Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                V Praze dne 12.7.2023

STANOVISKO UZS ČR

k návrhu zákona o kybernetické bezpečnosti

Obecné připomínky
Zákon v některých paragrafech odkazuje na „prováděcí právní předpis“, čímž je myšlena odpovídající a nově vznikající vyhláška. Myslíme si, že pro někoho, kdo zákon a nové vyhlášky má načtené je jasné, o který prováděcí právní předpis se jedná. Ovšem pro někoho, kdo si bude zákon číst poprvé, to tak jasné být nemusí. Bylo by proto podle nás lepší, kdyby odkaz na daný předpis byl uveden pod čarou stejně tak, jak jsou uvedeny čísla zákonů. Vyhlášek totiž s tímto zákonem vyjde aktuálně 6 a tento krok by čtenářům pomohl k lepšímu pochopení systému vztahu zákona a odpovídajících vyhlášek. Pokud toto není možné, tak by adresátům pomohl podpůrný materiál NÚKIB k pochopení systému vyhlášek. Dále by byl zcela jistě nápomocný materiál s grafickým znázorněním, jak se má adresát normy identifikovat, kam jak a kam zaregistrovat atp.
tato připomínka je zásadní
· Uplatňujeme připomínky k části návrhu zákona, která zapracovává mechanismus prověřování bezpečnosti dodavatelů do strategicky významné infrastruktury. Zásadní je nový regulatorní nástroj úřadu, kdy úřad má právo autoritativně zasáhnout do svobody podnikání a vlastnického práva soukromých subjektů a omezit volnou hospodářskou soutěž tím, že rozhodne o omezení nebo vyloučení konkrétních dodavatelů z plnění tzv. bezpečnostně významných dodávek poskytovatelům strategicky významných služeb, a to jak v rozsahu již realizovaných dodávek, tak v rozsahu všech budoucích dodávek. Proto by tento nástroj a proces, jež vede k vydání správního aktu (opatření obecné povahy) o omezení nebo vyloučení dodavatele z bezpečnostně relevantních dodávek poskytovatelům strategicky významné služby, měl dle našeho názoru splňovat nejpřísnější nároky na transparentnost, předvídatelnost a proporcionalitu právní úpravy tak, aby nebyla zasažena právní jistota mechanismem dotčených subjektů. Z tohoto pohledu uplatňujeme následující připomínky:
Přesah problematiky mechanismu nad rámec kybernetické bezpečnosti.
Samotná důvodová zpráva k návrhu zákona uvádí, že: „mechanismus prověřování bezpečnosti dodavatelského řetězce, který je součástí návrhu zákona, je pak odrazem národních požadavků na zvýšení bezpečnosti a snížení rizik plynoucích z netechnických aspektů zajišťování kybernetické bezpečnosti a jako takový nemá doposud odraz v platné legislativě. V jistých aspektech je zčásti podobný úpravě zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic).“ Dále při vydání opatření obecné povahy, kterým úřad omezí nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky, úřad bude vyhodnocovat kritéria rizikovosti dodavatele určená vyhláškou, která jsou výlučně netechnické povahy (politické charakteristiky země původu dodavatele, právní prostředí země původu dodavatele a „bezúhonnost“ dodavatele) a nijak nesouvisí se zajišťováním kybernetické bezpečnosti.  V této souvislosti je tedy otázkou, který správní úřad by měl prověřování bezpečnosti dodavatelského řetězce provádět a mít pravomoc opatření obecné povahy vydat. Dle názoru SZPČR se prověřování a omezování nebo zákazu dodavatelů předně dotýká hospodářské soutěže a ekonomiky. Jejich omezení nebo vyloučení bude mít dopad na rozvoj ICT infrastruktury a na výši nákladů s tím spojených a je záležitostí státní průmyslové a obchodní politiky, kde ústředním orgánem státní správy je podle § 13 odst. 1 písm. a) zákona č. 2/1969 Sb., ve znění pozdějších předpisů, Ministerstvo průmyslu a obchodu České republiky (dále jen „ministerstvo“). Ministerstvo je ústředním správním orgánem rovněž pro zahraničně ekonomickou politiku. Dle § 13 odst. 3 mimo jiné koordinuje zahraničně obchodní politiku České republiky ve vztahu k jednotlivým státům, zabezpečuje sjednávání dvoustranných a mnohostranných obchodních a ekonomických dohod včetně komoditních dohod, aj. Ministerstvo je tedy právními předpisy určeno k řešení veškerých zahraničně-obchodních záležitostí. Současně dle platné právní úpravy patří do gesce ministerstva prověřování zahraničních investic, ke kterému je zmocněno na základě zák. č. 34/2021 Sb., a pojí se s prověřováním zahraničních investic z důvodu ochrany bezpečnosti České republiky a vnitřního a veřejného pořádku. Posuzování je tak založeno na obdobných kritériích rizikovosti jako navrhují teze prováděcí vyhlášky k návrhu zákona o kybernetické bezpečnosti.
SZPČR s ohledem na výše uvedené navrhuje, aby prověřování bezpečnosti dodavatelského řetězce a pravomoc vydávat opatření obecné povahy náležela ministerstvu s tím, že role a pravomoci úřadu by měla být obdobné jako jsou v procesu prověřování přímých zahraničních investic.
tato připomínka je zásadní 
Vágnost a arbitrárnost kritérií rizikovosti dodavatele
Celé hodnocení rizikovosti dodavatele stojí na naplnění kritérií rizikovosti, které určuje sám úřad vyhláškou (a jejich určení je tedy zcela v pravomoci úřadu) a která spočívají v posuzování politických charakteristik země původu dodavatele, právního prostředí země původu dodavatele a posuzování integrity osoby dodavatele, tedy výlučně netechnických kritériích. S výjimkou kritérií pro posuzování integrity osoby dodavatele jsou tato kritéria podle názoru SZPČR zcela neměřitelná, arbitrární a jejich použití lehce zneužitelné. Forma a metodika vyhodnocení naplnění kritérií rovněž zcela chybí a lze si stěží představit, jak bude například posuzováno naplnění kritéria – existence právních předpisů v zemi mající vliv na dodavatele, které ukládají povinnost spolupráce s orgány veřejné moci, jež vykonávají činnost odpovídající činnosti zpravodajských služeb, a to bez nezávislého soudního dohledu či přezkumu.
Dále není zřejmé, proč úřad v rámci zajišťování kybernetické bezpečnosti zcela rezignuje na zkoumání a vyhodnocování naplnění technických a jiných kritérií bezpečnosti produktů a služeb dodavatele jako jsou certifikace, smluvní závazky, audity kybernetické bezpečnosti, apod., které mohou sehrávat v hodnocení kybernetické bezpečnosti zcela zásadní roli.
SZPČR navrhuje zvýšení transparentnosti procesu hodnocení kritérií a zavedení technických kritérií uplatňovaných u konkrétního dodavatele, resp. poskytovatele strategicky významné služby mezi kritéria hodnocení rizikovosti dodavatele.
tato připomínka je zásadní 
Absence opravného prostředku proti opatření obecné povahy
Výstupem procesu prověřování bezpečnosti dodavatelských řetězců má být opatření obecné povahy (OOP) vydané úřadem. V případě OOP neexistuje možnost podání řádného opravného prostředku. Proti omezení či zákazu obchodních vztahů stanovených OOP je tak není možnost bránit se opravným prostředkem (proti OOP nelze podat odvolání ani rozklad), což dále přispívá k netransparentnosti a možné arbitrárnosti rozhodování úřadu. 
tato připomínka je zásadní 
Narušení podnikatelského prostředí
V důsledku připravované legislativy by také mohlo být narušeno legitimní očekávání podnikatelů, protože mnoho parametrů mechanismu může být ze strany úřadu kdykoli změněno (vzhledem k tomu, že úřad přijímá vyhlášky tyto oblasti blíže upravující) a rovněž může dojít k zákazu či významnému omezení jeho dodavatelů. Takto rozsáhlá rozhodovací pravomoc poskytuje velký prostor pro libovůli při rozhodování úřadu a představuje tak rozsáhlé riziko.
Konečným důsledkem mechanismu tak může být úplné dlouhodobé zastrašení podnikatelských subjektů od spolupráce s dodavateli z vybraných zemí. Je zapotřebí si také uvědomit, že při takto obecně nastavených kritériích může dojít k tomu, že „rizikovou“ zemí se v okamžiku změny politické reprezentace v ČR náhle stane stát, u nějž by to navrhovaná právní regulace v tuto chvíli absolutně nepředpokládala.
tato připomínka je zásadní 

Konkrétní připomínky
1. K § 30 zákona o kybernetické bezpečnosti
Doporučujeme zvážit možné dopady na poskytovatele strategicky významných služeb v situaci, kdy klíčové informační systémy jsou ve „vendor locku“, a výměna dodavatele není reálná v termínech deklarovaných v ustanovení § 30 navrhované úpravy. 

Vzhledem k tomu, že dodavatel nemá žádnou povinnost uzavírat smlouvu, kterou uzavřít nechce, tak navrhovaná úprava bude bez doplnění stavět zadavatele veřejných zakázek před dilema, zda nedodržet dotčené právní předpisy, nebo narušit provoz svých informačních systémů. Mělo by proto dojít k lepšímu vymezení priorit ze strany předkladatele návrhu. 

tato připomínka je doporučující 
2. K § 33 zákona o kybernetické bezpečnosti
Doporučujeme se více zaměřit na možné (finanční) dopady na poskytovatele strategicky významných služeb, a to v souvislosti s možnou výpovědí závazku dodavateli podle § 33 navrhované úpravy. 

Z důvodů uvedených v § 30 navrhované úpravy tak sice lze vypovědět závazek ze smlouvy na veřejnou zakázku, avšak není výslovně vyloučena eliminace případných sankcí ze strany dodavatele. 

tato připomínka je doporučující
3. K návrhu prováděcí vyhlášky o regulovaných službách, k bodu 19.1. Přílohy Kritéria pro identifikaci regulované služby
Navrhujeme vypustit: 
„, nebo
b) většina prováděných výzkumných projektů je financována z více než 50 % z veřejných zdrojů.“

Nebo alternativně doplnit za slova „nebo jiná výzkumná organizace”:

„, s výjimkou výzkumné organizace zřizované nebo založené ministerstvem kultury, nebo výzkumné organizace zřízené nebo založené jiným zřizovatelem či zakladatelem, která je knihovnou, muzeem nebo galerií,“

Odůvodnění: 
Podle navrhovaného znění by regulovanou službou v režimu vyšších povinností byla každá výzkumná organizace zapsaná v seznamu vedeném podle § 33a zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu a vývoje), a to pokud je většina prováděných výzkumných projektů financována z více než 50 % z veřejných zdrojů. 
V návrhu není nijak zohledněna celková výše veřejných zdrojů, které organizace vynakládá na výzkum. Povinnost by proto dopadla i na knihovny, muzea a galerie, které byly zřízeny především za účelem poskytování přístupu veřejnosti k informacím, znalostem a kulturnímu bohatství, a výzkum provádí jako doplněk k této činnosti. Jde přitom o organizace, které jsou již nyní z velké části podfinancované. Navíc by tyto organizace musely soutěžit o kvalifikované pracovníky pro tuto oblast s dalšími organizacemi a odčerpávaly by tak již dnes nedostatkové kvalifikované specialisty těm organizacím, které jsou pro provoz státu opravdu kritické. Paradoxně by tak tento požadavek vedl k dalšímu ohrožení státu.
Domníváme se, že hledisko financování z veřejných zdrojů by samo o sobě nemělo být kritériem pro určení, že má organizace podléhat povinnostem dle zákona o kybernetické bezpečnosti. Případný kybernetický útok na výzkum na poli kultury pravděpodobně nebude ohrožením pro chod státu a vynakládání nepřiměřených prostředků na obranu povede pouze ke zbytečnému vynakládání veřejných prostředků, nebo naopak k ukončení drobných výzkumů, neboť náklady na zavedení vyššího režimu kybernetické bezpečnosti by zdaleka přesáhly veřejné zdroje získané na výzkum. 
tato připomínka je zásadní 
4. K návrhu prováděcí vyhlášky o regulovaných službách, k bodu 19.2. Přílohy Kritéria pro identifikaci regulované služby
Navrhujeme za slova 
„Hostitelská nebo partnerská instituce velké výzkumné infrastruktury“  
doplnit: 
„, s výjimkou instituce zřizované nebo založené ministerstvem kultury, nebo instituce zřízené nebo založené jiným zřizovatelem, která je knihovnou, muzeem nebo galerií,“
nebo alternativně doplnit: 
„, s výjimkou hostitelské nebo partnerské instituce velké výzkumné infrastruktury v oblasti sociálních a humanitních věd,“
Odůvodnění: 
Podle navrhovaného znění by regulovanou službou v režimu vyšších povinností byla každá výzkumná organizace, zapojená do některé z velkých infrastruktur. To je pochopitelné například u biomedicínského výzkumu, některé výzkumné infrastruktury jsou však zaměřeny na jazykovědu, digitální humanitní vědy nebo archeologii. Přehled všech infrastruktur v této oblasti je zde: https://www.vyzkumne-infrastruktury.cz/humanitni-vedy/.
V návrhu není nijak zohledněna skutečnost, že výzkum v oblasti sociálních a humanitních věd je jednoznačné postaven na otevřeném publikování výsledků, stejně tak úkolem paměťových institucí je v co nejširší míře zpřístupňovat uchovávané informace veřejnosti. Povinnost by proto dopadla i na knihovny, muzea a galerie, které byly zřízeny především za účelem poskytování přístupu veřejnosti k informacím, znalostem a kulturnímu bohatství, a výzkum provádí jako doplněk k této činnosti. Jde přitom o organizace, které jsou již nyní z velké části podfinancované. Navíc by tyto organizace musely soutěžit o kvalifikované pracovníky pro tuto oblast s dalšími organizacemi a odčerpávaly by tak již dnes nedostatkové kvalifikované specialisty těm organizacím, které jsou pro provoz státu opravdu kritické. Paradoxně by tak tento požadavek vedl k dalšímu ohrožení státu.
Domníváme se, že samo hledisko zapojení organizace do velké infrastruktury by nemělo být jediným ukazatelem toho, že má organizace podléhat vyšším povinnostem dle zákona o kybernetické bezpečnosti. Případný kybernetický útok na výzkum na poli kultury pravděpodobně nebude ohrožením pro chod státu a vynakládání nepřiměřených prostředků na obranu povede pouze ke zbytečnému vynakládání veřejných prostředků a ke ztížení přístupu vědců k informacím, které uchovávají knihovny, muzea a galerie, neboť náklady na zavedení vyššího režimu kybernetické bezpečnosti by zdaleka přesáhly veřejné zdroje získané na účast těchto organizací ve velkých infrastrukturách.
tato připomínka je zásadní 

Další komentáře k návrhu s povahou doporučujících připomínek

1. Zákon o kybernetické bezpečnosti, § 2 odstavec 1a – Primární aktiva a podpůrná aktiva nejsou jen v elektronické podobě. Vyškrtnutí „v elektronické podobě“.
Odůvodnění: Ta aktiva, která odpovídají definici tohoto odstavce, se mohou zpracovávat i například jako fyzické dokumenty či objekty (serverovny). Znamenalo by to tedy, že by s takovými materiály či objetky nemuselo být nakládáno dle požadavků zákona. To by ovšem mělo za následek rovněž ohrožení aktiv. Zabezpečení aktiv je nutné nejen v kyberprostoru.

2. Zákon o kybernetické bezpečnosti, § 5, odstavec d) – chybějící konkrétní právní předpis
Odůvodnění: Zmíněný odstavec odkazuje na právní předpis upravující krizové řízení a kritickou infrastrukturu. Konkrétní odkaz na legislativu v poznámce pod čarou ale chybí.

3. Zákon o kybernetické bezpečnosti, § 13, odstavec 1 a) – identifikování všech aktiv v rámci celé organizace, nikoliv jen v rámci regulované služby, nám nepřijde zatěžující.
Odůvodnění: Pokud naše organizace poskytuje více služeb a jen jedna z nich spadá do regulovaných služeb, tak by nám dávalo smysl určit pouze ta aktiva, která se dané služby týkají. Návrh zákona ale vyžaduje určit všechna aktiva v celé organizaci a až poté identifikovat ta aktiva, která se dané regulované služby týkají. To ovšem pro některé organizace může být velmi zatěžující a časově náročné. Když opomineme podstatu a smysl identifikování všech aktiv, tedy že by organizace ideálně měla chránit všechna aktiva i mimo regulované služby, tak čemu ale taková evidence je, když odstavec 3 říká, že se aktiva nespadající do rozsahu řízení mohou vyjmout a ale zároveň mít uložen o tom záznam? Taková evidence aktiv bude v rámci kontrol NÚKIBu kontrolována? 

4. Zákon o kybernetické bezpečnosti, § 15, odstavec 2) – chybějící rozdělení na organizační a technická opatření
Odůvodnění: Z jakého důvodu se u nižšího režimu vypustilo rozdělení bezpečnostních opatření na organizační a technická? Sice tento režim má podstatně méně povinností, ale stále se jedná jak o organizační, tak i technická opatření a rozdělení by mělo být zachováno stejné. 

5. Zákon o kybernetické bezpečnosti, § 8 – registrace do Portálu NÚKIB je nutná i pro organizace, které již spadaly pod aktuální ZKB?
Odůvodnění: Zajímalo by nás, jestli organizace spadající pod aktuální ZKB budou povinny se znovu registrovat do Portálu NÚKIB? Předpokládali bychom, že seznam takový organizací NÚKIB k dispozici zajisté má, a tak registrace ze strany organizací nebude nutná.

6. Zákon o kybernetické bezpečnosti, § 8 – nedodržení lhůty pro registraci.
Odůvodnění: Pokud organizace neregistruje svou regulovanou službu v požadované lhůtě, jaký bude další postup? NÚKIB podle odstavce 3 provede registraci organizace sám, ale není jasné, jestli bude organizaci o registraci informovat a jaké následky za pozdní registraci hrozí.

7. Zákon o kybernetické bezpečnosti, § 7 – možnost hlášení bezpečnostních incidentů i mimo Portál NÚKIB
Odůvodnění: V případě, že nebude možné z nějakého důvodu nahlásit bezpečnostní incident přes Portál NÚKIB, návrh zákona umožňuje podat hlášení přes elektronickou poštu či datovou schránku. Bude k tomuto vydán formulář obsahující požadavky zmíněné ve Vyhlášce o Portálu NÚKIB, aby ten, kdo bude bezpečnostní incident hlásit, nemusel hledat danou vyhlášku a mohl využít jednotný formulář, což povede k rychlému a efektivnímu nahlášení bezpečnostního incidentu?

8. Zákon o kybernetické bezpečnosti, § 21 – vydání výstrahy prostřednictvím elektronických schránek?
Odůvodnění: Vnímáme velice pozitivně, že NÚKIB informuje a přidává výstrahy na své internetové stránky. Obáváme se ale, že není v silách mnohých organizací sledovat aktuality na stránkách NÚKIB a ač se jedná „pouze“ o výstrahu, nebereme je nadarmo. Bylo by proto možné informovat organizace vedené v Portálu NÚKIB elektronickou poštou? Či přihlášení se k allertingu, že nějaká taková aktualizace na stránkách NÚKIBu vyšla, což by mohla využít i veřejnost?

9. Zákon o kybernetické bezpečnosti, § 22 – jakou formou bude poskytovatel regulované služby informován?
Odůvodnění: Odstavec 3 zmíněného paragrafu říká, že NÚKIB bude dotčené poskytovatele regulované služby informovat. Není ale specifikováno, jakou formou.

10. Zákon o kybernetické bezpečnosti, § 45 odstavec 1 – jak konkrétně se bude vést evidence penetračních testů?
Odůvodnění: NÚKIB bude evidovat dle zmíněného paragrafu velice citlivé údaje. Zajímalo by nás například, jakou formu penetračního testu bude NÚKIB evidovat? Pouze záznam o tom, že u daného poskytovatele regulované služby test proběhl, nebo celou zprávu testu?

11. Zákon o kybernetické bezpečnosti, § 58 – kdy bude rozhodnuto o konkrétním přestupku a tím pádem i jeho výši?
Odůvodnění: Předpokládáme správně, že přestupek se zjistí kontrolou NÚKIBu? Bude zjištění znamenat, že hned bude organizace penalizována či bude mít nejdříve čas na nápravné opatření do určitého data? Z daného paragrafu tento postup není zcela jasný.

12. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, § 4 odstavec 6 – zmizení bezpečnostní role garanta aktiv?
Odůvodnění: Vyhláška pro nižší režim od prvního návrhu prošla radikální změnou, tedy velkým seškrtáním povinností. Vypadla tak i role garanta aktiv, která dle našeho názoru je klíčová pro řízení bezpečnosti daného aktiva. Vyhláška evidenci aktiv zmiňuje jen v odstavci 6 zmíněného paragrafu, kde odkazuje na zákon, který říká, že u primárních aktiv organizace určí související organizační části. Máme to tedy chápat tak, že daná organizační část převezme roli garanta aktiv? Ovšem roli, která není v této vyhlášce specifikována?
Kontaktní osoba:
Mgr. Jakub Machytka		tel. 727 956 059	e-mail: jakub.machytka@uzs.cz

	
Na Pankráci 322/26
140 00 Praha 4

	
tel.: 234 633 210

	
e-mail: info@uzs.cz
www.uzs.cz
IČ 22718729


image1.png