Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSG44YX
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSG44YX najdete zde

                IV.
DŮVODOVÁ ZPRÁVA
A. Obecná část
Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti (dále jen „návrh zákona“), je předkládán současně s návrhem nového zákona o kybernetické bezpečnosti (dále také jen „návrh ZKB“), který má za cíl nahradit dosavadní zákon č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „zákon č. 181/2014 Sb.“) a jeho prováděcí právní předpisy. Návrh ZKB je zároveň transpozičním předpisem směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2). Právě v souvislosti s obsahem směrnice NIS 2 a dalšími změnami, které nastanou s účinností návrhu ZKB, je nutné změnit ustanovení některých účinných právních předpisů v České republice (dále jen „ČR“).

Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Povinnosti upravené v návrhu ZKB se vztahují mimo jiné i na podnikatele zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací, kteří mají povinnost hlásit kybernetické bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) a spolupracovat s NÚKIB při jejich řešení a předcházení jim. Tito podnikatelé jsou ve vztahu k zajišťování bezpečnosti a integrity uvedené sítě a k zajišťování bezpečnosti uvedené služby vázáni také zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále také jen „ZEK“), v rámci něhož mají povinnost hlásit (obecné) bezpečnostní incidenty Českému telekomunikačnímu úřadu (dále jen „ČTÚ“) a spolupracovat s ČTÚ při jejich řešení a předcházení jim. Vyvstává proto potřeba upravit vzájemný vztah návrhu ZKB a ZEK, a to změnou posledně zmíněného právního předpisu. Obdobně je tomu také v případě provozovatelů poštovních služeb podle zákona č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění pozdějších předpisů.
Dále platí, že návrh ZKB na rozdíl od zákona č. 181/2014 Sb. stanovuje jedinou povinnou osobu (poskytovatele regulované služby), a nestanovuje orgánům veřejné moci povinnost zajistit dodržování bezpečnostních pravidel v souvislosti s využíváním služby cloud computingu, stejně tak ani povinnost zařadit poptávaný cloud computing do bezpečnostní úrovně před uzavřením smlouvy s poskytovatelem cloud computingu. Návrh ZKB dále ruší vyhlášku č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci, ve znění pozdějšího předpisu. Z těchto skutečností vyplývá nutnost upravit znění zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů (dále jen „ZoISVS“). Společně s touto změnou se nabízí možnost využít v návrhu ZKB zakotvenou úroveň bezpečnostních opatření stanovených pro poskytovatele regulované služby v režimu nižších povinností tak, aby došlo ke sjednocenému stanovení standardu kybernetické bezpečnosti pro téměř celou veřejnou správu v ČR. Tento návrh má ambici dosáhnout nápravy doposud neutěšeného stavu, který byl popsán již v původní důvodové zprávě k zákonu č. 181/2014 Sb., v níž je uvedeno, že „[v] oblasti veřejné správy neexistuje jednotný způsob stanovení bezpečnostních standardů, které by minimalizovaly potencionální škody vzniklé z kybernetických útoků“.
Výše uvedenou změnu, obsaženou v návrhu ZKB, spočívající ve stanovení jediné povinné osoby, je nutné promítnout rovněž do znění zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů, ve znění pozdějšího předpisu (dále jen „ZoPZI“), neboť také tento právní předpis obsahově vychází z vymezení více povinných osob zákonem č. 181/2014 Sb.
K dílčím úpravám právních předpisů, které si vyžádá přijetí návrhu ZKB, byla připojena rovněž změna zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů (dále jen „zákon o střetu zájmů“). Z aktuální formulace zákona o střetu zájmů plynou možná bezpečnostní rizika, obdobná jako v případě zaměstnanců zpravodajských služeb, přičemž návrh zákona má za cíl daný stav narovnat.
Současná právní úprava není diskriminační a nemá žádný dopad na rovnost mužů a žen.
Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Návrh zákona je předkládán zejména z důvodu zajištění řádné interpretace a aplikace právních předpisů, které obsahově navazují na zákon č. 181/2014 Sb., který má být nahrazen návrhem ZKB. Návrh zákona nemá ve vztahu k zákazu diskriminace žádné dopady. Co se týče rovnosti mužů a žen, návrh zákona je neutrální, neboť neobsahuje ustanovení, která by byť jen nepřímo zakládala rozdíly v právním postavení žen a mužů nebo v podmínkách vymáhání práv a plnění povinností.
Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku
Návrh ZKB vyžaduje, aby byl předložen také změnový zákon, který zejména upraví rozsah povinností pro některé povinné osoby, které budou regulovány současně návrhem ZKB a těmi předpisy, jejichž změna je předkládána v rámci návrhu zákona.
Pokud jde o navrhovanou změnu ZEK, v případě jejího neprovedení by podnikatelům, kteří zajišťují veřejnou komunikační síť nebo poskytují veřejně dostupnou službu elektronických komunikací, při kybernetických bezpečnostních incidentech vznikala duplicitní povinnost spolupracovat jak s NÚKIB, tak také s ČTÚ, resp. by museli hlásit stejné informace zároveň na obě tato místa. Obdobně je tomu také v případě provozovatelů poštovních služeb podle zákona o poštovních službách. Takový právní stav by nutně vedl ke zbytečnému nárůstu administrativy na straně uvedených podnikatelů a ke zvýšení nákladů spojených právě s administrativními úkony.
V případě neprovedení navrhované změny ZoISVS by nastala situace, v níž by zmíněný právní předpis odkazoval na neexistující právní instituty a neexistující povinnosti dotčených osob. Došlo by tedy ke ztížení či znemožnění dosažení účelu právní úpravy ZoISVS. Vedle toho by nepřijetí odkazu na bezpečnostní opatření podle návrhu zákona vedlo k nastavení trojkolejnosti právní úpravy kybernetické bezpečnosti v rámci veřejné správy v ČR.
Co se týče případného neprovedení úpravy ZoPZI, lze učinit tentýž závěr jako v případě neprovedení úpravy ZoISVS. Ustanovení ZoPZI by odkazovalo na neexistující okruh povinných osob, čímž by se stalo obsoletním.
Zachování současné formulace zákona o střetu zájmů by mělo za následek potenciální zvyšování možných bezpečnostních rizik, obdobně jako v případě příslušníků zpravodajských služeb, kteří již mají z těchto důvodů v rámci zákona o střetu zájmů udělenou výjimku. 
Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem ČR 
Legitimita cíle, který sleduje návrh ZKB a s ním související návrh zákona, je v současnosti všeobecně považována za nezpochybnitelnou, neboť smyslem a účelem návrhu ZKB je pokračovat ve zvyšování bezpečnosti kybernetického prostoru a informací v něm.
Návrh změn v ZEK a zákoně o poštovních službách nestanovuje nové povinnosti, má pouze za úkol odstranit duplicitu povinností u subjektů, které by spadaly pod působnost obou zákonů zároveň, a přispívá tak k přehlednosti právní úpravy. Navrhované změny v ZoISVS mají zejména systematický charakter, neboť je vhodné přesunout všechny povinnosti související s regulací využívání cloud computingu orgány veřejné správy pod působnost jednoho zákona. V případě navrhovaných změn těchto tří právních předpisů nevzniká žádný rozpor s ústavním pořádkem ČR.
V případě změny zákona o střetu zájmů se uplatní princip proporcionality, kdy jsou aplikována kritéria vhodnosti, potřebnosti a poměřování (viz nález Ústavního soudu sp. zn. Pl. ÚS 4/94), s přihlédnutím k zásadě šetření podstaty a smyslu základních práv a svobod ve smyslu čl. 4 odst. 4 Listiny základních práv a svobod, vyhlášené za součást ústavního pořádku usnesením předsednictva České národní rady č. 2/1993 Sb., ve znění pozdějších předpisů (dále jen „Listina“). V navrhované úpravě lze spatřovat kolizi práva na soukromí a práva veřejnosti na informace. Vzhledem k legitimnosti cíle, kterým je snížení bezpečnostního rizika, se navrhovaná změna zákona o střetu zájmů pohybuje v mezích ústavní konformity.
O navrhovaných změnách v ZoPZI lze také konstatovat, že jsou ústavně konformní. Již v případě účinného ZoPZI dochází k omezení práva podnikat, které ovšem obstojí vzhledem k legitimnímu cíli, jež omezení sleduje, totiž k ochraně bezpečnosti státu a jeho veřejného a vnitřního pořádku. Navrhovaná změna pouze navíc odráží změny obsažené v návrhu ZKB, přičemž smysl původního znění ZoPZI zůstává plně zachován.
S ohledem na výše uvedené lze shrnout, že návrh zákona je plně v souladu s ústavním pořádkem ČR, jak jej vymezuje čl. 112 ústavního zákona č. 1/1993 Sb., Ústavy ČR, ve znění pozdějších předpisů (dále jen „Ústava“), jakož i s mezinárodními smlouvami podle čl. 10 Ústavy, a není v rozporu s nálezy Ústavního soudu.   
Zhodnocení slučitelnosti navrhované právní úpravy s předpisy Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie
Navrhovaný zákon je v souladu s předpisy Evropské unie (včetně směrnice NIS 2, transponované návrhem ZKB), judikaturou soudních orgánů Evropské unie a obecnými právními zásadami práva Evropské unie. 
Přijetí návrhu změnového zákona je spolu s návrhem ZKB klíčovým nástrojem k implementaci směrnice NIS 2. Zhodnocení souladu navrhované právní úpravy s předpisy Evropské unie je důkladněji provedeno v důvodové zprávě k návrhu ZKB. 
Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, kterými je ČR vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách
Navrhovaná úprava podstatným způsobem nezasahuje do mezinárodních smluv, kterými je ČR vázána, a je slučitelná s mezinárodními smlouvami o lidských právech a základních svobodách.
Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty a na podnikatelské prostředí ČR
7.1 Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet a ostatní veřejné rozpočty  
V případě provedení změny ZEK a zákona o poštovních službách se nepředpokládají žádné zvýšené náklady. Ty by naopak přineslo neprovedení navrhovaných změn, neboť by státu vznikaly dvojnásobné náklady, pokud by docházelo ke zpracování totožných informací jak ze strany NÚKIB, tak ČTÚ. Provedením změny ZoISVS by rovněž neměly vzniknout proti aktuálnímu stavu žádné zvýšené náklady. V části týkající se uložení povinnosti zavádět bezpečnostní opatření v rozsahu stanoveném návrhem zákona pro poskytovatele regulované služby v režimu nižších povinností je nutné uvést, že tato bezpečnostní opatření mají stanovovat naprosto elementární úroveň bezpečnostních opatření, které by měl každý orgán veřejné správy naplňovat už nyní.
Změnou ZoPZI by neměly vzniknout proti aktuálnímu stavu žádné zvýšené náklady. 
Pokud jde o navrhovanou změnu zákona o střetu zájmů, její hlavní přínos spočívá ve snížení bezpečnostního rizika. Sekundárně lze očekávat, podobně jako u změny ZEK a zákona o poštovních službách, odstranění nadbytečné administrativní zátěže spojené se zpracováním totožných informací poskytovaných vedoucími zaměstnanci NÚKIB, tedy i snížení nákladů s touto administrativní zátěží spojených.
 7.2 Dopad na podnikatelské prostředí 
Přijetí návrhu zákona nebude mít na podnikatelské prostředí žádný negativní dopad. Naopak v případě provedení navrhované změny ZEK a zákona o poštovních službách lze jako pozitivní vnímat zamezení stavu spočívajícího ve zvýšené administrativní zátěži podnikatelů zajišťujících veřejnou komunikační síť nebo poskytujících veřejně dostupnou službu elektronických komunikací, stejně tak jako poskytovatelů poštovních služeb, která by v případě neprovedení změny vznikala při snaze vyhovět duplicitním povinnostem podle návrhu ZKB a ZEK, resp. zákona o poštovních službách.
V případě změny ZoPZI dochází pouze k minimálním dopadům na podnikatelské prostředí. Změna zákona o prověřování zahraničních investic následuje analogicky původní rozvržení tzv. cílových osob, a tedy v případě dopadů na podnikatelské prostředí je možné se odkázat na řešení této otázky v důvodové zprávě k ZoPZI.
Zhodnocení sociálních dopadů, včetně dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, dopadů na ochranu práv dětí a dopadů na životní prostředí
8.1 Sociální dopady, včetně dopadů na rodiny a dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny 
Návrh zákona nemá žádné dopady na rodiny a specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny.
 8.2 Dopady na ochranu práv dětí 
Návrh zákona nemá žádné dopady na ochranu práv dětí.
8.3 Dopady na životní prostředí 
Návrh zákona nemá žádné dopady na životní prostředí.
Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů
Návrh zákona nezakládá nové ani nerozšiřuje žádné stávající zpracování osobních údajů. Úpravou zákona o střetu zájmů naopak dojde k omezení zpracování osobních údajů některých vedoucích zaměstnanců NÚKIB tak, aby nedocházelo k duplicitnímu zpracování jejich osobních údajů za obdobným účelem jako na základě zákona o střetu zájmů a v rámci bezpečnostního řízení podle zákona č. 412/2005 Sb., o ochraně utajovaných informacích a bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „zákon o ochraně utajovaných informací“).
S ohledem na výše uvedené nemá návrh zákona žádný negativní dopad na ochranu soukromí a osobních údajů, posouzení nezbytnosti a přiměřenosti zpracování, souvisejících rizik pro práva a svobody fyzických osob, a stanovení možných opatření ke snížení těchto rizik tak není v tomto případě relevantní. 
Zhodnocení korupčních rizik
Vzhledem k povaze navrhovaných změn ZEK, ZoISVS, zákona o poštovních službách a zákona o střetu zájmů nepřináší návrh zákona zvýšení korupčních rizik v porovnání se stávající úpravou.
Korupční rizika spojená se změnou ZoPZI zůstávají stejná, lišit se může pouze jejich četnost v návaznosti na očekávané zvýšení počtu cílových osob, u kterých bude potřeba získat povolení nebo podmíněné povolení pro uskutečnění investice. 
Zhodnocení dopadů na bezpečnost nebo obranu státu
Navrhovaná úprava nemá zásadní vliv na bezpečnost nebo obranu státu. Tento vliv se odvíjí od návrhu ZKB a společně s návrhem zákona přispívají k vyšší bezpečnosti a obraně státu.
Zhodnocení dopadů na rodiny
Návrh zákona nemá žádné dopady na rodiny.
Zhodnocení územních dopadů, včetně dopadů na územní samosprávné celky
Návrh zákona nemá žádné územní dopady, včetně dopadů na územní samosprávné celky.
Zhodnocení souladu navrhovaného řešení se zásadami tvorby digitálně přívětivé legislativy, včetně zhodnocení rizika vyloučení nebo omezení možnosti přístupu specifických skupin osob k některým službám v důsledku digitalizace jejich poskytování (digitální vyloučení)
Z hlediska zásad tvorby digitálně přívětivé legislativy jsou respektovány zásady budování přednostně digitálních služeb a maximální opakovatelnosti a znovupoužitelnosti údajů. Zamýšleným zrušením duplicity povinností ukládaných podle návrhu ZKB a ZEK, resp. zákona o poštovních službách (v případě navrhovaných změn posledních dvou jmenovaných) a povinností ukládaných podle zákona o ochraně utajovaných informací a podle zákona o střetu zájmů (v případě navrhované změny zákona o střetu zájmů) bude mimo jiné vždy namísto dvou existovat pouze jedno místo, které bude shromažďovat hlášené údaje. Výrazně tak bude usnadněno budování digitálních služeb, zamýšlené úpravy jsou zároveň jednoznačně postaveny na principu only once, jehož charakteristickým znakem je, že zamezuje případům, kdy konkrétní osoby předkládají orgánům veřejné správy tytéž informace opakovaně.


B. Zvláštní část
K části první – změna zákona o elektronických komunikacích
V rámci svého čl. 43 ruší směrnice NIS 2 k datu nabytí své účinnosti čl. 40 a 41 směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (dále jen „Kodex“). Je tomu tak zjednodušeně z toho důvodu, že dosavadní požadavky Kodexu, tedy „zajistit, aby poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací přijali vhodná a přiměřená technická a organizační opatření k odpovídajícímu zvládnutí rizik pro bezpečnost sítí a služeb. [...]“, odpovídají požadavkům směrnice NIS 2, která technická a organizační opatření všem poskytovatelům veřejných sítí elektronických komunikací a veřejně dostupných služeb elektronických komunikací také ukládá. 
Transpozičním ustanovením článků 40 a 41 Kodexu je v českém právním prostředí § 98 ZEK, ve znění novelizace provedené zákonem č. 374/2021 Sb., účinné od 1. ledna 2022. 
Ustanovení § 98 ZEK doznalo touto novelizací změn a vztahuje se na „osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací […]“, tedy na širší množinu, než na kterou dopadá návrh ZKB. Z výše uvedených důvodů, a z důvodu minimalizace zásahu do jiných právních předpisů, doplňuje návrh zákona aktuální znění ZEK o nový odstavec upravující vztah povinných osob podle ZEK a návrhu ZKB. Návrh ZKB je v této úzké problematice zvláštním předpisem vůči ZEK, a pokud se tedy bude jednat o orgán nebo osobu naplňující jak kritéria daná ZEK, tak návrhem ZKB, bude tento orgán nebo osoba plnit povinnosti v oblasti kybernetické bezpečnosti podle návrhu ZKB. Zbylá ustanovení ZEK a povinnosti plynoucí těmto orgánům nebo osobám z těchto ustanovení nejsou dotčena. 
K části druhé – změna zákona o informačních systémech veřejné správy
Vzhledem k tomu, že návrh ZKB nestanoví na rozdíl od zákona č. 181/2014 Sb. pro orgány veřejné moci povinnost  zajistit dodržování bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu ani povinnost zařadit poptávaný cloud computing do bezpečnostní úrovně před uzavřením smlouvy s poskytovatelem cloud computingu, a vzhledem k tomu, že je návrhem ZKB rušen prováděcí právní předpis stanovující tato bezpečnostní pravidla, je nutné promítnout do zákona č. 365/2000 Sb., o informačních systémech veřejné správy, důsledky z těchto změn plynoucí.
K bodu 1
Navrhuje se upravit definice bezpečnostní úrovně informačního systému veřejné správy, aby povinnost orgánu veřejné správy vyjádřena v § 6n měla oporu v tomto definičním ustanovení.
K bodu 2
Navrhuje se doplnit definice bezpečnostních pravidel pro orgány veřejné správy využívající služby poskytovatelů cloud computingu, aby povinnost orgánu veřejné správy vyjádřena v § 6l odst. 3 měla oporu v tomto definičním ustanovení.
K bodům 3, 6 a 7
Navrhuje se přenést (resp. zachovat v případě bezpečnostních pravidel pro orgány veřejné správy využívající služby cloud computingu) pravomoc kontrolovat požadavky přímo související s kybernetickou bezpečností na NÚKIB jakožto garanta kybernetické bezpečnosti v ČR. Agentuře zůstane zachována pravomoc kontrolovat splnění požadavku podle § 6n písm. a), protože tento se týká informační koncepce ČR, a nesouvisí tak přímo s kybernetickou bezpečností. Navrhovaná ustanovení rovněž reflektují přesun zmocnění k vydání vyhlášky o bezpečnostních úrovních a bezpečnostních pravidlech ze zákona č. 181/2014 Sb. do ZoISVS s cílem sjednotit úpravu cloud computingu v jednom předpisu.
K bodům 4 a 5
V návaznosti na navrhovanou změnu věty druhé § 5a a § 5b je potřeba uvést, že zákon č. 181/2014 Sb. upravoval práva a povinnosti malé skupiny povinných osob. Směrnice NIS 2 přichází s mnohem plošnějším přístupem, a návrh ZKB tak  reguluje širší skupinu povinných osob. ZoISVS v sobě obsahuje požadavky na kybernetickou bezpečnost informačních systémů veřejné správy, protože tyto požadavky nebyly součástí ambice původní úpravy zákona č. 181/2014 Sb. Návrh ZKB již nepracuje pouze s jednou úrovní bezpečnostních opatření (s úpravami pro významné informační systémy) pro nejvýznamnější subjekty v ČR a přichází s úpravou bezpečnostních opatření pro širokou skupinu subjektů v ČR, konkrétně bezpečnostními opatřeními pro režim nižších povinností.
Rovněž je vhodné v rámci státu stanovit pravidla kybernetické bezpečnosti shodným způsobem, ať již z hlediska možného rozšíření poskytovatelů regulovaných služeb směrem k dalším správcům informačních systémů veřejné správy v budoucnu, či vzhledem ke sdílení zkušeností a lidských zdrojů. Z těchto důvodů došlo po konzultaci se zástupci Ministerstva vnitra a Digitální informační agentury k zařazení tohoto ustanovení a přechodu úpravy bezpečnostních opatření do návrhu ZKB.
Povinnost zavádět bezpečnostní opatření je pak stanovena tak, že správci informačních systémů veřejné správy zavádějí bezpečnostní opatření, obsažená ve vyhlášce týkající se poskytovatele regulované služby v režimu nižších povinností, přiměřeně. Přiměřenost odkazuje ke dvěma aspektům této úpravy. První z nich je nákladová přiměřenost zaváděných opatření, která je tímto, vzhledem k velikosti a významnosti adresátů této normy, akcentována, a která byla vůdčím principem zavádění bezpečnostních opatření i v rámci původní úpravy. Jde o princip, který vyjadřuje, že opatření jsou zaváděna v takové úrovni a míře, která odpovídá nákladům na pořízení těchto opatření, které by neměly převýšit náklady dopadu narušení bezpečnosti informací v rámci daných aktiv. Druhým aspektem přiměřenosti je pak zohlednění toho, že správců informačních systémů veřejné správy se týkají pouze požadavky na zajišťování bezpečnosti prostřednictvím zavádění bezpečnostních opatření, a nevztahují se na ně další požadavky dané návrhem ZKB, tedy např. nemají povinnost hlásit kybernetické bezpečnostní incidenty. Z toho důvodu se na ně nevztahuje pasáž vyhlášky, která se týká vyhodnocování významnosti incidentu za účelem posouzení, zda je nutné tento incident nahlásit.
K bodu 5
Navrhovaná změna reaguje na odlišné pojetí povinných osob v návrhu ZKB. Ten stanoví pouze jedinou povinnou osobu, kterou je poskytovatel regulované služby. Je tedy potřeba změnit ustanovení stanovující kontrolní oprávnění pro NÚKIB ke kontrole dodržování některých povinností vyplývajících ze ZoISVS tak, aby byl odkaz na regulované systémy podle zákona č. 181/2014 Sb. nahrazen odkazem na regulované služby, resp. poskytování regulovaných služeb podle návrhu ZKB.
K bodům 8, 15 a 16 
Návrh ZKB na rozdíl od zákona č. 181/2014 Sb. již nestanoví povinnost zařadit poptávaný cloud computing do bezpečnostní úrovně a zajistit, že budou dodržována bezpečnostní pravidla, a ani neobsahuje zmocnění k vydání prováděcích právních předpisů pro stanovení bezpečnostních úrovní pro využívání cloud computingu orgány veřejné moci a pro stanovení bezpečnostních pravidel. Proto je k zachování funkčnosti systému regulace využívání cloud computingu orgány veřejné správy nutné tyto povinnosti (a s nimi i prováděcí právní předpisy) přenést do ZoISVS, který právě těžiště regulace využívání cloud computingu orgány veřejné správy obsahuje. Navrhovanými změnami se tedy přenáší povinnost pro orgány veřejné moci zařadit informační systém, jehož provoz má být zajištěn cloud computingem, do bezpečnostní úrovně podle prováděcího právního předpisu, stejně jako povinnost zajistit dodržování bezpečnostních pravidel podle prováděcího právního předpisu. Zmocnění k vydání těchto prováděcích právních předpisů zůstává NÚKIB, rovněž se ale přesouvá do ZoISVS. 
K bodu 9
	Navrhuje se změna v textu, která zohlední přesun vyhlášky o bezpečnostních pravidlech pod ZoISVS, včetně formulace primární povinnosti orgánu veřejné moci obsažené v § 4 odst. 5 zákona č. 181/2014 Sb., a která povede ke zpřesnění požadavku obsaženého v § 6n písm. c).
K bodu 10
Další předkládanou změnou ZoISVS je napravení rozporu legislativního textu s faktickým stavem, kdy v novelizačním textu vyjmenovaná ustanovení předpokládala stanovení některých náležitostí žádosti o zápis do katalogu cloud computingu právním předpisem upravujícím kybernetickou bezpečnost, avšak tyto náležitosti jsou stanoveny prováděcím právním předpisem vydaným podle zákona o informačních systémech veřejné správy.
K bodům 11 a 12
Navrhovaná úprava doplňuje přestupky za porušení povinností již stanovených tímto zákonem nebo zákonem č. 181/2014 Sb. [odstavec 4 písm. d)], orgány veřejné moci nebo poskytovateli cloud computingu. 
Cílem navrhované úpravy je zajistit vynutitelnost těchto povinností a tím odstranit nedostatek spočívající v imperfekci ZoISVS. Navrhovaná úprava tak nově zakotvuje přestupky v návaznosti na porušení povinnosti poskytovatele cloud computingu týkající se řádného poskytování cloud computingu nebo orgánu veřejné správy týkající se využívání cloud computingu, ukončení jeho využívání v případě, že cloud computing přestane splňovat zákonné požadavky na něj kladené, zařazení informačního systému veřejné správy do bezpečnostní úrovně a zajištění dodržení bezpečnostních pravidel. Navazující úprava sankcí zároveň bude na povinné subjekty působit dostatečně motivačně, aby se přestupkového jednání nedopouštěly.
K bodu 13
S cílem zachovat donucovací charakter pokuty se navrhuje doplnit její novou výši, která bude lépe odpovídat finančním možnostem poskytovatelů cloud computingu a hodnotě uzavíraných kontraktů na poskytování služeb cloud computingu.
Současně navrhovaná výše sankce u přestupků podle odst. 5 odpovídá sankcím v zákoně č. 181/2014 Sb. za stejné či obdobné přestupky.
K bodu 14
Navrhuje se upravit rovněž § 9e, který odkazuje v případě likvidace dat na úpravu týkající se významných informačních systémů, přičemž tato povinná osoba již v návrhu ZKB neexistuje. Vzhledem k existenci pouze jedné povinné osoby a jediné úpravy likvidace dat postačuje navrhovaná podoba odkazu.
K části třetí – změna zákona o střetu zájmů 
Navrhuje se upravit vymezení množiny veřejných funkcionářů pro potřeby zákona o střetu zájmů, konkrétně zúžit osobní působnost tohoto zákona o vybranou skupinu zaměstnanců NÚKIB. Důvodem pro tuto změnu je především duplicita při poskytování údajů o nabytém majetku a dalších příjmech, darech nebo jiném prospěchu, popřípadě závazcích, které všichni zaměstnanci NÚKIB podle zákona o ochraně utajovaných informací poskytují Národnímu bezpečnostnímu úřadu při podání žádosti o vydání osvědčení fyzické osoby, a to nejen po dobu výkonu zaměstnání (tedy i výkonu funkce vedoucího zaměstnance NÚKIB), ale také zpětně (10, 15, 20 let, popř. od věku 15 let). Zaměstnanci NÚKIB následně uvedené údaje v pravidelných intervalech doplňují (9, 7 a 5 let). 
Navrhovaná úprava by měla přispět, s ohledem na možná bezpečnostní rizika, k lepšímu vyvážení práva na soukromí vedoucích zaměstnanců NÚKIB obecně na straně jedné a práva veřejnosti na informace na straně druhé. Tato bezpečnostní rizika plynou především z toho, že dotčení vedoucí zaměstnanci disponují citlivými informacemi (především obsahem evidencí obsahujících citlivé údaje, údaji o kybernetických bezpečnostních incidentech, informacemi o možných hrozbách) a znalostmi specifických prostředků a postupů pro získávání těchto informací. Není proto v bezpečnostním zájmu zveřejňovat osobní údaje, včetně domovních adres, těchto vedoucích zaměstnanců.
K části čtvrté – změna zákona o prověřování zahraničních investic
Návrh změny ZoPZI následuje analogicky původní rozvržení tzv. cílových osob. Snahou stanovení jednoho z okruhů cílových osob jako poskytovatelů strategicky významné služby podle návrhu ZKB je přiblížit se v prostředí nového rozvržení kategorií povinných osob podle návrhu ZKB původnímu úmyslu dosavadního znění ZoPZI.
K části páté – změna zákona o poštovních službách
K bodu 1
Navrhuje se nad rámec stávajících povinností držitele poštovní licence posílit požadavek na bezpečnost poštovní sítě, základních služeb a přístupu k poštovní infrastruktuře tak, že se nad rámec souvisejících stávajících povinností (zejména podle stávajícího odstavce 2, 3 a 8 předmětného ustanovení) doplňuje povinnost hlásit bezpečnostní incidenty, resp. ohrožení nebo narušení bezpečnosti sítě, základních služeb nebo poskytování základních služeb nebo přístupu k poštovní infrastruktuře. S ohledem na skutečnost, že poskytovatelé poštovních služeb mají nově podle směrnice NIS 2 podléhat této směrnici, resp. regulaci oblasti kybernetické bezpečnosti v ní obsažené, je rovněž potřeba jednoznačně nastavit rozdělení kompetencí mezi ČTÚ a NÚKIB. Takové jednoznačného rozdělení kompetencí je důležité i z důvodu požadavku na nezvyšování administrativní zátěže jak na straně povinného, tak na straně ČTÚ, resp. NÚKIB. Díky navrhované změně by nemělo docházet k duplicitnímu plnění povinnosti hlásit bezpečnostní incidenty vůči oběma těmto orgánům, a naopak by tyto incidenty měly být oznamovány pouze jednou.
K bodu 2
Obdobně jako v případě § 112a ZEK se navrhuje doplnit úprava spolupráce ČTÚ s NÚKIB.
K bodu 3
Navrhuje se doplnit skutková podstata přestupku za porušení nově stanovené informační povinnosti držitele poštovní licence podle bodu 1 hlásit bezpečnostní incidenty ČTÚ.
K bodu 4, 5 a 8
Úprava odkazu v důsledku přečíslování odstavců podle bodu 1.
K bodu 6 a 7
Navrhuje se doplnit sankce za spáchání doplněného přestupku podle bodu 3.
K části šesté – účinnost 
Protože podstatnou část návrhu ZKB, a tedy i návrhu zákona, tvoří transpozice směrnice NIS 2, je s požadavky této směrnice úzce spojeno také stanovení účinnosti nové právní úpravy. V souladu s obsahem čl. 41 odst. 1 jsou členské státy povinny přijmout a zveřejnit opatření nezbytná pro dosažení souladu s uvedenou směrnicí do 17. října 2024, tato opatření se použijí od 18. října 2024. Z tohoto důvodu je nutné, aby byla právní úprava podle tohoto návrhu zákona a jeho prováděcích právních předpisů přijata nejpozději k 18. říjnu 2024 a zároveň ještě předtím byla zajištěná dostatečná legisvakanční lhůta, aby se povinné orgány a osoby stihly připravit na veškeré povinnosti.
2