Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                ÚŘAD VLÁDY ČR

PŘIPOMÍNKY K MATERIÁLU S NÁZVEM:

 „Návrh zákona o kybernetické bezpečnosti"    
 
	Resort
	Připomínky

	Ministerstvo životního prostředí

	Zásadní připomínky: 
1. §15 odst. 2;  
pro poskytovatele regulované služby v režimu nižších povinností chybí položka „řízení aktiv“, i když v §13 je uvedena povinnost určení primárních aktiv. Pokud pro poskytovatele regulované služby nebudou určena primární a podpůrná aktiva, není možné zavést řízení rizik, 
a tedy i ostatní opatření následujících za bodem c). 

2. Výše uvedená připomínka navazuje, resp. je v rozporu s §58; 
přestupky, kde je v bodu 2) odst. d), e) uvedeno, že poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku, pokud neidentifikuje všechna primární aktiva, resp. podpůrná aktiva. 

3. Nesouhlasíme s tím, jak je v příloze návrhu vyhlášky implementováno to, že podle směrnice je bez další specifikace výzkum dalším kritickým odvětvím, resp. že je bez další specifikace výzkum a vývoj regulovanou službou.

4. Nesouhlasíme s tím, jak je v příloze návrhu vyhlášky definováno to, co je ve směrnici uvedeno v čl. 6 bodě 41 směrnice, resp. jak jsou 
v návrhu vyhlášky implementovány pojmy výzkumné organizace ve smyslu směrnice (čl. 6 bod 41) a vysoké školy (čl. 2 odst. 5 písm. b) směrnice). Z pohledu na subjekty vyskytující se (bez ohledu na jejich velikost) v seznamu výzkumných organizací vedeném na MŠMT je jasné, že zdaleka ne všechny z nich lze charakterizovat jako důležité subjekty ve smyslu čl. 3 odst. 2 směrnice, případně takové, které naplňují myšlenku recitálu 36 směrnice. Naopak například ne na všech vysokých školách, které jsou středním nebo velkým podnikem, musí být vykonávány jakékoli výzkumné činnosti, natož kritické výzkumné činnosti.

5. Nesouhlasíme s tím, že v rozporu s důvodovou zprávou 
k předkládanému návrhu není v tomto případě velikost podniku tím stěžejním kritériem, ale je to právě existence záznamu v seznamu výzkumných institucí, která – v kombinaci s další podmínkou – činí 
z těchto subjektů poskytovatele regulované služby v režimu vyšších povinností. Pokud jde o implementaci čl. 2 odst. 2 směrnice, rozhodně nelze o všech těchto subjektech prohlásit, že pro ně platí z písm. b) až e).

6. Nesouhlasíme se zařazením veřejných výzkumných organizací do režimu poskytovatele regulované služby vyšší úrovně. 

Odůvodnění:
Návrh zákona by měl zapracovat požadavky směrnice NIS 2 do českého právního řádu jako kompromis balancující mezi potřebou regulovat všechna podstatná odvětví a objektivní schopností členských států zajistit reálný výkon pravidel obsažených 
v transpozičních národních předpisech. Návrh zákona z povahy věci zasahuje do práv adresátů normy, a je proto koncipován na 
tzv. dvourychlostním modelu kybernetické bezpečnosti. Poskytovatelé regulované služby jsou v rámci návrhu zákona proto rozděleni do dvou režimů – nižších a vyšších povinností. 

Zahrnutí nekomerčních výzkumných organizací do národní regulace však představuje národní úpravu nad rámec požadavků směrnice NIS2, i dle důvodové zprávy je relevance výzkumných organizací zaměřených na nekomerční užití výsledků z pohledu bezpečnosti vnitřního trhu nižší. Nicméně výzkumná organizace, jejímž hlavním cílem je provádět aplikovaný výzkum nebo experimentální vývoj za účelem využití tohoto výzkumu pro komerční účely, vysoká škola nebo jiná výzkumná organizace je navržena jako poskytovatel regulované služby v režimu vyšších povinností v případě, že provádí citlivou výzkumnou činnost, nebo většina prováděných výzkumných projektů je financována z více než 50 % z veřejných zdrojů. A díky tomu, že drtivá většina prováděných výzkumných projektů resortních v.v.i. je financována z více než 50 % z veřejných zdrojů, měly by tyto v.v.i. spadat automaticky do režimu vyšších povinností. Resortní výzkumné organizace MŽP neprovádí citlivé výzkumné činnosti, neprovozují velké výzkumné infrastruktury, ani nespadají pod Akademii věd. Primárním cílem jejich existence je provádět nezávisle především aplikovaný výzkum a experimentální vývoj v oblasti ochrany životního prostředí a veřejně šířit výsledky těchto činností formou výuky, publikací nebo transferu znalostí.

Podstatné v této věci také je, že všechny náklady, které přímo souvisí s výzkumnou činností jsou účtovány přímo k projektům, k nimž patří. Kromě přímých nákladů vznikají v souvislosti s výkonem činností 
i náklady nepřímé (tzv. režijní). Do režijních nákladů se započítávají náklady spojené se zajištěním provozu objektu instituce (elektrická energie, zemní plyn, vodné, stočné, povinné revize, daň z nemovitosti, ostraha), osobní náklady zaměstnanců zajišťujících řízení a provoz instituce, materiálové náklady zaměstnanců zajišťujících řízení 
a provoz instituce, odpisy investičního majetku, poštovné, telekomunikační poplatky, pojištění majetku, bankovní poplatky 
a samozřejmě i náklady na IT infrastrukturu včetně zajištění její bezpečnosti. Přípustná výše nepřímých nákladů se liší dle typu projektu a poskytovatele, většinou je ale ve výši 20 % z celkových či 25 % z přímých nákladů projektu. V posledních letech je ale snahou poskytovatelů účelové podpory tyto režijní náklady snižovat, požadavky na v.v.i. i legislativní povahy ale neustále rostou. 

Důvodová zpráva uvádí velmi hrubé odhady nákladů na zavedení 
a následné provádění bezpečnostních opatření pohybující se přibližně mezi 800 tis. Kč a 1,5 mil. Kč vůči jednomu zabezpečovanému systému. Dále uvádí, že podstatnou proměnnou celkových nákladů bude především to, jaký je daný počet jednotlivých systémů u každé konkrétní organizace a také, že takový násobek výše uvedené částky bude potřeba daným organizacím alokovat v rámci veřejných rozpočtů. Tato skutečnost by měla, též v kontextu přijímání úspor státního rozpočtu, významný negativní vliv na rozsah a kvalitu činností resortních výzkumných organizací, kdy se převážně jedná o činnosti pro podporu výkonu státní správy. V konečném důsledku by tedy tato úprava měla negativní dopad na kvalitu výkonu státní správy v resortu MŽP a omezila by plnění prioritních úkolů na ochranu životního prostředí, které vyplývají ze složkových zákonů nebo usnesení vlády (a obdobně i v jiných resortech). 

Pro představu v rámci běžné v.v.i. může jít hrubě o 20 systémů, tedy náklady dle odhadů NÚKIB někde mezi 16 až 30 mil. Kč ročně. Realitou je však také nižší vyspělost resortních v.v.i. v kybernetické bezpečnosti obecně (dosud jsou v tomto ohledu bez regulace), z čehož se dá odhadnout, že náklady na jejich zabezpečení budou spíše odpovídat vyšším odhadům NÚKIB.
	

	
	Doporučující připomínky:
1. K §27;
žádáme o upřesnění, které regulované služby jsou strategicky významné. Z §27 odst. 1 vyplývá, že je celá veřejná správa zařazena automaticky mezi poskytovatele strategicky významné služby. Odstavec 2 poté sděluje určování případné strategicky významné služby ze strany NÚKIB – odstavec 2 je tedy vztažen pouze na subjekty mimo odstavec 1?

2. K §32 odst. 3
doporučujeme upřesnit a sjednotit uvedena evidence dodavatelů bezpečnostně významných dodávek. Dodavatel bezpečnostně významných dodávek je synonymum významného dodavatele z §2 odst. 2 písm. h)? Nebo je to jiný dodavatel?

3. K § 40 odst. 1 písm. d)
žádáme o vysvětlení nařízení práce v pohotovostním režimu ředitelem Úřadu. Jakých osob by se mohlo dotknout a jak je definován pohotovostní režim?

4. Jestliže je v §15, odst. 2, bod a) uvedeno “zajišťování minimální úrovně KB“, měla by být tato minimální úroveň srozumitelně prezentována. 

5. Na rozdíl od definice citlivé výzkumné činnosti, kterou návrh vyhlášky definuje, není jasné, co to znamená „většina prováděných výzkumných projektů“. Většinou se rozumí více než 50 % z počtu výzkumných projektů řešených v referenčním roce? Pokud se projektem rozumí to, co je vysoutěženo jako projekt, bez zohlednění jeho dílčích částí (podprojektů, pracovních balíčků), které jsou ale zohledňovány při vykazování spotřebovaných nákladů poskytovateli, pak počet takto podpořených projektů se mění každý rok. Bylo by vhodné použít exaktnější kritérium, zohledňující např. podíl veřejných prostředků na zdrojích získaných organizací na realizaci činností podle zřizovací listiny (hlavní činnosti, další činnosti, jiné činnosti) za nějaké referenční období. Každopádně fakt, že je subjekt příjemcem jakéhosi množství veřejných prostředků, nepovažujeme za relevantní kritérium, především v porovnání s prováděním citlivé výzkumné činnosti.

6. Oproti definici citlivé výzkumné činnosti, kterou návrh vyhlášky definuje, není jasné, co znamená „veřejné zdroje“. Veřejnými zdroji se pro účely tohoto zákona rozumí pouze veřejné zdroje rozdělované podle zákona č. 130/2002 Sb. tj. zdroje, které pocházejí ze státního rozpočtu ČR? Nebo se jimi pro účely navrhovaného zákona rozumějí 
i zdroje ze zahraničních programů, které však také často pocházejí 
z veřejných zdrojů, ovšem ne na úrovni státního rozpočtu ČR, ale např. na úrovni EU? Podíl projektů podpořených z veřejných prostředků ČR a z jiných veřejných prostředků se mění každý rok.
	

	
	
Kontaktní osobou pro vypořádání připomínek MŽP je Ing. Barbora Váňová, odbor informatiky (barbora.vanova@mzp.cz, tel.: 732 786 308).      

	


Stránka 4 (celkem 4)