Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                Č. j. MF-20242/2023/9003-8
	PID: MFCRDXKGPR

PŘIPOMÍNKY K MATERIÁLU S NÁZVEM:

 Návrh zákona o kybernetické bezpečnosti

	Resort
	Připomínky

	Ministerstvo financí
	Úvod
Ministerstvo financí obdrželo v rámci meziresortního připomínkového řízení materiál Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) týkající se návrhu zákona o kybernetické bezpečnosti.
K předloženému materiálu uplatňuje Ministerstvo financí (dále jen „MF“) následující zásadní a doporučující připomínky:


	
	Zásadní připomínky:
1. K celkovému materiálu obecně
1.1. Obecně vždy platí, že kapitola státního rozpočtu, která předkládá podobný materiál ve své gesci (v tomto případně 378 – Národní úřad pro kybernetickou a informační bezpečnost a další dotčené kapitoly), si musí zajistit finanční krytí v rámci svého rozpočtu. Zároveň je zapotřebí respektovat ustanovení § 25 odst. 4 zákona č. 218/2000 Sb., rozpočtová pravidla, ve znění pozdějších předpisů, podle něhož nemůže-li organizační složka státu zajistit úhradu nutného výdaje, protože na jeho úhradu částka nebyla v dostatečné výši rozpočtována, je povinna zajistit prostředky státního rozpočtu na úhradu tohoto výdaje přednostně přesunem prostředků uvnitř svého rozpočtu.
1.2. Navyšování rozpočtu kapitol nad rámec výdajových limitů MF nepovažuje za možné, vzhledem k současné situaci rozpočtového hospodaření. Celkové výdaje státního rozpočtu byly v letech 2020 a 2021 velmi výrazně ovlivněny epidemií COVID-19, v letech 2022 a 2023 konfliktem na Ukrajině a rovněž růstem mandatorních sociálních výdajů s dopadem do dalších let. Naopak nyní je nutná konsolidace státního rozpočtu, vláda ČR připravila návrh konsolidačního úsporného balíčku, který byl zveřejněn dne 11. 5. 2023. Součástí "Ozdravného balíčku 2024/2025" je návrh snížení výdajů průřezově u většiny kapitol. Jelikož je kybernetická bezpečnost považována za prioritu, kapitoly budou nuceny hledat o to větší úspory v jiných oblastech svých výdajů.
1.3. MF zásadně nesouhlasí s dopady do personální a platové oblasti, které by měly být nad rámec současných limitů stanovených pro NÚKIB, respektive nad rámec limitů stanovených pro další dotčené rozpočtové kapitoly. Zvýšenou potřebu v personální a platové oblasti, která není v materiálu nikterak konkrétně vyčíslena, MF požaduje pokrýt výhradně v rámci stanovených limitů počtu míst a objemu prostředků na platy, např. na úkor agend, které se přirozeně utlumují, tj. bez nároku na jejich jakékoliv navýšení. Výše uvedené MF požaduje zapracovat a explicitně uvést do všech relevantních částí materiálu.
1.4. MF požaduje, aby rozpočtové dopady připravovaného zákona byly zabezpečeny v rámci schválených finančních limitů kapitoly NÚKIB a v rámci schválených finančních limitů příslušných dotčených kapitol státního rozpočtu bez požadavku na jejich navýšení. Tato skutečnost by měla být výslovně uvedena ve všech relevantních částech materiálu (návrh usnesení vlády, předkládací zpráva, důvodová zpráva, závěrečná zpráva RIA).

2. K předkládací zprávě
2.1. V souvislosti se závazkem vlády k zefektivnění hospodaření státu a hledání úspor MF požaduje do materiálu doplnit konstatování, že veškeré výdaje a personální nároky spojené s implementací nově navrhovaného zákona o kybernetické bezpečnosti včetně prováděcích předpisů ve všech dotčených rozpočtových kapitolách budou čerpány ze schválených rozpočtových limitů, tj. bez dodatečného rozpočtového dopadu. Financování je třeba zajistit i s maximálním využitím finančních prostředků z EU.
2.2. Ze závěrů obsažených v předloženém materiálu finanční nároky na státní rozpočet vyplývá, že je nezbytné (s ohledem na čl. IV odst. 7 Jednacího řádu vlády a náležitosti obsahu předkládací zprávy) pro jednání schůze vlády i do překládací zprávy uvést rozpočtové dopady a konkrétní zdroj, z kterého budou tyto nároky pokryty (přesun v rámci rozpočtu kapitoly nebo snížení výdajů jiné kapitoly státního rozpočtu a podobně).

3. K návrhu zákona
3.1. Z návrhu zákona o kybernetické bezpečnosti byly zrušeny pojmy provozovatel informačního systému a správce informačního systému a byl zaveden pouze pojem poskytovatel regulované služby, který je nositelem odpovědnosti za plnění zákonných požadavků včetně plnění bezpečnostních opatření vyplývajících z návrhů prováděcích předpisů k zákonu o kybernetické bezpečnosti, což má významný dopad v oblasti plnění povinností, které GFŘ není, jako nový poskytovatel regulované služby v režimu vyšších povinností, schopné ovlivnit (zejména se jedná o plnění povinností souvisejících s provozováním informačního systému, resp. provozováním regulované služby, tj. zajišťováním funkčnosti technických a programových prostředků, které tvoří informační systém – např. akvizice, vývoj a údržba probíhá zcela mimo GFŘ na základě historických smluvních ujednání a je velmi obtížné a téměř nereálné tato smluvní ujednání změnit, neboť dodavatelé na nové požadavky odmítají přistoupit), - § 6 odst. 2 – stanovit určující kritéria pro poskytovatele regulované služby v režimu nižších povinností, např. prováděcím právním předpisem, - § 7 odst. 1 a 2 – tímto ustanovením se současné VIS (do budoucna regulované služby v režimu nižších povinností) dostanou do režimu KII, resp. do režimu vyšších povinností vůči všem regulovaným službám, které jsou poskytovány poskytovatelem regulované služby, což s sebou přinese velmi významné výdaje na zavedení bezpečnostních opatření v organizacích, zejména zásadní dopad je ve veřejné správě, kde rozpočtové prostředky jsou omezené.
3.2. Ustanovení § 4 upravuje působnost zákona, ta je pak s ohledem na odstavec 2 stanovena vyhláškou. Přitom platí, že působnost by měla být stanovena zákonem a nikoliv podzákonným právním předpisem. Navíc platí, že meze zmocnění pro určení kritérií podle § 4 odst. 2 jsou velmi široké.
3.3. V §8, §9, §10 a následně v i §11 - Neexistuje popis procesu „Výmazu z evidence poskytovatelů regulovaných služeb“ z podnětu Poskytovatele regulované služby v případě, že Poskytovatel nemá již oprávnění tuto službu poskytovat (např. změnou legislativy). MF navrhuje rozšířit §11, aby podnět pro výmaz z evidence regulovaných služeb mohl dát i sám Poskytovatel regulovaných služeb. Tento způsob je efektivnější a personálně a odborně méně náročný pro Úřad a současně sám Poskytovatel regulované služby ví, která jeho služba patří či nepatří do regulovaných služeb.
3.4. V §23 odst. 3 - Nevzetí na vědomí zaslání rozhodnutí prostřednictvím datových schránek. Úřad v odst. 3 zasílá Rozhodnutí o povinnosti provést reaktivní protiopatření adresátovi do vlastních rukou do 72 hodin od jeho vydání. Není zřejmé jakým mechanismem a jakou garantovanou službou toho chce dosáhnout. V případě použití papírové formy je zde riziko, že adresát nebude do 72 hodin informován. Dále není jasné, zda se rozhodnutí týká i FO nepodnikajících. Pod pojmem osoba MF vnímá PO a FO podnikající. Ty v současné době mají povinně zřízenou datovou schránku. MF navrhuje, jako efektivní způsob zaslání Rozhodnutí o povinnosti provést reaktivní protiopatření adresátovi do datové schránky.
3.5. V §27 Kritéria pro identifikaci a určení strategicky významné služby odst. 1 … v odvětvích. Pro odstranění nejistoty a současně tam, kde je to možné zavést jednotný přístupu k udržení vnitřní bezpečnosti ČR, MF navrhuje, bylo doplněno do odvětví písmeno e) souhrnně pojmenované jako „výkonné složky vnitřní bezpečnosti“, mezi které patří: a) ozbrojené bezpečnostní sbory jakou jsou Policie ČR, Vězeňská služba ČR, Celní správa ČR a Generální inspekce bezpečnostních sborů; b) záchranné sbory a služby kam patří Hasičský záchranný sbor ČR a Zdravotnická záchranná služba; c) přiměřeně i zpravodajské služby jako jsou Bezpečnostní informační služba a Úřad pro zahraniční styky a informace.
3.6. § 28 odst. 3 obsahuje nejednoznačně formulovanou definici kritické části stanoveného aktiva, přičemž předložený návrh vyhlášky řeší pouze oblast veřejných komunikačních sítí (a i tuto oblast řeší výčtem různorodých funkcí a komponent). I s ohledem na přístupy používané v zahraničí požadujeme dostatečně přesné vymezení kritických částí například provázáním jejich nedostupnosti s nedostupností celé strategicky významné služby tak (přímý vliv), aby takto zavedené kritérium bylo aplikovatelné i v dalších oblastech (např. energetice). U jiných než kritických aktiv a kritických částí, jejichž nedostupnost má přímou na nedostupnost či kompromitaci strategicky významné služby je možné na základě analýzy rizik realizovat i další opatření.
3.7. V § 29 požadujeme doplnit povinnou součinnost a stanovisko oborového regulátora, pokud se jedná o strategicky významnou službu z oblasti, která podléhá regulaci (ERÚ, ČTÚ). 
3.8. Návrh zákona má v § 29 odst. 2 ambici prolomit mlčenlivost zaměstnanců Finančního analytického úřadu a dát jim povinnost součinnosti. V souvislosti s povinností součinnosti pak je zřejmě tato norma v rozporu se směrnicí Evropského parlamentu a Rady (EU) 2015/849 ze dne 20. května 2015 o předcházení využívání finančního systému k praní peněz nebo financování terorismu, o změně nařízení Evropského parlamentu a Rady (EU) č. 648/2012 a o zrušení směrnice Evropského parlamentu a Rady 2005/60/ES a směrnice Komise 2006/70/ES, zejména s čl. 32 odst. 3.
V § 29 odst. 2 se navrhuje vypustit slova „Finanční analytický úřad“ a zakotvit v novém odst. 3, že FAÚ poskytuje jen ty informace, kterými již disponuje. 
Proto k §29 MF (FAÚ) navrhuje vložit nový odstavec (3) „(3) Finanční analytický úřad za účelem výkonu činnosti podle § 28 odst. 1 poskytne Úřadu na jeho žádost bez zbytečného odkladu, nejpozději však do 30 dnů informace, které získal při své činnosti podle zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu.“
Vysvětlení: Prolomení mlčenlivosti vůči NÚKIB musí být promítnuto do § 39 odst. 1 písm. r) zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, aby nedocházelo k nepřímé novele tohoto zákona. Zákon č. 253/2008 Sb. § 39 odst. (1) písmeno r) Národnímu úřadu pro kybernetickou a informační bezpečnost při shromažďování a vyhodnocování informací a dat spojených s orgánem či osobou, které se týkají možné hrozby pro bezpečnost České republiky, vnitřní či veřejný pořádek nebo naplnění kritérií rizikovosti dodavatele. 
V § 29 MF (FAÚ) následně navrhuje za vložený odstavec (3) přečíslovat původní odstavec (3) na odstavec (4) a odstavec (4) na odstavec (5).
3.9. V rámci odstavců 3 a 4 se § 29 dotýká problematiky oznamovací povinnosti, resp. infomační povinnosti orgánů veřejné moci vůči Úřadu. V této souvislosti je navrhováno stanovit, že „Poskytnutí informací podle tohoto ustanovení není porušením mlčenlivosti podle jiného právního předpisu.“. Ministerstvo financí považuje za nutné v této souvislosti upozornit na skutečnost, že popsaný způsob prolomení zákonné povinnosti mlčenlivosti jiného orgánu veřejné moci nedopadá na tzv. speciální povinnosti mlčenlivosti, které standardně není možné prolomit obecným stanovením oznamovací či informační povinnosti, popřípadě obecným (paušálním) prolamovacím ustanovením, ale které vyžadují výslovné, resp. adresné prolomení, které je zacílené právě na danou jednotlivě určenou povinnost mlčenlivosti (ve vztahu k paušálně pojatému průlomu si úprava uvedených povinností mlčenlivosti totiž nadále podrží svůj status lex specialis). Uvedená paušální ustanovení § 29 odst. 4 zákona o kybernetické bezpečnosti proto nedopadají zejména na tzv. daňovou mlčenlivost podle § 52 a násl. zákona č. 280/2009 Sb., daňový řád, ve znění pozdějších předpisů (dále jen „daňový řád“), mlčenlivost podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „AML zákon“), a mlčenlivost podle zákona č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění pozdějších předpisů (dále jen „zákon o provádění mezinárodních sankcí“). Podobně neprolamuje uvedené paušální ustanovení například povinnost mlčenlivosti příslušníků zpravodajských služeb či notářů (jednajících jako orgány veřejné moci). Do jisté míry zůstává otázkou, zda je skutečně cílem zákona o kybernetické bezpečnosti aby došlo uvedeným paušálním způsobem k prolomení speciálních povinností mlčenlivosti (z celkového kontextu včetně znění důvodové zprávy lze usuzovat, že ano a to i s ohledem na speciální úpravu mlčenlivosti advokáta podle právního předpisu upravujícího výkon advokacie), avšak navržený paušální způsob není způsobilý tohoto cíle dosáhnout, neboť nereflektuje stávající stav právního řádu, kdy průlomy speciálních povinností mlčenlivosti jsou realizovány adresnými speciálními normami (v některých případech i doplněním tzv. „zrcadlového“ ustanovení do předpisu, který danou povinnost mlčenlivosti konstituuje, byť takový krok nelze považovat za nezbytný). Z důvodové zprávy je tedy nutno vyškrtnout nepravdivou informaci, že poskytnutí informací pro účely prověřování rizik spojených s dodavatelem se proto podle odstavce 4 nepovažuje za porušení zákonem stanovené či uznané povinnosti mlčenlivosti například podle § 52 daňového řádu nebo § 16 zákona o provádění mezinárodních sankcích. Na tomto místě je třeba rovněž uvést, že právě otázka případného prolomení daňové mlčenlivosti v případech oznamovací, resp. infomační povinnosti podle zákona o kybernetické bezpečnosti byla již v minulosti řešena. Ministerstvo financí již tehdy jasně deklarovalo, že se paušálními průlomy do mlčenlivosti orgánů veřejné moci v zákoně o kybernetické bezpečnosti necítí být ve vztahu k daňové mlčenlivosti vázáno. Tehdejší rozsah oznamovací, resp. infomační povinnosti, kvůli kterému byl případný průlom do daňové mlčenlivosti diskutován, současně považovalo Ministerstvo financí za nepřiměřeně široký a neodpovídající požadavku, aby průlom do daňového tajemství představoval proporcionální nástroj ultima ratio a byl zaváděn pouze tam, kde společenský zájem na poskytnutí informací zásadně převažuje nad společenským zájmem na řádném výkonu správy daní a ochraně práva na infomační sebeurčení daňových subjektů. Následná diskuze pak vedla ke konkrétnímu závěru, kterým byla legislativní úprava navržená v § 63 tohoto zákona. Pokud jde o výše uvedené paušální prolomení povinnosti mlčenlivosti orgánů veřejné moci, je třeba rovněž podtrhnout, že se nejedná pouze o problém systematický či o otázku jednoty a bezrozpornosti právního řádu, ale především též o principiální otázku legislativně-věcnou. Jak bylo uvedeno výše, speciální povinnosti mlčenlivosti je možné prolomit pouze na základě provedení testu proporcionality a na základě zvážení protichůdných společenských zájmů, které se v daném případě střetávají. Tento test nelze per definitionem provést paušálně, neboť každá speciální povinnost mlčenlivosti slouží ochraně odlišných informací a odlišných subjektů. Právě proto je v těchto případech nezbytné provést adresné posouzení a následně také adresné legislativní prolomení dané povinnosti mlčenlivosti, pokud to bude shledáno nezbytným. Paušální průlom takový postup neumožňuje, a to mimo jiné i proto, že se fakticky týká též případných budoucích speciálních povinností mlčenlivosti, které v době přijetí takového paušálního průlomu ani nejsou známy. Ministerstvo financí proto zcela zásadně nesouhlasí s tím, aby se v právním řádu vyskytovala ustanovení, která usilují o paušální průlom všech speciálních povinností mlčenlivosti a obcházela tak nutnost adresného posouzení odůvodněnosti takového prolomení (resp. vytvářela v tomto smyslu nedůvodná zdání, že je takový paušální průlom možný). Z hlediska prolomení mlčenlivosti Finančního analytického úřadu se za účelem funkčnosti navržené právní úpravy navrhuje upravit § 16 zákona o mezinárodních sankcích, případně § 39 AML zákona, podle rozsahu informací, které bude NÚKIB vyžadovat.
3.10. Obecně k tématu bezdlužnosti, kde se MF se dlouhodobě snaží o sjednocení formulace úpravy bezdlužnosti ve všech právních předpisech napříč právním řádem. Ve vazbě na uvedenou snahu MF nyní předloženém návrhu zákona o kybernetické bezpečnosti MF navrhuje upravit podmínku bezdlužnosti tak, aby její formulace reflektovala úpravu týkající se bezdlužnosti používanou napříč právním řádem a zároveň respektovala terminologii zákona č. 280/2009 Sb., daňový řád, ve znění pozdějších předpisů (dále jen „daňový řád). Je přitom především na věcném garantu příslušného právního předpisu, jestli bude požadovat, aby určitá osoba byla daňově (v širším smyslu slova) bezdlužná. V tomto směru jsme tedy k požadavku NÚKIB neutrální, neboť je věcí tohoto úřadu, jestli uzná za vhodné, aby předmětné osoby byly bezdlužné a v jakém rozsahu.
3.11. V §30 odst. 1  - v souvislosti s poskytováním regulovaných služeb a strategicky významné služby a proběhlým útokům na nemocnice v ČR navrhuje MF rozšířit rozsah chráněných hodnot o oblast zdravotnictví. MF navrhuje doplnit text „(1) Úřad vydá opatření… možné významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku a zdraví.“
3.12. Celá HLAVA III - V případě technologických domén řízených např. Active Directory např. s názvy Úřad, Firma, apod. může dojít k duplicitám. Předmětem ochrany v hlavě III jsou internetové domény, jejich vlastní názvy a jejich majitelé i registrátoři. V textu v §36 je pojem „internetová doména“ použit, a proto MF navrhuje, aby v celé Hlavě III bylo terminologicky sjednoceno pojmosloví „internetová doména“.
3.13. V §40 odst. 1, písm. d) - Opatření k řešení stavu kybernetického nebezpečí Konflikt mezi Návrhem zákona a další legislativou, zejména Zákoníkem práce, Zákonem o státní službě a Zákonem o služebním poměru příslušníků bezpečnostních sborů. Z textu plyne oprávnění ředitele Úřadu, že v době stavu kybernetického nebezpečí za účelem jeho řešení je oprávněn d) nařídit práci v pohotovostním režimu. Tuto pravomoc může ředitel Úřadu uplatnit jen v rámci řízení Úřadu, nikoli na povinné osoby tzn., že zde dochází k překročení kompetencí ředitele Úřadu dané zákonem, protože zaměstnanci může nařídit práci v pohotovostním režimu jen jeho nadřízený. Z tohoto důvodu MF navrhuje, aby byl mechanismus nastaven na povinnou osobu dle zákona, a ta v rámci svých pravomocí může nařídit práci nejen v pohotovostním režimu, ale i přesčas.
3.14. V §40 odst. 1, písm. e) - Opatření k řešení stavu kybernetického nebezpečí Konflikt mezi Návrhem zákona a povinnostmi povinných osob, zejména však Poskytovatelů strategicky významných služeb. Jen Poskytovatelé strategicky významných služeb umí zhodnotit důsledky a dopady zákazu používání technických aktiv, které zajišťují strategické významné služby. Z tohoto důvodu MF navrhuje, aby byl mechanismus nastaven na povinnou osobu dle zákona, a ta v rámci svých pravomocí zhodnotí dopady a minimalizaci následků tohoto zákazu používání technických aktiv.
3.15. V §41 Národní úřad pro kybernetickou a informační bezpečnost v odst. 3, v odst. 4 a v odst. 5 v rámci zajištění celorepublikové kybernetické bezpečnosti Úřad ani Vládní CERT, který je součástí Úřadu nemají v tomto zákoně povinnosti sdílení informací při řešení jednotlivých kybernetických bezpečnostních incidentů nebo při stavu kybernetického nebezpečí s příslušnými orgány Policie ČR, BIS, ÚZSI či Vojenského zpravodajství. To by mělo zajistit koordinované činnosti a zlepšení úrovně zajištění kybernetické bezpečnosti v ČR. MF navrhuje doplnit povinnost sdílení informací přímo do zákona.
3.16. V § 42 odst. 1 písm. e) - V uvedeném ustanovení je normována tzv. bezdlužnost takto: „(1) Provozovatelem Národního CERT může být pouze právnická osoba, která e) nemá v České republice v evidenci daní zachycen splatný daňový nedoplatek a nemá v České republice splatný nedoplatek na pojistném nebo na penále na veřejné zdravotní pojištění a na pojistném nebo na penále na sociální zabezpečení nebo příspěvku na státní politiku zaměstnanosti“, Požadujeme, aby byla v návrhu zákona respektována terminologie souladná s daňovým řádem, zejména v případě, má-li určitý subjekt nedoplatek (nikoli „splatný“ nedoplatek) podle § 153 daňového řádu. Slovní spojení „splatný daňový nedoplatek“ není věcně správné, jelikož podle § 153 daňového řádu je „nedoplatek částka daně, u které uplynul již den splatnosti“ a která nebyla uhrazena. Požadavek bezdlužnosti je standardně omezován na nedoplatky evidované orgány Finanční a Celní správy České republiky spolu s paralelním požadavkem absence nedoplatku na veřejných pojistných. Z navrženého ustanovení však není jisté, zda není úmyslem předkladatele podchytit také veškeré nedoplatky na daních v procesním smyslu (viz použitá formulace týkající se pouze nedoplatků „v evidenci daní“). To úzce souvisí se skutečností, že v takto navrženém ustanovení by absentovalo určení, u kterého orgánu jsou dané nedoplatky evidovány – není tedy jasné, jakým způsobem by byla např. prověřována absence nedoplatků na místních poplatcích u všech obcí v České republice, kterých je cca 6000. Z navrženého ustanovení toto není patrné a žadatel by tak nebyl fakticky schopen prokázat všechny požadavky na doložení bezdlužnosti. V tomto ohledu je tento požadavek nesprávný i s ohledem na to, že potvrzení o bezdlužnosti, je podle navrženého § 42 odst. 2 písm. b) požadováno pouze od orgánů Finanční správy České republiky a Celní správy České republiky, které ve svých evidencích nevedou všechny daňové nedoplatky. Požadavek bezdlužnosti se tak nepřekrývá s požadavkem tuto bezdlužnost doložit. Jakkoliv tedy platí, že i když věcné parametry podmínky bezdlužnosti jsou na rozhodnutí gestora příslušné úpravy, legislativní formulace by měla být v rámci právního řádu pokud možno vždy pojata jednotně a neměla by být vnitřně rozporná, resp. klást fakticky nesplnitelné požadavky. Navrhuje se proto využít např. následující textaci, která je standardně napříč právním řádem využívána v souvislosti se statusem bezdlužnost určitého subjektu: „e) nemá evidován nedoplatek (s výjimkou nedoplatku, u kterého je povoleno posečkání jeho úhrady nebo rozložení jeho úhrady na splátky), 1. u orgánů Finanční správy České republiky, 2. u orgánů Celní správy České republiky, 3. na pojistném a na penále na veřejné zdravotní pojištění, a 4. na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti.“. Je třeba poznamenat, že nedoplatky evidované u orgánů Finanční a Celní správy České republiky zahrnují veškeré nedoplatky na peněžitých plněních, která tyto orgány spravují v daňovém procesním režimu. Kromě peněžitých plnění označených jako daně, poplatky či cla se jedná např. i o odvody za porušení rozpočtové kázně či pokuty a jiná peněžitá plnění, jejichž placení je zajišťováno orgány Celní správy České republiky v režimu tzv. dělené správy.
3.17. V ustanovení § 42 odst. 2 písm. b) je stanoveno: „(2) Zájemce prokazuje splnění podmínek předložením b) potvrzení příslušných orgánů Finanční správy České republiky, Celní správy České republiky, České správy sociálního zabezpečení a příslušné pojišťovny v případě odstavce 1 písm. e), která nesmí být starší než 30 dnů“. Samostatnou otázkou je, zda je potřeba ukládat žadateli povinnost daňovou bezdlužnost u finančního nebo celního úřadu prokazovat za situace, kdy si takový zákonný požadavek může orgán veřejné moci ověřit přímo u příslušného finančního nebo celního úřadu na základě prolomení daňové mlčenlivosti podle § 53 odst. 1 písm. l) daňového řádu (a nepotřebuje tedy v této věci zproštění mlčenlivosti či přímo dodání potvrzení žadatelem). Tento obecný průlom do daňové mlčenlivosti tak odstraňuje formální bariéru pro sdělení údajů ve vztahu k bezdlužnosti daňového subjektu mezi orgány veřejné moci při zachování autonomie vůle daňového subjektu, nicméně pouze v případě, že zvláštní úprava rigidně nepožaduje prokázání bezdlužnosti výlučně po daňovém subjektu. Tento postup je však s ohledem na výše uvedené nedůvodný a pro daňový subjekt zatěžující, a to přinejmenším v případě potvrzení bezdlužnosti týkající se nedoplatků u Finanční a Celní správy České republiky. Tento postup je také nedůvodný za situace, kdy jej lze zajistit postupem, který nebude v takové míře zatěžovat i orgány veřejné moci (tj. zejména elektronicky). Současně se tento postup uplatní i při kontrole, zda je průběžně plněna povinnost, aby podmínka bezdlužnosti (resp. další podmínky) byly splňovány po celou dobu, kdy má dotčený subjekt status provozovatele Národního CERT. MF doporučuje nastavit mechanismus tohoto ověřování cestou přímého ověřování u finančního nebo celního úřadu, popřípadě nastavením periodicity prokazování bezdlužnosti ze strany daného subjektu v ostatních případech, kde uvedené ověření přímo u správce daně není možné, a to s ohledem na to, že plnění podmínky bezdlužnosti je požadováno kontinuálně.
3.18. V ustanovení § 48 odst. 1 písm. d) až f), je normována tzv. bezdlužnost takto: „(1) Žadatel má základní způsobilost, pokud „d) nemá v České republice v evidenci daní zachycen splatný daňový nedoplatek, e) nemá v České republice nebo v zemi svého sídla splatný nedoplatek na pojistném nebo na penále na veřejné zdravotní pojištění, f) nemá v České republice nebo v zemi svého sídla splatný nedoplatek na pojistném nebo na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti“. Ve zdůvodnění nesouhlasu s návrhem textu daného ustanovení odkazujeme na zdůvodnění k § 42 odst. 1 písm. e). Nad rámec výše uvedeného je pak nutno doplnit, že není zřejmé, proč jsou sledovány nedoplatky na pojistném nebo na penále na veřejné zdravotní pojištění a na pojistném nebo na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti v zemi sídla žadatele, a nejsou sledovány nedoplatky na dani, poplatku nebo jiném peněžitém plnění. V této souvislosti je pak nutno upozornit na skutečnost, že uvedená peněžitá plnění by v souvislosti se zahraničním neměla být vymezena takto výslovně, ale mělo by být uvedeno, že sledovány budou nedoplatky na peněžitých plněních, která jsou těmto peněžitým plněním obdobná (s ohledem na možnou odlišnou zahraniční terminologii).
3.19. V ustanovení § 48 odst. 2 písm. b) až e) takto: „(2) Žadatel prokazuje splnění podmínek základní způsobilosti podle odstavce 1 předložením „b) potvrzení příslušného finančního úřadu ve vztahu k odstavci 1 písm. d), které nesmí být starší než 30 kalendářních dnů přede dnem podání žádosti, c) písemného čestného prohlášení ve vztahu ke spotřební dani ve vztahu k odstavci 1 písm. d), d) písemného čestného prohlášení ve vztahu k odstavci 1 písm. e) a e) potvrzení příslušné okresní správy sociálního zabezpečení ve vztahu k odstavci 1 písm. f), které nesmí být starší než 30 kalendářních dnů přede dnem podání žádosti.“ Ve zdůvodnění nesouhlasu s návrhem textu daného ustanovení odkazujeme na zdůvodnění k § 42 odst. 2 písm. b). Nad rámec výše uvedeného je pak nutno doplnit následující. Navržené ustanovení řeší doložení nedoplatků evidovaných finančním úřadem, resp. nedoplatků na pojistném nebo na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti (formou potvrzení) a nedoplatků na spotřební dani a na veřejném zdravotním pojištění (formou čestného prohlášení). Není zde ovšem jasné, proč je s informacemi od Finanční a Celní správy České republiky, resp. na různých pojistných nakládáno odlišně (a proč je z nedoplatků evidovaných orgány Celní správy České republiky řešena jen oblast spotřebních daní). Vzhledem k výše uvedenému se tato ustanovení navíc zdaleka nepřekrývají s požadavkem bezdlužnosti, jak je formulován v prvním odstavci dotčených paragrafů návrhu, neboť bezdlužnost ohledně řady testovaných nedoplatků by nebyla doložena dokonce ani pouhým čestným prohlášením (viz např. zúžení nedoplatků v působnosti orgánů Celní správy České republiky pouze na spotřební daně). Nástroj v podobě čestného prohlášení je navíc obecně nepříliš šťastný, neboť doložení neexistence nedoplatku ve formě čestného prohlášení téměř není možné ověřit (byť z čistě formálního hlediska lze takové řešení akceptovat), tj. tento nástroj by měl být využíván pouze tam, kde nelze zvolit jiné řešení (typicky u zahraničních nedoplatků).
3.20. V § 46 Autorizace subjektů posuzování shody podle aktu o kybernetické bezpečnosti. Není v zákoně popsán proces, kdy subjekt ztratí autorizaci shody podle aktu o kybernetické bezpečnosti a Úřad mu tuto autorizaci odejme. Neexistuje popis mechanismus, po jak dlouhé době může subjekt žádat o novou autorizaci posuzování shody podle aktu o kybernetické bezpečnosti. MF navrhuje doplnit příslušný § o možnost znovu získání autorizace.
3.21. V §48 není zřejmé, jaký druh osob může žádat o registraci členství v Komunitě. V zákoně chybí rozlišení mezi FO podnikající a FO. MF navrhuje doplnit příslušný § o FO podnikající a nastavení věkové hranice minimálně na 21 let.
3.22. V § 48 odst. 2 navrhujeme písmeno c) formulovat takto: Žadatel prokazuje splnění podmínek základní způsobilosti podle odstavce 1 předložením „c) potvrzení příslušného celního úřadu ve vztahu k odstavci 1 písm. d), které nesmí být starší než 30 kalendářních dnů přede dnem podání žádosti.“. Tato připomínka je zásadní. Odůvodnění: Předložený návrh zákona stanovuje podmínky, které by měly být plněny žadatelem o registraci v Komunitě. Pokud žadatel podmínky nesplní, nebude mu umožněno členství v Komunitě. Splnění podmínek má být v daňové oblasti prokazováno potvrzením od finančního úřadu a dále čestným prohlášením ve vztahu ke spotřební dani. Koncept, kdy by byla neexistence splatných daňových nedoplatků prokazována čestným prohlášením, považujeme obecně za nežádoucí (viz i konstrukce v § 42 odst. 2 písm. b) návrhu zákona, kdy splnění podmínek je prokazováno potvrzením). Za prvé by mělo platit, že nedoplatky evidované u orgánů Finanční správy a Celní správy se prokazují stejným způsobem, není-li dán racionální důvod pro odlišný postup. Za druhé v čestném prohlášení žadatel může, ať již vědomě či z nedbalosti, uvést nesprávně, resp. v rozporu se skutečností, že nemá nedoplatek na spotřební dani či příslušenství. Za třetí není namístě omezit prokazování splnění podmínek pouze ve vztahu ke spotřebním daním, neboť orgány Celní správy spravují v režimu daňového řádu více veřejnoprávních pohledávek. Má-li být zákonnou podmínkou základní způsobilosti žadatele o registraci členství v Komunitě to, že žadatel nemá v České republice v evidenci daní zachycen splatný daňový nedoplatek, pak by splnění této podmínky mělo být systematicky taky ověřováno, resp. potvrzení neexistence daňových nedoplatků by ve vztahu k Celní správě nemělo být navázáno jen na spotřební daně. Lze uvést, že v režimu daňového řádu v rámci dělené správy jsou vymáhány např. i pokuty, které jsou uloženy dozorovým orgánem v případě spáchání přestupku podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů; tj. i tyto pokuty jsou evidovány v evidenci daní jako splatný daňový nedoplatek. Pro úplnost uvádíme, že námi navrhované znění je již obsaženo např. v zákoně o kybernetické bezpečnosti (§ 18 odst. 3 písm. b) a odst. 4), zákoně o spotřebních daních (§ 43f odst. 2) nebo zákoně o pohonných hmotách a čerpacích stanicích pohonných hmot (§ 6h odst. 3).

4. K návrhu prováděcích právních předpisů
4.1. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností: - § 2 písm. k) – stanovení kritérií, pravidel a postupů pro definici významné změny by mělo být pevně určeno a navázáno na stupnici pro hodnocení rizik uvedené v příloze č. 2, tabulce č. 3 navrhované vyhlášky.
4.2. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností: - § 5 odst. 1 písm. d) a m) – dostupnost zdrojů (personálních a finančních) potřebných pro zajištění systému řízení bezpečnosti informací jako celku je ve veřejné správě odvislá od výše přidělených rozpočtových prostředků ze státního rozpočtu; není tedy možné určit ultimátní odpovědnost, resp. povinnost pro vrcholné vedení za zajištění dostupnosti zdrojů, resp. není v jeho možnostech toto zajistit.
4.3. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností: - § 6 odst. 2 – definovat jasné určení povinností spojených s návrhem a rozvojem architektury bezpečnosti regulované služby pro architekta KB; doplnit do návrhu vyhlášky, obdobně jako u role MKB, písm. b) odpovídá za stanovení, dokumentování, údržbu a neustálý rozvoj vhodné architektury bezpečnosti regulované služby podle současné dobré praxe – tato klíčová činnost je uvedena v tab. č. 3 Architekt kybernetické bezpečnosti v Příloze č. 6, která je však pouze doporučujícího charakteru.
4.4. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností: - § 17 odst. 5 a 6 – s ohledem na očekávaný nárůst počtu regulovaných služeb je určený interval 5 let na provedení auditu v celém rozsahu vyhlášky velmi krátký; doplnit do ustanovení možnost vzorkování.

5. K závěrečné zprávě RIA a důvodové zprávě
5.1. Shrnutí závěrečné zprávy RIA, box 3.1 + Důvodová zpráva, části 7.1.1 a 7.1.6: MF chápe, že z uvedených důvodů není možné vyčíslit dopady na státní rozpočet v podobě absolutního čísla, které by bylo dostatečně přesné, nicméně MF požaduje doplnit odhad alespoň řádově (stamilióny, desítky miliard apod.), přičemž lze vyjít z dílčích údajů kapitol 7.1.2 až 7.1.5 důvodové zprávy, a číselně také uvedený rozptyl předpokládaných nákladů, jestliže z obdržených vyplněných dotazníků vyplynul jako extrémní. Pouhá verbální informace je nedostatečná. Mimo to na příjmové straně kapitoly 378 - Národní úřad pro kybernetickou a informační bezpečnost by mělo být zmíněno inkaso z pokut ze spáchaných přestupků podle navrhovaného § 58.
5.2. Shrnutí závěrečné zprávy RIA, box 3.1 + Důvodová zpráva, část 7.1.6: Jakékoliv zvyšování počtu úřednických míst (minimálně 39 pro NÚKIB a dalších 12 až 13 pro další úřady či orgány) a tím růst rozpočtových prostředků je v současné situaci, kdy je nutné skutečně konsolidovat veřejné finance, nežádoucí a v rozporu s programovým prohlášením současné vlády. Navíc to poněkud koliduje s uvedeným principem maximální automatizace a samoobslužnosti platformy NÚKIB vedoucí k redukci administrativní zátěže.


Připomínky:
6. K důvodové zprávě
6.1. K Důvodové zprávě část 7. 1. 6 Shrnutí dopadů na státní rozpočet a ostatní veřejné rozpočty a Závěrečné zprávě RIA – MF doporučuje dopady do personální a platové oblasti, které by měly být nad rámec současných limitů stanovených pro NÚKIB (respektive nad rámec limitů stanovených pro další dotčené rozpočtové kapitoly) hradit právě v nynějších limitech kapitol. MF doporučuje pokrýt výhradně v rámci stanovených limitů počtu míst a objemu prostředků na platy, např. na úkor agend, které se přirozeně utlumují, tj. bez nároku na jejich jakékoliv navýšení. Případně ať s ohledem na rozpočtovou situaci MF doporučuje předkladateli přehodnotit výběr varianty řešení V na jinou méně ekonomicky náročnou variantu řešení.
6.2. V části 7.2 důvodové zprávy (7.2. Dopady na územní samosprávné celky) se uvádí, že náklady na zabezpečení kybernetické bezpečnosti obcí s rozšířenou působností (kterých je 205) budou cca 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému. Ze strany těchto ORP lze očekávat vysokou nevoli, pokud tyto obce budou muset předmětné náklady hradit z vlastních zdrojů. Jakkoli MF chápe nutnost ošetřit kybernetickou bezpečnost i na místních úrovních, MF dává ke zvážení, zda by náklady na aktualizaci zabezpečovaných systémů neměl v případě ORP financovat stát. Je tedy nutno specifikovat finanční dopady na veřejné rozpočty a zdroj jejich úhrady.

7. K závěrečné zprávě RIA a důvodové zprávě
7.1. Shrnutí závěrečné zprávy RIA, boxy 3.1 a 3.3 + Důvodová zpráva, části 7.1.1 a 7.3: Není jasné, proč v rámci dopadů na veřejné rozpočty je mezi neznámé a proměnlivé indikátory zařazen také soulad se zněním stávajícího zákona o kybernetické bezpečnosti (č. 181/2014 Sb.).

8. K návrhu zákona
8.1. MF doporučuje v návrhu zákona sjednotit formátování (např. odstavce by měly být formátově jednotné) a uvést materiál do souladu s legislativními pravidly vlády (např. rozdělit paragrafy, kde je více nežli 6 odstavců). Dále je nutné upravit výkaznictví, jelikož vykazovat jako transpoziční ustanovení, která jsou nad rámec práva Evropské unie, je v rozporu s legislativními pravidly vlády a odpovídajícím metodickým pokynům (např. § 29 návrhu zákona).
8.2. V §2 MF navrhuje doplnit pojem „posuzování shody“ jako nové písm. „h) posuzování shody je procesem zhodnocení, zda byly splněny stanovené požadavky týkající se produktu, služby nebo procesu IKT“ a to ve vazbě na navrhovaný § 46 a násl. a Nařízení Evropského parlamentu a rady (EU) 2019/881 čl. 77 ve vazbě na Nařízení evropského parlamentu a rady (ES) 765/2008, čl. 2, odst. 10) a odst. 12), resp. zákona č. 22/1997 Sb., o technických požadavcích na výrobky o změně a doplnění některých zákonů.
8.3. K §4 – MF upozorňuje, že podle čl. 79 odst. 3 může správní úřad vydat právní předpis jen v mezích zákona, ovšem zde MF považuje stanovení mezí za nedostatečné. Doporučuje se zpřesnit. Není jasný vztah mezi zmocněním uvedeným v odstavci 1 a v odstavci 2 - stanoví tedy prováděcí předpis kritéria pro identifikace služby jen u vybraných odvětví uvedených v odstavci 2 nebo u všech služeb? Doporučuje se vyjasnit, formulovat jednoznačněji.
8.4. K § 17 odst. 4 Vzhledem k tomu, že podle Legislativních pravidel vlády by se v právních předpisech neměly používat zkratky složené z velkých písmen, doporučuje se jej při prvním použití označit jako "Portál Národního úřadu pro kybernetickou a informační bezpečnosti" a zavést pro tento pojem vhodnou legislativní zkratku (nabízí se "Portál Úřadu"). Obdobná připomínka platí i pro zkratku CSURT.
8.5. K §35 - Povinnosti subjektů poskytujících služby registrace jmen domén Ze znění textu paragrafu není zcela zřejmé, že se jedná o údaje Subjektu poskytující služby registrace jmen internetových domén.
MF navrhuje úpravu textu ve znění:
„(1)	Subjekt poskytující služby registrace jmen internetových domén hlásí Úřadu bez zbytečného odkladu, nejpozději však do 30 dnů ode dne, kdy začal poskytovat službu registrace jmen internetových domén, své údaje v rozsahu a způsobem stanoveným prováděcím právním předpisem“
8.6. V §36 v odstavci 1 se doporučuje nahradit slovo "zejména" slovem "alespoň", aby právní úprava jednoznačně stanovila minimální rozsah údajů, které mají být obsaženy v databázi.
8.7. Doporučujeme pojem "státní správa" v Hlavě V nahradit pojmem "veřejná správa". Pojem veřejná správa je definován v zákoně č. 365/2000 Sb., zákon o informačních systémech veřejné správy - §27 odst. 1)a) a je součástí tohoto návrhu zákona viz. §4 odst. 2a) a § 27 a). Upozorňuje se, že legislativa EU nerozlišuje pojem státní a veřejná správa a pro tuto oblast používá pojem "veřejná správa". Termín veřejná správa je kompatibilní s Nařízením evropského parlamentu a rady (EU) č. 549/2013 s kapitolou Vládní instituce (S13), ve znění odst. 2.111, 2.112 a)-d), 2.113 a)-d), 2.114, 2.115, 2.116, 2.117 a)b).
8.8. K §40 odst. 1, písm. g) Opatření k řešení stavu kybernetického nebezpečí. Je zde reálné riziko, že při vyhlášení stavu kybernetického nebezpečí nebudou v rámci ČR dostatečné personální a finanční kapacity na splnění nařízení k provedení skenu zranitelností nebo penetračního testu. Jelikož se jedná o expertní činnost, kterou realizuje jen omezený počet ekonomických subjektů je toto riziko reálné. Ze současné praxe je jasné, že Úřad i nedisponuje takovým počtem odborníků, kteří by ve stavu kybernetického nebezpečí zajistili zmiňované činnosti. Navrhuje se, aby v zákoně bylo popsáno, že tyto činnosti budou realizovány na pokyn Úřadu postupně nebo adresně, nebo v zákoně omezit rozsah nařízení provedení skenu zranitelností nebo penetračního testu na jednotlivé regulované osoby.
8.9. V §41 MF dává se ke zvážení, zda by neměl být fakt, že je Národní úřad pro kybernetickou a informační bezpečnost ústředním orgánem státní správy uveden v § 2 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické republiky. Dále se doporučuje nahradit slova „ústředním správním úřadem“ slovy „ústředním orgánem státní správy“.
8.10. K §41 odst. 5, písm. g). Dává se na zvážení odstranění nejistoty při realizaci činností Vládního CERT, který je součástí Úřadu. Úřad nemůže (za současné legislativy) realizovat žádná ofensivní akce v rámci řešení kybernetických útoků. Pro odstranění nejistoty MF navrhuje změnit text na: „a) zajišťuje řešení, koordinaci, analýzu a preventivní opatření vůči“
8.11. U §41 dává se ke zvážení, aby problematika utajovaných informací (viz § 1 odst. 3 – „Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi“) byla upravena zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, a to s ohledem na současný ucelený systém právních předpisů vztahujících se k ochraně utajovaných informací. Tento sjednocený systém je řešen v rámci jednoho zákona resp. další prováděcích předpisů v rámci jednotlivých druhů zajištění ochrany utajovaných informací. V tomto ohledu MF nepovažuje za žádoucí upravovat dalším způsobem oblast utajovaných informací v novém právním předpise, nýbrž navrhuje se vytvořit samostatnou kapitolu: „Národní úřad pro kybernetickou bezpečnost“ (dále jen „NÚKIB“) v rámci zákona č. 412/2005 Sb., který by upravoval jednotlivé aspekty ochrany utajovaných informací ve vztahu k NÚKIB. Další možnou variantou by mohlo být zcela zrušení stávajícího znění ustanovení §1 odst. 3, který je dle názoru MF v rozporu se zněním některých ustanovení, zejména však s ustanovením § 41 odst. 4 písm. c), dle kterého Úřad vykonává státní správu v oblasti bezpečnosti informačních a komunikačních systémů nakládajících s utajovanými informacemi a v oblasti kryptografické ochrany, zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí.
8.12. V § 48 a násl. MF doporučuje změnit toto ustanovení a násl. tak, aby základem bylo členství v Komunitě, které vzniká registrací žadatele o toto členství. Osoba, která je registrována, pak by již nebyla žadatelem, ale členem. Je nesystémové označovat osobu, které vzniklo registrací členství, jako žadatele stejně jako osobu, která o toto členství teprve žádá. To, že jsou posuzovány podmínky registrace na základě žádosti, a i následně kontrolovány, není vhodné označovat jako podmínky žádosti, ale jako podmínky členství nebo podmínky registrace.
8.13. V § 48 odst. 1 navrhuje MF (GŘC) písm. d) formulovat takto: Žadatel má základní způsobilost, pokud „d) nemá v České republice evidován nedoplatek s výjimkou nedoplatku, u kterého je povoleno posečkání jeho úhrady nebo rozložení jeho úhrady na splátky“.  Odůvodnění: S ohledem na sjednocení textace napříč jednotlivými právními předpisy navrhujeme přeformulovat stávající text uvedený v písmenu d), podle kterého žadatel má základní způsobilost, pokud nemá v České republice v evidenci daní zachycen splatný daňový nedoplatek. Jeví se žádoucí doplnit, že žadatel může mít nedoplatek, u kterého je povoleno tzv. posečkání ve smyslu § 156 daňového řádu. Tato konstrukce je použita např. v zákoně o spotřebních daních (§ 43f odst. 1), zákoně o hazardních hrách (§ 91 odst. 2 písm. a), zákoně o povinném značení lihu (§ 56 odst. 1) nebo zákoně o pobytu cizinců na území České republiky (§ 178 e odst. 1) apod. Obdobná připomínka je vznesena i k § 42 odst. 1 písm. e) návrhu zákona o kybernetické bezpečnosti.
8.14. V § 48 odst. 4 MF upozorňuje, že v tuzemské evidenci skutečných majitelů nejsou zapsány osoby, které jsou zapsány v evidenci skutečných majitelů v jiném členském státě, a tudíž podmínka v odst. 4 efektivně vyřazuje všechny společnosti usazené mimo Českou republiku. Dává se ke zvážení, zda se jedná o žádoucí stav. Dává se ke zvážení, zda nezařadit do podmínek, aby daná osoba nepodléhala ani mezinárodním sankcím, včetně těm unijním, jelikož se jedná o naprostou většinu sankcionovaných osob.
8.15. K §55 MF doporučuje název upravit na "Zmocňovací ustanovení" a zařadit ho až do závěrečných ustanovení. Současně se doporučuje v odstavci 1 upravit úvodní část odstavce 1 takto "Úřad stanoví vyhláškou" a zrušit jeho označení číslem a odstavec 2 vypustit.
8.16. Z dikce navrženého § 56 není jasné, zda se týká i kontroly povinností podle § 29 a § 63 odst. 4, které se týkají poskytování informací o třetích osobách, ve vztahu k orgánům a osobám, které mají povinnosti mlčenlivosti. V případě, kdy by měly být tyto povinnosti kontrolovány i u osob, které mají povinnost mlčenlivosti, by došlo k absurdní situaci, kdy by osoba, vůči níž se povinnost mlčenlivosti uplatňuje, kontrolovala poskytování údajů, které mohou podléhat mlčenlivosti, což bez seznámení se se všemi údaji (tj. i těmi podléhajícími mlčenlivosti) efektivně nelze. Požaduje se buď úprava legislativního textu ve smyslu výše uvedeného, nebo přinejmenším úprava důvodové zprávy tak, aby bylo jednoznačně uvedeno, že na orgány veřejné moci a osoby s povinností mlčenlivosti se kontrolní pravomoci Úřadu nevztahují.
8.17. Doporučuje se změnit nadpis § 62, jelikož neodpovídá obsahu ustanovení.
8.18. K oblasti tzv. dělené správy pouze MF (GŘC) upozorňuje, že návrh zákona o kybernetické bezpečnosti obsahuje oblast ukládání pokut obdobně jako stávající zákon č. 181/2014 Sb., kdy dané pokuty celní úřady vymáhají (§ 58-59 a § 62 odst. 3 ve vztahu ke kontrolnímu řádu). Nově je však stanovena i oblast ukládání pořádkových pokut (§ 62 odst. 1) a donucovacích pokut (§ 62 odst. 2), které jsou upraveny ve vztahu ke správnímu řádu, a tyto pokuty si bude Národní úřad pro kybernetickou a informační bezpečnost vybírat a vymáhat sám (donucovací pokuta je již jedním ze způsobů exekuce). S ohledem na působnost Celní správy v oblasti dělené správy MF (GŘC) předpokládá, že řešení této problematiky bude upraveno v rámci komplexního sjednocení úpravy správního řádu a daňového řádu.
8.19. U označení odstavců § 71 je třeba doplnit půlkulatou závorku i před číslo odstavce. V zájmu první jistoty se doporučuje slova "dosavadních právních předpisů" nahradit označením právních předpisů, o které se jedná (předpokládáme, že půjde o zákon č. 181/2014 Sb. V odstavci 1 je třeba u prvního výskytu zákona č. 181/2014 Sb. uvést jeho název, protože je citován poprvé.
8.20. K §72 MF upozorňuje, že v souladu s čl. 52 Legislativních pravidel vlády je třeba zrušit i všechny zákony, kterými byl novelizován zákon č. 181/2014 Sb.. Tato připomínka platí i pro rušené vyhlášky, pokud byly novelizovány. Zrušované vyhlášky je třeba za sebou řadit v časové posloupnosti od nejstarší k nejnovější.


	
	Závěr
Ministerstvo financí upřednostňuje pro vypořádání připomínek distanční formu. V případě nutnosti osobního jednání požaduje Ministerstvo financí zaslání návrhu na vypořádání jednotlivých připomínek včetně textu upraveného materiálu s dostatečným předstihem před konáním vlastního vypořádacího jednání.

Kontaktní osobou pro komunikaci ve věci vypořádání připomínek je Ing. Miroslav Starčevič, MBA, tel. 257 042 721, e-mail: miroslav.starcevic@mfcr.cz.


V Praze dne 20. července 2023
Vypracoval: Ing. Miroslav Starčevič, MBA	Podpis: 
2