K 1. červenci 2023 vstoupila v účinnost nová vyhláška 190/2023 Sb. o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu (dále jako „Vyhláška“). Co nového přinesla?
Jde o očekávanou třetí[1] a poslední tzv. cloudovou vyhlášku, kterou vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Doplňuje vyhlášky o bezpečnostních úrovních a o vstupních kritériích, které jsou účinné již od 1. září 2021 a regulaci využívání cloud computingu tak kompletuje. Vyhláška přináší přehledný a jednoduchý seznam bezpečnostních pravidel, jejichž dodržování jsou orgány veřejné moci povinny zajistit při využívaní služeb cloud computingu[2] dle § 4 odst. 5 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jako „ZKB“).
V minulosti už jsme na našem blogu psali o úvodních fázích procesu výběru poskytovatele cloud computingu pro orgány veřejné moci N– zápis nabídky do katalogu cloud computingu. Třetí vyhláška je relevantní pro následnou kontraktační část[3] procesu a pro samotné poskytování služby. Obsahuje i konkrétní povinnosti pro orgány veřejné moci.
Jako jednoduchý příklad povinnosti, kterou musí orgán veřejné moci zohledňovat při uzavírání smlouvy s konkrétním poskytovatelem, lze uvést pravidlo stanovující zvláštní případy možnosti odstoupení od smlouvy orgánem veřejné moci. Tyto musí být ve smlouvě vždy obsaženy (bod 1.14 přílohy k Vyhlášce). Kromě toho je ale vhodné upravit smluvně i všechny povinnosti poskytovatele (např. bod 14.1 přílohy k Vyhlášce), jelikož za zajištění jsou odpovědny samotné orgány veřejné moci. Mezi konkrétní povinnosti orgánů veřejné moci pak patří třeba povinnost stanovit plán kontinuity činností pro případ neočekávaného ukončení činnosti poskytovatele (bod 13.1 přílohy k Vyhlášce).
Dle důvodové zprávy Vyhlášky[4] měla být bezpečnostní opatření původně rozdělena na dvě skupiny – obligatorní a fakultativní. Fakultativní opatření měla být obsažena v příloze 2 k Vyhlášce – v oficiálním znění ze Sbírky však tato příloha chybí.[5] Lze tedy usuzovat, že všechna opatření jsou pro orgány veřejné moci obligatorní. Ke každému opatření je uvedena konkrétní bezpečnostní úroveň cloud computingu (dle vyhlášky č. 315/2021 Sb. o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci) pro kterou dané bezpečnostní opatření platí.
Jednotlivá opatření jsou rozdělena do 15 skupin:
1) Obecné podmínky pro službu cloud computingu. V této sekci jsou stanovena pravidla pro zajištění důvěrnosti, integrity a dostupnosti informací ve službě.[6]
2) Organizace bezpečnosti informací. Cílem je zajištění řádného plánování, implementace, údržby a neustálého zlepšování rámce bezpečnosti informací.[7]
3) Politiky. Cílem je zajištění existence politik bezpečnosti informací u poskytovatele služby cloud computingu, jako jednoho z nástrojů systému řízení bezpečnosti informací, a zajištění souladu těchto politik s požadavky orgánu veřejné moci na bezpečnost informací.[8]
4) Fyzická bezpečnost. Cílem je zajištění fyzické bezpečnosti, zejména ochrana před krádeží, poškozením, ztrátou a výpadkem dat.[9]
5) Zajištění provozu služby cloud computingu. Obsahuje opatření pro plánování a monitorování kapacit zdrojů na straně poskytovatele služeb cloud computingu, ochranu před škodlivým kódem, zaznamenávání a monitorování událostí a řešení zranitelností, poruch a chyb.[10]
6) Správa identit a řízení přístupu. Autorizace a autentizace přístupů uživatelů ke službě cloud computingu jak na straně poskytovatele, tak na straně orgánu veřejné moci tak, aby se zabránilo neoprávněným přístupům ke službě cloud computingu.[11]
7) Správa klíčů a šifrování. Opatření této skupiny upravují vhodné a efektivní využívání šifrovacích metod a postupů k zajištění důvěrnosti a integrity a dostupnosti informací vložených do služby cloud computingu.[12]
8) Zabezpečení komunikace. Cílem je zajištění bezpečnosti informací orgánu veřejné moci při jejich přenosu přes komunikační sítě a zajištění odolnosti těchto sítí.
9) Přenositelnost, propojení a exit strategie. Opatření směrují na situace v průběhu poskytování cloudových služeb – zejména na ukončení poskytování a vyhnutí se vendor lock-inu.[13]
10) Nákup, vývoj a úprava informačních systémů. Opatření směrují na proces řízení změn (updaty a upgrady) a oddělení testovacího a vývojového prostředí od produkčního (koncového) prostředí tak, aby byla zacahována bezpečnost informací a plynulost poskytování.[14]
11) Řízení dodavatelů. Opatření směrují ke stanovení vhodných postupů a procesů k zajištění bezpečnosti informací orgánu veřejné moci při řetězení dodavatelů služby cloud computingu (kontrolu nad subdodavateli).[15]
12) Správa kybernetických bezpečnostních událostí a incidentů. Cílem je nastavení vhodných opatření k zajištění konzistentního a komplexního přístupu k zaznamenávání, hodnocení, komunikaci a řešení kybernetických bezpečnostních událostí a k incidentů.[16]
13) Řízení kontinuity činností. Obsahuje pouze jediné pravidlo a tím je nastavení plánu kontinuity činností v případě neočekávaného ukončení činnosti poskytovatele.[17]
14) Soulad s předpisy a audit. Cílem je zajistit soulad s regulatorními a smluvními požadavky dopadajícími na činnosti spjaté s poskytováním služeb cloud computingu.[18]
15) Žádosti cizozemských orgánů o zpřístupnění nebo předání dat. Cílem opatření je zajistit, aby poskytovatel nezpřístupňoval zákaznická data třetím stranám především z řad zpravodajských služeb a orgánů cizích států činných v trestním řízení bez splnění zákonných předpokladů (např. mezinárodní justiční spolupráce).[19]
Vyhláška nabyla účinnosti dne 1. 7. 2023. Pro již existující vztahy však zákonodárce stanovuje dodatečnou lhůtu přizpůsobit se novým požadavkům. V případě, že orgán veřejné moci již využívá služby cloud computingu na základě smlouvy uzavřené přede dnem nabytí účinnosti Vyhlášky, musí zajistit dodržování bezpečnostních pravidel dle Vyhlášky až od 1. 1. 2024.[20]
Kromě Vyhlášky se užití Minimální smluvní podmínky pro smlouvu na poskytování služeb cloud computingu (dále jako „Metodika“). 1. 6. 2023 byla Digitální a informační agenturou vydána nová verze této Metodiky.[21] Vztah mezi Vyhláškou a Metodikou je však nejasný, jelikož Metodika se na novou Vyhlášku v aktuálním znění v žádné části neodkazuje a rovněž neřeší případný konflikt mezi těmito dokumenty. Obdobně Vyhláška neodkazuje na Metodiku. Z opatrnosti doporučujeme plnit požadavky stanovené oběma předpisy – jak Vyhláškou, tak Metodikou.
Druhou novinkou z dílny NÚKIB je vydání výkladové metodiky k ustanovení § 4 odst. 5 ZKB. Ve shrnutí tohoto materiálu NÚKIB uzavírá, že orgán veřejné moci spadá pod toto ustanovení pouze v případě, že je zároveň orgánem veřejné správy a jeho systém spadá pod pojem informačního systému veřejné správy dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy, ve znění pozdějších předpisů (dále jen „ZoISVS“).[22]
NÚKIB tímto metodickým pokynem řeší dichotomii, resp. nejednoznačnost vztahu povinných osob dle ZKB a ZoISVS a dělá regulaci cloud computingu o poznání jednodušší. Případné výkladové problémy spjaté s pojmy „orgán veřejné správy“ nebo „informační systém veřejné správy“[23] nejsou předmětem této nové výkladové metodiky.
Pokud víte, že se na Vás předmětná legislativa vztahuje, nebo máte zájem o vypracování právně bezchybné smluvní dokumentace pro Vaše poptávané cloudové řešení, neváhejte nás kontaktovat. Správné nastavení právních vztahů s poskytovatelem/dodavatelem cloudových služeb je důležitým základem budoucí spokojené spolupráce a nezbytným předpokladem plnění zákonných požadavků.
Článek zpracoval Martin Bolvanský, právní asistent.
[1] Třetí z tzv. cloudových vyhlášek vstoupila v účinnost. Národní úřad pro kybernetickou a informační bezpečnost [online]. 3. 7. 2023 [cit. 4. 7. 2023]. Dostupné z: https://www.nukib.cz/cs/infoservis/aktuality/1978-treti-z-tzv-cloudovych-vyhlasek-vstoupila-v-ucinnost/
[2] Návrh vyhlášky o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu. Úřad vlády České republiky [online]. 9. 6. 2023 [cit. 4. 7. 2023]. Dostupné z: https://odok.cz/portal/veklep/material/ALBSCDGK8LXB/
[3] KLODWIG, Jakub. Příručka právní regulace cloudu. Brno: Nugis Finem Publishing, 2022, str. 66.
[4] Dostupná ke stažení zde.
[5] Dle vypořádání připomínek (dostupné ke stažení zde) byla příloha vypuštěna; důvod vypuštění nebyl uveden.
[6] Důvodová zpráva k Vyhlášce, str. 10.
[7] Důvodová zpráva k Vyhlášce, str. 15.
[8] Důvodová zpráva k Vyhlášce, str. 16.
[9] ibid.
[10] Důvodová zpráva k Vyhlášce, str. 18.
[11] Důvodová zpráva k Vyhlášce, str. 20.
[12] Důvodová zpráva k Vyhlášce, str. 22.
[13] Důvodová zpráva k Vyhlášce, str. 23.
[14] Důvodová zpráva k Vyhlášce, str. 25.
[15] Důvodová zpráva k Vyhlášce, str. 26.
[16] ibid.
[17] Bod 13.1 přílohy k Vyhlášce.
[18] Důvodová zpráva k Vyhlášce, str. 27.
[19] Důvodová zpráva k Vyhlášce, str. 28.
[20] § 4 Vyhlášky.
[21] V minulosti vydávalo tuto metodiku Ministerstvo vnitra, s účinností od 1. 4. 2023 přešli pravomoci na DIA. (Novinky v eGovernmentu [online]. MVČR, [cit. 27. 6. 2023]. Dostupné z: https://www.mvcr.cz/clanek/novinky-v-egovernmentu.aspx).
[22] NÚKIB. Regulace využívání cloud computingu orgány veřejné moci v Zákoně o kybernetické bezpečnosti [online]. 2023 [cit. 4. 7. 2023]. Str. 2. Dostupné z: https://www.nukib.cz/download/publikace/podpurne_materialy/2023-07-03_vyklad-ust-par-4-odst-5_v1.0.pdf
[23] Srov. KLODWIG, Jakub. Str. 48 a násl.