Máte podnět na zlepšení této stránky? Nenašli jste na těchto stránkách odpověď na Vaše otázky? Obraťte se na sekretariát odboru regulace (kontakty naleznete zde) a my se budeme Vašemu podnětu nebo dotazu co nejdříve věnovat.
Cloud computing
Co jsou to cloudové vyhlášky?
Jako cloudové vyhlášky jsou označovány vyhlášky, které stanovují konkrétní pravidla pro poskytovatele služeb cloud computingu zapsané do katalogu cloud computingu (dále jen „poskytovatelé“) a služby cloud computingu zapsané do katalogu cloud computingu a využívané veřejnou správou (dále jen „služby“), podle zákona o kybernetické bezpečnosti a zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů ve znění pozdějších předpisů (dále jen „ZoISVS“). Kromě vyhlášky č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu (dále jen „katalog“), se jedná o trojici dalších vyhlášek a to vyhlášku č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci (dále jen „vyhláška o bezpečnostních úrovních“), vyhlášku č. 316/2021 Sb., o některých požadavcích na zápis do katalogu cloud computingu (dále jen „vyhláška o vstupních kritériích“)a vyhlášku č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu (dále jen „vyhláška o bezpečnostních pravidlech“).
Co stanoví vyhláška o bezpečnostních úrovních?
Vyhláška o bezpečnostních úrovních stanovuje pravidla, podle kterých se informační systémy veřejné správy (dále jen „ISVS“), které by měly být provozovány v cloudu, rozřazují do čtyř příslušných bezpečnostních úrovní (1 - nízká, 2 – střední, 3 – vysoká, 4 - kritická). Tyto úrovně vyjadřují možné dopady kybernetického bezpečnostního incidentu ISVS, jehož provoz má být zajištěn pomocí cloud computingu. ISVS zařazený do příslušné úrovně bude moci využít pouze ty nabídky služeb, které jsou zařazeny do stejné nebo vyšší bezpečností úrovně.
Co stanoví vyhláška o vstupních kritériích?
Vyhláška o vstupních kritériích obsahuje ve svých přílohách sadu požadavků, které musí splnit poskytovatelé služeb cloud computingu a jejich jednotlivé služby cloud computingu tak, aby mohli být se svými službami zapsáni do katalogu cloud computingu (dále jen „katalog“) a nabízet v něm své služby orgánům veřejné správy pro ISVS. Požadavky na služby odpovídají zařazení do jednotlivých bezpečnostních úrovní dle vyhlášky o bezpečnostních úrovních. Splnění těchto požadavků je závazné pro poskytovatele, kteří mají zájem poskytovat své služby orgánům veřejné správy. Splnění těchto podmínek ověřuje Digitální a informační agentura (dále jen „DIA“) ve spolupráci s Úřadem. Tento proces je tzv. ex ante kontrola. Úřad vydal metodickou pomůcku, která je k nalezení zde, která provede poskytovatele základními pojmy, postupy a typickými problémy, s nimiž se mohou setkat při přípravě své žádosti o zápis nabídky cloud computingu do katalogu.
Co stanoví vyhláška o bezpečnostních pravidlech
Vyhláška o bezpečnostních pravidlech stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci. Jde tedy o seznam bezpečnostních požadavků, jejichž splnění budou muset orgány veřejné moci zajišťovat, pokud budou chtít využívat služeb cloud computingu pro jejich ISVS. Tato bezpečnostní pravidla budou často součástí výběrového řízení na poskytnutí služeb. Splnění těchto podmínek bude kontrolováno ze strany Úřadu. Kontrola bude probíhat až v době, kdy bude služba poskytována. Každá z bezpečnostních úrovní má mít stanovena bezpečnostní opatření, přiměřeně přísná podle příslušné bezpečnostní úrovně. Tento proces je tzv. ex post kontrola. Vyhláška o bezpečnostních pravidlech míří na orgány veřejné moci, respektive orgány veřejné správy, a nikoliv na poskytovatele jako vyhláška o vstupních kritériích.
Existují nějaká doporučení pro soukromé subjekty jako zákazníky k zabezpečení cloudových služeb?
Soukromé společnosti, které jsou regulovanými subjekty dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a změně souvisejících zákonů ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“), respektive vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „vyhláška o kybernetické bezpečnosti“) mají obecné povinnosti zavádět bezpečnostní opatření a dodržovat další povinnosti obsažené v zákoně o kybernetické bezpečnosti (zejm. § 4 odst. 5 a 6 ) a vyhlášce o kybernetické bezpečnosti (zejm. příloha č. 4).
Soukromé společnosti nemají další povinnosti ohledně zabezpečení svých služeb cloud computingu plynoucí z právních předpisů.
Přesto soukromé subjekty, jež mají zájem využívat služeb cloud computingu, mohou orientačně čerpat informace pro rozhodnutí o svém budoucím poskytovateli služeb cloud computingu z katalogu. Soukromý subjekt, jenž má zájem využívat služeb cloud computingu, může například zjistit, kteří poskytovatelé nabízejí své konkrétní služby pro ISVS, pro jaké bezpečnostní úrovně jsou tyto služby zapsány, potažmo, jaké požadavky dle vyhlášky o vstupních kritériích jsou jejich konkrétní služby schopny splnit.
Zároveň soukromé subjekty mohou při nastavování vlastních výběrových řízení vyžadovat po poskytovatelích služeb cloud computingu splnění požadavků, které po službách cloud computingu vyžadují cloudové vyhlášky, zejména vyhláška o vstupních kritériích. Na rozdíl od orgánů veřejné správy si však mohou mezi požadavky vybírat ty, které jim vyhovují.
Rovněž pokud jde dodržování bezpečnostních pravidel dle vyhlášky o bezpečnostních pravidlech, lze tyto na základě smluvního vztahu implementovat i mezi soukromým subjektem, jenž má zájem využívat služby cloud computingu a jeho poskytovatelem cloud computingu, či je alespoň použít jako inspiraci k tvorbě vlastních bezpečnostních požadavků na jednotlivé služby cloud computingu.
Jsou stanoviska NÚKIB ke konkrétním zapsaným cloudovým službám a poskytovatelům služeb cloud computingu veřejně dostupná?
NÚKIB nevydává konkrétní stanoviska k jednotlivým službám cloud computingu poskytovatelů veřejně. V rámci své činnosti poskytuje závazná stanoviska dle § 6u odst. 1 ZoISVS DIA za účelem posouzení splnění požadavků jednotlivých služeb cloud computingu dle § 6n písm. b) a e) ZoISVS nabízených poskytovatelem. DIA následně rozhoduje o zápisu služby cloud computingu do katalogu. Tyto služby jsou určeny k využití orgány veřejné správy.
Obdobně nezveřejňuje ani svá stanoviska k žádostem o zápis poskytovatelů cloud computingu do katalogu. V rámci své činnosti poskytuje závazná stanoviska dle § 6r odst. 1 ZoISVS DIA za účelem posouzení splnění požadavků dle § 6m odst. 1 písm. a) ZoISVS. NÚKIB dále DIA poskytuje informace pro účely splnění požadavku § 6m odst. 1 písm. c). DIA pak následně rozhoduje o zápisu poskytovatele cloud computingu do katalogu. Tito poskytovatelé pak mohou požádat o zápis nabídky své konkrétní služby cloud computingu do katalogu za účelem jejího využití orgány veřejné správy.
Existuje nějaký návod na to, jak splnit požadavky pro zápis služeb?
Ano, takový návod existuje. Úřad vydal metodickou pomůcku pro poskytovatele cloudových služeb. Tento dokument je určen k navigaci při přípravě žádosti o zápis nabídky cloud computingu do katalogu. Pomůcka poskytuje přehled základních pojmů, postupů a typických problémů, které mohou nastat, a vyjadřuje se k některým výkladovým otázkám. Tento dokument je k nalezení zde.
veřejné zakázky
Jaký je vztah zákona o kybernetické bezpečnosti a zákona č. 134/2016 Sb., o zadávání veřejných zakázek, a je vůbec možné dodržet požadavky obou předpisů současně?
Oba zákony jsou předpisy stejné právní síly, navzájem se nevylučují, naopak se doplňují. Zatímco zákon o zadávání veřejných zakázek stanoví procesní postupy pro výběr dodavatele, zákon o kybernetické bezpečnosti reguluje obsahové náležitosti požadavků na dodavatele. Zatímco tedy zákon o zadávání veřejných zakázek říká jak, zákon o kybernetické bezpečnosti říká co. Ačkoli pak skloubení požadavků obou zákonů může být v některých případech náročné, rozhodně není nerealizovatelné.
Jak přistoupit k situaci, kdy zákonem stanovené lhůty pro zavádění bezpečnostní opatření významně zkracuje nutnost vypisovat veřejné zakázky?
Za těchto podmínek je pro účely kontroly plnění uložených povinností potřeba doložit, že postup zavádění bezpečnostních opatření je plánován a opatření jsou implementována v souladu s tímto plánem. Tuto skutečnost je nutné promítnout v bezpečnostní dokumentaci, a to konkrétně v plánu zvládání rizik a prohlášení o aplikovatelnosti. V případě, že je dodržen správný procesní postup, není objektivní nemožnost zavést v daném čase bezpečnostní opatření vnímána jako porušení povinností daných zákonem o kybernetické bezpečnosti.
Jsme správcem informačního systému základní služby a chceme vyhlásit veřejnou zakázku na ICT. Jak máme v zadávací dokumentaci zohlednit požadavky zákona o kybernetické bezpečnosti?
V souladu s § 4 odst. 4 zákona o kybernetické bezpečnosti jsou povinné osoby povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy. Zohlednění těchto požadavků nelze považovat za nezákonné omezení hospodářské soutěže. Úřad k tomuto tématu vydal metodický materiál „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“, dostupný v sekci Podpůrné materiály.
Jakým způsobem máme v zadávací dokumentaci zohlednit varování Úřadu ze dne 17. prosince 2018?
Povinnost reagovat na varování vydaná Úřadem mají pouze povinné osoby spadající pod zákon o kybernetické bezpečnosti, pro ostatní subjekty lze zohlednění varování pouze doporučit. Pokud jste povinná osoba, doporučujeme řídit se materiálem „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“, zveřejněným v sekci Podpůrné materiály.
dotazy z praxe
Naše organizace není povinnou osobou podle zákona o kybernetické bezpečnosti, ale rádi bychom se zabezpečili proti případným incidentům. Jak máme postupovat?
Pro tento účel je v sekci Podpůrné materiály dostupný dokument „Minimální bezpečnostní standard“. Tento materiál nabízí zjednodušené principy, postupy a doporučení v oblasti kybernetické bezpečnosti pro všechny typy organizací. Samozřejmě je také možné využít komplexnější vyhlášku o kybernetické bezpečnosti nebo další nelegislativní předpisy, jako např. mezinárodní normy (např. z rodiny norem ISO nebo NIST).
Podle zákona o kybernetické bezpečnosti předá provozovatel systému správci tohoto systému data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému. Rozumí se daty, provozními údaji nebo informacemi souvisejícími s provozováním tohoto systému i zdrojový kód systému?
Ne. Výčet, čítající data, provozní údaje a informace, které má provozovatel k dispozici v souvislosti s provozováním systému, do sebe standardně nezahrnuje zdrojový kód.
Naše společnost patří do kritické infrastruktury, náš informační systém byl určen Úřadem jako kritická informační infrastruktura. V současnosti vybíráme nového dodavatele software – jak máme postupovat?
V souladu s ustanovením § 4 odst. 4 zákona o kybernetické bezpečnosti jste povinni při výběru dodavatele zohlednit požadavky vyplývající z bezpečnostních opatření a ty zahrnout do smlouvy. Výsledky procesu hodnocení rizik a analýzy přijímání bezpečnostních opatření je potřeba zohlednit skutečně již při výběru dodavatele a posléze s vybraným dodavatelem tato opatření zapracovat do smlouvy, neboť následné změny obsahu smluvního vztahu mohou být problematické. Pokud má být řešení některých bezpečnostních otázek ponecháno až na dobu plnění uzavřené smlouvy, je potřeba důsledně dbát na formulaci změnových ustanovení a zakotvit možnost od smlouvy odstoupit. Rozhodně nedoporučujeme nechávat řešení stěžejních bezpečnostních opatření až na fázi po uzavření smlouvy.
Byli jsme určeni provozovatelem základní služby. Dle zákona o kybernetické bezpečnosti jsme povinni Vám zaslat formulář pro hlášení kontaktních údajů a pověření osoby, která s Vámi bude za nás komunikovat. Bude dostačující zaslání plné moci této osoby?
Zákon předvídá několik způsobů, kterými lze prokázat oprávnění jednat za právnickou osobu, volba konkrétního způsobu je ponechána v dispozici subjektu. Pro Úřad je stěžejní, aby mělo pověření k jednání všechny nezbytné náležitosti, bylo platné a určité, způsob pověření (tedy zda půjde o plnou moc nebo pověření zaměstnance) není z pohledu Úřadu rozhodné.
Konkrétní požadavky na jednání právnické osoby vůči správnímu orgánu upravuje zákon č. 500/2004 Sb., správní řád. V souladu s § 30 odst. 1 správního řádu může činit jménem právnické osoby úkony ten, kdo je k tomu oprávněn v řízení před soudem podle § 21 občanského soudního řádu (tj. typicky člen statutárního orgánu, jehož oprávnění vyplývá z veřejného rejstříku, nebo zaměstnanec, u něho je potřeba oprávnění jednat prokázat – typicky pověřením, popisem pracovního místa, interním dokumentem zaměstnavatele apod.). Jménem právnické osoby může jednat též její zástupce (především zmocněnec podle § 33 správního řádu na základě zmocnění prokazovaného plnou mocí).
Hlášení kontaktních údajů má stanoven zákonný požadavek na formulářové podání. Formulář i s návodem naleznete zde. I s ohledem na výše uvedené je formulář koncipován především na podpis statutárním orgánem (což je z praktických důvodů preferováno), ale samozřejmě je možné jej podepsat také jinou osobou (ta ale musí doložit zmocnění k takovému úkonu, viz výše), nebo lze u nepodepsaného hlášení kontaktních údajů uplatnit fikci podpisu datovou zprávou (viz § 18 odst. 2 zákona o elektronických úkonech a autorizované konverzi dokumentů).
Je přípustné, aby zaměstnanci správců a provozovatelů informačního systému kritické informační infrastruktury pracovali z domu, kde k připojení k internetu a k práci používají vlastní domácí vybavení (tj. zejména síťové prvky, routery, switche, wifi antény, apod.)?
Správci a provozovatelé informačních systémů kritické informační infrastruktury jsou coby povinné osoby podle zákona o kybernetické bezpečnosti povinni v rámci své organizace zavádět a provádět bezpečnostní opatření uvedená v § 5 zákona o kybernetické bezpečnosti, resp. konkretizovaná vyhláškou o kybernetické bezpečnosti. Zákon ani vyhláška obecně nevylučují, aby povinné osoby podle § 3 zákona umožnily svým zaměstnancům práci z domova a používání vlastních zařízení a komerčního připojení k internetu. Co však zákon a vyhláška požadují je, aby tyto povinné osoby dbaly na zabezpečení svých informačních systémů a řídily rizika spojená se vzdáleným výkonem práce. Konkrétní způsob řízení rizik spojených s výkonem práce na dálku a s využíváním vlastních prostředků zaměstnanců bude vždy záviset na specifikách dané organizace, úrovni její kybernetické bezpečnosti, interních pravidlech stanovených mj. s ohledem na důležitost spravovaných aktiv a toleranci rizik organizace, apod. Každá organizace spadající do působnosti zákona o kybernetické bezpečnosti funguje svým specifickým způsobem a jejich informační systémy se mohou vzájemně lišit. Nelze proto stanovit univerzální pravidla pro zabezpečení práce na dálku pro všechny organizace spadající do působnosti zákona o kybernetické bezpečnosti, výběr konkrétních bezpečnostních opatření a konkrétních způsobů zabezpečení výkonu práce je odpovědností jednotlivých organizací.
Úřad se však v tomto směru snaží alespoň o určité metodické vedení (nejen) povinných subjektů, proto vydal např. doporučení pro bezpečnou práci na dálku (dostupné zde) nebo podpůrné materiály k zabezpečení videokonferencí (dostupné zde).
| Co dělat v případě, když váš systém spadá pod zákon o kybernetické bezpečnosti V případě, že jste byli Úřadem určeni jako povinný subjekt (stali jste se správcem nebo provozovatelem informačního systému základní služby nebo kritické informační infrastruktury), příp. Váš systém naplnil kritéria významného informačního systému, postupujte následovně: 1. Neprodleně (nejpozději však do 30 dní) nahlaste Úřadu kontaktní údaje, a to prostřednictvím formuláře pro hlášení kontaktních údajů. Stejně tak je pak potřeba hlásit i jejich změny. Tím bude plněna povinnost podle § 16 zákona o kybernetické bezpečnosti. 2. Začněte zavádět bezpečnostní opatření. Bezpečnostním opatřením, jejich zavedení a provádění se věnuje § 4 zákona o kybernetické bezpečnosti a celá vyhláška o kybernetické bezpečnosti. Zavedení bezpečnostních opatření je zákonem požadováno do jednoho roku a jejich provádění je od zavedení kontinuální, nikdy nekončící proces. Základem zavádění bezpečnostních opatření je zejména stanovení základů systému řízení bezpečnosti informací, stanovení bezpečnostních rolí a organizační bezpečnosti, řízení aktiv a řízení rizik. 3. Po uplynutí přechodné lhůty jednoho roku máte povinnost hlásit Úřadu bezodkladně po jejich detekci kybernetické bezpečnostní incidenty, které se v daném systému stanou, a to prostřednictvím formuláře pro hlášení incidentů. Tím bude plněna povinnost podle § 8 zákona o kybernetické bezpečnosti. 4. Ostatní povinnosti, zejména povinnost provádět Úřadem vydaná reaktivní a ochranná opatření a v případě reaktivních opatření oznamovat Úřadu způsob jejich provedení prostřednictvím formuláře pro oznámení způsobu provedení reaktivního opatření, nemají zákonem stanovenou lhůtu, a proto se provádí neprodleně (v souladu s pokyny v konkrétním opatření). 5. Po uplynutí jednoroční přechodné lhůty je Úřad oprávněn kontrolovat dodržování zákonných povinností (v případě těch povinností, ke kterým nebyla dána přechodná lhůta, je oprávněn je kontrolovat ihned). Formuláře k ohlášení regulované služby, hlášení kontaktních údajů, kybernetických bezpečnostních incidentů nebo pro oznámení způsobu provedení reaktivního opatření naleznete na Portálu NÚKIB v sekci Chci vyřídit. |