Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSG44YX najdete zde
Mgr. Radka Vladyková
výkonná ředitelka
Praha, 18.07.2023
Č.j. 316/2023
Vážený pane řediteli,
dopisem č. j. 4489/2023-NÚKIB-E/110 ze dne 14.06.2023 doručeným prostřednictvím elektronické knihovny Úřadu vlády ČR (eKLEP) byl Svaz měst a obcí České republiky požádán o připomínky k materiálu nazvanému „Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti“.
Svaz měst a obcí České republiky si k návrhu dovoluje uplatnit připomínky, jež jsou vyjádřeny níže.
· K důvodové zprávě, části 7.1 – Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet a ostatní veřejné rozpočty; RIA, část 3.4 – Dopady na územní samosprávné celky:
Nelze se v žádném případě ztotožnit s tvrzením předkladatele, že dopady budou minimální, ba naopak. S ohledem na navrhované znění jak § 2 odst. 2 písm. a) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, v pozdějším znění (dále jen „ZoISVS“), tak s poukazem na navrhované znění § 5b shodného zákona lze očekávat nutnost navýšení personálních kapacit z řad odborníků na kyberbezpečnost, bude třeba zvážit i upgrade technického vybavení jak v oblasti HW, tak SW.
Navrhujeme, aby do obou dokumentů byly promítnuty nově uložené povinnosti ve smyslu dotčených ustanovení a byly vyčísleny dopady těchto opatření na veřejné rozpočty.
Tato připomínka je zásadní.
· K části druhé, čl. II, bodu 1. návrhu samého:
Dle navrženého ustanovení se v § 2 odst. 2 písm. a) slova „cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost“ nahrazují slovy „informačního systému veřejné správy bezpečnostní úroveň podle prováděcího právního předpisu upravujícího stanovení bezpečnostní úrovně informačního systému veřejné správy“.
Z uvedeného plyne, že pro účely tohoto zákona se dále rozumí „bezpečnostní úrovní cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost informačního systému veřejné správy bezpečnostní úroveň podle prováděcího právního předpisu upravujícího stanovení bezpečnostní úrovně informačního systému veřejné správy,“.
Jednoznačně tak návrh směřuje k návaznosti na prováděcí předpisy k novému zákonu o kybernetické bezpečnosti a k s ním spojeným povinnostem, avšak infiltruje tyto povinnosti do odlišného zákona. Důvodová zpráva se pak k těmto nově uloženým povinnostem blíže nevyjadřuje s tím, že návrhem zákona o kyberbezpečnosti je rušen prováděcí právní předpis stanovující bezpečnostní pravidla a z tohoto důvodu je nezbytné je promítnout do ZoISVS.
S tvrzením předkladatele se nelze ztotožnit. Navrženým ustanovením předkladatel podřazuje ISVS (namísto cloud computingu) v návaznosti na nově formulované ustanovení § 5b shodného zákona do režimu zákona o kyberbezpečnosti, což mění i nastavení povinností a souvisejících povinnosti.
Navrhujeme, aby bylo ponecháno původní znění dotčeného ustanovení.
Tato připomínka je zásadní.
· K části druhé, čl. II, bodu 5. návrhu samého:
Dle uvedeného bodu návrhu dochází k vložení nového ustanovení § 5b ZoISVS včetně poznámky pod čarou č. 18, jenž zní: „Správci informačních systémů veřejné správy, kteří nejsou poskytovatelem regulované služby podle zákona upravujícího kybernetickou bezpečnost, jsou povinni na jimi spravované informační systémy veřejné správy přiměřeně zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle zákona upravujícího kybernetickou bezpečnost[footnoteRef:1]8).“ [1: 8) § 6, §14 a § 15 zákona č. ... Sb., o kybernetické bezpečnosti. ]
Uvedeným nově vloženým ustanovení § 5b do ZoISVS ve své podstatě dochází k podřazení správců ISVS do režimu nižších povinností dle zákona o kyberbezpečnosti. Opět bez jakékoliv návaznosti na zvážení zvýšení nákladů jak personálních, tak věcných. Předkladatel sice argumentuje přiměřeností, a to i s ohledem na nákladovost, ovšem jedná se tak o vágní a právně neurčité vymezení, neboť mimo jiné se v čase, s ohledem na dosavadní technický, technologický, společenský a další vývoj pojem přiměřenosti mění. Čemuž budou odpovídat i nároky na přiměřené plnění této povinnosti odpovídat.
Navrhujeme vymezit povinnost stanovenou v § 5b návrhu výlučně vůči poskytovatelům regulované služby, tedy § 5b bez náhrady vypustit, neboť adekvátní právní úprava je obsažena v připravovaném zákona o kyberbezpečnosti.
Tato připomínka je zásadní.
Předem děkujeme za zvážení našich připomínek a jejich vypořádání.
Závěrem si dovolujeme pouze dodat, že jednoznačně z členské základny zaznívá názor, dle kterého vzniká v právní úpravě zmatečná, nepřehledná a tím i velice náročná situace. Pro municipality, zejména bez rozsáhlého aparátu, bude pak nejen z hlediska finančního, ale zejména personálního (jež však nebude zajištěno bez reflektování hlediska finančního) na hranici únosnosti dostát všem uloženým povinnostem. Vybízíme tímto k otevření širší diskuse na toto téma a hledání více vhodných řešení z pohledu centrální úrovně, resp. se zabezpečením financování z centrální úrovně.
Kontaktní osobou v této věci je zaměstnankyně Kanceláře Svazu Mgr. Alena Klimt, DiS., email: klimt@smocr.cz , tel.: 730 897 551.
Příloha: Připomínky dle textu
S pozdravem
Vážený pan
Ing. Lukáš Kintr
ředitel
Národní úřad pro kybernetickou a informační bezpečnosti
prostřednictvím eKLEP
V kopii na vědomí e-mailem:
legislativa@nukib.cz
Svaz měst a obcí ČR
5. května 1640/65, 140 00 Praha 4, Česká republika, IČ: 63113074, DIČ: CZ 63113074
Tel.: 234 709 711, e-mail: smocr@smocr.cz
Bank. spoj.: Komerční banka,a.s, č.ú.19-9221540247/0100
www.smocr.cz
Stránka 2 z 2
image1.jpg