Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                Příloha k č. j. 316/2023

PŘIPOMÍNKY K MATERIÁLU S NÁZVEM:

Návrh zákona o kybernetické bezpečnosti (dále jen „návrh“)

	Resort
	Připomínky

	
Svaz měst a obcí České republiky
	

· PŘIPOMÍNKY K NÁVRHU JAKO CELKU Z OBECNÉHO HLEDISKA:

· Úvodem je Svaz měst a obcí ČR (dále jen „Svaz“) povinen akcentovat, že návrh jako celek včetně doprovodných materiálů (tj. tezí prováděcích předpisů) je strukturován a vyjádřen nesrozumitelně a zmatečně. I pro profesionály (osoby vzdělané v oboru právo a právní věda či v oblasti IT) je svízelné materiál pročíst a pochopit jej včetně jeho provazeb na prováděcí právní předpisy.

Navrhujeme přepracování materiálu jako celku tak, aby byl přehledný, vnitřně konzistentní a pochopitelný.

Současně navrhujeme, aby materiál jako celek (tj. návrh včetně prováděcích právních předpisů) respektoval princip právní jistoty a nebyly zásadní záležitosti předmětem úpravy podzákonnými právními předpisy.

Rovněž navrhujeme zvážení výlučné působnosti NÚKIB, zejména v hodnocení dodavatelského řetězce, bez ingerence dalších ústředních orgánů státní správy. Vnímáme jako zásadní zachování principu zákazu omezení podnikání, principu předvídatelnosti a právní jistoty.

Tyto připomínka jsou zásadní. 

· Vnímáme snahu předkladatele o zajištění co nejvyšší pružnosti co do případných legislativních změn této oblasti, je však ale nemyslitelné, aby některé otázky byly řešeny v podzákonných právních předpisech [viz např. okruh povinných subjektů a zařazení obcí mezi ně versus právo na samosprávu dle čl. 100 Ústavy ČR ve spojení s § 7 zákona č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů]. Obcím jsou tak ukládány povinnosti v samotném důsledky až podzákonným právním předpisem.

Navrhujeme provést změny ve smyslu výše uvedeného, a to tak, že všechny zásadní legislativní otázky budou řešeny přímo v návrhu, nikoliv v podzákonných právních předpisech, tj. včetně, nikoliv výlučně, povinných subjektů.

Tato připomínka je zásadní.


· Současně v návrhu zcela absentuje srovnání s implementací směrnice NIS2 s ostatními státy EU a není ani řádně odůvodněno, proč je v řadě případů postupováno nad rámec stanovený směrnicí NIS2 (viz dodavatelský řetězec či vymezení povinných subjektů). 

Navrhujeme doplnit materiál o jasné vyjádření důvodů u jednotlivých ustanovení včetně důvodové zprávy, které předkladatele vedly k formulování daného návrhu nad rámec povinností dle směrnice NIS2 (natož, když nejsou zajištěny finanční, věcné ani personální prostředky na realizaci návrhu).

Navrhujeme provést srovnání navrhované implementace v ČR s dalším státy EU a doplnit v tomto směru důvodovou zprávu.

Tyto připomínky jsou zásadní.


· Současně je dlužno dodat, že s ohledem na rozsah návrhu, jenž je nabobtnán o související právní předpisy (jak teze prováděcích předpisů, tak prováděcí zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti), je Svaz toho názoru, že lhůta pro mezirezortní připomínkové řízení (jež probíhá v době letních prázdnin, státních svátků a dovolených) měla být zvolena odlišně, přinejmenším s předchozí konzultací k paragrafovému znění s dotčenými připomínkovými místy, byť například neformální cestou. Neformální prodloužení lhůty k podání připomínek k návrhu přípisem ze strany NÚKIB ze dne 03.07.2023 a rozsah připomínek řady připomínkových míst pouze dotvrzuje výše uvedené, a to celkovou neprodiskutovanost a nepřipravenost návrhu.  

Navrhujeme, aby návrh jako celek byl podroben odborné diskusi a byl přepracován ve smyslu uplatněných připomínek po širší diskusi s připomínkovými místy, včetně analytického vyjádření nákladů na realizaci návrhu a předpokládaného finančního zajištění.

Tato připomínka je zásadní.


· PŘIPOMÍNKY K HODNOCENÍ DOPADŮ REGULACE (RIA) A K ZÁVĚREČNÉ ZPRÁVĚ Z HODNOCENÍ DOPADŮ REGULACE:

· K bodu 3.4 Územní dopady na územní samosprávné celky:

Navrhujeme, aby se v tomto bodě zmínila i nutnost dotčených územních samosprávných celků vypořádat se s novými povinnostmi, resp. jejich plněním, personálně, věcně, technicky i finančně. K tomu je nezbytné přidat i pomyslné za b), a to že odborníků v oblasti kyberbezpečnosti je v ČR velice málo (zcela absentuje vyjádření odhadovaného počtu odborníků na oblast kyberbezpečnosti a volných pracovních sil) a možnost platové nabídky územních samosprávných celků je pro tyto pracovníky nesrovnatelná se soukromým sektorem. K tomu je nezbytné přidat i pomyslné za c), a to že je plánováno snížení příspěvku na výkon přenesené působnosti, kdy již nyní obce v mnohém na výkon této služby pro stát doplácejí. Je více než zjevné, že tak budou i jejich finanční možnosti zkráceny a omezeny. 

Z uvedeného tak jednoznačně vychází, že nároky na zajištění povinností, jež jsou nad rámec Směrnice NIS2, jsou nepřiměřené, s čímž lze propojit i fakt, že municipality NEMUSÍ BÝT dle Směrnice NIS2 povinným subjektem.

Shodně tak k tomuto navazuje i vyhodnocení možných variant řešení (viz bod 2. Závěrečné zprávy z hodnocení dopadů regulace), kdy je na místě zvažovat alespoň Variantu II (minimální transpozice směrnice) či Variantu III (Transpozice směrnice bez zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce, ovšem při odstranění zjištěných nedostatků a reflexe dosavadních zkušeností). 

Stranou nelze ponechat ani plánované navýšení pracovních míst jak na úrovní municipální, tak ale i na úrovni jiných orgánů veřejné moci, jež budou povinnými subjekty (viz např. bod 7.1.6 Shrnutí dopadů na státní rozpočet a ostatní veřejné rozpočty). S ohledem na cíl snížit byrokratické zatížení státu a municipalit včetně s tím souvisejícího personálního zatížení se pak návrh stává vnitřně rozporným (srovnej viz znění návrhu nad rámec stanovený Směrnicí NIS2 a s tím spojené personální, věcné i finanční zatížení dotčených subjektů).

Navrhujeme zvážení doplnění RIA a Závěrečné zprávy ve smyslu zvážení personálního zajištění plnění povinností dle návrhu dotčenými municipalitami (včetně zajištění metodického proškolení příslušných zaměstnanců) a s tím spojenými zvýšenými náklady včetně jejich řádové definice (nejen personálními, ale ve smyslu zvolené varianty řešení i věcnými – viz prověřování dodavatelského řetězce).

Již v tomto okamžiku navrhujeme vypořádat se se skutečností, proč jsou municipality zavedeny jako povinné subjekty nad rámec Směrnice NIS2.

Závěrem navrhujeme doplnit Závěrečnou zprávu a RIA o hodnocení faktické proveditelnosti povinností nastavených návrhem pro jednotlivé povinné subjekty včetně municipalit (z různých aspektů – personálních, finančních, věcných, technických atd.).


RIA a Závěrečná zpráva se tak vůbec nevyrovnává s dopady návrhu na regionální úrovni – více viz níže.


Tyto připomínky jsou zásadní. 


· Lze současně konstatovat, že NÚKIB neprovedl řádně vyhodnocení dopadů na regulované subjekty. Není naprosto jasné, jaké konkrétní povinnosti dopadnou na obce, kraje, jimi zřizované organizace, jakým způsobem budou posuzovány dobrovolné svazky obcí atd. Není ani provedena analýza očekávaných nákladů (který by logicky navazovala na analýzu povinností, jež budou nově povinným subjektům uloženy).

Navrhujeme provedení analýzy nákladů pro jednotlivé povinné subjekty.

Tato připomínka je zásadní.


· Návrh se věnuje mimo implementace Směrnice NIS2 i úpravě “prověřování dodavatelského řetězce”. 

V žádném ohledu si nedovolujeme zpochybnit záměr státu prověřovat dodavatele do kritických částí infrastruktury. V RIA ani důvodové zprávě jsme ale bohužel nenalezli vyhodnocení dopadů na regionální podnikání především v sektoru elektronických komunikací, kterých se dotkne mechanismus nejvíce. Zároveň nevíme důvod, proč při měření dopadů na podnikatelské prostředí nepoužil NÚKIB Metodiku měření administrativní zátěže podnikatelů, která byla vládou schválena roku 2017 a která je závaznou metodikou pro analýzu dopadů regulace.

Lze předpokládat, že v důsledku prověřování dodavatelského řetězce může dojít k řadě problémů s nevyčíslitelnými náklady, avšak na druhé straně bude na bedlivém zvážení, zda prověřování bude završeno kýženým výsledkem.
 
Podle tezí vyhlášek budou mezi subjekty mechanismu prověřování patřit jen operátoři s více než 350 000 SIM karet nebo 100 000 aktivních pevných přípojek. Už 100 000 aktivních přípojek však znamená, že celá řada větších regionálních operátorů se stane subjektem mechanismu prověřování. Předkladatel se však nevypořádává v návrhu s vysokou mírou propojenosti sektoru pomocí dodavatelsko-odběratelských vztahů. 

Celá řada národních operátorů má jako dodavatele regionální hráče různé velikosti, na které se formálně mechanismus nebude vztahovat, ale protože “kritickou částí stanoveného rozsahu” je dle návrhu vyhlášky o nepominutelných funkcích fakticky celá síť, budou regulovanými subjekty i desítky malých a středních firem, protože se stanou dodavateli a jejich dodavatelé subdodavateli. Jejich obchodní partneři na ně mohou vyvíjet tlak na výměnu dodavatele, pokud jej předkladatel označí za vysoce rizikového.

Výsledkem se pak zcela bez pochyb může stát, že namísto budování vysokorychlostního internetu v obcích pro co největší množství zákazníků z řad domácností, firem i veřejné správy, budou nuceni investovat do výměny řešení, která jsou plně funkční, jen jsou postavené na technologiích od dodavatelů, které předkladatel považuje za vysoce rizikové, a to aniž by byli sami tito dodavatelé regulovaným subjektem. 

Toto je vážný důsledek regulace vyjádřené v návrhu, který vůbec nevidíme zohledněný v důvodové zprávě a v RIA. Významně v obou dokumentech chybí zhodnocení, jak implementace směrnice i mechanismus budou mít vliv na investice především do míst s nízkou návratností, jako jsou malé obce (mediánová velikost obce v ČR je přibližně 380 obyvatel). 

Předkladatel by tak měl bezesporu zohlednit na jedné straně nutnost zajištění bezpečnosti sítí, ale na straně druhé rozvoj regionů a vliv na podnikatelské prostředí především malých a středních regionálních a lokálních podniků. Jen tak je možné zhodnotit, zda je rozsah a forma regulace proporcionální problému, který chce předkladatel řešit především co se týče národní úpravy, která nevyplývá z nutnosti implementace Směrnice NIS2.
 
Svaz tak navrhuje, aby NÚKIB provedl RIA podle postupů, které předpokládají legislativní pravidla vlády (tedy především analyzoval dopad na podnikatelské prostředí podle příslušné metodiky). Zásadní je především zpracovat dopad na regionální poskytovatele internetu jako možné subjekty mechanismu z důvodu, že jsou dodavateli velkých subjektů. 

Dále Svaz navrhuje, aby se regulace týkala skutečně jen “kritické části” sítí poskytovatelů a nedopadala na okrajové části sítě a transportní část sítě, což jsou právě ty části, které pro velké národní operátory poskytují menší regionální a lokální hráči formou velkoobchodních dodávek služeb. V tomto ohledu považujeme za žádoucí změnit § 28 a navazující ustanovení návrhu a příslušnou vyhlášku.

Opětovně zdůrazňujeme, že Svaz je přesvědčen, že není důvod, aby mezi povinné subjekty byly zařazeny municipality. Proto navrhuje, aby i s tímto postupem nad rámec implementace Směrnice NIS2 se předkladatel důkladně vypořádal a zohlednil všechny vstupní faktory včetně externalit.

Konečně, není ani vysvětleno, zda v případě, kdy veřejná správa je pouze uživatelem regulované služby a poskytovatelem jsou jiné ústřední orgány státní správy, budou pro danou veřejnou správu plynout nějaké povinnosti.

Tyto připomínka jsou zásadní.


· K DŮVODOVÉ ZPRÁVĚ:

· K bodu 7.2. Důvodové zprávy:

Tento bod se zaobírá dopady na územní samosprávné celky (dále jen „ÚSC“) ve vztahu ke směrnici NIS2. 

NIS2 jednoznačně stanovuje, že regulovány mají být nově ty subjekty veřejné správy na regionální úrovni, pokud tak budou v rámci národní právní úpravy stanoveny (konkrétně viz článek 2 Směrnice NIS2, písm. f), který zní: „subjekt je subjektem veřejné správy: i) ústřední vlády, jak je vymezena členským státem podle vnitrostátního práva; nebo ii) na regionální úrovni, jak je vymezena členským státem podle vnitrostátního práva, a na základě posouzení rizik poskytuje služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti.“). 

Nově jsou stanoveny povinnými subjekty obce s rozšířenou působností s tím, že je tento postup odůvodněn současnými trendy a zkušenostmi a jsou zařazeny do režimu nižších povinností (vyjma dotčených municipalit, jež spadají do režimu vyšších povinností).

V žádném z podkladů však není řádně zdůvodněno, z jakého důvodu se k tomuto kroku, tj. k zahrnutí ÚSC, přistoupilo. Je vágně uvedeno, že došlo k v některých obcí ke kybernetickým bezpečnostním incidentům, což není ale číselně (ani řádově) podepřeno (tj. v kolika případech a s jakou závažností pro určitý časový horizont) a není tak určeno, zda se nejedná pouze o marginální záležitost, zejména s ohledem na náklady, které budou ÚSC nuceny vynaložit na realizaci svých povinností dle návrhu (odhlížeje od absence personálních kapacit, finančních a věcných prostředků, návaznosti na prověřování dodavatelských řetězců a z toho možných důsledků atd.). 

Jednoznačně se tak nabízí, aby byla důvodová zpráva (a v této souvislosti i RIA jako celek) v tomto směru řádně doplněna a bylo vyjádřeno, jakým způsobem a v jaké míře byly ÚSC dosud dotčeny kyberbezpečnostními incidenty a jaká je relevance těchto incidentů k tomu, aby byly ÚSC zařazeny nad rámec Směrnice NIS2 mezi povinné subjekty.

Jejich zařazení i s ohledem na s tím spojené nároky na prověřování a další aktivity není plně odůvodněno.

Navrhujeme doplnění důvodové zprávy dle výše uvedeného a odůvodnění zařazení ORP mezi povinné subjekty. 

Současně opětovně v této chvíli (a následně dále v textu) se ohrazujeme proti zařazení ORP, resp. ÚSC jako celku mezi povinné subjekty nad rámec směrnice NIS2 a navrhujeme jejich vynětí z návrhu jako celku.

Tyto připomínka jsou zásadní.


· PŘIPOMÍNKY K NÁVRHU SAMÉMU:

· K § 2 návrhu:

Ustanovení § 2 návrhu je věnováno vymezení pojmů, avšak nejsou zahrnuty veškeré pojmy, jež se v návrhu objevují, a řada z nich není nikde ani dílčím způsobem vysvětlena. Příkladmo lze uvést pojmy spojené s dodávkami a dodavateli – viz dodavatel bezpečnostně významné dodávky a bezpečnostně významná dodávka (viz § 32) a další. Ostatně, návrh jako celek operuje řadou nepřesných a vágních pojmů a cílem by mělo být tyto nepřesnosti odstranit.

Navrhujeme, aby byl návrh podroben revizi a neosvětlené pojmy použité v návrhu byly v rámci § 2 osvětleny tak, aby i laik byl s to pochopit, co je myšleno jednotlivými vyjádřeními.

Tato připomínka je zásadní.

· K § 2 odst. 1 písm. e) návrhu:

Je naprosto potřebné zpracovat a stanovit postup k hodnocení významnosti regulované služby, váhu, hodnocení parametru (dopadu) a stanovit model výpočtu, popřípadě stanovit model analýzy tak, aby bylo zřejmé s ohledem na právní jistotu a regulační jistotu, co je regulovanou službou. Vyjádření v podzákonném právním předpise se jeví naprosto nevhodným.

Navrhujeme zapracování dle výše uvedeného do návrhu.

Tato připomínka je zásadní.

· K § 2 odst. 2 písm. c) návrhu:

Výraz kybernetická hrozba se vyjma tohoto ustanovení v zákoně ani v prováděcích vyhláškách nevyskytuje a návrh dále s takovým výrazem nepracuje.

Navrhujeme vysvětlit zavedení tohoto pojmu v návrhu.

Tato připomínka je zásadní.


· K § 2 odst. 2 písm. f) návrhu:

Ustanovení § 2 odst. 2 písm. f) návrhu stanovuje, že kybernetickým bezpečnostní incidentem se rozumí narušení bezpečnosti informací v rámci aktiv. 

Definice je však formulována nad rámec implementované směrnice, jež operuje s pojmem „incident“ bez bližšího vymezení. Není pak racionální důvod využívat sousloví dle dotčeného ustanovení návrhu, ale je naopak přiléhavé využít pojem definovaný směrnicí NIS2 a natož, pokud v návrhu je dále tento pojem využíván jen ve formě „incident“.

Navrhujeme respektovat pojmosloví směrnice a nahradit dotčený pojem pouze prostým „incident“.

Tato připomínka je zásadní.


· K § 2 odst. 2 písm. g) návrhu:

Dle dotčeného ustanovení návrhu je definováno zvládání kybernetického bezpečnostního incidentu úkony vedoucími k zajištění prevence, detekce, analýzy, omezení dopadů incidentu, reakce na incident a následného zotavení.

Opětovně zdůrazňujeme, že ÚSC mají důvodné obavy ze zajištění dostatečného počtu odborníků a z finančního a materiálního zajištění. 

Navrhujeme, aby byly zpracovány metodické pomůcky, vzorové dokumenty a jednoznačné postupy, jež by byly považovány za závazné pro povinné subjekty.

Tato připomínka je zásadní.


· K § 4 a § 5 návrhu – rozdíl mezi identifikací a určením:

Nadpisy u § 4 a § 5 jsou zmatečné, shodně tak obsah a vysvětlení jejich obsahu. Jednoznačný rozdíl mezi „identifikací“ a „určením“ je složitě pochopitelný. 

Navrhujeme upřesnit znění dotčených ustanovení návrhu tak, aby byl jasný rozdíl mezi věcnou stránkou jednotlivých paragrafů.

Tato připomínka je zásadní.


· K § 4 odst. 2 návrhu:

V dotčeném ustanovení jsou stanovena kritéria pro identifikaci regulované služby jejich výčtem (nad rámec směrnice NIS2). 

Bohužel v návrhu je jejich vyjádření heslovité a z důvodové zprávy není zřejmé, co má být konkrétním obsahem jednotlivých odvětví (ani rámcově) s tím, že mají být prováděcím právním předpisem stanoveny kritéria pro identifikaci regulované služby. 

Jedná se o naprosto zásadní ustanovení, které určuje okruh subjektů, jichž se bude návrh dotýkat a které budou nuceny plnit povinnosti z návrhu vyplývající. Provázanost s velkým množstvím prováděcích předpisů pravděpodobně s cílem zaručení určité pružnosti v případě nezbytnosti další právní úpravy však spíše způsobuje zmatky, nejasnosti a zejména právní i regulační nejistotu. 

V tomto bodě se ani návrh, ani důvodová zpráva, ani návrh tezí prováděcích právních předpisů nevypořádává s otázkou, jak budou posuzovány dobrovolné svazky obcí, místní akční skupiny a další obdobné entity.

Navrhujeme, aby byl návrh upřesněn v definici identifikace regulované služby a důvodová zpráva byla doplněna o vysvětlení použitých pojmů aspoň demonstrativním výčtem. 

Navrhujeme, aby z návrhu byly vypuštěny ÚSC ve všech směrech jako celek. Pokud by nebylo této připomínce vyhověno, požadujeme, aby bylo stanoveno, jakým způsobem bude personálně, finančně a technicky zajištěna kontinuální činnost ÚSC a plnění povinností uložených na bedra ÚSC ze strany státu, jenž je takto nad rámec unijní legislativy stanovuje povinným subjektem.

K poslednímu návrhu ještě podotýkáme, a v tomto mj. Svaz vystupuje konzistentně, že v případech, kdy stát legislativně ukládá jakékoliv povinnosti ÚSC, musí zvažovat jejich užší (finanční, věcný, personální) dopad, ale i dopad v širším pohledu (v daném případě dodavatelské služby v této oblasti, nepokrytí vysokorychlostním internetem území ČR jako celku, fungování vyloučených lokalit, vylidňování menších obcí a další), jenž je řešen v dalších dimenzích. Bohužel výsledky těchto úvah předkladatel ani se zárukami státu, že se bude podílet v jakékoliv formě na realizaci implementaci v úrovni ÚSC, nedemonstruje.

Tyto připomínka jsou zásadní. 

 
K předchozímu pro doplnění jen dodáváme, že u bodu § 4 odst. 2 návrhu, dle písm. l) je stanovena jako regulovaná služba „Věda, výzkum a vzdělávání“ (dle návrhu Vyhlášky o regulovaných službách se jedná o bod 19.1 přílohy). Zde je již ale hovořeno o „výzkumné organizaci“ bez bližšího určení, jež dle Směrnice NIS2 pak spadají do režimu nižších povinností.

Předkladatel však definoval výzkumnou organizaci tak, že mj. je poskytovatelem regulované služby v režimu vyšších povinností v případě, že většina prováděných výzkumných projektů je financována z více než 50 % z veřejných zdrojů. 

Opět se tak jedná o návrh zakotvení právní úpravy směřující nad rámec znění Směrnice NIS2, bez jakéhokoliv vyjádření dopadu takto navrhované právní úpravy a s jasným zatížením dotčených subjektů nad racionální vnímání (srovnej znění směrnice NIS2, Příloha II, Další kritická odvětví).

Navrhujeme provést implementaci plně v souladu se zněním Směrnice NIS2, nikoliv nad její rámec (vyvarování se goldplatingu obecně).

Tato připomínka je zásadní. 

· K § 4 a § 5 návrhu ve spojení s návrhem vyhlášky o regulovaných službách:

Navrhujeme upřesnit odvětví veřejné správy, resp. povinné subjekty, v tom směru, zda se jedná o počet obyvatel na území obce s rozšířenou působností, tedy o počet obyvatel obce, nebo o počet obyvatel ve správním obvodu ORP.

V této souvislosti je nezbytné a navrhujeme doplnit i upřesnění v jednotlivých odvětvích regulované služby, příkladmo v odvětví vodovody, kanalizace, odpadové hospodářství, technické služby a další, dle jakých kritérií (i ve spojení s dobrovolnými svazky obcí) dojde k dotčení návrhem a zahrnutí mezi povinné subjekty.

Důvodová zpráva je v tomto ohledu pojata velice laxně a nepřesně a s ohledem na míru zásahu do činnosti těchto subjektů by mělo být požadavkem právního státu s poukazem na princip právní jistoty jasně stanovit mantinely pro právní úpravu realizovanou návrhem a prováděcími právními předpisy. 

Tyto připomínky jsou zásadní.


· K § 5 návrhu:

Dotčené ustanovení se zabývá kritérii pro určení regulované služby. 

Z navrhovaného znění není však patrné, zda kritéria jsou určena tak, že musí být splněna všechna najednou či nikoliv. Současně není ani určeno, do jaké míry musí být stanovena možnost ohrožení definovaných cílů v bodě b) dotčeného ustanovení. Uvedené nejasnosti nejsou vysvětleny ani v důvodové zprávě.

Navrhujeme doplnění jak samotného ustanovení, tak důvodové zprávy, aby bylo znatelné, jaké jsou podmínky pro splnění kritérií pro určení regulované služby. 

Tato připomínka je zásadní. 


· K § 6 odst. 3 návrhu:

Dotčené ustanovení se dotýká režimu poskytovatele regulované služby s tím, že v odst. 3 je dán odkaz na prováděcí právní předpis, v daném případě zejména na vyhlášku o regulovaných službách. 

S ohledem na princip právní a regulační jistoty není na místě, aby tak zásadní záležitost byla řešena v podzákonném prováděcím právním předpise. Navrhujeme, aby vyhláška o regulovaných službách včetně svých příloh, jež definují jednotlivé povinné subjekty, byly součástí návrhu, tj. zákona o kyberbezpečnosti.

K tomuto odkazujeme na již výše uvedené a znění Směrnice NIS2 co do článku 2, odst. 2, písm. f), bodu ii), kdy implementací předkladatel opět míří nad rámec Směrnice NIS2, a to bez prokazatelného důvodu. 

Dle kritérií navržených předkladatelem se do režimu vyšších povinností dostanou ÚSC Praha, Brno, Ostrava a Plzeň a do režimu nižších povinností všech 205 ORP.

Dle přesvědčení Svazu postupuje v implementaci NÚKIB chybným způsobem. Před tím, než stanovuje ORP za subjekty podléhající návrhu, měl provést posouzení rizik, zda poskytují služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti a výsledek tohoto posouzení rizik promítnout do Důvodové zprávy a závěrečné zprávy RIA (viz již připomínka výše). 

Navíc dle článku 5 Směrnice NIS2 je vztažení povinností vyplývajících ze směrnice na subjekty veřejné správy na místní úrovni zjevně dobrovolné (“členské státy mohou stanovit…”). 

ORP, stejně jako ostatní obce, poskytují ze zákona celou řadu služeb v samostatné působnosti, zároveň ale poskytují služby v přenesené působnosti státní správy, jako například evidenci obyvatel, vydávání občanských průkazů a pasů, vydávání řidičských průkazů, živnostenskoprávní agendu, vedení živnostenského rejstříku, silniční správní úřad, dopravní úřad a další. Zda by narušení těchto služeb mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti, musí předkladatel odůvodnit před tím, než učiní obce povinnými osobami podle zákona (viz již připomínka výše k tomu, že není vysvětlena hierarchie požadavků v případě, kdy ÚSC je pouze uživatelem určité služby s vyhrazenými právy).

Svaz k tomuto ustanovení považuje za nutné uvést, že není možné se vypořádat s nutností vypočítat dopad regulace na subjekty, kterých se zákon dotkne, odstavcem v následujícím znění: “Nevýhodou otázky analýzy finančních dopadů na organizace, a to i mimo státní správu, je skutečnost, že distribuce nákladů na kybernetickou bezpečnost není plošná a že existuje informační asymetrie ve směru od subjektů samotných k regulačnímu orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat své vlastní náklady na zavedení a udržování přiměřené úrovně kybernetické bezpečnosti).” , více viz RIA str. 2.


NÚKIB měl po dobu několika měsíců, po které zákon připravoval, možnost tuto analýzu udělat různými způsoby, které doporučují vládní materiály, jako je např. “Měření celkových nákladů na plnění povinností vyplývajících z regulace”, případně ve spolupráci s organizacemi samospráv, jako je Svaz, Asociace krajů ČR či SMS ČR, vypočítat alespoň řádově náklady, které ORP vzniknou. Svaz se samozřejmě nebrání faktickému zajišťování kybernetické bezpečnosti na všech úrovních samospráv, nicméně formální regulace dle návrhu s sebou beze sporu ponese velmi významné náklady a produkuje personální i technické zvýšené nároky a opětovně a Svaz stále důrazněji upozorňuje, že stát povinnosti ukládá, ale nijak neiniciuje sanování podmínek k jejich plnění (ani finančně, ani personálně, ani věcně).

I vzhledem k tomu, že v předběžném návrhu rozpočtu na rok 2024 plánuje Ministerstvo financí zcela nepřijatelně snížení objemu prostředků na platy o 4 %, snížení stupnic platových tarifů pro všechny zaměstnance veřejného sektoru o 5 % a pětiprocentní snížení příspěvku na výkon státní správy ve vazbě na snížení stupnic platových tarifů pro rok 2024 (na což jsme upozornili v dopise předsedovi vlády z 6. 6. 2023), je třeba mít jasně podchyceno, kdo bude a v jaké podobě povinnou osobou podle zákona. Obce budou muset na tuto agendu vyčlenit zaměstnance. Ve vyhlášce stanovuje předkladatel požadavky na osoby odpovědné za kybernetickou bezpečnost a následně na stanovení konkrétních opatření, které budou povinné subjekty muset kontrolovat a provádět, což vše bude znamenat pro obce nemalé náklady. Svaz je povinován jménem svých členů vyjádřit důvodnou obavu, že stát na obce uvalí novou povinnost, aniž by zajistil její financování.

Upozorňujeme, že obecně je v České republice nedostatek odborných pracovníků v oblasti IT, kdy podle různých veřejně dostupných dat chybí mezi 20 až 30 tisíci pracovníků. Sám předkladatel uvádí, že k plnění povinností vyplývajících z návrhu bude potřebovat vyšší desítky nových pracovních míst, kromě těch, které předpokládá v již schválené koncepci rozvoje úřadu. Další místa v odvětví kybernetické bezpečnosti budou bezpochyby poptávat nově kontrolované subjekty. Stát je přitom už nyní v oboru IT velmi špatně konkurenceschopný, podle dat Českého statistického úřadu v roce 2022 pobírali například analytici a vývojáři softwaru a počítačových aplikací ve mzdové sféře 87 tisíc Kč v porovnání s 52 tisíci Kč ve sféře platové. Předkladatel by měl při tvorbě regulace zhodnotit i to, zda a jak ji vůbec bude mít u regulovaných subjektů, zvláště ve veřejné správě, kdo plnit.

Kritérium ORP je navíc podle přesvědčení Svazu velmi špatně zvolené. ORP je v České republice 205 a velikost těch, které mají méně než 125 tisíc obyvatel, se pohybuje od necelých 107 tisíc (Liberec) až po např. 2700 (Konice).

NÚKIB neuvažuje přímé dopady na spotřebitele, ale zároveň uvádí, že lze očekávat tlak regulovaných orgánů na promítnutí nákladů na zavádění bezpečnostních opatření do cen služeb. To znamená negativní vliv na spotřebitele. 

Úřad by měl do RIA doplnit odhad toho, jak bude tento potenciální vliv na ceny vypadat, protože regulované služby jsou v odvětvích, která zasahují velkou část společnosti, která je na ceny velmi citlivá (jde např. o energetiku, ale i telekomunikace). Sociální dopady jsou tak naprosto zjevné.

Celá řada ORP se pohybuje kolem 5 tisíc obyvatel. Je úplně absurdní se domnívat, že obce této velikosti budou mít kapacity na formální plnění požadavků ze zákona a prováděcích právních předpisů, ač jde o regulovanou službu v režimu “nižších povinností”, avšak s enormním byrokratickým zatížením (více dále).

Na základě výše uvedeného požadujeme, aby předkladatel provedl posouzení rizik, zda obce poskytují služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti (viz již výše) a dle tohoto posouzení stanovil, která úroveň územních samosprávných celků je vhodná pro regulaci, pokud vůbec nějaká - zvláště s ohledem na to, že subjekty veřejné správy na místní úrovni (tedy města) nejsou ve směrnici uvedené jako povinné subjekty (viz již výše) a současně navrhujeme s ohledem na řečené, aby byly ÚSC jako celky vypuštěny jako povinné subjekty v dané fázi legislativního procesu k návrhu. 

K tomuto navrhujeme, aby předkladatel zvážil, analyzoval a vyhodnotil sociální dopady návrhu.

Tyto připomínka jsou zásadní.

· K § 10 odst. 2 návrhu:

Dle uvedeného ustanovení poskytovatel regulované služby zapsaný v evidenci poskytovatelů regulovaných služeb je povinen plnit všechny povinnosti plynoucí mu ze zákona vůči zapsaným regulovaným službám od okamžiku doručení vyrozumění o zápisu do evidence poskytovatelů regulovaných služeb až do okamžiku doručení vyrozumění o výmazu z evidence poskytovatelů regulovaných služeb podle § 11.

S ohledem na již uvedené, zejména z pohledu nutnosti zajištění personálních kapacit, platových možností ve veřejné správě a s poukazem na již nyní zjevný nedostatek odborníků v této oblasti, současně s ohledem na nutnost provést celkové posouzení u daného poskytovatele regulované služby (odhlížíme od prověřování dodavatelů) je časová lhůta nastavená dle dotčeného ustanovení nerealizovatelná.

Navrhujeme prodloužit časovou lhůtu min. na 6 měsíců ode dne doručení vyrozumění o zápisu do evidence poskytovatelů regulovaných služeb.

Tato připomínka je zásadní.

· K § 12 odst. 5 návrhu:

Dle dotčeného ustanovení je poskytovatel regulované služby povinen zajistit dostatečnou zastupitelnost fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem.

Předkladatel však nedefinuje, co míní souslovím „dostatečná zastupitelnost“. Zda se jedná o jednoho zástupce za fyzickou osobu uvedenou při registraci poskytovatele či je třeba určité větší hierarchické zastoupení, příp. i určením jednotlivých rolí.

Navrhujeme dle výše uvedeného doplnit důvodovou zprávu.

Tato připomínka je zásadní.

· K § 15 návrhu ve spojení s tezemi prováděcích právních předpisů:

Návrh, jenž je následně doplněn v rámci tezí prováděcích právních předpisů, obsahuje i pro povinné subjekty v režimu nižších povinností obsáhlou řadu povinností, k nimž budou povinné osoby muset vést dokumentaci pro předmětné oblasti. 

Zpracování projektu k plnění povinností tak dle návrhu bude generovat finanční náklady, stejně tak provozování nové agendy a plnění dalších povinností. Důvodová zpráva předpokládá (dále nezdůvodněné) náklady cca kolem 800 tis. Kč až 1,5 mil. Kč. Není však určeno, zda povinné subjekty, jež jsou zahrnuty ve veřejné správě, na plnění těchto povinností obdrží finanční či jiné prostředky (např. technická opatření, personální zajištění nových povinností, platové náklady, vzdělávací kurzy atd.).

Jedná se o navýšení byrokratických povinností pro všechny povinné subjekty. Opět zdůrazňujeme, že ÚSC dle směrnice NIS2 vůbec povinnými subjekty být nemusí. 

Navrhujeme, aby pro povinné subjekty byly připraveny vzorové intuitivní dokumenty, systém vzdělávání (vstupního i soustavného) a náklady pro povinné subjekty ve veřejné správě byly sanovány státem.

Tato připomínka je zásadní.

· K § 21 návrhu:

Dle navrhovaného § 21 odst. 1 je úřad po konzultaci s dotčeným poskytovatelem regulované služby z důvodu ochrany vnitřního či veřejného pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn veřejnost informovat o kybernetickém bezpečnostním incidentu či o porušování povinností daných tímto zákonem, nebo dotčenému poskytovateli regulované služby rozhodnutím uložit, aby tak učinil sám. 

Směrnice NIS2 však tuto otázku pojímá odlišně ve svém čl. 23 odst. 7, dle kterého pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.

Dotčené ustanovení návrhu je opět formulováno nad rámec směrnice NIS2, byť tento přesah není odůvodněn.

Navrhujeme, aby znění bylo zúženo na významný incident v souladu se směrnicí NIS2.

Tato připomínka je zásadní.

· K § 22 návrhu:

Dotčené ustanovení návrhu se týká tzv. varování, jež vydává NÚKIB, dozví-li se o závažné kybernetické hrozbě nebo zranitelnosti v oblasti kybernetické bezpečnosti. V odst. 2 je současně uloženo, že poskytovatel regulované služby v režimu vyšších povinností zohlední varování v rámci stanoveného rozsahu, pokud NÚKIB nebo jiný právní předpis nestanoví jinak.

Primárně je třeba uvést na pravou míru, že varování jako institut není vůbec ve Směrnici NIS2 obsaženo. Neboť se opět jedná o implementaci nad rámec Směrnice NIS2 a současně není ani v Důvodové zprávě řádně vysvětleno, z jakého důvodu je v poslední části věty odst. 2 stanoveno rozšíření na, ve své podstatě, bezbřehost, je na místě vypustit celý § 22 jako celek, příp. v minimalistické formě aspoň § 22 odst. 2 návrhu.

Navrhujeme vypustit § 22 jako celek, příp. vypustit v minimalistické formě aspoň § 22 odst. 2 návrhu.

Tato připomínka je zásadní.

· K dílu 5 návrhu jako celku:

K celému Dílu 5 si dovolujeme poukázat na článek 22 Směrnice NIS2, dle kterého se na unijní úrovni může ve spolupráci s Komisí a agenturou ENISA provést koordinované posouzení bezpečnostních rizik dodavatelských řetězců u specifických kritických služeb IKT, systémů IKT nebo produktů IKT, přičemž se zohlední technické, případně netechnické rizikové faktory. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA a případně s příslušnými zúčastněnými stranami určí specifické kritické služby IKT, systémy IKT nebo produkty IKT, jež mohou být předmětem koordinovaného posouzení bezpečnostních rizik podle odstavce 1 dotčeného článku.

S ohledem na možnost celoevropského hodnocení dodavatelů ve smyslu dotčeného článku 22 Směrnice NIS2, současně s poukazem na konsolidaci veřejných financí a záměr dále nepřistupovat k další hypertrofii byrokratického aparát, a s ohledem na nedostatečně provedené posouzení dopadů a vysvětlení celého kontrolního prověřovacího mechanismu na národní úrovni a v souladu s uvedenými argumenty v těchto připomínkách navrhujeme vypustit celý díl 5 návrhu jako celek bez náhrady. 

V případě, že by nedošlo k vypuštění tohoto dílu, navrhujeme provést důkladnou analýzu Dílu 5 v Důvodové zprávě včetně nastínění procesních kroků a odůvodnění nepřipojení se k možnosti celoevropského hodnocení v porovnání s implementačními opatřeními jiných států EU.

Tato připomínka je zásadní.

· K § 28 odst. 4 návrhu:

Tzv. nepominutelné funkce stanoveného rozsahu a kritéria rizikovosti dodavatele a způsob jejich vyhodnocení je dle návrhu předmětem definice prováděcího právního předpisu.

Jak už jsme v tomto textu uvedli, řada zásadních záležitostí (vč. definice okruhu povinných subjektů) je bez racionálního důvodu, bez ohledu na regulační a právní jistoty zařazena do prováděcích právních předpisů, tj. podzákonných právních předpisů. Z hlediska právní jistoty je však takové řešení zásadních otázek nemyslitelné.

Navrhujeme, aby nepominutelné funkce stanoveného rozsahu a kritéria rizikovosti dodavatele za předpokladu, že nebude vyhověno vypuštění dílu 5 návrhu jako celku byly definovány přímo v návrhu a dále rozvedeny v Důvodové zprávě, nikoliv v podzákonném právním předpise.

Tato připomínka je zásadní.


· K § 40 odst. 1 písm. d) návrhu:

Dle § 40 odst. 1 písm. d) návrhu je ředitel Úřadu v době kybernetického nebezpečí za účelem jeho řešení oprávněn nařídit práci v pohotovostním režimu. 

Z uvedeného znění návrhu není zjevné, komu konkrétně může ředitel NÚKIB v daném případě nařídit práci v pohotovostním režimu. 

Navrhujeme v tomto směru doplnit návrh včetně důvodové zprávy.

Tato připomínka je zásadní.

· K § 53 odst. 2 písm. b) návrhu:

Úřad a provozovatel Národního CERT při zpracování osobních údajů, na které se vztahuje přímo použitelný předpis Evropské unie upravující ochranu osobních údajů, mohou v rámci výkonu své působnosti využít osobní údaje i pro jiné účely, než pro které byly shromážděny.

Výjimka z pravidel stanovených v GDPR je definována neurčitě, byť samo nařízení GDPR má stanoveny mechanismy pro slučování účelů, dle nichž lze v případě zpracování osobních údajů postupovat. 

Navrhujeme doplnit dotčené ustanovení ve smyslu nařízení GDPR.

Tato připomínka je doporučující.


· K 55 odst. 1 návrhu:

§ 55 odst. 1 návrhu definuje okruh záležitostí, jež budou upraveny prováděcím právním předpisem prostřednictvím Úřadu a formou vyhlášky.

Ve smyslu výše uvedeného navrhujeme provést opětovné hodnocení těchto záležitostí, jež budou s ohledem na principy právního státu včetně principu právní jistoty upraveny v podzákonném právním předpisu.

Ve smyslu výše uvedených připomínek v případě jejich akceptace navrhujeme upravit i příslušné prováděcí právní předpisy.

Tyto připomínka jsou zásadní.

· K § 58 návrhu jako celku:

Pokud nebude vyhověno vynětí ÚSC z povinných subjektů, navrhujeme jejich plné vynětí z přestupkové odpovědnosti. 

Současně navrhujeme snížení pokut pro orgány veřejné správy, neboť tyto jsou stanoveny likvidačně bez ohledu na neziskovost orgánů veřejné správy.

Tyto připomínky jsou zásadní.


· K TEZÍM PROVÁDĚCÍCH PRÁVNÍCH PŘEDPISŮ:

· Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností

Obecně navrhujeme doplnění vrcholné o to, kdo konkrétně bude nést zodpovědnost za vedení (viz návrh samotný a např. § 5 vyhlášky - povinnosti vrcholného vedení).

Tato připomínka je zásadní. 

· K § 9 odst. 2 návrhu vyhlášky:

Dle dotčeného ustanovení povinná osoba pro ověření identit administrátorů a uživatelů využívá autentizační mechanismy, které jsou založeny na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů. 

K tomuto je nezbytné upozornit, že zpravidla je pro druhý faktor ověření využíván mobilní telefon či token, což je spojeno s dalšími náklady. K tomu upozorňujeme, že pro identifikaci mobilním telefonem nelze využívat mobilní telefony osobní, ale výlučně pracovní, jimiž však nedisponují všichni zaměstnanci. 

Navrhujeme, aby stát zvážil povinnost vícefaktorového ověření pro povinné subjekty (v návaznosti na zařazení ÚSC mezi povinné subjekty) a vyjádřil způsoby vícefaktorového ověření včetně věcných a souvisejících nákladů.

Tato připomínka je zásadní.


	

	
	
Závěr
Dovolujeme si požádat o zohlednění výše uvedených připomínek a jejich vypořádání. 
Prosíme o zaslání návrhu vypořádání připomínek v dostatečném předstihu včetně textu upraveného materiálu.
Kontaktní osobou pro komunikaci ve věci vypořádání připomínek je Mgr. Alena Klimt, DiS., e-mail: klimt@smocr.cz, tel.: 730-897-551.
	

V Praze dne 18.07.2023

Vypracovala: Mgr. Alena Klimt, DiS., klimt@smocr.cz, 730-897-551

Stránka 2 z 2