Máte podnět na zlepšení této stránky? Nenašli jste na těchto stránkách odpověď na Vaše otázky? Obraťte se na sekretariát odboru regulace (kontakty naleznete zde) a my se budeme Vašemu podnětu nebo dotazu co nejdříve věnovat.
Cloud computing
Co jsou to cloudové vyhlášky?
Jako cloudové vyhlášky jsou označovány vyhlášky, které stanovují konkrétní pravidla pro poskytovatele služeb cloud computingu zapsané do katalogu cloud computingu (dále jen „poskytovatelé“) a služby cloud computingu zapsané do katalogu cloud computingu a využívané veřejnou správou (dále jen „služby“), podle zákona o kybernetické bezpečnosti a zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů ve znění pozdějších předpisů (dále jen „ZoISVS“). Kromě vyhlášky č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu (dále jen „katalog“), se jedná o trojici dalších vyhlášek a to vyhlášku č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci (dále jen „vyhláška o bezpečnostních úrovních“), vyhlášku č. 316/2021 Sb., o některých požadavcích na zápis do katalogu cloud computingu (dále jen „vyhláška o vstupních kritériích“)a vyhlášku č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu (dále jen „vyhláška o bezpečnostních pravidlech“).
Co stanoví vyhláška o bezpečnostních úrovních?
Vyhláška o bezpečnostních úrovních stanovuje pravidla, podle kterých se informační systémy veřejné správy (dále jen „ISVS“), které by měly být provozovány v cloudu, rozřazují do čtyř příslušných bezpečnostních úrovní (1 - nízká, 2 – střední, 3 – vysoká, 4 - kritická). Tyto úrovně vyjadřují možné dopady kybernetického bezpečnostního incidentu ISVS, jehož provoz má být zajištěn pomocí cloud computingu. ISVS zařazený do příslušné úrovně bude moci využít pouze ty nabídky služeb, které jsou zařazeny do stejné nebo vyšší bezpečností úrovně.
Co stanoví vyhláška o vstupních kritériích?
Vyhláška o vstupních kritériích obsahuje ve svých přílohách sadu požadavků, které musí splnit poskytovatelé služeb cloud computingu a jejich jednotlivé služby cloud computingu tak, aby mohli být se svými službami zapsáni do katalogu cloud computingu (dále jen „katalog“) a nabízet v něm své služby orgánům veřejné správy pro ISVS. Požadavky na služby odpovídají zařazení do jednotlivých bezpečnostních úrovní dle vyhlášky o bezpečnostních úrovních. Splnění těchto požadavků je závazné pro poskytovatele, kteří mají zájem poskytovat své služby orgánům veřejné správy. Splnění těchto podmínek ověřuje Digitální a informační agentura (dále jen „DIA“) ve spolupráci s Úřadem. Tento proces je tzv. ex ante kontrola. Úřad vydal metodickou pomůcku, která je k nalezení zde, která provede poskytovatele základními pojmy, postupy a typickými problémy, s nimiž se mohou setkat při přípravě své žádosti o zápis nabídky cloud computingu do katalogu.
Co stanoví vyhláška o bezpečnostních pravidlech
Vyhláška o bezpečnostních pravidlech stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci. Jde tedy o seznam bezpečnostních požadavků, jejichž splnění budou muset orgány veřejné moci zajišťovat, pokud budou chtít využívat služeb cloud computingu pro jejich ISVS. Tato bezpečnostní pravidla budou často součástí výběrového řízení na poskytnutí služeb. Splnění těchto podmínek bude kontrolováno ze strany Úřadu. Kontrola bude probíhat až v době, kdy bude služba poskytována. Každá z bezpečnostních úrovní má mít stanovena bezpečnostní opatření, přiměřeně přísná podle příslušné bezpečnostní úrovně. Tento proces je tzv. ex post kontrola. Vyhláška o bezpečnostních pravidlech míří na orgány veřejné moci, respektive orgány veřejné správy, a nikoliv na poskytovatele jako vyhláška o vstupních kritériích.
Existují nějaká doporučení pro soukromé subjekty jako zákazníky k zabezpečení cloudových služeb?
Soukromé společnosti, které jsou regulovanými subjekty dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a změně souvisejících zákonů ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“), respektive vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „vyhláška o kybernetické bezpečnosti“) mají obecné povinnosti zavádět bezpečnostní opatření a dodržovat další povinnosti obsažené v zákoně o kybernetické bezpečnosti (zejm. § 4 odst. 5 a 6 ) a vyhlášce o kybernetické bezpečnosti (zejm. příloha č. 4).
Soukromé společnosti nemají další povinnosti ohledně zabezpečení svých služeb cloud computingu plynoucí z právních předpisů.
Přesto soukromé subjekty, jež mají zájem využívat služeb cloud computingu, mohou orientačně čerpat informace pro rozhodnutí o svém budoucím poskytovateli služeb cloud computingu z katalogu. Soukromý subjekt, jenž má zájem využívat služeb cloud computingu, může například zjistit, kteří poskytovatelé nabízejí své konkrétní služby pro ISVS, pro jaké bezpečnostní úrovně jsou tyto služby zapsány, potažmo, jaké požadavky dle vyhlášky o vstupních kritériích jsou jejich konkrétní služby schopny splnit.
Zároveň soukromé subjekty mohou při nastavování vlastních výběrových řízení vyžadovat po poskytovatelích služeb cloud computingu splnění požadavků, které po službách cloud computingu vyžadují cloudové vyhlášky, zejména vyhláška o vstupních kritériích. Na rozdíl od orgánů veřejné správy si však mohou mezi požadavky vybírat ty, které jim vyhovují.
Rovněž pokud jde dodržování bezpečnostních pravidel dle vyhlášky o bezpečnostních pravidlech, lze tyto na základě smluvního vztahu implementovat i mezi soukromým subjektem, jenž má zájem využívat služby cloud computingu a jeho poskytovatelem cloud computingu, či je alespoň použít jako inspiraci k tvorbě vlastních bezpečnostních požadavků na jednotlivé služby cloud computingu.
Jsou stanoviska NÚKIB ke konkrétním zapsaným cloudovým službám a poskytovatelům služeb cloud computingu veřejně dostupná?
NÚKIB nevydává konkrétní stanoviska k jednotlivým službám cloud computingu poskytovatelů veřejně. V rámci své činnosti poskytuje závazná stanoviska dle § 6u odst. 1 ZoISVS DIA za účelem posouzení splnění požadavků jednotlivých služeb cloud computingu dle § 6n písm. b) a e) ZoISVS nabízených poskytovatelem. DIA následně rozhoduje o zápisu služby cloud computingu do katalogu. Tyto služby jsou určeny k využití orgány veřejné správy.
Obdobně nezveřejňuje ani svá stanoviska k žádostem o zápis poskytovatelů cloud computingu do katalogu. V rámci své činnosti poskytuje závazná stanoviska dle § 6r odst. 1 ZoISVS DIA za účelem posouzení splnění požadavků dle § 6m odst. 1 písm. a) ZoISVS. NÚKIB dále DIA poskytuje informace pro účely splnění požadavku § 6m odst. 1 písm. c). DIA pak následně rozhoduje o zápisu poskytovatele cloud computingu do katalogu. Tito poskytovatelé pak mohou požádat o zápis nabídky své konkrétní služby cloud computingu do katalogu za účelem jejího využití orgány veřejné správy.
Existuje nějaký návod na to, jak splnit požadavky pro zápis služeb?
Ano, takový návod existuje. Úřad vydal metodickou pomůcku pro poskytovatele cloudových služeb. Tento dokument je určen k navigaci při přípravě žádosti o zápis nabídky cloud computingu do katalogu. Pomůcka poskytuje přehled základních pojmů, postupů a typických problémů, které mohou nastat, a vyjadřuje se k některým výkladovým otázkám. Tento dokument je k nalezení zde.
veřejné zakázky
Jaký je vztah zákona o kybernetické bezpečnosti a zákona č. 134/2016 Sb., o zadávání veřejných zakázek, a je vůbec možné dodržet požadavky obou předpisů současně?
Oba zákony jsou předpisy stejné právní síly, navzájem se nevylučují, naopak se doplňují. Zatímco zákon o zadávání veřejných zakázek stanoví procesní postupy pro výběr dodavatele, zákon o kybernetické bezpečnosti reguluje obsahové náležitosti požadavků na dodavatele. Zatímco tedy zákon o zadávání veřejných zakázek říká jak, zákon o kybernetické bezpečnosti říká co. Ačkoli pak skloubení požadavků obou zákonů může být v některých případech náročné, rozhodně není nerealizovatelné.
Jak přistoupit k situaci, kdy zákonem stanovené lhůty pro zavádění bezpečnostní opatření významně zkracuje nutnost vypisovat veřejné zakázky?
Za těchto podmínek je pro účely kontroly plnění uložených povinností potřeba doložit, že postup zavádění bezpečnostních opatření je plánován a opatření jsou implementována v souladu s tímto plánem. Tuto skutečnost je nutné promítnout v bezpečnostní dokumentaci, a to konkrétně v plánu zvládání rizik a prohlášení o aplikovatelnosti. V případě, že je dodržen správný procesní postup, není objektivní nemožnost zavést v daném čase bezpečnostní opatření vnímána jako porušení povinností daných zákonem o kybernetické bezpečnosti.
Jsme správcem informačního systému základní služby a chceme vyhlásit veřejnou zakázku na ICT. Jak máme v zadávací dokumentaci zohlednit požadavky zákona o kybernetické bezpečnosti?
V souladu s § 4 odst. 4 zákona o kybernetické bezpečnosti jsou povinné osoby povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy. Zohlednění těchto požadavků nelze považovat za nezákonné omezení hospodářské soutěže. Úřad k tomuto tématu vydal metodický materiál „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“, dostupný v sekci Podpůrné materiály.
Jakým způsobem máme v zadávací dokumentaci zohlednit varování Úřadu ze dne 17. prosince 2018?
Povinnost reagovat na varování vydaná Úřadem mají pouze povinné osoby spadající pod zákon o kybernetické bezpečnosti, pro ostatní subjekty lze zohlednění varování pouze doporučit. Pokud jste povinná osoba, doporučujeme řídit se materiálem „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“, zveřejněným v sekci Podpůrné materiály.