Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                List1
	"Návrhu zákona o kybernetické bezpečnosti"  
	Číslo připomínky	Kraj	Kontakt	Typ připomínky	Připomínka
	1 konkrétní zásadní  	Středočeský	himmelova@kr-s.cz	Vymezení pojmů - § 2 (úprava definici pojmu "dostupnosti, důvěrnosti a integrity informací a dat" na "dostupnosti, důvěrnosti, integrity, autenticity-originalita")	Navrhovaná definice obsahující "dostupnost, důvěrnost a integritu dat" nepokrývá identifikaci, autentizaci, autorizaci jako metody zajišťující základní kontroly přístupu, stejně jako některé další služby související s digitálním podpisem. Vysvětlení: Autenticita-originalita - prokazatelnost místa, času nebo zdroje původu informací.
	2 konkrétní zásadní 	Středočeský	himmelova@kr-s.cz	§ 14, § 16,  - úprava časového rámce pro implementaci opatření
nejpozději do 1 roku na
nejpozději do 18 měsíců	Navrhovaný časový rámec je pro nové subjekty, které budou spadat pod regulaci velice krátký, ať s ohledem na finanční zdroj tak také na zajištění lidksých zdrojů.
	3 konkrétní zásadní 	Středočeský	himmelova@kr-s.cz	§ 2 odst. 1 písm. b) - primárním aktivem jsou data, informace, služby a procesy	Srovnání dat a informace nejsou korektní, data mohou a nemusí nést část informace. Současně informace bude vždy složena z dat. Data jsou fakta, která se stávají informacemi tehdy, pokud jsou vnímána či vyjádřena v kontextu a nesou význam, který je pochopitelný pro lidi. 
	4 konkrétní zásadní 	Středočeský	himmelova@kr-s.cz	§ 2 odst. 1 písm. b) provozní údaje	Není pochopitelné jaké provozní údaje jsou myšlena. Provozní údaje mohou mít různý význam, od množství provedených snímků na RTG, datasheety, provozní údaje ze zákona o elektronických komunikacích, apod.
	5 konkrétní zásadní 	Středočeský	himmelova@kr-s.cz	§ 2 - definice významný dopad	Není jasné co je definováno jako významný dopad. Pojem je uveden ve vyhláškách, ale není v zákoně.
	6 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§2 vymezení pojmů	Požadujeme vymezit všechny pojmy, které jsou v návrhu uvedené - například dodavatel bezpečnostně významné dodávky, bezpečnostně významná dodávka, informační a komunikační služby (§ 28 odst 3b) a další.
	7    konrétní zásadní 	Středočeský	himmelova@kr-s.cz	§ 2	Požadujeme definovat "důležité společenské nebo ekonomické činnosti". Směrnice hovoří v některých částech o "kritické společenské nebo hospodářské činnosti." Dle našeho názoru je "kritické" daleko užší rozsah než "důležité".
	8  konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 5	Požadujeme definovat "významný dopad".
	9 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 6 odst 3	Režim poskytovatele regulované služby by měl být stanoven přímo v zákoně a nikoli ve vyhlášce, protože vyplývá přímo z transpozice směrnice.
	10 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 8 Identifikace regulované služby	V odstavci 2 se uvádí, že "Registraci podle odstavce 1 je poskytovatel regulované služby povinen provést nejpozději do 30 dnů ode dne, kdy zjistí, že došlo k naplnění kritérií pro identifikaci regulované služby, nejpozději však do 90 dnů ode dne, kdy k naplnění kritérií pro identifikaci regulované služby došlo." Navrhujeme, aby tato lhůta byla "90 dnů ode dne, kdy zjistí, že došlo k naplnění kritérií pro identifikaci regulované služby, nejpozději však do 180 dnů..." Nový ZKB dle tezí vyhlášek dopadne a může dopadnout na celou řadu organizací, které kraje zřizují. Předpokládáme, že velká část těchto organizací bude po krajském úřadě požadovat radu a pomoc, protože nebude schopna se svým rozpočtem rychle dosáhnout souladu se zákonem. Požadujeme proto prodloužit délku registrace.
	11  konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 10 odst 2	Požadujeme prodloužit lhůtu na plnění povinností plynoucích ze zákona vůči zapsaným regulovaným službám na minimálně šest měsíců. Je nutné si uvědomit, že směrnice dopadne na řadu krajských příspěvkových organizací, z nichž řada bude v režimu vyšších povinností, např. nemocnice. Pokud má být zabezpečen soulad se Zákonem, je nutné k tomu dát dotčeným orgánům čas a prostor, zvláště pokud bude nutné přijmout nové zaměstnance nebo vysoutěžit externí dodavatele.
	12 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 13 odst 3	Požadujeme vyjmout nutnost evidovat primární aktiva, která byla vyjmuta ze stanoveného rozsahu. Jde o významně administrativně náročný úkon, navíc z hlediska kybernetické bezpečnosti naprosto nadbytečný.
	13 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 40 odst 1d	Není jasné, komu může Úřad nařídit práci v pohotovostním režimu. Požadujeme doplnit a popsat, jak bude procesně takové nařízení práce v pohotovostním režimu vypadat.
	14 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 40 odst 1h	Není jasné, co je to "neveřejná komunikační síť" - není definovaná v tomoto návrhu ani v Zákoně o elektronických komunikacích. Požadujeme doplnit do definic nebo příslušný odstavec odstranit.
	15 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	Díl 5 jako celek	Prověřování bezpečnosti dodavatelského řetězce není součástí směrnice. Požadujeme proto doplnit do RIA, jaký bude dopad na regionální podnikání, především na malé a střední podniky, a na zájem krajů i státu o co nejrychlejší pokrývání regionů vysokorychlostním internetem, a toto posouzení učinit ideálně na základě objektivních dat (např. jakých regionálních a národních poskytovatelů se nové povinnosti dotknou přímo či nepřímo, jaké nyní využívají dodavatele, jací dodavatelé z nich budou s určitou mírou pravděpodobnosti zasaženi opatřením obecné povahy núkib a podobně).  
	16 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	Díl 5 jako celek	NÚKIB neuvažuje přímé dopady na spotřebitele, ale zároveň uvádí, že lze očekávat tlak regulovaných orgánů na promítnutí nákladů na zavátění bezpečnostních opatření do cen služeb. To je negativní vliv na spotřebitele. Úřad by měl do RIA doplnit odhad toho, jak bude tento potenciální vliv na ceny vypadat, protože regulované služby jsou v odvětvích, která zasahují velkou část společnosti, která je na ceny velmi citlivá (jde např. o energetiku, ale i telekomunikace). 
	17 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 28 odst 3a)	Text odstavce je velmi komplikovaný a obtížně srozumitelný. Požadujeme jej přeformulovat tak, aby bylo jasné, co je vlastně záměrem předkladatele a co chce regulovat a že "kritická část stanoveného rozsahu" je jen úzce konkrétně vymezená část aktiv regulovaného subjektu. Dáváme na zvážení, zda používat "vyhlášku o nepominutelných funkcích". Poskytovatelé strategicky významné služby jsou z několika různých odvětví (energetika, distribuce atd.), ale "nepominutelné funkce" jsou z neznámého důvodu vyjmenované pouze pro telekomunikace. Domníváme se, že sebeidentifikace aktiv dle příslušné vyhlášky (těch, která ohodnotí poskytovatel na úroveň vysoká nebo kritická) postačuje pro všechan odvětví.
	18 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	§ 28 odst 3c)	Obáváme se, že takto široké pojetí pojmu "dodavatel" ve spojení s poměrně širokým pojetím "kritické části stanoveného rozsahu" tak, jak jsme to pochopili z odstavce 3a) (pokud se podíváme na návrh vyhlášky o nepominutelných funkcích, tak nepominutelnou funkcí je např. takřka celá síť telekomunikačního operátora) způsobí, že mechanismus dopadne takřka na každého dodavatele velkých operátorů, kteří jsou subjektem mechanismu dle vyhlášky. Regulovanými subjekty tak budou stovky malých a středních regionálních operátorů, jejichž normální činností je poskytování služeb elektronických komunikací v regoinech. Kromě již tak komplikovaného plnění regulačních povinností ze zákona (protože na odvětví elektronických komunikací se směrnice vztahuje bez ohledu na velikost podnikatele) budou mít další povinnosti, které na ně přenese jejich zákazník. Navrhujeme proto lépe definovat, kdo je dodavatel a kdo poddodavatel a ideálně "kritickou část stanoveného rozsahu" omezit tak, aby zahrnovala skutečně jen kritické části sítě operátora s celonárodní působností (např. jádro sítě 5G) a nezahrnovala okrajové části sítě, které nejsou z hlediska kybernetické bezpečnosti tak kritické. Úřad by měl také do důvodové zprávy doplnit mezinárodní srovnání obdobných úprav v ostatních zemích EU.
	19 konkrétní zásadní	Pardubický	Rezler, david.rezler@pardubickykraj.cz	Současný návrh §37 navrhujeme dát pod odst. 1 a dále přidat odst.2 ve znění:	
V případě, že je subjekt regulovaný tímto zákonem požádán jiným subjektem z jiného legislativního důvodu o informaci, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost bezpečnostního opatření podle tohoto zákona, musí žadatel písemně garantovat a případně na žádost Úřadu i prokázat stejnou nebo vyšší míru ochrany obdržených informací, která mu byla poskytovatelem těchto informací předána a jejichž míra ochrany informací byla poskytovatelem viditelně označena.
Považujeme rozsah paragrafu §37 za nedostatečný a námi navržený přidaný text má za úkol ošetřit předávání informací (či dokumentací) při meziresortních komunikacích, např. kontrolách, které probíhají podle jiného zákona a kde musí poskytovatel předat velkou míru informací, které sám považuje za důležité, ale žadatel již dle svého uvážení ne.
	20 konkrétní zásadní	Pardubický	Rezler, david.rezler@pardubickykraj.cz	§45, odst 2) 	Navrhujeme změnu:
Úřad poskytuje v odůvodněných případech údaje z evidencí orgánům veřejné moci na jejich žádost, je-li to nezbytné pro výkon jejich působnosti. Poskytnuté údaje je možné využít jen pro potřeby, které byly uvedeny v žádosti. Úřad označí výdávané údaje viditelně doporučenou úroveň ochrany informací a žadatel vynaloží přiměřené úsilí k zajištění bezpečnosti informací takto poskytnutých údajů.
Popsané povinnost při předávání informací neveřejného charakteru považujeme v návrhu tohoto zákona obecně za nedostatečný. Uvedenou textaci lze pouze jednou použít i jako rozšíření §66.
	21 konkrétní zásadní	Pardubický	Rezler, david.rezler@pardubickykraj.cz	§45, odst 3)	Navrhujeme změnu:
Úřad může v odůvodněných případech poskytovat údaje z evidencí Národnímu CERT, orgánům nebo osobám vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným orgánům nebo osobám působícím v oblasti kybernetické bezpečnosti v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru. V takovém případě Úřad viditelně označí postkytované informace doporučenou úrovní bezpečnosti informací a v nejvyšší možné míře po žadatelích dodržování této bezpečnosti informací vyžaduje.
Popsané povinnost při předávání informací neveřejného charakteru považujeme v návrhu tohoto zákona obecně za nedostatečný. Uvedenou textaci lze pouze jednou použít i jako rozšíření §66.

	22 doporučení	Pardubický	Rezler, david.rezler@pardubickykraj.cz	 §43 odst 2)	U §43 odst 2) nekonkretizovat složení kontrolní komise, ale odkázat se na jiný právní předpis.
	23     obecná 	Středočeský	himmelova@kr-s.cz		Obecně NUKIB vůbec neprovedl dopad na regulované subjekty, toto by se mu mělo vytknout a mělo by se požadovat doplnění důvodové zprávy. Není naprosto jasné jak povinnosti dopadnou na obce, kraje, jimi zřizované organizace atd atd, není tam žádná analýza nákladů, vůbec nic. V podstatě se vysmáli metodice pro RIA. 

 Například:  
§ 15 – Seznam bezpečnostních opatření – pro vyšší i nižší povinnosti je stanoveno, že jsou bezpečnostními opatření „bezpečnost lidských zdrojů“-  a contrario ke stanoveným: řízení přístupu, řízení rizik, řízení identit a jejich oprávnění atd. nerozumím, co tím myslí. V důvodovce jsem k tomu nic nenašla. Co to má na obci znamenat?

 K § 15 - v zákoně je jenom výčet bezpečnostních opatření. Ve vyhláškách je pak specifikované, co je tím konkrétně myšleno (§ 11 vyšších povinností a § 6 nižších povinností).

V podstatě každá ORP (= nižší povinnosti) bude muset plnit toto:

§ 6
 Bezpečnost lidských zdrojů

Povinná osoba v rámci bezpečnosti lidských zdrojů

a)   stanoví politiku bezpečného chování uživatelů, v rámci které zohledňuje relevantní témata uvedená v příloze č. 4 této vyhlášky,

b)      stanoví pravidla rozvoje bezpečnostního povědomí, včetně pravidel pro tvorbu hesel dle § 9,

c)       v souladu s pravidly rozvoje bezpečnostního povědomí provádí vstupní školení v oblasti kybernetické bezpečnost,

d)      v souladu s pravidly rozvoje bezpečnostního povědomí provádí pravidelná školení v oblasti kybernetické bezpečnosti,

e)      v rámci školení podle písm. c) a d) zohledňuje relevantní témata uvedená v příloze č. 4 této vyhlášky,

f)        vede přehledy o školeních podle písm. c) a d),

g)       zajistí potřebná odborná teoretická i praktická školení administrátorů a osoby odpovědné za kybernetickou bezpečnost v souladu s jejich pracovní náplní,

h)      zajistí kontrolu dodržování bezpečnostní politiky a

i)        určí pravidla a postupy pro řešení případů porušení stanovených pravidel.

Zároveň ale podle § 4 musí povinná osoba vést dokumentaci zahrnující oblasti uvedené v příloze 2, a tam je zároveň další bezpečnost lidských zdrojů:
 
1.       Politika bezpečnosti lidských zdrojů

a)   Pravidla rozvoje bezpečnostního povědomí a evidence přehledů o školeních.

b)      Bezpečnostní školení nových zaměstnanců.

c)       Stanovení periody pro pravidelná školení.

d)      Pravidla pro řešení případů porušení bezpečnostní politiky.

e)    Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice

                                                            I.      vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu,

                                                            II.      změna přístupových oprávnění při změně pracovní pozice,

                                                           III.      předání odpovědností při změně pracovní pozice nebo ukončení pracovního vztahu s administrátory nebo osobou odpovědnou za kybernetickou bezpečnost.

Pravidla bezpečného chování uživatelů včetně pravidel pro tvorbu hesel.
 
Takže je to poměrně hodně compliance / byrokracie pro všechny povinné subjekty. Přitom podle směrnice ORP / obce nemusí být povinným subjektem podle NIS 2 vůbec - je to jen na národním státu, zda si řekne, že ano. NÚKIB v důvodové zprávě uvádí tuším něco takového, že obce mají s kyberbezpečnostními incidenty “neblahé zkušenosti” bez dalších detailů, o co jde, takže všechny ORP chce mít regulované. Jedná se o naprostou nepřiměřenost požadované regulace, kvůli "neblahým" zkušenostem někollika ORP zatížit vysokou měrou povinností ty, které na KB dbají a podstatně jim navýšit provozní náklady.  

Pak ještě zkoumáme k § 4, např. vodní hospodářství, odpadové hospodářství, věda, výzkum, vzdělávání, jestli to bude mít dopad i na municipality, resp. i na DSO.

Bude to mít dopad, pokud jsou zřizovateli podniků, které jsou ve vyhlášce specifikované jako že budou mít nižší nebo vyšší povinnosti. Respektive dopadne to na tyto podniky, takže jejich zřizovatel bude muset zajistit, že na to tyto podniky / organizace dostanou finance.
 
	"Návrhu vyhlášky o kybernetické bezpečnosti"  
	1 zásadní	Pardubický	Rezler, david.rezler@pardubickykraj.cz	Vyhláška §5	Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností přidat text:
8) Zodpovědnost vrcholného vedení za dodržování  povinností dle tohoto textu nelze delegovat ani pracovně-právním vztahem. 
Jedná se o nejčastější způsob zbavení se zodpovědnosti. Po předání povinností pak zase klesá znalost vrcholového vedení o kybernetické bezpečnosti.
	2 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	Příloha vyhlášky o regulovaných službách, č. 18	Takto vymezený rozsah poskytovatelů regulované služby může dopadnout (převážně zřejmě v podobě nižších povinností) i na celou řadu domovů seniorů, které také poskytují zdravotní péči (a jsou z hlediska počtu zaměstnanců středním podnikem). Bylo to skutečně záměrem navrhovatele?
	3 konkrétní zásadní	Středočeský	himmelova@kr-s.cz	Příloha vyhlášky o regulovaných službách, č. 19 Věda, výzkum a vzdělávání	Kraje jsou zřizovateli výzkumných institucí, které jsou vedeny v seznamu výzkumných organizací vedený MŠMT podle §33a zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje. Tyto mají být zařazeny mezi poskytovatele regulované služby v režimu vyšších povinností. Toto je zcela mimo rámec principu proporcionality, protože do takového režimu se dostane např. Hvězdárna Valašské Meziříčí nebo Archeologické centrum Olomouc, které jsou zřizované krajem. Směrnice přitom "Výzkumné organizace" bez dalšího uvádí jako "další kritická odvětví", která mohou být subjektem regulace v režimu nižších povinností. Zároveň z kontextu směrnice (recitál 36) vyplývá, že výzkumné organizace jsou takové, které "by měly být chápány tak, že zahrnují subjekty, které se v podstatné části svých činností zaměřují na provádění aplikovaného výzkumu nebo experimentálního vývoje ve smyslu manuálu Frascati z roku 2015 OECD." Požadujeme tak redefinovat v návrhu vyhlášky identifikaci výzkumných organizací, protože jinak NÚKIB přistupuje např. k historickému výzkumu v regionálním muzeu stejně jako k vojenskému výzkumu, což jistě předkladatel nezamýšlel.
	4 doporučení	Pardubický	Rezler, david.rezler@pardubickykraj.cz	§2, odst.2) písm e)	Změna textu na:
událostí již zrealizovanou nebo právě realizovanou událostí
Předkládaný návrh více rozlišuje hrozbu a událost.

mailto:himmelova@kr-s.czmailto:himmelova@kr-s.czmailto:himmelova@kr-s.cz
List2


List3