Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                STANOVISKO K MATERIÁLU S NÁZVEM:

Návrh zákona o kybernetické bezpečnosti

(naše čj. MZE-39284/2023-11192)


	Resort
	Stanovisko

	
Ministerstvo zemědělství
	
Zásadní připomínky

1)
Požadujeme vyhodnotit proveditelnost nastavených povinností ukládaných poskytovatelům regulované služby, např. upřesnit jaké informace o dodavatelích významných dodávek, jak v rámci veřejných zakázek nastavit bezpečnostní opatření z varování nebo opatření obecné povahy, bez úpravy v rámci zákona o veřejných zakázkách. Popisy různých rozsahů regulované služby jsou roztříštěné a neuspořádané, kritéria pro určení nejednoznačná. Dosud zůstává nevyřešeno rozhraní povinností subjektu kritické infrastruktury a poskytovatele strategicky významné služby. Ministerstvo zemědělství žádnou kritickou informační infrastrukturu ani základní službu neposkytuje a přesto je určeno subjektem kritické infrastruktury. Ve změně zákona č. 34/2021 Sb. je v § 7 písm. c) uvedeno: „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby“ se nahrazují slovy „poskytovatelem strategicky významné služby“.  

2) K § 2 vymezení pojmů
Požadujeme definovat všechna pojmosloví, která jsou uvedena pod jinými paragrafy předloženého návrhu (např. dodavatel bezpečnostně významné dodávky, bezpečnostně významná dodávka (§ 32), nepominutelné funkce stanoveného rozsahu, kritické části stanoveného rozsahu (§ 28) a další.

Požadujeme definovat slovní spojení „významný dopad“, který je citován v § 5, § 16 – 19. Je potřeba vymezit jak dlouho bude služba nedostupná, aby se jednalo o významný dopad, v jakém rozsahu bude narušena důvěrnost nebo integrita.

Požadujeme přesnější definici regulované služby podle písm. e), neboť její určení je zásadní pro další postup pro řízení kybernetické bezpečnosti. Je potřeba vymezit „důležité společenské činnosti“, jedná se o vágní slovní spojení. 

Definice řízení kybernetické bezpečnosti podle písm. g), které se týká regulované služby, tedy omezeného rozsahu primárních aktiv, není v souladu s rozsahem řízení kybernetické bezpečnosti podle § 13, které zahrnuje primární aktiva celé organizace, tedy nejsou-li definovaná aktiva regulované služby, týká se řízení kybernetické bezpečnosti celé organizace, tedy zajištění kybernetické bezpečnosti všech primárních aktiv organizace. AR se musí dělat na všechna aktiva organizace nebo jen na aktiva regulované služby?     

Požadujeme upřesnit definici významného dodavatele podle odst. 2 písm. h) ve vztahu k dodavateli bezpečnostně významné dodávky podle § 28 odst. 3 písm. c), a to jak ve stanoveném rozsahu kybernetické bezpečnosti, tak v rozsahu aktiv týkajících se regulované služby nebo organizace jako celku. Měl předkladatel na mysli, že významný dodavatel je dodavatelem služeb nebo ICT produktů k zajištění provozu alespoň jedné regulované služby v režimu vyšších povinností nebo k zajištění strategicky významné služby? 

3) K § 4 odst. 2 
Uvedené ustanovení zakotvuje oblasti, pro které prováděcí právní předpis stanoví kritéria pro identifikaci. 

Zahrnut je též potravinářský průmysl a vodní hospodářství. Požadujeme potvrdit, že uvedené vymezení odpovídá směrnici (CELEX 32022L2555). Návrh uvádí „potravinářský průmysl“ a „vodní hospodářství", směrnice hovoří o výrobě, zpracování a distribuci potravin. Není pojem „potravinářský průmysl"   širší? Stejná připomínka platí pro oblast vody, kdy směrnice uvádí odvětví „pitné vody" a „odpadní vody", nikoli „vodní hospodářství“, jak navrhuje předložený zákon. 

Dále směrnice odkazuje na střední podniky a větší a je tedy potřeba prověřit, zda i zákon, respektive prováděcí předpisy, budou odkazovat jen na tyto kategorie (teze vyhlášky odkazují na velké a střední podniky).

4) K § 5 
Požadujeme definovat systémová rizika uvedená v písm. a) bod 3. 

5) K § 5, písm. c)
Nutno ujasnit formulaci. Předpokládá se, že závažný zásah do schopnosti poskytovat jednu službu poskytovatele regulované služby režimu vyšších povinností může vést k narušení i jiné služby téhož poskytovatele regulované služby nebo služby jiného poskytovatele regulované služby v režimu vyšších povinností? Pokud závažný zásah do schopnosti poskytovat službu „x" poskytovatele regulované služby v režimu nižších povinností, která má dopad do služby poskytovatele regulované služby v režimu vyšších povinností, musí se „x“ poskytovatele regulované služby v režimu nižších povinností změnit na poskytovatele regulované služby v režimu vyšších povinností?

6) K § 7
Podle návrhu má poskytovatel pro všechny poskytované regulované služby stanoven jeden režim poskytovatele regulované služby. Je režim plnění poskytovatele strategicky významné služby (PSVS) stejné jako plnění poskytovatele regulované služby v režimu vyšších povinností? Požadujeme vyjasnit. 

7) K § 13 odst. 1 písm. c)
Podpůrná aktiva se identifikují a hodnotí jen k primárním aktivům regulované služby v souvislosti s následnou analýzou rizik? Proč je nutné určovat, tedy identifikovat, aktiva celé organizace? Je nutné hodnotit primární aktiva organizační části organizace, která nesouvisí s regulovanou službou? Požadujeme upřesnit a doplnit.

Dále požadujeme doplnit i stanovený rozsah strategicky významné služby a definici kritické části stanoveného rozsahu strategicky významné služby z § 28 3 a). Informace o vymezení služeb je nutné rozlišit a definovat na jednom místě zákona.


8) K § 13 odst. 3
Jestliže je řízení kybernetické bezpečnosti definováno jako činnosti k zajištění kybernetické bezpečnosti regulované služby (nejde o stanovený rozsah, ale rozsah související s regulovanou službou), proč je rozsah řízení kybernetické bezpečnosti (=stanovený rozsah) definován primárními aktivy celé organizace? Proč se musí určovat a evidovat všechna primární aktiva, která nesouvisí s poskytovatelem regulované služby. Je to neúměrná zátěž pro organizaci.
1.  primárními aktivy regulované služby jsou
     a) souvisejícími s poskytováním regulované služby,
     b) souvisejícími s organizační částí organizace,
     c) souvisejícími podpůrná aktiva
 2. primárními aktivy organizační části organizace, které lze po zdůvodnění vyjmout ze stanoveného rozsahu?  

Nutno upřesnit jaká primární aktiva a za jakých podmínek lze ze stanoveného rozsahu aktiva vyjmout a co to obnáší (vyjmutá aktiva se nehodnotí? Jaká jsou akceptovatelná zdůvodnění? Je možné z rozsahu řízení kybernetické bezpečnosti ŘKB  vyjmout ta aktiva, která nesouvisí se zajišťováním regulované služby?

9) K § 16 odst. 1 (ve vazbě na § 18 odst. 2, § 19 odst. 1)
Požadujeme slovní spojení „všechny incidenty" nahradit slovním spojením „incidenty, které mají původ v kybernetickém prostoru a mají významný dopad". 

V návrhu se uvádí: „...povinností v rámci stanoveného rozsahu je hlásit všechny kybernetické bezpečnostní incidenty,....“ Opravdu se má jednat o všechny? Jde jak o administrativní zatěžování poskytovatele regulované služby v režimu vyšších povinností, tak zahlcení Úřadu bezpečnostními incidenty Měla by se proto upřesnit definice kybernetického bezpečnostního incidentu. Podle stávající definice patří mezi kyberneticko bezpečnostní incidenty i provozní incidenty např.: došlo po 1 hodinu k nedostupnosti služby z důvodu chyby v nastavení. Podle § 18 odst. 2 Úřad poskytuje metodickou a případně technickou podporu jen ke zvládání kyberneticko-bezpečnostních incidentů s významným dopadem. Podle § 19 odst. 1 poskytovatel regulované služby oznámí bez zbytečného odkladu uživatelům regulované služby kyberneticko-bezpečnostní incident s významným dopadem. 

10) K § 17 odst. 1
Navrhovaný režim předložení do 24 hodin je pro Ministerstvo zemědělství neakceptovatelný. V případě zjištění incidentu v pátek odpoledne, nelze předložit do 24 hodin. Nejsme vybaveni provozem 24 x 7. U složitějších problémů nemusíme být schopni předložit informace do 24h o detailech incidentu způsobeným nezákonným nebo svévolným zásahem s přeshraničním dopadem. 

11) K § 26, § 27, § 41 odst. 3 písm. c), § 2 odst. 2 j)
Strategicky významná služba je regulovaná služba. Toto začlenění v textu zákona pod samostatný oddíl 4 je matoucí.

1. Požadujeme obsah § 26 - 27 o poskytovateli strategicky významné služby zařadit za § 7. Poskytovatel strategicky významné služby je poskytovatel regulované služby v režimu vyšších povinností. Od regulované služby se liší se závažností dopadu a dalšími povinnostmi, což je možné upřesnit odkazem na příslušné oddíly (díly 5 a 6). 

2. Požadujeme upřesnit následující: Podle § 27 je celá veřejná správa automaticky zařazena mezi poskytovatele strategicky významné služby. Podle § 41 odst. 3 c) je § 27 odst. 2 rozhodnutím NÚKIB o určení poskytovatele strategicky významné služby. Podle definice poskytovatele strategicky významné služby (§ 2 odst. 2 písm. j) je poskytovatel regulované služby, který poskytuje jednu nebo více strategicky významných služeb, podle § 2 odst. 2 písm. j). Není jasné, která regulovaná služba je strategicky významnou službou.  

3. Pokud orgán neurčí žádnou jím poskytovanou regulovanou službu jako strategicky významnou na základě uvedených kritérií pro určení strategicky významné služby, má takový orgán zažádat o vyjmutí z evidence poskytovatele strategicky významné služby? Ze zákona není patrné, na základě jakých kritérií Úřad určuje strategicky významné služby.  

12) K § 28
Požadujeme přepracovat formulaci za účelem jasného pochopení textu. 
Uvádí se: „Kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby..“ a jazykově nevhodné „... stanoveného rozsahu stanovené...“.
Stále se opakující   „stanovený rozsah". Např.: Kritickou částí jsou aktiva, kterými je stanoven rozsah strategicky významné služby, jejichž hodnota dopadu v případě narušení bezpečnosti je vysoká nebo kritická. Jde zpravidla o aktiva, která zajišťují nepominutelné funkce definované v prováděcím právním předpisu. Kde se v zákoně stanoví rozsah strategicky významné služby. Dále je potřeba ujasnit rozsah vztahu. Vhodné upřesnit rozsahu vztahu strategicky významné služby k regulované službě. Např.: Rozsah aktiv k zajištění SVS odpovídá rozsahu aktiv k zajištění všech regulovaných služeb nebo je jeho podmnožinou. 

Požadujeme vysvětlit a případně přeformulovat odst. 3 písm. a), který je s ohledem na výše uvedené zcela nesrozumitelný.   

13) K § 30, 32 a 33
V textu se uvádí, že Úřad vydá opatření obecné povahy. Navrhujeme změnit text na „Úřad je oprávněn vydávat opatření obecné povahy“.
Jako formu budou mít podmínky bezpečnostních opatření v opatření obecné povahy?
Budou se k opatření obecné povahy moci vyjadřovat i poskytovatelé strategicky významné služby, kteří nepatří mezi dotčené osoby?

V § 33 požadujeme doplnit povinnosti a postupy poskytovatele strategicky významné služby k plnění opatření obecné povahy. 
Úprava by například mohla znít následovně: 
a) v případě zákazu využití plnění:
aa) vypoví smlouvu s dodavatelem,
ba) vyloučí dodavatele z výběrového řízení,
ca) zažádá NÚKIB o výjimku, pokud by plnění opatření obecné povahy poskytovatelem strategicky významné služby mohlo podstatným způsobem ohrozit poskytování strategicky významné služby,
b) v případě stanovení podmínek v opatření obecné povahy:
ab) zohlední podmínky plnění v dodatku smlouvy s dodavatelem,
bb) zohlední nové podmínky ve veřejných zakázkách, 
cb) zažádá NÚKIB o výjimku, pokud by plnění opatření obecné povahy poskytovatelem strategicky významné služby mohlo podstatným způsobem ohrozit poskytování strategicky významné služby,
c) v případě povolení uplatnění výjimky a stanovení podmínek: ab) a bb)
c) v případě nepovolení výjimky: aa) a ba)
d) v případě zrušení opatření obecné povahy nebo pominutí důvodu povolení výjimky:
ad) zrušení dodatku smlouvy s dodavatelem opírajícího se opatření obecné povahy,
bb) .................?
Je nezbytné, aby zákon o veřejných zakázkách umožňoval zohlednit nová bezpečnostní opatření plynoucí z opatření obecné povahy v průběhu zakázkového řízení.

14) K § 32
Požadujeme upřesnit, zda souvisí bezpečnostně významné dodávky jen s poskytováním strategicky významné služby? Je-li veřejná správa poskytovatelem pouze jedné strategicky významné služby a dalších regulovaných služeb, podává hlášení pouze o dodavatelích a dodávkách k jedné strategicky významné službě? Jedná se o náhradu hlášení o provozovateli kritické informační infrastruktury nebo významného informačního systému? Jak tito dodavatelé bezpečnostně významné dodávky souvisí s významnými dodavateli uvedenými v § 25 návrhu zákona?

15) K § 40 odst. 1 c)
Požadujeme vyjasnit: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je oprávněn vyžádat si na základě smlouvy nebo zápisu o sdílení personálních kapacit a věcných prostředků přednostní poskytnutí personálních kapacit nebo věcných prostředků … - o jaký smluvní vztah nebo zápis se má jednat? Požadujeme doplnit odkaz na právní předpis, který se uzavření takové smlouvy nebo zápisu stanoví.

Povinnost vyhovět žádosti Národního úřadu pro kybernetickou a informační bezpečnost o personální kapacity nebo věcné prostředky není v souladu s poskytnutím na základě smlouvy nebo zápisu o sdílení. Jak mají být uzavírány smlouvy nebo vytvářeny zápisy o sdílení personálních kapacit a věcných prostředků?

16) K § 40 odst. 1 d)
Komu může Úřad nařídit práci v pohotovostním režimu? Jaká bude procesně vypadat takové nařízení pohotovosti podle § 40 návrhu zákona?

17) K § 40 odst. 1 h)
S navrženou úpravou nesouhlasíme. Podle návrhu je Národní úřad pro kybernetickou a informační bezpečnost oprávněn nařídit orgánům a osobám zpřístupnění neveřejných komunikačních sítí v jejich správě pro potřeby Úřadu. Zpřístupnění neveřejných komunikačních sítí ve správě orgánu vyžaduje soulad s interní bezpečnostní politikou orgánu, například přístupy přes bezpečnostní nástroje apod.

18) K příloze vyhlášky č. 19. Věda, výzkum a vzdělávání
Vědeckovýzkumné instituce budou podle kritérií vyhlášky o regulovaných službách zařazeny do režimu vyšších povinností. Požadujeme upravit kritéria pro zařazení do příslušného režimu, protože pro řadu vědeckovýzkumných institucí bude režim vyšších povinností finančně nezvladatelný. Souhlasili bychom s kompromisním řešením, kdy vědeckovýzkumné instituce budou zařazeny do režimu nižších povinností. Nabízí se též řešení, kdy pro zařazení do příslušného režimu by mělo být vyhodnoceno, o jak strategický výzkum se jedná a podle toho by se příslušná vědeckovýzkumná instituce zařazovala do odpovídajícího režimu. Je rozdíl, zda výzkumná činnost má dopad na zemědělské činnosti anebo dopad na bezpečnost státu, zdraví osob a strategické technologie. 

Pro vědeckovýzkumné instituce Ministerstva zemědělství není pro zařazení do vyšších povinností relevantní ani citlivý výzkum, ani skutečnost, že většina prováděných výzkumných projektů je financována z více než 50 % z veřejných zdrojů. Čistě výzkumnou činností není možné ufinancovat navýšené náklady, které zákon o kybernetické bezpečnosti přináší. Návrh zákona by měl zapracovávat požadavky směrnice NIS 2 do českého právního řádu jako kompromis balancující mezi potřebou regulovat všechna podstatná odvětví a objektivní schopností členských států zajistit reálný výkon pravidel obsažených v transpozičních národních předpisech. Návrh zákona z povahy věci zasahuje do práv adresátů normy a je proto koncipován na tzv. dvourychlostním modelu kybernetické bezpečnosti. Poskytovatelé regulované služby jsou v rámci návrhu zákona proto rozděleni do dvou režimů – nižších a vyšších povinností. Zahrnutí nekomerčních výzkumných organizací do národní regulace však představuje národní úpravu nad rámec požadavků směrnice NIS2, i dle důvodové zprávy je relevance výzkumných organizací zaměřených na nekomerční užití výsledků z pohledu bezpečnosti vnitřního trhu nižší. Nicméně výzkumná organizace, jejímž hlavním cílem je provádět aplikovaný výzkum nebo experimentální vývoj za účelem využití tohoto výzkumu pro komerční účely, vysoká škola nebo jiná výzkumná organizace je navržena jako poskytovatel regulované služby v režimu vyšších povinností v případě, že provádí citlivou výzkumnou činnost, nebo většina prováděných výzkumných projektů je financována z více než 50 % z veřejných zdrojů. A díky tomu, že drtivá většina prováděných výzkumných projektů resortních v.v.i. je financována z více než 50 % z veřejných zdrojů, měli by tyto v.v.i. spadat automaticky do režimu vyšších povinností. A to je zásadní problém. Resortní výzkumné organizace Ministerstva zemědělství neprovádí citlivé výzkumné činnosti, neprovozují velké výzkumné infrastruktury, ani nespadají pod Akademii věd. Primárním cílem jejich existence je provádět nezávisle především aplikovaný zemědělský výzkum a experimentální vývoj a veřejně šířit výsledky těchto činností formou výuky, publikací nebo transferu znalostí. Zásadní a zřejmě neznámou informací pro navrhovatele je fakt, že všechny náklady, které přímo souvisí s výzkumnou činností, jsou účtovány přímo k projektům, k nimž patří. Kromě přímých nákladů vznikají v souvislosti s výkonem činností i náklady nepřímé (tzv. režijní), které z jejich podstaty nelze přiřadit přímo. Do režijních nákladů se započítávají náklady spojené se zajištěním provozu objektu instituce (elektrická energie, zemní plyn, vodné, stočné, povinné revize, daň z nemovitosti, ostraha), osobní náklady zaměstnanců zajišťujících řízení a provoz instituce, materiálové náklady zaměstnanců zajišťujících řízení a provoz instituce, odpisy investičního majetku, poštovné, telekomunikační poplatky, pojištění majetku, bankovní poplatky a samozřejmě i náklady na IT infrastrukturu včetně zajištění její bezpečnosti.
Přípustná výše nepřímých nákladů se liší dle typu projektu a poskytovatele, většinou je ale ve výši 20 % z celkových či 25 % z přímých nákladů projektu. V posledních letech je ale snahou poskytovatelů účelové podpory režijní náklady snižovat, přibývají povinnosti podle nových právních předpisů. 
Důvodová zpráva uvádí velmi hrubé odhady nákladů na zavedení a následné provádění bezpečnostních opatření pohybující se přibližně mezi 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému. Dále uvádí, že podstatnou proměnnou celkových nákladů bude především to, jaký je daný počet jednotlivých systémů u každé konkrétní organizace a také skutečnost, že takový násobek výše uvedené částky bude potřeba daným organizacím alokovat v rámci veřejných rozpočtů. To však není v rámci v.v.i. principiálně reálné a proveditelné. A je tedy zcela mimo objektivní schopnost resortních organizací zajistit reálný výkon stanovených požadavků.

Pro představu v rámci běžné v.v.i. může jít přibližně o 20 systémů, tedy náklady dle odhadů NÚKIB někde mezi 16 až 30 mil. Kč. Realitou je však také nižší vyspělost resortních v.v.i. v kybernetické bezpečnosti obecně (dosud jsou v tomto ohledu bez regulace), z čehož se dá odhadnout, že náklady na jejich zabezpečení budou spíše odpovídat vyšším odhadům NÚKIB. Pro představu uvádíme příklad jedné typické rezortní organizace – celkový rozpočet organizace pod 100 mil. Kč, rozpočet režijních nákladů cca 20,6 mil. Kč a se současnými náklady vynakládané na kompletní zajištění IT infrastruktury cca 4 mil. Kč ročně.


Doporučující připomínky

K materiálu obecně

1)
Vymezení pojmů není vždy srozumitelné, jednoznačné a úplné z pohledu jejich dalšího užití v textu zákona. Dáváme ke zvážení, zda by užívané abstraktní právní pojmy neměly být alespoň příkladmo obsahově vymezeny v důvodové zprávě. Užívá se např. pojmu v § 5 „závažný zásah“, v § 2 a 5 aj. pojmu „významný dopad“.

Členění jednotlivých paragrafů, jejich názvů a zejména obsahu je v řadě případů neuspořádané, nelogické a jejich návaznost není věcně kontinuální, vykazuje mnohdy obtížnou orientaci v dané problematice.

V návrhu jsou zakotveny rozsáhlé povinnosti Poskytovatele regulované služby vůči Úřadu, které musí být (pod sankcemi) zajištěny (v režimu vyšších a v režimu nižších povinností), a to za stávajících personálních, finančních a kapacitních podmínek na jednotlivých ústředních orgánech státní správy. Mnohdy jsou ukládané povinnosti v rozsahu, který není nezbytně nutný a vykazuje znaky formalismu.

2)
Hodnocení a výběr (řízení) dodavatelů v rámci průběhu zadávacího řízení z hlediska posouzení naplnění požadavků a opatření kybernetické bezpečnosti dle tohoto zákona by mělo být podrobněji popsáno tak, aby zadavatel měl jednoznačně definované možnosti a nezpochybnitelné oprávnění pro uplatnění hodnotícího kritéria (kybernetická bezpečnost) k vyloučení uchazeče (dodavatele) z výběrového řízení. (Toto by mělo být zakotveno i v novelizaci zákona č. 134/2016 Sb., o zadávání veřejných zakázek).

3) K § 5
Kritéria pro určení regulované služby se jeví jako kritéria pro určení poskytovatele regulované služby (PRS) v režimu vyšších povinností.  Nemělo by se uvedené upřesnit v názvu paragrafu? Orgán nebo osoba určen rozhodnutím Úřadu podle § 5, je vždy poskytovatelem regulované služby v režimu vyšších povinností. Chybí kritéria pro určení regulované služby v režimu nižších povinností.

4) K § 5 písm. a) bodu 1. a 4
Dáváme ke zvážení, zda by neměla být užívána jednotná terminologie. Jednou se uvádí Česká republika, jindy stát.

5) K § 27 
Požadujeme vysvětlit, zda poskytovatel regulované služby má povinnost určit a hlásit strategicky významnou službu. 

6) K § 29 odst. 4
V návrhu se uvádí „Poskytnutí informací podle tohoto ustanovení není porušením mlčenlivosti podle jiného právního předpisu." Doporučujeme doplnit odkaz na příslušný právní předpis. 

7) K 34
Požadujeme upřesnit formulaci ve stanoveném čase a ve stanovené kvalitě služby. Je vhodné se odklánět od norem řady 27 000, které jsou již propracované a v praxi osvědčené?

8) K § 35 a § 36
Dáváme ke zvážení prohození § 35 a § 36 a stávající § 35 nadepsat „Hlášení údajů“. 

9) K § 62
Dáváme ke zvážení vhodné nastavení sankcí z hlediska rovného přístupu a nediskriminace. Zejména podle odstavce 2 bude uplatňována různá donucovací pokuta s ohledem na velikost obratu podnikající fyzické osoby nebo právnické osoby. Za stejné „provinění" bude ukládán odlišný „trest“. 

10) K § 72
Dáváme ke zvážení zrušení vyhlášky, která ještě nebyla vyhlášena, konkrétně se jedná o vyhlášku uvedenou pod bodem č. 6: Vyhláška č. XX/XXXX Sb., o bezpečnostních pravidlech pro využívání služeb cloud computingu orgány veřejné moci.

11) K účinnosti
Dáváme ke zvážení nastavení účinnosti nového právního předpisu na 18. října 2024, a to s ohledem na předpokládané množství prováděcích právních předpisů.


V Praze dne 11. července 2023
Vypracoval: JUDr. Milan Cikánek 
e-mail: milan.cikanek@mze.cz
tel.: 221 812 602


2