Pro státní orgány a orgány územních samosprávných celků (dále jako „orgány veřejné správy”) se v souvislosti s tzv. DEPO novelou[1] od 1. 9. 2021 změnily podmínky využívání služeb cloud computingu. To se pak dotýká všech poskytovatelů služeb cloud computingu, kteří své služby poskytují orgánům veřejné správy (nebo se jim je chystají poskytovat).
Orgány veřejné správy smí využívat pouze služby cloud computingu z katalogu cloud computingu Ministerstva vnitra. DEPO novela a s ní související prováděcí předpisy zpřesňují podmínky zápisu do tohoto katalogu a zároveň upravují dřívější přechodná časová ustanovení (mimo jiné). Pro některé služby cloud computingu skončí přechodná lhůta, ve které nemusely respektovat podmínky ZoISVS[2] už letos. Pro zápis do katalogu je přitom nutné splnit relativně přísná bezpečnostní kritéria.
Cílem tohoto článku je popsat kroky zápisu poskytovatele a jeho služeb do katalogu cloud computingu. Článek poskytuje základní vodítka právním odborníkům, ale i případným poskytovatelům služeb cloud computingu pro zápis do katalogu cloud computingu. Ačkoliv nevěřím (a ani si nekladu za cíl), že článek zodpoví veškeré otázky zástupců žadatelů a samotných žadatelů o zápis, věřím, že jim pomůže rychle se zorientovat v problematice.
Poskytovatelem služby cloud computingu není jen koncový dodavatel technologie (jakým je například Microsoft, Amazon nebo Google). Je jím každý subjekt, který orgánu veřejné správy poskytuje službu, založenou na technologii cloud computingu[3]. V katalogu by měl být zapsán celý řetězec poskytovatelů od smluvního partnera orgánu veřejné správy, až po koncového poskytovatele podpůrného cloudu.
Poskytovatelem služby cloud computingu je každá osoba, která prodává orgánu veřejné správy službu cloud computingu, i prostředník.
V modelovém případu může situace vypadat následovně:
Podle nové právní úpravy by v katalogu cloud computingu měli být zapsáni jak osoba poskytovatele základní cloudové služby, tak osoba poskytovatele cloudového řešení na ní vystavěného.
Cloud computing nasmlouvaný před 1. 9. 2021 anebo takový, který orgán veřejné správy před 1. 9. 2021 začal využívat, může orgán veřejné správy využívat i bez splnění podmínek ZoISVS až do 31. 12. 2023. Stejně tak smí do 31. 12. 2023 využívat cloud computing zapsaný do katalogu cloud computingu podle starých pravidel, před DEPO novelou. Cloud computing, s jehož využíváním začal orgán veřejné správy mezi 1. 9. 2021 a 31. 1. 2022 smí bez splnění podmínek ZoISVS využívat jen do konce letošního roku[4].
Pro historické služby cloud computingu platí přechodné výjimky do konce roku 2023, nové kontrakty už ale musejí mít oporu v katalogu cloud computingu.
Přehled přechodných výjimek:
Veškeré nově vyjednávané služby cloud computingu musejí být tudíž poskytovány zapsaným poskytovatelem (s výjimkou poskytovatele státního cloud computingu) a musejí samy být v seznamu nabídek cloud computingu v katalogu vedeném Ministerstvem vnitra.
Cílem regulace je podle důvodové zprávy k DEPO novele[5]:
Zatímco před účinností DEPO novely byla problematika využití cloud computingu orgány veřejné správy regulována de facto pouze na úrovni ZKB[6] a výlučně ve vztahu k tamtéž definovaným povinným osobám, nově se rozšiřuje na všechny orgány veřejné správy. S tím souvisí i rozšíření dopadů ZKB na všechny orgány veřejné moci [7].
Do budoucna bude rovněž zajímavé sledovat přicházející legislativní změny, zejména v souvislosti s příchozí směrnicí NIS 2[8], jejímž cílem je rozšíření povinných osob v oblasti kybernetické bezpečnosti.
Je jednoznačné, že cloud computing bude i mezi orgány veřejné správy převažujícím trendem v řešení jejich informačních a komunikačních potřeb. I střední a menší obce dnes nechtějí investovat do nákupů a rozvoje zastaralé infrastruktury a raději své systémy přenášejí do cloudu[9]. Cloud computing je z hlediska pořizovacích nákladů levnější, ze své podstaty je škálovatelný a elastický a, alespoň v teorii, by měl být bezpečnější[10]. Přináší však s sebou nová rizika i pro bezpečnost státu, související například s mezinárodní špionáží a akcemi zahraničních informačních služeb. Je proto jasné, že využívání cloud computingu ze strany orgánů veřejné správy musí být pod jistou kontrolou.
Samotný zápis do katalogu cloud computingu probíhá ve dvou krocích:
1. Aby mohla být zapsána nabídka, je nutné nejdříve zapsat osobu poskytovatele cloud computingu[11].
2. Po zápisu poskytovatele je možné zapsat konkrétní řešení jako nabídku.
Zápis do katalogu cloud computingu je jednoduchý a probíhá ve dvou krocích. Zápis poskytovatele a zápis nabídky.
K zápisu poskytovatele i nabídky se využívá formulářů z webových stránek Ministerstva vnitra a podávají se výlučně elektronicky[12]. Jednotlivé přílohy žádostí se dokládají ve formátu PDF/A. Formulář je poměrně intuitivní a celý postup vyplnění žádosti je v něm krok po kroku vysvětlen.
Poskytovatelem cloud computingu může být pouze osoba nebo jiné právní uspořádání, které jsou:
Výše uvedené informace se tuzemskými poskytovateli dokládají vlastním prohlášením žadatele s uvedením svých referencí[13] a výpisem z trestního rejstříku. Dále je v žádosti nutné uvést kontaktní osobu poskytovatele pro účely komunikace s Ministerstvem vnitra. Zahraniční poskytovatelé to mají poněkud složitější, protože musí navíc doložit informace o svých skutečných majitelích a oficiální doklady o tom, že nemají nedoplatek vůči orgánům států, ve kterých mají své sídlo a ve kterých budou dlouhodobě uložené informace orgánů veřejné správy[14].
Na internetu se množí ne zcela přesné informace o lhůtách pro zápis poskytovatele do katalogu cloud computingu. Některé články zmiňují například lhůtu 45 dnů ode dne podání přihlášky k Ministerstvu vnitra. To je sice lhůta, ve které musí Ministerstvo vnitra o přihlášce rozhodnout, nicméně má možnost řízení stavět až 3 měsíce za účelem získání vyjádření orgánů podle § 6r odst. 2, 4 a 5 ZoISVS a na další 3 měsíce řízení přerušit za účelem získání závazného stanoviska Národního úřadu pro kybernetickou a informační bezpečnost[15]. V důsledku tak celková lhůta pro vyřízení žádosti může trvat déle než 7 měsíců.
Ke dni zpracování tohoto článku bylo v katalogu poskytovatelů služeb cloud computingu zapsáno celkem 18 poskytovatelů a lze očekávat výrazný nárůst s blížícím se koncem přechodných období dle shora uvedené tabulky. Případným poskytovatelům doporučujeme s podáním žádosti s ohledem na maximální délku řízení neotálet. S přílivem nových žádostí a s přihlédnutím ke kapacitám NÚKIB a dalších zainteresovaných subjektů lze spíše očekávat větší prodlevu s vyřizováním žádostí a prodlužování řízení.
Až na velmi specifické výjimky je nutné do katalogu cloud computingu zapsat všechny služby, které poskytovatel chce nabízet orgánům veřejné správy[16].
Před podáním žádosti o zápis nabídky je nutné rozmyslet si, o kterou bezpečnostní úroveň cloud computingu hodlá poskytovatel žádat. Bezpečnostní úrovně jsou čtyři, přičemž 4. kritická (nejvyšší úroveň) je vyhrazena pouze pro poskytovatele státního cloud computingu. Zbývající úrovně jsou 1. nízká, 2. střední a 3. vysoká[17]. Orgán veřejné moci, který chce využívat cloud computing, musí stanovit sám pro sebe požadovanou úroveň bezpečnosti v souladu s vyhláškou o bezpečnostních úrovních. K tomu je možné mimo jiné využít podpůrný materiál NÚKIB s názvem Průvodce zařazením poptávaného cloud computingu do bezpečnostní úrovně[18].
Ačkoliv je primárně povinností orgánu veřejné moci zařadit poptávaný cloud computing do určité bezpečnostní úrovně, může si poskytovatel projít metodikou zařazení dobrovolně sám, zjistit do jaké úrovně zřejmě bude zařazena jeho služba a podle toho zvolit příslušnou přihlášku nabídky (poskytovatel si ověří, do jaké bezpečnostní úrovně jeho službu zařadí orgán veřejné správy a podle toho zvolí úroveň žádosti). Různé úrovně pak kladou různé požadavky na službu a přílohy žádosti.
Pro praxi je dobré, že Ministerstvo vnitra ve spolupráci s NÚKIB zveřejnilo formuláře přihlášky do každé z bezpečnostních úrovní, které obsahují seznam všech povinných příloh i s vysvětlivkami. Základní zákonem stanovené požadavky[19] jsou:
Rozepsání všech podkladů k doložení způsobilosti nabídky být zapsané do katalogu cloud computingu přesahuje možnosti tohoto článku. Jedná se o oblasti týkající se místa zpracování a uložení dat, podmínek zpřístupnění a předání dat, oprávnění k provedení kontroly, úrovně dostupnosti služeb, připojení do peeringového uzlu, zajištění poskytování služby cloud computingu, nakládaní s daty, certifikace služby, kybernetických bezpečnostních událostí a incidentů a testování služby.
Mezi důležité podklady patří zejména:
Absence některého z podkladů automaticky ještě neznamená, že poskytovatel není oprávněn svoji nabídku do katalogu zapsat. V mnoha případech je dáno poskytovateli na výběr z několika alternativ, kterou k nabídce může připojit. Pokud poskytovateli chybí některý z obligatorních podkladů, může se rozhodnout požádat o zápis do nižší bezpečnostní úrovně, pro kterou daný podklad není potřeba. Jediným omezením v takovém případě bude nemožnost poskytovat služby orgánům veřejné správy, které zařadily svoji poptávku do vyšší úrovně, než pro kterou je nabídka zapsána.
Pro poskytovatele zaměřující se primárně na zahraniční trh může být rovněž důležité, že Ministerstvo vnitra vyžaduje podklady v českém jazyce. Máte-li například podmínky poskytování služby v angličtině, neobejdete se bez českého překladu. Dle našich zkušeností je však Ministerstvo vnitra poměrně vstřícné a postačí přeložit jen relevantní části textu podkladů (kupříkladu ujednání podmínek, na které je v žádosti odkazováno). V každém případě je ale nezbytné posuzovat každý případ individuálně a může se stát, že se neobejdete bez kompletního překladu a v souvislosti se zápisem dojde k navýšení nákladů[20].
Běžně také může nastat situace, že žadatel nesplňuje požadavky pro zápis do bezpečnostní úrovně, o kterou požádal (zejména po výzvě k doplnění podkladů). Ministerstvo vnitra však nemůže nabídku, o jejíž zápis poskytovatel usiluje, libovolně přeřadit do jiné (nižší) bezpečnostní úrovně. V této „patové” situaci tak nezbude žadateli žádost stáhnout a celým procesem projít znovu už pro vhodnou bezpečnostní úroveň. Vyžadované podklady proto důsledně shromážděte již v rámci příprav celého procesu a žádost dodejte, pokud možno, kompletní nebo alespoň s vědomím toho, že budete s to jakékoli podklady na výzvu doplnit.
O zápisu nabídky musí Ministerstvo vnitra rozhodnout do 30 dnů s tím, že pro bezpečnostní úroveň střední a vysokou si zároveň Ministerstvo vnitra musí vyžádat závazné stanovisko NÚKIB, k jehož vydání má NÚKIB až 30 dnů. Řízení bude tedy celkem trvat až dva měsíce.
Zajímavé je, že do katalogu cloud computingu se mohou dobrovolně zapsat také poskytovatelé a služby, které zatím nejsou nabízené orgánům veřejné moci (a třeba ani nikdy nebudou). Zápis osvědčuje splnění legislativních podmínek pro konkrétní bezpečnostní úroveň cloud computingu a může sloužit jako významná konkurenční výhoda při dodávkách řešení soukromým subjektům a orgánům veřejné moci, které nemají povinnost řešení vybírat z katalogu cloud computingu.
Ne jednou jsme s klienty advokátní kanceláře řešili, že během obchodních jednání s velkými korporacemi stále dokola osvědčují bezpečnost svých služeb, a to například formou dokládání certifikátů o splnění norem z rodiny ISO 27000 apod. Vzhledem k tomu, že splnění norem se dokládá u vyšších úrovní bezpečnosti cloudových služeb, mohlo by „razítko” Ministerstva vnitra, respektive NÚKIB, a zápis v katalogu cloud computingu představovat jednoduchý způsob jak zákazníkům poskytovatelů dokládat bezpečnost svého řešení bez nutnosti předkládat bezpečnostní dokumentaci.
I samotné Ministerstvo vnitra doporučuje všem orgánům veřejné moci, i těm, na které by v konkrétním případě povinnost vybírat z katalogu cloud computingu nedopadala, aby si vybíraly řešení z katalogu[21].
Nová právní úprava cloud computingu je založena na dobrých úmyslech a cílech. Měla by usnadnit orgánům veřejné moci nalézt bezpečný cloud computing—po provedení zařazení poptávaného cloud computingu do bezpečnostní úrovně by orgán měl nahlédnout do katalogu cloud computingu a jednoduše z něj vybrat potenciální systémy s předem zapsanou úrovní. Zejména menší orgány veřejné moci tak nebudou muset prověřovat dodavatele a jejich systémy (zejména prověření bezpečnosti systémů je finančně i časově velmi náročná disciplína). Úprava zároveň nutí poskytovatele zajistit alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací, protože jinak by byli vyloučeni z možnosti poskytovat své služby orgánům veřejné moci.
Negativně hodnotím dvojkolejnou úpravu v ZKB a ZoISVS s různými definicemi povinných osob a různými povinnostmi podle uvedených zákonů. Zároveň hodnotím negativně nepřipravenost všech prováděcích předpisů. Postupně sice dochází k vydávání prováděcích předpisů, se kterými novela DEPO počítá, nicméně ke dni přípravy tohoto článku stále chybí například vyhláška, kterou se stanoví obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu, jak předpokládá ustanovení § 6 písm. e) ZKB[22]. V minulosti (i přes již účinná nová pravidla) také absentovaly ostatní tzv. cloudové vyhlášky, kterými se řídí bezpečnostní úrovně a některé požadavky pro zápis poskytovatele a nabídky do katalogu cloud computingu.
V neposlední řadě lze zmínit obecně nízkou úroveň osvěty a informovanosti subjektů regulace. Jako advokát se nyní v praxi potýkám se spoustou otázek klientů, na které zatím neexistují, když už ne osvědčené, tak alespoň praktické odpovědi.
Na článku spolupracoval Mgr. Jan Přívora, advokátní koncipient.
[1] Zákon č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci.
[2] Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění účinném od 1. 9. 2021 (dále jako „ZoISVS”).
[3] § 6t odst. 5 písm. b) ZoISVS předpokládá existenci jiného cloud computingu, na kterém je nabídka závislá. Stejně tak § 6t odst. 7 písm. a) ZoISVS.
[4] Čl. LXXXI zákona č. 261/2021 Sb.
[5] Strana 72 Důvodové zprávy k zákonu č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci.
[6] Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jako „ZKB”).
[7] Za zmínku stojí, že ZKB pracuje s termínem orgán veřejné moci, na rozdíl od orgánu veřejné správy podle ZoISVS. V ust. § 4 odst. 5 stanovuje ZKB orgánům veřejné moci povinnost: „…před uzavřením smlouvy s poskytovatelem služeb cloud computingu zařadit poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému podle prováděcího právního předpisu a zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase.” Povinnosti v oblasti cloud computingu tedy dopadají podle ZKB a ZoISVS na různé subjekty a situace je dost nepřehledná. Více se k tomuto tématu věnuje Jakub Klodwig v části 2.4 Příručky právní regulace cloudu (Klodwig, J. Příručka právní regulace cloudu. Brno: Nugis Finem Publishing, 2022, 108 s.).
[8] Jedná se o Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148. Konečné znění směrnice nebylo ke dni přípravy tohoto článku schváleno a momentálně se dokončuje.
[9] Například v době psaní tohoto článku zajišťujeme přípravu smlouvy o poskytování platformy jako služby pro jednu takovou obec (PaaS).
[10] Více informací o cloud computingu například Přívora, J. Služby cloud computingu v ČR [online]. akcisek.cz. 6. 3. 2020 [cit. 2022-11-09]. Dostupné z: https://akcisek.cz/cs/blog/sluzby-cloud-computingu-v-cr
[11] V § 6t ZoISVS se uvádí, že o zápisu nabídky do katalogu rozhoduje Ministerstvo vnitra na základě žádosti (a) poskytovatele státního cloud computingu, nebo (b) poskytovatele cloud computingu zapsaného v katalogu cloud computingu. Z toho vyplývá, že lze zapsat pouze nabídky poskytovatelů zapsaných do katalogu (s výjimkou poskytovatele státního cloud computingu).
[12] Žádosti podané elektronicky na elektronickou podatelnu Ministerstva vnitra musejí být podepsány zaručeným elektronickým podpisem nebo uznávaným elektronickým podpisem zástupce žadatele. Žadatelé, kteří mají zřízenou datovou schránku podávají žádost na datovou schránku ministerstva označenou jako Katalog cloud computingu (Ministerstvo vnitra).
[13] Podle formuláře Ministerstva vnitra Žádost o zápis poskytovatele do katalogu cloud computingu, verze 3.0, se jedná o „doklad o zkušenostech poskytovatele s poskytováním cloud computingu za posledních 5 let.” Zajímavé je, že tento doklad ani informace v něm uvedené se nezveřejňují v katalogu a absence referencí není bez dalšího důvodem pro nezpůsobilost k zápisu poskytovatele.
[14] Pravděpodobně se tím myslí informace, které bude orgán veřejné správy uchovávat v cloudové službě poskytovatele.
[15] Srov. § 6r odst. 6 ZoISVS, § 149 odst. 3 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů a konečně § 6r odst. 1 ZoISVS.
[16] Klodwig. Příručka právní regulace cloudu. s. 69.
[17] Srov. přílohu č. 1 vyhlášky č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.
[18] Národní úřad pro kybernetickou a informační bezpečnost. PRŮVODCE ZAŘAZENÍM POPTÁVANÉHO CLOUD COMPUTINGU DO BEZPEČNOSTNÍ ÚROVNĚ. Brno, 2021. Dostupné z: https://www.nukib.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/podpurne-materialy/
[19] § 6n ZoISVS.
[20] Vycházíme z naší interní komunikace s Ministerstvem vnitra. Ministerstvo je oprávněno požadovat veškeré podklady v českém jazyce a doporučujeme se minimálně připravit na to, že větší část dokumentů bude muset být přeložena.
[21] „Správci, na jejichž ISVS se ZoISVS nevztahuje, mohou využívat služby zapsané v katalogu CC dobrovolně. Výhodou v tomto případě je, že poskytovatelé a služby zapsané v katalogu CC jsou prověřené, tzn. že vyhovují základním bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací.” Ministerstvo vnitra České republiky. Metodický návod na využívání cloud computingu ve veřejné správě.
Verze 1.0. Praha, 2022. Dostupné z: https://www.mvcr.cz/clanek/metodiky-navody-formulare.aspx.
[22] O tomto nedostatku hovoří také NONNEMANN, F., ČERVENÝ, V., VÍTEK, D. Kybernetický bezpečnostní incident 3D: IT, právo a compliance. Praha: Wolters Kluwer ČR, 2022, s. 189.
Photo by Caspar Camille Rubin on Unsplash