Cílem tohoto článku je posoudit, zda se zmíněná povinnost týká i smluvních vztahů se stávajícími dodavateli, jakož i nastínit vhodné dílčí kroky při zavádění těchto požadavků v dodavatelských vztazích.

 

Okruh povinných osob

Zákon o kybernetické bezpečnosti1 stanoví správcům informačních a komunikačních systémů kritické informační infrastruktury povinnosti v oblasti kybernetické bezpečnosti (dále jen "Správce systému"). Jedná se o systémy určené Národním bezpečnostním úřadem (dále jen "NBÚ") s ohledem na jejich význam pro bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.

Okruh povinných osob má být podstatně rozšířen aktuálně připravovanými novelami Zákona (sněmovní tisky č. 852 a č. 984). Povinnými osobami se mají vedle Správců systémů stát i jejich provozovatelé.2 V případě přijetí novel v navrhovaném znění se tak závěry tohoto článku ve vztahu ke Správcům systémů uplatní i na provozovatele systémů.

 

Povinnost stanovit bezpečnostní požadavky pro dodavatele

Podle ustanovení § 4 odst. 2 a § 5 odst. 2 písm. e) Zákona musí Správci systémů zavést a provádět bezpečnostní opatření spočívající ve stanovení bezpečnostních požadavků pro dodavatele, a to v rozsahu nezbytném pro zajištění kybernetické bezpečnosti.

Obsah tohoto bezpečnostního opatření stanovují ustanovení § 7 odst. 1 a 2 vyhlášky o kybernetické bezpečnosti,3 podle kterých musí Správci systémů uzavřít s dodavateli, kteří se podílejí na rozvoji, provozu nebo zajištění bezpečnosti informačního nebo komunikačního systému kritické informační infrastruktury, smlouvy za účelem zohlednění bezpečnostních požadavků u dodavatelů, a to konkrétně

(i) smlouvu dokumentující rozsah zapojení dodavatelů na rozvoji, provozu nebo zajištění bezpečnosti těchto systémů, jejíž součástí mají být ustanovení o bezpečnosti informací, a

(ii) smlouvu o úrovni služeb, která stanoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření.

Splnění této povinnosti přináší Správcům systémů zvýšené náklady. Je-li Správce systému současně zadavatelem dle právních předpisů upravujících zadávání veřejných zakázek, musí při sjednávání uvedených smluv vyhovět též pravidlům těchto předpisů. S ohledem na tyto obtíže Správci systémů zvažují, že by tuto povinnost splnili jen ve vztahu k nově uzavíraným dodavatelským vztahům.

Takový postup by ovšem byl v rozporu s příslušnými ustanoveními Zákona a Vyhlášky. Z těchto ustanovení nevyplývá, že by se předmětná povinnost dle Zákona týkala jen vztahů s dodavateli, které teprve vzniknou. V souladu s ustanovením § 4 odst. 2 Zákona platí, že Správce systému má povinnost zavést a provádět předmětné bezpečnostní opatření ve vztahu ke všem dodavatelům, u kterých je jeho zavedení a provádění nezbytné z hlediska zajištění kybernetické bezpečnosti. Z této povinnosti Zákon nestanovuje žádnou výjimku.

Rovněž z dikce § 7 odst. 1 Vyhlášky vyplývá, že Správce systému "zavede pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti informací, a zohlední je u dodavatelů nebo jiných osob, které se podílejí na rozvoji, provozu nebo zajištění bezpečnosti" systémů, nikoliv u dodavatelů, kteří se na rozvoji, provozu nebo zajištění bezpečnosti teprve podílet budou.

 

Liberace z odpovědnosti za správní delikt

Porušení povinnosti stanovit bezpečnostní požadavky pro dodavatele je správním deliktem, za který může být Správci systému uložena pokuta do 100 000,- Kč.4

Za spáchání tohoto správního deliktu ovšem Správce systému neodpovídá vždy. Ustanovení § 27 odst. 1 Zákona umožňuje Správci systému zbavit se odpovědnosti, prokáže-li, že vynaložil veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránil.

Správce systému tedy musí učinit veškeré kroky, aby ve stávajících dodavatelských vztazích zohlednil bezpečnostní požadavky bez ohledu na předpokládanou míru součinnosti ze strany příslušných dodavatelů. Správce systému by měl projednat s dodavateli možnosti zohlednění bezpečnostních požadavků a následně je vyzvat k uzavření smlouvy o bezpečnosti informací (ad (i) výše) a úrovni služeb (ad (ii) výše). V návaznosti na jejich reakci by měl učinit další vhodné kroky. Současně by Správce systému měl mít k dispozici dostatečné doklady k prokázání učiněných kroků (např. e-mailová komunikace, zápisy z osobních jednání s dodavatelem aj.), jakož i případných objektivních důvodů, v důsledku kterých předmětné bezpečnostní opatření u konkrétního dodavatele prozatím nezavedl.

Z hlediska možné liberace z odpovědnosti za správní delikt nemusí být dostatečné, pokud Správce systému pouze bez dalšího stávajícího dodavatele informuje o skutečnosti, že je povinnou osobou podle Zákona a bude očekávat, že dodavatelé začnou zavádět bezpečnostní požadavky dobrovolně.

 

Postup po nezavedení požadovaných bezpečnostních opatření

V situaci, v níž nebudou ve stávajícím dodavatelském vztahu zavedena bezpečnostní opatření v rozsahu požadovaném Zákonem, by měl Správce systému tuto skutečnost uvést v plánu zvládání rizik5 včetně identifikace rizik, která mu z toho hrozí, a popisu opatření k jejich snižování či eliminaci. Cílem těchto opatření by mělo být zajištění kybernetické bezpečnosti v Zákonem požadovaném rozsahu.

Pokud se ovšem Správci systému nepodaří ani v delším časovém horizontu přizpůsobit stávající dodavatelský vztah bezpečnostním požadavkům dle Zákona a Vyhlášky, měl by v rámci plánu zvládání rizik zvážit i ukončení tohoto vztahu a jeho nahrazení takovým novým vztahem, který bude vyhovovat požadavkům Zákona.

Závěry uvedené v tomto článku byly konzultovány a potvrzeny zaměstnanci NBÚ. Tento úřad vykonává kontrolu v oblasti kybernetické bezpečnosti a projednává správní delikty podle Zákona.6

-----

Je-li to nezbytné z hlediska zajištění kybernetické bezpečnosti, musí Správce systému zohlednit bezpečnostní požadavky i ve stávajících dodavatelských vztazích.

Porušení této povinnosti je správním deliktem. Odpovědnosti za správní delikt se Správce systému zprostí, pokud prokáže, že vynaložil veškeré úsilí ke splnění této povinnosti, které po něm bylo možné požadovat.

Pokud se Správci systému nepodaří přizpůsobit stávající dodavatelský vztah bezpečnostním požadavkům dle Zákona a Vyhlášky, měl by tuto skutečnost uvést v plánu zvládání rizik včetně identifikace souvisejících rizik a opatření k nápravě. Bude-li takový závadný stav trvat delší dobu, měl by Správce systému zvážit ukončení tohoto vztahu a jeho nahrazení vztahem novým.


Jan Vlk, advokát, Císař, Češka, Smutný,
Martin Krajčovič, advokátní koncipient, Císař, Češka, Smutný


1) Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), (dále jen "Zákon").

2) Provozovatelem informačního nebo komunikačního systému bude dle novely (sněmovní tisk č. 852) Zákona "orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém."

3) Vyhláška Národního bezpečnostního úřadu č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti), (dále jen "Vyhláška").

4) Srov. ustanovení § 25 odst. 2 písm. a) a § 25 odst. 3 písm. a) Zákona.

5) Správce systému má povinnost zpracovat a zavést plán zvládání rizik dle ustanovení § 4 odst. 1 písm. e) Vyhlášky.

6) Srov. ustanovení § 23 odst. 1 a § 27 odst. 4 Zákona.

 

Článek byl publikován v časopise Právní rádce 01/2017.