V Plánu legislativních prací vlády na rok 2020 je pro Národní úřad pro kybernetickou a informační bezpečnost zařazen legislativní úkol zpracovat a vládě předložit návrh zákona, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „návrh zákona“). Předpokládaný termín nabytí účinnosti uvedeného návrhu zákona je navržen na 28. června 2021, přičemž návrh zákona musí obsahovat hodnocení dopadů regulace (RIA).
Při vypracování návrhu zákona byly zohledněny zásady pro tvorbu digitálně přívětivé legislativy.
Návrh zákona má za cíl upravit dvě oblasti:
a) adaptace českého právního řádu na nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) a
b) vyjádřit kompetenci vládního a národního CERT vyhledávat zranitelnosti, jakožto součásti dnes výslovně vyjádřených kompetencí provádět analýzu a monitoring hrozeb a rizik, popřípadě analýzu zranitelností; toto vyhledávání zranitelností se přitom realizuje toliko ve veřejně přístupné části kyberprostoru, a to prostředky, které jsou přístupné jakémukoli uživateli internetu.
Odůvodnění těchto úprav je předmětem této důvodové zprávy.
1. Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Platná a účinná právní úprava zákona o kybernetické bezpečnosti neobsahuje právní úpravu, která by se dala považovat za dostačující ve vztahu k nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“). V tomto nařízení je upravena problematika, jejíž dílčí část má být řešena návrhem zákona, který je adaptačním právním předpisem k aktu o kybernetické bezpečnosti. Nařízení (EU) č. 526/2013, které je aktem o kybernetické bezpečnosti rušeno, neupravovalo problematiku, která by byla upravena v tuzemském právním řádu.
V aktuálně platné a účinné právní úpravě není stanoven nositel role vnitrostátního orgánu certifikace kybernetické bezpečnosti na území České republiky a ani nejsou stanovena pravidla pro sankce za porušení aktu o kybernetické bezpečnosti, což jsou povinnosti stran normativní právní úpravy stanovené členským státům právě aktem o kybernetické bezpečnosti.
V platném znění zákona o kybernetické bezpečnosti je nedostatečně konkrétně stanovena kompetence orgánu státu vyhledávat zranitelnosti. Tato kompetence se toliko dovozuje ze znění § 22 písm. u) zákona o kybernetické bezpečnosti („Národní úřad pro kybernetickou a informační bezpečnost provádí analýzu a monitoring kybernetických hrozeb a rizik“) a § 17 odst. 2 písm. f) a § 20 písm. j) zákona o kybernetické bezpečnosti (podle kterého vládní CERT a národní CERT „provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti“), s podporou znění vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Kompetence vyhledávání zranitelností, jak je obsažena v návrhu zákona, se realizuje toliko ve veřejně přístupné části internetu (protože část internetu, která není veřejně přístupná, se nalézá za bezpečnostními opatřeními a neoprávněné překonání těchto bezpečnostních opatření je mimo jiné trestným činem podle § 230 zákona č. 40/2009 Sb., trestní zákoník). Podoba realizace vyhledávání zranitelností je blíže popsána v dalších částech důvodové zprávy. Zákon o kybernetické bezpečnosti ani jeho prováděcí právní předpisy nezakládají předpoklady k diskriminaci a na základě jejich aplikace není předpokládána možnost vzniku diskriminačního rizika. Stávající právní úprava nemá dopad na rovnost žen a mužů, neboť nestanoví, že by některá práva a povinnosti mohlo nebo mělo realizovat jen jedno z pohlaví.
2. Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Akt o kybernetické bezpečnosti stanovuje, že některé oblasti právní úpravy budou dodefinovány na národní úrovni. Jedná se zejména o stanovení vnitrostátního orgánu certifikace kybernetické bezpečnosti a správní delikty za jednání v rozporu s nařízením (aktem o kybernetické bezpečnosti). Hlavním účelem navrhované právní úpravy je provedení adaptace národního právního řádu na akt o kybernetické bezpečnosti. Podle něj musí každý členský stát určit jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na svém území a stanovit pravidla pro sankce za porušení nařízení. Návrh zákona určuje vnitrostátní orgán certifikace kybernetické bezpečnosti, kterým bude Národní úřad pro kybernetickou a informační bezpečnost, jakožto ústřední orgán státní správy, který je garantem kybernetické bezpečnosti v České republice. Návrh zákona také stanoví, že vnitrostátní orgán certifikace kybernetické bezpečnosti může uzavřít veřejnoprávní smlouvu s právnickou osobou, na jejímž základě bude vybraný subjekt spolupracovat v oblasti certifikace kybernetické bezpečnosti a zajišťovat činnosti podle čl. 58 odst. 7 písm. c), d), e) a i) aktu o kybernetické bezpečnosti.
Nárůst digitalizace a propojenosti zvyšuje kybernetická bezpečnostní rizika, což způsobuje, že společnost jako celek se stává zranitelnější vůči kybernetickým hrozbám a zvyšuje se nebezpečí pro jednotlivé uživatele. Za účelem zmírnění těchto rizik je třeba přijmout opatření, která přispějí ke zlepšení kybernetické bezpečnosti v celé Evropské unii. Smyslem certifikace kybernetické bezpečnosti jako takové, která je upravena přímo aktem o kybernetické bezpečnosti, je zvyšování důvěry v produkty, služby a procesy v oblasti informačních a komunikačních technologií skrze jejich bezpečnost. Certifikace je podle aktu o kybernetické bezpečnosti dobrovolná. Certifikací se osvědčí, že produkty, služby a procesy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, důvěrnosti a integrity. Certifikaci samotnou budou provádět tzv. subjekty posuzování shody, které budou akreditovány Českým institutem pro akreditaci. Národní úřad pro kybernetickou a informační bezpečnost bude fungovat jako vnitrostátní orgán certifikace kybernetické bezpečnosti, který bude dohlížet na dodržování pravidel pro provádění jednotlivých certifikací. Tato pravidla budou upravena evropskými systémy certifikace kybernetické bezpečnosti. Společný evropský rámec pro certifikaci poskytne agentura ENISA.
Navrhovaná právní úprava má dále za cíl zlepšit stav kybernetické bezpečnosti České republiky také tím, že jak Národní úřad pro kybernetickou a informační bezpečnost, tak Národní CERT budou mít dostatek relevantních informací pro hodnocení zranitelností a také pro posouzení závažnosti případného kybernetického bezpečnostního incidentu. Za tím účelem bude součástí hlášení kontaktních údajů také identifikace informačního a komunikačního systému a rozsah veřejných IP adres, popřípadě DNS záznamů využívaných orgány a osobami uvedenými v § 3 zákona o kybernetické bezpečnostia bude také precizováno vyjádření kompetence realizovat tzv. vyhledávání zranitelností.
Národní úřad pro kybernetickou a informační bezpečnost vede podle zákona o kybernetické bezpečnosti dvě evidence: evidenci kybernetických bezpečnostních incidentů podle § 9 zákona o kybernetické bezpečnosti a evidenci kontaktních údajů orgánů a osob uvedených v § 3 zákona, kterou vede podle § 16 zákona o kybernetické bezpečnosti. Evidence kontaktních údajů slouží k zajištění rychlé interakce mezi Národním úřadem pro kybernetickou a informační bezpečnost a orgány a osobami uvedenými v § 3 (tzn. subjekty, které jsou podle zákona klíčové pro kybernetickou bezpečnost v České republice), a to především pro případy, kdy je nutno rychle reagovat na konkrétní bezpečnostní ohrožení. V případě, že se Národní úřad pro kybernetickou a informační bezpečnost dozví o ohrožení v kyberprostoru, jeho nástroje reakce spočívají ve fyzickém světě, kdy může především vydat reaktivní opatření podle § 13 zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost nemá kompetence reagovat na hrozby vrchnostensky v kyberprostoru, nemůže bezprostředně v kyberprostoru ovlivňovat bezpečnost informací subjektu bez součinnosti tohoto subjektu. Národní úřad pro kybernetickou a informační bezpečnost jakožto správní úřad může využívat toliko nástroje správního charakteru – rozhodnutí, popřípadě opatření obecné povahy. Bylo by však nepřiměřené (resp. neefektivní), pokud by Národní úřad pro kybernetickou a informační bezpečnost nemohl v rámci své činnosti kyberprostor také poznávat. Navrhované doplnění kontaktního údaje napomůže jak národnímu, tak vládnímu CERT při informování povinných subjektů spadajících do jejich konstituence o probíhajících incidentech či hrozbách.
Veřejné IP adresy jsou veřejně dostupné údaje. Již dnes jsou tyto údaje uvedeny jako nepovinná položka ve formuláři hlášení kontaktních údajů (viz zde: https://www.nukib.cz/download/publikace/formulare/Formular_hlaseni_kontaktnich_udaju_v12.xlsx) a běžně jsou sdělovány. Sjednocené předkládání těchto údajů ze strany všech povinných subjektů (právnických osob a orgánů veřejné moci) umožní Národnímu úřadu pro kybernetickou a informační bezpečnost poskytovat všem povinným osobám službu vyhledávání zranitelností jednotně a budovat také jednotnou vysokou úroveň zabezpečení orgánů a osob uvedených v § 3 zákona o kybernetické bezpečnosti v místech styku s internetem. Například když se dozví o zapojení systémů pod určitými IP adresami do botnetu, jsou díky IP adresám svých povinných subjektů schopny zjistit, zda botnet zasahuje do jejich konstituence a do jakého konkrétního subjektu. CERT může díky tomu konkrétní dotčený subjekt o této skutečnosti informovat a dotčený subjekt může díky tomu přijmout odpovídající opatření. Žádný monitoring provozu či přiřazování IP adres konkrétním uživatelům, Evidence údajů o veřejných IP adresách dále umožní efektivní poskytování služby, kterou pro účely zákona nazýváme vyhledávání zranitelností (banner grabbing) a kterou již v současnosti lze realizovat podle platného práva, považuje se však za vhodné tuto službu zákonem výslovně uvést. V rámci této činnosti nemohou být získávány informace, jejichž získávání patří toliko do působnosti zpravodajských služeb České republiky podle § 5 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
Návrh zákona nepřináší negativní dopady do zákazu diskriminace a do vztahu rovnosti mužů a žen. Novela zákona o kybernetické bezpečnosti neupravuje práva a povinnosti, která by svědčila jen některému z pohlaví, ani se nedotýká témat, která by měla diskriminační potenciál či vytvářela rozdíly mezi ženami a muži a případně jinými pohlavími.
3. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku
Národní úřad pro kybernetickou a informační bezpečnost podrobil zákon o kybernetické bezpečnosti přezkumu z důvodu jeho vhodnosti pro adaptaci národního právního řádu na akt o kybernetické bezpečnosti. V současné době zákon o kybernetické bezpečnosti nestanoví vnitrostátní orgán certifikace kybernetické bezpečnosti ani nestanovuje pravidla pro sankce za porušení aktu o kybernetické bezpečnosti, což je právní úprava, která musí být přijata, aby bylo vyhověno předmětnému nařízení. Neprovedení adaptace národního právního řádu na uvedené nařízení by mohlo být Evropskou komisí považováno za nesplnění povinnosti vyplývající České republice z primárního práva Evropské unie (Smlouva o Evropské unii a Smlouva o fungování Evropské unie), přičemž by Evropská komise na základě čl. 258 Smlouvy o fungování Evropské unie mohla předložit tuto záležitost Soudnímu dvoru Evropské unie. V českém právním řádu není určen subjekt, který by bez změny právní úpravy mohl vykonávat působnost vnitrostátního orgánu certifikace kybernetické bezpečnosti.
Cílem návrhu novely zákona o kybernetické bezpečnosti je adaptace národního právního řádu na akt o kybernetické bezpečnosti (konkrétně na část nařízení týkající se certifikace kybernetické bezpečnosti). Cílový stav se bude vyznačovat tím, že český právní řád bude obsahovat právní úpravu, která je aktem o kybernetické bezpečnosti ponechána na úpravě jednotlivým členským státům. Navrhuje se, že v České republice bude stanoven vnitrostátní orgán certifikace kybernetické bezpečnosti, kterým bude Národní úřad pro kybernetickou a informační bezpečnost, jakožto ústřední orgán státní správy mající obecně za úkol plnit stěžejní roli v oblasti kybernetické bezpečnosti.
Návrh zákona zakotvuje taktéž oblast správního trestání v podobě sankcí za porušení aktu o kybernetické bezpečnosti.
Adaptace národního právního řádu na akt o kybernetické bezpečnosti lze docílit jen prostřednictvím dílčích legislativních úprav zákona o kybernetické bezpečnosti.
stejně jako zjišťování jejich zvyků, preferencí či zpracování jakýchkoliv jiných osobních údajů, v tomto ohledu neprovádí a ani není technicky možný – provoz je šifrovaný a osobní údaje jsou tedy dostupné až za firewallem jednotlivých subjektů.
4. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem
České republiky
Navrhovaná právní úprava je v souladu s ústavním pořádkem České republiky.
Navrhovaná sankční ustanovení jsou slučitelná s článkem 7 Úmluvy o ochraně lidských práv a základních svobod, tj. se zásadou uložení trestu jen na základě zákona. V tomto článku se odráží princip legality a požadavky na jasnou a předvídatelnou úpravu správního trestání, zejména z hlediska předvídatelnosti hrozících postihů.
5. Zhodnocení slučitelnosti navrhované právní úpravy s předpisy
Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie
V rámci předchozích novelizací zákona o kybernetické bezpečnosti byl implementován následující sekundární předpis Evropské unie:
- Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.
Návrhu zákona se dotýká následující předpis Evropské unie:
- Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).
Navrhovaná úprava zákona o kybernetické bezpečnosti je plně slučitelná s předpisy Evropské unie. Návrh zákona rovněž není v rozporu s judikaturou soudních orgánů Evropské unie a je v souladu s obecnými právními zásadami práva Evropské unie.
6. Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, kterými je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách
Problematika certifikace kybernetické bezpečnosti není upravena žádnou mezinárodní úmluvou. Navrhovaná právní úprava je plně v souladu s předpisy Evropské unie, judikaturou Soudního dvora Evropské unie a obecnými právními zásadami práva Evropské unie.
Z hlediska ochrany lidských práv a základních svobod ctí návrh zákona práva a základní svobody přiznávané mezinárodními smlouvami o lidských právech a základních svobodách jako je Listina základních práv Evropské unie nebo Úmluva o ochraně lidských práv a základních svobod a její protokoly.
Oblast certifikace kybernetické bezpečnosti spadá do oblasti zajištění řádného fungování vnitřního trhu, a tudíž není plně v gesci jednotlivých členských států, ale v oblasti sdílené pravomoci s Evropskou unií.
Návrh zákona byl – s ohledem na navrhovanou precizaci vyjádření kompetence vyhledávat zranitelnosti a mimo jiné i s tím související nové kontaktní údaje obligatorně vedené v evidenci kontaktních údajů – posouzen z hlediska své slučitelnosti s ustanoveními Úmluvy o ochraně lidských práv a základních svobod. Ve vztahu k navrhované právní úpravě se může jevit jako relevantní zejména čl. 8 (právo na respektování rodinného a soukromého života) a čl. 10 (svoboda projevu) této úmluvy. Z hlediska ochrany uvedených práv byla jako relevantní identifikována následující judikatura Evropského soudu pro lidská práva:
Rotaru proti Rumunsku, č. 28341/95, rozsudek velkého senátu ze dne 4. května 2000,
Ahmet Yildirim proti Turecku, č. 3111/10, rozsudek ze dne 18. prosince 2012,
Engels proti Rusku, č. 619/19, rozsudek ze dne 23. června 2020,
Klass a ostatní proti Německu, č. 5029/71, rozsudek ze dne 6. září 1978,
Big Brother Watch a ostatní proti Spojenému království, č. 58170/13, rozsudek ze dne 13. září 2018,
Benedik proti Slovinsku, č. 62357/14, rozsudek ze dne 24. dubna 2018.
Uvedená judikatura není s normami o evidenci údajů o veřejných IP adresách a DNS záznamů v rozporu, protože v uvedených případech posuzovaných Evropským soudem pro lidská práva byl vždy posuzován postup orgánu státu vybaveného kompetencí sledování osob. Pokud by v České republice mělo být příslušnými orgány státu realizováno sledování osob, získat informace o veřejné IP adrese (popřípadě získat DNS záznamy) by bylo pro příslušné orgány to nejmenší. Tyto orgány by však musely navíc získat konkrétní oprávnění realizovat sledování konkrétní osoby. Tak jako dohledatelnost telefonního čísla v telefonním seznamu neznamená, že Česká republika prostřednictvím svých orgánů může bez dalšího realizovat sledování provozu či dokonce obsahu komunikace na telefonní lince, popřípadě blokovat komunikaci z této telefonní linky, nemůže být podobně sledován či blokován ani provoz na veřejné IP adrese. Národní úřad pro kybernetickou a informační bezpečnost nemůže znalost o veřejné IP adrese využít jinak než v rámci svých kompetencí, přičemž žádná z jeho kompetencí neumožňuje ani sledování osob či jejich komunikace, ani blokování provozu. Z pohledu výkonu působnosti Národního úřadu pro kybernetickou a informační bezpečnost nemá konkrétní obsah komunikace osob žádnou relevanci. Posláním Národního úřadu pro kybernetickou a informační bezpečnost je zajistit, aby tato komunikace byla náležitě zabezpečena.
7. Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty, na podnikatelské prostředí
České republiky, sociální dopady, včetně dopadu na rodiny a dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, a dopady na životní prostředí
Návrh novely zákona o kybernetické bezpečnosti určuje vnitrostátní orgán certifikace kybernetické bezpečnosti, kterým bude Národní úřad pro kybernetickou a informační bezpečnost jakožto ústřední orgán státní správy, který je garantem kybernetické bezpečnosti v České republice. Aby byla dostatečně zabezpečena tato působnost, byl v rámci materiálu Koncepce rozvoje Národního úřadu pro kybernetickou a informační bezpečnost (schváleného usnesením vlády ze dne 17. srpna 2020 č. 848) navržen vznik dvou systemizovaných pracovních míst, což představuje náklady v objemu 1 707 104 Kč ročně od roku 2021. Systemizovaná pracovní místa, stejně jako s nimi související náklady, jsou již zapracovány v materiálu Koncepce rozvoje Národního úřadu pro kybernetickou a informační bezpečnost a nebudou již tedy samostatně požadována v souvislosti s přijetím předkládaného návrhu zákona. Národní úřad pro kybernetickou a informační bezpečnost alokoval pro zavedení služby akreditace subjektů posuzování shody částku 400 000 Kč, která bude převedena na Český institut pro akreditaci, jakožto vnitrostátní akreditační orgán stanovený podle nařízení Evropského parlamentu a Rady (ES) č. 765/2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93.
Pro podnikatelské prostředí České republiky nepředstavuje návrh novely zákona o kybernetické bezpečnosti zvýšené finanční náklady.
Návrh zákona vzhledem ke své povaze nepředpokládá žádné sociální dopady ani dopady na životní prostředí. Nepředpokládá ani dopady na rodiny a na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny.
8. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů
Návrh novely zákona o kybernetické bezpečnosti nepřináší žádné změny, které mají dopad na ochranu soukromí nebo ochranu osobních údajů. Návrh novely určuje Národní úřad pro kybernetickou a informační bezpečnost jako vnitrostátní orgán certifikace kybernetické bezpečnosti na území České republiky s tím, že může uzavřít veřejnoprávní smlouvu s právnickou osobou, na jejímž základě bude vybraný subjekt spolupracovat v oblasti certifikace kybernetické bezpečnosti a zajišťovat některé činnosti podle čl. 58 aktu o kybernetické bezpečnosti; návrh novely také stanovuje pravidla pro sankce za porušení aktu o kybernetické bezpečnosti. Navrhované řešení nemá dopad na ochranu soukromí a osobních údajů, neboť jak uzavírání veřejnoprávní smlouvy, tak správní trestání jsou v zákoně o kybernetické bezpečnosti stanoveny již dnes a v praxi je v jejich rámci v případě zpracování osobních údajů postupováno podle nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a podle zákona č. 110/2019 Sb., o zpracování osobních údajů.
Navrhované rozšíření údajů v evidenci kontaktních údajů o rozsahy veřejných IP adres, popřípadě veřejných DNS záznamů, orgánů a osob uvedených v § 3 zákona o kybernetické bezpečnosti nebude spojen se snížením standardu ochrany osobních údajů. Údaje o IP adresách (byť by mohly být osobními údaji) budou uchovávány v evidenci kontaktních údajů spolu s jinými osobními údaji podle zákona o kybernetické bezpečnosti. Zpracování osobních údajů
Vypočteno s ohledem na průměrný plat zaměstnanců Národního úřadu pro kybernetickou a informační bezpečnost podle návrhu zákona o státním rozpočtu na rok 2021.
v této evidenci se uskutečňuje v rámci procesů ochrany osobních údajů souladných s obecným nařízením o ochraně osobních údajů.
9. Zhodnocení korupčních rizik
Předkládaný návrh novely zákona o kybernetické bezpečnosti nepředpokládá korupční rizika a ani jejich nárůst. Vnitrostátní orgán certifikace kybernetické bezpečnosti bude moci podle návrhu novely uzavřít veřejnoprávní smlouvu s právnickou osobou, na jejímž základě bude vybraný subjekt spolupracovat v oblasti certifikace kybernetické bezpečnosti a zajišťovat některé činnosti podle čl. 58 aktu o kybernetické bezpečnosti. Právní podmínky uzavírání veřejnoprávní smlouvy jsou stanoveny zákonem č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, včetně veřejnosti řízení o výběru žádosti. Informace související s uzavíráním veřejnoprávní smlouvy jsou informacemi, které jsou poskytovány podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Veřejnost tohoto procesu, jakož i pevně stanovené mechanismy pro uzavírání veřejnoprávní smlouvy, mají zaručit, že ani v této oblasti nevzniká korupční potenciál.
10. Zhodnocení dopadů na bezpečnost nebo obranu státu
Návrh novely zákona o kybernetické bezpečnosti nepředpokládá nová rizika v oblasti bezpečnosti a obrany státu ani jejich nárůst.
Cílem aktu o kybernetické bezpečnosti je zajištění řádného fungování vnitřního trhu Evropské unie a dosažení vysoké úrovně kybernetické bezpečnosti, kybernetické odolnosti a důvěry v Evropské unii. Cílem návrhu zákona, jakožto adaptační právní úpravy aktu o kybernetické bezpečnosti, je pak přizpůsobení právního řádu České republiky tak, aby mohlo být uvedených cílů aktu o kybernetické bezpečnosti dosaženo.
Návrh novely zákona o kybernetické bezpečnosti má naopak pozitivní dopady na bezpečnost státu, a to v souvislosti s navrhovanou evidencí bližších informací o informačních a komunikačních systémech relevantních z hlediska bezpečnosti České republiky v evidenci kontaktních údajů spravované Národním úřadem pro kybernetickou a informační bezpečnost (což umožní rychlejší reakci na aktuální hrozby v kyberprostoru).
K čl. I
K bodu 1 (§ 1 odst. 2)
Je-li právním předpisem prováděno jak přizpůsobení právního řádu přímo použitelnému předpisu Evropské unie, tak je jím promítána do právního předpisu celá směrnice Evropské unie nebo její podstatná část, je nezbytné, aby tyto předpisy Evropské unie byly uvedeny v referenčním ustanovení, jak stanovují Legislativními pravidla vlády. Navrhovaná novela adaptuje přímo použitelný akt o kybernetické bezpečnosti. Ustanovení § 1 odst. 2 se proto upravuje v souladu s čl. 48 odst. 4 Legislativních pravidel vlády.
K bodu 2 [§ 16 odst. 1 písm. d) a e)]
Pro řádný výkon činností, které Národnímu úřadu pro kybernetickou a informační bezpečnost a národnímu CERT ukládá zákon, je nezbytné, aby tyto orgány disponovaly úplnými identifikačními údaji o systémech povinných osob a veřejnými IP adresními rozsahy, popřípadě DNS záznamy (v případě, kdy IP adresní rozsahy nelze sdělit, protože je informační nebo komunikační systém provozován formou cloudové služby), skrze které jsou tyto systémy a sítě dostupné prostřednictvím sítě internet (v případě kdy systém z veřejně dostupné sítě není dostupný, požadavek na sdělení údaje o IP adresách, popřípadě o DNS záznamech by byl nesplnitelný, a proto se neuplatní). Tyto informace jsou nezbytné jak při vyhodnocování kybernetických bezpečnostních incidentů a jejich dopadů na systémy a sítě povinných osob a kybernetický prostor jako celek, tak i při provádění vyhledávání a hodnocení zranitelností. Dispozice s maximální možnou měrou úplnosti a přesnosti informací o hrozbách a zranitelnostech v oblasti kybernetické bezpečnosti může přitom být nezbytnou součástí posouzení potřebnosti vydání opatření či vyhlášení stavu kybernetického nebezpečí. Navrhovaná úprava kategorií kontaktních údajů přitom nepředstavuje pro povinné osoby významnou změnu v jejich povinnostech, jelikož většina z nich tyto údaje Národnímu úřadu pro kybernetickou a informační bezpečnost či provozovateli Národního CERT hlásí již v současnosti, a to na dobrovolné bázi.
K bodu 3 [§ 17 odst. 2 písm. f) a § 20 písm. j)]
Navrhovaná právní úprava má za cíl postavit najisto pravomoci Národního úřadu pro kybernetickou a informační bezpečnost jakožto gestora kybernetické bezpečnosti v České republice a národního CERT a potažmo tak přispět k ochraně nedistributivních práv státu. Tím dojde k zajištění veřejného zájmu na bezpečnosti informačních systémů a služeb, jejichž bezpečnost je regulována zákonem o kybernetické bezpečnosti, zejména kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby, významných sítí a digitálních služeb. Zvýšení bezpečnosti těchto systémů má přitom za následek též zvýšení celkové úrovně bezpečnosti kybernetického prostoru jako celku.
Návrh v tomto ohledu upřesňuje působnost Národního úřadu pro kybernetickou a informační bezpečnost v oblasti analýzy zranitelností v oblasti kybernetické bezpečnosti, která je prováděna pro některé povinné osoby podle zákona o kybernetické bezpečnosti a ve které byla působnost Národního úřadu pro kybernetickou a informační bezpečnost dosud dovozována z jiných ustanovení zákona. Podle § 22 písm. u) zákona o kybernetické bezpečnosti provádí Národní úřad pro kybernetickou a informační bezpečnost monitoring a analýzu kybernetických hrozeb a rizik. Jak vyplývá z technických norem upravujících kybernetickou bezpečnost i z přílohy č. 2 vyhlášky o kybernetické bezpečnosti, existence a úroveň rizika se odvozuje od existence zranitelnosti. Pokud má být monitorováno riziko, musí být monitorovány zranitelnosti. Národní úřad pro kybernetickou a informační bezpečnost tyto zranitelnosti informačních systémů vyhledává ve dvou úrovních intenzity:
1. prostřednictvím tzv. penetračního testování, které provádí bez výjimky na základě smlouvy (resp. zápisu v případě právního vztahu organizačních složek státu) uzavřené se správcem či provozovatelem informačního systému. Při penetračním testování jsou se souhlasem správce či provozovatele prováděny pokusy překonat bezpečnostní opatření jeho informačních systémů. Smlouva představuje doklad o svolení poškozeného ve smyslu § 30 trestního zákoníku. Bez této smlouvy by překonání bezpečnostního opatření mohlo představovat trestný čin (především neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 trestního zákoníku);
2. prostřednictvím postupu, který je dostupný bez jakýchkoli specifických prostředků každému uživateli v rámci běžných činností v internetu (internetové prohlížeče například umožňují zobrazit verzi webového serveru, přičemž u starších verzí mohou být obecně známé zranitelnosti). S ohledem na pravidlo, že stát a jeho orgány nesmí činit, co jim zákon výslovně neumožňuje, navrhuje se stanovit tuto kompetenci Národního úřadu pro kybernetickou a informační bezpečnost a Národního CERT v zákoně výslovně.
Z logiky věci nemůže touto úpravou docházet k zásahu do soukromí, protože soukromí se na internetu vždy nachází za nějakým bezpečnostním opatřením. Ta část kyberprostoru, která není ohraničena bezpečnostním opatřením, je veřejně přístupným prostorem.
Z technického hlediska se vyhledávání zranitelností realizuje postupem nazvaným banner grabbing. Jak vyplývá z jeho definice, postup se realizuje na otevřených (veřejně přístupných) portech sítí. Na těchto portech se zjistí verze webového serveru, a pokud bude zjištěna verze, u které jsou již známy zranitelnosti, bude subjekt ze strany Národního úřadu pro kybernetickou a informační bezpečnost (s využitím kontaktních údajů vedených v evidenci kontaktních údajů podle § 16 odst. 4 zákona o kybernetické bezpečnosti) informován o tom, že jím užívaný webový server je zranitelný.
Z hlediska legislativně-technického je kompetence formulována proporcionálně ostatním ustanovením v kompetenčním ustanovení. Stejně jako monitoring a analýza hrozeb a rizik či
Národní úřad pro kybernetickou a informační bezpečnost a národní CERT bude poskytovat tuto službu tzv. povinným osobám (subjekty vyjmenované v § 3 zákona o kybernetické bezpečnosti; standardně se jedná buďto o orgány veřejné moci, nebo právnické osoby). Aktuálně je nasnadě využití této kompetence například ve vztahu k informačním systémům nemocnic – pomocí tohoto postupu lze snadno a rychle zjistit úroveň základního zabezpečení jejich informačních systémů dostupných z internetu.
analýza zranitelností neumožňuje realizovat jednání, která jsou trestným činem nebo která zasahují do základních práv a svobod, ani toto ustanovení neumožní taková jednání.
K bodu 4 (§ 19 odst. 1)
Protože uzavření smlouvy nepředchází žádné řízení, navrhuje se upravit znění tak, že Národní úřad pro kybernetickou a informační bezpečnost vyhlašuje výzvu k předložení návrhu smlouvy nebo k přijetí návrhu smlouvy.
K bodu 5 (§ 19 odst. 5 a 6)
Navrhuje se, aby Národní úřad pro kybernetickou a informační bezpečnost mohl uzavřít veřejnoprávní smlouvu s právnickou osobou, jejímž obsahem bude spolupráce při zajištění činností stanovených čl. 58 odst. 7 písm. c), d), e) a i) aktu o kybernetické bezpečnosti. Zajišťování některých činností právnickou osobou, které byly původně svěřeny vnitrostátnímu orgánu certifikace kybernetické bezpečnosti, bude možné pouze v takových případech, kdy se nejedná o udělování sankcí, řešení stížností či o další úkoly vůči agentuře ENISA a ECCG (Evropská skupina pro certifikaci kybernetické bezpečnosti, The European Cybersecurity Certification Group).
Veřejnoprávní smlouva bude uzavřena postupem podle § 163 odst. 4 správního řádu, řízení o výběru žádosti bude vyhlašovat Národní úřad pro kybernetickou a informační bezpečnost. Veřejnoprávní smlouva bude povinně obsahovat alespoň označení smluvních stran, vymezení předmětu smlouvy, práva a povinnosti smluvních stran, podmínky spolupráce smluvních stran, způsob a podmínky odstoupení smluvních stran od smlouvy, výpovědní lhůtu a výpovědní důvody.
Při výběru právnické osoby, se kterou bude veřejnoprávní smlouva uzavřena, bude postupováno v souladu se zákonem o zadávání veřejných zakázek. Tím není vyloučeno, že po posouzení konkrétního návrhu smlouvy se ukáže, že se nejedná o veřejnou zakázku, zejména proto, že není splněn definiční znak úplatnosti (bezúplatnou veřejnoprávní smlouvou je ostatně také stávající smlouva s právnickou osobou o provozování národního CERT podle § 19 odst. 1 zákona o kybernetické bezpečnosti).
K bodu 6 (§ 22)
Navrhuje se stanovit, že vnitrostátním orgánem certifikace kybernetické bezpečnosti je ve smyslu čl. 58 aktu o kybernetické bezpečnosti Národní úřad pro kybernetickou a informační bezpečnost. Jedná se o skutečnost, která musí být podle aktu o kybernetické bezpečnosti upravena národním právním řádem a v této části návrhu novely se tedy jedná o adaptaci národního právního řádu na předmětné nařízení.
Role vnitrostátního orgánu certifikace kybernetické bezpečnosti se navrhuje přidělit Národnímu úřadu pro kybernetickou a informační bezpečnost, neboť je ústředním správním úřadem pro oblast kybernetické bezpečnosti, který plní zákonem stanovené povinnosti v oblasti kybernetické bezpečnosti.
Národní úřad pro kybernetickou a informační bezpečnost bude zejména dohlížet na pravidla zahrnutá v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, napomáhat vnitrostátním subjektům akreditace při monitorování činnosti subjektů posuzování shody a při dozoru nad touto činností a poskytovat uvedeným subjektům akreditace podporu, sledovat činnost veřejných subjektů, které jsou subjekty posuzování shody, a dohlížet na tyto aktivity, v příslušných případech autorizovat subjekty posuzování shody, řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti vydanými vnitrostátními orgány certifikace kybernetické bezpečnosti či subjekty posuzování shody, každoročně předkládat agentuře ENISA a Evropské skupině pro certifikaci kybernetické bezpečnosti souhrnnou zprávu o činnostech v rámci certifikace kybernetické bezpečnosti a další.
K bodům 7 až 9 (§ 25)
Navrhuje se doplnit ustanovení zákona o kybernetické bezpečnosti upravující přestupky o nové skutkové podstaty. Důvodem je povinnost, která členským státům vyplývá přímo z aktu o kybernetické bezpečnosti a podle které mají být stanovena pravidla pro sankce za porušení části aktu o kybernetické bezpečnosti upravující rámec pro certifikaci kybernetické bezpečnosti a evropských systémů certifikace kybernetické bezpečnosti. Jako subjekty přestupků se navrhují výrobce nebo poskytovatel produktů, služeb či procesů vydávající tzv. EU prohlášení o shodě a držitel evropského certifikátu kybernetické bezpečnosti. V rámci formulace skutkových podstat přestupků bylo vycházeno z povinností stanovených subjektům textem aktu o kybernetické bezpečnosti přímo i nepřímo. Nepřímo v tom smyslu, že některé povinnosti subjektů jsou uvedeny v ustanovení uvedeného nařízení primárně upravujícím kompetence vnitrostátního orgánu certifikace kybernetické bezpečnosti. Adaptace ustanovení aktu o kybernetické bezpečnosti, ze kterých vyplývá povinnost součinnosti při kontrole dodržování povinností, se realizuje platnými ustanoveními zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění zákona č. 183/2017 Sb.
Výše sankcí jednotlivých přestupků jsou stanoveny tak, aby byly přiměřeně přísné ve vztahu k porušeným právním povinnostem se zohledněním zákonem o kybernetické bezpečnosti doposud stanovených výší sankcí. Nové skutkové podstaty přestupků lze rozdělit do dvou kategorií podle horní hranice výše pokuty. Za typově závažnější porušení právních povinností lze udělit pokutu až do výše 5 000 000 Kč, za ta méně závažná porušení lze pak udělit pokutu až do výše 1 000 000 Kč.
K čl. II (účinnost)
Navrhuje se stanovit termín nabytí účinnosti k 28. červnu 2021, což je také datum použitelnosti ustanovení o certifikaci kybernetické bezpečnosti aktu o kybernetické bezpečnosti. Datum nabytí účinnosti se navrhuje stanovit odlišně od § 3 odst. 3 zákona č. 309/1999 Sb., o Sbírce zákonů a o Sbírce mezinárodních smluv, ve znění pozdějších předpisů, a to z důvodu nutnosti současného nabytí účinnosti aktu o kybernetické bezpečnosti a této jeho adaptační právní úpravy.
V Praze dne 23. listopadu 2020
Předseda vlády:
Ing. Andrej Babiš v.r.
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost:
Ing. Karel Řehka v.r.