Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
PŘIPOMÍNKY K MATERIÁLU S NÁZVEM:
„Návrh zákona o kybernetické bezpečnosti“
Resort
Připomínky
AV ČR
Úvod
K materiálu uplatňujeme následující připomínky:
Zásadní připomínka:
I. K materiálu jako celku, k dopadu navrhované úpravy na výzkumné organizace:
AV ČR navrhuje, aby výzkumné organizace provádějící pouze nebo převážně základní výzkum nebyly zařazeny mezi poskytovatele regulované služby.
Pokud takový návrh nebude akceptován, požaduje AV ČR, aby tyto organizace byly alespoň zařazeny mezi poskytovatele regulované služby v režimu nižších povinností.
Zdůvodnění:
K návrhu zákona o kybernetické bezpečnosti je navrhováno vydání šesti podzákonných prováděcích předpisů ve formě vyhlášek. Teprve tyto podzákonné právní předpisy fakticky určí okruh povinných osob, na které se nová právní úprava bude vztahovat, a rozsah povinností, který jim bude uložen.
Přestože jsou tyto podzákonné předpisy předkládány jako teze, považuje AV ČR za nezbytné se k nim vyjádřit z hlediska jejich dopadu na výzkumné organizace.
Konkrétně AV ČR upozorňuje na znění Vyhlášky o regulovaných službách, a to bodu 19 dosud nečíslované přílohy vyhlášky. V tomto bodě je jako regulovaná služba uveden výzkum a vývoj jako jednotná kategorie, aniž by byly dostatečně reflektovány formy výzkumu prováděného různými výzkumnými organizacemi, jeho strategický význam a povaha výzkumné instituce jako takové. Zároveň znění tohoto bodu způsobuje výkladové nejasnosti, když rozlišuje mezi „výzkumnými organizacemi jejímž hlavním cílem je provádět aplikovaný výzkum nebo experimentální vývoj za účelem využití tohoto výzkumu pro komerční účely“ a „jinými výzkumnými organizacemi“ s odkazem na seznam výzkumných organizací vedený MŠMT podle §33a zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje.
Vyhláška ve své příloze v bodě 19 nijak nezmiňuje výzkumné organizace zabývající se výlučně nebo převážně základním výzkumem. Takové instituce proto zřejmě budou spadat pod zbytkový pojem „jiné výzkumné organizace“ a tedy do režimu vyšších povinností, protože jsou obvykle financovány z veřejných zdrojů z více než 50 %. V prostředí Akademie věd ČR to znamená, že režimu vyšších povinností by se musela podřídit pracoviště, která jsou spíše menší velikosti, pro zajištění požadovaných opatření nedisponují dostatečným finančním ani personálním vybavením, a přitom se zabývají pouze nebo převážně základním výzkumem, který nemá povahu citlivé výzkumné činnosti a jeho dopad na ekonomiku a strategické zájmy státu není zásadní. To není souladné s bodem (15) preambule, který uvádí, že zařazení jednotlivých subjektů do příslušné kategorie (základní nebo důležitý subjekt) by mělo přihlížet ke kritické míře důležitosti a odlišení jednotlivých režimů (vyšších a nižších povinností) má zajistit spravedlivou vyváženost mezi rizikem na jedné straně a správní zátěží na straně druhé.
Směrnice NIS 2 v bodu (36) preambule uvádí, že výzkumné organizace by měly být chápány tak, že zahrnují subjekty, které se v podstatné části svých činností zaměřují na provádění aplikovaného výzkumu nebo experimentálního vývoje ve smyslu Frascati manuálu z roku 2015 vypracovaného Organizací pro hospodářskou spolupráci a rozvoj (OECD).
V článku 6 bod (41) směrnice NIS 2 je pak výzkumná organizace definována jako subjekt, jehož hlavním cílem je provádět aplikovaný výzkum nebo experimentální vývoj za účelem využití výsledků tohoto výzkumu pro komerční účely, který ovšem nezahrnuje vzdělávací instituce.
Z výše uvedeného vyplývá, že směrnice NIS 2 směřuje v oblasti výzkumu pouze na instituce provádějící aplikovaný výzkum nebo experimentální vývoj, zatímco instituce provádějící pouze nebo převážně základní výzkum z regulace vyjímá.
Implementující předpis tedy v tomto případě nepřevzal definici povinného subjektu tak, jak ji vymezila směrnice NIS 2, ale významně tento okruh rozšířil. To je z hlediska požadavků unijního práva samozřejmě možné, je ale třeba hodnotit přiměřenost takového opatření. Ostatně v bodě (77) preambule se uvádí, že by měla být prosazována a rozvíjena kultura řízení rizik zahrnující posuzování rizik a provádění opatření k řízení kybernetických bezpečnostních rizik úměrných hrozícím rizikům.
Obdobný, důraznější požadavek je obsažen v bodech (81) a (82) preambule:
„… aby se zabránilo nepřiměřené finanční a administrativní zátěži pro základní a důležité subjekty, měla by být opatření k řízení kybernetických bezpečnostních rizik úměrná rizikům, kterým jsou dotčená síť a informační systém vystaveny“, a
„… opatření k řízení kybernetických bezpečnostních rizik by měla být úměrná míře vystavení základního nebo důležitého subjektu rizikům a společenskému a ekonomickému dopadu, který by měl incident. Při zavádění opatření by měla být náležitě zohledněna rozdílná expozice základních a důležitých subjektů rizikům, jako je kritičnost subjektu, rizika, včetně společenských rizik, jimž je vystaven, velikost subjektu a pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského a ekonomického dopadu.“
V souladu s článkem 21 mají členské státy zajistit, aby povinné subjekty přijaly vhodná a přiměřená opatření, která odpovídají existující míře rizika. Při posuzování přiměřenosti těchto opatření má být náležitě zohledněna míra vystavení subjektu rizikům, pravděpodobnosti výskytu incidentů, jejich závažnosti a případnému společenskému a ekonomickému dopadu.
Na řadu výzkumných organizací však navrhovaná právní úprava dopadá způsobem, který v žádném případě nelze považovat za přiměřený. Příkladem může být Slovanský ústav AV ČR, v. v. i., který v roce 2022 zaměstnával pouhých 36 pracovníků, resp. 32,49 FTE, z čehož 26,74 FTE představují vysokoškolsky vzdělaní pracovníci výzkumných útvarů. Slovanský ústav AV ČR, v. v. i., se zaměřuje na výzkum v oblasti slavistických disciplín paleoslovenistiky, byzantologie, gramatické a lexikální struktury slovanských jazyků, dějin a teorie slovanských literatur v evropském kontextu, dějin meziválečné emigrace z bývalého Ruského impéria na území ČSR a dějin slavistiky. Případný kybernetický incident by mohl v nejhorším případě omezit činnosti ústavu na několik dní.
Důvodová zpráva uvádí, že výše nákladů na zavedení a následné provádění bezpečnostních opatření se předpokládá ve výši mezi 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému. Zároveň se nejedná o náklady jednorázové, další bude třeba každoročně vynakládat na udržování a revizi systému. Režim vyšších povinností zároveň představuje extrémní administrativní zátěž vyžadující potřebnou personální kapacitu. Opatření, která musí poskytovatel regulované služby v režimu vyšších povinností přijmout, jsou v poměru k hrozícím rizikům v tomto případě mimořádně nepřiměřená. Podobných případů lze přitom jen ve struktuře AV ČR najít celou řadu.
V situaci, kdy je usilováno o snižování strukturálního deficitu státního rozpočtu a uvažuje se o snižování výdajů na vědu a výzkum, tak nový předpis nutí výzkumné organizace zavádět opatření, která jsou finančně velmi náročná, a ochrana jimi zamýšlená je přitom nepřiměřená aktivům, které jsou předmětem této ochrany.
Pokud tedy nová právní úprava zahrne do regulace i výzkumné organizace provádějící základní výzkum, čistě podle kritéria veřejného financování, jedná se o opatření, které je neproporcionální a nehospodárné.
AV ČR proto navrhuje, aby výzkumné organizace provádějící pouze nebo převážně základní výzkum nebyly zařazeny mezi poskytovatele regulované služby. Pokud takový návrh nebude akceptován, požaduje AV ČR, aby tyto organizace byly alespoň zařazeny mezi poskytovatele regulované služby v režimu nižších povinností.
Tato připomínka je zásadní.
Závěr:
Vzhledem k závažnosti uvedené připomínky požadujeme, aby tato připomínka byla vzata na zřetel při dopracování materiálu.
V Praze dne 18. července 2023
2