Elektronická knihovna legislativního procesu - textová podoba dokumentu

                PŘIPOMÍNKY K MATERIÁLU S NÁZVEM:

Návrh zákona o kybernetické bezpečnosti
Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti
	Resort
	Připomínky

	Digitální a informační agentura
	Úvod
K materiálu s názvem „Návrh zákona o kybernetické bezpečnosti“ a „Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti“ uplatňuje Digitální a informační agentura níže uvedené zásadní připomínky.

	
	K návrhu zákona o kybernetické bezpečnosti
K § 27 a § 34
Navrhujeme upravit znění § 27 a § 34 návrhu zákona, popř. § 5 písm. a) ve spojení s částí 1., oddílem 1.1. bodem I. písm. a) přílohy návrhu vyhlášky regulovaných službách, kdy současné navrhované znění těchto může být vykládáno tak, že každá činnost veřejné správy (jak je popsáno ve zmíněných částech vyhlášky) bude považována za strategicky významnou službu a dopadne na ni poskytování služby toliko z území České republiky podle § 34 návrhu zákona. Tento výklad by vedl k výraznému omezení až nemožnosti poskytování řady služeb orgánům veřejné správy. 
Tato připomínka je zásadní. 

K návrhu zákona č. 365/2000 Sb.

K § 5a odst. 2
Požadujeme vysvětlení logiky změny tohoto ustanovení, potažmo žádáme opravu textu, pokud došlo k chybě. 
Tato připomínka je zásadní. 

Vztah směrnice NIS2 a nařízení eIDAS

Směrnice NIS2 na základě jejího čl. 42 s účinkem ode dne 18. října 2024 zrušuje čl. 19 nařízení eIDAS (nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES). Čl. 19 nařízení eIDAS se týká řízení rizik ohrožujících bezpečnost poskytovaných služeb vytvářejících důvěru a notifikační povinnosti poskytovatelů služeb vytvářejících důvěru. 
Tato problematika se "přesune" ze samotného nařízení eIDAS pod NIS2 jakožto obecného horizontálního předpisu, respektive v ČR pod nový zákon o kybernetické bezpečnosti, který má nabýt rovněž účinnosti 18. října 2024. Nicméně nařízení eIDAS bude nadále obsahovat požadavky zejména pro kvalifikované poskytovatele služeb vytvářejících důvěru (čl. 24) s ohledem na specifika poskytování kvalifikovaných služeb vytvářejících důvěru.  V rámci EU se aktuálně rovněž projednává revize nařízení eIDAS, která by měla k požadavkům směrnice NIS2 přidávat další doplňující požadavky týkající se řízení rizik u nekvalifikovaných a kvalifikovaných poskytovatelů služeb vytvářejících důvěru, notifikačních povinností a stanovovat povinnost spolupráce mezi kompetentní autoritou dle NIS2 a orgánem dohledu dle nařízení eIDAS. Pokud jde o poslední stav projednávání revize nařízení eIDAS, švédské předsednictví uzavřelo předběžnou politickou dohodu nad klíčovými aspekty revize nařízení eIDAS – viz tisková zpráva: https://www.consilium.europa.eu/en/press/press-releases/2023/06/29/council-and-parliament-strike-a-deal-on-a-european-digital-identity-eid/, přičemž konkrétní text se má dopracovat na technické úrovni. Předpokládáme, že revize nařízení eIDAS vstoupí v účinnost dříve než navrhovaný nový zákon o kybernetické bezpečnosti, což je zřejmě důvodem, že případná spolupráce mezi NÚKIB a DIA jakožto orgánem dohledu v oblasti eIDAS není v tuto chvíli v návrhu zákona o kybernetické bezpečnosti přímo upravena a základní povinnosti spolupráce budou upraveny v připravované revizi nařízení eIDAS. 
Směrnice NIS2 kategorizuje kvalifikované poskytovatele služeb vytvářejících důvěru jako základní subjekty ("essential entities"), nekvalifikované poskytovatele jako důležité subjekty (" important entities") - viz čl. 2 a 3 směrnice NIS2. Předpokládáme správně, že  v budoucím prováděcím právním předpise dle § 4 odst. 2 návrhu zákona, resp. dle § 6 odst. 3 návrhu zákona bude reflektováno, že nekvalifikovaní poskytovatelé jsou v režimu nižších povinností a kvalifikovaní poskytovatelé služeb vytvářejících důvěru v režimu vyšších povinností?  
Dále podle čl. 21 odst. 5 směrnice NIS2 má Evropská komise přijmout implementační akty do 17. října 2024, kterými stanoví technické a metodické požadavky týkající se opatření k řízení bezpečnostních rizik rovněž pro poskytovatele služeb vytvářejících důvěru. Dovolujeme si Vás požádat, aby Digitální a informační agentura byla informována o průběhu prací na tomto implementačním aktu (filip.bilek@dia.gov.cz, radek.horacek@dia.gov.cz).  Zároveň Vás prosíme o průběžnou neformální spolupráci, abychom mohli poskytovatele služeb vytvářejících důvěru průběžně informovat o aktuálním 
Tato připomínka je zásadní. 

K § 35 a 36  
Důvodová zpráva k těmto paragrafů obsahuje následující informaci „Při zavádění postupů pro ověření totožnosti držitele jména domény mohou subjekty spravující a provozující registry TLD a registrátoři domén využívat prostředky pro elektronickou identifikaci vydané v rámci kvalifikovaného systému elektronické identifikace.“  Nicméně tyto paragrafy podle našeho názoru neobsahují výslovné zmocnění, že subjekty spravující a provozující registry TLD a registrátoři domén jsou oprávněny využívat pro identifikaci a autentizaci uživatelů prostředky pro elektronickou identifikaci vydané v rámci kvalifikovaného systému elektronické identifikace a současně nám není znám právní předpis, který by výslovně stanovil pro tyto subjekty povinnost ověřit totožnost (viz § 2 zákona č. 250/2017 Sb., o elektronické identifikaci). Bez výslovného zmocnění v návrhu zákona využívat prostředky pro elektronickou identifikaci vydané v rámci kvalifikovaného systému elektronické identifikace či bez existence právního předpisu, který by výslovně stanovil pro tyto subjekty povinnost ověřit totožnost jsme toho názoru, že s ohledem na konstrukt § 2 zákona č. 250/2017 Sb. by bylo diskutabilní přiznat právo využívat prostředky pro elektronickou identifikaci vydané v rámci kvalifikovaného systému pro identifikaci a autentizaci uživatelů. 
Tato připomínka je zásadní.


	
	Závěr
Vypořádáním připomínek je pověřen Mgr. Martin Kraus, tel.: +420 734 864 800, e-mail: martin.kraus@dia.gov.cz


V Praze 12.7.2023