Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSG44YX najdete zde
V.
Hodnocení dopadů regulace (RIA)
Závěrečná zpráva z hodnocení dopadů regulace
SHRNUTÍ ZÁVĚREČNÉ ZPRÁVY RIA
1. Základní identifikační údaje
Návrh zákona č. ... Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti
Zpracovatel / zástupce předkladatele:
Národní úřad pro kybernetickou a informační bezpečnost
Předpokládaný termín nabytí účinnosti:
18. říjen 2024
Implementace práva EU: Ano (Lhůta pro implementaci 17. 10. 2024)
2. Cíl návrhu zákona
Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti (dále jen „návrh zákona“) je předkládán současně s návrhem nového zákona o kybernetické bezpečnosti (dále také jen „návrh ZKB“), který má za cíl nahradit dosavadní zákon č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „zákon č. 181/2014 Sb.“) a jeho prováděcí právní předpisy. Návrh ZKB je zároveň transpozičním předpisem směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2). Právě v souvislosti s obsahem směrnice NIS 2 a dalšími změnami, které nastanou s účinností návrhu ZKB, je nutné změnit ustanovení některých účinných právních předpisů v České republice (dále jen „ČR“).
Cílem návrhu zákona je tedy změnit všechny níže uvedené právní předpisym, a docílit tak stavu, v němž bude český právní řád v souladu se změnami, ke kterým dojde díky přijetí návrhu ZKB:
· zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů (dále jen „ZoISVS“),
· zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále jen „ZEK“),
· zákona č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění pozdějších předpisů (dále jen „zákon o poštovních službách“),
· zákon č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů, ve znění pozdějšího předpisu (dále jen „ZoPZI“),
· zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů (dále jen „zákon o střetu zájmů“).
3. Agregované dopady návrhu zákona
3.1 Dopady na státní rozpočet a ostatní veřejné rozpočty: Ano
Z relevantních právních předpisů, které se navrhují změnit v souvislosti s přijetím návrhu ZKB, má dopad na státní rozpočet a ostatní veřejné rozpočty jen změna ZoISVS. Tyto dopady však budou pouze minimální, protože cílem změny je zachovat kontinuitu dosavadní regulace. Dá se předpokládat, že obce s pověřeným obecním úřadem či obce I. stupně, kterým návrh zákona ukládá povinnost přiměřeně zavádět bezpečnostní opatření pro jejich informační systémy podle návrhu ZKB, již mají tato opatření zavedena z důvodu plnění původního požadavku ZoISVS.
3.2 Dopady na mezinárodní konkurenceschopnost ČR: Ano
Kontinuálním zvyšováním kybernetické bezpečnosti nepodnikatelských, ale především podnikatelských subjektů v ČR dochází k respektování mezinárodněprávního principu due dilligence, tj. principu, na jehož základě je suverénní stát povinen v rámci své jurisdikce aktivně bránit škodám, které by mohly vzniknout ostatním státům nebo mezinárodnímu společenství. Stejným způsobem dochází také k tomu, že subjekty předchází škodám, které by měly potenciál poškozovat jejich reputaci nebo omezovat jimi poskytované služby. K výše zmíněnému dojde především díky přijetí návrhu ZKB, nicméně návrh zákona svým obsahem ke stanovenému cíli v celkovém důsledku napomáhá.
Z hlediska zásad pro tvorbu digitálně přívětivé legislativy je dodržena zásada mezinárodní interoperability – budování služeb propojitelných a využitelných v evropském prostoru. Informační systémy využívané pro agendy vyplývající ze směrnice NIS 2, resp. návrhu ZKB, mohou mimo jiné sloužit pro agregaci a bezpečné sdílení informací s partnery na mezinárodní úrovni a na úrovni Evropské unie.
3.3 Dopady na podnikatelské prostředí: Ano
Stejně jako v případě dopadů na státní rozpočet a ostatní veřejné rozpočty a územní dopady na územní samosprávné celky dochází pouze k minimálním dopadům z důvodu navrhované změny ZoISVS.
Podobně dochází k minimálním dopadům na podnikatelské prostředí v případě navrhované změny ZoPZI. Návrh změny ZoPZI následuje analogicky původní rozvržení tzv. cílových osob, v případě dopadů na podnikatelské prostředí je tedy možné odkázat na řešení této otázky v důvodové zprávě k ZOPZI.
3.4 Územní dopady na územní samosprávné celky
Dopady na územní samosprávné celky mohou být způsobeny požadavkem na změnu ZoISVS, jelikož se ukládají povinnosti přiměřeně zavádět bezpečnostní opatření vyplývající z návrhu ZKB správcům informačních systémů veřejné správy, kterými jsou obce s pověřeným obecním úřadem či obce I. stupně. Nicméně tyto dopady budou zřejmě minimální, protože obdobné povinnosti mají tito správci již v současném znění ZoISVS.
3.5 Sociální dopady: Ne
3.6 Dopady na rodiny: Ne
3.7 Dopady na spotřebitele: Ano
Návrh zákona nepředpokládá žádné přímé dopady na spotřebitele. Povinnost podnikatelských a nepodnikatelských subjektů zavádět bezpečnostní opatření, a tím co nejvíce předcházet výskytu kybernetických bezpečnostních incidentů, může mít nejen pozitivní dopad na jeho fungování, ale přeneseně také na spotřebitele a odběratele jejich služeb, protože poskytování těchto služeb bude méně náchylné k narušení způsobenému kybernetickým bezpečnostním incidentem. Zároveň může dojít ke zvýšení důvěryhodnosti a celkové odolnosti daného subjektu, což by mělo motivovat spotřebitele k využívání jeho služeb.
3.8 Dopady na životní prostředí: Ne
3.9 Dopady ve vztahu k zákazu diskriminace a ve vztahu k rovnosti žen a mužů: Ne
3.10 Dopady na výkon státní statistické služby: Ne
3.11 Korupční rizika: Ne
3.12 Dopady na bezpečnost nebo obranu státu: Ano
Návrh zákona má pozitivní dopady na bezpečnost a obranu státu, zejména přispěje k dalšímu posílení zabezpečení klíčových služeb v ČR, čímž dojde k posílení zabezpečení českého kyberprostoru jako celku a rovněž ke snížení míry rizika realizace incidentů, které by mohly ohrozit bezpečnost ČR jako celku.
1. Důvod předložení a cíle
Návrh zákona je předkládán současně s návrhem ZKB, který má za cíl nahradit zákon č. 181/2014 Sb. a jeho prováděcí právní předpisy. Návrh ZKB je transpozičním předpisem směrnice NIS 2, a rovněž je jím plněn legislativní úkol stanovený pro Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) v Plánu legislativních prací vlády na rok 2023 – zpracovat a předložit vládě návrh zákona, zpracovaný na základě Bezpečnostní radou státu zvoleného přístupu A – Prověřování dodavatelů podle aktuální bezpečnostní situace, uvedeného v materiálu „Bezpečnost dodavatelských řetězců strategické infrastruktury státu“, č. j. 28261/2022-UVCR. Současně návrh ZKB reflektuje připomínky z praktické aplikace zákona č. 181/2014 Sb. Z výše uvedených důvodů je také potřeba změnit ustanovení některých účinných právních předpisů v ČR. Cílem návrhu zákona je tedy změnit všechny níže uvedené právní předpisy, a docílit tak stavu, v němž bude český právní řád souladný se změnami, ke kterým dojde díky přijetí návrhu ZKB.
Povinnosti upravené v návrhu ZKB se vztahují mimo jiné i na podnikatele zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací, kteří mají povinnost hlásit kybernetické bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost a spolupracovat s NÚKIB při jejich řešení a předcházení jim. Tito podnikatelé jsou ve vztahu k zajišťování bezpečnosti a integrity uvedené sítě a k zajišťování bezpečnosti uvedené služby, vázáni také zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále jen „ZEK“), v rámci něhož mají povinnost hlásit (obecné) bezpečnostní incidenty Českému telekomunikačnímu úřadu (dále jen „ČTÚ“) a spolupracovat s ČTÚ při jejich řešení a předcházení jim. Vyvstává proto potřeba upravit vzájemný vztah návrhu ZKB a ZEK, a to změnou posledně zmíněného právního předpisu. Obdobně je tomu také v případě provozovatelů poštovních služeb podle zákona č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění pozdějších předpisů.
Dále platí, že návrh ZKB na rozdíl od zákona č. 181/2014 Sb. stanovuje jedinou povinnou osobu (poskytovatele regulované služby) a nestanovuje orgánům veřejné moci povinnost zajistit dodržování bezpečnostních pravidel v souvislosti s využíváním služby cloud computingu, stejně tak ani povinnost zařadit poptávaný cloud computing do bezpečnostní úrovně před uzavřením smlouvy s poskytovatelem cloud computingu. Návrh ZKB dále ruší vyhlášku č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci, ve znění pozdějšího předpisu. Z těchto skutečností vyplývá nutnost upravit znění ZoISVS. Společně s touto změnou se nabízí možnost využít v návrhu ZKB zakotvenou úroveň bezpečnostních opatření stanovených pro poskytovatele regulované služby v režimu nižších povinností tak, aby došlo ke sjednocenému stanovení standardu kybernetické bezpečnosti pro téměř celou veřejnou správu v ČR. Tento návrh má ambici dosáhnout nápravy doposud neutěšeného stavu, který byl popsán již v původní důvodové zprávě k zákonu č. 181/2014 Sb., v níž je uvedeno že, „[v] oblasti veřejné správy neexistuje jednotný způsob stanovení bezpečnostních standardů, které by minimalizovaly potencionální škody vzniklé z kybernetických útoků“.
Výše uvedenou změnu, obsaženou v návrhu ZKB, spočívající ve stanovení jediné povinné osoby, je nutné promítnout rovněž do znění ZoPZI, neboť také tento právní předpis obsahově vychází z vymezení více povinných osob zákonem č. 181/2014 Sb.
K dílčím úpravám právních předpisů, které si vyžádá přijetí návrhu ZKB, byla připojena rovněž změna zákona o střetu zájmů. Z aktuální formulace zákona o střetu zájmů plynou možná bezpečnostní rizika, obdobná jako v případě zaměstnanců zpravodajských služeb, přičemž návrh zákona má za cíl daný stav narovnat.
Název
Návrh zákona č. .../... Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti.
Definice problému
V důsledku změn, které nastanou v českém právním řádu přijetím návrhu ZKB, dojde k ovlivnění dosavadních procesů stanovených některými dalšími právními předpisy. Obecně lze shrnout, že se jedná především o tyto dva typy změn:
1) Změny se dotknou předpisů odkazujících na zákon č. 181/2014 Sb.
2) Změny se dotknou předpisů, jejichž procesy budou návrhem ZKB nově ovlivněny.
Příkladem prvního typu změny je právní úprava regulace cloud computingu v rámci ZoISVS. Účinné znění § 6i odst. 3 ZoISVS odkazuje na současný výčet povinných osob v zákoně č. 181/2014 Sb., který se v novém návrhu ZKB mění na jedinou povinnou osobu (poskytovatele regulované služby), což je potřeba reflektovat. Rovněž současná regulace využívání cloud computingu orgány veřejné správy podle ZoISVS počítá se dvěma vydanými vyhláškami podle zákona č. 181/2014 Sb. Konkrétně se jedná o vyhlášky stanovující bezpečnostní úrovně pro využívání cloud computingu orgány veřejné moci a bezpečnostní pravidla pro orgány veřejné moci využívající služeb cloud computingu. Tyto vyhlášky návrh ZKB ruší a nadále NÚKIB nezmocňuje k jejich vydání.
Dalším příkladem prvního typu je obsah § 7 písm. c) ZoPZI. Tento zákon ve svém § 7 vymezuje okruh subjektů, do kterých nesmí být bez povolení podle § 14 odst. 1 nebo podmíněného povolení podle § 15 odst. 3 tohoto zákona uskutečněna zahraniční investice. Ustanovení § 7 písm. c) zní: „cílové osoby, která je správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby“. Zrušením zákona č. 181/2014 Sb. a přijetím návrhu ZKB dojde ke zrušení takto vymezených subjektů, a pokud by návrh zákona danou změnu nereflektoval, dojde k faktickému vyprázdnění vymezení daného v § 7 písm. c) ZoPZI.
Příkladem druhého typu je potřeba změn v účinném znění ZEK, případně zákona o poštovních službách. Oba tyto zákony shodně stanoví, že jejich adresáti (osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací v případě ZEK a držitel poštovní licence podle zákona o poštovních službách) jsou povinni ve vztahu k ČTÚ plnit povinnosti, které mohou být ve svém důsledku duplicitní k povinnosti hlášení kybernetických bezpečnostních incidentů stanovených návrhem ZKB.
Další identifikovanou potřebou je úprava účinného znění ZoISVS týkající se stanovení bezpečnostních standardů pro dotčené systémy. Současná úprava v § 5a obsahuje zmocnění pro vydání vyhlášky o dlouhodobém řízení informačního systému veřejné správy, ve které měla být obsažena i kybernetická bezpečnost. V souvislosti s rozšířením okruhu povinných osob podle návrhu ZKB zbývá druhově menší okruh povinných osob podle ZoISVS, které by uplatňovaly jiná pravidla než orgány, které jsou zahrnuty mezi povinné osoby podle návrhu ZKB. To by vedlo k nekoncepčnímu uplatňování různých standardů kybernetické bezpečnosti a komplikacím v případě možného sdílené zkušeností napříč veřejnou správou. Stejně tak by bylo ztíženo případné resortní řízení bezpečnosti.
V neposlední řadě byla identifikována potřeba změn některých vztahů a procesů, které se dané problematiky budou týkat i nadále. Jedná se o dílčí změnu zákona o střetu zájmů, který stanovuje mimo jiné vymezení množiny tzv. veřejných funkcionářů. Zahrnutím všech relevantních zaměstnanců NÚKIB do této množiny dochází potenciálně k bezpečnostním rizikům plynoucím především z toho, že dotčení vedoucí zaměstnanci disponují citlivými informacemi (především obsahem evidencí obsahujících citlivé údaje, údaji o kybernetických bezpečnostních incidentech a informacemi o možných hrozbách) a znalostmi specifických prostředků a postupů pro získávání těchto informací.
Přestože by se mohla jako relevantní jevit také změna zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, nebyla tato potřeba identifikována.
Popis existujícího právního stavu v dané oblasti
Problematika kybernetické bezpečnosti je v ČR aktuálně řešena zákonem č. 181/2014 Sb. Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti, zapracovává příslušný předpis Evropské unie, kterým je směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (směrnice NIS), a navazuje na přímo použitelný předpis Evropské unie, kterým je nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“), a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.
Prováděcími právními předpisy zákona č. 181/2014 Sb. jsou v souvislosti s účelem tohoto návrhu především vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, na jejímž základě dochází ke stanovení kritérií části povinných osob spadajících pod zmíněný zákon. S problematikou stanovení povinných osob spadajících pod zákon č. 181/2014 Sb. souvisí úzce také nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, které je vydáno k provedení krizového zákona a stanovuje kritéria pro určení jedné kategorie povinných osob podle zákona č. 181/2014 Sb. – kritické informační infrastruktury. Pro návrh zákona je také podstatné ustanovení řešící problematiku veřejnoprávní regulace cloud computingu, s nímž souvisí především vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu.
V případě relevantních právních předpisů, k jejichž změnám dochází návrhem zákona, se jedná především o následující právní předpisy (nad rámec výše uvedených nebo uvedených v Závěrečné zprávě z hodnocení dopadů regulace (RIA) k návrhu ZKB, na kterou lze v tomto smyslu plně odkázat):
Zákony ČR
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů,
Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů,
Zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění pozdějších předpisů,
Zákon č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů, ve znění pozdějšího předpisu,
Zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů.
Podzákonné předpisy ČR
Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy),
Vyhláška č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu,
Vyhláška č. 380/2022 Sb., o kritériích určení závažného narušení bezpečnosti sítě a služby a ztrátě integrity sítě a rozsahu a formě předávání informací o narušení,
Vyhláška č. 79/2017 Sb., o stanovení struktury a formátu oznámení podle zákona o střetu zájmů.
Sekundární právo Evropské unie
Nařízení Evropského parlamentu a Rady (EU) 2019/452 ze dne 19. března 2019, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie,
Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace,
Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009, kterou se mění směrnice 2002/22/ES o univerzální službě a právech uživatelů týkajících se sítí a služeb elektronických komunikací, směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a nařízení (ES) č. 2006/2004 o spolupráci mezi vnitrostátními orgány příslušnými pro vymáhání dodržování zákonů na ochranu zájmů spotřebitele,
Směrnice Komise 2002/77/ES o hospodářské soutěži na trzích sítí a služeb elektronických komunikací,
Směrnice 2014/53/EU Evropského parlamentu a Rady ze dne 16. dubna 2014 o harmonizaci právních předpisů členských států týkajících se dodávání rádiových zařízení na trh a zrušení směrnice 1999/5/ES ve znění nařízení Evropského parlamentu a Rady (EU) 2018/1139 ze dne 4. července 2018 o společných pravidlech v oblasti civilního letectví a o zřízení Agentury Evropské unie pro bezpečnost letectví, kterým se mění nařízení (ES) č. 2111/2005, (ES) č. 1008/2008, (EU) č. 996/2010, (EU) č. 376/2014 a směrnice Evropského parlamentu a Rady 2014/30/EU a 2014/53/EU a kterým se zrušuje nařízení Evropského parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nařízení Rady (EHS) č. 3922/91,
Směrnice Evropského parlamentu a Rady 97/67/ES ze dne 15. prosince 1997 o společných pravidlech pro rozvoj vnitřního trhu poštovních služeb Společenství a zvyšování kvality služby,
Směrnice Evropského parlamentu a Rady 2002/39/ES ze dne 10. června 2002, kterou se mění směrnice 97/67/ES s ohledem na další otevření poštovních služeb Společenství hospodářské soutěži,
Směrnice Evropského parlamentu a Rady 2008/6/ES ze dne 20. února 2008, kterou se mění směrnice 97/67/ES s ohledem na úplné dotvoření vnitřního trhu poštovních služeb Společenství,
Směrnice Evropského parlamentu a Rady 97/67/ES ze dne 15. prosince 1997 o společných pravidlech pro rozvoj vnitřního trhu poštovních služeb Společenství a zvyšování kvality služby.
Zhodnocení právního stavu
Aktuální znění uvedených zákonů je souladné s obsahem zákona č. 181/2014 Sb. a jeho prováděcích právních předpisů. Jak však plyne z obsahu podkapitoly 1.2. Definice problému, nejsou tyto předpisy souladné v případě přijetí návrhu ZKB a je potřeba upravit jejich obsah.
Identifikace dotčených subjektů
Adresáty právních předpisů, které jsou předmětem potřebných změn, jsou následující subjekty:
ZoISVS
Návrh zákona se dotýká práv a povinností správců informačních systémů veřejné správy podle § 2 odst. 1 písm. c) ZoISVS.
ZoPZI
V případě prověřování investic podle tohoto zákona je okruh subjektů, do kterých nesmí být bez povolení podle § 14 odst. 1 nebo podmíněného povolení podle § 15 odst. 3 uskutečněna zahraniční investice, vymezen prostřednictvím tzv. cílové osoby. Cílové osoby jsou vymezeny v § 7 písm. a) až d). Jednou z množin takto stanovených cílových osob je také množina stanovená v písm. c) jako „správci informačního systému kritické informační infrastruktury, správci komunikačního systému kritické informační infrastruktury, správci informačního systému základní služby a provozovatelé základní služby“. Osoby z této množiny jsou zároveň povinnými osobami podle zákona č. 181/2014 Sb.
ZEK
Adresáty příslušné normy uvedenými v § 98 jsou osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací.
Zákon o poštovních službách
Adresáty příslušné normy jsou v tomto případě držitelé poštovní licence podle § 33.
Zákon o střetu zájmů
Adresáty příslušné normy jsou podle § 2 odst. 2 písm. d) ředitel a vedoucí zaměstnanci NÚKIB ve 2. až 4. stupni řízení podle zákona č. 262/2006 Sb., zákoníku práce, ve znění pozdějších předpisů.
Popis cílového stavu
Tak jako je cílem návrhu ZKB úplná a správně provedená transpozice směrnice NIS 2, zavedení funkčního a efektivního mechanismu prověřování bezpečnosti dodavatelského řetězce a reflexe dosavadních poznatků s fungováním a praktickou použitelností stávajícího ZKB, je obecným cílem návrhu zákona provést v českém právním řádu změny, které přispějí k naplnění výše uvedených cílů a odstranění nedostatků, které by obsah návrhu ZKB bez dodatečných změn mohl v relevantních právních předpisech způsobit.
Cílovým stavem ve vztahu ke změnám jednotlivých právních předpisů je:
ZoISVS
Cílovým stavem je v oblasti regulace využívání cloud computingu orgány veřejné správy podle ZoISVS zachování kontinuity stávajícího procesu. Ten zahrnuje jednak přesun povinnosti zařadit informační systém veřejné správy, k jehož zajištění má být využit cloud computing včetně zmocnění k vydání vyhlášky, která tyto bezpečnostní úrovně stanoví, a dále přesun povinnosti orgánů veřejné správy zajistit dodržování bezpečnostních pravidel rovněž včetně zmocnění k vydání vyhlášky, která tyto bezpečnostní pravidla stanoví, do ZoISVS.
Ve vztahu k problematice dvojkolejnosti bezpečnostních opatření pro zajištění kybernetické bezpečnosti ze strany správců informačních systémů veřejné správy je nutno zrušit zmocnění Ministerstva vnitra stanovené § 5a ZoISVS, které Ministerstvo vnitra zmocňuje k vydání normy definující povinnosti týkající se bezpečnostních opatření pro zajištění kybernetické bezpečnosti správců informačních systémů veřejné správy. Dále je nutno v § 5b téhož právního předpisu stanovit množině osob povinných podle ZoISVS (nikoliv však podle návrhu ZKB) povinnost dodržovat vyhlášku o povinnostech pro poskytovatele regulovaných služeb v nižším režimu přiměřeně, respektive přiměřeně zavádět bezpečnostní opatření v této vyhlášce obsažená.
Dalším z cílů je doplnění možnosti sankcionovat nedodržování některých povinností stanovených v ZoISVS, které se týkají cloud computingu. Za současného stavu se jedná o imperfektní normy a existuje pouze velmi omezený způsob, jak subjekty donutit k postupu v souladu se zákonem.
ZoPZI
Ustanovení tohoto zákona musí doznat takových změn, aby bylo dosaženo funkčního vymezení nového okruhu tzv. cílových osob, respektive aby došlo k doplnění okruhu cílových osob, které nejsou ovlivněny zrušením zákona č. 181/2014 Sb. a přijetím návrhu ZKB, o nový okruh cílových osob nahrazující dosavadní vymezení v § 7 písm. c). Tento okruh cílových osob je potřeba nastavit přiměřeným a dosavadnímu stavu co nejvíce odpovídajícím způsobem, aby byly zachovány v nejvyšší možné míře dosavadní nastavené procesy.
ZEK
Procesy obsažené v ZEK je potřeba upravit způsobem, který bude respektovat rozdělení agendy spadající věcně pod ČTÚ a pod NÚKIB za současného omezení možnosti, že budou adresáti ZEK zatíženi povinností plnit stejnou povinnost, v tomto případě hlášení, na oba úřady zároveň.
Zákon o poštovních službách
Podobně jako v případě ZEK, také v případě zákona o poštovních službách je potřeba docílit stavu, v němž budou procesy obsažené v zákoně o poštovních službách upraveny takovým způsobem, který bude respektovat rozdělení agendy spadající věcně pod ČTÚ a pod NÚKIB, opět za omezení možnosti, že budou adresáti této normy zatíženi povinností plnit stejnou povinnost vůči oběma úřadům zároveň.
Zákon o střetu zájmů
Cílovým stavem v případě úpravy zákona o střetu zájmů je odstranění identifikovaného potenciálního bezpečnostního rizika spojeného se stanovením širokého okruhu adresátů, jak jej bylo dosaženo již v současné právní úpravě zpravodajských služeb.
Návrh variant řešení
Návrh variant řešení pracuje s kombinací základních možných řešení:
1. změna relevantních právních předpisů nebude provedena,
2. změna relevantních právních předpisů bude provedena v textu samotného návrhu zákona o kybernetické bezpečnosti, nebo
3. změna relevantních právních předpisů bude provedena samostatným zákonem.
Varianta I: Nulová varianta – zachování současného stavu
Nulová varianta spočívá v nepřijetí žádných úprav a nezasahování do současně platného právního stavu.
ZoISVS
V oblasti regulace využívání cloud computingu orgány veřejné správy v rámci ZoISVS je nulovým stavem v důsledku nabytí účinnosti návrhu ZKB chybějící zmocnění k vydání vyhlášky stanovující bezpečnostní úrovně informačních systémů veřejné správy, k zajištění jejichž provozu má být využit cloud computing, a rovněž povinnost tyto informační systémy do bezpečnostních úrovní zařazovat. Taktéž absentuje zmocnění k vydání vyhlášky o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu (účinná od 1. 7. 2023) a povinnost zajistit dodržování těchto pravidel. V ZoISVS však nadále zůstává požadavek, aby cloud computing umožňoval orgánům veřejné správy podle za této situace neexistujících pravidel postupovat. Chybí tak část procesu nutná ke správnému fungování využívání cloud computingu orgány veřejné správy.
V takovém případě je zachována dvoukolejnost problematiky zajišťování kybernetické bezpečnosti pro různé druhy správců informačních systémů veřejné správy, tedy stát sám má různé garanty toho, jak by kybernetická bezpečnost měla vypadat, a stát sám v rámci správy věcí veřejných postupuje na základě různých nesouvisejících standardů. Vzájemná spolupráce, zejména mezi různými typy obcí, je při aplikaci nulové varianty ztížena, stejně jako i možnost zavádět kybernetickou bezpečnost v rámci některých typů resortů.
Nelze také postihovat nedodržování povinností stanovených v ZoISVS, které se týkají cloud computingu. Vyjma přísného výmazu nabídky z katalogu cloud computingu podle § 6w odst. 1 písm. b) tak neexistuje možnost, jak donutit subjekty, aby postupovaly v souladu se zákonem. Povinnostní normy jsou imperfektní.
ZoPZI
Současné znění § 7 písm. c) ZoPZI obsahuje odkaz na adresáty normy vymezené jako „správce informačního systému kritické informační infrastruktury, správce komunikačního systému kritické informační infrastruktury, správce informačního systému základní služby nebo provozovatele základní služby“, tedy povinné osoby stanovené a definované zákonem 181/2014 Sb. Přijetím návrhu ZKB bude tento typ povinných osob zrušen. V případě nulové varianty dochází k vyprázdnění rozsahu adresátů v § 7 písm. c), protože přestávají v českém právním řádu existovat.
ZEK
V případě neupravení procesů stanovených v § 98 ZEK může jednoduše nastat situace, kdy osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací musí zároveň plnit povinnost stanovenou v § 98 odst. 4, stejně jako povinnost hlásit podle návrhu ZKB kybernetické bezpečnosti incidenty příslušnému CERT, čímž dochází k nežádoucímu stavu zbytečného zdvojení stejného hlášení na dva úřady.
Zákon o poštovních službách
S ohledem na to, že poskytovatelé poštovních služeb jsou v souladu s obsahem směrnice NIS 2 nově zařazeni jako povinné osoby podle návrhu ZKB, dochází v případě nereflektování těchto změn v obsahu zákona o poštovnách službách k obdobné situaci jako v případě výše popsané nulové varianty u ZEK, tedy nedochází k rozdělení kompetencí mezi ČTÚ a NÚKIB a zvyšuje se administrativní zátěž poskytovatelů poštovních služeb.
Zákon o střetu zájmů
V případě zachování současného znění zákona o střetu zájmů dochází k prodlužování nežádoucího stavu, v němž existují možná bezpečnostní rizika a dochází potenciálně k zásahu do práva na soukromí vedoucích zaměstnanců NÚKIB. Zmíněná bezpečnostní rizika plynou především z toho, že dotčení vedoucí zaměstnanci disponují citlivými informacemi (především obsahem evidencí obsahujících citlivé údaje, údaji o kybernetických bezpečnostních incidentech a informacemi o možných hrozbách) a znalostmi specifických prostředků a postupů pro získávání těchto informací. Takto jsou dotčení zaměstnanci NÚKIB v obdobném postavení jako zaměstnanci zpravodajských služeb. Současně je dána duplicita při poskytování údajů o nabytém majetku a dalších příjmech, darech nebo jiném prospěchu, popřípadě závazcích, které všichni zaměstnanci NÚKIB podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů poskytují Národnímu bezpečnostnímu úřadu při podání žádosti o vydání osvědčení fyzické osoby, a to nejen po dobu výkonu zaměstnání (tedy i výkonu funkce vedoucího zaměstnance NÚKIB), ale také zpětně (10, 15, 20 let, popř. od věku 15 let). Zaměstnanci NÚKIB následně uvedené údaje v pravidelných intervalech doplňují (9, 7 a 5 let).
Varianta II: Změna relevantních právních předpisů bude provedena v textu samotného návrhu ZKB
Varianta II uznává potřebu provést změny v relevantních právních předpisech a činí tak prostřednictvím doplnění změnových ustanovení (jednotlivých částí právního předpisu) v závěru návrhu ZKB.
Konkrétní změny pak spočívají v následujícím:
ZoISVS
V této variantě je do §6l odst. 3 ZoISVS doplněna povinnost pro orgány veřejné správy ve znění: „Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu a zajistit, že budou dodržována bezpečnostní pravidla pro orgány veřejné správy využívající služeb cloud computingu stanovená prováděcím právním předpisem.“ Tímto je nahrazena obdobná povinnost nyní stanovená v § 4 odst. 5 zákona č. 181/2014 Sb. Rovněž se do § 12 ZoISVS přidává zmocnění pro NÚKIB vydat prováděcí právní předpis, který stanoví bezpečnostní úrovně informačních systémů veřejné správy a bezpečnostní pravidla pro orgány veřejné správy využívající služby poskytovatelů cloud computingu. Jedná se tedy opět o nahrazení ustanovení zákona č. 181/2014 Sb., konkrétně § 6 písm. e).
V případě varianty II se problematika dvoukolejnosti stanovování bezpečnostních opatření pro zajišťování kybernetické bezpečnosti ze strany správců informačních systémů veřejné správy řeší tak, že dochází ke zrušení zmocnění pro vydávání podzákonného předpisu ze strany Ministerstva vnitra v § 5a ZoISVS. Následně pak § 5b ZoISVS stanovuje ex lege povinnost pro správce informačních systémů veřejné správy nezařazené pod návrh ZKB, aby vyhlášku stanovující bezpečnostní opatření pro režim nižších povinností podle návrhu ZKB dodržovali přiměřeně. Jde tak o nastavení performativní normy pro uvedenou podmnožinu správců informačních systémů veřejné správy, kterou v souvislosti se zajišťováním kybernetické bezpečnosti ZoISVS dlouhodobě předpokládal, a to bez zavedení dalších povinností, které jinak plynou poskytovatelům regulovaných služeb, tedy povinným osobám podle nového ZKB (např. povinnost se registrovat u NÚKIB či hlásit incidenty). Jedná se pouze o doplnění standardu, který byl dlouhodobě ZoISVS předpokládán, a o konkretizaci povinnosti dbát u informačních systémů veřejné správy o jejich kybernetickou bezpečnost, kterou správcům těchto systémů stanovuje ZoISVS již nyní.
U varianty II lze postihnout neplnění určitých povinností peněžitou sankcí, a subjekty jsou tak motivovány k jejich dodržování. Imperfekce norem je odstraněna.
ZoPZI
V případě varianty II, tedy potřeby reflektovat identifikované nedostatky změnou relevantních právních předpisů, je v případě ZoPZI nutno upravit obsah § 7 písm. c). Toto ustanovení odkazuje na hlavní typy povinných osob podle zákona č. 181/2014 Sb., tedy na ty povinné osoby, kterým je uložena základní povinnost zavádět v plném rozsahu bezpečnostní opatření podle § 4 zákona č. 181/2014 Sb. Tato povinnost je dána právě správcům informačního systému kritické informační infrastruktury, správcům komunikačního systému kritické informační infrastruktury a správcům informačního systému základní služby. K této množině povinných osob, zejména k poslednímu uvedenému typu povinné osoby, je ještě přidán provozovatel základní služby. Na druhou stranu provozovatel informačního nebo komunikačního systému v rámci těchto typů povinných osob vyjmenován není. Důvodová zpráva ani komentářová literatura se k důvodům tohoto stanovení blíže nevyjadřují a stanovení přesné analogie v souladu s obsahem návrhu ZKB není možné. Společným identifikovaným znakem je tedy to, že pokud cílová osoba vystupuje v dosavadní právní úpravě jako správce systému, resp. poskytovatel služby, odpovídá tomuto pohledu v rámci nové právní úpravy tzv. poskytovatel regulované služby. Z tohoto pohledu je shodná také výše zmíněná povinnost zavádět bezpečnostní opatření.
Na druhou stranu lze také identifikovat, že podle dosavadní právní úpravy nebyl okruh cílových osob stanoven na všechny povinné osoby podle zákona č. 181/2014 Sb., ale pouze na ty adresáty normy, kteří měli největší dopad. To vede k logické úvaze, že je potřeba při hledání analogie uvažovat o okruhu užším, než je každý poskytovatel regulované služby podle návrhu ZKB. Z této úvahy vyplývají dvě podvarianty – buď všichni poskytovatelé regulované služby v režimu vyšších povinností, jako skupina poskytovatelů regulované služby, u kterých je možné identifikovat větší a významnější dopady na ČR (viz Hodnocení dopadů regulace návrhu ZKB), nebo množina adresátů ještě užší, a to tzv. poskytovatelé strategicky významných služeb (opět viz Hodnocení dopadů regulace návrhu ZKB). V rámci varianty II byl dále uvažován model postavený na podvariantě poskytovatelů strategicky významných služeb, tedy množině obsahující více než stovku nejvýznamnějších organizací v ČR, regulovaných návrhem ZKB.
ZEK
V rámci svého čl. 43 ruší směrnice NIS 2 k datu nabytí své účinnosti čl. 40 a 41 směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (dále jen „Kodex“). Transpozičním ustanovením čl. 40 a 41 Kodexu je v českém právním prostředí § 98 zákona o elektronických komunikacích. V případě varianty II, tedy potřeby reflektovat identifikované nedostatky změnou relevantních právních předpisů, je v případě ZEK nutno upravit obsah § 98.
Posledně zmíněné ustanovení doznalo v minulosti změn a vztahuje se na „osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací [...]“, tedy na širší množinu, než na kterou dopadá návrh ZKB. Z výše uvedených důvodů a z důvodu minimalizace zásahu do jiných právních předpisů doplňuje varianta II aktuální znění ZEK o nový odstavec upravující vztah povinných osob podle ZEK a návrhu ZKB.
Zákon o poštovních službách
Varianta II pracuje s požadavkem posílit bezpečnost poštovní sítě, základních služeb a přístupu k poštovní infrastruktuře tak, že se nad rámec souvisejících stávajících povinností (zejména podle stávajícího odstavce 2, 3 a 8 předmětného ustanovení) doplňuje povinnost hlásit bezpečnostní incidenty, resp. ohrožení nebo narušení bezpečnosti sítě, základních služeb nebo poskytování základních služeb nebo přístupu k poštovní infrastruktuře. S ohledem na skutečnost, že poskytovatelé poštovních služeb mají nově podle směrnice NIS 2 podléhat této směrnici, respektive regulaci oblasti kybernetické bezpečnosti v ní obsažené, je rovněž potřeba jednoznačně nastavit rozdělení kompetencí mezi ČTÚ a NÚKIB. Takové jednoznačné rozdělení kompetencí je důležité i z důvodu požadavku na nezvyšování administrativní zátěže jak na straně povinného, tak na straně ČTÚ, resp. NÚKIB, neboť by nemělo docházet k duplicitnímu plnění povinnosti hlásit bezpečnostní incidenty vůči oběma těmto orgánům, a naopak by tyto měly být oznamovány pouze jednou. Z těchto důvodů tak varianta II pracuje s úpravou § 33, § 37a a § 41 a přidáním nového ustanovení do § 36b zákona o poštovních službách.
Zákon o střetu zájmů
V rámci varianty II je v případě zákona o střetu zájmů v docílení snížení bezpečnostních rizik potřeba doplnit výjimku danou v § 2 odst. 2 písm. d).
Varianta III: Změna relevantních právních předpisů bude provedena samostatným zákonem
Obsah varianty III je co do obsahu návrhů změn relevantních právních předpisů totožný s obsahem varianty II, pouze legislativní způsob této změny je odlišný. Ke změnám totiž dochází samostatným právním předpisem, tedy návrhem zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti.
Vyhodnocení nákladů a přínosů
Identifikace nákladů a přínosů
Varianta I neobsahuje žádné přínosy.
V případě variant II a III lze identifikovat následující společné náklady a přínosy:
ZoISVS
Změny ZoISVS v oblasti regulace využívání cloud computingu orgány veřejné správy:
A) Přínosy
Přínosem Variant II a III je zejména zachování kontinuity aktuálně nastavené regulace.
B) Náklady
U Variant II a III v této oblasti nejsou předpokládány žádné náklady oproti současnému stavu.
Sjednocení dvoukolejnosti standardů kybernetické bezpečnosti vůči ISVS:
A) Přínosy
Mezi jednoznačné přínosy patří zavedení standardu, který nebyl dosud vydán. Budou tedy stanoveny konkrétní postupy, které mají správci informačních systémů veřejné správy následovat pro zavádění kybernetické bezpečnosti vůči jimi spravovaným informačním systémům veřejné správy. Jelikož samotný standard nebyl v minulosti vydán, za přínos lze rovněž považovat, že se nebude jednat o přechod na standard nový, ale o zavedení prvního standardu pro kybernetickou bezpečnost ISVS. Rovněž sdílení zkušeností mezi jednotlivými správci informačních systémů veřejné správy se ohledně bezpečnostních opatření bude týkat shodného standardu a nebude závislé na výkladu dvou standardů. Spolupráce se tedy nebude omezovat primárně na okruh informačních systémů veřejné správy, které nejsou návrhem ZKB regulovány, ale bude funkční a přínosná mezi všemi uvedenými systémy navzájem. Stejně tak aktualizace podle budoucích trendů a nejlepší praxe budou vyžadovat zásah pouze do jednoho standardu, tedy jedné vyhlášky vydávané jedním orgánem. Tím se sníží legislativní náročnost implementace změn, které pak budou mít automaticky dopad na celý segment informačních systémů veřejné správy.
B) Náklady
Zavádění kybernetické bezpečnosti s sebou jako u každé bezpečnosti přináší nároky na finanční a personální kapacity. Co se týče finančních nákladů, ty jsou poměrně složitě vyčíslitelné. Ve vztahu k nákladům na samotnou změnu ZoISVS jsou náklady obecně diskutabilní. ZoISVS totiž již obsahoval povinnost správců zavádět opatření pro zajišťování kybernetické bezpečnosti, jen nebyl stanoven konkrétní standard, podle kterého měli ti správci informačních systémů veřejné správy, kteří nebyli zařazeni mezi osoby povinné podle zákona č. 181/2014 Sb., daná bezpečnostní opatření zavádět. Je tak jisté, že úroveň bezpečnostních opatření bude u jednotlivých subjektů různá. Zejména v případě technických opatření se dá předpokládat, že již budou ve vztahu k jednotlivým informačním systémům veřejné správy implementována. Je proto možné, že se náklady na zavedení bezpečnostních opatření budou rovnat téměř nule či budou naopak pro danou organizaci vyšší, a to v závislosti na její současné úrovni.
Pokud vyjdeme z dat, která jsou pro NÚKIB dostupná z předchozí legislativní činnosti, platí, že zavedení původní vyhlášky o kybernetické bezpečnosti na jeden významný informační systém bylo odhadnuto na cca 820 000 Kč. Nicméně se jednalo o standard s významně vyšší úrovní požadovaných opatření – na úrovni stanovené dnes pro režim vyšších povinností, nikoliv nižších. Lze tedy konstatovat, že průměrná částka na zavedení opatření na jeden informační systém veřejné správy nepřekročí zmíněnou částku, spíše se bude (vzhledem k míře povinností obsažených v tomto standardu) jednat o částku významně nižší, protože ve standardu určeném pro režim nižších povinností došlo k odstranění zejména nákladnějších opatření. Kromě nižších nákladů se dá proto navíc předpokládat, že tato opatření budou mít správci informačních systémů veřejné správy zavedena z důvodů plnění původního požadavku ZoISVS.
Dalším faktorem je, že se u jednotlivých organizací sníží náklady na zavedení bezpečnostních opatření na každý další systém v organizaci, jelikož některá z nich jsou nutně společná pro více z nich. Rovněž je povinnost stanovena pro jejich zavádění přiměřeně.
Je nutné podotknout, že uvedené platí pro standard pouze pro informační systémy veřejné správy, kterým nestanovuje povinnosti návrh ZKB, tedy až na výjimky toliko pro obce s pověřeným obecním úřadem či obce I. stupně.
Lze proto konstatovat, že se do jisté míry jedná o náklady, které by vznikly i bez navrhované změny ZoISVS, jelikož by některá tato opatření dozajista vyžadoval i standard vydaný gestorem ZoISVS. Zároveň by některé finanční prostředky již měly být vynaloženy vzhledem k tomu, že povinnost zavádět bezpečnostní opatření k zajištění kybernetické bezpečnosti obsahuje i účinné znění ZoISVS.
Zavedení nových přestupků do ZoISVS
A) Přínosy
Subjekty budou více motivovány k dodržování povinností stanovených ZoISVS a stát bude mít možnost tyto vymáhat.
B) Náklady
V případě, že subjekty dodržují stanovené povinnosti, pak na jejich straně nedojde k žádným dodatečným nákladům.
ZoPZI
Přínosem Variant II a III je zejména zachování kontinuity aktuálně nastavené regulace, byť s ohledem na výše uvedené nelze již nadále stanovit okruh cílových osob totožným způsobem jako doposud. Varianty II a III stanovují okruh cílových osob způsobem obdobným dosavadním nastavením, lze proto znovu odkázat na hodnocení přínosů a nákladů uvedených v důvodové zprávě k zákonu ZoPZI.
ZEK
A) Přínosy
S ohledem na to, že dosavadní povinnost hlášení obsažená v § 98 ZEK není touto změnou zrušena a nová povinnost hlášení kybernetických bezpečnostních incidentů podle návrhu ZKB je zároveň zavedena, má tato změna jako hlavní přínos vyjasnění případného střetu těchto dvou povinností, a to ve snaze eliminovat nutnost dvojího hlášení ze strany adresáta těchto norem.
B) Náklady
S ohledem na to, že dosavadní povinnost hlášení obsažená v § 98 ZEK není touto změnou zrušena, vznikají náklady pouze zavedením nové povinnosti hlášení kybernetických bezpečnostních incidentů podle návrhu ZKB. V tomto rozsahu je možné plně odkázat na Závěrečnou zprávu Hodnocení dopadů regulace (RIA) k tomuto návrhu. Další nové náklady navrhovaná změna nepřináší.
Zákon o poštovních službách
A) Přínosy
Přínosem Varianty II a III je jednoznačné rozdělení kompetencí správních úřadů. To je důležité z důvodu požadavku na nezvyšování administrativní zátěže jak na straně povinného, tak na straně ČTÚ, resp. NÚKIB. Nemělo by tak docházet k duplicitnímu plnění povinnosti hlásit bezpečnostní incidenty vůči oběma těmto orgánům, a naopak by tyto měly být oznamovány pouze jednou.
B) Náklady
S ohledem na to, že realizace plnění zmíněných povinností vyplývá z návrhu ZKB, je možné v tomto ohledu plně odkázat plně na Závěrečnou zprávu Hodnocení dopadů regulace (RIA) k návrhu ZKB. Samotné ustanovení o rozdělení kompetencí negeneruje nad rámec těchto povinností žádné relevantní náklady.
Zákon o střetu zájmů
A) Přínosy
Změna zákona by měla přispět, s ohledem na možná bezpečnostní rizika, k rovnováze mezi právem na soukromí vedoucích zaměstnanců NÚKIB na straně jedné, a právem veřejnosti na informace na straně druhé. Tato bezpečnostní rizika plynou především z toho, že dotčení vedoucí zaměstnanci disponují citlivými informacemi (především obsahem evidencí obsahujících citlivé údaje, údaji o kybernetických bezpečnostních incidentech a informacemi o možných hrozbách) a znalostmi specifických prostředků a postupů pro získávání těchto informací. Není proto v bezpečnostním zájmu zveřejňovat osobní údaje, včetně domovních adres, vedoucích zaměstnanců.
B) Náklady
Nebyly identifikovány žádné náklady.
Návrh řešení
Stanovení pořadí variant a výběr nejvhodnějšího řešení
Jako nejvhodnější řešení byla vybrána varianta III, tedy změna relevantních právních předpisů provedená samostatným zákonem.
Varianta II se jeví jako možná, ale s ohledem na rozsah změn relevantních právních předpisů jako méně vhodná.
Varianta I se jeví jako nejméně vhodná, protože jejím přijetím by při změnách provedených návrhem nového zákona o kybernetické bezpečnosti došlo vytvoření celé řady nedostatků v českém právním řádu.
Zvolené řešení právní úpravy
Zvolená varianta III obsahuje tedy následující změny:
ZoISVS
Zvolená varianta III obsahuje změny popsané u příslušného právního předpisu v podkapitole 2.2.1.
ZoPZI
Zvolená varianta III obsahuje změny popsané u příslušného právního předpisu v podkapitole 2.2.2.
ZEK
Zvolená varianta III obsahuje změny popsané u příslušného právního předpisu v podkapitole 2.2.3.
Zákon o poštovních službách
Zvolená varianta III obsahuje změny popsané u příslušného právního předpisu v podkapitole 2.2.4.
Zákon o střetu zájmů
Zvolená varianta III obsahuje změny popsané u příslušného právního předpisu v podkapitole 2.2.5.
Implementace doporučené varianty a vynucování
Implementace doporučené varianty bude provedena formou novelizace relevantních právních předpisů a vynucování bude spadat do gesce těch orgánů, které mají tyto relevantní právní předpisy na starosti. V tomto ohledu nepřináší návrh zákona žádné změny oproti současnému stavu.
Přezkum účinnosti
Stejně jako je tomu v případě návrhu ZKB, také v případě změn dalších právních předpisů je v návaznosti na principy přezkumu účinnosti možné konstatovat, že k tomu, aby mohl návrh zákona plnit svůj základní účel, je potřeba průběžně sledovat, do jaké míry odpovídají zákonné povinnosti aktuálním potřebám informační společnosti. Identifikace toho, zda se daří tyto cíle plnit, bude zajištěna obdobným způsobem, jako je uvedeno v případě Přezkumu účinnosti Hodnocení dopadů regulace (RIA) návrhu ZKB, protože tyto normy spolu přímo souvisí.
Konzultace a zdroje dat
Při přípravě návrhu právního předpisu byly s žádostí o konzultace a vyjádření osloveny Ministerstvo vnitra (gestor problematiky upravené ZoISVS), Ministerstvo průmyslu a obchodu (gestor problematiky upravené ZoPZI) a ČTÚ (gestor problematiky upravené ZEK a zákonem o poštovních službách).
2