Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
ÚŘAD VLÁDY ČR
Příloha k čj. ČTÚ-25 705/2023-606
Připomínky k materiálu s názvem:
„Návrh zákona o kybernetické bezpečnosti“
Resort
Připomínky
Český telekomunikační úřad
Úvod
Český telekomunikační úřad (dále jen „ČTÚ“) se seznámil s předloženým materiálem „Návrh zákona o kybernetické bezpečnosti“ (dále jen „Návrh“).
ČTÚ k předloženému Návrhu uplatňuje následující připomínky zásadní povahy a rovněž připomínky doporučující.
Zásadní připomínky:
1. K § 28 odst. 3 písm. a) Návrhu
Připomínka ČTÚ: ČTÚ navrhuje v § 28 odst. 3 písm. a) Návrhu zrušit slova „vysoká nebo“.
Připomínkou navrhovaná úprava promítnutá do úplného znění Návrhu zní:
„(3)
Pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce se rozumí
a)
kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle prováděcího právního předpisu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní vysoká nebo kritická; kritickou částí stanoveného rozsahu jsou vždy alespoň aktiva stanoveného rozsahu strategicky významné služby, která zajišťují nepominutelné funkce stanoveného rozsahu stanovené prováděcím právním předpisem,“.
Odůvodnění: ČTÚ se domnívá, že navrhovaná úprava v § 28 odst. 3 písm. a) Návrhu, která zavádí mechanismus prověřování bezpečnosti dodavatelského řetězce s povinností pro poskytovatele strategicky významné služby postupem podle prováděcího právního předpisu, kdy tento má ohodnotit dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní vysoká nebo kritická, je příliš široká, když by navržená právní úprava měla být primárně zaměřena pouze na významné služby s úrovní kritická. Pro tyto kritické části, které mohou způsobit okamžitou nedostupnost strategicky významné služby, je vhodné, aby byla možnost státu zakázat vybraného dodavatele, u kterého identifikuje významné hrozby (v případě sítí elektronických komunikací se bude jednat zejména o jádro sítě, nikoli o přístupové části sítě včetně části přípojné).
Při souběhu obou povinností, tj. posuzovat jak strategicky významné služby s vysokou úrovní, tak i s úrovní kritickou může rovněž docházet k významnému navýšení hlášení incidentů. Konkrétně z hlediska bezpečnosti veřejných sítí elektronických komunikací za dostatečné považuje ČTÚ uložení povinnosti poskytovateli strategicky významné služby spočívající v ohodnocení dopadu narušení bezpečnosti informací na stanovený rozsah strategicky významné služby pouze s úrovní, která naplňuje podmínku, že je kritická. Tím bude z pohledu ČTÚ naplněn požadavek přiměřenosti regulace v oblasti kybernetické bezpečnosti a poskytovatelům regulované služby umožní zaměřit se na ochranu jejich aktiv, která jsou nejdůležitější pro bezpečné a spolehlivé poskytování služeb ve veřejné síti elektronických komunikací.
Tuto připomínku ČTÚ považuje za zásadní.
2. K § 28 odst. 3 písm. a) Návrhu
Připomínka ČTÚ: ČTÚ navrhuje doplnit § 28 odst. 3 písm. písm. a) Návrhu, ve znění zásadní připomínky ČTÚ č. 1 k Návrhu tak, že zní:
„(3)
Pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce se rozumí
a)
kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle prováděcího právního předpisu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní vysoká nebo kritická; kritickou částí stanoveného rozsahu jsou vždy alespoň aktiva stanoveného rozsahu strategicky významné služby, která zajišťují nepominutelné funkce stanoveného rozsahu stanovené prováděcím právním předpisem, v případě regulované služby zajišťování veřejné komunikační sítě se nepominutelné funkce stanoveného rozsahu nevztahují k přístupové síti veřejné komunikační sítě a její přípojné části, včetně funkce jejich řízení“.
Odůvodnění: V návaznosti na první připomínku ČTÚ, ze které vyplývá, že by navržená právní úprava regulace dodavatelského řetězce (§ 28 a násl. Návrhu) měla směřovat v případě regulované služby zajišťování veřejné komunikační sítě do jádra sítě, které je nejzásadnější z hlediska bezpečnosti a integrity sítě a dostupnosti poskytovaných služeb, navrhuje ČTÚ nevztahovat regulaci dodavatelského řetězce, včetně možnosti uložení podmínky nebo zákazu využití plnění dodavatele bezpečnostně významné dodávky opatřením obecné povahy vydaným NÚKIB postupem podle § 30 Návrhu, k přístupové části sítě, včetně části přípojné a funkce řízení těchto částí. Tato technická aktiva mají z hlediska cílů regulace Návrhu nižší význam než kritický. V návaznosti na tuto připomínku bude potřeba touto připomínkou navrženou limitaci zmocnění k vydání prováděcího předpisu promítnout do navazující vyhlášky o nepominutelných funkcích stanoveného rozsahu, jejíž teze jsou připojeny k Návrhu.
Tuto připomínku ČTÚ považuje za zásadní.
3. K § 30 odst. 3 Návrhu
Připomínka ČTÚ: ČTÚ navrhuje do § 30 odst. 3 Návrhu za větu první vložit větu, která zní: „Dotýká-li se návrh opatření obecné povahy podle věty první poskytovatelů regulované služby zajišťování veřejné komunikační sítě nebo regulované služby poskytování veřejně dostupné služby elektronických komunikací, Úřad vyzve k vyjádření k návrhu opatření obecné povahy Český telekomunikační úřad.“.
Odůvodnění: S ohledem na možný značný zásah podmínek nebo zákazů obsažených v navrhovaném opatření obecné povahy, kterým Úřad (NÚKIB) stanoví podmínky nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, do plnění povinností podnikatelů v elektronických komunikacích (poskytovatelů regulované služby zajišťování veřejné komunikační sítě nebo regulované služby poskytování veřejně dostupné služby elektronických komunikací) stanovených zákonem o elektronických komunikací nebo uložených ČTÚ na jeho základě, například plnění povinností a závazků obsažených v přídělu rádiových kmitočtů podle § 22 zákona o elektronických komunikacích, považuje ČTÚ za žádoucí, aby byla dána povinnost Úřadu (NÚKIB) konzultovat navržené opatření obecné povahy s ČTÚ jako regulátorem v oblasti uvedených regulovaných služeb.
Tuto připomínku ČTÚ považuje za zásadní.
4. K § 37 Návrhu
Připomínka ČTÚ: ČTÚ navrhuje upravit § 37 Návrhu tak, že zní:
„Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost protiopatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidencích vedených Úřadem podle § 45, se podle právních předpisů upravujících svobodný přístup k informacím nebo vytváření, správu, provoz, užívání a rozvoj informačních systémů veřejné správy neposkytují.“.
Odůvodnění: ČTÚ navrhuje doplnit § 37 Návrhu ve smyslu této připomínky tak, aby komplexněji řešil otázku výjimek z poskytování, resp. uveřejňování informací. Konkrétně navržené doplnění směřuje formou normativního odkazu (obdobně jako v případě zákona č. 106/1999 Sb.) k zákonu č. 365/2021 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, a jeho prováděcímu předpisu, které počítají s uveřejňováním dokumentů, které obsahují informace o informačních systémech veřejné správy. Uveřejnění těchto informací (včetně například informací o stavu (nastavení a fungování) systému a budoucího rozvoje informačního sytému), by mohlo znamenat riziko, resp. mohlo ohrozit zajišťování kybernetické bezpečnosti u těchto systémů. ČTÚ tak navrhuje z obecného režimu uveřejňování podle předpisů upravujících informační systémy veřejné správy učinit výjimku z důvodů kybernetické bezpečnosti ve smyslu touto připomínkou navržené úpravy, resp. doplnění Návrhu.
Tuto připomínku ČTÚ považuje za zásadní.
5. K § 44 odst. 1 Návrhu
Připomínka ČTÚ: ČTÚ navrhuje rozšířit možnost použití Portálu NÚKIB jako společné platformy pro hlášení bezpečnostních incidentů.
ČTÚ tak navrhuje upravit odstavec 1 v tomto smyslu:
„(1)
Úřad je správcem a provozovatelem Portálu NÚKIB, který slouží k výkonu pravomocí Úřadu, sdílení informací, provádění digitálních úkonů a poskytování digitálních služeb podle tohoto zákona a pro plnění informační povinnosti, pokud tak stanoví jiný zákon.“.
Odůvodnění: ČTÚ navrhuje doplnit funkce Portálu NÚKIB tak, aby jeho prostřednictvím mohly být do budoucna hlášeny bezpečnostní incidenty podle jiných právních předpisů, například podle § 98 odst. 4 zákona o elektronických a dalších zákonů upravujících problematiku hlášení bezpečnostních incidentů a byla tak vytvořena jednotná platforma pro hlášení bezpečnostních incidentů již dříve ze strany NÚKIB uvažovaná, která by měla být gestorována NÚKIB a měla sloužit, což ČTÚ podporuje, k jednotnému hlášení těchto incidentů. ČTÚ tak navrhuje upravit předmětné ustanovení ve smyslu této připomínky.
Tuto připomínku ČTÚ považuje za zásadní.
6. K § 63 Návrhu
Připomínka ČTÚ: ČTÚ navrhuje do § 63 odst. 1 Návrhu doplnit větu, která včetně poznámky pod čarou zní:
„Pokud se Úřadem připravované rozhodnutí nebo opatření obecné povahy může dotknout plnění existující povinnosti uložené podle jiného právního předpisux) je Úřad povinen vyžádat stanovisko příslušného orgánu a v nejvyšší možné míře toto stanovisko zohlednit.
________________________
XX)
Například zákon č. zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách)…“.
Odůvodnění: S ohledem na možný dopad rozhodnutí a opatření obecné povahy vydávaných Úřadem (NÚKIB) do plnění povinností uložených příslušným orgánem (v případě poskytovatelů regulované služby zajišťování veřejné komunikační sítě nebo regulované služby poskytování veřejně dostupné služby elektronických komunikací se jedná o ČTÚ), ČTÚ navrhuje doplnit povinnost, nikoli pouze oprávnění Úřadu (NÚKIB) vyžádat si v rámci přípravy rozhodnutí nebo opatření obecné povahy stanovisko příslušného orgánu (například ČTÚ) a takové stanovisko v maximální možné míře v rámci rozhodovací činnosti zohlednit.
Tuto připomínku ČTÚ považuje za zásadní.
7. K bodu 16.1 a 16.2 přílohy k návrhu tezí vyhlášky o regulovaných službách (Teze prováděcích právních předpisů k navrhované právní úpravě)
Připomínka ČTÚ: V bodech 16. 1 a 16. 2 přílohy k návrhu tezí vyhlášky o regulovaných službách jsou vymezeny v části I. pod písmeny c) a d) parametry pro zařazení podnikatelů poskytujících veřejně dostupnou službu elektronických komunikací nebo zajišťujících veřejnou komunikační síť do režimu vyšších povinností, a to konkrétně: „c) je poskytovatelem veřejně dostupné služby elektronických komunikací skrze nejméně 350 000 aktivních mobilních SIM karet na maloobchodním trhu na území České republiky, nebo
d) je poskytovatelem nejméně 100 000 aktivních pevných internetových přípojek na území České republiky,“.
ČTÚ není bez podrobnějšího zdůvodnění zřejmá, byť vnímá, že se jedná pouze o teze návrhu vyhlášky, rozdílnost těchto hodnot, resp. parametrů pro zařazení do režimu vyšších povinností, tj. 350 000 aktivních mobilních SIM karet na maloobchodním trhu na území České republiky vs. 100 000 aktivních pevných internetových přípojek na území České republiky, bez ohledu na to, zda se jedná o maloobchodní či velkoobchodní trh. ČTÚ tak navrhuje sjednotit hodnoty tak, aby hodnota uvedená v bodu 16. 1 a 16. 2 v části I. pod písmenem d) byla na úrovni hodnoty uvedené v bodu 16. 1 a 16. 2 části I. pod písmenem c), když hodnota 100 000 aktivních pevných internetových přípojek se jeví z hlediska dopadu regulace Návrhu jako příliš nízká.
ČTÚ tak navrhuje upravit body 16. 1 a 16. 2 přílohy k návrhu tezí vyhlášky o regulovaných službách ve smyslu této připomínky.
Tuto připomínku ČTÚ považuje za zásadní.
Doporučující připomínky:
1. K § 30 odst. 2 Návrhu
Připomínka ČTÚ: V § 30 odst. 2 je navrhována nová gesce Bezpečnostní rady státu (BRS) vyplývající z navržené povinnosti ji informovat, resp. projednat návrhu opatření obecné povahy, kterým NÚKIB stanoví podmínky nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu. ČTÚ upozorňuje, že novou činnost BRS bude potřeba promítnout do vnitřních předpisů BRS, především do Statutu BRS, případně rovněž do Jednacího řádu BRS. ČTÚ proto doporučuje, aby taková potřeba úprav vnitřních předpisů BRS byla uvedena v rámci odůvodnění k § 30 odst. 2 Návrhu a gestor těchto předpisů (Úřad vlády ČR) byl na danou potřebu upozorněn.
2. K § 39 odst. 5 a § 65 Návrhu
Připomínka ČTÚ: V § 65 Návrhu je v rámci společných ustanovení stanoveno, že na tam vyjmenované postupy se ustanovení správního řádu upravující vedení správního řízení nepoužijí. V § 39 odst. 5 Návrhu se stanoví, že na rozhodování a ukládání povinností podle tohoto zákona se v době stavu kybernetického nebezpečí nevztahuje správní řád. Z obsahu § 39 odst. 5 Návrhu a jeho odůvodnění není zcela zřejmé, zda bylo úmyslem, aby se v době stavu kybernetického nebezpečí na rozhodování a ukládání povinností podle tohoto zákona nepoužil správní řád vůbec bez výjimky, tj. ani v těch případech, kde to jinak možné je (viz § 62 Návrhu), resp. zda mají být v takovém případě aplikovány základní zásady činnosti správních orgánů uvedené ve správním řádu apod. Navržená úprava vztahu Návrhu ke správnímu řádu, která je v Návrhu řešena na více místech působí nejednoznačně. ČTÚ tak doporučuje § 39 odst. 5 Návrhu, případně jeho odůvodnění upravit ve smyslu této připomínky. Zároveň lze doporučit přesunutí obsahu § 39 odst. 5 Návrhu do společného ustanovení (§ 65 Návrhu), kde je obecně upraven vztah Návrhu ke správnímu řádu.
Závěr
ČTÚ k Návrhu uplatňuje v rámci tohoto mezirezortního připomínkového řízení 7 připomínek zásadní povahy a 2 připomínky doporučující. ČTÚ je připraven k případné konstruktivní diskuzi nad jejím vypořádáním.
V Praze dne . července 2023
Vypracoval: Mgr. Vratislav Jadrný
Mgr. Šárka Němečková
ředitelka odboru legislativního a právního