Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
DEMOX000AGMK
Č.j. MV-108111-13/LG-2023
MINISTERSTVO VNITRA
P ř i p o m í n k y
k návrhu zákona o kybernetické bezpečnosti
Zásadní připomínky:
K § 2 odst. 2, § 27, § 34 a k Hlavě V, dílu 1:
Ministerstvo vnitra společně s Národní agenturou pro komunikační a informační technologie, s. p. (dále jen „NAKIT“) začalo již v roce 2016 budovat Dohledové centrum eGovernmentu, a to jako pracoviště zajišťující bezpečnostní dohled, monitoring, vyhodnocování a reakci na incidenty pro informační systémy eGovernmentu, které v té době byly v gesci Ministerstva vnitra. V průběhu času se podařilo nastavit všechny procesy bezpečnostní části pracoviště i procesy navazující na část provozních dohledů, která v kritických komunikačních systémech Ministerstva vnitra zajišťuje tuto službu v režimu 24/7. Aktuálně tato dvě pracoviště úzce spolupracují a sdílejí i některé společné nástroje. V průběhu let se rovněž pracoviště podařilo stabilizovat personálně a ukotvit ho jako stabilního a perspektivního partnera pro organizace, se kterými má formálně podepsanou a realizovanou spolupráci. Jedná se zejména o bezpečnostní složky státu, ale i akademické a komerční organizace. Tato spolupráce je možná i díky tomu, že všichni zaměstnanci Vládního dohledového centra (dále jen „VDC“) musí mít bezpečnostní prověrku podle zákona č. 412/2005 Sb. (operátoři minimálně stupeň „Vyhrazené“, ostatní pracovníci minimálně stupeň „Důvěrné“).
V Akčním plánu k Národní strategii kybernetické bezpečnosti České republiky na období 2021 až 2025 byl Ministerstvu vnitra uložen úkol č. 82: „Zajistit rozvoj dohledového centra e-Governmentu s cílem vytvořit jednotné Vládní dohledové centrum poskytující jednotný monitoring a dohled pro systémy e-Governmentu a další relevantní systémy.“. Tímto úkolem byly rovněž jako spolupracující subjekty pověřeny Ministerstvo obrany, Ministerstvo zahraničních věcí, Národní úřad pro kybernetickou a informační bezpečnost, Úřad vlády a zpravodajské služby. VDC je unikátní pracoviště typu SOC (Security Operations Center) v rámci státní správy, které zajišťuje v režimu 24/7 bezpečnostní monitoring a dohled nad přímo připojenými informačními systémy (dále jen „IS“) a okamžitou eskalaci v případě podezření na bezpečnostní událost nebo incident. U informačních systémů připojených v pasivním módu zajišťuje toto pracoviště pomoc s analýzou dodaných logů a poskytuje zpětnou informaci ke zjištěním. V obou případech poskytuje službu řízení bezpečnostního incidentu s vypracováním závěrečné zprávy z řešení incidentu a návrhu dalších opatření. Pokud je informační systém připojen pouze pasivně, dochází rovněž ke vzájemné výměně důležitých bezpečnostních informací, které mohou přispět k posílení bezpečnosti služeb poskytovaných VDC i bezpečnosti externího informačního systému, který dostává informace od VDC. Tato forma spolupráce, byť nedochází k reálnému monitoringu informačního systému, je velmi důležitá pro preventivní činnost a zabránění případné kompromitaci nebo útoku na informační systém, který není v přímé ochraně VDC, ale informace již je známá a je třeba ji v co nejkratší době z VDC doručit na koncové pracoviště řešící bezpečnostní dohled informačního systému. Stejně důležitý je i opačný proces, kdy informace vznikne mimo VDC a je na VDC doručena ve velmi krátké době kteroukoliv denní i noční hodinu. V tomto jsou pracoviště typu SOC velmi důležitá, protože mají přístup přímo k datům z logování IS, data z logů mohou investigovat přímo nebo i zpětně, a to kdykoliv potřebují, s daty pracují v reálném čase a jsou tak nejblíže k připojené organizaci a jejím datům, mohou přímo ochránit připojenou organizaci a případně i zastavit začínající nebo probíhající útok.
Kromě výše uvedených základních služeb poskytuje toto pracoviště i další (doplňkové) služby, které vhodně doplňují mozaiku toho, co je pro organizaci nebo IS důležité a VDC je schopné tuto potřebu díky svým schopnostem a znalostem za určitých podmínek uspokojit.
Díky splnění tohoto úkolu tak ve státní správě vzniklo unikátní, robustní bezpečnostní pracoviště, které má silné schopnosti v monitoringu bezpečnosti a detekci událostí a incidentů v reálném čase a je schopno nastartovat řešení incidentu v minimálním čase. Protože se jedná o pracoviště, které už díky své podstatě je připraveno sdílet své kapacity pro více IS a zákazníků, dochází zde k nezbytnému synergickému efektu a okamžité ochraně všech na základě jediné informace jednomu subjektu. Tím, že dochází ke sdílení kapacit mezi všechny připojené organizace, dochází zároveň k obrovským úsporám z rozsahu, protože není nezbytné budovat tyto sdílené schopnosti v každé organizaci, pořizovat HW a SW nezbytný pro vybudování takovéhoto specifického pracoviště, shánět odborníky pro toto pracoviště (na pracovním trhu je dlouhodobě nedostatek několika desítek tisíc odborníků na bezpečnost a nedaří se tento problém řešit. Naopak se jejich nedostatek každým rokem zvyšuje) a řešit otázku finančního ohodnocení těchto drahých odborníků ve státní správě (Ministerstvu vnitra se společně s NAKIT, s. p. podařilo nalézt a odzkoušet fungující model, jak tento problém dlouhodobě a udržitelně vyřešit).
Díky všem výše uvedeným bodům lze tak na úrovni státu ročně ušetřit desítky milionů korun za budování a provozování podobných pracovišť, pro jejichž provoz ale nebudou mít dostatek kvalifikovaných odborníků a finančních prostředků, a hrozí zde stav, kdy dojde ke zdání a pocitu bezpečnosti v organizaci, ale díky špatnému fungování a nastavení drahých nástrojů nebude bezpečnost dostatečně a dobře zajištěna a dojde ke kompromitaci s potenciálně až fatálními důsledky.
Z výše uvedených důvodů a na základě historie budování dohledového centra na Ministerstvu vnitra a NAKIT, s. p. až do úrovně VDC Ministerstvo vnitra připravilo návrh na legislativní ukotvení tohoto pracoviště jako dalšího prvku zajištění kybernetické bezpečnosti České republiky. Toto pracoviště tak vhodně doplňuje stávající strukturu a organizace, aniž by zasahovalo do jejich rolí a kompetencí. Naopak doplňuje tuto mozaiku o další, doposud nepokrytou schopnost státu, která zde dlouhodobě chyběla a vznikla jako výsledek vládního úkolu v Akčním plánu. Jelikož pro správné a efektivní fungování pracoviště tohoto typu je kritický čas a doba poskytnutí informace a její využití v nástrojích „v první linii“, Ministerstvo vnitra požaduje začlenění Vládního dohledového centra do všech nezbytných evropských struktur, aby došlo k co nejrychlejšímu poskytování bezpečnostně relevantních informací mezi podobnými pracovišti v rámci Evropské unie. Již v současné době, díky využívání nástrojů pro rychlé sdílení informací (např. MISP), je Dohledové centrum eGovernmentu schopno tuto výměnu informací po pracovní úrovni uskutečňovat národně nebo i mezinárodně. O spolupráci s VDC již zároveň, díky zapojení odborníků tohoto pracoviště do různých projektů, programů a pracovních skupin (například TAIEX nebo technologická pracovní skupina pod VKZBP MZV ČR), je velký zájem i z jiných států, se kterými Česká republika navazuje nebo chce navázat úzkou spolupráci.
Na základě uvedeného požadujeme:
1. V § 2 na konci odstavce 2 doplnit písmeno l), které zní:
„l) Vládním dohledovým centrem bezpečnostní dohledové centrum státu.“.
2. V § 27 doplnit odstavec 3, který zní:
„(3) Strategicky významnou službou je dále regulovaná služba stanovená u poskytovatele regulované služby v režimu vyšších povinností rozhodnutím Bezpečnostní rady státu na návrh Výboru kybernetické bezpečnosti v případě, že by narušení bezpečnosti informací regulované služby mohlo způsobit mimořádně závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek.“.
3. V § 34 za odstavec 2 vložit nový odstavec 3, který zní:
„(3) Poskytovatel strategicky významné služby podle § 27 odst. 3 je povinen připojit strategicky významné služby v rozsahu kritické části stanoveného rozsahu na Vládní dohledové centrum.“.
U stávajících odstavců 3 až 5 pak navrhujeme upravit číslování na 4 a 6.
Dále pak ve stávajícím odstavci 3 požadujeme za slova „podle § 27 odst. 2“ doplnit slova „a 3.“.
4. V Hlavě V, dílu 1 požadujeme doplnit § 44, který zní:
㤠44
Provozovatel Vládního dohledového centra
(1) Provozovatelem Vládního dohledového centra je Ministerstvo vnitra.
(2) Provozovatel Vládního dohledového centra poskytuje služby Vládního dohledového centra a provádí následující činnosti:
a) provozuje komunikační a kontaktní centrum pro zajištění svých služeb,
b) provádí bezpečnostní monitoring, detekci, analýzu a klasifikaci kybernetických bezpečnostních událostí a incidentů,
c) zajišťuje a koordinuje okamžitou reakci na kybernetické bezpečnostní incidenty,
d) provádí hledání hrozeb v kybernetickém prostoru,
e) připravuje návrhy preventivních i následných opatření v reakci na hrozby nebo řešení kybernetických bezpečnostních incidentů,
f) poskytuje bezpečnostní zpravodajství,
g) poskytuje podporu pro manažera kybernetické bezpečnosti,
h) podílí se na výzkumu a vývoji kybernetických bezpečnostních nástrojů a řešení,
i) spolupracuje s orgány a osobami působícími v oblasti kybernetické bezpečnosti,
j) plní roli CSIRT týmu podle příslušného předpisu Evropské unie a podílí se na fungování mezinárodních uskupení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
k) prioritizuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích, dostupných kapacitách a parametrech poskytovaných služeb.
(3) Provozovatel Vládního dohledového centra může poskytovat i další služby související se zajištěním kybernetické bezpečnosti.“.
Tyto připomínky považuje ministerstvo za zásadní.
K § 16 odst. 4:
Lhůtu 1 roku považujeme za nepřiměřeně dlouhou s ohledem na možnou rychlost napadení a rozsah dopadů, a proto ji navrhujeme zkrátit.
Tuto připomínku považuje ministerstvo za zásadní.
K § 17 odst. 3:
Ustanovení § 16 návrhu stanoví povinnost hlášení kybernetických bezpečnostních incidentů v režimu vyšších povinností Národnímu úřadu pro kybernetickou a informační bezpečnost (dále také jen „Úřad“). V návrhu zákona však zcela chybí povinnost Úřadu informovat orgány činné v trestním řízení, které mohou predikovat, že kybernetický bezpečnostní incident je z 95 % trestným činem (na rozdíl od kybernetické bezpečnostní události). S ohledem na zkušenosti v této oblasti považujeme za vhodné, aby Úřad měl v zákoně taktéž zakotvenou povinnost vyplývající z § 8 trestního řádu. Tuto povinnost považujeme za zásadní, neboť jen tak bude možné zahajovat včas úkony trestního řízení a zároveň provádět zajišťovací úkony tak, aby bylo možné procesovat další úklony (například evropský vyšetřovací příkaz). V minulosti se staly případy, kdy Úřad byl informován, ale orgány činné v trestním řízen se o kybernetickém útoku dozvěděly z médií či jiných zdrojů, tedy dodatečně a s časovým odstupem.
Dle našeho názoru se touto úpravou odstraní stálá diskuze, jak dalece chránit práva oznamovatelů trestné činnosti v rámci kybernetického prostoru. Jelikož jsou v návrhu zákona široce upravovány povinnosti subjektů provozující regulované služby, a to včetně stanovených sankcí, je vhodné zajistit i další přenos informací tak, aby v rámci naplnění účelu předmětného zákona byl reálně zahájen proces zajištění vnitřní bezpečnosti (tedy zahájení prověřování či vyšetřování trestného činu). Zde se lze odkázat na § 5 návrhu, ve kterém jsou uvedeny dopady, které jednoznačně představují předmět zájmu orgánů činných v trestním řízení, tedy dopad na veřejnou bezpečnost nebo veřejné zdraví, přeshraniční dopady kybernetického bezpečnostního incidentu a zejména ohrožení života a zdraví, majetkových hodnot nebo životního prostředí. Jedině orgán činný v trestním řízení má oprávnění konat dle trestního řádu či zákona o mezinárodní justiční spolupráci ve věcech trestních a Úřad je v této souvislosti pouze v postavení správního orgánu. Urychlené informování orgánu činného v trestním řízení je jedním ze základních principů rychlé reakce v rámci řešení kybernetického bezpečnostního incidentu a při zajišťování stop a důkazních prostředků.
Návrh zákona dále uvádí, že úřad předává bez zbytečného odkladu informace o kybernetickém bezpečnostním incidentu s významným dopadem, které se týkají dvou nebo více členských států, dotčeným členským státům a Agentuře Evropské unie pro kybernetickou bezpečnost [§ 41 odst. 5 písm. k)], čímž se paradoxně může stát, že část Evropy bude mít informace ke kybernetickému útoku na citlivý systém v České republice (a na systémy dotčených států), ale orgány činné v trestním řízení České republiky tuto informací neobdrží včas, aby mohly koordinovat úkony trestního řízení (např. v oblasti urychleného uchování dat na zahraničních útočících serverech). Zároveň je Úřad povinen předávat informace o oznámených kybernetických incidentech Agentuře Evropské unie pro kybernetickou bezpečnost (byť v anonymizované formě), tudíž považujeme za logické, že o incidentech by měly být informovány i orgány činné v trestním řízení na národní úrovni.
Na základě uvedeného požadujeme na konci textu § 17 odst. 3 písm. a) doplnit slova „, přičemž Úřad nebo Národní CERT bez zbytečného odkladu oznámení postoupí orgánům činným v trestním řízení k prověření podezření ze spáchání trestného činu“.
Tuto připomínku považuje ministerstvo za zásadní.
K § 28 odst. 1:
1. Máme za to, že na základě § 28 odst. 1 návrhu zákona se Úřad de facto staví do pozice zpravodajské služby, neboť může shromažďovat informace a data ke kterékoliv osobě či společnosti, které by se týkala možná hrozba pro bezpečnost České republiky, vnitřní či veřejný pořádek. Úřad je primárně správním orgánem a má vyhodnocovat konkrétní rizika, která mohou nastat v rámci dodávky technologie, jež by mohla poškodit zájmy České republiky.
Na základě uvedeného navrhujeme text § 28 odst. 1 upravit takto: „Úřad shromažďuje a vyhodnocuje informace a data spojené s orgánem či osobou, které se týkají možné hrozby pro bezpečnost České republiky, vnitřní či veřejný pořádek nebo v rámci prověřování kritérií rizikovosti dodavatele.“.
2. Slovní spojení „orgánem nebo osobou“ navrhujeme upřesnit. Doporučujeme například zavedení legislativní zkratky, neboť se toto slovní spojení objevuje též na dalších místech návrhu (např. § 56 odstavec 1, § 63 odstavec 2 atd.) a působí jako legislativní zkratka, která však v návrhu zavedena není, a není tak zřejmé, o jaké orgány se jedná.
Tyto připomínky považuje ministerstvo za zásadní.
K § 29 odst. 2:
Podle § 29 odst. 2 návrhu má mj. policie povinnost poskytnout Úřadu na jeho žádost za účelem výkonu činnosti podle § 28 odst. 1 informace nebo jinou součinnost, a to bez zbytečného odkladu, nejpozději však do 30 dnů. Z důvodové zprávy k návrhu zákona vyplývá, že se bude jednat především o poskytnutí informací, kterými policie již disponuje, nicméně není vyloučena ani možnost aktivního zjišťování potřebných informací. Stejná povinnost je uvedeným ustanovením stanovena mimo jiné i zpravodajským službám České republiky, avšak podle § 69 odst. 3 návrhu zákona pouze za předpokladu, že tomu nebrání zvláštní předpis (např. zákon o zpravodajských službách) nebo zákonná či státem uznaná povinnost mlčenlivosti. Při poskytování informací nebo součinnosti podle § 29 odst. 2 rovněž není dotčena povinnost mlčenlivosti advokáta podle právního předpisu upravujícího výkon advokacie (viz odstavec 4).
Dle našeho názoru, vyhovění žádosti podle § 29 odst. 2 návrhu by v rámci činnosti policie, v určitých případech, mohlo ohrozit či zmařit účel trestního řízení. Zajišťování kybernetické bezpečnosti České republiky je nepochybně ve společenském zájmu, ale stejně tak je tomu i u trestního řízení, potažmo stíhání trestních činů. Nehledě na skutečnost, že u řady vedených trestních řízení si výhradní právo na poskytování informací vyhrazuje sám dozorující státní zástupce podle § 8a odst. 3 trestního řádu, a tedy policejní orgán je oprávněn poskytovat informace jen po jeho předchozím souhlasu. Dle našeho názoru je zde patrný nesoulad v možnosti odmítnutí součinnosti dle jiných právních předpisů u policie, tak jak je to umožněno zpravodajským službám.
Navrhujeme, aby byla do návrhu včleněna možnost, aby policie mohla posoudit, zda vyhovění požadavku Úřadu nemůže ohrozit či zmařit účel trestního řízení, a v takových případech mu nevyhovět, vyhovět pouze v omezeném rozsahu nebo požadavku Úřadu vyhovět v jiné lhůtě, než se kterou kalkuluje návrh zákona. V úvahu připadá například situace, kdy policie, ačkoli byla požádána o součinnost Úřadem, nejprve zajistí věci důležité pro trestní řízení a eventuelně provede další nezbytné úkony a poté vyhoví požadavku úřadu, a to v případě, že by opačný postup mohl ohrozit či zmařit účel trestního řízení.
Vzhledem k tomu, že § 29 odst. 2 návrhu se týká i Nejvyššího státního zastupitelství, navrhujeme zvážit rozšíření této možnosti i na uvedené státní zastupitelství.
Na základě uvedeného navrhujeme v § 29 doplnit odstavec 5, který zní:
„(5) Pokud by vyhověním žádosti Úřadu podle odstavce 2 došlo k ohrožení či zmaření účelu trestního řízení, Policie České republiky jí nevyhoví, vyhoví pouze částečně, nebo poskytnutí informace nebo jiné součinnosti na nezbytně nutnou dobu odloží.“.
Tuto připomínku považuje ministerstvo za zásadní.
K § 30 odst. 1:
Navrhujeme slova „významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku“ nahradit slovy „významné ohrožení bezpečnosti České republiky, vnitřního či veřejného pořádku nebo kritické infrastruktury“.
Pojem kritická infrastruktura, jak je definován v zákoně o krizovém řízení („prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, narušení, jehož funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu“) vhodně rozšiřuje hodnoty, které by měly být na základě § 30 a následujících ustanovení chráněny.
Tuto připomínku považuje ministerstvo za zásadní.
K § 30 odst. 2 a 3:
Požadujeme upravit mechanismus projednání opatření obecné povahy tak, že návrh opatření obecné povahy bude předkládám v navrhovaném režimu (pro informaci/k projednání dle současného rozdělení) vládě České republiky, a nikoliv Bezpečnostní radě státu.
Nepovažujeme za vhodné zavádět mechanismus projednání návrhu opatření patření obecné povahy ze strany Bezpečnostní rady státu. Bezpečnostní rada státu se návrhy opatření obecné povahy zpravidla nezabývá a pravidelně se schází pouze s frekvencí přibližně 6x ročně. Oproti tomu se vláda schází každý týden a návrhy opatření obecné povahy projednává (viz např. § 11 odst. 1 zákona o ochraně státních hranic České republiky). Pokud by projednání opatření obecné povahy mělo čekat na běžné jednání Bezpečnostní rady státu, může dojít k jeho významnému zpoždění. Pokud by kvůli projednání opatření obecné povahy mělo být svoláno mimořádné jednání Bezpečnostní rady státu, je tento postup zbytečně administrativně náročný pro všechny zapojené subjekty. Zároveň považujeme vládu České republiky za vhodnější fórum pro posouzení takto závažného rozhodnutí.
Tuto připomínku považuje ministerstvo za zásadní.
K § 30 odst. 4:
Navrhujeme lhůtu pro přezkum prodloužit ze 3 na 4 roky. Lze předpokládat zvýšenou zátěž všech zainteresovaných subjektů, zejména na začátku a konci daného období.
Tuto připomínku považuje ministerstvo za zásadní.
K § 31:
Požadujeme doplnit odstavec 5, který zní:
„(5) Žádost podle odstavce 2 lze znovu podat nejdříve po uplynutí 2 let od právní moci rozhodnutí o zamítnutí žádosti o poskytnutí výjimky.“.
Návrhem se minimalizuje riziko zahlcení úřadu a součinnostních subjektů.
Tuto připomínku považuje ministerstvo za zásadní.
K § 38:
Domníváme se, že je nezbytné jasně vymezit vztah mezi stavem kybernetického nebezpečí a krizovými stavy tak, aby nedocházelo k nejasnostem v kompetencích při samotném řešení události či incidentu. Je tedy třeba zohlednit skutečnost, že stav kybernetického nebezpečí se bude využívat pro řešení událostí, jejichž rozsah nemá takovou intenzitu, aby bylo třeba vyhlašovat krizový stav (k vyhlášení nouzového stavu se přistupuje až v případě, kdy není možné vzniklé ohrožení odvrátit v rámci stavu kybernetického nebezpečí). Současné znění však stav kybernetického nebezpečí užitými slovními spojeními (zachování ústavnosti, svrchovanosti a územní celistvosti) staví téměř na roveň stavu ohrožení státu.
Navrhujeme text § 38 upravit následovně:
㤠38
Stav kybernetického nebezpečí
Stav kybernetického nebezpečí lze vyhlásit v případě, kdy je značně ohrožena nebo narušena bezpečnost, dostupnost nebo integrita informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo zachování hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí, a nebyl pro řešení této situace vyhlášen nouzový stav, nebo stav ohrožení státu.“.
Tuto připomínku považuje ministerstvo za zásadní.
K § 39 odst. 1:
Návrh zásadně prodlužuje časového období, na které je možné vyhlásit stav kybernetického nebezpečí. Dle současné úpravy (§ 21 odst. 3) lze vyhlásit stav kybernetického nebezpečí nejvýše na 7 dnů. Uvedenou dobu může ředitel Úřadu prodloužit, ale souhrnná doba trvání vyhlášeného stavu kybernetického nebezpečí nesmí být delší než 30 dnů. Aktuálně je navrhováno toto časové období prodloužit až na 30 dnů s možností prodloužení se souhlasem vlády na v podstatě neomezenou dobu. Fakticky se tak jedná o přiblížení úpravy krizovým stavům v krizovém zákoně, s čímž je v zásadě možné souhlasit.
Požadujeme však v důvodové zprávě dostatečně zdůvodnit, čím je tato změna opodstatněna, zejména s ohledem na nově definovaná opatření ředitele Úřadu uvedená v § 40.
Tuto připomínku považuje ministerstvo za zásadní.
K § 39 odst. 4:
Krizovými opatřeními mohou být pouze taková opatření, která jsou přímo uvedena v zákoně č. 240/2000 Sb., o krizovém řízení, ve znění pozdějších předpisů, konkrétně v § 6, § 7 a § 14. Nelze za ně tak považovat opatření, která byla vyhlašována za stavu kybernetického nebezpečí podle zákona o kybernetické bezpečnosti. Zároveň nepovažujeme za žádoucí „mechanicky ukončovat“ platnost opatření (vyhlášených ředitelem Úřadu za stavu kybernetického nebezpečí) vyhlášením nouzového stavu. Jedná se o „specifická“ opatření, která mohou být v platnosti i za krizových stavů, případně i po jejich skončení – viz opatření u jiných specifických stavů (opatření povodňových komisí, mimořádná veterinární opatření apod.).
Navrhujeme z § 39 odstavec 4 poslední větu vypustit.
Tuto připomínku považuje ministerstvo za zásadní.
K § 40 odst. 1:
V § 40 je třeba rozlišovat intenzitu zásahu do práv soukromých subjektů a rozlišovat tak mezi opatřeními, která je oprávněn vyhlašovat ředitel Úřadu, a těmi, která vyhlašuje vláda jako krizová opatření. Intenzita navržených opatření překračuje účel stavu kybernetického nebezpečí a svým rozsahem se dostává do roviny krizových opatření.
1. V odstavci 1 písm. a) je stanoveno, že „Ředitel Úřadu je v době stavu kybernetického nebezpečí za účelem jeho řešení oprávněn poskytnout věcné prostředky v majetku České republiky, které má v užívání Úřad, a které jsou nezbytné k řešení kybernetického bezpečnostního incidentu, nebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem.“. Požadujeme upravit ustanovení tak, aby jednoznačně směřovalo k poskytnutí věcných prostředků pouze osobám, které se podílejí na řešení kybernetického bezpečnostního incidentu či zabezpečení aktiv apod. Zákon nedefinuje, komu může ředitel Úřadu prostředky poskytnout, což nepovažujeme za vhodné. Lze doporučit alespoň obecné vymezení okruhu osob, např. poskytovatel regulované služby, jeho dodavatel, osoba postižená bezpečnostním incidentem, osoby, které se podílejí na řešení kybernetického bezpečnostního incidentu nebo zabezpečení aktiv. Na navrženém vymezení osob doslovně netrváme, lze zvolit i jinou množinu oprávněných osob.
2. V odstavci 1 písm. a) je rovněž nezbytné blíže specifikovat nakládání s těmito prostředky (zda se vrací, zda jde o užití za náhradu apod.). Příkladem může být nakládání s pohotovostními zásobami podle zákona č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy.
3. Opatření uvedené v odstavci 1 písm. b) je příliš široké, neboť umožňuje Úřadu vyžadovat téměř jakékoliv informace od kohokoliv, a je tak žádoucí jeho konkretizace ve vztahu k řešení kybernetického incidentu, případně ve vztahu k ostatním opatřením, která lze za stavu kybernetického nebezpečí vyhlásit.
4. U opatření v odstavci 1 písm. c) je nutné doplnit normativní text o možnost odmítnutí poskytnutí personálních kapacit nebo věcných prostředků z objektivních příčin (například zdravotní indispozice).
5. V případě opatření podle odstavce 1 písm. d) chybí upřesnění, co se rozumí prací v pohotovostním režimu a komu je ředitel Úřadu práci v tomto režimu oprávněn nařídit. Požadujeme tedy tento termín upravit tak, aby odpovídal již existujícím institutům a vhodně na jejich úpravu v jiném zákoně odkazoval, případně zavést v zákoně jeho jednoznačnou definici, pokud se má jednat o nový institut. Zákoník práce upravuje v § 95 pracovní pohotovost. Dále zákon o krizovém řízení zná pracovní povinnost a pracovní výpomoc [§ 2 písm. d) a e)], které nařizuje vláda, respektive hejtman [§ 6 odst. 1 písm. c), § 14 odst. 4 písm. a)]. Žádný z těchto zákonů však nezná pojem „pohotovostní režim“, tento pojem není upřesněn ani v důvodové zprávě. Domníváme se, že se jedná o nepřesné pojmenování jednoho z výše uvedených režimů.
6. U opatření v odstavci 1 písm. h) chybí upřesnění, o jaké neveřejné komunikační sítě se jedná. Pokud by mělo jít i o komunikační sítě provozované Ministerstvem vnitra pro potřeby integrovaného záchranného systému, za účelem zamezení ohrožení činnosti složek integrovaného záchranného systému by měla pro tento případ být v zákoně uvedena výjimka.
Navrhujeme ustanovení upravit v souladu s uvedeným.
Tyto připomínky považuje ministerstvo za zásadní.
K § 41 odst. 4:
V ustanovení se objevuje sousloví „síť CSIRT“, aniž by však zkratka „CSIRT“ byla legislativně definována.
Navrhujeme proto v návrhu definovat zkratku „CSIRT“.
Tuto připomínku považuje ministerstvo za zásadní.
K § 42 odst. 2 a § 48 odst. 2:
Podle uvedených ustanovení má zájemce/žadatel předložit potvrzení příslušných orgánů, např. Finanční správy ČR, příslušného finančního úřadu, výpis z Rejstříku trestů atd. V této souvislosti navrhujeme, aby si Úřad některé informace dohledal v rámci své úřední činnosti, a to poté, co zájemce udělí Úřadu souhlas s tímto dohledáním, a to z důvodu snížení byrokratické zátěže.
Tuto připomínku považuje ministerstvo za zásadní.
K § 56 a § 57:
Upozorňujeme, že bude-li se v daném případě aplikovat kontrolní řád, je třeba zohlednit možné riziko případného vzniku duplicitní právní úpravy spočívající v oprávnění ukládat opatření k odstranění nebo prevenci nedostatků zjištěných kontrolou, které upravuje § 19 kontrolního řádu.
Požadujeme se s touto otázkou vypořádat v důvodové zprávě.
Tuto připomínku považuje ministerstvo za zásadní.
K § 58 odst. 1 písm. p) a § 58 odst. 2 písm. p):
Podle uvedené skutkové podstaty se poskytovatel regulované služby v režimu vyšších povinností dopustí přestupku tím, že neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 57. Za totéž chování lze sankcionovat jakoukoliv osobu, tj. také poskytovatele regulované služby, podle odst. 6 písm. d). Požadujeme uvedené ustanovení vypustit tak, aby došlo k odstranění duplicitní skutkové podstaty přestupku.
Alternativně navrhujeme skutkovou podstatu vypustit z odstavce 6 a vložit ji do odstavce 7.
Obdobnou připomínku uplatňujeme rovněž k § 58 odst. 2 písm. p).
Tuto připomínku považuje ministerstvo za zásadní.
K § 62:
Upozorňujeme, že bude-li se aplikovat kontrolní řád, může vyvstat riziko vzniku duplicitní právní úpravy spočívající v úpravě přestupků, sankcí a správního trestání, které upravuje § 15 a § 17 kontrolního řádu.
Požadujeme se s touto otázkou vypořádat v důvodové zprávě.
Tuto připomínku považuje ministerstvo za zásadní.
K § 63:
Podle § 63 odst. 1 (věty první) návrhu jsou orgány veřejné moci povinny bez zbytečného odkladu, a nestanoví-li zvláštní předpis jinak, i bez úplaty poskytnout Úřadu podněty, informace a jiné formy součinnosti potřebné k výkonu pravomocí a za účelem splnění povinností Úřadu, které jsou stanoveny tímto zákonem. Zmíněný § 63 odkazuje na problematiku součinnosti, kdy nastává otázka legálnosti poskytnutí informací, které jsou součástí trestního řízení či jiné policejní činnosti (spisového materiálu). Samotné znění ustanovení je direktivní a nekoresponduje se současnou legislativní úpravou, a to právě vůči orgánům veřejné moci. V návaznosti na argumentaci k § 29 návrhu zákona navrhujeme § 63 odst. 1 doplnit o výjimku (resp. možnost potupovat v nezbytně nutné míře odlišně) pro orgány činné v trestním řízení.
Na konci textu § 63 odst. 3 tedy navrhujeme doplnit slova „; plnění těchto povinností mohou orgány činné v trestním řízení v nezbytně nutném rozsahu omezit nebo na nezbytně nutnou dobu odložit, pokud by poskytnutím součinnosti došlo k ohrožení či zmaření účelu trestního řízení“.
Tuto připomínku považuje ministerstvo za zásadní.
K § 66:
Navrhujeme do § 66 návrhu k výčtu informací, které jsou uchovávány odděleně mimo spis, přidat i ty, jež by mohly ohrozit či zmařit účel trestního řízení.
Navrhujeme toto znění § 66:
㤠66
Části písemností a záznamy, které obsahují utajované informace nebo informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření podle § 20, opatření obecné povahy podle § 30 nebo ohrozit či zmařit účel trestního řízení, uchovává Úřad v řízeních podle § 20, § 30 a § 31 odděleně mimo spis.“.
Tuto připomínku považuje ministerstvo za zásadní.
K Závěrečné zprávě z hodnocení dopadů regulace:
1. V části 3.1 shrnutí závěrečné zprávy RIA jsou vyhodnocovány dopady na státní rozpočet a ostatní veřejné rozpočty, avšak podle našeho názoru jde pouze o obecné konstatování a o velmi hrubé odhady předpokládaných dopadů. Ve shrnutí závěrečné zprávy RIA se mimo jiné na str. 4 uvádí, že k „zavedení mechanismu bezpečnosti dodavatelského řetězce je namístě podrobněji doplnit, že na poměry nových oblastí působnosti ústředního orgánu státní správy se očekává nízký dopad na státní rozpočet. Ve vztahu k návrhu zákona lze předpokládat především nutnost vyhrazení jednotek až nízkých desítek tabulkových míst u zapojených státních orgánů a rozšíření stávajících či připravovaných informačních systémů k technické obsluze procesu prověřování. V souladu s principem efektivity a cílem minimalizace ekonomických nákladů se bude maximálně využívat fungující synergie s již existujícími agendami a procesy, jakými jsou kupříkladu prověřování žadatelů o zápis do katalogu poskytovatelů služeb cloud computingu orgánům veřejné správy či prověřování zahraničních investorů podle zákona o prověřování zahraničních investic, a to včetně účelného využívání informačních systémů, které tyto agendy podporují. Dopady na státní rozpočet pak může mít také zvýšení nákladů poskytovatelů strategicky významné služby z řad veřejné správy.“
Vzhledem k obecnosti vyhodnocení zvýšených nároků na systemizovaná místa u povinných subjektů a s ohledem na skutečnost, že vstup zákona v účinnost i podle předkladatele bude znamenat potřebu navýšení tabulkových míst, žádáme o větší konkretizaci vyjádření dopadů na systemizovaná místa orgánů státní správy.
2. Návrh zákona mj. zavádí mechanismus prověřování bezpečnosti dodavatelských řetězců. Národní úřadu pro kybernetickou a informační bezpečnost pak může vydat opatření obecné povahy, kterým zakáže nebo omezí plnění bezpečnostně relevantních dodávek poskytovatelům strategicky významných služeb. Takový zákaz představuje možný zásah do práva podnikat a provozovat jinou hospodářskou činnost a do vlastnického práva. Tato otázky byla předmětem rozsáhlých diskusí s komerčním sektorem, když Ministerstvo vnitra s ohledem na záměr budovat tzv. virtuálního operátora veřejné správy bude touto regulací dotčeno obdobně jako komerční provozovatelé 5G sítí. NÚKIB přitom odhaduje, že až 75 poskytovatelů strategicky významné služby budou soukromé subjekty. Vzhledem k takto vysokému počtu regulovaných subjektů s možnou zahraniční majetkovou účastí a s povahou zásahu do jejich práv navrhujeme doplnit závěrečnou zprávu hodnocení dopadů regulace o část, která vyhodnotí rizika spočívající s uplatněním nároků dotčených subjektů podle mezinárodních dohod o ochraně investic.
Tyto připomínky považuje ministerstvo za zásadní.
Doporučující připomínky:
Obecně k návrhu:
Dáváme ke zvážení, zda by s ohledem na skutečnost, že § 40 obsahuje omezení práv osob, nebylo vhodné do návrhu doplnit úpravu poskytování případných náhrad (za poskytování osobní či věcné pomoci, škod apod.).
K § 5 písm. a) bodu 2:
Doporučujeme zvážit, zda pojem „veřejná bezpečnost“, byť je v právu běžně užívaný, odpovídá smyslu „regulované služby“, pro který byl zaveden.
Smyslu předkládaného návrhu by podle našeho soudu odpovídal více pojem „vnitřní bezpečnost“.
K § 29 odst. 1 a 2:
Doporučujeme upřesnit, od jakého okamžiku se navržené lhůty počítají.
K § 39 odst. 2:
Navrhujeme povinnosti, které jsou uloženy provozovateli celoplošného televizního nebo rozhlasového vysílání při vyhlášení stavu kybernetického nebezpečí, zahrnout do samostatného ustanovení, popřípadě do povinností právnických osob, neboť se domníváme, že by tento přesun zajistil lepší přehlednost v systematice předkládaného návrhu.
K § 40 odst. 2 písm. a):
Ustanovení § 40 odst. 2 doporučujeme upravit takto:
„a) provést opatření uvedené v odstavci 1,
b) strpět omezení vyplývající z opatření v odstavci 1,“
a stávající písmena b) až d) označit jako c) až e).
Původní návrh totiž ukládá orgánům a osobám povinnost plnit opatření za stavu kybernetického nebezpečí bez přímé vazby na konkrétní opatření uvedená v odstavci 1. Dále je doplněno nové písmeno b), které ukládá povinnost strpět omezení vyplývající z vyhlášených opatření.
K § 41 odst. 3 písm. v) a x), § 43, § 45 odst. 1 písm. f), § 53 odst. 3, § 54 odst. 1 písm. b) a c) a odst. 3 a 4, § 60 odst. 1 a 5 a § 61 odst. 1 a 5:
Navrhujeme v odůvodnění důvodové zprávy blíže rozvést, zda se pro účely jmenovaných ustanovení upravujících kontrolní činnosti Národního úřadu pro kybernetickou a informační bezpečnost a Stálé komise pro kontrolu činnosti Úřadu podle návrhu užije kontrolní řád, jakožto obecný procesní předpis pro oblast kontrol, nebo se uplatní jiná, zvláštní (speciální) úprava.
K § 42 odst. 5:
Navrhujeme větu poslední u návrhu odstranit, a to pro její normativně diskutabilní obsah. Z návrhu není jasné, jaký bude následek stavu, kdy provozovatel Národního CERT nezbytné náklady nevynaloží.
K tezím prováděcích právních předpisů:
1. V příloze dokumentu „Vyhláška o kritériích rizikovosti dodavatele“ navrhujeme v bodě 1. za slova „demokratický politický systém“ doplnit slova „nebo nejsou dodržována lidská práva a svobody“.
2. U přílohy dokumentu „Vyhláška o kritériích rizikovosti dodavatele“, kde jsou stanovena kritéria 1. až 3., upozorňujeme, že určení uvedených kritérií může být poměrně složité, v zájmu vyšší míry transparentnosti doporučujeme alespoň příkladem v odůvodnění uvést, o co se hodnocení bude opírat (např. zprávy a hodnocení vybraných mezinárodních organizací apod.).
3. V příloze dokumentu „Vyhláška o kritériích rizikovosti dodavatele“, navrhujeme v bod 8. zohlednit i vznik českého sankčního mechanismu podle zákona č. 1/2023 Sb. Dále lze doporučit zpřesnění, zda má jít o mezinárodní sankce v rámci organizací (např. OSN, EU) nebo i jiných států (např. USA). Dále upozorňujeme, že kritérium spočívající ve slovním spojení „či existuje vysoká pravděpodobnost, že na danou zemi budou tyto mezinárodní sankce uvaleny“ je velmi neurčité, proto jej navrhujeme vypustit.
4. V návrhu „Vyhlášky o kritériích rizikovosti dodavatele“, která byla Ministerstvu vnitra poskytnuta na jaře 2023 ke konzultacím, bylo uvedeno též kritérium dodavatele spočívající v „pravomocném odsouzení dodavatele pro trestný čin spáchaný ve spojitosti s předmětem podnikání nebo významně ohrožující bezpečnost nebo vnitřní či veřejný pořádek České republiky nebo jiných členských států Evropské unie, Evropského hospodářského prostoru, Severoatlantické aliance či Organizace pro hospodářskou spolupráci a rozvoj“. Ministerstvo vnitra navrhovalo, aby kritériem bylo již samotné zahájení trestního řízení, a doporučoval zvážit také zahrnutí pravomocných rozhodnutí o správních deliktech v oblasti ochrany utajovaných informací, ochrany osobních údajů, ochrany duševního a průmyslového vlastnictví apod. To vše v rozsahu, kterým může dané řízení/ odsouzení mít vliv nebo ohrozit bezpečnost státu či účel chráněný tímto zákonem. Z předkládaného návrhu není jasné, proč bylo dané kritérium v aktuálně překládaném návrhu vypuštěno. Navrhujeme zvážit jeho doplnění.
Připomínky legislativně technické a formálního charakteru:
K nadpisu návrhu:
Podle čl. 31 odst. 1 písm. b) Legislativních pravidel vlády doporučujeme za datem odstranit čárku.
K označení částí:
1. V souladu s čl. 25 odst. 2 písm. a) Legislativních pravidel vlády navrhujeme části neoznačovat tučně.
2. V případě části třetí pak dáváme na zvážení, zda by její nadpis neměl znít pouze „ZÁVĚREČNÉ USTANOVENÍ“.
K označení hlav:
Podle čl. 25 odst. 2 písm. b) Legislativních pravidel vlády doporučujeme označení hlav uvést malým písmem s velkým počátečním písmenem a zároveň označení hlav neuvádět tučně.
K označení Hlavy II a nadpisu § 71:
Upozorňujeme na duplicitní nadpis.
K označení paragrafů:
Počínaje § 2 navrhujeme v souladu s čl. 26 Legislativních pravidel vlády neoznačovat paragrafy tučně.
K § 12 odst. 2 písm. b), § 17 odst. 3 písm. b), 32 odst. 1 písm. a), § 41 odst. 3 písm. y) a § 52 odst. 2 písm. h):
Doporučujeme na koncích ustanoveních odebrat čárky umístěné před spojkami „a“.
K § 13 odst. 1 písm. b) a c):
Ve větě první doporučujeme text „písm.“ nahradit slovy „písmene“.
K § 18 odst. 4:
Upozorňujeme, že podle čl. 44 odst. 2 Legislativních pravidel vlády by legislativní zkratka neměla být složena z velkých písmen. Navrhujeme tedy rozepsání výrazu „NÚKIB“, případně úpravu, která bude korespondovat s požadavky Legislativních pravidel vlády.
K § 25 odst. 2:
Před slovem „zejména“ navrhujeme vložit čárku.
K § 30 odst. 3:
Navrhujeme slovo „písmene“ nahradit textem „písm.“.
K § 32 odst. 1 písm. b):
Doporučujeme slovo „písmena“ nahradit tvarem „písmene“, který je užíván v návrhu.
K § 34 odst. 3:
V ustanovení navrhujeme text „odst.“, který je uveden jako první, nahradit slovem „odstavcích“.
K § 35 odst. 1 písm. c) a § 36 odst. 2 písm. d) a f):
Upozorňujeme, že v legislativní praxi se neužívá pojem „e-mailová adresa“, ale pojem „adresa elektronické pošty“.
K § 41 odst. 4 písm. e):
Upozorňujeme na sníženou srozumitelnost první věty ustanovení.
K § 55 odst. 1 písm. j):
Doporučujeme zvážit užití dvojnásobného odkazu, kdy nejprve je odkazováno na § 44 odst. 2 a následně i na § 44 odst. 3. Z odkazů není zřejmý úmysl předkladatele.
K § 58 odst. 4 písm. b):
Doporučujeme za slovo „požadavky“ vložit slova „uvedenými v“.
K § 58 odst. 13:
Opětovně upozorňujeme na čl. 44 odst. 2 Legislativních pravidel vlády, podle nějž by legislativní zkratka neměla být složena z velkých písmen. Navrhujeme proto rozepsání výrazu „ENISA“, případně jeho úpravu, která bude korespondovat s požadavky Legislativních pravidel vlády.
K § 58 odst. 15 písm. b):
Navrhujeme umístit čárku za slovo „osobou“ a odebrat čárku za slovem „nebo“.
K § 62:
Máme pochybnost o systematickém zařazení daného ustanovení, neboť vztah ke kontrolnímu řádu je vymezen již v § 56 a ke správnímu řádu také v § 65.
K § 69 odst. 1 písm. a):
Slova „údajů podle odst. 2“ navrhujeme s odkazem na čl. 71 Legislativních pravidel vlády nahradit slovy „údajů podle odstavce 2“.
K § 71:
1. Jednotlivé odstavce přechodného ustanovení navrhujeme uvést do souladu s čl. 26 odst. 3 Legislativních pravidel vlády.
2. Současně doporučujeme ve všech odstavcích revidovat užívání interpunkce.
K § 72:
1. Za slovy „Zrušují se“ navrhujeme vložit dvojtečku.
2. Dále upozorňujeme, že je třeba samostatně zrušit i jednotlivé novely rušených právních předpisů (srov. čl. 52 odst 2 Legislativních pravidel vlády).
3. Doporučujeme rušené právní předpisy řadit podle data jejich publikace ve Sbírce zákonů.
K § 73:
Navrhujeme ustanovení věnované účinnosti označit jako část čtvrtou a adekvátně tomu upravit i nadpis.
K poznámkám pod čarou č. 5, 7, 8 a 10:
Navrhujeme uvést celý název citovaného předpisu. Dále upozorňujeme, že slovo „Nařízení“ není třeba psát s velkým počátečním písmenem.
Osoba pověřená k vypořádání připomínek:
Mgr. Vít Hambálek, e-mail: vit.hambalek@mvcr.cz, tel.: 974 817 373, mob.: +420 722 987 889
2
image1.jpeg