Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
ÚŘAD VLÁDY ČR
PŘIPOMÍNKY K MATERIÁLU S NÁZVEM:
Návrh zákona o kybernetické bezpečnosti
Resort
Připomínky
SÚJB
Připomínka:
K § 2 odst. 1 písm. d)
Zde doporučujeme rozdělit definici do dvou samostatných písmen. V navrhovaném znění se totiž v rámci jednoho písmene definují rovnou dva pojmy a to „technické aktivum“ i „technické a programové prostředky a vybavení“.
K § 2 odst. 2 písm. a)
V rámci tohoto písmene se definuje „kybernetický prostor“. Tím se dle návrhu zákona rozumí digitální prostředí tvořené aktivy umožňující vznik, výměnu a další zpracování informací a dat. „Aktiva“ jsou pak výše v § 2 odst. 1 písm. a) definována jako primární a podpůrná aktiva a dle § 2 odst. 1 písm. c) se podpůrnými aktivy rozumí například i zaměstnanci, dodavatelé či objekty. Definice tedy do digitálního prostředí vtahuje například i zaměstnance či objekty. To je minimálně z hlediska jazykového velmi zvláštní. Doporučujeme tedy ještě tuto definici nějakým způsobem zúžit nebo přepracovat. Chápeme, že aktivem může být prakticky cokoli relevantního, s čím je potřeba v rámci řízení kybernetické bezpečnosti počítat (a že se zaměstnanci či dodavateli, je potřeba v rámci řízení bezpečnosti informací také počítat), ale je otázka, zda je zařazení osob či objektů do definice kybernetického prostoru skutečně žádoucí. Dle důvodové zprávy to rovněž není zřejmé, jestli šlo v tomto případě o úmysl.
K § 4 odst. 1 a 2
V případě těchto dvou odstavců se dle našeho názoru zbytečně dubluje zmocnění k vydání prováděcího právního předpisu, když se v odst. 1 říká, že kritéria pro identifikaci regulované služby stanoví prováděcí právní předpis a poté i v odstavci 2 se obdobně stanoví (tentokrát však s ohledem na vypočtená odvětví), že prováděcí právní předpis stanoví kritéria pro identifikaci regulované služby. Tato duplicita ve výsledku vnáší do daného ustanovení mírný zmatek v tom, že není jasné, zda se v prováděcím právním předpise stanoví nějaká obecná kritéria a pak zvláštní pro jednotlivá odvětví nebo ne. Doporučujeme tedy ještě tato dvě zmocnění přeformulovat – například tak, že druhá věta v odstavci 1 bude bez náhrady smazána.
K § 5 písm. a)
Tento paragraf stanoví, co se dále rozumí regulovanou službou. Slovo „dále“ evokuje to, že se jedná o služby nad rámec těch stanovených podle § 4 a jeho prováděcího právního předpisu. To by bylo pochopitelné v případě, jak je to dále formulováno u § 5 písmen b) až d). Ustanovení § 5 však ale dále v písmeni a) říká, že má jít o službu uvedenou v prováděcím právním předpise stanovujícím kritéria pro identifikaci regulovaných služeb a pak je nutné splnit další podmínku uvedenou v bodech 1. až 4. Odůvodnění tuto problematiku osvětluje v poněkud jiném smyslu, když říká, že míří na orgány a osoby, které poskytují některou ze služeb uvedených v prováděcím právním předpisu, avšak nedosahují potřebné velikosti v souladu s doporučením Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků nebo nenaplňují jiné kritérium poskytovatele regulované služby stanovené prováděcím právním předpisem (zjednodušeně tedy na orgány a osoby, které nenaplní kritéria pro identifikaci regulované služby). Jsou-li naplněna tato speciální kritéria, může pak NÚKIB rozhodnout, že daná služba je regulovanou službou, byť by její poskytovatel nenaplnil kritéria poskytovatele regulované služby stanovená prováděcím právním předpisem. Toto pravidlo však v textu ustanovení chybí a pouze se stanoví, že jde o službu uvedenou v prováděcím právním předpise stanovujícím kritéria pro identifikaci regulovaných služeb, a navíc musí být splněna alespoň jedna z dále vyjmenovaných podmínek. Takováto služba by ale byla regulovanou službou již na základě § 4. Dle našeho názoru je tedy nutné přidat do návětí písm. a), že se jedná o subjekty, které nenaplňují některé kritérium dle prováděcího právního předpisu nebo nedosahují velikosti v souladu s doporučením Komise 2003/361/ES.
K § 16 odst. 6
V tomto odstavci se stanoví, že hlášením kybernetických bezpečnostních incidentů není dotčena informační povinnost podle jiného právního předpisu nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů. Není zcela jasné, o jaké ustanovení tzv. nařízení GDPR by se mělo jednat. Toto ustanovení tedy zakládá pochybnost, zda by v případě, že kterýkoliv zákon zřizuje informační povinnost nějakých svých regulovaných subjektů, měl explicitně stanovit, že touto informační povinností není dotčeno některé z ustanovení nařízení GDPR. Doporučujeme tedy tuto skutečnost blíže vysvětlit v důvodové zprávě nebo ze zákona tento odstavec bez náhrady vypustit.
K § 62
V rámci tohoto ustanovení doporučujeme zcela změnit nadpis. V navrhovaném znění nadpis zní: „Vztah ke správnímu a kontrolnímu řádu“. V textu tohoto paragrafu se však žádný vztah ke správnímu či kontrolnímu řádu neřeší (jako například § 262 daňového řádu). Ustanovení pojednává o pořádkové a donucovací pokutě. Navíc není z navrženého znění jasné, za co by se pořádková pokuta podle odstavce 1 měla udělovat. Doporučujeme tedy formulovat nadpis například takto: „Pořádkové a donucovací pokuty“ a dále alespoň stručně (jak je tomu například v odstavci 2) vymezit, k čemu se tato pořádková pokuta vztahuje. Například za závažné stěžování postupu Úřadu.
Závěr
Doporučujeme výše zmíněné připomínky zohlednit a do návrhu zákona o kybernetické bezpečnosti zapracovat.
V Praze dne 18. července 2023
Vypracoval:
JUDr. Eduard Klobouček, Ph.D.
eduard.kloboucek@sujb.cz
+420 221 624 212