Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSG44YX najdete zde
X.
VYPOŘÁDÁNÍ PŘIPOMÍNEK K MATERIÁLU S NÁZVEM:
Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti
Podle Jednacího řádu vlády byl materiál rozeslán do meziresortního připomínkového řízení dopisem ředitele Národního úřadu pro kybernetickou a informační bezpečnost dne 19. 6. 2023, s termínem dodání stanovisek do 26. 7. 2023. Vyhodnocení tohoto řízení je uvedeno v následující tabulce:
Č.
Resort
Připomínky
Vypořádání
1.
Národní bezpečnostní úřad
D
K části třetí (změna zákona o střetu zájmů): Zúžení osobní působnosti zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů, o vybranou skupinu zaměstnanců Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) nepovažujeme za vhodné a účelné řešení. Předkladatel tuto změnu odůvodňuje především duplicitou při poskytování údajů o nabytém majetku a dalších příjmech, darech nebo jiném prospěchu, popřípadě závazcích, které zaměstnanci NÚKIB podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, poskytují Národnímu bezpečnostnímu úřadu při podání žádosti o vydání osvědčení fyzické osoby. V této souvislosti si dovolujeme upozornit na skutečnost, že zákon č. 412/2005 Sb. má jiný účel než zákon o střetu zájmů. Účelem zákona č. 412/2005 Sb. je především prověření fyzické osoby, která podala žádost o vydání osvědčení fyzické osoby, zda splňuje podmínky pro jeho vydání, a to zejména prověřit, zda je daná osoba bezpečnostně spolehlivá. Řízení, které za tímto účelem Národní bezpečnostní úřad vede, je neveřejné. Naproti tomu účelem zákona o střetu zájmů je mimo jiné veřejná kontrola majetku nabytého po dobu výkonu funkce, jakož i dalších příjmů. V daném případě se tak zcela zjevně nemůže jednat o duplicitní hlášení informací. Doporučujeme proto předkladateli přehodnotit navrhovanou změnu a novelu zákona o střetu zájmů z návrhu předmětného zákona vypustit.
Akceptováno.
Navrhovaná změna zákona o střetu zájmů byla vypuštěna.
Připomínkové místo s vypořádáním souhlasí.
2.
Ministerstvo spravedlnosti
D
K čl. I (§ 98 odst. 9 zákona o elektronických komunikacích): V souladu s čl. 58 odst. 4 písm. a) Legislativních pravidel vlády doporučujeme v úvodní části novelizačního bodu slova „za odstavec 8 vkládá nový“ nahradit slovem „doplňuje“. Dále doporučujeme text doplňovaného odstavce odsadit na nový řádek.
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
3.
Ministerstvo spravedlnosti
D
K čl. II, bod 12. (§ 7 odst. 4 zákona o informačních systémech veřejné správy): Uvedeným novelizačním bodem má dojít k doplnění nové skutkové podstaty přestupku, podle které se poskytovatel cloud computingu dopustí přestupku tím, „že poskytuje cloud computing, který nesplňuje požadavky na cloud computing využívaný orgánem veřejné správy podle § 6n“. Upozorňujeme, že je možné považovat uvedené vymezení skutkové podstaty přestupku za nepřesné, jelikož jej lze interpretovat rovněž tak, že danou skutkovou podstatu přestupku poskytovatel cloud computingu naplní vždy, pokud poskytne cloud computing nesplňující požadavky podle § 6n. Ustanovení § 6n se však vztahuje pouze na případy, kdy poskytovatel cloud computingu poskytuje cloud computing orgánu veřejné správy nebo poskytovateli státního cloud computingu. Doporučujeme proto zpřesnit skutkovou podstatu přestupku, a to například následujícím způsobem:
„Poskytovatel cloud computingu se dopustí přestupku tím, že poskytuje orgánu veřejné správy nebo poskytovateli státního cloud computingu cloud computing, který nesplňuje požadavky
na cloud computing využívaný orgánem veřejné správy podle § 6n.
Akceptováno.
Připomínkou dotčené ustanovení bylo upraveno podle navrhovaného textu.
Připomínkové místo s vypořádáním souhlasí.
4.
Ministerstvo spravedlnosti
Z
K čl. III [§ 2 odst. 2 písm. d) zákona o střetu zájmů]: Navrhované ustanovení upravuje zúžení osobní působnosti zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů (dále jen „zákon o střetu zájmů“), tím, že vyjímá vedoucí zaměstnance Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB)
z množiny veřejných funkcionářů. Důvodová zpráva k návrhu zákona uvádí, že důvodem pro tuto úpravu je „především duplicita při poskytování údajů o nabytém majetku a dalších příjmech, darech nebo jiném prospěchu, popřípadě závazcích, které všichni zaměstnanci NÚKIB podle zákona o ochraně utajovaných informací poskytují Národnímu bezpečnostnímu úřadu při podání žádosti o vydání osvědčení fyzické osoby, a to nejen po dobu výkonu zaměstnání (tedy i výkonu funkce vedoucího zaměstnance NÚKIB), ale také zpětně (10, 15,
20 let, popř. od věku 15 let).“ Zákon o střetu zájmů se nicméně vztahuje na celou řadu dalších veřejných funkcionářů, kteří stejně jako vedoucí zaměstnanci NÚKIB podléhají povinnostem dle zákona o ochraně utajovaných informací. Mohou jimi být třeba zaměstnanci státu vykonávající zahraniční službu (např. velvyslanci). Částečné vynětí pouze vedoucích zaměstnanců NÚKIB by představovalo neodůvodněný nerovný přístup k veřejným funkcionářům (vykonatelům veřejné moci). Ministerstvo spravedlnosti se nicméně nebrání diskusi ohledně případné dílčí plošné výjimky pro veřejné funkcionáře podléhající zákonu
o ochraně utajovaných informací za účelem odstranění duplicity v oznamovací povinnosti těchto osob.
Dále je potřeba uvést, že postavení veřejného funkcionáře podle zákona o střetu zájmů není spojeno pouze s oznamovací povinností, ale také s dalšími povinnostmi podle zákona o střetu zájmů (viz např. § 3 a 6 zákona o střetu zájmů). Vyjmutí vybraných veřejných funkcionářů
z osobní působnosti zákona o střetu zájmů by přitom znamenalo i neaplikovatelnost těchto povinností. Naproti možné duplicitě spojené s oznamovací povinnosti není tento důsledek vynětí vedoucích zaměstnanců NÚKIB z osobní působnosti zákona o střetu zájmů
v důvodové zprávě vůbec odůvodněn.
Nadto samotné zahrnutí výjimky pro vedoucí zaměstnance NÚKIB do § 2 odst. 2 písm. d) zákona o střetu zájmů vedle příslušníků zpravodajských služeb se jeví jako nesystémové po věcné i formální stránce. Široce formulovanou výjimku pro zpravodajské služby opodstatňuje primárně skutečnost, že příslušnost ke zpravodajské službě bývá sama o sobě citlivou nebo dokonce utajovanou informací. To však pro zaměstnance NÚKIB, bez snižování jejich významu, neplatí.
Dále z hlediska legislativní techniky Ministerstvo spravedlnosti podotýká, že formulovaná výjimka trpí vadou v podobě přiřazení zaměstnanců NÚKIB k vyňatým příslušníkům zpravodajských služeb s využitím prosté spojky „a“, a to ačkoli se v případě zaměstnanců NÚKIB nejedná o „příslušníky“ v právním slova smyslu. V prostředí právního řádu České republiky je termín příslušník v užším slova smyslu spojen s označením fyzické osoby, která v bezpečnostním sboru vykonává službu (§ 1 zákona o služebním poměru příslušníků bezpečnostních sborů). Označení příslušník bez dalšího užívá mimo jiné právě zákon
o zpravodajských službách České republiky, zákon o bezpečnostní informační službě a zákon o Vojenském zpravodajství. V případě zaměstnanců NÚKIB patrně nelze hovořit o příslušnících ve stejném smyslu, v jakém je tento pojem užit pro příslušníky zpravodajských služeb v zákoně o střetu zájmů. Potenciální výjimka by proto vzhledem k výše uvedenému musela směřovat do jiného ustanovení zákona o střetu zájmů, než je ustanovení § 2 odst. 2 písm. d).
Vzhledem k výše uvedenému Ministerstvo spravedlnosti nesouhlasí s navrhovaným vynětím zaměstnanců NÚKIB z působnosti zákona o střetu zájmů a požaduje z návrhu vypustit novelu zákona o střetu zájmů.
Akceptováno.
Navrhovaná změna zákona o střetu zájmů byla vypuštěna.
Připomínkové místo s vypořádáním souhlasí.
5.
Ministerstvo zemědělství
D
K části čtvrté návrhu zákona: Ustanovení uvedené v novele zákona o prověřování zahraničních investic není promítnuto do návrhu zákona o kybernetické bezpečnosti.
V § 7 písm. c) zákona č. 34/2021 Sb., o prověřování zahraničních investic se uvádí: „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby“ nahrazují slovy „poskytovatelem strategicky významné služby“.
Vysvětleno.
Pokud správně rozumíme této připomínce, tak je potřeba uvést, že právní úprava v § 7 písm. c) zákona o prověřování zahraničních investic je na návrhu zákona o kybernetické bezpečnosti nezávislá právní úprava stanovující povinnosti spojené s prověřováním zahraničních investic. V rámci § 7 stanovuje zákon o prověřování zahraničních investic okruh adresátů této normy, a ten tvoří zejména odkazy na jiné právní předpisy, které nějakým způsobem definují nejdůležitější subjekty v ČR z hlediska bezpečnosti. Je zde jak odkaz na krizový zákon, tak i zákon o kybernetické bezpečnosti. V samotném návrhu zákona o kybernetické bezpečnosti (stejně tak jako v případě krizového zákona) však není potřeba cokoliv směrem k zákonu o prověřování zahraničních investic upravovat. Nabízel by se samozřejmě jedině dvojitý odkaz, tj. uvést v ustanovení o strategicky významných službách, že tato množina je využívána také zákonem o prověřování zahraničních investic – legislativně technicky se však taková úprava neprovádí a není ani účelná. Současně dojde k úpravě navržené změny na základě připomínky Ministerstva průmyslu a obchodu, které požaduje, aby byly do rozsahu § 7 zákona o prověřování zahraničních investic zahrnuti poskytovatelé regulované služby v režimu vyšších povinností. V nově předkládaném návrhu zákona tak bude navrhovaná změna předmětného ustanovení v následujícím znění: V § 7 písm. c) se slova „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby5)“ nahrazují slovy „poskytovatelem regulované služby v režimu vyšších povinností“.
Připomínkové místo s vypořádáním souhlasí.
6.
Ministerstvo zemědělství
D
Doporučujeme zahrnout rovněž změnu zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, zejména možnosti zadavatele vyloučit uchazeče/dodavatele v případech nesplnění požadavků na kybernetickou bezpečnost ve smyslu zákona o kybernetické bezpečnosti.
Je potřeba promítnout ustanovení o platnosti a akceptovatelnosti bezpečnostních opatření doplněných v průběhu veřejné zakázky v případě, že NÚKIB vydá varování nebo opatření obecné povahy.
Neakceptováno.
Změna zákona o zadávání veřejných zakázek není z našeho pohledu nutná.
Možnost zadavatele vyloučit uchazeče ze zadávacího řízení v případě, že nesplní požadavky na kybernetickou bezpečnost včleněné do zadávací dokumentace, je v zákoně o zadávání veřejných zakázek obsažena již nyní (§ 48 odst. 2). Pokud si zadavatel požadavky na kybernetickou bezpečnost nevčlenění do zadávací dokumentace (a zároveň si jejich splnění nezajistí jiným způsobem, zejména vlastními silami nebo prostřednictvím jiného dodavatele), porušuje povinnost zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele stanovenou v § 25 návrhu zákona o kybernetické bezpečnosti (původně § 24).
Co se týče vydání opatření NÚKIB v průběhu zadávacího řízení, i zde zákon o zadávání veřejných zakázek v závislosti na fázi zadávacího řízení umožňuje reakci. Dokud je to možné, lze měnit zadávací podmínky a prodloužit přiměřeně lhůtu pro podání nabídek. Pokud již nabídky byly podány (a zároveň nejde o řízení umožňující o nabídkách jednat) a nové podmínky nejsou v zadávacím řízení reflektovány (nebo zadavatel není schopen situaci vyřešit jinak), nezbývá než zadávací řízení zrušit a zakázku vypsat znovu, protože uchazečům musí být z logiky věci dána možnost na změněné podmínky reagovat, resp. zadavatel by neměl uzavírat smlouvu s někým, kdo nesplňuje do budoucna platné podmínky, za kterých by jeho systém měl být provozován. Co se týče zásahu aktu NÚKIB do již uzavřených smluv, zde záleží na konkrétní situaci. Zadavatel má možnost postupovat podle § 222 zákona o zadávání veřejných zakázek. Některé smlouvy již obsahují změnová ujednání, podle kterých lze postupovat bez podstatné změny smlouvy. Pokud se podmínky mění podstatným způsobem, lze využít některý z důvodů pro odstoupení od smlouvy podle občanského zákoníku.
Návrh zákona byl konzultován i s gestorem zákona o zadávání veřejných zakázek a ani od něj nevzešel požadavek na úpravu zákona o zadávaní veřejných zakázek v tomto smyslu.
Připomínkové místo s vypořádáním souhlasí.
7.
Ministerstvo zemědělství
D
Chybí návrh změn v Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, jejíž příloha v bodě G pracuje s kybernetickou bezpečností. Doporučujeme nařízení rovněž zahrnout.
Vysvětleno.
Nařízení vlády o kritériích pro určení prvku kritické infrastruktury jakožto podzákonný právní předpis nelze měnit návrhem zákona, nehledě na to, že NÚKIB není jeho gestorem. Obecně veškeré změny spojené s předmětným nařízením vlády budou do budoucna řešeny společně s připravovanou změnou krizového zákona, který v tuto chvíli připravuje Ministerstvo vnitra – Generální ředitelství Hasičského záchranného sboru. Otázka kybernetické bezpečnosti je součástí tohoto procesu a NÚKIB také s Generálním ředitelstvím Hasičského záchranného sboru pravidelně spolupracuje a činnosti v této oblasti koordinuje.
Připomínkové místo s vypořádáním souhlasí.
8.
Ministerstvo zemědělství
D
K vyhlášce o bezpečnostních úrovních info. systémů veřejné správy: Funguje analýza dopadu (BIA) na stejných oblastech dopadu jako hodnocení aktiv v rámci analýzy rizik? Odkazuje-li NÚKIB na analýzu dopadu, bylo by vhodné poskytnout i metodickou pomůcku pro BIA.
Vysvětleno.
S návrhem zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti byly předloženy pouze teze vyhlášek. Vyhlášky tak nejsou předmětem tohoto připomínkového a bude k nim probíhat samostatné mezirezortní připomínkové řízení.
Připomínkové místo s vypořádáním souhlasí.
9.
Ministerstvo zemědělství
D
K § 4 vyhlášky o bezpečnostních úrovních info. systémů veřejné správy: Dáváme ke zvážení opravu textu: …k jehož zajištění jehož provozu… Výsledná úroveň dopadu je v rámci každé oblasti dopadu dána nejhorším možným dopadem kybernetického bezpečnostního incidentu.
Vysvětleno.
S návrhem zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti byly předloženy pouze teze vyhlášek. Vyhlášky tak nejsou předmětem tohoto připomínkového a bude k nim probíhat samostatné mezirezortní připomínkové řízení.
Připomínkové místo s vypořádáním souhlasí.
10.
Ministerstvo zemědělství
D
Není zcela jasný vztah subjektu kritické infrastruktury a poskytovatele strategicky významné služby.
Vysvětleno.
Návrh zákona definuje množinu "strategicky významných služeb" s ohledem na potřebu vymezení služeb, které jsou od "kritické infrastruktury" odlišné co do závislosti na ICT, pravděpodobnosti dopadu narušení bezpečnosti jedné služby na ostatní služby, síťové provázanosti služeb v sektoru aj.
Účelem vymezení množiny "strategicky významné služby" je tedy tvorba specifické kategorie relevantní pro oblast kybernetické bezpečnosti, zatímco pojem "kritická infrastruktura" je používán pro potřeby krizového řízení státu také v jiných oblastech. S ohledem na provázanost směrnic NIS 2 a CER však nelze vyloučit, že někteří poskytovatelé strategicky významné služby budou i provozovateli prvků kritické infrastruktury.
Připomínkové místo s vypořádáním souhlasí.
11.
Ministerstvo financí
Z
K materiálu obecně: V případě vzniku dopadů do personální a platové oblasti, které by měly být nad rámec současných limitů stanovených pro NÚKIB, respektive nad rámec limitů stanovených pro další dotčené rozpočtové kapitoly, s takovými dopady MF nesouhlasí. Případnou zvýšenou potřebu v personální a platové oblasti MF požaduje pokrýt výhradně v rámci stanovených limitů počtu míst a objemu prostředků na platy v dotčených rozpočtových kapitolách, tj. bez nároku na jejich jakékoliv navýšení. Výše uvedené MF požaduje zapracovat a explicitně uvést do všech relevantních částí materiálu.
Neakceptováno.
Odkazujeme na vypořádání obdobné připomínky k návrhu zákona o kybernetické bezpečnosti.
Reakce připomínkového místa:
Ministerstvo financí trvá na svých zásadních připomínkách. Zásadní připomínky Ministerstva financí týkající se rozpočtových dopadů návrhu zákona o kybernetické bezpečnosti a návrhu zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti, nebyly akceptovány.
Na připomínkách uplatněných v rámci MPŘ trváme a s návrhem vypořádání ze strany předkladatele materiálu nesouhlasíme.
Po schůzce
Byla navržena úprava materiálu (předkládací zpráva, RIA, odůvodnění) ve smyslu uplatněné připomínky. Návrh úprav byl ze strany připomínkového místa odsouhlasen.
Připomínkové místo s vypořádáním souhlasí.
12.
Ministerstvo financí
Z
K předkládací zprávě: Pokud předkladatel připouští, že schválení návrhu zákona vyvolá, byť minimální, rozpočtové dopady, měl by být tento fakt uveden rovněž v předkládací zprávě (čl. IV odst. 7 Jednacího řádu vlády, náležitosti obsahu předkládací zprávy), a to včetně uvedení konkrétního zdroje, ze kterého budou tyto nároky případně pokryty.
Vysvětleno.
Otázky zdrojů budou řešeny na ústním jednání v souvislosti s vypořádáním připomínek k návrhu zákona o kybernetické bezpečnosti se zástupci Ministerstva financí.
Reakce připomínkového místa:
Ministerstvo financí trvá na svých zásadních připomínkách. Zásadní připomínky Ministerstva financí týkající se rozpočtových dopadů návrhu zákona o kybernetické bezpečnosti a návrhu zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti, nebyly akceptovány.
Na připomínkách uplatněných v rámci MPŘ trváme a s návrhem vypořádání ze strany předkladatele materiálu nesouhlasíme.
Po schůzce
Byla navržena úprava materiálu (předkládací zpráva, RIA, odůvodnění) ve smyslu uplatněné připomínky. Návrh úprav byl ze strany připomínkového místa odsouhlasen.
Připomínkové místo s vypořádáním souhlasí.
13.
Ministerstvo financí
Z
K důvodové zprávě a RIA: Předkladatel v důvodové zprávě (část 7. Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty a na podnikatelské prostředí ČR) uvádí, že předkládaný návrh zákona nebude mít negativní hospodářský a finanční dopad, naopak má dojít k úsporám díky snížení administrativní zátěže. Závěrečná zpráva RIA v boxu 3.1.naopak uvádí, že navrhovaná novela přináší dopady na státní rozpočet, rozpočty ÚSC i na podnikatelské prostředí, byť je uvedeno, že dopady by měly být minimální. MF požaduje, aby obě části materiálu byly uvedeny do souladu. Detailněji jsme se k dopadům navrhované právní úpravy ke kybernetické bezpečnosti vyjádřili nesouhlasně v rámci MPŘ k ZoKB.
Akceptováno.
Obě zmíněné části materiálu byly uvedeny do souladu. Ve zbytku připomínky je potřeba odkázat na předchozí vypořádání relevantní obdobné připomínky.
Reakce připomínkového místa:
Není jasné, proč byla připomínka neakceptována, byli-li obě části materiálu uvedeny do souladu, přičemž cílem připomínky bylo právě na tento nesoulad mezi důvodovou zprávou a RIA upozornit.
Ministerstvo financí trvá na svých zásadních připomínkách. Zásadní připomínky Ministerstva financí týkající se rozpočtových dopadů návrhu zákona o kybernetické bezpečnosti a návrhu zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti, nebyly akceptovány.
Na připomínkách uplatněných v rámci MPŘ trváme a s návrhem vypořádání ze strany předkladatele materiálu nesouhlasíme.
Po schůzce
Byla navržena úprava materiálu (předkládací zpráva, RIA, odůvodnění) ve smyslu uplatněné připomínky. Návrh úprav byl ze strany připomínkového místa odsouhlasen.
Připomínkové místo s vypořádáním souhlasí.
14.
Ministerstvo financí
Z
K důvodové zprávě a RIA: MF požaduje, aby rozpočtové dopady připravovaného zákona byly zabezpečeny v rámci schválených finančních limitů kapitoly NÚKIB, případně v rámci schválených finančních limitů příslušných dotčených kapitol státního rozpočtu bez požadavku na jejich navýšení. Tato skutečnost by měla být výslovně uvedena ve všech relevantních částech materiálu (návrh usnesení vlády, důvodová zpráva, závěrečná zpráva RIA, předkládací zpráva).
Neakceptováno.
Odkazujeme na vypořádání obdobné připomínky k návrhu zákona o kybernetické bezpečnosti.
Reakce připomínkového místa:
Ministerstvo financí trvá na svých zásadních připomínkách. Zásadní připomínky Ministerstva financí týkající se rozpočtových dopadů návrhu zákona o kybernetické bezpečnosti a návrhu zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti, nebyly akceptovány.
Na připomínkách uplatněných v rámci MPŘ trváme a s návrhem vypořádání ze strany předkladatele materiálu nesouhlasíme.
Po schůzce:
Byla navržena úprava materiálu (předkládací zpráva, RIA, odůvodnění) ve smyslu uplatněné připomínky. Návrh úprav byl ze strany připomínkového místa odsouhlasen.
Připomínkové místo s vypořádáním souhlasí.
15.
Ministerstvo financí
Z
K zákonu obecně: MF požaduje doplnit novely zákona č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění pozdějších předpisů, a zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů. Důvody jsou uvedeny v rámci připomínek k návrhu zákona o kybernetické bezpečnosti.
Akceptováno.
Navržené změny byly do návrhu zákona doplněny (v upraveném znění viz ČÁST PÁTÁ a ŠESTÁ).
Reakce připomínkového místa:
Navrhujeme, aby právní úprava, že zákonem o kybernetické bezpečnosti vymezené poskytnutí informace není porušením mlčenlivosti podle daňového řádu a podle zákona č. 17/2012 Sb., byla řešena pouze úpravou v zákoně o kybernetické bezpečnosti. Zrcadlové promítnutí do příslušných ustanovení výše uvedených právních předpisů nepovažujeme za nezbytné, neboť již v současnosti jsou průlomy do uvedených povinností mlčenlivosti řešeny ve více zákonech a nemají vždy odraz v daňovém řádu, resp. zákoně o Celní správě ČR.
Tento závěr byl shodnut i na jednání dne 16. srpna 2023.
Po schůzce:
Novela daňového řádu a zákona o Celní správě byla z návrhu zákona vypuštěna.
Připomínkové místo s vypořádáním souhlasí.
16.
Ministerstvo financí
D
K důvodové zprávě a RIA: MF doporučuje konkrétně specifikovat v Závěrečné zprávě RIA v části „3.1 Dopady na státní rozpočet a ostatní veřejné rozpočty“ dopady na státní rozpočet.
Neakceptováno.
Úpravu (vhodné doplnění) připomínkou dotčených dokumentů může vyvolat výše zmíněné ústní jednání v souvislosti s vypořádáním připomínek k návrhu zákona o kybernetické bezpečnosti se zástupci Ministerstva financí, případně vypořádání některé z dalších vznesených připomínek. Jelikož připomínkové místo uplatnilo v rozporu s Legislativními pravidly vlády (čl. 5 odst. 6) zcela obecnou připomínku bez bližší specifikace v čem spatřuje nedostatky, předkladatel není schopen připomínku odpovídajícím způsobem vypořádat.
Připomínkové místo s vypořádáním souhlasí.
17.
Ministerstvo financí
D
K důvodové zprávě a RIA: V části 7.2 důvodové zprávy (7.2. Dopady na územní samosprávné celky) se uvádí, že náklady na zabezpečení kybernetické bezpečnosti obcí s rozšířenou působností (kterých je 205) budou cca 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému. Ze strany těchto ORP lze očekávat vysokou nevoli, pokud tyto obce budou muset předmětné náklady hradit z vlastních zdrojů. Jakkoli MF chápe nutnost ošetřit kybernetickou bezpečnost i na místních úrovních, dáváme ke zvážení, zda by náklady na aktualizaci zabezpečovaných systémů neměl v případě ORP financovat stát. Je nutno specifikovat zdroj úhrady dopadu na veřejné rozpočty.
Neakceptováno.
Úvodem je nutné uvést, že všechny obce s rozšířenou působností budou jako poskytovatelé regulovaných služeb zařazeny v režimu nižších povinností. Připomínkou uvedené náklady (800 000 - 1 500 000 Kč) se týkají poskytovatelů regulovaných služeb zařazených do režimu vyšších povinností. Demonstrativní výpočet nákladů v bodech 7.1.2-7.1.6 důvodové zprávy se týká nákladů správců kritické informační infrastruktury a významných informačních systémů, což je ekvivalent nově zaváděného režimu vyšších povinností. Náklady na zajišťování kybernetické bezpečnosti v režimu nižších povinností budou oproti tomu mnohem nižší. Žádná obec s rozšířenou působností nebude začínat se zajišťováním kyberbezpečnosti „na zelené louce". Aniž se to tak může jevit, některé požadavky kladené na režim nižších povinností má již zavedena většina dotčených organizací a mnoho projektů je v realizaci, k jejichž zajištění slouží např. i financování z výzev IROP. Výdaje na bezpečnostní opatření nebudou jednorázové, ale budou podle navrhované úpravy rozloženy v čase (nejméně 1 rok). Obec s rozšířenou působností si tak zavede plán plnění těchto bezpečnostních opatření, který bude postupně realizovat podle svých možností a potřeb dané organizace.
Připomínkové místo s vypořádáním souhlasí.
18.
Ministerstvo financí
D
K zákonu: V ČÁSTI PRVNÍ - Čl. I V úvodní větě je nutno vypustit zákon č. 153/2010 Sb., protože jeho novelizace ustanovení § 98 zákona č. 127/2005 Sb. již není v současné době platná (čl. 65 odst. 2 LPV). Mimo to je zapotřebí slova „za odstavec 8 vkládá nový“ nahradit slovem „doplňuje“ a znění nového odstavce 9 je nutno umístit na samostatný řádek a na konci textu článku doplnit tečku. Část třetí Čl. III V úvodní větě je nutno za slovem „služby“ doplnit do horního indexu odkaz na poznámku pod čarou č. 3b. Část čtvrtá Čl. IV Znění poznámky po čarou č. 5 je nutno umístit na samostatný řádek. Část pátá V navrhovaném § 33 odst. 3 doporučujeme slova „Povinnost podle věty první“ nahradit slovy „Tato povinnost“. Obecně: Slova „V Praze dne dd.mm.rrr“ a slova „Předseda vlády“ je nutno z návrhu zákona vypustit.
Akceptováno.
Část návrhu zákona novelizující zákon o střetu zájmů se z návrhu zákona vypouští (původně ČÁST TŘETÍ). Ostatní uplatněné připomínky byly akceptovány.
Připomínkové místo s vypořádáním souhlasí.
19.
Ministerstvo financí
D
K zákonu: V ČÁSTI DRUHÉ – Změna zákona o informačních systémech veřejné správy, se v ust. § 6l doplňuje věta: "Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu a zajišťovat, že budou dodržována bezpečnostní pravidla stanovená prováděcím právním předpisem." MF doporučuje tuto větu přeformulovat, neboť uvedená textace působí zmatečně (zejména je nejasná interpunkce).
Akceptováno.
Novelizační bod (v upraveném znění viz ČÁST TŘETÍ, bod 8) upraven následovně: „V § 6l se na konci odstavce 3 doplňují věty „Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu. Orgán veřejné správy je dále povinen zajišťovat, že budou dodržována bezpečnostní pravidla stanovená prováděcím právním předpisem.“
Připomínkové místo s vypořádáním souhlasí.
20.
Ministerstvo financí
D
K zákonu: V ČÁSTI DRUHÉ – Změna zákona o informačních systémech veřejné správy, ust. § 5b stanoví: ČÁST DRUHÁ "Správci informačních systémů veřejné správy, kteří nejsou poskytovatelem regulované služby podle zákona upravujícího kybernetickou bezpečnost, jsou povinni na jimi spravované informační systémy veřejné správy přiměřeně zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle zákona upravujícího kybernetickou bezpečnost". MF dává ke zvážení, zda v případě zavádění kybernetické bezpečnosti je opravdu na místě stanovovat povinnost prostřednictvím neurčitého pojmu "přiměřeně", neboť dle našeho názoru tato formulace povede k četným nejasnostem ohledně skutečné míry, která je pro splnění této povinnosti potřeba.
Vysvětleno.
Přiměřenost se v tomto případě uplatní na vztah míry rizika, které má dané opatření zmírňovat a finančních nákladů potřebných na jeho zavedení. Jedná se současně i o ovládací princip vyhlášky o kybernetické bezpečnosti. Jedná se tak primárně o stanovení velmi základní úrovně kybernetické bezpečnosti, která měla být původně obsahem samostatné vyhlášky o dlouhodobém řízení kybernetické bezpečnosti, ale vzhledem k možné dvojkolejnosti takové úpravy v rámci veřejné správy došlo s Ministerstvem vnitra k dohodě stanovit subjektům, které nejsou povinny podle zákona o kybernetické bezpečnosti a zároveň jsou subjekty zákona o informačních systémech veřejné správy, povinnost na základní úrovni, kterou by právě vzhledem ke své funkci mělo vyjadřovat použití slova přiměřeně. V případě, že by docházelo k problémům s výkladem tohoto pojmu, NÚKIB je připraven ke konzultacím a další osvětové činnosti v této oblasti.
Připomínkové místo s vypořádáním souhlasí.
21.
Ministerstvo financí
D
K zákonu: V ČÁSTI DRUHÉ - bod 13.: Nastavená horní hranice pokuty 10 000 000 Kč zřejmě odpovídá závažnosti příslušných přestupkových skutkových podstat, nicméně pokud má být pachatelem orgán veřejné správy, tedy podle § 1 odst. 1 zákona č. 365/2000 Sb. státní orgán, orgán územních samosprávných celků nebo státní právnická osoba, nedává nám moc smysl, zejména v prvním případě, aby stát sám sobě uvaloval takto vysoké pokuty, byť se za osobu, jejíž jednání je přičitatelné státnímu orgánu, považuje za účelem posuzování jeho přestupkové odpovědnosti konkrétní fyzická osoba - jeho zaměstnanec. Mimo to důvodová zpráva k bodu 13 uvádí, že navrhovaná výše sankce odpovídá sankcím v zákoně č. 181/2014 Sb. za stejné či obdobné přestupky; zde MF ale našlo maximální výši horní hranice ve výši 5 000 000 Kč, tedy poloviční.
Vysvětleno.
Je pravdou, že v případě udělení pokuty orgánu veřejné správy ji v zásadě uděluje stát sám sobě. Tato má však stále nejen sankční, ale i motivační povahu, vzhledem k tomu, že prostředky k zaplacení pokuty jdou z rozpočtu sankcionovaného orgánu veřejné správy. Její výše byla nastavena s ohledem na zvyšování sankcí v novém návrhu zákona o kybernetické bezpečnosti v důsledku požadavků směrnice NIS 2 na nastavení účinných sankcí. Formulace v důvodové zprávě byla upravena.
Připomínkové místo s vypořádáním souhlasí.
22.
Ministerstvo pro místní rozvoj
D
K nadpisu návrhu: V nadpisu doporučujeme slova „Vládní návrh“ nahradit slovem „Návrh“ a slova „ze dne dd.mm.rrrr“ nahradit slovy „ze dne ……. 2024“.
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
23.
Ministerstvo pro místní rozvoj
D
K označení částí a článků: Označení částí a článků v návrhu právního předpisu doporučujeme uvést netučně. Tučně zůstanou pouze nadpisy částí (např. Změna zákona o elektronických komunikacích).
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
24.
Ministerstvo pro místní rozvoj
D
K nadpisu části šesté: Nadpis části šesté „ÚČINNOST“ doporučujeme uvést tučně velkými písmeny.
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
25.
Ministerstvo pro místní rozvoj
D
V závěru návrhu právního předpisu doporučujeme slova „V Praze dne dd.mm.rrrr“ a slova „Předseda vlády“ vypustit.
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
26.
Ministerstvo pro místní rozvoj
D
K čl. I: V čl. I (k § 98 zákona o elektronických komunikacích) doporučujeme slova „za odstavec 8 vkládá nový“ nahradit slovem „doplňuje“ a za závěrečnými uvozovkami doporučujeme doplnit tečku.
Akceptováno.
V upraveném znění viz ČÁST ČTVRTÁ, bod 4.
Připomínkové místo s vypořádáním souhlasí.
27.
Ministerstvo pro místní rozvoj
D
K čl. II, bodu 5 (k poznámce pod čarou č. 18): V poznámce pod čarou č. 18 doporučujeme za slovem „a“ vypustit paragrafovou značku.
Akceptováno jinak. Došlo k vypuštění poznámky pod čarou, přičemž text poznámky pod čarou byl zahrnut do nového znění § 5b.
Připomínkové místo s vypořádáním souhlasí.
28.
Ministerstvo pro místní rozvoj
D
K čl. II, bodu 10: V bodě 10 doporučujeme text „odst. 7“ nahradit textem „§ 6t odst. 7“.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 10.
Připomínkové místo s vypořádáním souhlasí.
29.
Ministerstvo pro místní rozvoj
D
K čl. II, bodu 11: Bod 11 doporučujeme přeformulovat takto: „11. Na konci nadpisu § 7 se doplňují slova „a orgánů veřejné správy“.“.
Akceptováno jinak.
Navržená úprava novelizačního bodu 11 (v upraveném znění viz ČÁST TŘETÍ, bod 11): „Na konci textu nadpisu § 7 se doplňují slova „a orgánů veřejné správy“.“
Připomínkové místo s vypořádáním souhlasí.
30.
Ministerstvo pro místní rozvoj
D
K čl. II, bodu 13: Ze znění nově navrhovaného písmene a) doporučujeme za slovem „nebo“ vypustit slovo „odstavce“.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 13.
Připomínkové místo s vypořádáním souhlasí.
31.
Ministerstvo pro místní rozvoj
D
K čl. II, bodu 16: Bod 16 doporučujeme přeformulovat takto: „16. V § 12 se na konci odstavce 2 tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:“. Následovat bude text nových pododstavců.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 16.
Připomínkové místo s vypořádáním souhlasí.
32.
Ministerstvo pro místní rozvoj
D
K čl. III: V čl. III doporučujeme za slova „s výjimkou zpravodajské služby“ připojit odkaz na poznámku pod čarou č. 3b.
Akceptováno jinak.
Část novelizující zákon o střetu zájmů se z návrhu zákona vypouští.
Připomínkové místo s vypořádáním souhlasí.
33.
Ministerstvo pro místní rozvoj
D
K čl. V, bodu 2: V bodě 2 doporučujeme nadpis pod § 36b uvést tučně.
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 2.
Připomínkové místo s vypořádáním souhlasí.
34.
Ministerstvo pro místní rozvoj
D
K čl. V, bodu 4: V bodě 4 doporučujeme číslo „4“ nahradit textem „odst. 4“ a číslo „5“ nahradit textem „odst. 5“.
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 4.
Připomínkové místo s vypořádáním souhlasí.
35.
Ministerstvo pro místní rozvoj
D
K čl. V, bodu 5: Bod 5 doporučujeme upravit obdobně jako bod 4 s tím, že se s ohledem na slovo „nebo“ nebude jednat o „text“, ale o „slova“ (vizte připomínku č. 13).
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 5.
Připomínkové místo s vypořádáním souhlasí.
36.
Ministerstvo pro místní rozvoj
D
K čl. V, bodu 6: V bodě 6 doporučujeme text „e)“ nahradit textem „písm. e)“ a text „f)“ nahradit textem „písm. f).
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 6.
Připomínkové místo s vypořádáním souhlasí.
37.
Ministerstvo pro místní rozvoj
D
K čl. V, bodu 7: Bod 7 doporučujeme upravit obdobně jako bod 6 s tím, že se s ohledem na slovo „nebo“ nebude jednat o „text“, ale o „slova“ (vizte připomínku č. 15).
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 7.
Připomínkové místo s vypořádáním souhlasí.
38.
Ministerstvo pro místní rozvoj
D
Ke zvláštní části důvodové zprávy – části šesté: S ohledem na skutečnost, že účinnost zákona je navrhována dnem 18. října 2024, doporučujeme v odůvodnění ustanovení o nabytí účinnosti vysvětlit a zdůvodnit naléhavý obecný zájem ve smyslu § 3 odst. 4 zákona č. 309/1999 Sb., o Sbírce zákonů a o Sbírce mezinárodních smluv, ve znění pozdějších předpisů.
Akceptováno.
Ve zvláštní části odůvodnění bylo na základě připomínky v části týkající se účinnosti (nově část 11) doplněno odůvodnění doplněno ve smyslu návrhu zákona doplněn následující text: "Vzhledem k tomu, že zde existuje naléhavý obecný zájem, spočívající v nutnosti implementace směrnice NIS 2 do určeného termínu, lze podle § 3 odst. 4 zákona č. 309/1999 Sb., o Sbírce zákonů a o Sbírce mezinárodních smluv, ve znění pozdějších předpisů, stanovit dřívější den nabytí účinnosti, než který je stanovený v odst. 3 tohoto ustanovení, tedy k 1. lednu nebo k 1. červenci kalendářního roku, nejdříve však počátkem dne následujícího po dní vyhlášení právního předpisu. V případě, že by nebyla směrnice NIS 2 implementována v řádném termínu, může Evropská komise zahájit s Českou republikou řízení o nesplnění povinnost podle čl. 258 a násl. Smlouvy o fungování EU.".
Připomínkové místo s vypořádáním souhlasí.
39.
Ministerstvo průmyslu a obchodu
D
Doporučujeme do části první čl. I doplnit do výčtu novel zákona o elektronických komunikacích ještě novelu č. 202/2023 Sb.
Akceptováno.
V upraveném znění viz ČÁST ČTVRTÁ, Čl. IV.
Připomínkové místo s vypořádáním souhlasí.
40.
Ministerstvo průmyslu a obchodu
D
V části první v čl. l doporučujeme v souladu s čl. 58 odst. 4 písm. a) upravit znění novelizačního bodu, takto: „V § 98 zákona č. 127/2005 Sb., …. se doplňuje odstavec 9, který zní: …“
Akceptováno.
V upraveném znění viz ČÁST ČTVRTÁ, bod 4.
Připomínkové místo s vypořádáním souhlasí.
41.
Ministerstvo průmyslu a obchodu
Z
K materiálu (III.):
V části čtvrté: Změna zákona o prověřování zahraničních investic požadujeme upravit čl. IV tak, aby byly do rozsahu § 7 ZoPZI zahrnuti poskytovatelé regulované služby v režimu vyšších povinností:
V § 7 písm. c) zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), se slova „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby5)“ nahrazují slovy „poskytovatelem strategicky významné služby regulované služby v režimu vyšších povinností5)“.
Poznámka pod čarou č. 5 zní: „5) Zákon č. ... Sb., o kybernetické bezpečnosti.“.
5) § 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů. Zákon č. … Sb., o kybernetické bezpečnosti.
Stejná připomínka se pak analogicky váže rovněž k platnému znění dotčených zákonů (IV):
Zde bude nutné upravit platné znění dotčeného ustanovení zákona č. 34/2021 Sb., § 7 písm. c):
c) cílové osoby, která je správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní poskytovatelem strategicky významné regulované služby v režimu vyšších povinností[footnoteRef:1]5), nebo [1: ]
Rovněž k formulaci v důvodové zprávě (IV), str. 13:
K části čtvrté – změna zákona o prověřování zahraničních investic
Návrh změny ZoPZI následuje analogicky původní rozvržení tzv. cílových osob. Snahou stanovení jednoho z okruhů cílových osob jako poskytovatelů strategicky významné služby regulované služby v režimu vyšších povinností podle návrhu ZKB je přiblížit se v prostředí nového rozvržení kategorií povinných osob podle návrhu ZKB původnímu úmyslu dosavadního znění ZoPZI.
A rovněž k formulaci ve zprávě RIA (V):
Na str. 12, část 2.2.2, poslední odstavec:
V rámci varianty II byl dále uvažován model postavený na podvariantě poskytovatelů strategicky významných služeb, tedy množině obsahující více než stovku nejvýznamnějších organizací v ČR, regulovaných návrhem ZKB poskytovatelů regulované služby v režimu vyšších povinností tak, aby se zohlednila podstatná část rizik souvisejících se zahraničními investicemi směřujícími do zmíněného typu cílových osob.
Akceptováno.
Navržená úprava novelizačního bodu 1 (v upraveném znění viz ČÁST SEDMÁ, bod 1): „V § 7 písm. c) se slova „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby5)“ nahrazují slovy „poskytovatelem regulované služby v režimu vyšších povinností5)“.“
Navržená úprava novelizačního bodu 2 (v upraveném znění viz ČÁST SEDMÁ, bod 2): „Poznámka pod čarou č. 5 zní: „5) Zákon č. ... Sb., o kybernetické bezpečnosti.“.
Současně došlo k odpovídající úpravě platného znění dotčených ustanovení zákonů (viz str. 29 platného znění), důvodové zprávy k návrhu zákona (viz str. 14 důvodové zprávy) a RIA (viz část 2.2.2.).
Připomínkové místo s vypořádáním souhlasí.
42.
Ministerstvo průmyslu a obchodu
D
K důvodové zprávě (IV):
Doporučujeme opravit název zákona č. 34/2021 Sb. (str. 6): zákon č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), ve znění pozdějšího předpisu
Doporučujeme opravit text odstavce na str. 7 ve smyslu terminologie ZoPZI: O navrhovaných změnách v ZoPZI lze také konstatovat, že jsou ústavně konformní. Již v případě účinného ZoPZI dochází k omezení práva podnikat, které ovšem obstojí vzhledem k legitimnímu cíli, jež omezení sleduje, totiž k ochraně bezpečnosti státu a jeho vnitřního či veřejného a veřejného pořádku. Navrhovaná změna pouze navíc odráží změny obsažené v návrhu ZKB, přičemž smysl původního znění ZoPZI zůstává plně zachován.
Ke zprávě RIA (V): Analogicky k výše navrhované úpravě v rámci důvodové zprávy doporučujeme opravit název zákona č. 34/2021 Sb. napříč textem zprávy (str. 1, 6): zákon č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), ve znění pozdějšího předpisu
Akceptováno.
Navržené změny byly v dotčených dokumentech provedeny (viz str. 6 a 7 důvodové zprávy a str. 1 a 6 RIA).
Připomínkové místo s vypořádáním souhlasí.
43.
Ministerstvo průmyslu a obchodu
Z
K Čl. I zákona č. 127/2005 Sb., o elektronických komunikacích
V § 22a zákona o elektronických komunikacích se doplňuje nový odstavec 6, který zní:
„(6) Předseda Rady může rozhodnout po konzultaci podle § 130 o změně přídělu rádiových kmitočtů, jestliže je to nezbytné pro plnění
a) protiopatření podle § 20 zákona o kybernetické bezpečnosti, nebo
b) účelu opatření obecné povahy vydaného podle § 30 zákona o kybernetické bezpečnosti.“.
Odůvodnění: v souvislosti s případně vydanými opatřeními NÚKIB v oblasti kybernetické bezpečnosti je třeba, aby ČTÚ měl možnost rozhodnout u změně již uděleného přídělu rádiových kmitočtů, kterého by se toto opatření mohlo týkat a bylo by to třeba pro naplnění tohoto opatření. V současnosti tato možnost ČTÚ chybí.
Neakceptováno.
Mezi NÚKIB a MPO proběhlo několik schůzek stran zákona o prověřování zahraničních investic. Zároveň NÚKIB aktivně komunikoval s ČTÚ ohledně úprav zákona o elektronických komunikacích. Připomínkovým místem navrhovaná úprava však nebyla NÚKIB dosud nijak představena ani s ním konzultována. Neznáme tedy vyjádření samotného ČTÚ k problematice, která se dotýká jejich právní úpravy. Odůvodnění takto velké změny je dle našeho názoru potřeba řádně odůvodnit. Ideální by bylo věc probrat na společné schůzce všech tří organizací.
Reakce připomínkového místa:
K návrhu vypořádání připomínky MPO č. 43 Vám sdělujeme, že s návrhem vypořádání nesouhlasíme. Problematiku sice částečně řeší akceptace připomínky ČTÚ č. 103 k § 6, toto ustanovení je však pouze obecné a působnost ČTÚ by měla být řešena v jednotlivých konkrétních ustanoveních.
Po schůzce:
Připomínka byla akceptována, avšak k jiném znění, viz nově vložený odstavec 5 v § 22 v ČÁSTI ČTVRTÉ návrhu zákona.
Připomínkové místo s vypořádáním souhlasí.
44.
Ministerstvo vnitra
D
K čl. II bodu 7–k § 6i odst. 3 zákona o elektronických komunikacích: Navrhujeme v důvodové zprávě blíže rozvést, zda se pro účely kontroly podle návrhu užije kontrolní řád, a to jako obecný procesní předpis pro oblast kontrol, nebo se uplatní jiná, zvláštní (speciální) úprava.
Akceptováno.
Důvodová zpráva k návrhu zákona byla na základě připomínky doplněná následovně (viz str. 11 důvodové zprávy): „Při výkonu kontrolní pravomoci podle navrhovaného ustanovení postupují pověření zaměstnanci NÚKIB podle zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů.“
Připomínkové místo s vypořádáním souhlasí.
45.
Ministerstvo vnitra
D
Ke struktuře návrhu: Navrhujeme jednotlivé novely v návrhu řadit podle toho, kdy byly novelizované právní předpisy publikovány ve Sbírce zákonů, srov. čl. 54 odst. 3 Legislativních pravidel vlády.
Akceptováno.
Navržená změna byla v návrhu zákona provedena.
Připomínkové místo s vypořádáním souhlasí.
46.
Ministerstvo vnitra
D
K označení částí: V souladu s čl. 25 odst. 2 písm. a) Legislativních pravidel vlády navrhujeme neuvádět označení částí tučně.
Akceptováno.
Navržená změna byla v návrhu zákona provedena.
Připomínkové místo s vypořádáním souhlasí.
47.
Ministerstvo vnitra
D
K označení článků: Podle čl. 27 Legislativních pravidel vlády doporučujeme označení článků neuvádět tučně.
Akceptováno.
Navržená změna byla v návrhu zákona provedena.
Připomínkové místo s vypořádáním souhlasí.
48.
Ministerstvo vnitra
D
K čl. I – k § 98 zákona o elektronických komunikacích:
1. V souladu s čl. 58 odst. 3 a 4 písm. b) Legislativních pravidel vlády navrhujeme slova „za odstavec 8 vkládá nový odstavec 9“ nahradit slovy „doplňuje odstavec 9“.
2. Do výčtu novel v článku I doporučujeme doplnit novelu provedenou zákonem č. 202/2023 Sb., která rovněž novelizuje předmětné ustanovení.
3. Doporučujeme novelizační bod zakončit tečkou, tj. doplnit interpunkci za horní uvozovky na konci čl. I.
Akceptováno.
V upraveném znění viz ČÁST ČTVRTÁ.
Připomínkové místo s vypořádáním souhlasí.
49.
Ministerstvo vnitra
D
K čl. II bodu 2 – k § 2 odst. 2 zákona o informačních systémech veřejné správy: Podle čl. 58 odst. 4 písm. b) Legislativních pravidel vlády navrhujeme úvodní část textu novelizačního bodu koncipovat takto: „V § 2 se na konci odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:“.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 2.
Připomínkové místo s vypořádáním souhlasí.
50.
Ministerstvo vnitra
D
K čl. II bodu 11 – k § 7 zákona o informačních systémech veřejné správy: S ohledem na skutečnost, že navrhovaná změna se týká nadpisu ustanovení, navrhujeme doplňovaná slova uvést tučně.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 11.
Připomínkové místo s vypořádáním souhlasí.
51.
Ministerstvo vnitra
D
K čl. II bodu 13 – k § 7 odst. 6 písm. a) zákona o informačních systémech veřejné správy: S odkazem na čl. 43 odst. 2 Legislativních pravidel vlády navrhujeme upravit patřičným způsobem částku za přestupek.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 13.
Připomínkové místo s vypořádáním souhlasí.
52.
Ministerstvo vnitra
D
K čl. II bodu 16 – k § 12 odst. 2 zákona o informačních systémech veřejné správy: Podle čl. 58 odst. 4 písm. b) Legislativních pravidel vlády navrhujeme úvodní část textu novelizačního bodu koncipovat takto: „V § 12 se na konci odstavce 2 tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:“.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 16.
Připomínkové místo s vypořádáním souhlasí.
53.
Ministerstvo vnitra
D
K čl. III – k úvodní větě návrhu změny zákona o střetu zájmů: Doporučujeme v čl. III ponechat pouze ty novely, které mění § 2 odst. 2 písm. d) zákona o střetu zájmů (tedy zákon č. 216/2008 Sb. a zákon č. 14/2017 Sb.).
Akceptováno jinak.
Část návrhu zákona novelizující zákon o střetu zájmů se z návrhu zákona vypouští.
Připomínkové místo s vypořádáním souhlasí.
54.
Ministerstvo vnitra
D
K čl. V – k úvodní větě novely zákona o poštovních službách: Před slovy „se mění“ navrhujeme vložit chybějící čárku.
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ.
Připomínkové místo s vypořádáním souhlasí.
55.
Ministerstvo vnitra
D
K čl. V bodu 2 – k nadpisu § 36a zákona o poštovních službách: S odkazem na čl. 30 odst. 5 Legislativních pravidel vlády doporučujeme nadpis pod označením paragrafu uvést tučně.
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 2.
Připomínkové místo s vypořádáním souhlasí.
56.
Ministerstvo vnitra
D
K čl. V bodu 4 – k § 37a odst. 3 písm. d) zákona o poštovních službách: V novelizačním bodě navrhujeme slovo „text“ nahradit slovem „číslo“ a slovo „textem“ nahradit slovem „číslem“ [viz čl. 57 odst. 4 písm. p) Legislativních pravidel vlády].
Akceptováno jinak.
Navržená úprava novelizačního bodu 4 (v upraveném znění viz ČÁST DRUHÁ, bod 4) byla provedena v souladu s požadavkem ministra pro legislativu a to následovně: "V § 37a odst. 3 písm. d) se text „odst. 4“ nahrazuje textem „odst. 5“.".
Připomínkové místo s vypořádáním souhlasí.
57.
Ministerstvo vnitra
D
K čl. V bodu 5 – k § 37a odst. 3 písm. e) zákona o poštovních službách: V novelizačním bodě doporučujeme slovo „text“ nahradit výrazem „slova“, slovo „nahrazuje“ nahradit slovem „nahrazují“ a slovo „textem“ nahradit výrazem „slovy“ (viz čl. 57 odst. 3 Legislativních pravidel vlády).
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 5.
Připomínkové místo s vypořádáním souhlasí.
58.
Ministerstvo vnitra
D
K čl. V bodu 6 – k § 37a odst. 6 písm. a) zákona o poštovních službách: Navrhujeme v novelizačním bodě slovo „písmeno“ nahradit textem „písm.“.
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 6.
Připomínkové místo s vypořádáním souhlasí.
59.
Ministerstvo vnitra
D
K čl. V bodu 7 – k § 37a odst. 6 písm. b) zákona o poštovních službách: Doporučujeme v novelizačním bodě slovo „písmeno“ nahradit textem „písm.“, slovo „text“ nahradit výrazem „slova“, slovo „nahrazuje“ zaměnit za slovo „nahrazují“ a slovo „textem“ nahradit výrazem „slovy“.
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 7.
Připomínkové místo s vypořádáním souhlasí.
60.
Ministerstvo vnitra
D
K části šesté – k nadpisu: V souladu s čl. 30 odst. 4 Legislativních pravidel vlády navrhujeme slovo „Účinnost“ nahradit slovem „ÚČINNOST“.
Akceptováno.
V upraveném znění viz ČÁST OSMÁ.
Připomínkové místo s vypořádáním souhlasí.
61.
Ministerstvo zahraničních věcí
Z
Čl. 1 odst. 1 směrnice je nesprávně vyhodnocen jako netransponovaný, ačkoli za jeho provedení lze považovat navrhovaný § 1 odst. 1 a 2 návrhu. Do srovnávací tabulky by mělo být doplněno znění § 1 odst. 1 a 2, a to včetně znění poznámky pod čarou.
Akceptováno jinak.
Vzhledem ke sloučení obsahu odstavců 1 a 2 bude pro čl. 1 odst. 1 směrnice NIS 2 vykázán jako transpoziční § 1 odst. 1 návrhu zákona.
Připomínkové místo s vypořádáním souhlasí.
62.
Ministerstvo zahraničních věcí
Z
Čl. 2 odst. 7 směrnice je nesprávně vyhodnocen jako nerelevantní z hlediska transpozice, přestože dané ustanovení směrnice fakticky upravuje působnost směrnice, tj. též působnost příslušných transpozičních opatření by měla tomuto ustanovení odpovídat. Do srovnávací tabulky by mělo být doplněno, ze kterých ustanovení navrhovaných nebo jiných vnitrostátních právních předpisů, působnost takto definovaná směrnicí plyne.
Akceptováno.
Článek 2 odst. 7 je transponován navrhovaným § 70 návrhu zákona o kybernetické bezpečnosti, který zužuje působnost zákona v případě zpravodajských služeb. Do poznámky v transpoziční tabulce k směrnici NIS 2 pak bude u čl. 2 odst. 7 uvedeno, že na ostatní subjekty v oblasti veřejné správy uvedené v čl. 2 odst. 7 se povinnosti vyplývající ze směrnice NIS 2 vztahují, a to z důvodu národního rozhodnutí. Takový postup je zcela v souladu s principem minimální harmonizace, uvedeném v čl. 5 směrnice NIS 2.
Připomínkové místo s vypořádáním souhlasí.
63.
Ministerstvo zahraničních věcí
Z
K čl. 2 odst. 8 a čl. 24 odst. 1 směrnice by měly být doplněny důvody, proč dané ustanovení je nerelevantním z hlediska provedení směrnice. Důvodem je zejména fakultativní povaha předmětných ustanovení, kdy je členským státům dána možnost rozhodnout se, zda zde uvedené subjekty budou osvobozeny ve smyslu směrnice. Pokud se tedy Česká republika rozhodla dotčené subjekty osvobodit, pak jí nevznikla povinnost toto ustanovení provést.
Akceptováno.
Bylo doplněno, že zmíněné články jsou nerelevantní pro transpozici z důvodu fakultativní povahy předmětných ustanovení.
Připomínkové místo s vypořádáním souhlasí.
64.
Ministerstvo zahraničních věcí
Z
Čl. 2 odst. 11 směrnice by měl být transponován, jelikož zakládá povinnost České republiky toto ustanovení týkající se působnosti směrnice provést, s ohledem na to, že by měly mít také vliv na působnost navrhovaných předpisů.
Akceptováno.
Článek 2 odst. 11 bude transponován nově vloženým ustanovením. Do ustanovení návrhu zákona o kybernetické bezpečnosti týkajícího se informační povinnosti (NÚKIB byl doplněn nový odstavec (§ 66 odst. 2), který zní:
„Úřad za účelem plnění informační povinnosti podle odstavce 1 neposkytuje informace, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států Evropské unie v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany. Aniž je dotčen přímo použitelný předpis Evropské unie33), informace, které jsou důvěrné podle unijních či vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Evropskou komisí a jinými příslušnými orgány Evropské unie v souladu s příslušným předpisem Evropské unie34) pouze v případě, že je tato výměna nutná pro jeho účely. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy dotčených orgánů a osob.“
Poznámky pod čarou pak zní:
33) Článek 346 Smlouvy o fungování Evropské unie.
34)Směrnice Evropského parlamentu a Rady (EU) 2022/2555.“
Připomínkové místo s vypořádáním souhlasí.
65.
Ministerstvo zahraničních věcí
Z
Čl. 2 odst. 13 směrnice je také nutno do českého práva provést. Sice se zdánlivě týká vztahů mezi členským státem a Komisí, ve skutečnosti se jedná o pravidla pro zachovávání důvěrnosti obchodních informací, což může mít dopad na práva a povinnosti jednotlivců. Současně se jedná se o ustanovení, které upřesňuje působnost směrnice, když stanoví podmínky, za kterých se vyměňují některé informace postupem dle směrnice. Odpovídajícím způsobem by tedy měla být upravena také působnost navrhovaných předpisů. V neposlední řadě nutnost provést dotčené ustanovení směrnice vyplývá ze skutečnosti, že se dotýká oblasti bezpečnosti České republiky, resp. čl. 346 Smlouvy o fungování EU.
Akceptováno.
Článek 2 odst. 13 bude transponován nově vloženým ustanovením. Do ustanovení návrhu zákona o kybernetické bezpečnosti týkajícího se informační povinnosti (NÚKIB byl doplněn nový odstavec (§ 66 odst. 2), který zní:
„Úřad za účelem plnění informační povinnosti podle odstavce 1 neposkytuje informace, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států Evropské unie v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany. Aniž je dotčen přímo použitelný předpis Evropské unie33), informace, které jsou důvěrné podle unijních či vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Evropskou komisí a jinými příslušnými orgány Evropské unie v souladu s příslušným předpisem Evropské unie34) pouze v případě, že je tato výměna nutná pro jeho účely. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy dotčených orgánů a osob.“
Poznámky pod čarou pak zní:
33) Článek 346 Smlouvy o fungování Evropské unie.
34)Směrnice Evropského parlamentu a Rady (EU) 2022/2555.“
Připomínkové místo s vypořádáním souhlasí.
66.
Ministerstvo zahraničních věcí
Z
Čl. 9 odst. 3 směrnice by měl být proveden, jelikož ukládá jednak povinnost České republice a jednak jde o ustanovení, které může mít vliv na práva a povinnosti jednotlivců v podobě stanovení postupů a prostředků, které mají být dle tohoto ustanovení nasazeny v případě krize.
Akceptováno.
Co se týče čl. 9 odst. 3 směrnice NIS 2 budou tyto požadavky zajištěny primárně nikoliv prostřednictvím předloženého návrhu zákona o kybernetické bezpečnosti, ale prostřednictvím připravované legislativy v oblasti krizového řízení státu, která primárně není v gesci NÚKIB; ve vztahu k působnosti NÚKIB budou tyto požadavky zajištěny podle § 44 odst. 4 písm. f) a g) návrhu zákona o kybernetické bezpečnosti prostřednictvím NÚKIB.
Připomínkové místo s vypořádáním souhlasí.
67.
Ministerstvo zahraničních věcí
Z
Čl. 10 odst. 10 směrnice je vyhodnocen jako netransponovaný, ačkoli první část navrhovaného textu § 41 odst. 4 písm. d) bod 2 lze za jeho provedení lze považovat. Citované ustanovení směrnice zakládá pravomoc vnitrostátních orgánů vyžádat si mezinárodní spolupráci, přičemž takové zmocnění musí být výslovně obsaženo ve vnitrostátním právu (čl. 2 odst. 3 Ústavy) a musí být také ve srovnávací tabulce, aby mohlo být oznámeno Evropské komisi.
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
68.
Ministerstvo zahraničních věcí
Z
U čl. 14 odst. 4 směrnice by měla být znovu vyhodnocena slučitelnost, resp. to, zda je skutečně celé ustanovení odst. 4 irelevantní z hlediska transpozice. Sice se většina ustanovení týká postupů mezi orgány EU, některé pravomoci tímto ustanovením zřizovaného orgánu se týkají také pravomoci příslušných vnitrostátních orgánů, jako je např. výměna informací předvídaná čl. 14 odst. 4 písm. f) nebo k), a proto by měla být dotčená ustanovení čl. 14 odst. 4 směrnice provedena do českého práva.
Akceptováno jinak.
Dotčenou část směrnice, nejen odst. 4, ale odst. 1 až 5 článku 14 provádí § 44 odst. 4 písm. f) návrhu zákona o kybernetické bezpečnosti, přičemž navrhovaná úprava vychází ze stávající úpravy § 22 písm. s) účinného zákona o kybernetické bezpečnosti, která se dlouhodobě osvědčila jako vhodná a funkční.
Připomínkové místo s vypořádáním souhlasí.
69.
Ministerstvo zahraničních věcí
Z
Pro čl. 15 odst. 3 a čl. 16 odst. 3 směrnice rovněž platí poznámka k čl. 14 odst. 4.
Akceptováno.
Transpozice čl. 15 odst. 3 je provedena § 44 odst. 5 písm. j) návrhu zákona o kybernetické bezpečnosti, v případě čl. 16 odst. 3 je transpozičním § 44 odst. 4 písm. f) návrhu zákona o kybernetické bezpečnosti. Povinnost vůči sítí CSIRT plní i NÚKIB, neboť účast jeho zaměstnanců i mimo vládní CERT je v určitých situacích žádána.
Připomínkové místo s vypořádáním souhlasí.
70.
Ministerstvo zahraničních věcí
Z
Čl. 19 odst. 5, 6 a 8 směrnice by měl být do českého práva proveden, protože stanoví povinnost členských států předávat zde uvedené výsledky sebehodnocení odborníkům na kybernetickou bezpečnost a předávání dalších informací členským státem odborníkům na kybernetickou bezpečnost. Aby mohly příslušné vnitrostátní orgány tento krok učinit, pak by podle čl. 2 odst. 3 Ústavy pravomoc k tomuto postupu měla být zakotvena v zákoně.
Vysvětleno.
Z informací získaných v průběhu přípravy směrnice NIS2 máme za to, že vzájemné hodnocení jako proces je prozatím těžko představitelný a ve směrnici nový. Máme za to, že veškeré náležitosti spojené se stanovením procesu výběru expertů, stejně jako praktické aspekty výkonu jejich funkce (zmíněná mlčenlivost), jsou ovládány metodikou podle čl. 19 odst. 1, tj. že tento proces je vytvářen de facto na evropské úrovni. Členské státy se následně mohou do takto vytvořeného rámce už jen zapojit nebo nezapojit ("účast je dobrovolná, a srov. § 44 odst. 4 písm. h) návrhu zákona o kybernetické bezpečnosti"). Z tohoto důvodu máme za to, že ustanovení není transpoziční.
Připomínkové místo s vypořádáním souhlasí.
71.
Ministerstvo zahraničních věcí
Z
Čl. 25 odst. 2 směrnice je vyhodnocen jako irelevantní z hlediska transpozice, avšak z rozdílové tabulky vyplývá, že jej provádí § 14 odst. 1, 2 a 4 a § 15 předloženého návrhu zákona, resp. též prováděcí předpisy podle § 14 odst. 4 předloženého návrhu zákona.
Vysvětleno.
V rozdílové tabulce nevykazujeme čl. 25 odst. 2, nýbrž článek 25 odst. 1, který provádí § 14 odst. 1 a 2 (původně odst. 1, 2 a 4, odst. 4 byl po úpravách přesunut do § 15) a § 15 návrhu zákona o kybernetické bezpečnosti.
Připomínkové místo s vypořádáním souhlasí.
72.
Ministerstvo zahraničních věcí
Z
Čl. 25 odst. 3 směrnice stanoví povinnost členským státům zohlednit doporučení ENISA. Vzhledem k tomu, že se jedná o uložení povinnosti České republice, mělo by být toto ustanovení do českého práva provedeno.
Akceptováno jinak.
Pravděpodobně máte na mysli čl. 25 odst. 2, který stanovuje zmiňovanou povinnost. Bude doplněno, že ustanovení je provedeno § 44 odst. 4 písm. f) návrhu zákona o kybernetické bezpečnosti.
Připomínkové místo s vypořádáním souhlasí.
73.
Ministerstvo zahraničních věcí
Z
Čl. 27 odst. 1 směrnice stanoví povinnost členským státům předávat zde uvedené informace, což předpokládá jeho provedení ve vnitrostátním právu. V rozdílové tabulce je uveden § 58 odst. 1 a 2 předloženého návrhu zákona jako prováděcí ustanovení k čl. 27. Zároveň by k čl. 27 odst. 1 směrnice mohl jako prováděcí opatření být uveden také § 64 písm. d) předloženého návrhu zákona.
Akceptováno jinak.
Domníváme se, že vámi uvedená povinnost členských států je stanovena čl. 27 odst. 2 a 3. Uvedená ustanovení však na odst. 1 odkazují. Za nejvhodnější je tak podle našeho názoru vykázat § 66 odst. 1 písm. d) (dříve § 64 písm. d) návrhu zákona o kybernetické bezpečnosti jako transpoziční pro celý čl. 27 směrnice.
Připomínkové místo s vypořádáním souhlasí.
74.
Ministerstvo zahraničních věcí
Z
Čl. 31 odst. 4 směrnice stanoví povinnost členským státům zajistit zde uvedené pravomoci příslušným orgánům. České republice tedy vznikla povinnost tyto pravomoci zavést a tedy provést čl. 31 odst. 4 směrnice do českého práva.
Vysvětleno.
Máme za to, že současně účinné znění § 22 zákona o kybernetické bezpečnosti, stejně tak jako navrhované znění § 44 (v původním návrhu § 41) naplňuje požadavek na transpozici zmíněného článku. Návrhem zákona je jasně dáno, že kontrola má probíhat podle zákona a v mezích zákona, přičemž není prostor pro ovlivňování výkonu kontroly. NÚKIB je už dnes při výkonu kontroly a ukládání sankcí nezávislý. V minulosti s tímto ani neexistoval náznak pochybnosti, že by tomu tak nemělo být. NÚKIB ukládá pokuty ostatním orgánům státní správy, stejně tak jako celá řada státních orgánů dává sankce jiným státním orgánům, aniž by to muselo být nutně uvedeno podrobným ustanovením o nezávislosti z rámci daného předpisu. Máme také za to, že protože výnosy vlády (která i přesto že je vrcholným orgánem státní správy) nejsou nad zákonem, resp. že předseda vlády je toliko dle současného i navrhovaného znění nadřízeným ředitele NÚKIB, nicméně jejich role je toliko koordinační a informační, a proto premiér nemá možnost ovlivňovat výkon zákonné působnosti.
Připomínkové místo s vypořádáním souhlasí.
75.
Ministerstvo zahraničních věcí
Z
Čl. 32 odst. 6 směrnice požaduje, aby členské státy zajistily, aby zde uvedené fyzické osoby měly pravomoc zajistit dodržování této směrnice. Toto ustanovení tedy nejen ukládá povinnost České republice, ale také zakládá práva jednotlivcům, a je tedy nutné jej provést.
Akceptováno.
Pokud jde o oprávnění fyzické osoby jednat za základní subjekt, provedení tohoto ustanovení lze spatřovat v § 161 až 167 občanského zákoníku, které upravují jednání za právnickou osobu. Stanovení odpovědnosti pak lze nalézt v § 159 občanského zákoníku, který upravuje výkon funkce člena voleného orgánu.
Připomínkové místo s vypořádáním souhlasí.
76.
Ministerstvo zahraničních věcí
Z
Čl. 32 odst. 7 směrnice by neměl být vyhodnocen jako irelevantní z hlediska transpozice, protože stanoví podmínky pro rozhodování o výši pokuty. Dotýká se práv jednotlivců, a jako takový by měl být transponován, což by mohlo být provedeno v předloženém návrhu zákona, nebo v obecných předpisech týkajících se přestupkového řízení a správního trestání.
Akceptováno.
Nutnost nalezení řešení odpovídajícího okolnostem daného případu, je jednou z obecně platných zásad pro činnost veřejné správy a jako tzv. zásada přiměřenosti je zakotvena v § 2 odst. 4 správního řádu.
V případě trestání se pak uplatňuje tzv. princip individualizace trestu, který zavazuje k tomu, aby všechny individuální okolnosti a specifika daného případu stejně jako osoba pachatele byly řádně zohledněny tak, aby trest odpovídal těmto specifikům. Pravidla pro ukládání správních trestů zohledňujících požadavky daného ustanovení směrnice (určení druhu a výměry správního trestu, povaha a závažnost přestupku, polehčující okolnosti, přitěžující okolnosti, ukládání správních trestů za více přestupků) jsou obsaženy v § 36 až § 41 zákona o odpovědnosti za přestupky a řízení o nich. Příslušná ustanovení zmiňovaných právních předpisů budou vykázána jako transpoziční pro čl. 32 odst. 7.
Připomínkové místo s vypořádáním souhlasí.
77.
Ministerstvo zahraničních věcí
Z
Čl. 32 odst. 8 směrnice by neměl být vyhodnocen jako irelevantní z hlediska transpozice, protože stanoví požadavky na rozhodování příslušných orgánů. Zejména požadavek na odůvodnění takových rozhodnutí a oznámení přijatých opatření lze považovat za založení práv jednotlivců, což zakládá povinnost České republiky toto ustanovení provést do českého práva, resp. ověřit, zda jsou tyto požadavky splněny např. předpisy správního řízení.
Akceptováno.
Odůvodnění je podle § 68 odst. 1 správního řádů zásadně součástí každého správního rozhodnutí. V odůvodnění se pak podle § 68 odst. 3 správního řádu uvedou důvody výroku nebo výroků rozhodnutí, podklady pro jeho vydání, úvahy, kterými se správní orgán řídil při jejich hodnocení a při výkladu právních předpisů, a informace o tom, jak se správní orgán vypořádal s návrhy a námitkami účastníků a s jejich vyjádřením k podkladům rozhodnutí. Tato ustanovení proto budou vykázána k čl. 32 odst. 8 směrnice.
Dále bude vykázán § 9 a 10 kontrolního řádu, v nichž jsou upravena práva a povinnosti kontrolujícího a kontrolované osoby. V návaznosti na kontrolu může kontrolovaná osoba podle § 13 odst. 1 kontrolního řádu podat námitky proti kontrolnímu zjištění uvedenému v protokolu o kontrole, a to ve lhůtě 15 dnů ode dne doručení protokolu o kontrole. Toto ustanovení bude tedy též vykázáno.
Připomínkové místo s vypořádáním souhlasí.
78.
Ministerstvo zahraničních věcí
Z
Čl. 34 odst. 1 směrnice by neměl být vyhodnocen jako irelevantní z hlediska transpozice, protože stanoví povinnost České republice zavést systém přiměřených, účinných a odrazujících pokut, a je tedy nutné jej do českého práva provést. Opět se jedná o ustanovení, které zakládá práva jednotlivcům, a tudíž by mělo být transponováno, což částečně lze vidět v § 58 předloženého návrhu zákona, nebo v obecných předpisech týkajících se přestupkového řízení a správního trestání.
Akceptováno.
Nutnost nalezení řešení odpovídajícího okolnostem daného případu, je jednou z obecně platných zásad pro činnost veřejné správy a jako tzv. zásada přiměřenosti je zakotvena v § 2 odst. 4 správního řádu.
V případě trestání se pak uplatňuje tzv. princip individualizace trestu, který zavazuje k tomu, aby všechny individuální okolnosti a specifika daného případu stejně jako osoba pachatele byly řádně zohledněny tak, aby trest odpovídal těmto specifikům. Pravidla pro ukládání správních trestů zohledňujících požadavky daného ustanovení směrnice (určení druhu a výměry správního trestu, povaha a závažnost přestupku, polehčující okolnosti, přitěžující okolnosti, ukládání správních trestů za více přestupků) jsou obsaženy v § 36 až § 41 zákona o odpovědnosti za přestupky a řízení o nich.
Příslušná ustanovení zmiňovaných právních předpisů budou vykázána jako transpoziční pro čl. 34 odst. 1.
Dále bude v souladu s vaším návrhem jako transpoziční vykázán § 60 odst. 15 písm. a), b, d), f) a g) návrhu zákona o kybernetické bezpečnosti.
Připomínkové místo s vypořádáním souhlasí.
79.
Ministerstvo zahraničních věcí
Z
Čl. 34 odst. 2 směrnice by neměl být vyhodnocen jako irelevantní z hlediska transpozice, protože stanoví možnost uložení pokuty spolu s některým se zde uvedeným opatřením, tj. opět jde o ustanovení týkající se práv a povinností fyzických a právnických osob.
Akceptováno.
Uvedená opatření (v návrhu zákona o kybernetické bezpečnosti provedena v podobě informační povinnosti podle § 20, protiopatření podle § 21, nápravných opatření podle § 59, pozastavení platnosti certifikace podle § 62, pozastavení výkonu řídící funkce podle § 63) jsou odlišnými instituty s jiným účelem od pokut ukládaných za spáchané přestupky, které jsou uvedeny v § § 60 odst. 15 písm. a), b, d), f) a g) návrhu zákona o kybernetické bezpečnosti. Ustanovení tedy lze vykázat pouze tak, že se ke čl. 34 odst. 2 uvedenou všechna zmíněná ustanovení.
Připomínkové místo s vypořádáním souhlasí.
80.
Ministr pro legislativu
D
K označení zákona – navrhovaná změna:
„Vládní návrh
N á v r h
ZÁKON
ze dne dd.mm.rrrr,
ze dne ……… 2023,“
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
81.
Ministr pro legislativu
D
K označení článků: Nevyznačovat označení jednotlivých článků tučným písmem.
Akceptováno.
Připomínkové místo s vypořádáním souhlasí.
82.
Ministr pro legislativu
D
K částí první (Čl. I) – navrhovaná změna:
„V § 98 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 153/2010 Sb., zákona č. 468/2011 Sb. a zákona č. 374/2021 Sb., se za odstavec 8 vkládá nový doplňuje odstavec 9, který zní:
„(9) Odstavce 1 až 8 se nepoužijí v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací v rozsahu, ve kterém se na něj vztahují povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost zákona o kybernetické bezpečnosti.“.
Akceptováno.
V upraveném znění viz ČÁST ČTVRTÁ, bod 4.
Připomínkové místo s vypořádáním souhlasí.
83.
Ministr pro legislativu
D
K části druhé, bod 2. – navrhovaná změna:
„V § 2 odst. 2 se na konci písmene f) odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:
„g) bezpečnostními pravidly pro orgány veřejné správy využívající služby poskytovatelů cloud computingu (dále jen „bezpečnostní pravidla“) pravidla zajišťující bezpečnost informací při využívání služeb cloud computingu orgány veřejné správy stanovená prováděcím právním předpisem k zajištění provozu informačního systému veřejné správy nebo jeho části a stanovená prováděcím právním předpisem.“.
Akceptováno jinak.
Navržená úprava novelizačního bodu 2 (v upraveném znění viz ČÁST TŘETÍ, bod 2):
„V § 2 se na konci odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:
„g) bezpečnostními pravidly pro orgány veřejné správy využívající služby poskytovatelů cloud computingu (dále jen „bezpečnostní pravidla“) pravidla stanovená prováděcím právním předpisem zajišťující bezpečnost informací při využívání služeb cloud computingu orgány veřejné správy k zajištění provozu informačního systému veřejné správy nebo jeho části a“.“
Připomínkové místo s vypořádáním souhlasí.
84.
Ministr pro legislativu
D
K části druhé, bod 5. – navrhovaná změna:
„§ 5b včetně poznámky pod čarou č. 18 zní:
㤠5b
Správci informačních systémů veřejné správy, kteří nejsou poskytovatelem poskytovateli regulované služby podle zákona upravujícího kybernetickou bezpečnost o kybernetické bezpečnosti, jsou povinni na jimi spravované informační systémy veřejné správy přiměřeně zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle § 6, 14 a 15 zákona upravujícího kybernetickou bezpečnost18) o kybernetické bezpečnosti.
______________
18) § 6, § 14 a § 15 zákona č. ... Sb., o kybernetické bezpečnosti.“.
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 5.
Připomínkové místo s vypořádáním souhlasí.
85.
Ministr pro legislativu
D
K části druhé, bod 8. – navrhovaná změna:
„V § 6l se na konci odstavce 3 doplňuje věta „Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k jejichž zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu a zajišťovat, že budou dodržována bezpečnostní pravidla stanovená prováděcím právním předpisem.“
Akceptováno jinak.
Domníváme se, že doporučenou změnou dojde k nežádoucí významové změně.
Nicméně na základě připomínky Ministerstva financí došlo k následující změně bodu 8 (v upraveném znění viz ČÁST TŘETÍ, bod 8):
„V § 6l se na konci odstavce 3 doplňují věty „Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu. Orgán veřejné správy je dále povinen zajišťovat, že budou dodržována bezpečnostní pravidla stanovená prováděcím právním předpisem.“
Připomínkové místo s vypořádáním souhlasí.
86.
Ministr pro legislativu
D
K části druhé, bod 10. – navrhovaná změna:
„V § 6q odst. 5 písm. c), § 6t odst. 6 písm. b), d), e), f) a g) a d) a e) až g) a v § 6t odst. 7 písm. c), e), f), g) a h) a e) až h) se slova „upravujícím kybernetickou bezpečnost“ nahrazují slovy „vydaným podle § 12 odst. 2 tohoto zákona.“
Akceptováno jinak.
Navržená úprava novelizačního bodu č. 10 (v upraveném znění viz ČÁST TŘETÍ, bod 10):
„V § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a d) až g) a § 6t odst. 7 písm. c) a e) až h) se slova „upravujícím kybernetickou bezpečnost“ nahrazují slovy „vydaným podle § 12 odst. 2.“
Připomínkové místo s vypořádáním souhlasí.
87.
Ministr pro legislativu
D
K části druhé, bod 11. – navrhovaná změna:
„V nadpisu § 7 se na konci textu doplňují slova „a orgánů veřejné správy“.
Na konci textu nadpisu § 7 se doplňují slova „a orgánů veřejné správy.“
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 11.
Připomínkové místo s vypořádáním souhlasí.
88.
Ministr pro legislativu
D
K části druhé, bod 12. – navrhovaná změna:
„V § 7 se za odstavec 3 vkládají nové odstavce 4 a 5, které znějí:
„(4) Poskytovatel cloud computingu se dopustí přestupku tím, že poskytuje cloud computing, který nesplňuje požadavky na cloud computing využívaný orgánem veřejné správy podle § 6n.
(5) Orgán veřejné správy se dopustí přestupku tím, že
a) využívá cloud computing v rozporu s § 6l odst. 1,
b) nesplní ve stanovené lhůtě povinnost ukončit využívání cloud computingu podle (§ 6l odst. 2),
c) nesplní povinnost zařadit informační systém nebo jeho část do bezpečnostní úrovně podle (§ 6l odst. 3), nebo
d) nezajišťuje dodržování bezpečnostních pravidel (§ 6l odst. 3).“.
Dosavadní odstavec 4 se označuje jako odstavec 6.“
Akceptováno jinak.
V navrhovaném odst. 5 písm. b) a c) byl odkaz upraven v souladu s připomínkou. Z důvodu jednoty právní úpravy jsme přistoupili rovněž k úpravě odkazu v písm. d) a to shodným způsobem jako u dvou předchozích písmen.
Připomínkové místo s vypořádáním souhlasí.
89.
Ministr pro legislativu
D
K části druhé, bod 13. – navrhovaná změna:
„V § 7 odst. 6 se vkládá nové písmeno a), které zní:
„a) 10 000 000 Kč, jde-li o přestupek podle odstavce 4 nebo odstavce 5,“
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 13.
Připomínkové místo s vypořádáním souhlasí.
90.
Ministr pro legislativu
D
K části druhé, bod 16. – navrhovaná změna:
„V § 12 odst. 2 se na konci písmene f) odstavce 2 tečka nahrazuje čárkou a vkládají se nová doplňují se písmena g) a h), která znějí:
„g) bezpečnostní úrovně informačních systémů veřejné správy,
h) obsah a rozsah bezpečnostních pravidel pro orgány veřejné správy využívající služeb cloud computingu podle § 6l odst. 3.“
Akceptováno.
V upraveném znění viz ČÁST TŘETÍ, bod 16.
Připomínkové místo s vypořádáním souhlasí.
91.
Ministr pro legislativu
D
K části třetí – navrhovaná změna:
„V § 2 odst. 2 písm. d) zákona č. 159/2006 Sb., o střetu zájmů, ve znění zákona č. 216/2008 Sb., zákona č. 158/2009 Sb., zákona č. 350/2009 Sb., zákona č. 131/2015 Sb., zákona č. 190/2016 Sb., zákona č. 302/2016 Sb., zákona č. 14/2017 Sb., a zákona č. 183/2017 Sb. a zákona č. 180/2022 Sb., se za slova „s výjimkou zpravodajské služby3b)“ vkládají slova „a Národního úřadu pro kybernetickou a informační bezpečnost.“
Akceptováno jinak.
Část návrhu zákona novelizující zákon o střetu zájmů se z návrhu zákona vypouští.
Připomínkové místo s vypořádáním souhlasí.
92.
Ministr pro legislativu
D
K části čtvrté – navrhovaná změna:
V § 7 písm. c) zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), se slova „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby5)“ nahrazují slovy „poskytovatelem strategicky významné služby5)“.
Poznámka pod čarou č. 5 zní: „5) Zákon č. ... Sb., o kybernetické bezpečnosti.“.
Zákon č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), se mění takto:
1. V § 7 písm. c) se slova „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby5)“ nahrazují slovy „poskytovatelem strategicky významné služby5)“.
2. Poznámka pod čarou č. 5 zní:
„5) Zákon č. .../2023 Sb., o kybernetické bezpečnosti.“
Akceptováno.
V upraveném znění viz ČÁST SEDMÁ.
Připomínkové místo s vypořádáním souhlasí.
93.
Ministr pro legislativu
D
K části páté (Čl. V) – navrhovaná změna:
„Zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění zákona č. 517/2002 Sb., zákona č. 225/2003 Sb., zákona č. 501/2004 Sb., zákona č. 95/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 264/2006 Sb., zákona č. 110/2007 Sb., zákona č. 41/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 153/2010 Sb., zákona č. 329/2011 Sb., zákona č. 89/2012 Sb., zákona č. 221/2012 Sb., zákona č. 212/2013 Sb., zákona č. 258/2014 Sb., zákona č. 319/2015 Sb., zákona č. 378/2015 Sb., zákona č. 250/2016 Sb., zákona č. 183/2017 Sb., zákona č. 202/2019 Sb., zákona č. 164/2020 Sb. a zákona č. 374/2021 Sb., se mění takto:“
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, Čl. II.
Připomínkové místo s vypořádáním souhlasí.
94.
Ministr pro legislativu
D
K části páté, bod 1. – navrhovaná změna:
„V § 33 se za odstavec 2 vkládá nový odstavce 3, který zní:
„(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Povinnost podle věty první se neuplatní v rozsahu, ve kterém se na držitele poštovní licence vztahují povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost zákona o kybernetické bezpečnosti.“
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 1.
Připomínkové místo s vypořádáním souhlasí.
95.
Ministr pro legislativu
D
K části páté, bod 2. – navrhovaná změna:
㤠36b
Spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost
Spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost
Úřad a Národní úřad pro kybernetickou a informační bezpečnost si vzájemně poskytují podněty, informace a jiné formy součinnosti potřebné k plnění úkolů, které jim stanoví právní předpisy. Při předávání informací je příjemce povinen zajistit stejnou úroveň důvěrnosti jako předávající.“
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 2.
Připomínkové místo s vypořádáním souhlasí.
96.
Ministr pro legislativu
D
K části páté, bod 4. – navrhovaná změna:
„V § 37a odst. 3 písm. d) se text „odst. 4“ nahrazuje textem „odst. 5.“
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 4.
Připomínkové místo s vypořádáním souhlasí.
97.
Ministr pro legislativu
D
K části páté, bod 6. – navrhovaná změna:
„V § 37a odst. 6 písmeno písm. a) se text „e)“ nahrazuje textem „f).“
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 6.
Připomínkové místo s vypořádáním souhlasí.
98.
Ministr pro legislativu
D
K části páté, bod 7. – navrhovaná změna:
„V § 37a odst. 6 písmeno písm. b) se text „f) nebo g)“ nahrazuje textem „e), g) nebo h).“
Akceptováno.
V upraveném znění viz ČÁST DRUHÁ, bod 7.
Připomínkové místo s vypořádáním souhlasí.
99.
Ministr pro legislativu
D
K části šesté – navrhovaná změna:
„Účinnost
ÚČINNOST
Čl. VI Čl. VI
Tento zákon nabývá účinnosti dnem 18. října 2024.
V Praze dne dd.mm.rrrr
Předseda vlády“
Akceptováno.
V upraveném znění viz ČÁST JEDENÁCTA.
Připomínkové místo s vypořádáním souhlasí.
100.
Ministr pro legislativu
D
Obecně k návrhu zákona: Návrh zákona je třeba dát do souladu s čl. 54 odst. 3 Legislativních pravidel vlády, podle kterého je nutno novely jednotlivých zákonů uvádět v pořadí, v jakém byly vyhlášeny ve Sbírce zákonů.
Akceptováno.
Navržená změna byla do návrhu zákona zapracována.
Připomínkové místo s vypořádáním souhlasí.
101.
Úřad vlády České republiky – odbor kompatibility
D
K § 5b zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů: Uvedené ustanovení, která je vykazované fakultativním ustanovením čl. 2 odst. 5 písm. a) směrnice NIS 2, stanoví povinnost „přiměřeně“ zavádět bezpečnostní opatření podle zákona o kybernetické bezpečnosti. Není jasné, co takové „přiměřené“ zavádění obnáší.
Akceptováno.
Rozdílová tabulka byla odpovídajícím způsobem upravena a ustanovení nebude vykazováno jako transpoziční. Co se týče pojmu přiměřeně, ten v tomto případě znamená zavádění bezpečnostních opatření v režimu nižších povinností s přihlédnutím k tomu, že bezpečnostní opatření mají být vždy přijímána nákladově přiměřeně, tedy náklady na bezpečnostní opatření by neměly převyšovat náklady na případnou realizaci daného rizika.
Připomínkové místo s vypořádáním souhlasí.
102.
Český telekomunikační úřad
Z
K části první (změna zákona o elektronických komunikacích): ČTÚ navrhuje, vědom si toho, že po pracovní úrovni bylo navržené doplnění § 98 zákona o elektronických komunikacích (stejně jako v Návrhu obsažené změny zákona o poštovních službách) s předkladatelem projednáno, upravit čl. I návrhu tak, že zní:
„V § 98 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 153/2010 Sb., zákona č. 468/2011 Sb. a zákona č. 374/2021 Sb., se za odstavec 8 doplňuje nový odstavec 9, který zní: „9) Povinnosti stanovené nebo uložené na základě oOdstavce 1, 3, 4, 6 až 8 se nepoužijí v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kyberprostoru, a to v rozsahu, ve kterém se na něj vztahují obdobné povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost.“.“
Odůvodnění: Odstavce 2 a 5 daného ustanovení zákona o elektronických komunikacích upravují povinnosti (pravomoci) ČTÚ, nikoli povinnosti podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, a proto ČTÚ navrhuje z výčtu odstavců, které se nepoužijí, tyto vypustit. Současně ČTÚ navrhuje zpřesnit text navrženého doplnění § 98 tak, aby bylo jednoznačné, že se pravidla obsažená v zákoně o kybernetické bezpečnosti uplatní pouze v případě, že k narušení bezpečnosti a integrity veřejných sítí a veřejně dostupných služeb došlo v kyberprostoru. Za splnění tohoto předpokladu se v případě obdobné povinnosti stanovené zákonem o kybernetické bezpečnosti neuplatní povinnosti stanovené v uvedených odstavcích § 98 zákona o elektronických komunikacích nebo uložené ČTÚ na jejich základě. Pokud v zákoně o kybernetické bezpečnosti obdobná povinnost neexistuje, uplatní se povinnosti stanovené v § 98 zákona o elektronických komunikacích nebo uložené ČTÚ na jejich základě.
Akceptováno.
Navržená úprava (v upraveném znění viz ČÁST ČTVRTÁ, bod 4):
„V § 98 se doplňuje odstavec 9, který zní:
„(9) Povinnosti stanovené nebo uložené na základě odstavce 1, 3, 4, 6 až 8 se nepoužijí v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kyberprostoru, a to v rozsahu, ve kterém se na něj vztahují obdobné povinnosti podle zákona o kybernetické bezpečnosti“.“
Připomínkové místo s vypořádáním souhlasí.
103.
Český telekomunikační úřad
Z
K části první (změna zákona o elektronických komunikacích):
Připomínka ČTÚ: ČTÚ navrhuje do části první Návrhu (změna zákona o elektronických komunikacích) doplnit následující novelizační bod:
„X. V § 6 se za odstavec 5 doplňuje odstavec 6, který zní:
„(6) Úřad může na základě žádosti rozhodnout o změně nebo zrušení regulačního opatření uloženého rozhodnutím vydaným na základě tohoto zákona v případě, že plnění podmínek nebo povinností stanovených v takovém rozhodnutí znemožňuje nebo brání podmínky uvedené v protiopatření nebo opatření obecné povahy vydaném podle právního předpisu upravujícího kybernetickou bezpečnost.“.
Odůvodnění: V návaznosti na navrhovanou první úpravu obsaženou v dílu 2 a 3 předloženého návrhu zákona o kybernetické bezpečnosti, tj. nové právní povinnosti poskytovatele regulované služby a jeho dodavatelů, ČTÚ identifikoval zejména možný problém při výstavbě a rozvoji sítí elektronických komunikacích, které v rámci své regulační činnosti podporuje. Konkrétně ČTÚ spatřuje riziko ve fázi intenzivní výstavby nebo rozvoje sítí elektronických komunikací (zajišťování veřejné komunikační sítě je regulovanou službou ve smyslu § 3 a násl. návrhu zákona o kybernetické bezpečnosti). Například mobilních 5G sítí, pokud by byl držitel přídělu rádiových kmitočtů podle § 22 zákona o elektronických komunikacích zasažen v důsledku protiopatření nebo opatření obecné povahy vydaného podle § 30 odst. 1 návrhu zákona o kybernetické bezpečnosti vynucenou změnou dodavatele technologie, prostřednictvím které naplňuje povinnosti a podmínky stanovené v přídělu rádiových kmitočtů, včetně závazků, které držitel přídělu převzal v průběhu výběrového řízení na udělení práva k využívání rádiových kmitočtů. To může způsobit nemožnost splnit podmínky a povinnosti uložené v příslušném rozhodnutí vydaném ČTÚ.
Vzhledem k tomu, že se tento problém může potenciálně dotýkat nikoli pouze oblasti regulace rádiového spektra, ale i dalších regulovaných oblastí upravených zákonem o elektronických komunikacích obecně, tj. jakéhokoli regulačního rozhodnutí vydávaného ČTÚ, navrhuje ČTÚ doplnění zákona o elektronických komunikacích jako obecné pravidlo v rámci regulačních zásad.
Akceptováno.
Toto obecné pravidlo v rámci regulačních zásad dává smysl a to zejména kvůli řešení situací, kdy by subjekty nemohly splnit podmínky a povinnosti uložené v příslušném rozhodnutí vydaném ČTÚ.
Navržená úprava (v upraveném znění viz ČÁST ČTVRTÁ, bod 1):
„V § 6 se doplňuje odstavec 6, který zní:
„(6) Úřad může na základě žádosti rozhodnout o změně nebo zrušení regulačního opatření uloženého rozhodnutím vydaným na základě tohoto zákona v případě, že plnění podmínek nebo povinností stanovených v takovém rozhodnutí znemožňuje nebo brání podmínky uvedené v protiopatření nebo opatření obecné povahy vydaných podle zákona o kybernetické bezpečnosti.“.“
Připomínkové místo s vypořádáním souhlasí.
104.
Český telekomunikační úřad
Z
K části páté (změna zákona o poštovních službách):
Připomínka: ČTÚ navrhuje v části páté čl. V. Návrhu upravit bod 1 Návrhu tak, že zní:
„V § 33 se za odstavec 2 vkládá nový odstavce 3, který zní:
„(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Povinnost podle věty první se neuplatní, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kyberprostoru, a to v rozsahu, ve kterém se na držitele poštovní licence vztahují obdobné povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost.“.“.
Odůvodnění: Obdobně jako v případě zásadní připomínky ČTÚ č. 1 se i v případě navržené změny zákona o poštovních službách navrhuje zpřesnit text této změny, v dalším lze tedy odkázat na odůvodnění zásadní připomínky ČTÚ č. 1.
Akceptováno.
Navržená úprava (v upraveném znění viz ČÁST DRUHÁ, bod 1):
„V § 33 se za odstavec 2 vkládá nový odstavce 3, který zní:
„(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Tato povinnost se neuplatní, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kyberprostoru, a to v rozsahu, ve kterém se na držitele poštovní licence vztahují obdobné povinnosti podle zákona o kybernetické bezpečnosti.“.“
Připomínkové místo s vypořádáním souhlasí.
105.
Český úřad zeměměřický a katastrální
Z
Obecně k návrhu zákona: V souvislosti s ustanovením § 28 předloženého návrhu zákona o kybernetické bezpečnosti požaduji doplnit novelu zákona č. 134/2016 Sb., o zadávání veřejných zakázek. Ustanovení § 28 zavádí hodnocení dodavatele z hlediska jeho rizikovosti, avšak v zákoně o zadávání veřejných zakázek není odpovídajícím způsobem zavedena možnost vyloučit takového účastníka ze zadávacího řízení, případně stanovit další podmínky hodnocení nebo omezit rizikové dodavatele.
Neakceptováno.
Změna zákona o zadávaní veřejných zakázek není z našeho pohledu nutná.
Možnost zadavatele vyloučit uchazeče ze zadávacího řízení v případě, že nesplní požadavky na kybernetickou bezpečnost včleněné do zadávací dokumentace, je v zákoně o zadávání veřejných zakázek obsažena již nyní (§ 48 odst. 2). Pokud si zadavatel požadavky na kybernetickou bezpečnost nevčlenění do zadávací dokumentace (a zároveň si jejich splnění nezajistí jiným způsobem, zejména vlastními silami nebo prostřednictvím jiného dodavatele), porušuje povinnost zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele stanovenou v § 25 návrhu zákona o kybernetické bezpečnosti.
Co se týče vydání opatření NÚKIB v průběhu zadávacího řízení, i zde zákon o zadávání veřejných zakázek v závislosti na fázi zadávacího řízení umožňuje reakci. Dokud je to možné, lze měnit zadávací podmínky a prodloužit přiměřeně lhůtu pro podání nabídek. Pokud již nabídky byly podány (a zároveň nejde o řízení umožňující o nabídkách jednat) a nové podmínky nejsou v zadávacím řízení reflektovány (nebo zadavatel není schopen situaci vyřešit jinak), nezbývá než zadávací řízení zrušit a vypsat znovu, protože uchazečům musí být z logiky věci dána možnost na změněné podmínky reagovat, resp. zadavatel by neměl uzavírat smlouvu s někým, kdo nesplňuje do budoucna platné podmínky, za kterých by jeho systém měl být provozován. Co se týče zásahu aktu NÚKIB do již uzavřených smluv, zde záleží na konkrétní situaci. Zadavatel má možnost postupovat podle § 222 zákona o zadávaní veřejných zakázek. Některé smlouvy již obsahují změnová ujednání, podle kterých lze postupovat bez podstatné změny smlouvy. Pokud se podmínky mění podstatným způsobem, lze využít některý z důvodů podle občanského zákoníku pro odstoupení od smlouvy.
Návrh zákona o kybernetické bezpečnosti byl konzultován i s gestorem zákona o zadávání veřejných zakázek a ani od něj nevzešel požadavek na úpravu zákona v tomto smyslu.
Připomínkové místo s vypořádáním souhlasí.
106.
Digitální a informační agentura
Z
K části druhé, bod 4., § 5a odst. 2 (změna zákona o informačních systémech): Požadujeme vysvětlení logiky změny tohoto ustanovení, potažmo žádáme opravu textu, pokud došlo k chybě.
Akceptováno.
V textu čl. II bodu 4, kterým se mění § 5a odst. 2 zákona o informačních systémech veřejné správy došlo k chybě, nahrazena měla být věta poslední nikoliv druhá. Novelizační bod i úplné znění s vyznačením změn bylo v tomto smyslu v novém návrhu zákona upraveno následovně: „V § 5a odst. 2 se věta poslední nahrazuje větou „Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy a pravidla pro strukturování dat v informačních systémech veřejné správy stanoví prováděcí právní předpis.“.
Připomínkové místo s vypořádáním souhlasí.
107.
Hospodářská komora České republiky
D
K části první (změna zákona o elektronických komunikacích): Doporučujeme upravit ustanovení celého § 98 nikoli jen vložit nový odst. 9 a přidat odkaz přímo na zákon o kybernetické bezpečnosti.
Odůvodnění: Je třeba vyjasnit, zda osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací bude vždy pod regulací zákona o kybernetické bezpečnosti či nikoliv.
Vysvětleno.
Ustanovení § 98 zákona o elektronických komunikacích upravuje problematiku bezpečnosti sítí a služeb obecně, nevztahuje se výhradně k otázkám kybernetické bezpečnosti. Otázky spojené s „ostatní“ bezpečností zůstávají v kompetenci ČTÚ vůči všem podnikatelům zajišťujícím veřejné komunikační sítě nebo poskytující veřejně dostupné služby elektronických komunikací bez ohledu na jejich povinnosti vyplývající z úpravy kybernetické bezpečnosti.
Na základě připomínky ČTÚ k tomuto ustanovení byl navrhovaný § 98 odst. 9 zákona o elektronických komunikacích upraven, viz ČÁST ČTVRTÁ, bod 4. Ne všechny podnikatele v elektronických komunikacích bude možno bez dalšího zahrnout do rozsahu působnosti navrhovaného zákona o kybernetické bezpečnosti. Navrhované řešení by mělo spočívat v zachování převážné většiny ustanovení § 98 zákona o elektronických komunikacích s vyloučením těch okolností a povinností, které budou spadat pod návrh zákona o kybernetické bezpečnosti. Takový přístup zajistí jak plnění povinností podnikatelů v elektronických komunikacích, na něž povinnosti podle návrhu zákona o kybernetické bezpečnosti nedopadnou a u nichž by měla být bezpečnost v celé míře v kompetenci ČTÚ, tak nezbytnou míru informací k plnění jeho jiných regulačních a dozorových pravomocí. Zároveň budou mít všichni podnikatelé v oblasti elektronických komunikací nadále povinnosti vůči ČTÚ týkající se „ostatní“ bezpečnosti sítí a služeb, která nemá původ v kyberprostoru.
Připomínkové místo s vypořádáním souhlasí.
108.
Sdružení místních samospráv
Z
K obecné části důvodové zprávy: Požadujeme v důvodové zprávě uvést řádně vyčíslené dopady na územní samosprávné celky.
Odůvodnění: Podle obecné části důvodové zprávy nemá návrh zákona žádné územní dopady včetně dopadů na územně samosprávné celky. S tímto tvrzením předkladatele nelze v žádném případě souhlasit. Obce a kraje mohou být správci informačních systémů veřejné správy a uživateli cloud computingu, jsou také významnými uživateli poštovních služeb. V rámci nově zaváděných povinností budou tedy buď sami muset navýšit personální kapacitu, případně zajistit externího dodavatele, nebo na ně přenesou své zvýšené náklady jiné subjekty, jejichž služby územní samosprávné celky využívají. Současně upozorňujeme na známý nedostatek IT specialistů zaměřených na kybernetickou bezpečnost a na fakt, že s ohledem na nastavení odměn není pro tyto pracovníky atraktivní ucházet se o pozice ve veřejné správě. I tento aspekt by měl předkladatel v důvodové zprávě zohlednit a vysvětlit, jak ho hodlá řešit.
Neakceptováno.
Důvodová zpráva k návrhu zákona o kybernetické bezpečnosti v kapitole 7. 2. Dopady na územní samosprávní celky konstatuje, že: "V případě obcí s rozšířenou působností počítá návrh zákona s jejich zařazením zpravidla do režimu nižších povinností. Lze však také očekávat jejich nižší úroveň kybernetické bezpečnosti obecně. Z toho se dá odhadnout, že náklady na jejich zabezpečení budou v zásadě srovnatelné s výpočtem uvedeným výše." Pokud se podíváme na závěr výpočtu, na který tento text v důvodové zprávě odkazuje, zjistíme, že: "Na základě shrnutí všech uvedených výpočtů a metodik je možné konstatovat, že v případě výpočtu nákladů na zavedení a následné provádění především bezpečnostních opatření se jedná o velmi hrubé odhady pohybující se přibližně mezi 800 000 Kč a 1 500 000 Kč vůči jednomu zabezpečovanému systému." Jak i důvodová zpráva konstatuje, přesnějšího výpočtu nelze vzhledem k důvodům tamtéž uvedeným dosáhnout. Nadto je třeba uvést, že NÚKIB při hodnocení míry nákladů postupoval mimo jiné také podle vlastní metodiky, která byla vypracována za ad hoc za účelem zjištění výše nákladů na implementaci směrnice NIS2 jak soukromým sektorem, tak orgány státní správy a samosprávy. Tato metodika nevznikala „na zelené louce“, ale vycházela z metodik dříve prováděných průzkumů NÚKIB a Ministerstva vnitra, které zjišťovaly potřebu finančních zdrojů na kybernetickou bezpečnost pro státní úřady, ministerstva a Úřad vlády ČR.
V přípravné fázi byla podoba celého výzkumu včetně teoretických východisek konzultována na jednáních se Svazem průmyslu a dopravy, Svazem měst a obcí a Ministerstvem vnitra ČR. Členové výše zmíněných organizací a státní úřady měly možnost se k celému výzkumu s předstihem dostatečně vyjádřit, což v několika případech rovněž udělali. Četné připomínky byly do podoby dotazníkového šetření implementovány. Nicméně ve fázi provádění samotného průzkumu, zaslalo výsledky jen velmi malé procento subjektů oslovených prostřednictvím výše zmíněných organizací. NÚKIB se tedy domnívá, že důvodová zpráva obsahuje požadované v nejlepší možné kvalitě, které lze dosáhnout a nesouhlasí s tím, že by uváděl, že návrh nebude mít dopady na územní samosprávné celky, jak tvrdí připomínkové místo.
Nadto bylo na žádost Ministerstva financí do příslušné části RIA i důvodové zprávy uvedeno, jakým způsobem se obdržená data jednotlivých organizací lišila od sebe navzájem a jak široký mají tato data rozptyl i u typově a velikostně obdobných organizací.
Připomínkové místo s vypořádáním souhlasí.
109.
Svaz měst a obcí
Z
K důvodové zprávě, části 7.1 – Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet a ostatní veřejné rozpočty; RIA, část 3.4 – Dopady na územní samosprávné celky: Nelze se v žádném případě ztotožnit s tvrzením předkladatele, že dopady budou minimální, ba naopak. S ohledem na navrhované znění jak § 2 odst. 2 písm. a) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, v pozdějším znění (dále jen „ZoISVS“), tak s poukazem na navrhované znění § 5b shodného zákona lze očekávat nutnost navýšení personálních kapacit z řad odborníků na kyberbezpečnost, bude třeba zvážit i upgrade technického vybavení jak v oblasti HW, tak SW.
Navrhujeme, aby do obou dokumentů byly promítnuty nově uložené povinnosti ve smyslu dotčených ustanovení a byly vyčísleny dopady těchto opatření na veřejné rozpočty.
Neakceptováno.
Úprava zákona o informačních systémech veřejné správy vychází ze zmocnění Ministerstva vnitra k tomu vydat vyhlášku o dlouhodobém řízení informačních systémů veřejné správy, která by rovněž obsahovala požadavky na kybernetickou bezpečnost informačních systémů veřejné správy. Tento požadavek byl ale vzhledem k jeho povaze a nutnosti zesouladnit stanovené cíle ISMS jednotlivých organizací ve státní správě koncipován jako odkaz na přiměřenou aplikaci vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, a to právě v zájmu zesouladnění úprav a možnostem sdílení zkušeností a kapacit vycházejících ze stejného okruhu povinností. Nejedná se tak o nový požadavek NÚKIB, ale toliko jiné provedení již existujícího zmocnění k vydání pravidel kybernetické bezpečnosti, které tak nyní nejsou obsahem vyhlášky o dlouhodobém řízení informačních systémů veřejné správy v souladu s návrhem gestora této problematiky – Ministerstva vnitra.
Reakce připomínkového místa:
Nesouhlasíme s vypořádáním – z uvedené argumentace neplyne, z jakého důvodu nedochází k promítnutí nově uložených povinností ve smyslu dotčených ustanovení do návrhu a proč nejsou řádně vyčísleny dopady těchto opatření na veřejné rozpočtu.
JE PONECHÁN ROZPOR.
Po schůzce:
Stále přetrvává ROZPOR.
110.
Svaz měst a obcí
Z
K části druhé, bod 1. (změna zákona o informačních systémech veřejné správy)
Dle navrženého ustanovení se v § 2 odst. 2 písm. a) slova „cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost“ nahrazují slovy „informačního systému veřejné správy bezpečnostní úroveň podle prováděcího právního předpisu upravujícího stanovení bezpečnostní úrovně informačního systému veřejné správy“.
Z uvedeného plyne, že pro účely tohoto zákona se dále rozumí „bezpečnostní úrovní cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost informačního systému veřejné správy bezpečnostní úroveň podle prováděcího právního předpisu upravujícího stanovení bezpečnostní úrovně informačního systému veřejné správy,“.
Jednoznačně tak návrh směřuje k návaznosti na prováděcí předpisy k novému zákonu o kybernetické bezpečnosti a k s ním spojeným povinnostem, avšak infiltruje tyto povinnosti do odlišného zákona. Důvodová zpráva se pak k těmto nově uloženým povinnostem blíže nevyjadřuje s tím, že návrhem zákona o kyberbezpečnosti je rušen prováděcí právní předpis stanovující bezpečnostní pravidla a z tohoto důvodu je nezbytné je promítnout do ZoISVS.
S tvrzením předkladatele se nelze ztotožnit. Navrženým ustanovením předkladatel podřazuje ISVS (namísto cloud computingu) v návaznosti na nově formulované ustanovení § 5b shodného zákona do režimu zákona o kyberbezpečnosti, což mění i nastavení povinností a souvisejících povinnosti.
Navrhujeme, aby bylo ponecháno původní znění dotčeného ustanovení.
Neakceptováno
Připomínkou dotčená úprava § 2 odst. 2 písm. a) zákona o informačních systémech veřejné správy nestanoví žádné nové povinnosti. Návrh zákona o kybernetické bezpečnosti a návrh zákona, kterým se mění některé zákony v souvislosti návrhem zákona o kybernetické bezpečnosti mají mimo jiné za cíl sjednotit regulaci cloudových služeb v České republice. Za tímto účelem bylo zmocnění k vydání vyhlášky o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné správy vyjmuto z úpravy návrhu zákona o kybernetické bezpečnosti a přesunuto do zákona o informačních systémech veřejné správy. Vzhledem k přesunu této pravomoci a formálním změnám v obsahu vyhlášky, musí být aktuálně účinná vyhláška o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci zrušena a bude nahrazena novou (již doloženou v tezích k doprovodnému návrhu zákona). Ze změny spočívající v navázání bezpečnostních úrovní na informační systémy veřejné správy není třeba mít obavu. Už aktuálně účinné znění vyhlášky cílí přímo na informační nebo komunikační systémy (§ 2 písm. a) vyhlášky), přestože se ve vyhlášce mluví převážně o poptávaném cloud computingu. Samotná povinnost orgánu veřejné správy zařadit informační systém, k zajištění jehož provozu bude využíván cloud computing do příslušné bezpečnostní úrovně se tak nemění. Tomu odpovídá i zařazení této povinnosti do § 6l.
Co se týče části připomínky směřující k úpravě §5b zákona o informačních systémech vyřejné správy, odkazujeme na vypořádání následující připomínky č. 111.
Reakce připomínkového místa:
Vysvětlení není srozumitelné – není vyjádřeno, z jakého důvodu je nově nastaveno zaměnění cloud computingu za ISVS. Z hlediska dopadů na dotčené subjekty tak dochází k zásadní změně. Navrhujeme dovysvětlit tuto otázku.
JE PONECHÁN ROZPOR.
Po schůzce:
Stále přetrvává ROZPOR.
111.
Svaz měst a obcí
Z
K části druhé, bod 5. (změna zákona o informačních systémech veřejné správy): Dle uvedeného bodu návrhu dochází k vložení nového ustanovení § 5b ZoISVS včetně poznámky pod čarou č. 18, jenž zní: „Správci informačních systémů veřejné správy, kteří nejsou poskytovatelem regulované služby podle zákona upravujícího kybernetickou bezpečnost, jsou povinni na jimi spravované informační systémy veřejné správy přiměřeně zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle zákona upravujícího kybernetickou bezpečnost18).“
Uvedeným nově vloženým ustanovení § 5b do ZoISVS ve své podstatě dochází k podřazení správců ISVS do režimu nižších povinností dle zákona o kyberbezpečnosti. Opět bez jakékoliv návaznosti na zvážení zvýšení nákladů jak personálních, tak věcných. Předkladatel sice argumentuje přiměřeností, a to i s ohledem na nákladovost, ovšem jedná se tak o vágní a právně neurčité vymezení, neboť mimo jiné se v čase, s ohledem na dosavadní technický, technologický, společenský a další vývoj pojem přiměřenosti mění. Čemuž budou odpovídat i nároky na přiměřené plnění této povinnosti odpovídat.
Navrhujeme vymezit povinnost stanovenou v § 5b návrhu výlučně vůči poskytovatelům regulované služby, tedy § 5b bez náhrady vypustit, neboť adekvátní právní úprava je obsažena v připravovaném zákona o kyberbezpečnosti.
Neakceptováno.
Úprava zákona o informačních systémech veřejné správy vychází ze zmocnění Ministerstva vnitra k tomu vydat vyhlášku o dlouhodobém řízení informačních systémů veřejné správy, která by rovněž obsahovala požadavky na kybernetickou bezpečnost informačních systémů veřejné správy. Tento požadavek byl (vzhledem k jeho povaze a nutnosti zesouladnit stanovené cíle ISMS jednotlivých organizací ve státní správě) koncipován jako odkaz na přiměřenou aplikaci vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, a to právě v zájmu zesouladnění úprav a možnostem sdílení zkušeností a kapacit vycházejících ze stejného okruhu povinností. Nejedná se tak o nový požadavek NÚKIB, ale toliko jiné provedení již existujícího zmocnění k vydání pravidel kybernetické bezpečnosti, které tak nyní nejsou obsahem vyhlášky o dlouhodobém řízení informačních systémů veřejné správy. Je třeba zde poznamenat, že se nejedná o plnou aplikaci návrhu zákona o kybernetické bezpečnosti, ale o přiměřenou aplikaci bezpečnostních opatření pro nižší režim, tedy administrativně, finančně i procesně méně náročný požadavek.
Reakce připomínkového místa:
Dovolujeme si k tomuto poznamenat, že stále se jedná o zvýšení nákladů a nic se nemění na neurčitém vymezení. Nároky na přiměřené plnění této povinnosti jsou tak neodhadnutelné, nicméně dopadnou i na municipality. Naše připomínka tak nebyla vypořádána co do informace, proč není zcela tato úprava vynechána a ponechána jen na právní úpravě zákona o kyberbezpečnosti, absentuje i vyjádření k případnému upřesnění vymezení.
Po schůzce:
Stále přetrvává ROZPOR.
112.
Svaz průmyslu a dopravy České republiky
D
K části první (změna zákona o elektronických komunikacích): Doporučujeme upravit celý § 98 a přidat odkazy na zákon o kybernetické bezpečnosti. Zároveň je třeba vyjasnit, zda osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací bude vždy pod regulací zákona o kybernetické bezpečnosti či nikoliv.
Vysvětleno.
Ustanovení § 98 zákona o elektronických komunikacích upravuje problematiku bezpečnosti sítí a služeb obecně, nevztahuje se výhradně k otázkám kybernetické bezpečnosti. Otázky spojené s „ostatní“ bezpečností zůstávají v kompetenci ČTÚ vůči všem podnikatelům zajišťujícím veřejné komunikační sítě nebo poskytující veřejně dostupné služby elektronických komunikací bez ohledu na jejich povinnosti vyplývající z úpravy kybernetické bezpečnosti.
Na základě připomínky ČTÚ k tomuto ustanovení byl navrhovaný § 98 odst. 9 zákona o elektronických komunikacích upraven, viz ČÁST ČTVRTÁ, bod 4.
Ne všechny podnikatele v elektronických komunikacích bude možno bez dalšího zahrnout do rozsahu působnosti navrhovaného zákona o kybernetické bezpečnosti. Navrhované řešení by mělo spočívat v zachování převážné většiny ustanovení § 98 zákona o elektronických komunikacích s vyloučením těch okolností a povinností, které budou spadat pod návrh zákona o kybernetické bezpečnosti. Takový přístup zajistí jak plnění povinností podnikatelů v elektronických komunikacích, na něž povinnosti podle návrhu zákona o kybernetické bezpečnosti nedopadnou a u nichž by měla být bezpečnost v celé míře v kompetenci ČTÚ, tak nezbytnou míru informací k plnění jeho jiných regulačních a dozorových pravomocí. Zároveň budou mít všichni podnikatelé v oblasti elektronických komunikací nadále povinnosti vůči ČTÚ týkající se „ostatní“ bezpečnosti sítí a služeb, která nemá původ v kyberprostoru.
Připomínkové místo s vypořádáním souhlasí.
113.
Úřad pro ochranu osobních údajů
D
K návrhu zákona: ÚOOÚ doporučuje novely uspořádat podle významu.
Odůvodnění: 1. zákon č. 365/2000 Sb., o informačních systémech veřejné správy, 2. zákon č. 29/2000 Sb., o poštovních službách, 3. § 98 zákona č. 127/2005 Sb., o elektronických komunikacích, 4. § 2 odst. 2 písm. d) zákona č. 159/2006 Sb., o střetu zájmů, a 5. § 7 písm. c) zákona č. 34/2021 Sb., o prověřování zahraničních investic.
Akceptováno jinak.
Novely byly v souladu s čl. 54 odst. 3 Legislativních pravidel vlády seřazeny podle toho, kdy byly novelizované právní předpisy publikovány ve Sbírce zákonů.
Reakce připomínkového místa:
U připomínky je nezbytné vyznačit: „Neakceptováno“. ÚOOÚ bere na vědomí. Co se týká článku 54 odst. 3 věty třetí LPV: „Nejde-li o novelu právního předpisu, který je uveden v názvu návrhu právního předpisu, řadí se novely v pořadí, v jakém byly novelizované právní předpisy vyhlášeny ve Sbírce zákonů“, který byl zaveden usnesení vlády ze dne 18. července 2007 č. 816 a modifikován do rigidní podoby usnesením vlády ze dne 14. listopadu 2012 č. 820, nezbývá než ho respektovat, byť není nejvhodnějším pravidlem.
Připomínka byla vypořádána.
114.
Českomoravská konfederace odborových svazů
Z
K RIA, části 3.5 (sociální dopady): Žádáme o doplnění RIA o kvalitní vyhodnocení sociálních dopadů.
Odůvodnění: Národní úřad pro kybernetickou a informační bezpečnost uvádí v shrnutí závěrečné zprávy RIA v části 3.5, že návrh zákona nemá žádné sociální dopady. Toto hodnocení považujeme za nesprávné, protože v části 3.2 hovoří o poměrně zásadním dopadu na mezinárodní konkurenceschopnost, respektive na podnikatelské prostředí:
Naopak nelze vyloučit určitý negativní dopad na konkurenční postavení podnikatelských subjektů v ČR v podobě redukce nabídky některých dodávek v důsledku omezení rizikových dodavatelů (tedy zejména dodavatelů pocházejících ze zemí mimo vnitřní trh EU), a tedy i omezený negativní dopad na mezinárodní konkurenceschopnost.
Možné omezení okruhu subjektů na trhu může vést k nárůstu cen dodávaných technologií, a tedy i ke zvýšeným nákladům na straně regulovaných subjektů. Vzhledem k možnému snížení počtu dodavatelů technologií může dojít k dočasnému poklesu vzájemného konkurenčního tlaku, a tím pádem i ke snížení motivace k vytváření inovací. Bude však zvýšena celková úroveň bezpečnosti služeb a produktů, čímž dojde ke snížení investičních rizik spojených s dodavatelským řetězcem pro potenciální investory, obzvláště ze zemí, které bezpečnost dodavatelského řetězce již právně regulují.
ČMKOS vnímá záměr státu na zajištění bezpečnosti strategicky významné infrastruktury, ale postup, který úřad zvolil, vyvolává značné pochyby o tom, že jde o proporcionální řešení popisovaného problému.
V současné době kvůli ekonomické situaci, vládním politikám a vysoké inflaci je Česká republika zemí, kde reálná mzda klesá od čtvrtého čtvrtletí 2021. Průměrná česká mzda v prvním čtvrtletí letošního roku meziročně narostla o 8,6 %, což ovšem po zohlednění inflace, která ve stejném období dosáhla 16,4 %, znamená propad reálné průměrné mzdy o 6,7 %. Aktuálně se reálná průměrná mzda nachází jen mírně nad úrovní prvního kvartálu roku 2017. Kupní síla českých zaměstnanců se vrátila v čase o téměř šest let nazpět. Dvě třetiny zaměstnanců navíc pobírají mzdu nižší než průměrnou.
Česká ekonomika je jednou z nejpomaleji rostoucích v EU a s jednou z nejvyšších inflací v EU, což je smrtící kombinace pro růst disponibilního příjmu domácností a schopnosti domácností dovolit si platit více za služby. Třináct měsíců v řadě už také klesají maloobchodní tržby, což ukazuje, že spotřebitelská důvěra klesá. Úřadem navržený mechanismus má přitom de facto potenciál k růstu cen, což úřad nepřímo přiznává v důvodové zprávě, ale vůbec se dále nezabývá tím, jak a zda se skutečně do cen zvýšené náklady promítnou. Zahraniční zkušenosti přitom ukazují, že podobné mechanismy jsou významně financované státem (USA) nebo vyvolávají tlaky na růst cen a na konsolidaci na trhu (Spojené království).
Z důvodové zprávy vyplývá, že NÚKIB nepočítá s tím, že by stát jakkoli rozhodnutí o případném vyřazení dodavatele jakkoli kompenzoval podobně, jako v USA, je na místě analyzovat, zda nepovedou k růstu cen. Ve Spojeném království letos operátoři zdražovali měsíční paušály v rámci inflačních doložek a dalších příplatků o 15 až 17 procent a zároveň dochází k tlaku na konsolidaci na trhu. Analýza toho, jak se regulace projeví na koncových cenách, je tak na místě a NÚKIB by ji měl doplnit do důvodové zprávy / závěrečné zprávy RIA.
Konsolidace je navíc častý důsledek zvýšených regulatorních nákladů, které vedou k odchodu menších hráčů z trhu. To by mohlo způsobit v ČR zvýšení cen pevného připojení k internetu, které patří mezi nejnižší v EU. Zároveň je otázka, jak se promítne regulace do podnikání velkých mobilních operátorů, jejichž ceny v ČR jsou podle řady srovnání mezi nejvyššími v Evropské unii.
ČMKOS tak požaduje, aby NÚKIB provedl pečlivou analýzu sociálních dopadů nového zákona o kybernetické bezpečnosti, především pak na koncové ceny mobilních a pevných služeb elektronických komunikací. Na základě této analýzy je pak třeba znovu vyhodnotit, zda zvolený postup je proporcionální problému, který chce řešit, a zda možné dramatické důsledky v oblasti maloobchodních cen služeb, které vyplynou z takové regulace, nepřevýší benefity, o kterých NÚKIB píše v důvodové zprávě. Minimálně tato analýza musí dát veřejnosti a jejím zástupcům v zákonodárném sboru jasné informace o tom, jaký vliv bude mít výsledek regulace na jejich disponibilní příjmy.
Neakceptováno.
Co se týče sociální dopadů, podle bodu 10.5 obecných zásad pro hodnocení dopadů regulace (RIA), účinných od 3. 2. 2016, se mezi sociálními dopady uvádějí zejména dopady na rodiny či na specifické sociální skupiny obyvatel a jejich práva, tj. např. na sociálně slabé, osoby se zdravotním postižením, národnostní menšiny, sociálně vyloučené nebo na zaměstnance. V rámci hodnocení lze mezi sociálními dopady uvést okolnosti mající dopad na zhoršení sociální rovnosti, dále pak pracovně právní vztahy, sociální začleňování, sdružování nebo kupř. práva menšin.
S ohledem na výše uvedené máme za to, že v závěrečné zprávě RIA je správně uvedeno, že návrh zákona nebude mít sociální dopady. Pokud jde o Vámi uvedený případný nárůst cen, tak ve vztahu ke spotřebitelům se jedná o nepřímý dopad, který je již začleněn mezi ekonomické dopady na podnikatelské prostředí. Tyto dopady (společně se všemi zbývajícími ekonomickými dopady, včetně těch pozitivních) jsou podrobně popsány v bodě 3.3 závěrečné zprávě RIA. S odkazem na poslední zmíněný bod je nasnadě zopakovat, že přesnou výši finančních dopadů není možné předem stanovit, přičemž veškeré předchozí požadavky na jejich vyčíslení vedly k vytvoření odhadů s nízkou vypovídací hodnotou.
Připomínkové místo s vypořádáním souhlasí.
115.
Česká asociace elektronických komunikací
Z
K části první čl. I (změna zákona o elektronických komunikacích): ČTÚ navrhuje, vědom si toho, že po pracovní úrovni bylo navržené doplnění § 98 zákona o elektronických komunikacích (stejně jako v Návrhu obsažené změny zákona o poštovních službách) s předkladatelem projednáno, navrhujeme upravit část první čl. I návrhu tak, že zní:
V § 98 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 153/2010 Sb., zákona č. 468/2011 Sb. a zákona č. 374/2021 Sb., se za odstavec 8 vkládá nový odstavec 9, který zní: „(9) Povinnosti stanovené nebo uložené na základě Odstavce 1, 3, 4, 6 až 8 se nepoužijí v případě podnikatele zajišťujícícho veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, pokud má na základě vyhodnocení dostupných informací podnikatelem narušení bezpečnosti a integrity těchto sítí a služeb původ v kyberprostoru, a to v rozsahu, ve kterém se na něj vztahují obdobné povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost.“
Odůvodnění: Odstavce 2 a 5 daného ustanovení zákona o elektronických komunikacích upravují povinnosti (pravomoci) ČTÚ, nikoli povinnosti podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, a proto navrhujeme z výčtu odstavců, které se nepoužijí, tyto vypustit. Současně navrhujeme zpřesnit text navrženého doplnění § 98 tak, aby bylo jednoznačné, že se pravidla obsažená v zákoně o kybernetické bezpečnosti uplatní pouze v případě, že k narušení bezpečnosti a integrity veřejných sítí a veřejně dostupných služeb došlo dle aktuálně dostupných informací, na základě kterých to může podnikatel v danou chvíli vyhodnotit, v kyberprostoru.
Za splnění tohoto předpokladu se v případě obdobné povinnosti stanovené zákonem o kybernetické bezpečnosti neuplatní povinnosti stanovené v uvedených odstavcích § 98 zákona o elektronických komunikacích nebo uložené ČTÚ na jejich základě. Pokud v zákoně o kybernetické bezpečnosti obdobná povinnost neexistuje, uplatní se povinnosti stanovené v § 98 zákona o elektronických komunikacích nebo uložené ČTÚ na jejich základě.
Vysvětleno.
Obsahově téměř totožnou připomínku jsme obdrželi i přímo od ČTÚ, který je gestorem zákona o elektronických komunikacích, jenž má být tímto ustanovením měněn. Na základě dohody s ČTÚ došlo k úpravě předmětného ustanovení.
V upraveném znění viz ČÁST ČTVRTÁ, bod 4.
Připomínkové místo s vypořádáním souhlasí.
V Brně 18. 12. 2023
Vypracoval: Národní úřad pro kybernetickou a informační bezpečnost (kontaktní osoba Mgr. Prokop Lang, tel. 541 110 610 email: legislativa@nukib.cz)
2