zákon č. 205/2017 Sb.

Národní bezpečnostní úřad na základě § 22 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) vykonává státní správu v oblasti kybernetické bezpečnosti. Z tohoto důvodu je i mimo jiné gestorem řádné transpozice směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen „směrnice“), která je provedena předloženým návrhem zákona, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů.

1. Zhodnocení platného právního stavu

V rámci ČR existuje již poměrně komplexní právní úprava týkající se kybernetické bezpečnosti, která z velké části odpovídá i požadavkům uvedeným ve směrnici. Touto právní úpravou je zákon o kybernetické bezpečnosti. Vedle něj však existují i dílčí úpravy zaměřující se na specifičtější oblasti. Tyto právní úpravy jsou ve vztahu k zákonu o kybernetické bezpečnosti lex specialis, popřípadě jdou úplně mimo režim zákona o kybernetické bezpečnosti.

Zvláštní právní úpravu obsahuje zákon č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů, a to v § 98 a 99, které se vztahují na podnikatele zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací. Tyto subjekty mají povinnost zajišťovat bezpečnost a integritu své sítě a bezpečnost služeb, které poskytují. Dále existuje zvláštní právní úprava pro kvalifikované a nekvalifikované poskytovatele služeb vytvářejících důvěru, kteří jsou regulováni podle nařízení eIDASa jeho adaptačního zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce. Zabezpečení informačních a komunikačních systémů nakládajících s utajovanými informacemi pak upravuje zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů.

Předkládaný návrh zákona má doplnit především zákon o kybernetické bezpečnosti, a to v souladu s požadavky stanovenými ve směrnici. Novela by tak měla odstranit mezery mezi národní úpravou a požadavky plynoucími z direktivy EU a pod režim zákona o kybernetické bezpečnosti vztáhnout i doposud neregulované subjekty, jejichž ochrana je ve společenském a ekonomickém zájmu. V návaznosti na tento návrh zákona bude nutné i novelizovat prováděcí vyhlášku zákona o kybernetické bezpečnosti a vytvořit novou vyhlášku, která bude uvádět určující kritéria provozovatelů základních služeb.

Platná právní úprava není diskriminační ani nemá dopad na rovnost mužů a žen, neboť obecná

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. Věst. L 257, 28. 8. 2014, s. 73).

definice a podmínky jejího naplnění se budou aplikovat u všech zaměstnanců shodně, bez snahy jakoukoliv určitou skupinu zaměstnanců zvýhodnit či znevýhodnit.

2. Odůvodnění hlavních principů navrhované právní úpravy

Návrhem zákona je prohlouben rozsah zajištění kybernetické bezpečnosti v ČR a celkově dojde k posílení bezpečnosti informačních systémů. Navrhovaná právní úprava tak staví na principech již účinného znění zákona o kybernetické bezpečnosti, přičemž je uplatňuje i na nově regulované skupiny orgánů a osob. Tyto principy jsou následující:

1. Princip technologické neutrality 2. Princip ochrany informačního sebeurčení člověka 3. Princip ochrany nedistributivních práv 4. Princip minimalizace státního donucení 5. Princip autonomie vůle regulovaných subjektů 6. Princip bdělosti ve vztahu k ostatním státům a k mezinárodnímu společenství

Vzhledem ke značné různorodosti regulovaných subjektů jde navrhovaná právní úprava cestou stanovení základních povinností a standardních bezpečnostních parametrů, přičemž je adresátům právních povinností ponechána volnost ve způsobech, jakými dosáhnou jejich naplnění. Není totiž vhodné ani potřebné direktivně určovat konkrétní technické a organizační postupy. Podobně jako navrhovaná právní úprava počítá s tím, že lze standardní zabezpečení informačních systémů a sítí elektronických komunikací řešit za užití různých zabezpečovacích technologií, je regulatorní řešení liberální i v konkrétních způsobech, jimiž bude na straně orgánů a osob zajištěno plnění zákonných povinností. Konkrétní organizační a technické postupy včetně např. školení zaměstnanců, interních kontrol apod. tedy ponechává navrhovaná právní úprava plně v diskreci povinných orgánů a osob. Tím je zajištěno, že výsledné zabezpečení informačních systémů bude ve svém souhrnu spolehlivě funkční, přičemž individualita jednotlivých partikulárních bezpečnostních řešení umožní efektivní využití příslušných zdrojů.

Vedle standardního povinného zapojení shora uvedených subjektů do systému ochrany před kybernetickými bezpečnostními incidenty počítá navrhovaná právní úprava s tím, že řada subjektů provozujících informační systémy projeví zájem o dobrovolné zapojení do národního systému kybernetické bezpečnosti. Zkušenosti z posledních let ukazují, že spolupráce s národními dohledovými pracovišti přináší podnikatelským subjektům i akademickému nebo neziskovému sektoru vysoce pozitivní efekty a že zájem o tuto spolupráci bývá velký - správci soukromých nebo akademických informačních systémů mají v takových případech možnost vzájemně sdílet poznatky o hrozbách v oblasti kybernetické bezpečnosti a díky metodickému působení národního dohledového pracoviště mohou vlastní infrastrukturu daleko účinněji bránit před kybernetickými bezpečnostními incidenty. Zákon tedy v tomto směru počítá s možností dobrovolného zapojení do systému národní kybernetické bezpečnosti i pro subjekty mimo okruh regulovaných orgánů a osob.

Viz Důvodová zpráva k návrhu zákona o kybernetické bezpečnosti.

Dále je nutno zdůraznit, že návrh zákona v souladu s principem minimalizace státního donucení, nedopadá na veškeré informační systémy, ale zaměřuje se pouze na ty informační systémy, které mají zásadní význam, a nespadají doposud pod regulaci zákona o kybernetické bezpečnosti. Zabezpečení těchto systémů před běžnými formami kybernetických útoků je podle účelu navrhovaného zákona řešeno pouze ve vztahu k systémům a sítím elektronických komunikací, na nichž je závislé poskytování základních nebo digitálních služeb. Povinnost aplikace určitého standardního zabezpečení včetně povinnosti hlásit výskyt kybernetických bezpečnostních incidentů a odpovídajícím způsobem na ně reagovat je tedy obecně definována pouze pro systémy stanoveného společenského významu (tj. systémy, jejichž ochrana má ve shora uvedeném smyslu zásadní význam pro ochranu práv na informační sebeurčení a nedistributivních informačních práv státu). Lze tedy konstatovat, že věcný a osobní rozsah navrhované právní úpravy je minimalistický a sleduje dosažení shora uvedeného účelu za užití nejnižší možné míry právní regulace.

Obecně lze tedy konstatovat, že opatření navrženého zákona odpovídají požadavku na přiměřenost zásahu do osobnostních práv, zejména do práva na informační sebeurčení a s ním souvisejících základních práv (např. vlastnické právo). Zároveň není navrhovaná úprava žádným způsobem diskriminační, všichni občané mají stejná práva a povinnosti, nemá tudíž ani dopad na rovnost mužů a žen. Stále tedy platí v tomto ohledu jeden ze základních principů zákona o kybernetické bezpečnosti, tj. princip autonomie vůle regulovaných subjektů. Prostředky vynaložené na zabezpečení příslušných informačních systémů tak budou použity v přímém vztahu ke konkrétním potřebám orgánů a osob, tj. zpravidla účelně a hospodárně.

3. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku

Předložený návrh zákona zapracovává požadavky směrnice do českého právního řádu. Vzhledem k povaze ukládaných povinností je nutno tuto transpozici provést legislativní cestou, přičemž v souladu s právem Evropské unie musí být směrnice zapracována do českého právního řádu ve stanovené transpoziční lhůtě, která činí 21 měsíců od nabytí platnosti této směrnice (tj. do 9. května 2018). Zároveň předložený návrh zákona reflektuje připomínky z praktické aplikace již účinného zákona o kybernetické bezpečnosti.

4. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky

Aplikací zákona o kybernetické bezpečnosti je zasahováno zejména do práva vlastnického a částečně též i z něj odvozovaného práva na podnikání. Povinnosti, které navrhovaná právní úprava stanoví vybraným subjektům (tj. orgánům a osobám), totiž v různé míře omezují tyto subjekty v neomezeném užívání informačních systémů, k nimž vykonávají vlastnická nebo obdobná práva.

Vzhledem k tomu, že byl při tvorbě zákona zvolen minimalistický přístup k ukládání povinností osobám soukromého práva, nezasahuje tento záměr do práva na ochranu soukromí, práva na ochranu osobních údajů, práva na soukromý život, práva na svobodu projevu ani do dalších práv souhrnně označovaných jako práva na informační sebeurčení člověka – ochrana těchto práv naopak tvoří dominantní teleologii navrhované právní úpravy.

Kybernetické bezpečnostní incidenty mají za následek vedle různých typů škod též omezení dostupnosti služeb informační společnosti nebo zásahy do informační diskrece člověka. Právo na informační sebeurčení, které bylo jako souborné základní právo identifikováno Spolkovým ústavním soudema od té doby též několikrát zmíněno i Evropským soudem pro lidská práva a Ústavním soudem České republiky, přitom sestává z pasivních a aktivních informačních práv člověka. Pasivní informační práva zahrnují především ochranu soukromí či obecně diskrétní informační sféry, zatímco aktivní informační práva mají charakter práv přístupu ke službám informační společnosti. Definice informačního sebeurčení tak vychází nejen z předpokládané nutnosti chránit diskrétní informace, ale též z předpokladu, že dnešní člověk může žít plnohodnotný život jen tehdy, pokud má možnost komunikovat s ostatními. Z toho plyne povinnost státu chránit pasivní i aktivní informační práva člověka ochranou kybernetického prostoru, kde se tato práva realizují.

Navrhovaná právní úprava omezí plošně provozovatele základních služeb, správce a provozovatele informačních systémů základních služeb a poskytovatele digitálních služeb. Plošné omezení vlastnického práva resp. práva na podnikání má v tomto případě formu zavedení povinnosti implementovat bezpečnostní opatření, oznámit provozovateli národního CERT nebo NBÚ kontaktní údaje a hlásit kybernetické bezpečnostní incidenty vládnímu nebo národnímu CERT. U správců nebo provozovatelů informačních systémů základních služeb se pak bude jednat i o plnění povinnosti detekce kybernetických bezpečnostních událostí a povinnosti provádět opatření vydaná NBÚ.

Návrh zákona dále také částečně omezuje právo na informace, které je zaručené podle čl. 17 Listiny základních práv a svobod. Na základě tohoto článku mají státní orgány a orgány územní samosprávy povinnost přiměřeným způsobem poskytovat informace o své činnosti. Zároveň však tento článek stanoví, že právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná mimo jiné pro bezpečnost státu, veřejnou bezpečnost a ochranu veřejného zdraví. Vzhledem k tomu, že se jedná o atributy chráněné zákonem o kybernetické bezpečnosti, přičemž jejich zajištění by mohlo být právě ohroženo neomezeným poskytováním informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, bylo přistoupenou k novele tohoto zákona.

Navrhovaná úprava bezprostředně nezasahuje do práva na informační sebeurčení člověka, neboť primárně nezasahuje do obsahové stránky komunikace a nezakládá ani přímé pravomoci státu direktivně zasahovat do běžného života informační společnosti – návrh zákona tedy nepředpokládá žádný státní zásah do soukromí uživatelů ani do jejich možností komunikovat prostřednictvím služeb informační společnosti.

Vedle závazků ČR plynoucích ze členství v EU představuje zásadní důvod k úpravě kybernetické bezpečnosti (to i včetně shora uvedeného omezení vlastnického práva) základní princip mezinárodního práva, tj. povinnost bdělosti (due diligence). Je v tomto směru jen otázkou času, kdy začne Mezinárodní soudní dvůr řešit odpovědnost státu za jednání, kterého se sice stát sám

Nález Spolkového ústavního soudu ze dne 15. prosince 1983, č. j. BVerfGE 65, 1. Nález Ústavního soudu ze dne 1. března 2000, č. j. II. ÚS 517/99, N 32/17 SbNU 229, nález Ústavního soudu ze dne 7. dubna 2010, č. j. I. ÚS 22/10 a nález Ústavního soudu ze dne 22.března 2011, sp. zn. Pl. ÚS 24/10, 94/2011 Sb.

neúčastní, ale které je mu přičitatelné, neboť má původ v jeho suverénní doméně. Typicky dochází k situaci, kdy jsou zneužity počítače na území jednoho státu k útoku na cizí stát (takové případy se u rozsáhlých útoků vyskytují běžně) – předmětný stát, přestože útok neorganizuje ani se na něm nepodílí, může být popohnán k odpovědnosti za to, že takovému útoku, byť k tomu měl prostředky, účinně nezabránil.

Výše zmíněný zásah do vlastnického práva soukromoprávních provozovatelů základních služeb, správců a provozovatelů informačních systémů základních služeb a poskytovatelů digitálních služeb je tedy ve struktuře proporcionality odůvodněn ochranou

- práva na informační sebeurčení (tj. zejména práva na ochranu soukromí, soukromého života, na svobodu projevu, na přístup k informacím a dalších informačních práv člověka),

- bezpečnosti a integrity (nedistributivních práv) ČR a

- mezinárodních závazků ČR.

Vzhledem k tomu, že návrh zákona nezatěžuje nijak výrazně právo na informační sebeurčení soukromoprávních osob (tj. nedává státním orgánům právo zasahovat do soukromí ani do aktivní komunikace uživatelů služeb informační společnosti) a naopak zvyšuje míru ochrany základních práv a nedistributivních veřejných statků, lze konstatovat, že bez problémů vyhovuje požadavkům ústavní proporcionality a je tedy ústavně konformní.

5. Zhodnocení souladu navrhované právní úpravy s předpisy Evropské unie

Problematika kybernetické bezpečnosti je v současné době na úrovni EU průřezově řešena pouze předmětnou směrnicí. V této oblasti se jednalo o první právní předpis EU týkající se kybernetické bezpečnosti. ČR již v tomto ohledu část povinností stanovených směrnicí naplňovala – např. povinnost vytvoření národní strategie pro bezpečnost sítí a informačních systémů. Zbývající povinnosti, které nejsou upraveny již stávajícím zákonem o kybernetické bezpečnosti, do něj budou doplněny předloženým návrhem zákona, který je v plném souladu s požadavky směrnice. Podle čl. 25 odst. 1 směrnice jsou členské státy povinny do 9. května 2018 přijmout a zveřejnit právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Z hlediska ČR je nutno si uvědomit, že během tohoto období bude omezena činnost Poslanecké sněmovny PČR, a to kvůli volbám na podzim 2017. Z tohoto důvodu se NBÚ rozhodl přistoupit k brzké transpozici této směrnice, aby proces přijetí návrhu zákona nebyl výrazně opožděn z výše uvedených důvodů. Rozhodující je v tomto ohledu i další lhůta, kterou stanoví směrnice pro určení provozovatelů základních služeb (čl. 5 odst. 1 směrnice), která je stanovena na 9. listopad 2018. Na základě již získaných zkušenostní s určováním prvků kritické informační infrastruktury si je totiž NBÚ vědom zdlouhavosti a náročnosti celého procesu určování. Je tedy nanejvýše vhodné, aby tento proces mohl započnout co nejdříve.

S touto problematikou však souvisejí i další právní předpisy EU, které jsou zaměřeny na konkrétní sektorové úpravy. Jedná se v tomto ohledu zejména o problematiku služeb elektronických komunikací, poskytovatelů služeb vytvářejících důvěru, oblast ochrany osobních údajů a kybernetickou trestnou činnost.

Předmětná směrnice, a tedy i návrh zákona, přímo souvisí s těmito právními předpisy EU:

- Směrnice Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice), ve znění směrnice 2009/140/ES,

- Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 z dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, ve znění nařízení č. 1007/2008,

- Nařízení Evropského parlamentu a Rady (EU) č. 526/2013 ze dne 21. května 2013 o Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA) a o zrušení nařízení (ES) č. 460/2004,

- Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),

- Směrnice Evropského parlamentu a Rady 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES (dále jen „revidovaná směrnice o platebních službách“),

- Směrnice Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu,

- Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV,

- Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV,

- Směrnice Evropského parlamentu a Rady (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti technických předpisů a předpisů pro služby informační společnosti,

- Směrnice Evropského parlamentu a Rady 2013/11/EU ze dne 21. května 2013 o alternativním řešení spotřebitelských sporů a o změně nařízení (ES) č. 2006/2004 a směrnice 2009/22/ES (směrnice o alternativním řešení spotřebitelských sporů),

- Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků.

Ze shora uvedených dokumentů se kybernetické bezpečnosti přímo dotýká pouze rámcová směrnice, nařízení eIDAS a revidovaná směrnice o platebních službách. Tyto právní předpisy upravují oblast kybernetické bezpečnosti pro úzce vymezený okruh subjektů. V případě rámcové směrnice se tak úprava dotýká pouze podniků zajišťujících veřejné komunikační sítě nebo poskytující veřejně dostupné služby elektronických komunikací, v případě nařízení eIDAS poskytovatelů služeb vytvářejících důvěru a v případě revidované směrnice o platebních službách internetových platebních bran. Směrnice v tomto ohledu stanoví konkrétní výjimky pro subjekty regulované podle rámcové směrnice a nařízení eIDAS, kdy tyto subjekty nebudou spadat pod regulaci směrnice, potažmo tedy návrhu zákona, nýbrž pod regulaci jednotlivých odvětvových právních předpisů. Nebylo tedy z tohoto hlediska nutné přistoupit k revizi odvětvových právních předpisů, případně zavádět regulaci těchto subjektů do zákona o kybernetické bezpečnosti. Pro ostatní subjekty, které jsou již regulovány zvláštní odvětvovou legislativou, platí obecná výjimka z režimu směrnice na základě klauzule lex specialis, která se ale uplatňuje pouze tehdy, pokud jsou požadavky odvětvového právního aktu EU co do účinku přinejmenším rovnocenné povinnostem stanoveným ve směrnici.

Ostatní uvedené dokumenty se problematiky kybernetické bezpečnosti dotýkají pouze v širších souvislostech a do návrhu zákona o kybernetické bezpečnosti proto nejsou transponovány.

Mezi další dokumenty EU, které upravují oblast kybernetické bezpečnosti a související otázky, patří Strategie kybernetické bezpečnosti Evropské unie: Otevřený, bezpečný a chráněný kyberprostor a Strategie pro jednotný digitální trh v Evropě.

Na základě výše uvedených skutečnostní lze konstatovat, že navrhovaná právní úprava je plně slučitelná s předpisy EU.

5.1 Stanovisko Evropské komise

Během přípravy návrhu zákona se NBÚ rovněž obrátil na Komisi se žádostí o výklad týkající se dvou problematických oblastí.

První se týkala uložení povinnosti poskytovatelům digitálních služeb poskytovat kontaktní údaje. Tato povinnost jim není uložena samotnou směrnicí. Příslušné vnitrostátní orgány, tedy NBÚ, mají mít však podle směrnice pravomoci a prostředky nezbytné pro vynucování plnění povinností uložených směrnicí. Komise se v tomto ohledu vyjádřila, že pokud je to náležitě zdůvodněno jako požadavek pro zajištění bezpečnosti, lze do národní legislativy zahrnout povinnost poskytovatele digitálních služeb oznámit kontaktní osobu, tedy poskytnout kontaktní údaje.

Druhá oblast se pak vztahovala k problematice cloud computingových služeb, konkrétně, zda by poskytovatelé těchto služeb mohli být určeni jako prvek kritické informační infrastruktury, čímž by podléhali přísnějším pravidlům, než dovoluje směrnice. Komise se v tomto ohledu vyjádřila, že směrnice umožňuje členským státům zavázat provozovatele základních služeb, kteří využívají služeb cloudu, k povinnosti sjednat si smluvně s poskytovatelem tohoto cloudu takové podmínky, aby byly splněny nezbytné požadavky, které provozovatelům základních služeb ukládá směrnice. Odpovědnost za incidenty však vždy nese provozovatel základních služeb, respektive správce informačního nebo komunikačního systému kritické informační infrastruktury.

5.2 Činnost dalších orgánů a skupin EU

NBÚ kontinuálně sleduje činnost kooperačních struktur EU (Skupiny pro spolupráci, Síť CSIRT) a agentury ENISA, stejně jako dalších platforem určených pro spolupráci v kybernetické bezpečnosti (např. Skupina pro spolupráci aj.), a aktivně se do činnosti těchto orgánů a skupin zapojuje, přičemž

JOIN(2013) 1 final. COM(2015) 192 final.

v případě vzniku relevantních výstupů z jejich činnosti je NBÚ připraven přijmout vhodná opatření, aby tyto výstupy byly na národní úrovni náležitě zohledněny.

6. Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, kterými je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách

Na mezinárodní úrovni zatím žádná komplexní právní úprava kybernetické bezpečnosti neexistuje. Je však již k dispozici celá řada mezinárodních právních předpisů a koncepčních dokumentů upravujících buď partikulární aspekty kybernetické bezpečnosti, nebo oblasti s ní úzce související. Jedná se v tomto ohledu zejména o dokumenty týkající se problematiky kybernetické trestné činnosti a kybernetické války. Prvním z nich je Úmluva Rady Evropy o kybernetické kriminalitě, druhým je Tallinnský manuál, který se zabývá aplikovatelností principů mezinárodního práva na kybernetickou válku.

Z hlediska ochrany lidských práv a základních svobod cílí dopady navrhované úpravy zejména na ochranu práva na informační sebeurčení a nedistributivních práv ČR, konkrétně práva státu na zajištění vnitřní bezpečnosti, na ochranu základních funkcionalit státu a na ochranu před škodlivými následky výjimečných stavů. Směrnice, a tudíž i návrh zákona, za tímto účelem ctí zásady přiznávané především Listinou základních práv Evropské unie, zejména právo na respektování soukromého života a komunikace, ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Obdobně je návrh zákona slučitelný i s požadavky Úmluvy o ochraně lidských práv a základních svobod a jejích protokolů.

Na základě výše uvedených skutečnostní lze konstatovat, že návrh zákona je plně v souladu s mezinárodními smlouvami, jimiž je ČR vázána.

7. Zhodnocení předpokládaného hospodářského a finančního dopadu navrhované právní úpravy

7.1 Dopady na státní rozpočet a ostatní veřejné rozpočty

Významné dopady na státní rozpočet lze očekávat tehdy, pokud by regulované subjekty byly orgány státní správy, popřípadě by pod tyto orgány spadaly. Orgány veřejné moci jsou však již ve většině případů určenými orgány a osobami podle stávajícího režimu zákona o kybernetické bezpečnosti a plní povinnosti jím stanovené.

Případný rozsah finančních dopadů je však možné dovodit i z nákladů vynaložených již regulovanými orgány a osobami podle zákona o kybernetické bezpečnosti. Na základě premisy, že míra povinností stanovená pro provozovatele základní služby, respektive pro správce a provozovatele informačního systému základní služby, je stejná jako pro subjekty kritické informační infrastruktury, tak lze dovodit,

Úmluva Rady Evropy o kybernetické kriminalitě č. 185 ze dne 23. listopadu 2001, publikovaná pod č. 104/2013 Sb.m.s.

že náklady vzniklé již regulovaným prvkům kritické informační infrastruktury jsou porovnatelné s náklady, které vzniknou provozovatelům základních služeb a správcům a provozovatelům informačních systémů základních služeb.

V rámci zjišťování údajů o případných nákladech na implementaci bezpečnostních opatření tak byly v průběhu dubna 2016 osloveny subjekty, které jsou již regulovány podle stávající právní úpravy zákona o kybernetické bezpečnosti.

Ze získaných dat vyplynulo, že souhrnné náklady na zavádění technických opatření podle zákona o kybernetické bezpečnosti činily na 77 systémů kritické informační infrastruktury a významných informačních systémů téměř 95 milionů Kč. K provádění organizačních opatření podle zákona o kybernetické bezpečnosti pak bylo podle správců vydáno celkem 23 milionů Kč na zmíněných 77 systémů. Tyto náklady jsou počítány za první rok od určení, tj. ve lhůtě stanovené pro zavádění bezpečnostních opatření.

Lze tedy uvést, že průměrně náklady na zavedení technických opatření na jeden významný informační systém nebo informační nebo komunikační systém kritické informační infrastruktury vycházejí přibližně na 1 233 tis. Kč a organizační opatření pak vycházejí na cca 300 tis. Kč. Je však nutno zmínit, že jde o velmi hrubé odhady, neboť někteří správci nebyli schopni náklady na zavádění zákonných opatření přesně vyčíslit.

Tabulka č. 1 – shrnutí nákladů na zavádění bezpečnostních opatření v informačních a komunikačních

systémech kritické informační infrastruktury a významných informačních systémech podle stávajícího zákona o kybernetické bezpečnosti

Průměrné

PočetCelkemPrůměrné náklady nanáklady na

Celkem technická

uvažovanýchorganizačnítechnická opatření naorganizační

opatření na 77

systémů KII iopatření na 77jeden systém KIIopatření na jeden

systémů KII a VIS

VISsystémů KII a VISnebo VISsystém KII nebo

VIS

77 94 939 839 Kč 23 226 539 Kč 1 232 985 Kč 301 643 Kč

Je však nutno podotknout, že další náklady budou spojené i se zajišťováním odpovídajících technologií. V budoucnosti tak povinné subjekty musejí počítat i s dalšími náklady spojenými s údržbou systémů a výměnou technických zařízení.

Vzhledem k charakteru informací, které oslovené subjekty poskytly, není výpočet rozdělen na systémy kritické informační infrastruktury a významné informační systémy, neboť některá opatření a tedy i náklady jsou sdílené pro kritickou informační infrastrukturu i pro významné informační systémy.

Rovněž je nutno zohlednit, že povinnosti kladené na regulované orgány a osoby vyžadují odborné znalosti, a proto bude nezbytné, aby nově uložené úkoly a povinnosti zabezpečovali kompetentní pracovníci, což s sebou může přinést nutnost navyšování počtu služebních či pracovních míst, případné i další požadavky na prostorové, technické a materiální vybavení. Zejména se jedná o zabezpečení bezpečnostních rolí, kterými jsou manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, auditor kybernetické bezpečnosti a garant aktiva. Zároveň musí povinné orgány a osoby určit výbor pro řízení kybernetické bezpečnosti. Je na rozhodnutí povinných subjektů, zda výše uvedené bezpečnostní role obsadí již stávajícími zaměstnanci, nebo případně obsadí dané pozice nově, anebo zařídí plnění daných povinností externími subjekty. Důležité však je, aby dané osoby splňovaly požadavky podle vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti), a aby povinný orgán nebo osoba zajistil odborné školení těchto osob, s čímž budou spojeny další náklady.

Pro stanovení nákladů je navíc nutno zvážit i počáteční úroveň zabezpečení a není vyloučeno, že některá opatření by správci zavedli sami o své vůli i bez existence zákonné úpravy, případně, že by některým subjektům nevznikly žádné finanční náklady, neboť by daná opatření stejně zavedly v rámci řízení rizik či zavádění ISMS. Tyto uvedené faktory NBÚ zohlednil v rámci dotazníkového průzkumu prováděného mezi členy pracovní skupiny I, z kterého vyplynulo, že v závislosti na provádění povinností uložených zákonem o kybernetické bezpečnosti je zabezpečení informačních systémů hodnoceno jako poměrně vysoké, přičemž náklady na doplnění bezpečnostních opatření na úroveň stanovenou pro správce a provozovatele informačního systému základní služby by činily v průměru na jeden subjekt cca 6 mil. Kč, pokud by požadovaná úroveň zabezpečení byla nastavena na úrovni významných informačních systémů, nebo cca 11,5 mil. Kč , pokud by byla požadována stejná úroveň zabezpečení jako pro kritickou informační infrastrukturu.

Na druhou stranu lze očekávat rovněž zvýšení rozpočtových nákladů u orgánu státní správy odpovědného za výkon státní správy v oblasti kybernetické bezpečnosti, kterým je NBÚ. Směrnice totiž ukládá ČR, aby zajistila, že příslušné orgány a týmy CERT disponují odpovídajícími zdroji pro účinné plnění svěřených úkolů. V případě NBÚ tak bude nutné navýšit rozpočet na pokrytí personálního zajištění nově vzniklých agend, kterými budou určování provozovatelů základních služeb, výkon kompetencí jednotného kontaktního místa, výkon kontroly u provozovatelů základních služeb, správců a provozovatelů informačních systémů základních služeb a poskytovatelů digitálních služeb, a v případě vládního CERT pak podpora a pomoc při řešení incidentů provozovatelů základních služeb a správců a provozovatelů informačních systémů základních služeb a rozšíření provozu dohledového pracoviště na službu 24/7. V souvislosti s rozšiřováním stavu zaměstnanců by pak mohly vzniknout i nové požadavky na prostorové, technické a materiální vybavení.

Jedná se o meziresortní pracovní skupinu svolanou NBÚ v průběhu vytváření návrhu zákona. Více viz RIA. Jedná se o souhrnnou částku, která se skládá z nákladů provozních, investičních a mzdových. V usnesení vlády České republiky ze dne 1. července 2015 č. 520 schválila vláda posílení kapacity NBÚ v oblasti kybernetické bezpečnosti o 8 funkčních míst v roce 2016, o 8 funkčních míst v roce 2017 a o 8 funkčních mít v roce 2018 a zvýšení rozpočtu kapitoly NBÚ o 48,9 mi. Kč v roce 2016, o 49 mil. Kč v roce 2017 a o 50 mil. Kč v roce 2018.

V rámci státní správy s sebou další náklady ponese navíc i navýšení horní hranice pokut za neplnění povinností uložených zákonem o kybernetické bezpečnosti. Např. pokud povinný orgán nebo osoba nezavedou, nebo neprovádí bezpečnostní opatření, anebo nevedou bezpečnostní dokumentaci, může jim nově být uložena pokuta až do výše 5 mil. Kč. Výše konkrétních pokut však bude posuzována v závislosti na dalších okolnostech v rámci správního uvážení, přičemž Úřad bude vždy brát na zřetel, že pro daný subjekt nesmí být taková pokuta likvidační.

Lze tedy očekávat, že navrhovaná právní úprava s sebou ponese zvýšené finanční a personální dopady, které budou muset být pokryty z rozpočtových kapitol příslušných resortů.

7.1.1 Dopady na územní samosprávné celky

Návrh zákona představuje transpoziční novelu směrnice, která je zaměřena na zabezpečení informačních systémů provozovatelů základních služeb (v případě návrhu zákona pak ještě správců a provozovatelů informačních systémů základních služeb) a poskytovatelů digitálních služeb. Územní samosprávné celky mohou být touto novou regulací zasaženy tehdy, pokud naplňují definice a určující kritéria výše uvedených subjektů. V takovém případě by musely plnit povinnosti stanovené pro danou kategorii orgánů a osob podle zákona o kybernetické bezpečnosti, přičemž náklady na zabezpečení informačních systémů by byly v podobné výši, jako je shora uvedeno u státních informačních systémů.

7.2 Dopady na podnikatelské prostředí ČR

S ohledem na stanovení nových povinností provozovatelům základních služeb, správcům a provozovatelům informačních systémů základních služeb a poskytovatelům digitálních služeb jsou předpokládány zvýšené dopady na podnikatelské prostředí ČR a na soukromý sektor celkově.

Jak je již uvedeno v předešlé části, lze očekávat, že náklady pro nově regulované subjekty budou srovnatelné s náklady již vynaloženými orgány a osobami regulovanými podle stávajícího znění zákona o kybernetické bezpečnosti, konkrétně správci informačních a komunikačních systémů kritické informační infrastruktury. I na podnikatelské prostředí mohou být tedy aplikována data získaná z výše uvedeného průzkumu provedeného mezi již regulovanými orgány a osobami, z kterého vyplynulo, že průměrné náklady na zavádění bezpečnostních opatření pro jeden informační systém byly asi 1,5 mil. Kč. Na základě dalšího průzkumu provedeného mezi členy pracovní skupiny II, sestávající se ze zástupců firem a odborné veřejnosti, bylo zjištěno, že při započítání dalších nákladů, jako jsou náklady na personální zajištění, náklady na investice a dále náklady na samotný provoz lze předpokládat, že tyto náklady mohou v průměru vyšplhat až na 24 mil. Kč na jeden regulovaný subjekt. Je však nutno si uvědomit, že tato výše nákladů je závislá na počtu využívaných informačních systémů a současném stavu jejich zabezpečení, přičemž z uvedeného dotazníkového šetření bylo zjištěno, že toto zabezpečení je v průměru hodnoceno na velmi vysoké úrovni a subjekty ze značné části již bezpečnostní opatření provádějí. Lze tedy obecně očekávat náklady spíše nižší. Vyšší náklady však mohou vzniknout v sektorech, které doposud nebyly předmětem žádné regulace a u kterých

Viz RIA, kapitola 7. 3 Pracovní skupina II.

není na zabezpečení informačních systémů kladen velký důraz. Některé ze sektorů se totiž již částečně kryjí s kritickou informační infrastrukturou. Výraznější nárůst tak lze očekávat zejména v sektorech, které nejsou pokryty krizovým zákonem.

Návrh tedy vychází z premisy, že dotčené subjekty již uvažovaná bezpečnostní opatření z velké části používají a náklady pokryjí z finančních prostředků vynakládaných na ICT. Dalším způsobem financování těchto nákladů je možné čerpáním finančních prostředků z fondů Evropské unie.

Tabulka č. 2 – hrubý odhad maximálního počtu nově regulovaných subjektů v jednotlivých odvětvích

Odvětví PZS KII Odhad počtu PZS (správců IS ZS)

1. Energetika ANO 10 2. Doprava ANO 10 3. Bankovnictví ANO 10 4. Infrastruktura finančních trhů NE 3 5. Zdravotnictví NE 20 6. Vodní hospodářství ANO 20 7. Digitální infrastruktura NE 10 8. Chemický průmysl NE 10

Dále je nutno zdůraznit, že jednotlivé oblasti s sebou nesou určitá specifika, která mohou značně ovlivňovat dopady navrhované regulace. Např. v odvětví energetiky budou muset regulované subjekty projednávat náklady a investice vyplývajících z novely zákona o kybernetické bezpečnosti s Energetickým regulačním úřadem, jakožto správním orgánem pro výkon cenové regulace v energetice. Lze předpokládat, že náklady vyvolané novelou zákona o kybernetické bezpečnosti by mohly být pro účely regulace cen považovány za ekonomicky oprávněné náklady (uznatelné náklady na implementaci právních předpisů) a že by tak mohlo dojít k tomu, že investice realizované za účelem splnění povinností stanovených novelou zákona o kybernetické bezpečnosti budou uznatelnou součástí regulační báze aktiv regulovaného subjektu.

Navíc i v případě soukromé sféry vzniknou další náklady zvýšením požadavků na odbornost zaměstnanců, zejména s ohledem na povinnost zajištění bezpečnostních rolí a výboru pro řízení kybernetické bezpečnosti, a navýšením horní hranice pro ukládání pokut za správní delikty.

V obecné rovině může předmětný návrh zákona potenciálně znevýhodnit menší subjekty, které nedisponují dostatečnými finančními prostředky pro zavedení a provádění všech uložených povinností. Toto platí především pro implementaci bezpečnostních opatření, která může být značně

Jedná se o hrubé odhady založené na dosavadních zkušenostech s určováním subjektů kritické informační infrastruktury. Zároveň je nutno zdůraznit, že proces určování kritické informační infrastruktury není doposud ukončen, je tudíž pravděpodobné, že část subjektů spadajících do výše uvedených oblastí bude určena v rámci režimu krizového zákona. Více viz 7.1 Dopady na státní rozpočet a ostatní veřejné rozpočty.

administrativně i finančně náročná, a to zejména pokud povinné subjekty zabezpečení svých informačních systémů doposud nijak neřešily. Pro zamezení tohoto efektu však mají sloužit nástroje selekce, kterými jsou u provozovatelů základních služeb určovací kritéria, a u poskytovatelů digitálních služeb přesně nastavené definice a plošná výjimka pro mikropodniky a malé podniky ve smyslu doporučení Komise č. 2003/361/ES o definici mikropodniků, malých a středních podniků.

V praxi by tak z regulace měly být vyloučeny ty subjekty, které nedosahují stanoveného stupně významnosti, co se týče jejich dopadů, popřípadě nejsou dostatečně velké.

Na druhou stranu je však očekáváno posílení podnikatelského prostředí. Návrhem zákona je totiž garantována určitá úroveň zabezpečení informačních systémů u přesně stanoveného okruhu subjektů. Zvýšení zabezpečení pak přispěje k budování důvěry spotřebitelů a obchodních partnerů, případně i zahraničních investorů, které může přilákat právě vysoká míra bezpečnosti českého ICT prostředí. Právě naopak nezavedením uvedených povinností by čeští podnikatelé zaostávali za podnikateli ostatních členských států, což by mohlo vést ke ztrátě jejich klientely a zhoršení konkurenceschopnosti jako takové.

Navíc není možno přehlédnout, že zavedením bezpečnostních opatření a plněním dalších povinností podnikatelé minimalizují riziko vzniku kybernetických bezpečnostních incidentů, které mohou značně narušit fungování jimi provozovaných a poskytovaných služeb. Tím bude tedy zabráněno i vzniku rozsáhlých finančních ztrát a poškození dobrého jména, které by mohlo být ve výjimečných případech až fatální.

7.3 Sociální dopady

Nepředpokládají se negativní sociální dopady, neboť nedochází ke snížení úrovně ochrany zaměstnanců., rodin nebo specifických skupin obyvatel (osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny).

7.4 Dopady na životní prostředí

Daný návrh zákona se zaměřuje zejména na posílení nastavení základních pilířů kybernetické bezpečnosti v ČR a rozšíření působnosti zákona o kybernetické bezpečnosti. Vzhledem k zásadě technologické neutrality, na které jsou zákon o kybernetické bezpečnosti i směrnice postaveny, nepředepisuje návrh zákona žádná konkrétní technologická řešení, nepředpokládají se tedy dopady na životní prostředí.

7.5 Dopady na spotřebitele

Navrhovaná právní úprava nepředpokládá žádné přímé dopady na spotřebitele. Co se týče dopadů, jež by se mohly spotřebitele dotknout nepřímo, bude zlepšením bezpečnosti zvýšena především kvalita poskytovaných služeb. Dále je nutno podotknout, že směrnice cílí na ochranu a podporu fungování vnitřního trhu EU. Splněním ukládaných povinností tedy dojde i ke zlepšení úrovně poskytovaných služeb ve všech základních sledovaných parametrech bezpečnosti informací, a to napříč všemi členskými státy. Občanům ČR, potažmo EU, tak bude garantována vysoká úroveň zabezpečení služeb v rámci celého prostoru EU.

Zároveň bude mít zlepšení zabezpečení informačních systémů pozitivní vliv na ochranu osobních údajů, které jsou mnohdy zejména v souvislosti s poskytováním digitálních služeb informačními systémy zpracovávány a uchovávány. Na druhou stranu se však vynaložené náklady mohou odrazit na cenách poskytovaných služeb, což však s ohledem na konkurenční prostředí nemusí nastat.

8. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů

Z hlediska ochrany soukromí a osobních údajů nebyly identifikovány žádné negativní dopady. Právě naopak směrnice ukládá povinnou spolupráci vnitrostátních příslušných orgánů (NBÚ) s orgány pro ochranu osobních údajů, což je náležitě transponováno i do návrhu zákona. Rovněž se dá očekávat, že posílení zabezpečení důležitých informačních systémů povede k posílení ochrany osobních údajů, a to zejména s ohledem na regulaci poskytovatelů digitálních služeb, kteří zpravidla osobní údaje v rámci poskytování svých služeb zpracovávají a uchovávají.

9. Zhodnocení korupčních rizik – CIA

Navrhovaná právní úprava zasahuje do právních vztahů upravených správním právem a řeší veřejnoprávní instituty. Jedná se tedy o sféru práva, která je doménou rozhodování orgánů veřejné správy.

Předkladatel provedl zhodnocení korupčních rizik ve smyslu čl. 9 odst. 2 písm. i) Legislativních pravidel vlády. Předkládaný návrh je svým rozsahem přiměřený cílům, k nimž je předkládán.

9.1 Přiměřenost

Předložený návrh zákona je vyhotoven v intencích transponované směrnice. Zároveň obsahuje ještě řešení některých otázek, které v současné praxi vytvářejí problémy při aplikaci zákona o kybernetické bezpečnosti. Rozsah povinností a rozšíření působnosti zákona o kybernetické bezpečnosti jsou však přiměřené, zejména s ohledem na rizika a dopady, které by vznikly netransponováním směrnice a neodstraněním současných legislativních nedostatků. Předmětný návrh je tedy svým rozsahem přiměřený množině vztahů, které má upravovat.

Oblast kybernetické bezpečnosti byla dosud regulována zákonem o kybernetické bezpečnosti a částečně i dalšími právními předpisy. Zákon o kybernetické bezpečnosti se však doposud soustředil pouze na informační a komunikační systémy důležité pro fungování státu a veřejné správy, nikoli však na informační systémy, na nichž jsou závislé služby důležité spíše na regionální úrovni. Tím byla ze systému kybernetické bezpečnosti v ČR vyjmuta podstatná část informačních a komunikačních systémů, jejichž zasažení incidenty může mít významné dopady na společnost a ekonomiku.

Návrhem zákona je tudíž prohlouben rozsah zajištění kybernetické bezpečnosti v ČR a celkově dojde k posílení bezpečnosti informačních systémů. Opatření navrženého zákona tak odpovídají požadavku na přiměřenost zásahu do osobnostních práv, zejména do práva na informační sebeurčení a s ním souvisejících základních práv (např. vlastnické právo). Stále však platí v tomto ohledu jeden ze základních principů zákona o kybernetické bezpečnosti, tj. princip autonomie vůle regulovaných subjektů. Prostředky vynaložené na zabezpečení příslušných informačních systémů tak budou použity v přímém vztahu ke konkrétním potřebám orgánů a osob, tj. zpravidla účelně a hospodárně.

Kompetence státních orgánů nejsou návrhem zákona nijak významně rozšířeny. Rozsah úkolů orgánů státní správy zůstává z velké části nezměněn, významné je však rozšíření působnosti na nově regulované subjekty. Úřad by tak měl na základě návrhu zákona nově určovat provozovatele základních služeb a vykonávat funkci jednotného kontaktního místa. Podpora a pomoc při řešení incidentů provozovatelů základních služeb a správců a provozovatelů informačních systémů základních služeb pak připadne vládnímu CERT a u poskytovatelů digitálních služeb národnímu CERT.

9.2 Efektivita

Efektivní implementace povinností stanovených zákonem o kybernetické bezpečnosti je průběžně vyhodnocována NBÚ. V březnu 2016 byl rozeslán dopis ředitele NBÚ zástupcům odborné veřejnosti se žádostí o sdělení případných nedostatků, které byly zjištěny aplikací zákona o kybernetické bezpečnosti. Zároveň byl na NBÚ vytvořen dokument Bílá místa kybernetické bezpečnosti České republiky, jehož cílem bylo zmapovat nejenom oblasti problematické při aplikaci zákona o kybernetické bezpečnosti, ale i oblasti, které pod současný systém kybernetické bezpečnosti ČR vůbec nespadají, přičemž bylo mezinárodní komparací a konzultacemi s odbornou veřejností zjištěno, že by jejich regulace byla nanejvýše žádoucí. Tento materiál byl schválen vládou jejím usnesením ze dne 24. srpna 2016 č. 725.

Povinnosti stanovené návrhem zákona budou posléze implementovány, kontrolovány a vynucovány na základě přijatého zákona a jeho prováděcích právních předpisů. Kontrolování a vynucování dodržování regulace kybernetické bezpečnosti již v současné době funguje u kritické informační infrastruktury a významných informačních systémů. V tomto ohledu lze tedy předpokládat, že pro provozovatele základních služeb, správce a provozovatele informačních systémů základních služeb a poskytovatele digitálních služeb bude systém nastaven obdobně. Za účelem dosažení odpovídajícího efektu finančních sankcí obsahuje návrh zákona i jejich zvýšení z původní horní hranice 100 tis. Kč až na 5 mil. Kč v případě neplnění povinnosti zavést a provádět bezpečnostní opatření a vést o nich bezpečnostní dokumentaci.

Pracovníci NBÚ navíc kontinuálně sledují a vyhodnocují účinnost bezpečnostních opatření v závislosti na vývoji průmyslových standardů a standardizovaných postupů v rámci řízení bezpečnosti informací a obecně akceptovaných doporučených postupů (best practices), jakož i hodnotí efektivitu právní úpravy jako celku.

Přezkum účinnosti samotné evropské směrnice pak spadá do pravomoci Komise, která bude přezkoumávat i konzistentnost určování provozovatelů základních služeb napříč členskými státy.

9.3 Odpovědnost

Podle zákona o kybernetické bezpečnosti náleží výkon státní správy v oblasti kybernetické bezpečnosti NBÚ, přičemž zákon jednoznačně stanoví jeho kompetence a postavení v této oblasti. Navrhovaným zákonem nedochází k hlubší změně vymezení odpovědnosti. NBÚ bude tedy rozhodovat o určení provozovatelů základních služeb. Rovněž bude disponovat kontrolní i donucovací pravomocí jak vůči provozovatelům základních služeb a správcům a provozovatelům informačních systémů základních služeb, tak i vůči poskytovatelům digitálních služeb. V neposlední řadě bude vykonávat i úkoly jednotného kontaktního místa.

V tomto ohledu nedochází k nadměrnému soustředění pravomocí u NBÚ. Vzhledem ke zkušenostem, které již pracovníci NBÚ se zajišťováním kybernetické bezpečnosti mají, k vysoké míře znalostí a zkušeností nutných pro efektivní spravování této agendy a k nedostatku nabídky pracovní síly těmito znalostmi a zkušenostmi disponující, je nanejvýše vhodné, aby tato agenda byla NBÚ ponechána, a nebyla zbytečně štěpena mezi vícero příslušných orgánů. V úvahu by připadalo pouze sektorové rozdělení působnosti, to však není nutné vzhledem k tomu, že povinné orgány a osoby jsou již v současné době rozděleny do působnosti dvou dohledových pracovišť CERT, která zajišťují podporu a pomoc při řešení kybernetických bezpečnostních incidentů, a navíc mezi sebou intenzivně spolupracují. Zároveň bude díky soustředění pravomoci v rámci NBÚ vždy snazší jednoznačně určit osobu zodpovědnou za konkrétní rozhodnutí. Tou bude téměř vždy zaměstnanec NBÚ.

9.4 Opravné prostředky

Zákon o kybernetické bezpečnosti ve spojení s obecnými právními předpisy upravujícími správní řízení a předpisy upravujícími výkon státní kontroly umožňuje orgánům a osobám účinnou obranu proti nesprávnému postupu orgánu veřejné správy a rovněž opravňuje orgány a osoby k podání řádných i mimořádných opravných prostředků proti závazným aktům vydaným NBÚ. Prokazatelné poučení o možnosti podat opravný prostředek pak vyplývá z obecného právního předpisu, zákona č. 500/2004 Sb., správního řádu, ve znění pozdějších předpisů (dále jen „správní řád“). Podle současného znění zákona o kybernetické bezpečnosti doplněného o návrh zákona bude NBÚ oprávněn vydávat následující závazné právní akty, proti nimž lze podat tyto opravné prostředky:

a) Určení prvku kritické informační infrastruktury – určení prvku kritické infrastruktury, jehož provozovatelem není organizační složka státu, činí NBÚ opatřením obecné povahy, proti němuž mohou dotčené osoby uplatnit námitky nebo připomínky, a to po vydání jeho návrhu. Rovněž není vyloučena možnost obrátit se na soud se žádostí o soudní přezkum zákonnosti aktů vydaných NBÚ.

b) Určení provozovatele základních služeb – provozovatele základních služeb bude NBÚ určovat rozhodnutím, proti kterému však nebude přípustný rozklad, aby bylo předcházeno neodůvodněnému prodlužování celého procesu určení.

c) Reaktivní opatření – reaktivní opatření bude vydáváno ve formě rozhodnutí (případně rozhodnutí na místě) nebo opatření obecné povahy. Proti rozhodnutí návrh zákona umožňuje podat rozklad, který z důvodu nutnosti účinné reakce na kybernetický bezpečnostní incident, jakož i z důvodu ochrany kybernetického prostoru nebude mít odkladný účinek. Před vydáním reaktivního opatření ve formě opatření obecné povahy sice nebude vedeno námitkové a připomínkové řízení podle správního řádu, připomínky však bude možno vůči vydanému opatření obecné povahy uplatnit po jeho vydání. Ochrana práv orgánů a osob je dále zajištěna možností obrátit se na soud s žádostí o soudní přezkum aktů vydaných NBÚ.

d) Ochranné opatření – ochranné opatření bude vydáváno ve formě opatření obecné povahy. Před vydáním opatření obecné povahy sice nebude vedeno námitkové a připomínkové řízení podle správního řádu, avšak připomínky bude možno vůči vydanému opatření obecné povahy uplatnit po jeho vydání. Ochrana práv orgánů a osob je dále zajištěna možností obrátit se na soud s žádostí o soudní přezkum zákonnosti aktů vydaných NBÚ.

e) Nápravná opatření – limity nápravných opatření jsou upraveny přímo v § 24 zákona o kybernetické bezpečnosti. Obsah a rozsah nápravných opatření přitom musí respektovat zásadu proporcionality. Nápravná opatření lze vydat pouze v rámci výkonu kontroly podle kontrolního řádu, který obsahuje ustanovení chránící práva orgánu a osoby při výkonu kontroly.

f) Rozhodnutí o správním deliktu – jedná se o typické rozhodnutí vydané podle správního řádu, proti kterému lze podat rozklad, jež má odkladný účinek, jakož i další opravné prostředky podle správního řádu. Rovněž nebude vyloučena možnost soudního přezkumu rozhodnutí vydaných NBÚ.

9.5 Kontrolní mechanismy

Zákon o kybernetické bezpečnosti rozlišuje pět kategorií orgánů a osob, kterým v závislosti na důležitosti jejich informačních systémů nebo služeb a sítí elektronických komunikací ukládá explicitně stanovené povinnosti. Návrh zákona dále rozšiřuje působnost zákona o kybernetické bezpečnosti o další tři kategorie orgánů a osob. V zákoně o kybernetické bezpečnosti i v návrhu zákona je jednoznačně stanovena odpovědnost provozovatelů základních služeb za kontinuitu poskytování těchto služeb, správců informačních nebo komunikačních systémů za bezpečnost jejich systémů (u informačních systémů základních služeb se tato povinnost vztahuje i na provozovatele takového systému) a v případě digitálních služeb se pak jedná o poskytovatele těchto služeb.

Návrh zákona nastavuje funkční systém přezkoumávání rozhodnutí přijímaných na jeho základě (viz výše – možnost podat řádné i mimořádné opravné prostředky včetně možnosti soudního přezkumu). Návrh zákona dále stanoví skutkové podstaty správních deliktů spočívající v porušení povinností uložených tímto zákonem nebo na jeho základě. Sankce za správní delikty pak představují pokuty, jejichž výše je závislá na charakteru porušené povinnosti, přičemž správní delikty projednává a pokuty vybírá NBÚ. Právnické osoby a podnikající fyzické osoby pak za správní delikt neodpovídají, jestliže prokážou, že vynaložily veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránily.

Kontrolu činnosti NBÚ vykonává příslušná komise Poslanecké sněmovny Parlamentu České republiky podle § 145 až 147 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů.

9.6 Korupční rizika – poptávková a nabídková stránka

Návrh zákona zakládá nové povinnosti jasně vymezenému okruhu subjektů, v jejichž zájmu je ochrana a zajištění bezpečného kyberprostoru. Nelze proto předpokládat, že by prvotní reakcí regulovaných subjektů byla snaha o neplnění povinností stanovených zákonem nebo na jeho základě, neboť zabezpečení informačních systémů před kybernetickými bezpečnostními incidenty je zejména v jejich vlastním zájmu.

Povinnosti, které předmětný zákon primárně stanoví, spočívají v zavedení bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů, hlášení kontaktních údajů a provádění opatření, a to u správců a provozovatelů informačních systémů základních služeb v míře obdobné jako pro správce prvků kritické informační infrastruktury. Pro poskytovatele digitální služeb pak budou tyto povinnosti nastaveny v omezeném rozsahu a na provozovatele základních služeb se některé z nich nevztahují (např. aplikace bezpečnostních opatření).

U provozovatelů základních služeb a správců a provozovatelů informačních systémů základních služeb je celkově počítáno s desítkami až nižšími stovkami těchto subjektů. Vzhledem k tomu, že nejvýznamnější subjekty jsou již v současné době regulovány jakožto správci prvků kritické informační infrastruktury, není očekáváno, že by regulace dopadla na subjekty s významnou vyjednávací silou. Spíše se bude jednat o střední podnikatele, tj. subjekty zaměstnávající méně než 250 zaměstnanců, jejichž roční obrat nepřesahuje 50 milionů EUR nebo jejichž bilanční suma roční rozvahy nepřesahuje 43 milionů EUR, případně větší podnikatele a orgány veřejné moci regionální povahy. Provozovatelé základních služeb a správci a provozovatelé informačních systémů základních služeb se však mohou sdružovat, a mnohdy již sdružují, v asociacích, které intenzivně komunikují s veřejnou správou a vyvíjejí inciativy směřující k ovlivnění činnosti orgánů státní správy. Výše nákladů a rozsah změn vzniklých pro správce a provozovatele informačních systémů základních služeb pak závisí na míře bezpečnostních opatření, která již tyto subjekty přijaly dobrovolně, přičemž tato míra je napříč sektory značně rozdílná. Obecně lze však říci, že velká část klíčových subjektů již bezpečnostní opatření přijala a provádí, protože na bezpečnosti sítí elektronických komunikací a informačních systémů závisí kvalita poskytování jejich služeb. Navíc je nutno zmínit, že bezpečnost jako taková je u části provozovatelů základních služeb a správců nebo provozovatelů informačních systémů základních služeb regulována i jinými právními předpisy. Zároveň je nutno zdůraznit, že nastavení bezpečnostních opatření vychází z principů mezinárodní normy ISO/IEC 27001, tj. z bezpečnostních pravidel, jimiž se již v současné době většina subjektů, které budou podléhat regulaci předmětného návrhu zákona, řídí. Zavedení bezpečnostních opatření přitom nebude podléhat (na rozdíl od předmětné normy) žádnému certifikačnímu nebo akreditačnímu řízení. Správci a provozovatelé informačních systémů základních služeb budou tedy vést o zavedených bezpečnostních opatřeních příslušnou bezpečnostní dokumentaci a jejich aplikace bude podléhat pouze kontrole ze strany NBÚ.

V případě poskytovatelů digitálních služeb se jedná o zcela novou regulaci, která dopadne na střední podniky, větší podniky regionální povahy, ale i na ty největší podniky a mezinárodní korporace, které disponují velkým kapitálem a značnou vyjednávací silou. Tyto subjekty tak mohou ovlivňovat proces rozhodování orgánů veřejné správy, ať už vlastními prostředky nebo prostřednictvím asociací. Rovněž míra transparence těchto subjektů může být značně rozdílná, vzhledem k jejich velké variabilitě.

Poskytovatelé digitálních služeb jsou však zatíženi minimálními povinnostmi a kontrolní oprávnění NBÚ jsou vůči nim omezené. Navíc je možno předpokládat, že většina těchto subjektů již bezpečnost svých sítí elektronických komunikací a informačních systémů intenzivně řeší, a to v daleko větší míře, než požaduje návrh zákona. S garancí bezpečnosti totiž stojí a padá důvěra uživatelů digitálních služeb, kteří jsou velmi citliví zejména na zacházení s jejich osobními údaji. Možné dopady v případě kybernetického bezpečnostního incidentu by tak u těchto subjektů mohly být mnohonásobně vyšší, než náklady na zavádění bezpečnostních opatření a plnění dalších povinností podle návrhu zákona. V případě závažného narušení bezpečnosti by se pak mohlo jednat dokonce až o likvidační následky.

Povinnost hlásit kybernetické bezpečnostní incidenty a incidenty s významným dopadem na poskytování služeb je založena za účelem pomoci orgánům a osobám v případě výskytu kybernetického bezpečnostního incidentu a zároveň s cílem získat informace o takovém incidentu pro jeho další analýzu NBÚ, respektive vládním nebo národním CERT. NBÚ zde je v podstatě v roli pasivního příjemce s tím, že při příjmu hlášení kybernetických bezpečnostních incidentů nerozhoduje o právech a povinnostech orgánů a osob. Prostor pro vznik korupčního jednání zde tak reálně nemůže vzniknout.

Oproti tomu povinnost aplikovat reaktivní a ochranná opatření vydaná NBÚ by mohla být potenciální příčinou vzniku korupčního prostředí. Vzhledem ke skutečnosti, že tyto dva druhy opatření budou vydávaná formou rozhodnutí nebo opatření obecné povahy, které budou ukládat orgánům a osobám povinnosti, jež mohou představovat zvýšené náklady na bezpečnost jejich informačních systémů, případně omezení jejich činnosti a s tím spojené ztráty, lze předpokládat zvýšený zájem orgánů a osob na vydání takových opatření, která jejich případné finanční ztráty eliminují. V této rovině by tak povinné subjekty mohly vyvíjet snahu o ovlivnění některých opatření. Na řešení daného kybernetického bezpečnostního incidentu se však vždy bude podílet několik zaměstnanců NBÚ s odpovídající odbornou kvalifikací, což by mělo jednak přispět k vydání efektivních opatření, jakož i ke ztížení možného úmyslného ovlivňování jejich vydávání. Rozhodování pak není svěřeno nižším stupňům řízení a podílí se na něm pracovníci více organizačních celků NBÚ. Řešení kybernetických bezpečnostních incidentů je pak postaveno na porovnání vydaného opatření s jeho výsledkem po provedení orgánem a osobou, která je povinna zaslat NBÚ oznámení o provedení reaktivního opatření a jeho výsledek. Tímto opatřením tak dojde k výraznému zvýšení efektivity opatření a ke stanovení systému kontroly.

Co se týče navrhované úpravy horní hranice sankcí za nezavedení bezpečnostních opatření, nevedení bezpečnostní dokumentace nebo neprovedení nápravných opatření vydaných v rámci kontroly, je v této oblasti zvýšené riziko vzniku prostředí podněcujícího ke korupčnímu jednání, ať už ze strany účastníků řízení nebo úředních osob. Je však nutno uvést, že reálná výše pokuty je vždy závislá na závažnosti správního deliktu, zejména pak na způsobu jeho spáchání, způsobeným následkům a okolnostem, za nichž byl správní delikt spáchán. Uložení sankce blížící se horní hranici pokuty tak bude zvažováno v opravdu výjimečně závažných situacích, přičemž u většiny případů lze očekávat uložení sankcí o několik řádů nižších. Horní hranice sankcí tak má mít zejména odrazující efekt, přičemž NBÚ musí při rozhodování o konkrétní výši pokuty vždy brát v potaz, že daná pokuta nesmí být pro dotčený subjekt likvidační. Postup ve správním řízení pak bude probíhat podle správního řádu, tj. v rámci NBÚ se bude rozhodovat v prvním a druhém stupni, přičemž účastníci mají rovněž možnost uplatnění řádných i mimořádných opravných prostředků před soudem. Navíc bude do správního řízení vždy zapojeno několik zaměstnanců NBÚ s odpovídající odbornou kvalifikací, což by mělo jednak přispět k efektivitě celého procesu, jakož i ke ztížení možného úmyslného ovlivňování průběhu správního řízení.

9.7 Transparence a otevřená data

Na internetových stránkách vládního i národního CERT jsou již nyní zveřejňovány údaje o hrozbách a zranitelnostech v oblasti kybernetické bezpečnosti. Zákon o kybernetické bezpečnosti pak explicitně stanoví povinnost NBÚ zveřejňovat opatření vydávaná ve formě varování na internetových stránkách vládního CERT. Návrh zákona pak dále nově umožňuje informování veřejnosti o jednotlivých kybernetických bezpečnostních incidentech i v případech, že je to nezbytné k jejich řešení. Aby však byla co nejvíce zohledněna citlivá povaha těchto zveřejňovaných informací, může tak NBÚ učinit pouze po konzultaci s postiženým provozovatelem základních služeb, správcem nebo provozovatelem informačního systému základních služeb nebo poskytovatelem digitálních služeb. NBÚ bude v rámci tohoto rozhodování používat správní uvážení, přičemž faktor, že by daná informace mohla způsobit paniku nebo výrazně poškodit daný subjekt, bude brán vždy jako jeden z hlavních. Zároveň však tato úprava ani nevylučuje, aby před vydáním takovéto informace proběhly konzultace s věcně příslušným gestorem daného odvětví. Povinné subjekty, kterým bude na základě takového rozhodnutí uložena povinnost zveřejnit informace o incidentu, si navíc budou moci zvolit konkrétní podobu zveřejnění této informace.

Rovněž tak i určené prvky kritické informační infrastruktury a reaktivní a ochranná opatření vydaná ve formě opatření obecné povahy jsou zveřejňována na internetových stránkách a úřední desce NBÚ. Obdobný postup je předpokládán i v případě určování provozovatelů základních služeb.

Dále jsou zveřejňovány statistické údaje o kybernetických bezpečnostních incidentech, jakož i informace o uzavření veřejnoprávní smlouvy s provozovatelem národního CERT.

Naopak z důvodu ochrany oprávněných zájmů orgánů a osob, jakož i zajištění účinnosti vydaných opatření nebude NBÚ některé údaje povinen poskytovat podle zákona o svobodném přístupu k informacím (např. informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo by ohrozila účinnost opatření vydaného podle zákona o kybernetické bezpečnosti).

Nově je pak stanovena návrhem zákona povinnost vládního CERT i provozovatele národního CERT zachovávat bezpečnost a obchodní zájmy ohlašujícího subjektu v případě předání informace o incidentu s významným dopadem na kontinuitu poskytování základní služby nebo digitální služby příslušnému orgánu jiného členského státu.

Údaje, které budou na základě návrhu zákona zveřejňovány, budou zveřejňovány ve formátech otevřených dat, s nimiž lze bez dalšího dále pracovat.

Postupy, procesy a sankce obsažené v navrhované právní úpravě vycházejí z aktuálních poznatků v oblasti kybernetické bezpečnosti, z vývoje budování vládního a národního CERT, jakož i z aktuálních bezpečnostních potřeb zacílených na ochranu kybernetického prostoru a z požadavků stanovených směrnicí. Právní úpravu, jejíž procesní postupy se až na odůvodněné odchylky řídí správním a kontrolním řádem, tak lze označit za přiměřenou.

Při přípravě tohoto návrhu zákona byl brán též zřetel na aktuální poznatky z praxe, společenský diskurz a především pak na názory odborné veřejnosti. Stávající právní úprava ve výše zmíněných diskutovaných oblastech byla pouze vhodně doplněna s ohledem na požadavky vyplývající z právních předpisů EU či na požadavky praxe a sociálních partnerů.

9.8 Shoda s dobrou praxí a srovnání se stávající legislativou

Současná právní úprava zákona o kybernetické bezpečnosti byla již během svého projednávání konzultována s odbornou veřejností, přičemž do ní byly zapracovány mnohé poznatky z praxe i již existující osvědčené postupy. Největší důraz byl pak na tento postup kladen při vypracovávání bezpečnostních standardů, které musí jednotlivé orgány a osoby splňovat. Tyto standardy vycházejí z normy ISO 27 001. V tomto ohledu zachovává návrh zákona standardy nastavené zákonem o kybernetické bezpečnosti a do vytvořeného režimu předcházení, detekce a řešení kybernetických bezpečnostních incidentů výrazněji nezasahuje.

Oproti současné právní úpravě je však navrhováno zvýšení sankcí, přičemž navrhovaná horní hranice činí až 5 mil. Kč. Podle zákona o kybernetické bezpečnosti bylo za neplnění některých povinností možno uložit pokutu v maximální horní výši 100 tis. Kč. Tato hranice se však ukázala být jako nedostačující. Vzhledem k poměrně náročnému a drahému zavádění bezpečnostních opatření by se mnohdy povinným orgánům a osobám mohlo spíše vyplatit tyto povinnosti nesplnit a zaplatit uloženou pokutu. Navíc je tato pokuta nepřiměřená i v poměru vůči obratu některých subjektů (např. v oblasti energetiky). Orgány státní správy by tak měly mít větší možnost diskrece při posuzování přiměřenosti pokuty vůči konkrétnímu subjektu, stejně jako vůči míře jeho provinění. Toho je nutno dosáhnout i vzhledem k povinnosti uložené ČR směrnicí stanovit účinné, přiměřené a odrazující sankce.

Přiměřenost navrhované právní úpravy sankcí je možno v tomto ohledu porovnat s právní úpravou zákona o elektronických komunikacích. Ten v případě, že podnikatel zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací nezajistí bezpečnost a integritu své sítě nebo bezpečnost služeb, které poskytuje, podle § 98 odst. 1 zákona o elektronických komunikacích, umožňuje uložení pokuty s horní hranicí až 20 mil. Kč.

Je tedy možno konstatovat, že návrh zákona bere zřetel na aktuální poznatky z praxe, společenský diskurz a na názory odborné veřejnosti, přičemž umožňuje správním orgánům naplnit účel příslušné legislativy EU.

9.9 Systematický sběr dat

Data o zjištěných korupčních rizicích budou systematicky sbírána. Zejména budou v tomto ohledu sledována korupční rizika vyplývající z ukládání opatření NBÚ a sankcí za porušení povinností stanovených zákonem o kybernetické bezpečnosti. Tato data budou dále průběžně vyhodnocována a na základě zjištěných výsledků budou využita v rámci mapování korupčních rizik.

9.10 Závěr

Vyhodnocením poznatků podle metodiky CIA bylo zjištěno, že vzhledem k charakteru právního předpisu, tj. návrhu zákona, kterým se mění zákon o kybernetické bezpečnosti a zákon o svobodném přístupu k informacím, který je veřejnoprávním předpisem, dojde k mírnému zvýšení korupčního rizika, a to zejména v oblasti ukládání opatření (reaktivních a ochranných) NBÚ a ukládání sankcí za porušení povinností stanovených v zákoně o kybernetické bezpečnosti doplněném u ustanovení návrhu zákona. Při existenci základních principů správního řízení, při důsledném uplatňování rozhodovacích a kontrolních mechanismům, při nezávislosti a nestrannosti justice a při zaměstnávání dostatečně kvalifikovaných zaměstnanců je zde však dán předpoklad, že dojde k minimalizaci těchto potenciálních korupčních rizik.

10. Zhodnocení dopadů na bezpečnost nebo obranu státu

Vzhledem k povaze výše navrhovaných změn lze konstatovat, že návrh zákona má pozitivní dopady na bezpečnost a obranu státu. Zejména přispěje k posílení zabezpečení klíčových informačních systémů v ČR, čímž dojde k posílení zabezpečení českého kyberprostoru jako takového. Rovněž dojde k navázání bližší spolupráce mezi členskými státy EU, čímž bude zlepšena i možnost včasné a efektivní reakce při vzniku masivního kybernetického bezpečnostního incidentu.

Návrh zákona zároveň reflektuje připomínky získané zejména ze strany odborné veřejnosti, které se vztahují k problémovým oblastem zákona o kybernetické bezpečnosti. Tyto připomínky částečně vycházejí i z aplikace moderních technologií (např. cloudová řešení) do prvků kritické informační infrastruktury. Odstranění těchto zákonných nedostatků povede k dalšímu posílení zabezpečení ČR proti kybernetickým hrozbám a zároveň plně zohlední současný technologický vývoj a vznikající bezpečnostní rizika.