Elektronická knihovna legislativního procesu - textová podoba dokumentu

                ČESKÝ BÁŇSKÝ ÚŘAD
                                     Ing. Martin Štemberka, Ph.D.

                                                   předseda

                                                                                    Praha 21. července 2023
                                                                                       Č.j.: SBS 28168/2023

Vážený pane řediteli,
k návrhu materiálu „Návrh zákona o kybernetické bezpečnosti“, který jste mi zaslal v rámci
mezirezortního připomínkového řízení prostřednictvím elektronické knihovny Úřadu vlády
(eKLEP) dne 19. června 2023 pod č.j. 4496/2023-NÚKIB-E/110, uplatňuji připomínku
uvedenou v příloze.
Zaměstnancem odpovědným za vypořádání připomínek za Český báňský úřad
je Mgr. Hana Staňková, oddělení legislativy, e-mail: Hana.Stankova@cbusbs.cz,
tel. 221 775 336 a Ing. Viktor Křivonoska, e-mail: Viktor.Krivonoska@cbusbs.cz,
tel. 221 775 348.
V úctě

                                                             v z. Ing. Radim Mžyk
                                              zástupce předsedy – ředitel sekce báňské správy

                                                           (podepsáno elektronicky)

Příloha

Vážený pan
Ing. Lukáš Kintr
ředitel
Národní úřad pro kybernetickou a informační bezpečnost
Mučednická 1125/31
616 00 Brno
                                                                             Příloha k č.j. SBS 28168/2023

                        Připomínky Českého báňského úřadu k materiálu
                            „Návrh zákona o kybernetické bezpečnosti“

ČBÚ považuje automatické zařazování všech ústředních správních úřadů do kategorie
„Regulované služby v režimu vyšších povinností“ za nevhodné. Vzhledem k nižší možnosti
vzniku rizik v rámci malých kapitol vyvolává toto zařazení toliko neúměrný tlak na finanční
náklady, jejichž vynaložení je z výše uvedeného důvodu neúčelné. Požadujeme tento systém
opustit, respektive návrh vyhlášky upravit tak, aby bylo třeba nejprve vyhodnotit míru rizika
a teprve následně správní úřad zařazovat do příslušné kategorie regulovaných služeb.

Tato připomínka je zásadní.
Odůvodnění:
Součástí předloženého materiálu jsou i teze prováděcích právních předpisů k návrhu zákona
o kybernetické bezpečnosti. Podle § 4 odst. 1 návrhu zákona jsou kritéria pro identifikaci
regulované služby tvořena kritériem služby a kritériem poskytovatele regulované služby.
Z návrhu vyhlášky o regulovaných službách vyplývá, že ústřední orgány státní správy budou
zařazeny do kategorie „regulované služby v režimu vyšších povinností“ (bod 1.1 přílohy této
vyhlášky) – kritériem služby je výkon svěřených pravomocí a kritériem poskytovatele
je ústřední orgán státní správy (tedy i ČBÚ).

Navrhovaná vyhláška „O bezpečnostních opatřeních poskytovatele regulované služby v režimu
vyšších povinností“ stanovuje v § 5 odstavci 6 povinnost vrcholného vedení určit osoby, které
budou zastávat bezpečnostní roli:

a) manažera kybernetické bezpečnosti,
b) architekta kybernetické bezpečnosti,
c) garanta aktiva a
d) auditora kybernetické bezpečnosti,

včetně zajištění zastupitelnosti těchto rolí, přičemž tyto role nemohou zastávat osoby
odpovědné za provoz IT.

Důvodová zpráva (RIA) uvádí velmi hrubý odhad nákladů ve výši 800.000 až 1.500.000 Kč na
vytvoření jednoho bezpečnostního systému u jednoho subjektu.

Navrhovaná právní úprava bude znamenat v rámci ČBÚ provedení změn v organizaci
kybernetické bezpečnosti. Bude nutné rozšířit bezpečnostní role o architekta kybernetické
bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti. Bude také nutné zavést nástroj
pro správu a monitorování IT infrastruktury, jehož pořízení a obsluha představuje pro ČBÚ
největší finanční zátěž. ČBÚ odhaduje navýšení ročních nákladů na zajištění kybernetické
bezpečnosti min. o 860.000 Kč.