Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                K Č.j.: MZDR 18730/2023/LEG

PŘIPOMÍNKY K MATERIÁLU S NÁZVEM:

Návrh zákona o kybernetické bezpečnosti a návrh prováděcích právních předpisů

	Resort
	Připomínky

	Ministerstvo zdravotnictví
	
Zásadní připomínky

	1.
	Obecně a k § 10 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Prosíme o vysvětlení, jakým způsobem budou dodrženy požadavky zákona a podzákonných předpisů v případě využívání cloudových SAAS (JIRA, GitHub aj.) zejména s ohledem na skutečnost, že jejich dodavatelé nemohou klást důraz na požadavky povinné osoby na tyto dodavatele? 

V souvislosti s výše uvedeným upozorňujeme, že rovněž nelze naplnit většinu povinností v rámci §10 uvedených tezí vyhlášky.

	2.
	K § 14 a § 15 a tezím vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Mzd je v současné době plně outsourcováno v rámci správy i vlastnictví IT včetně infrastruktury a všech procesů. Outsourcing vykonává ÚZIS ČR a dále jeho subdodavatelé. Lze konstatovat, že ÚZIS ČR je provozovatelem všech informačních systémů a infrastrukturních prvků Mzd. V této souvislosti Mzd není schopno dostát požadavkům v uvedených ustanoveních včetně dalších povinností v tezích vyhlášek jako je mapování podpůrných aktiv, provedení analýzy rizik atp. či může tyto povinnosti provést čistě formalisticky - např. vyplnit prázdné PoA. 

Požadujeme do předkládaného předpisu doplnit uvedenou alternativu včetně stanovených povinností. Alternativně potvrzení naší domněnky, že uvedené požadavky máme plně převést na provozovatele.

	3.
	K § 20 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

V případě využití infrastrukturních či jiných služeb ve formě SAAS v rámci regulované služby nelze zajistit některé požadavky (např. vícefaktorovou autentizaci či délku hesla) pro konzumované cloudové služby. Požadujeme upravení uvedené situace.

	4.
	K § 27 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Vzhledem k tomu, že Mzd bude nově povinným subjektem v režimu vyšších povinností v oblasti výkonu veřejné správy a povinnosti budou vztaženy k Mzd jako celku, lze předpokládat, že u primárních aktiv souvisejících s regulovanou službou, které jsou velmi nevýznamné s nízkou zjištěnou hodnotou budou dle cílů podle § 16 stanoveny úrovně poskytovaných služeb takovým způsobem, že nebude třeba zajišťovat redundanci podpůrných aktiv podle § 27odst. 1 písm. c)?

	5.
	K § 27 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

V rámci resortu zdravotnictví již dnes existuje velká heterogenita při přístupu k definici primárních aktiv zajišťující základní službu u povinných subjektů. Typicky od jednoho primárního aktiva až po vyšší desítky primárních aktiv zahrnujících v zásadě všechny informační činnosti nemocnice. Rádi bychom společně s NÚKIB připravili metodickou pomůcku, kde bychom vymezili „ideální“ seznam primárních aktiv vztažených k definované regulované službě zejména pro regulované služby v režimu vyšších povinností. Tento postup volíme i s ohledem na teze § 27 odst. 1 písm. c) vyhlášky, které budou u některých podpůrných aktiv nerealizovatelné.

	6.
	K bodu 18.1 přílohy k vyhlášce o regulovaných službách 

Požadujeme doplnit další kritérium s názvem:
Služba ukládající zdravotní dokumentaci od více poskytovatelů zdravotních služeb za účelem jejího sdílení podle zvláštních právních předpisů (z.č. 372/2011 a 325/2021).

Mzd plánuje v rámci implementace centrálních služeb eHealth předávání zdravotnické dokumentace v rámci afinitních domén, které budou budovány typicky pro vícero poskytovatelů zdravotních služeb, a to i třetími osobami. Afinitní doména tedy bude obsahovat prioritní typy zdravotnické dokumentace pacienta od vícero poskytovatelů zdravotních služeb. Tomu by měla odpovídat i její nadstandardní ochrana na úrovni regulované služby. 

	7.
	K § 38 a násl. zákona o kybernetické bezpečnosti

Mzd požaduje, aby stav kybernetického nebezpečí byl namísto v zákoně o kybernetické bezpečnosti ukotven v zákoně č. 240/2000 Sb., o krizovém řízení (krizový zákon), ve znění pozdějších předpisů.

Zvolené řešení a ukotvení tohoto stavu v zákoně o kybernetické bezpečnosti nepovažuje Mzd za systémové. Mzd je toho názoru, že legislativní úprava všech krizových stavů by měla být uvedena v jednom zákoně k tomu určeném (krizový zákon), jenž je v současné době předmětem novely a reflektuje zkušenosti zejm. z krizových situací epidemie onemocnění Covid-19 a migrační vlna velkého rozsahu.

	8.
	K § 39 a § 40 a násl. zákona o kybernetické bezpečnosti

Mzd požaduje, aby pravomoc k vyhlášení stavu kybernetického nebezpečí a vydání opatření k řešení stavu kybernetického nebezpečí nebyla dána pouze řediteli NÚKIB. Rozhodnutí o stavu nebezpečí by mělo být provedeno na základě projednání s Ministerstvem vnitra, Ministerstvem obrany nebo po projednání v krizovém štábu, popř. Ústředním krizovém štábu.

Stav kybernetického nebezpečí představuje celostátní ohrožení a Mzd nepovažuje za žádoucí, aby tato pravomoc byla dána pouze jednomu vedoucímu ústředního správního úřadu, a to bez žádného kontrolního mechanismu voleného orgánu nebo bez projednání s resorty, jichž se boj proti kybernetickým útokům bezprostředně dotýká (organizovaný zločin, kybernetická obrana).

	9.
	K § 40 zákona o kybernetické bezpečnosti

S ohledem na skutečnost, že v § 39 odst. 4 je uvedeno, že „Opatření k řešení stavu kybernetického nebezpečí, jejichž platnost zůstane zachována (po vyhlášení nouzového stavu), se dále považují za krizová opatření nařízená vládou.“ je nezbytné, aby tato opatření byla dána do souladu s krizovými opatřeními uvedenými v krizovém zákoně.

Současně Mzd požaduje upřesnění jednotlivých opatření tak, aby bylo zřejmé, že budou využita pouze pro překonání krizové situace a bylo zřejmé komu jsou určena (např. odst. 1 písm. a) komu je ředitel Úřadu oprávněn poskytnout věcné prostředky, odst. 1 písm. d) komu je ředitel Úřadu oprávněn nařídit práci v pohotovostním režimu).

Jednotlivými krizovými opatřeními je zasahováno do práv a svobod občanů ČR (Ústava ČR a Listina základních práv a svobod), a je tedy nezbytné, aby byla v souladu s krizovým zákonem, jenž obsahuje jejich výčet. Současně je Mzd toho názoru, že by měly být vyžadovány pouze informace, které povedou k překonání krizové situace a nikoli všechny informace např. o personálních kapacitách celého úřadu. Dále Mzd považuje za žádoucí, aby bylo jasně stanoveno, koho se jednotlivá opatření týkají, aby se minimalizovalo riziko zneužití pravomocí.

	10.
	Obecně

Žádáme o vysvětlení, k jakým změnám povinností v rámci regulovaných služeb využívajících cloudová podpůrná aktiva jako jsou MS Azure, O365 aj. a možnosti jejich využití v regulovaných službách včetně strategicky významných služeb dojde, v případě přijetí navrhované úpravy.

	
	Doporučující připomínka

	11.
	Obecně

Jakým způsobem bude mít požadavek na infrastrukturní části regulované služby např. na O365? Prosím vysvětlete.

	
	Závěr
Kontaktními osobami pro vypořádání připomínek jsou: 

Mgr. Bc. Daniel Steindler
tel.: 224 972 209
e-mail: daniel.steindler@mzcr.cz

V Praze dne 12. července 2023

Vypracovala: Mgr. Magda Seidelmannová		Podpis: ……………………………