úpravy řadu připomínek týkajících se jak postavení a činnosti ÚZSI jako zpravodajské služby, tak používaného pojmosloví či koncepce prováděcích právních předpisů.
Předložený návrh zákona o kybernetické bezpečnosti nadále obsahuje ustanovení, která zásadním způsobem dopadají na činnost a postavení ÚZSI a v jejichž případě předkladatel reflektoval naše dosavadní připomínky, případně je nereflektoval vhodným způsobem.
1. K § 28
Ustanovení § 28 odst. 1 návrhu zákona ukládá NÚKIB shromažďovat a vyhodnocovat informace a data spojená s orgánem či osobou, které se týkají možné hrozby pro bezpečnost České republiky, vnitřní či veřejný pořádek nebo naplnění kritérií rizikovosti dodavatele.
V důvodové zprávě k tomuto ustanovení je uvedeno, že „[n]avrhovaná pravomoc neomezuje prověřování pouze na orgány či osoby, které jsou v okamžiku jednotlivých případů její realizace dodavateli do infrastruktury poskytovatelů strategicky významné služby …, na kterou mohou dopadnout případná omezení … Cílem mechanismu prověřování bezpečnosti dodavatelského řetězce je umožnit státu identifikovat a vyhodnocovat hrozby spojené také s orgány nebo osobami, u nichž se lze domnívat, že by svá plnění do této infrastruktury dodávat mohly. V ideálním případě bude možné odhalit hrozbu ještě dříve, než bude u strategicky významné služby moci způsobit narušení bezpečnosti informací“.
Domníváme se, že uvedené ustanovení velmi významně rozšiřuje oprávnění NÚKIB, neboť NÚKIB by byl oprávněn shromažďovat data a informace v podstatě o komkoli, a to i mimo působnost NÚKIB stanovenou v § 41 odst. 1 návrhu zákona. Pravomoc NÚKIB upravená v § 28 odst. 1 návrhu zákona totiž nejenže není nijak omezena na prověřování rizik spojených s dodavateli, ale rizikovost dodavatele je zde dokonce uvedena vedle ostatních hrozeb, tedy pouze jako další skutečnost, k níž by měl NÚKIB shromažďovat a vyhodnocovat informace. Ustanovení § 28 odst. 1 návrhu zákona je formulováno natolik obecně a široce, že v podstatě implikuje působnost zpravodajských služeb stanovenou zákonem č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
NÚKIB je ústředním správním úřadem a nikoli zpravodajskou službou; návrh zákona v tomto směru nesmí vzbuzovat žádné pochybnosti. Ke shromažďování informací
a dat není NÚKIB oprávněn využívat žádné specifické prostředky a jeho možnosti jsou tedy v tomto ohledu stejné jak v případě jiných správních úřadů. Domníváme se, že k tomu, aby byl NÚKIB oprávněn a schopen opatřovat si vlastní činností
(tedy standardní činností správního úřadu) informace potřebné pro naplňování své působnosti v oblasti prověřování bezpečnosti dodavatelského řetězce, nepotřebuje žádné explicitní zmocnění, neboť jde o běžné a logické úkony, které přirozeně vyplývají z povahy jeho úkolů a jeho úřední činnosti.
Za zcela nadbytečné pak považujeme ustanovení § 28 odst. 2 návrhu zákona, neboť toto ustanovení popisuje pouze běžný manažerský přístup, který je logickou
a nezpochybnitelnou součástí řízení jakékoli instituce, správní orgány nevyjímaje. Pokud by NÚKIB nebyl schopen bez tohoto ustanovení řádně naplňovat svou působnost, znamenalo by to, že by fakticky jednal nahodile či arbitrárně, což by popíralo základní ústavní principy fungování státní moci.
Z výše uvedených důvodů požadujeme, aby ustanovení § 28 odst. 1 a 2 byla z návrhu zákona vypuštěna.
Tato připomínka je zásadní.
1. K § 29 odst. 2
Požadujeme vypustit z tohoto ustanovení – alespoň pokud jde o zpravodajské služby – slova „nebo jinou součinnost“. S ohledem na působnost zpravodajských služeb
a úpravu předávání jejich informací jiným státním orgánům, stanovenou zákonem
o zpravodajských službách, musí být poskytování jejich součinnosti NÚKIB v rámci mechanismu prověřování bezpečnosti dodavatelských řetězců omezeno pouze na předávání informací o příslušných zjištěních.
Tato připomínka je zásadní.
1. K § 41 odst. 5 písm. a)
Působnost Vládního CERT je v návrhu zákona doplněna mj. o „preventivní působení vůči hrozbám v oblasti kybernetické bezpečnosti, zranitelnostem v oblasti kybernetické bezpečnosti, včetně vyhledávání zranitelnosti, kybernetickým bezpečnostním událostem a kybernetickým bezpečnostním incidentům“.
Podle našeho názoru jde o zásadní rozšíření působnosti Vládního CERT, respektive NÚKIB, které není nijak blíže vymezeno a skýtá tak prostor pro značnou míru libovůle. Nápomocná z tohoto hlediska není ani důvodová zpráva. Požadujeme proto, aby návrh zákona jasně vymezil, co tato nová působnost Vládního CERT, respektive NÚKIB, přesně znamená a s jakými oprávněními a povinnostmi má být spojena.
Tato připomínka je zásadní.
1. K § 45 odst. 2
Ustanovení § 45 odst. 2 návrhu zákona představuje významnou změnu oproti současnému stavu. Podle § 9 odst. 3 zákona o kybernetické bezpečnosti poskytuje NÚKIB údaje z evidence incidentů orgánům veřejné moci pro výkon jejich působnosti. Návrh zákona však ponechává pouze na posouzení NÚKIB, zda je poskytnutí těchto informací určitému orgánu veřejné moci důvodné a nezbytné pro výkon působnosti daného orgánu veřejné moci, a umožňuje tak NÚKIB na základě vlastní úvahy žádost o poskytnutí těchto informací odmítnout. Z hlediska zpravodajských služeb považujeme mechanismus stanovený v § 45 odst. 2 návrhu zákona za neakceptovatelný, neboť by šlo o nepřijatelný zásah do činnosti zpravodajských služeb. NÚKIB nemůže posuzovat činnost zpravodajských služeb, ani mu nepřísluší posuzovat, jaké informace jsou pro činnost zpravodajských služeb nezbytné, a to nejen s ohledem na to, že činnost a zaměření zpravodajských služeb jsou utajovanými informacemi, ale především proto, že úkoly zpravodajským službám ukládá vláda
a prezident republiky.
Ustanovení § 45 odst. 2 návrhu zákona by podle našeho názoru mohlo mařit řádné plnění úkolů zpravodajských služeb. Požadujeme proto, aby návrh zákona obsahoval, pokud jde o přístup zpravodajských služeb do evidencí vedených NÚKIB, obdobnou úpravu, jaká je nyní obsažena v § 9 odst. 3 zákona o kybernetické bezpečnosti.
Tato připomínka je zásadní.
1. K § 63
Spolupráce NÚKIB a ÚZSI, respektive NÚKIB a zpravodajských služeb, je již dostatečně upravena v § 29 (s výhradou naší zásadní připomínky uvedené výše)
a § 69 odst. 3 návrhu zákona (rovněž s výhradou dále uvedené připomínky). Spolupráce orgánů veřejné moci s NÚKIB a jejich povinnosti upravené v § 63 odst. 1 návrhu zákona tento rámec výrazně překračují, což je pro nás nepřijatelné.
Požadujeme proto, aby zejména ustanovení § 63 odst. 1 (ale případně i ustanovení odstavce 2) bylo formulováno tak, aby bylo zřejmé, že se netýká zpravodajských služeb.
Obdobně to však platí i pro ustanovení § 18 odst. 3 a § 20 odst. 3 návrhu zákona.
Tyto připomínky jsou zásadní.
1. K § 66
Speciální ustanovení o ochraně utajovaných informací vítáme, avšak i s ohledem na ustanovení § 32 odst. 3 návrhu zákona se domníváme, že požadovaný efekt může mít jen, bude-li koncipováno komplexně, tj. pokud bude zahrnovat i ochranu utajovaných informací při soudním přezkumu.
Požadujeme proto, aby bylo ustanovení § 66 návrhu zákona pojato obdobně, jako je tomu například v § 22 a 23 zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic).
Tato připomínka je zásadní.
1. K § 69
Návrh zákona dramaticky rozšiřuje povinnosti zpravodajských služeb oproti dosavadní právní úpravě; s tím souvisí i otázka kontrolních pravomocí ŃUKIB vůči ÚZSI, respektive zpravodajským službám obecně. Zcela zavádějící je v tomto ohledu důvodová zpráva, která k § 69 návrhu zákona uvádí, že „[t]ento návrh zákona navazuje na filozofii zákona o kybernetické bezpečnosti, ovšem nyní již jejich postavení specifikuje ve větším detailu, například vyjasňuje poskytování součinnosti ze strany zpravodajských služeb. Toto ustanovení je tak odrazem předchozí právní úpravy (sic) s důrazem na vyjasnění veškerých aspektů aplikace návrhu zákona vůči zpravodajským službám“.
Již v předchozích fázích přípravy návrhu zákona jsme NÚKIB upozorňovali, že takovéto řešení považujeme za nevhodné a nežádoucí. Pro ÚZSI je především naprosto nepřijatelné, aby vystupoval jako poskytovatel regulované služby v režimu vyšších povinností, neboť tento režim zahrnuje širší okruh informačních systémů než stávající právní úprava a je s ním spojena řada povinností, které dosud na zpravodajské služby nedopadají.
Za zcela neslučitelné s činností ÚZSI pak považujeme podřízení zpravodajských služeb nástrojům upraveným v hlavě čtvrté návrhu zákona.
V návaznosti na naše stanoviska, která jsme NÚKIB opakovaně sdělovali již v předchozích fázích přípravy návrhu zákona, proto požadujeme, aby působnost navrhovaného zákona, pokud jde o zpravodajské služby, byla vymezena obdobným způsobem a v obdobném rozsahu, jako je tomu ve stávajícím ustanovení § 33 odst. 1 zákona o kybernetické bezpečnosti.
S ohledem na připomínku uvedenou výše požadujeme rovněž, aby v ustanovení
§ 69 odst. 3 návrhu zákona byl vypuštěn odkaz na § 63 návrhu zákona. Současně požadujeme, aby z ustanovení § 69 odst. 3 návrhu zákona výslovně vyplývalo, že pro poskytování informací zpravodajskými službami se plně uplatní příslušná ustanovení zákona o zpravodajských službách, tedy zejména ustanovení § 8 odst. 3 zákona
o zpravodajských službách. Požadujeme proto, aby ustanovení § 69 odst. 3 návrhu zákona stanovilo, že předávání informací zpravodajskými službami se řídí zákonem
o zpravodajských službách (viz například ustanovení § 14a zákona č. 69/2006 Sb.,
o provádění mezinárodních sankcí, ve znění zákona č. 240/2022 Sb.).
Tyto připomínky jsou zásadní.
1. K tezím některých prováděcích právních předpisů
Stejně jako v přechozích fázích přípravy těchto právních předpisů upozorňujeme, že zejména v návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností a v návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností jsou poskytovatelům, tedy fyzickým či právnickým osobám, ukládány povinnosti. To je v rozporu se základními ústavními požadavky stanovenými v čl. 2 odst. 4 Ústavy České republiky, respektive v čl. v čl. 2 odst. 3 Listiny základních práv a svobod, podle nichž lze povinnosti fyzickým a právnickým osobám ukládat pouze zákonem. Na této skutečnosti, podle našeho názoru, nic nemění ani to, že obdobně jako zmíněné návrhy prováděcích právních předpisů je koncipována i nynější vyhláška č. 82/2018 Sb.,
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).
V předchozích fázích přípravy nové právní úpravy jsme rovněž upozorňovali na problematičnost kritérií rizikovosti dodatele obsažených v návrhu příslušné vyhlášky. Upozorňovali jsme, že mimo jiné z hlediska ústavních požadavků na výkon státní moci jsou mnohá z těchto kritérií diskutabilní až nevhodná (viz zejména kritéria uvedená pod číslem 1, 2, 3, 5, 6, 7 či 13), neboť mají spíše charakter politické úvahy než právního pravidla a otevírají tak značný prostor pro subjektivní, arbitrární a neprůhledné a tedy i nepředvídatelné a obtížně přezkoumatelné rozhodování.
V souladu s usnesením vlády č. 343/D z roku 2015 žádáme o separátní vypořádání připomínky, resp. vypořádání pouze za účasti zástupců zpravodajských služeb.
Kontakt na zpracovatele: legislativa@uzsi.cz