S t u d i e

Zpracovatel byl požádán objednatelem1 o zpracování právní analýzy právních aspektů budování a provozu 5G sítí s důrazem na problematiku kybernetické bezpečnosti a posouzení dopadů na činnost objednatele a dalších subjektů zapojených do procesu zavádění 5G sítí. Po předběžné analýze zpracovatel vzájemně s objednatelem vymezil jednotlivé oblasti studie.

V případě identifikace problematických míst byl zpracovatel požádán o zpracování návrhu jejich řešení tak, aby byla v souladu s relevantními právními předpisy a ústavními zásadami, a zároveň umožňovala efektivní rozvoj popsané technologie v ČR.

2. Poučení a prohlášení zpracovatele

Zpracovatel neposkytuje žádná prohlášení a nenese žádnou odpovědnost s ohledem na pravost, správnost, přesnost či úplnost jakýchkoli informací, které byly zjištěny z veřejných zdrojů.

Studie (dále jen „studie“) byla vypracována v rozsahu a s právní relevancí ke dni jejího zpracování, tj. ke dni uvedenému v záhlaví studie. Zpracovatel neodpovídá za případné změny relevantních skutečností a předpisů, ke kterým došlo po tomto uvedeném datu. Zpracovatel negarantuje obsahový soulad studie s právním názorem soudu či správního orgánu při případném soudním či jiném řízení souvisejícím s posuzovanou problematikou. Rovněž zpracovatel předpokládá, že od zadání vypracování studie do dne jejího dokončení nenastala žádná významná událost, která by měla zásadní dopad na učiněné závěry.

Studie či její dílčí obsah nesmí být jakkoliv kopírován či měněn, nesmí být zpřístupněn třetím osobám ani s ním nesmí být jinak disponováno bez výslovného předchozího písemného souhlasu zpracovatele. Každé takové jednání bude považováno za neoprávněné. Výklady, hodnocení, názory a závěry jsou platné pouze v celkovém kontextu studie.

3. Základní prameny pro právní posouzení

EU zdroje

• Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019, o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o

1 Zmiňuje-li zpracovatel v rámci studie „objednatele“, rozumí jím společnost Huawei Technologies (Czech) s.r.o. Uvádí-li „Huawei“, hovoří o společnosti Huawei globálně.

certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“)

• Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o

opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii

• Doporučení Evropské komise ke kybernetické bezpečnosti 5G sítí ze dne 26. března

2019

• Usnesení Evropského parlamentu ze dne 12. března 2019 o bezpečnostních hrozbách souvisejících se zvyšující se technologickou přítomností Číny v EU a o případných opatřeních na úrovni EU za účelem jejich omezení (2019/2575 (RSP))

• Sdělení Komise Evropskému Parlamentu, Radě (EU), Evropskému hospodářskému a sociálnímu výboru a Výboru regionů – Bezpečné zavádění sítí 5G v EU – Implementace souboru opatření EU ze dne 29. ledna 2020

• Zpráva členských států EU ke koordinovanému hodnocení rizik kybernetické bezpečnosti EU v sítích 5G ze dne 9. října 2019

• Soubor opatření EU pro kybernetickou bezpečnost sítí 5G (EU Toolbox)

• Bezpečné nasazení 5G v EU: Provádění souboru nástrojů EU – sdělení Evropské komise ze dne 29. ledna 2020

• Dokument ENISA: Posouzení hrozeb pro pátou generaci mobilních telefonů telekomunikační sítě (5G) z listopadu 2019

Prameny práva ČR

• Ústavní zákon č. 1/199 Sb., Ústava České republiky, ve znění pozdějších předpisů (dále jen „Ústava“)

• Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění pozdějších předpisů (dále jen „ZoBČR“)

• Zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“)

• Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“)

• Zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „OZ“)

• Zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů (dále jen „ZTOPO“)

• Zákon č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „SŘ“)

• Zákon č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů (dále jen

„SŘS“)

• Zákon č. 349/1999 Sb., o Veřejném ochránci práv, ve znění pozdějších předpisů (dále jen „ZVOP“)

• Zákon č. 82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem a o změně zákona České národní rady č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád), ve znění pozdějších předpisů

(dále jen „OdpŠk“)

• Zákon č. 182/1993 Sb., o Ústavním soudu, ve znění pozdějších předpisů (dále jen

„ZÚS“)

• Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění pozdějších předpisů

• Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „VKB“)

• Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby

• Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění pozdějších předpisů

Odborná literatura

• XXXXXX, Xxxxx, XXXXXXX, Xxx, MOLEK, Xxxxx a kol. Soudní řád správní – online komentář. 3. aktualizace. Praha: X. X. Xxxx, 2016.

• XXXXXXX, Xxxx. Odpovědnost v soukromém a veřejném právu. Praha: Codex Bohemia, 2000. ISBN 80-85963-92-2.

• XXXXXX, Xxxxx, XXXXXXXX, Xxxxx, XXXXXXX, Xxxx, XXXXXXX, Xxxxx a kolektiv. Zákon o zadávání veřejných zakázek. Komentář. 1. vydání. Praha: Nakladatelství X. X. Xxxx, 2017. 9788074006517.

• XXXXXX, Milan a kol.: Občanský zákoník VI. Závazkové právo. Zvláštní část Komentář. 1. vydání. Praha: X. X. Xxxx, 2014. ISBN 978-80-7400-287-8.

• XXXXXXX, Xxxxx, PONDĚLÍČKOVÁ, Xxxxx, XXXXXXX, Xxxxx. Správní řád. Komentář. 6 vydání. Praha: C. x. Xxxx, 2019. ISBN 978-80-7400-751-4.

• XXXXXXX, Xxxxxx, XXXXXXXX, Xxxxxxx. Zákon o kybernetické bezpečnosti. Komentář. Praha: Xxxxxxx Kluwer, a. s., 2015, ISBN 978-80-7478-817-8.

• XXXXXX, Xxxxx. Kybernetická bezpečnost jako aktuální fenomén českého práva.

Revue pro právo a technologie 11/2015. ISSN 1804-5383.

• XXXXXXXXX, Xxxx. Rozhodnutí správního orgánu a jeho platnost. Správní právo 8/2018. ISSN 0139-6005.

• XXXXXXX, Xxxxxxxx, SOKOL, Xxxxx, KODL, Xxxxxxxx. Bezpečnost informačních systémů podle zákona o kybernetické bezpečnosti. Plzeň: Xxxx Xxxxx, 2019. ISBN. 978- 80-7380-765-8.

• XXXXXXX, Xxxx. Ústavní základy správního řízení v České republice: právo na spravedlivý proces a české správní řízení. Praha: Linde, 2007. ISBN 8072016761.

• XXXXXXXXX, Xxxxxx, XXXXXXX, Xxxxxxx, XXXXXXXX, Xxxxx, XXXXXXXX, Xxx. Listina základních práv a svobod, Komentář. Praha: Xxxxxxx Kluwer, 2012. ISBN 978- 80-7357-750-6.

Judikatura

• Nález Ústavního soudu ze dne 28. března 2000, sp. zn. I. ÚS 513/98

• Nález Ústavního soudu ze dne 11. října 2016, sp. zn. Pl. ÚS 5/16

• Nález Ústavního soudu ze dne 12. července 2001, sp. zn. Pl. ÚS 11/2000

• Nález Ústavního soudu ze dne 17. čevence 2018, sp. zn. III. ÚS 1257/18

• Nález Ústavního soudu ze dne 5. května 2015, sp. zn. II. ÚS 3005/14

• Rozsudek Nejvyššího správního soudu ze dne 12. března 2020, č. j. 2 Azs 259/2019-28

• Rozsudek Nejvyššího správního soudu ze dne 17. prosince 2010, č. j. 4 Aps 2/2010-44

• Rozsudek Nejvyššího soudu ze dne 8. dubna 2013, sp. zn. 28 Cdo 1388/2012

• Rozsudek Nejvyššího soudu ze dne 28. ledna 2009, sp. zn. 25 Cdo 3586/2006

• Usnesení rozšířeného senátu Nejvyššího správního soudu ze dne 1. března 2016, č. j. 4 As 1/2015–40

• Usnesení Nejvyššího soudu ze dne 9. ledna 2013. sp. zn. 28 Cdo 2490/2012

• Rozsudek ESLP ze dne 19. září 2017 ve věci č. 35289/11 – Xxxxxx proti České republice

• Rozsudek SDEU ze dne 4. června 2013 věc C-300/11 - ZZ proti Secretary of State for the Home Department

Online zdroje

• Ericsson: „Edge computing and 5G: Harnessing the distributed cloud for 5G success.“, dostupné online dne 3. září 2020 na: xxxxx://xxxxx.xxxx/xx- content/uploads/2019/10/edge-computing-and-5g.pdf

• NÚKIB: Podpůrný materiál „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“, dostupné online dne 6. května 2020 na: xxxxx://xxx.xxxxxxx.xx/xxxxxxxx/xxx- vis/obecne/Zohledneni-varovani-v-zadavacim-rizeni_v1.0.pdf

• NÚKIB: Metodický materiál „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“, dostupné online dne 6. května 2020 na: xxxxx://xxx.xxxxxxx.xx/xx/xxxxxxxx-x-xxxxxxxx/xxxxxxxx-xxxxxxxxx/

• NÚKIB: Software i hardware společností Huawei a ZTE je bezpečnostní hrozbou, dostupné online dne 6. května 2020 na: xxxxx://xxx.xxxxxxx.xx/xx/xxxxxxxxxx-

servis/hrozby/2680-software-i-hardware-spolecnosti-huawei-a-zte-je-bezpecnostni- hrozbou/

• XXXXXXX, Xxxxxxxx. Jaké povinnosti vyplývají pro orgány veřejné moci ze zákona o

kybernetické bezpečnosti? - II. Právní prostor [online]. 2015 [cit. 5. srpna 2020]. Dostupné z: xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxx/xxxxxxx-xxxxx/xxxx-xxxxxxxxxx- vyplyvaji-pro-organy-verejne-moci-ze-zakona-o-kyberneticke-bezpecnosti-ii

• Důvodová zpráva k návrhu ZVOP

• Důvodová zpráva k návrhu XxxXx

• Xxxxxxxx podvýboru pro ICT, telekomunikace a digitální ekonomiku Poslanecké sněmovny Parlamentu ČR k zabezpečení sítí 5G ze dne 9. 6. 2020. [online]. 2020 [cit. 5. srpna 2020]. Dostupné z: xxxxx://xxx.xxx.xx/xxx/xxxx/xxxx0.xxx?xxxx000000

4. Úvod

V rámci úvodu zpracovatel popisuje obsah a účel studie. Následně ve stručnosti shrnuje obsah jednotlivých částí.

4.1. Obecně k obsahu a účelu studie

Objednatel zadal zpracovateli zpracování studie, jejímž cílem je analýza právních aspektů budování a provozu 5G sítí v České republice, s důrazem na problematiku kybernetické bezpečnosti a posouzení dopadů na činnost objednatele a dalších subjektů zapojených do procesu zavádění 5G sítí.

Po předběžné analýze zadání zpracovatel vzájemně s objednatelem vymezil jednotlivé kroky, které by měly být v rámci studie provedeny. Tyto kroky lze shrnout následovně:

− popsat relevantní platnou legislativu a související aspekty právní úpravy 5G sítí v ČR

− zhodnotit úroveň právní úpravy s ohledem na problematiku kybernetické bezpečnosti a činnost objednatele a dalších subjektů zapojených do procesu zavádění 5G sítí

− identifikovat potencionálně problematická místa právní úpravy s ohledem na kybernetickou bezpečnost, hospodářskou soutěž a zajištění efektivního procesu budování 5G sítí

− navrhnout konstruktivní řešení problematických částí

4.2. Rozdílný přístup členských států k objednateli

Provedení podrobné analýzy relevantních otázek včetně výše popsaných kroků považuje zpracovatel za potřebné i s ohledem na to, že postoj k otázkám kybernetické bezpečnosti v jednotlivých členských státech EU není zcela jednotný. EU ponechává členským státům v otázkách kybernetické bezpečnosti, zejména pak při výběru dodavatelů 5G sítí volnost, pouze prostřednictvím Evropské komise vyzývá ke společnému postupu a státům doporučila2, aby k budování sítí 5G, zejména pak jejich citlivým částem, nebyly připuštěny společnosti, jež by mohly být považované za bezpečnostní riziko. Jednotlivé členské státy si mohou samy zvolit, s jakými dodavateli budou při výstavbě a provozu 5G infrastruktury spolupracovat. Je pak na jednotlivých vládách států EU, aby individuálně posoudily potenciální rizika vybraného dodavatele sítí páté generace.

Rozdílný přístup jednotlivých států lze demonstrovat zejména na tom, jak se jednotlivé státy staví k otázce, zda a případně za jakých podmínek bude k procesu budování 5G sítí připuštěna Huawei. Zjednodušeně lze státy dle aktuálního stavu rozdělit do tří následujících skupin.

2 xxxxx://xx.xxxxxx.xx/xxxxxxx-xxxxxx-xxxxxx/xx/xxxx/xxxxxx-0x-xxxxxxxxxx-xx-xxxxxxxxxxxx-xx-xxxxxxx- communication-commission

4.2.1. Státy s potenciálními omezeními

Žádný ze států EU se doposud nevyjádřil v tom smyslu, že by zcela jednoznačně zakázal nákup zařízení Huawei, některé plánované restrikce však mají totožný výsledek, jako kdyby k takovému zákazu došlo.

Takovým státem je například Francie. Ta výslovně Huawei jakožto případného dodavatele 5G sítí nezakázala, ale francouzské provozovatele těchto sítí nové generace plánuje od spolupráce s Xxxxxx odrazovat. Mobilním operátorům je tak ze strany francouzských úřadů umožněno využívat povolení pro zařízení Huawei po dobu platnosti již vydaných povolení (což činí 3-8 let), avšak Francouzská agentura pro kybernetickou bezpečnost uvedla, že tato povolení již nebudou obnovena, v důsledku čehož dojde k vyloučení Huawei z 5G sítí do roku 2028. Uvedená agentura současně vyzvala operátory nepoužívající zařízení Huawei, aby tento status byl zachován.3

Rumunsko přišlo s návrhem zákona, na základě něhož by měli být vybíráni dodavatelé 5G sítí, kdy nastavené podmínky prakticky vylučují společnost Huawei ze soutěže. Jmenovitě však Xxxxxx vyloučena nebyla.4

Dalšími státy, u nichž lze očekávat zavedení omezení Huawei při zavádění 5G sítí, jsou například

Dánsko a Estonsko.5

4.2.2. Státy bez omezení

Prozatím se naopak vůči společnosti Huawei kladně vyjádřili zástupci států jako Švédsko6, které se však současně snaží o vývoj vlastních technologií, Srbsko či Maďarsko.7

Španělsko se pak dokonce stalo první zemí, která Huawei udělila pro výstavbu sítí 5G bezpečnostní prověrku, která poskytuje důvěryhodnou záruku zabezpečení pro bezdrátový přístup 5G.8

3 xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xx-xxxxxx-xxxxxx-0x-xxxxxxxx-xxxxxxxxx/xxxxxxxxx-xxxxxx-xxxxxx-xx-xxxxxx-0x- equipment-amount-to-de-facto-ban-by-2028-idUSKCN24N26R .

4 xxxxx://xxxxxxxxxxxxx.xxx/0000/00/00/xxxxxxxx-xxxxxxxxxx-xxx-0x-xxxx-xxxxx-xxxx-xxx-xxxxxx/.

5 xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xx-xxxxxxxx-0x-xxxxxxx/xxxxxxx-xxxxx-0x-xxxxxxxxx-xxxx-xxxxxxx-xxxxxx-xxxxxxxxx-

says-defence-minister-idUSKBN23F1IT , xxxxx://xxxxxxxxx.xxx/0000/00/xxxxxxxxx-xxxxxxxxxx-xxxxxx-xxxxx-xxxxxxx/, xxxxx://xxx.xxxxxxxx.xx/xx-xxxxxxx/xxxxxxx/0000/00/Xxxxxxxxxx-Xxxxxx-xxxxxx-xx-Xxxxxxxxxxx-Xxxxxxxx-0000.xxx , xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xx-xxxxxxx-xxxxxxxx-xxx/xxxxxxx-xxxxxx-xxxxxx-xxx-xxx-xxxxxxx-xxxxxxxx-xxxxxxx- idUSKBN22O22I ,

6 xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xx-xxxxxxx-xxxxxx-xxxxxx/xx-xxxxxxx-xxxx-xxxxxx-x-x-xxxxxxxx-xxxxxx-xx-xxxxxx-xx- follow-suit-idUSKCN24F1XG.

7 xxxxx://xxx.xx.xxx/xxxxxxxx/000000-xxxxx-0x-xxxxxxx-xxxxxx/xxx/, xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xx-xxxxxxx- telecoms-huawei/hungarian-minister-opens-door-to-huawei-for-5g-network-rollout-idUSKBN1XF12U .

8 xxxxx://xxxxxxxx-xxxxxx.xx/xxxx/xxxxx-xxxxxxxx-xxxxxxxxxxxxx-xxxxxxx-xx-xxxxxx-xx-xxxxx-000000 .

Navzdory původním náznakům avizujícím vyloučení Huawei z budování sítí páté generace se Itálie

nakonec rozhodla nezavést žádný zákaz.9

Polsko pak uvedlo, že vyloučení společnosti Huawei při budování 5G infrastruktury by bylo možné, nicméně finančně velice nákladné, lze tedy usuzovat, že Polsko bude patřit mezi státy, které operátorům umožní zařadit Huawei do výběrového procesu.10

Dalším státem, který prohlásil, že společnost Huawei nebude mít zákaz při výstavbě 5G sítí, je

Belgie.11

Neutrální přístup vůči všem dodavatelům potvrdilo Rakousko, které zároveň neshledalo žádný problém s nasazením technologií Huawei.12

Jeden ze stěžejních členských států EU, Německo, v této souvislosti zveřejnilo návrh katalogu bezpečnostních požadavků pro provoz telekomunikačních systémů a systémů pro zpracování dat i pro zpracování osobních údajů, který bude předložen k oznámení Evropské komisi (prozatím tedy nejsou vyloučeny případné úpravy zmíněného katalogu). Katalog stanoví kritéria a pravidla, která musí telekomunikační společnosti dodržovat při nákupu příslušných komponentů, budování a provozování sítí. To znamená, že v rámci Německa budou zachovány stejné konkurenční podmínky pro všechny dodavatele sítě 5G, aniž by pro Huawei existovaly jakékoliv zvláštní požadavky. Německo tak spoléhá na jiná opatření, než všeobecné vyloučení.13

Německo současně vytvořilo pro ostatní evropské státy precedent pro jednání zemí EU o problematice 5G sítí, když stanovilo, že o výběru technologií pro výstavbu sítí 5G bude rozhodovat právě na základě shora uvedeného katalogu s jasně danými kritérii Spolkový úřad pro bezpečnost informační techniky (BSI). Pro všechny potenciální dodavatele tak budou na německém území platit při současném splnění bezpečnostních požadavků rovné podmínky, a to bez ohledu na zemi původu toho kterého dodavatele. I přes splnění bezpečnostní prověrky však bude možné dodavatele vyloučit, pokud obavy ohledně bezpečnosti dodavatele jednomyslně vyjádří Úřad spolkového kancléře, Úřad pro zahraniční věci, Ministerstvo vnitra a Ministerstvo průmyslu. Bude se tedy jednat o jakýsi dvoustupňový schvalovací proces14, jehož první část je primárně založena na objektivních kritériích technického charakteru, přičemž prostřednictvím druhé fáze si stát zachovává možnost vyloučit určitého dodavatele rozhodnutím politické povahy (zpracovatel se tímto rozlišením zabývá více v kapitole pojednávající o legislativě třetích zemí).

9 xxxxx://xxx.xxxxxxxx.xx/xxxxxxxx/0x-xxxx-xxxxxx-xxxxxxx-xxx-xxxxxxx-xxxxxx/, xxxxx://xxx.xxxxxxxx.xx/xxxxxxxx/xxxx-xx-0x-x-xxx-xxxx-xx-xxxxx/.

10 xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxx-xxxxxxxxxx/x-x-xxxxxx-xxxxx-xxxxxxxxxxx-0x/.

11 xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxx/xxxxxxx-xxx-xxxx/000000/xxxxxxx-xxxx-xxx-xxxx-xx-xx-xxxxxxx-xxxxxx-xxxx- its-telecom-networks/, xxxxx://xxx.xxxxxxxxx.xx/xxx/xxx00000000_00000000 .

12 xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xx-xxxxxxx-0x-xxxxxx-xxxx/xxxxxxx-xx-xxxxxxxxxxx-xxxx-xx-xxxxxxxx-xx-xxxxxx-0x- decision-idUSKBN1ZJ10R.

13 xxxxx://xxx.xxx.xxx/xxxxxxx/xxxxxxxxxx/xxxxxxx/0x-xxxx-xxxxxxxx-xxxxxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxx-xxxxx-xxxxxx- 16900177.html .

14 xxxxx://xxx.xxxxxxxxxxxx.xxx/xxxx/xxxxxx-xxxx-xxxxx-xxxx-xxxx-xxxxxx-xxx-xxx-0x-xxxxxx--0000000 .

Za takto stanovených podmínek je apriorní vyloučení Huawei z německé soutěže dodavatelů sítí 5G v tuto chvíli vysoce nepravděpodobné, z důvodu požadavku svorného rozhodnutí výše citovaných institucí, mezi nimiž však v této otázce nepanuje shoda. Ministerstvo průmyslu, jakož i Úřad spolkového kancléře se totiž již dříve poměrně razantně ohradilo vůči zákazu technologií od Huawei.15

Na základě předmětného katalogu bude ovšem třeba zajistit, aby bezpečnost sítí a služeb, jakož i osobních údajů, nebyla narušena závislostí na třetích stranách. Provozovatelé sítí musí také mimo jiné kontrolovat „spolehlivost, důvěryhodnost a kvalitu“ dodavatelů.16

Výše zmíněná kritéria stanovená katalogem jsou technického rázu a vzhledem k možným úpravám znění katalogu není vyloučeno, že poslední slovo při rozhodování o dodavatelích 5G sítí si vyhradí samy pro sebe politické osobnosti.

4.2.3. Státy, které se doposud nevyjádřily

Větší část členských států Evropské unie se doposud k otázce dodavatelů 5G sítí nikterak nevyjádřila a nezaujala žádný postoj k případnému připuštění Huawei do výběrových řízení. Některé z těchto států, mezi nimiž jsou Česká republika a Lotyšsko17, podepsaly společně s USA Společnou deklaraci v oblasti bezpečnosti sítí 5. generace, přičemž se zavázaly, že tyto země neumožní přístup na své trhy společnostem, které jsou vystaveny zahraničnímu zasahování.

Podle zmíněné deklarace je důležité hodnotit zejména následující:

− Zda dodavatelé nepatřičně nepodléhají zahraničním vlivům bez možnosti nezávislého soudního přezkumu.

− Zda dodavatelé mají transparentní vlastnickou strukturu, dohledatelná obchodní spojení a standardní strukturu řízení společnosti.

− Zda se dodavatelé zavázali své produkty pravidelně inovovat a zda respektují právo na duševní vlastnictví.

− Zda se dodavatelé hardwaru a softwaru chovají v souladu s etickými standardy korporátního chování a zda jsou součástí takového právního prostředí, které vynucuje transparentní chování firem.18

Do uvedené kategorie by tak mohla spadat i společnost Huawei. To však záleží vždy na posouzení v rámci daného státu. Deklarace sama o sobě nevyvolává právní následky, resp. neznamená přímé

15 xxxxx://xxx.xxxxx.xx/xxxx/0x-xxxxxx-xxx-xxxxxx-xx-xxxxxxxxxxx-xxxxxxxxx-xxxxxxxxxxxxxx-0000-000000.xxxx , xxxxx://xxx.xxx.xxx/xxxxxxx/xxxxxxxxxx/xxxxxxx/xxxx-xxx-xxxxxxxxx-xxxxxxxx-xxxx-xxxxx-xxxxxxxxx-00000000.xxxx .

16 xxxxx://xxx.xxx.xxx/xxxxxxx/xxxxxxxxxx/xxxxxxx/0x-xxxx-xxxxxxxx-xxxxxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxx-xxxxx-xxxxxx- 16900177.html .

17 xxxxx://xx.xxxxxxxxx.xxx/xxxxx-xxxxxxxxx-xx-xxxxxx-xxxxxx-xxxxx-xxxxxxxx-xxxxx-xxxxxxxxxxx-xx-0x-xxxxxxxx/, xxxxx://xxx.xxxxx.xxx/xxxxx-xxxxxxxxx-xx-xxxxxx-xxxxxx-xxxxxx-xxxxx-xxxxxxxxxxx-xx-0x-xxxxxxxx/.

18 xxxxx://xxx.xxxxx.xx/xx/xxxxxxxxxx-xxxxxx/xxxxxxxxx/0000-xx-x-xxx-xxxxxx-xxxxxxxxxxxxx-xx-xxxxxxxxxxx-xxxx-0- generace/

vyloučení Huawei. Zmíněnou deklaraci totiž signovalo rovněž Polsko19, které pro Huawei neplánuje žádné omezení, Estonsko20, u něhož je naopak očekáváno zavedení restrikcí vůči uvedené společnosti a Rumunsko21, které zavádí podmínky vylučující Huawei ze soutěže.

4.3. Struktura studie

S ohledem na výše uvedené zpracovatel člení studie na následující dílčí kapitoly, jejichž obsah a význam s ohledem na účel studie v rámci tohoto úvodu zároveň ve stručnosti popisuje.

4.3.1. EU Toolbox a jeho význam pro zabezpečení 5G sítí

Skupina pro spolupráci EU22 v oblasti bezpečnosti sítí a informací, tvořená zástupci orgánů všech členských států, Evropské komise a ENISA23 (dále jen „Skupina pro spolupráci EU“), vydala dne

29. ledna 2020 dokument „Cybersecurity of 5G networks EU Toolbox of risk mitigating measures“ (dále jen „EU Toolbox“).

Dokument představuje soubor nástrojů pro opatření ke zmírnění rizik spojených se zaváděním sítí 5G. Jeho hlavním cílem je určení koordinovaného přístupu na evropské úrovni založeného na sadě opatření zaměřených na zmírnění hlavních kybernetických bezpečnostních rizik sítí 5G.

EU Toolbox je zásadním vodítkem pro úpravu legislativy členských států v oblasti kybernetické bezpečnosti. Jeho formulace a zejména pak způsob implementace v jednotlivých členských státech stanoví právní rámec budování 5G sítí resp. to, jakým způsobem bude zajištěna rovnováha mezi zajištěním kybernetické bezpečnosti na straně jedné a efektivitou budování těchto sítí na straně druhé.

V rámci studie bude posouzen obsah EU Toolboxu spolu s jeho povahou a závazností pro členské státy v kontextu dosavadního vývoje právního rámce v EU. Součástí analýzy bude i zhodnocení aktuálního stavu jeho implementace v jednotlivých členských státech.

4.3.2. Analýza právní úpravy oblasti kybernetické bezpečnosti v ČR

Jak bylo zmíněno, EU Toolbox představuje pouze soubor doporučujících opatření. Zásadní proto bude způsob, jakým budou tato opatření implementována do právních řádů členských států. V řadě

19 xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxx-xxxxxxxxxx/x-x-xxxxxx-xxxxx-xxxxxxxxxxx-0x/.

20 xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxx-xxxxxxxxxx/xxxxxx-xxxxxx-xxxxxxx-xxxxx-xxxxxxxxxxx-0x-xxxxxxxx/.

21 xxxxx://xxx.xxxxxxx-xxxxxxx.xxx/xxxxxxx-xx-0x-xxxxxxxxxx.

22 NIS Cooperation Group byla zřízena směrnicí o bezpečnosti sítí a informačních systémů z roku 2016 (směrnice o bezpečnosti sítí a informací) s cílem zajistit strategickou spolupráci a výměnu informací mezi členskými státy EU v oblasti kybernetické bezpečnosti.

23 Evropská agentura pro kybernetickou bezpečnost

členských států včetně ČR již legislativa upravující kybernetickou bezpečnost do určité míry existuje.

Studie proto shrne a posoudí aktuální legislativu upravující oblast kybernetické bezpečnosti v České republice. Důraz bude kladen především na ustanovení spojená se zmírňováním rizik v souvislosti s budováním a provozem 5G sítě.

Pozornost bude věnována zejména rozboru relevantních částí zákona č. 181/2014 Sb., o kybernetické bezpečnosti, a vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti. Dále budou představeny i další podzákonné a prováděcí právní předpisy a právní předpisy EU, kterými je Česká republika bezprostředně vázána.

Studie mimo jiné upozorní na aktuální stav přijetí konkrétních závazných postupů pro hodnocení případné rizikovosti dodavatelů technologického řešení v ČR. Zároveň předloží návrh základních zásad, na kterých by měl být s ohledem na dosavadní názorový trend NÚKIB a se zachováním principů moderního právního státu proces takového hodnocení rizikovosti v praxi založen.

4.3.3. EU certifikace kybernetické bezpečnosti

EU Toolbox obsahuje mimo jiné dvě technická opatření zaměřená na certifikaci produktů, služeb a procesů spojených (nejen) s budováním 5G sítí.

Konečná podoba procesu EU certifikace dosud není přijata. Vzhledem k významu certifikace pro zmírnění rizik spojených se zaváděním sítí 5G je však vhodné se touto problematikou podrobněji zabývat. Zpracovatel se proto zabývá podstatou a účelem certifikace a následně posuzuje její možné využití v souvislosti s rizikovými dodavateli.

4.3.4. Varování NÚKIB

Dne 17. prosince 2018 vydal Národní úřad pro kybernetickou a informační bezpečnost (dále jen

„NÚKIB“) varování sp. zn. 110-536/2018, č. j. 3012/2018-NÚKIB-E/110 (dále jen „Varování“) varující před dvěma konkrétními subjekty (včetně objednatele). Doposud se jedná o nejvýraznější a nejdiskutovanější akt, který byl na poli kybernetické bezpečnosti ČR učiněn. I přes konkrétní zaměření Varování, má analýza tohoto aktu význam pro všechny subjekty účastnících se na budování 5G sítí. Zatímco aktuálně platné varování je namířeno proti objednateli, NÚKIB takto v budoucnu může označit za rizikový jakýkoli jiný subjekt (dodavatele).

Je tak významné zabývat se jeho právní povahou, odůvodněním jeho vydání, zákonností zejména s ohledem na české právní přepisy a s důrazem na ústavněprávní rovinu a potenciální prostředky právní obrany. Stejně tak je nutné posoudit soulad Varování s obsahem již zmíněného EU Toolboxu.

4.3.5. Legislativa třetí země jako kritérium hodnocení rizikovosti dodavatele

Posouzení legislativy třetích zemí nabývá v souvislosti s kybernetickou bezpečností na významu. Právní předpisy třetí země jako jedno z kritérií posouzení rizikovosti dodavatele uvádí i EU Toolbox. Stejně tak je jako jeden z důvodů vydání Varování uvádí NÚKIB. Ten zmiňuje konkrétně zákony ČLR, které mají zakotvovat povinnost poskytování informací občany ČLR vůči státu, resp. zpravodajským službám.

Studie se tak bude zabývat obecně legislativou třetích zemí jako kritériem pro posouzení rizikovosti a ve vztahu k objednateli zanalyzuje dopady příslušné právní úpravy ČLR. V rámci toho se bude zabývat otázkou, zda obavy z účasti objednatele na zpravodajských aktivitách jsou na základě odkazu na právní normy ČLR podložené a jaký význam, pokud nějaký, by měly představovat při posuzování jeho rizikovosti.

Tato otázka přitom není zásadní jen z pohledu objednatele, ale i pro řadu dalších subjektů – dodavatelů se sídlem či místem výroby v ČLR či dalších třetích zemích, případně jejich subdodavatelů takové povahy.

4.3.6. Role dodavatele technického řešení pro 5G sítě s ohledem na rizika v oblasti kybernetické bezpečnosti

Procesu budování a provozu 5G sítí se účastní řada subjektů. Každý z nich má specifickou roli, která je spojena s řadou práv a povinností. Jejich souhrn by měl vyústit v zajištění maximální míry kybernetické bezpečnosti 5G sítí při zachování efektivity jejich budování.

Rizika spojená s budováním 5G sítí mají celou řadu příčin a na jejich zmírnění se podílí všechny zúčastněné subjekty různou měrou. Přesná identifikace jejich činností a s nimi spojených povinností a odpovědnosti je tak páteřní otázka spojená s touto problematikou. Zároveň je nutné si uvědomit, že „5G sítě“ nejsou stavěny separátně od již existujících mobilních sítí, které operátoři provozují. Právě naopak – 5G sítě budou u celé řady operátorů využívat stávající 4G sítě pro některé aspekty svého provozu (tzv. „non-standalone 5G“), jak je to v české realitě např. u 5G sítě, kterou operátor O2 testuje v Kolíně24. Ani do budoucna se nedá očekávat, že by sítě 5G nahradily minulé generace, ale budou jejich doplněním, stejně jako sítě 4G nenahradily předchozí generace. Ty operátoři stále ve svých sítích podporují, pouze modernizují příslušné technologie.

Studie přinese právní pohled zejména na roli dodavatele při zavádění 5G sítí, jeho odpovědnost za oblast kybernetické bezpečnosti a s tím spojená rizika. Postavení dodavatele pak bude dáno do kontextu s rolí státu a operátora.

24 xxxxx://xxx.xxxx.xx/xxxxxxxxx/x0-x-xxxxxxxx-x-xxxxxx-xxxxxxx-0x-xxx-x-xxxxx-xxxxxxxxx-xxxxxxxx-000-xx-x/

4.3.7. Návrh součinnosti při řešení otázek kybernetické bezpečnosti sítě 5G

Z předešlých kapitol vzejde řada zjištění, která budou mít význam nejen pro objednatele, ale i pro celý proces budování 5G sítí v ČR.

V návaznosti na zadání objednatele studie předloží možné formy součinnosti objednatele zejména ve vztahu k NÚKIB. Vzájemná součinnost by měla být postavena na principech, které dostatečně vyváží zájem na ochraně národní bezpečnosti, ale rovněž i volné hospodářské soutěže a práv (nejen) objednatele při jeho zapojení do budování sítí 5G v České republice.

5. EU Toolbox a jeho význam pro zabezpečení 5G sítí

EU Toolbox25, tedy „Soubor opatření EU pro kybernetickou bezpečnost sítí 5G“, představuje významný pokrok ve snaze EU koordinovat přijímání opatření zmírňujících rizika spojená se zaváděním sítí 5G. V této souvislosti je třeba připomenout zásadní roli ČR jakožto evropského lídra v oblasti kybernetické bezpečnosti. To se potvrdilo i v souvislosti s EU Toolboxem, na jehož přípravě se dominantně podílela Česká republika spolu s Francií.26

Zpracovatel nejprve připomene vývoj aktivit EU v oblasti kybernetické bezpečnosti a zásadní kroky, které vydání EU Toolboxu předcházely. Tím bude zasazen uvedený dokument do širšího kontextu celé problematiky. Zpracovatel se bude zabývat právní povahou a závazností EU Toolboxu. Poté bude blíže analyzovat jeho obsah a rozdělí jednotlivé druhy opatření ke zmírnění rizik, jejichž implementaci EU Toolbox doporučuje. Po tomto obecnějším představení se zpracovatel zaměří na konkrétní místa, která považuje z pohledu objednatele za významná. Těmi jsou zejména kritéria, podle nichž má být posuzován rizikový profil dodavatele. Dále zpracovatel popíše další kroky, které EU Toolbox v dotčené oblasti bezpečnosti 5G sítí předpokládá, spolu s jejich časovým harmonogramem.

V této souvislosti se zpracovatel bude zabývat i „Zprávou o pokroku členských států při provádění EU Toolboxu pro 5G kybernetickou bezpečnost“27 (dále jen „Zpráva o implementaci“). I zde se zpracovatel zaměří zejména na stav implementace strategického opatření SM0328, které je na rizikovost dodavatele zaměřeno. Zde se zaměří zejména na faktory, které Zpráva o implementaci považuje za klíčové, a dále popíše i typové a konkrétní přístupy členských států, na které Zpráva o implementaci odkazuje.

5.1. Přijetí EU Toolboxu

Skupina pro spolupráci EU vydala dne 29. ledna 2020 dokument s názvem EU Toolbox, který jednotlivým členským státům předkládá, jaká opatření by měla být přijata na úseku kybernetické bezpečnosti a jaká návodná kritéria by měla být zohledněna při posuzování rizikovosti dodavatelů technologie.

Děje se tak z toho důvodu, že aktuálně není národní legislativa upravující oblast kybernetické bezpečnosti v členských státech zcela srovnatelná a tento doporučující dokument má tedy být zároveň návodem, jakým opatřením by měla být věnována pozornost. Účelem EU Toolboxu je

25 xxxxx://xx.xxxxxx.xx/xxxxxxx-xxxxxx-xxxxxx/xx/xxxx/xxxxxxxxxxxxx-0x-xxxxxxxx-xx-xxxxxxx-xxxx-xxxxxxxxxx-xxxxxxxx

26 xxxxx://xxx.xxx.xx/xx/xxxxxxxxxx/xxx-xxxxx/xxxxxxx-xxxxxx/xxxxxxxx-xxxxxx-xxxxxx-xxxx-xxxxxxxxxx-xx-xxxxxxxxxx- dodavatelich-5g-technologii---255914/

27 Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity dostupné na xxxxx://xx.xxxxxx.xx/xxxxxxx-xxxxxx-xxxxxx/xx/xxxx/xxxxxx-xxxxxx-xxxxxx-xxxxxxxx-xxxxxxxxxxxx-xx-xxxxxxx-0x- cybersecurity

28 Posouzení rizikového profilu dodavatelů a uplatňování omezení u dodavatelů považovaných za vysoce rizikové – včetně nezbytných vyloučení pro účinné zmírnění rizik – pro klíčová aktiva

snaha o dosažení co nejvíce konsolidovaného přístupu všech členských států napříč EU k mechanismu zabezpečení sítě 5G.

EU Toolbox navazuje na předcházející, resp. související aktivitu EU v oblasti kybernetické bezpečnosti. Je proto třeba zasadit jej do kontextu celého vývoje této problematiky. Z tohoto vývoje zpracovatel níže vybírá některé z významných dokumentů.

NIS neboli Network Information Security29 je první směrnice, která vznikla na půdě Evropské unie jako ucelený dokument, jehož cílem je zajistit společnou vysokou míru bezpečnosti na úrovní sítí a informačních systémů. Jde tak o dokument, který měl primárně docílit srovnatelné bezpečnostní úrovně napříč všemi členskými státy Evropské unie. Do té doby totiž nebyl obsah národních legislativ jednotlivých členských států v dané oblasti jednotně řešen, což bylo s ohledem na vrůstající důležitost kybernetické bezpečnosti nepřijatelné.

Směrnice NIS blíže uložila členským státům přijmout národní strategii pro bezpečnost sítí a informačních systémů. Dále ustavila skupinu pro spolupráci složenou ze zástupců jednotlivých členských zemí, jejímž účelem je podporovat a usnadňovat strategickou spolupráci a výměnu informací mezi členskými státy a budovat vzájemnou důvěru.

Směrnice NIS nadto přenesla do národních legislativ členských států, a to včetně České republiky, řadu nových prvků, přičemž mezi ty nejdůležitější patří nepochybně zřízení týmů typu CSIRT30/CERT31, které disponují možnostmi, jak pružně reagovat na vznik bezpečnostních incidentů a řešit je. Dále tato směrnice navozuje například spolupráci mezi členskými státy, Evropskou komisí a agenturou ENISA s tím, že tato poskytne odborné znalosti a poradenství a usnadní výměny osvědčených praktických postupů.

29 xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXX/?xxxxXXXXX:00000X0000&xxxxxXX

30 CSIRT (Computer Security Incident Response Team), CSIRT je tým expertů pro bezpečnost IT, jejichž hlavním úkolem je reagovat na bezpečnostní incidenty počítačů. Poskytuje potřebné služby pro jejich řešení a pro podporu svých složek, aby se zotavili z poruchy. CSIRT týmy vznikají na úrovni jednotlivých organizací, přičemž jde jak o organizace, které zprostředkovávají chod internetu. V Evropě se zástupci týmů CSIRT setkávají v rámci pracovní skupiny TF- CSIRT, jejíž vznik iniciovala a organizuje sdružení TERENA (Trans-European Research and Education Networking Association), evropská mezinárodní organizace podporující aktivity v oblasti internetu, infrastruktur a služeb v rámci akademické komunity. V celosvětovém měřítku má podobnou roli organizace FIRST

(Forum for Incident Response and Security Teams), blíže např. xxxxx://xxx.xxxxx.xxxxxx.xx/.

31 CERT – Computer Emergency Response Team

5.1.2. Usnesení Evropského parlamentu ze dne 12. března o bezpečnostních hrozbách souvisejících se zvyšující se technologickou přítomností Číny v EU a o případných opatřeních na úrovni EU za účelem jejich omezení (2019/2575(RSP) (12. března 2019)

Evropský parlament vydal dotčené usnesení ze dne 12. března 2019 o bezpečnostních hrozbách spojených s rostoucí čínskou technologickou přítomností v EU a možných opatřeních na úrovni EU32, ve kterém uvádí, že EU musí prosazovat agendu kybernetické bezpečnosti, protože by mohla být zneužita zranitelnost v sítích 5G. Evropský parlament v tomto usnesení dále konstatuje, že síť 5G bude páteří celé digitální infrastruktury, která rozšíří možnost připojení různých zařízení k sítím (internet věcí atd.) a přinese společnosti a podnikům v mnoha oblastech nové výhody a příležitosti, včetně kritických odvětví hospodářství jako je doprava, energetika, zdravotnictví, finance, telekomunikace, obrana, vesmír a bezpečnost.

Dále Evropský parlament ve svém usnesení vyzval EU, aby zajistila nejvyšší standardy kybernetické ochrany a vyzval Evropskou komisi, aby vypracovala strategii, která postaví Evropu na přední místo v oblasti technologie kybernetické bezpečnosti a sníží tím závislost Evropy na zahraniční technologii.

Evropský parlament v tomto dokumentu rovněž vyzval členské státy, aby informovaly Evropskou komisi o jakýchkoli vnitrostátních opatřeních, která hodlají přijmout, za účelem koordinace EU s cílem zajistit zde nejvyšší standardy ochrany kybernetické bezpečnosti. Zároveň s tím Evropský parlament vyzval Evropskou komisi, aby posoudila důkladnost bezpečnostního právního rámce EU s cílem vyřešit obavy týkající se přítomnosti zranitelného vybavení ve strategických odvětvích a páteřní infrastruktuře.

Evropský parlament v usnesení naléhavě požádal členské státy, které dosud plně neprovedly směrnici NIS do vlastní národní legislativy, aby tak neprodleně učinily, a k tomu vyzval Evropskou komisi, aby tuto legislativní transpozici pečlivě sledovala.

Kromě uvedeného Evropský parlament vyzval členské státy EU, agentury zabývající se kybernetickou bezpečností, telekomunikační operátory, výrobce a poskytovatele služeb kritické infrastruktury, aby Evropskou komisi a agenturu ENISA informovali o jakýchkoli důkazech o zadních vrátkách nebo jiných závažných zranitelnostech, které by mohly ohrozit integritu a bezpečnost telekomunikačních sítí.

32European Parliament resolution of 12 March 2019 on security threats connected with the rising Chinese technological presence in the EU and possible action on the EU level to reduce them (2019/2575(RSP)), dostupné na xxxxx://xxx.xxxxxxxx.xxxxxx.xx/xxxxx/xxxxxxxx/XX-0-0000-0000_XX.xxx

5.1.3. Zasedání Evropské rady – závěry (21. a 22. března 2019)

Evropská rada přijala závěry k problematice budování sítě 5G33, když zde konstatovala, že EU musí jít dále v rozvoji konkurenceschopné, bezpečné, inkluzivní a etické digitální ekonomiky s prvotřídním připojením. Zvláštní důraz by měl být dle závěrů Evropské rady kladen především na přístup k datům, jejich bezpečné sdílení a používání.

5.1.4. Doporučení Evropské komise (EU) 2019/534 ze dne 26. března – Kybernetická bezpečnost sítí

Evropská komise dne 26. 3. 2019 přijala doporučení pro členské státy34, v němž k sítím 5G uvedla, že „budou stavět na stávající 4. generaci (4G) síťových technologií; umožní poskytování nových služeb a stanou se centrální infrastrukturou a hnací silou pro velké části hospodářství Unie. Po svém zavedení budou sítě 5G tvořit páteř pro širokou škálu služeb, které jsou nezbytné pro fungování vnitřního trhu a zachování a provoz životně důležitých společenských a ekonomických funkcí.“35

Jak jsme již uvedli výše, považujeme za zásadní právě to, že 5G sítě nejsou zásadní revolucí, ale evolucí danou přirozeným vývojem ze sítí předchozích generací, jak to ostatně v doporučení naznačuje i Evropská komise. V doporučení Evropská komise dále uvedla, že by se při řešení kybernetických rizik v sítích 5G měla uplatnit technická a jiná bezpečnostní opatření. Ta mají především zajišťovat kybernetickou ochranu před zneužitím či získáním neoprávněného přístupu k informacím. Pokud jde o zabezpečení sítě, mělo by být posouzení rizik provedeno a dokončeno na vnitrostátní úrovni. Vnitrostátní posouzení rizik by pak měla tvořit základ koordinovaného postupu v rámci EU s podporou Evropské komise a společně s XXXXX.

Evropská komise v doporučení připomněla, že by jí členské státy EU měly zasílat svá vnitrostátní posouzení rizik do 15. července 2019.

5.1.5. Koordinované posouzení rizik v oblasti kybernetické bezpečnosti sítí 5G ze zemí EU (9. října 2019)

Členské státy EU s podporou Evropské komise a Evropské agentury pro kybernetickou bezpečnost (ENISA) zveřejnily zprávu o koordinovaném hodnocení rizika kybernetické bezpečnosti EU v

33European Council meeting – Conclusions (21 and 22 March 2019), dostupné na xxxxx://xxx.xxxxxxxxx.xxxxxx.xx/xx/xxxxx/xxxxx-xxxxxxxx/0000/00/00/xxxxxxxx-xxxxxxx-xxxxxxxxxxx-00-xxxxx-0000/

34 Commission Recommendation (EU) 2019/534 of 26 March 2019 Cybersecurity of 5G networks, dostupné na xxxxx://xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/xxxxxx/xx/XXXX_00_0000

35 Odst. 2 preambule Doporučení Evropské komise (EU) 20192019/534 ze dne 26. března – Kybernetická bezpečnost sítí

sítích páté generace (5G).36 Tento hlavní krok byl součástí provádění Doporučení Evropské komise přijatého 26. března 2019 k zajištění vysoké úrovně kybernetické bezpečnosti sítí 5G v celé EU.

Zpráva byla založena na výsledcích vnitrostátních posouzení rizik kybernetické bezpečnosti všemi členskými státy EU. Byli zde identifikováni hlavní aktéři kybernetických hrozeb, dále nejcitlivější aktiva, hlavní typy zranitelnosti (včetně technických a jiných typů zranitelností) a celá řada rizik strategického významu. Tato posouzení poskytla základ pro identifikaci zmírňujících opatření, která se ukázala jako vhodná pro aplikaci na vnitrostátní a evropské úrovni.

Zpráva například identifikovala řadu důležitých bezpečnostních výzev, které se pravděpodobně objeví nebo stanou významnějšími v sítích 5G ve srovnání se stávající sítí.

Tyto bezpečnostní výzvy jsou spojeny zejména s:

a) klíčovou inovací nové technologie, která povede k zavedení široké škály nových služeb a aplikací umožňovaných technologií 5G - to současně nabídne také celou řadu konkrétních bezpečnostních vylepšení;

b) úlohou dodavatelů pro budování a provozování 5G sítí a s mírou závislosti na jednotlivých dodavatelích potřebné technologie.

Zpráva konstatovala, že zvýšené riziko lze očekávat v souvislosti s tím, že se provozovatelé mobilních sítí budou spoléhat na dodavatele technologií. Mezi nejrůznější potenciální aktéry kybernetických útoků jsou zahrnuty státy, které nejsou členy EU. V této souvislosti zpráva zdůrazňuje, že bude v praxi zvláště důležité hodnocení rizikovosti profilů jednotlivých dodavatelů.

Další zvýšená rizika mohou vyplývat z velké závislosti na jediném dodavateli, čímž se může zvýšit expozice potenciálního přerušení dodávek služeb. Zpráva dále předpokládá, že hrozby pro dostupnost a integritu sítí se stanou hlavními bezpečnostními problémy, neboť se očekává, že sítě 5G budou páteří mnoha kritických IT aplikací.

V závěru zpráva uvádí, že do 31. prosince 2019 by se Skupina pro spolupráci EU měla dohodnout na souboru nástrojů pro zmírňující opatření k řešení uvedených rizik kybernetické bezpečnosti na vnitrostátní úrovni i na úrovni EU.

5.1.6. ENISA – hrozby v prostředí sítě 5G (21. listopadu 2019)

ENISA v souhrnném dokumentu37 poukázala na hlavní hrozby a jejich původce, nejcitlivější aktiva a hlavní zranitelnosti (včetně technických a jiných typů zranitelností), jež provoz sítě 5G ohrožují. Na základě těchto zjištění dále ENISA uvedla několik kategorií rizik, jež mají pro EU strategický

36 EU coordinated risk assessment of the cybersecurity of 5G networks (9 October 2019), zpráva dostupná na xxxxx://xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/xxxxxx/xx/XX_00_0000

37 ENISA threat landscape for 5G Networks (21 November 2019), dostupné na xxxxx://xxx.xxxxx.xxxxxx.xx/xxxxxxxxxxxx/xxxxx-xxxxxx-xxxxxxxxx-xxx-0x-xxxxxxxx

význam a dále předložila konkrétní rizikové scénáře odrážející příslušné kombinace různých typů zranitelností a kybernetických hrozeb.

Uvedený dokument agentury ENISA vyústil v množství závěrečných doporučení, mezi která patří například instrukce, aby členské státy EU sdílely všechny znalosti zabezpečení technologie 5G, zapojily se do celoevropských diskusí k problematice sítí 5G nebo přispěly k šíření získaných znalostí k 5G.

Evropská komise ve svém sdělení38 vyzvala členské státy, aby do 30. dubna 2020 podnikly kroky k provedení souboru opatření doporučených v závěrech nástrojů 5G a do 30. června 2020 připravily společnou zprávu o provádění v každém členském státě. Spolu s EU bude Evropská komise i nadále poskytovat svou plnou podporu, a to i zahájením příslušných akcí v oblastech spadajících do její pravomoci.

5.2. Obsah EU Toolboxu

5.2.1. Obecně

EU Toolbox v úvodu poukazuje na důležitost 5G sítí pro digitální transformaci v rámci celé EU, a to jak v rovině ekonomické, tak i celospolečenské. 5G technologie jsou klíčovým nástrojem pro konkurenceschopnost Evropské unie na globálním trhu. Dokument dále uvádí, že nevyhnutelným předpokladem pro fungování 5G sítí je kybernetická bezpečnost, která ochrání hospodářství a společnost Evropské unie a zachová její technologickou nezávislost.

Hlavním cílem EU Toolboxu je identifikovat vhodná opatření, která budou schopna zmírnit kyberneticko-bezpečnostní rizika, jak byla definována ve Zprávě ze dne 21. listopadu 2019, a k tomu doporučil jednotlivé kategorie zmírňujících opatření, která mají čelit případným kybernetickým hrozbám. Mezi nejzásadnější byla zařazena strategická a technická opatření.

Cílem EU Toolboxu je určit na evropské úrovni jednotný koordinovaný přístup založený na sadě opatření zaměřených na zmírnění hlavních kybernetických bezpečnostních rizik sítí 5G, která byla vymezena ve zprávě EU o koordinovaném posouzení rizik39. Zde se členské státy EU dohodly, že

38 The Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions - Secure 5G networks: Commission endorses EU toolbox and sets out next steps (29 January 2020), dostupné na xxxxx://xx.xxxxxx.xx/xxxxxxx-xxxxxx-xxxxxx/xx/xxxx/xxxxxx-0x-xxxxxxxxxx- eu-implementing-eu-toolbox-communication-commission

39 Zveřejněna členskými státy EU dne 9. října 2019 za podpory agentury ENISA a Evropské komise.

zajistí zavedení opatření, která umožní odpovídajícím způsobem a přiměřeně reagovat na všechna zjištěná rizika a stejně tak na rizika, jež lze očekávat v budoucnu v souvislosti s budováním sítě 5G.

Záměrem EU Toolboxu je také poskytnout vodítka pro výběr a stanovení priorit opatření, která by měla být součástí vnitrostátních plánů a plánů EU pro zmírňování rizik při budování sítě 5G. Konečným cílem je vytvořit spolehlivý a objektivní rámec bezpečnostních opatření, který zajistí odpovídající úroveň kybernetické bezpečnosti sítí 5G v celé EU prostřednictvím účinných koordinovaných přístupů. Zvolený přístup je založen na posouzení rizikových faktorů týkajících se výhradně otázek bezpečnosti. Tento přístup plně respektuje otevřenost vnitřního trhu EU, jsou-li dodržovány bezpečnostní požadavky EU.

Závěry zprávy EU o koordinovaném posouzení rizik poukázaly především na důležitost:

a) posílit bezpečnostní požadavky na provozovatele mobilních sítí;

b) posuzovat rizikovost profilů dodavatelů a v důsledku tohoto posouzení uplatňovat příslušná omezení pro dodavatele, kteří budou považováni za vysoce rizikové, včetně nezbytných výjimek za účelem účinného zmírnění rizik pro klíčová aktiva označená jako kritická a citlivá pro EU (např. funkce páteřní sítě, funkce správy a uspořádání sítě a funkce přístupu k síti);

c) zajistit, aby měl každý provozovatel vhodnou strategii pro více dodavatelů, aby se vyhnul jakékoli významné závislosti na jediném dodavateli.

V souvislosti s tímto došlo k bližší konkretizaci devíti rizikových oblastí, na která byla později zaměřena bezpečnostní opatření doporučená v EU Toolboxu:

a) Chybná konfigurace sítě

b) Nedostatečná kontrola přístupu do sítě

c) Nízká kvalita produktu

d) Závislost na jednom dodavateli v rámci jednotlivých sítí nebo nedostatečná rozmanitost na národní úrovni

e) Zásahy státu prostřednictvím dodavatelského řetězce 5G

f) Zneužívání 5G sítí organizovaným zločinem nebo organizovanou zločineckou skupinou zaměřenou na koncové uživatele

g) Značné narušení kritické infrastruktury nebo služeb

h) Masivní selhání sítí v důsledku přerušení dodávky elektřiny nebo jiných podpůrných systémů

i) Zneužívání IoT (internetu věcí), přístrojů a chytrých zařízení

EU Toolbox pro každou z těchto devíti oblastí nabídl plány pro zmírňování rizik. Tyto plány jsou sestaveny z možných kombinací strategických, technických a podpůrných opatření. Všechna tato opatření jsou těžištěm hlavní části celého dokumentu.

5.2.2. Strategická opatření

Strategická opatření se dotýkají zesílených regulačních pravomocí orgánů, pokud jde o kontrolu pořizování a zavádění sítí. Tato opatření mají přispět k řešení rizik souvisejících s netechnickými zranitelnostmi, dále mají upozornit na důležitost posouzení rizikového profilu dodavatelů a podporovat iniciativu pro podporu rozvoje udržitelných a různorodých dodavatelů 5G.

Hlavní dokument EU Toolboxu zahrnuje následující doporučená opatření strategického významu:

1. Posílení role vnitrostátních orgánů (SM01)

2. Provádění auditů u provozovatelů a vyžadování informací (SM02)

3. Posouzení rizikového profilu dodavatelů a uplatňování omezení u dodavatelů považovaných za vysoce rizikové – včetně nezbytných vyloučení pro účinné zmírnění rizik – pro klíčová aktiva (SM03)

4. Kontrola poskytovatelů spravovaných služeb a třetí linie podpory dodavatelů zařízení (SM04)

5. Zajištění rozmanitosti dodavatelů pro jednotlivé operátory mobilních sítí prostřednictvím vhodných strategií více dodavatelů (SM05)

6. Zajištění odolnosti na národní úrovni (SM06)

7. Identifikace klíčových aktiv a podpora rozmanitého a udržitelného ekosystému 5G v EU (SM07)

8. Zachování a budování rozmanitosti a kapacit EU v budoucích síťových technologiích (SM08)

Bližší popis jednotlivých strategických opatření je obsažen v příloze č. 1 EU Toolboxu.40 Z pohledu této studie jsou zásadní zejména strategická opatření SM01 – SM06, neboť jejich zajištění má být úkolem příslušných orgánů (na nichž je tím pádem i jejich implementace do národní legislativy) a operátorů.

5.2.3. Technická opatření

Technická opatření zahrnují opatření k posílení bezpečnosti 5G sítí a zařízení posílením bezpečnosti technologií, procesů, lidí a fyzických faktorů. Účinnost technických opatření, pokud jde o zmírnění rizik, je různá v závislosti na rozsahu opatření a typech rizik, na která mají být zaměřena. Technická opatření zejména nemohou být sama o sobě zaměřena na netechnické zranitelnosti (např. zásah třetí země nebo rizika závislosti).41

Technická opatření pak zahrnují42:

40 K jednotlivým opatřením a jejich popisu viz str. 20 – 23 EU Toolbox

00 XX Xxxxxxx, xxx. 12

1. Zajištění uplatňování základních bezpečnostních požadavků (bezpečný návrh sítě a architektury (TM01)

2. Zajištění a vyhodnocení provádění bezpečnostních opatření ve stávajících standardech 5G (TM02)

3. Zajištění přísných přístupových kontrol (TM03)

4. Zvyšování bezpečnosti virtualizovaných síťových funkcí (TM04)

5. Zajištění bezpečné správy, provozu a monitorování sítě 5G (TM05)

6. Posílení fyzické bezpečnosti (TM06)

7. Posílení integrity softwaru, aktualizace a správy oprav (TM07)

8. Zvyšování bezpečnostních standardů v procesech dodavatelů prostřednictvím silných podmínek nákupu (TM08)

9. Využití certifikace EU pro komponenty sítí 5G, vybavení zákazníka a/nebo procesy dodavatelů (TM09)

10. Používání certifikace EU pro jiné produkty a služby IKT, které nejsou specifické pro 5G (připojená zařízení, cloudové služby) (TM10)

11. Posílení plánů odolnosti a kontinuity (TM11)

Mnoho technických opatření může být dle EU Toolboxu provedeno v souvislosti s transpozicí Evropského kodexu pro elektronické komunikace.43 Pokud jde o provádění a dohled nad těmito opatřeními, budou členské státy s největší pravděpodobností při budování kapacit potřebovat spolupráci a zachování určité míry vlastního uvážení ohledně metod dohledu a příslušných povinností. Protože některá z těchto opatření budou velmi podobná pro všechny sítě 5G, mohou mít prospěch z další posílené spolupráce EU a sdílení znalostí, zejména prostřednictvím přezkumu a vývoje pokynů a osvědčených postupů a případně z další koordinace na úrovni EU.44

5.2.4. Podpůrná opatření

Podpůrná opatření nabádají k posílení kapacit v oblasti testování a auditu, zlepšení koordinačního úsilí v případě incidentů nebo zajištění toho, aby rizika v oblasti kybernetické bezpečnosti byla plně zohledněna v projektech 5G financovaných z prostředků EU.

43 Jedná se o další směrnici Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace43, která primárně vytváří právní rámec pro volné zajišťování sítí a poskytování služeb elektronických komunikací.

V rámci této směrnice vnitrostátní regulační a jiné příslušné orgány, jakož i BEREC, Evropská komise a členské státy Evropské unie sledují každý z obecných cílů, mezi které patří například:

− podpora připojení a přístup všech občanů a podniků Evropské unie k sítím s velmi vysokou kapacitou, včetně pevných, mobilních a bezdrátových sítí a jejich využíván,

− podpora hospodářské soutěže při zajišťování sítí elektronických komunikací a přiřazených prostředků, včetně účinné hospodářské soutěže v oblasti infrastruktury, a při poskytování služeb elektronických komunikací a přiřazených služeb,

− přispívání k rozvoji vnitřního trhu tím, že jsou odstraňovány zbývající překážky při investicích do sítí elektronických komunikací, služeb elektronických komunikací, přiřazených prostředků a přiřazených služeb a jejich zajišťování a poskytování v celé Evropské unii,

− prosazování zájmů občanů Evropské unie tím, že je zajišťováno připojení a široká dostupnost a využívání sítí s velmi vysokou kapacitou včetně pevných, mobilních a bezdrátových sítí a služeb elektronických komunikací.

00 XX Xxxxxxx, xxx. 16

Cílem podpůrných opatření je vytvoření dostatečné podpory vedoucí k posílení účinnosti přijatých strategických a technických opatření a jedná se o:

1. Revize nebo vývoj pokynů a osvědčených postupů v oblasti zabezpečení sítě (SA01)

2. Posílení schopností testování a auditu na vnitrostátní úrovni i na úrovni EU (SA02)

3. Podpora a formování standardizace 5G (SA03)

4. Vypracování pokynů pro provádění bezpečnostních opatření ve stávajících standardech 5G (SA04)

5. Zajištění uplatňování standardních technických a organizačních bezpečnostních opatření prostřednictvím zvláštního systému certifikace v celé EU (SA05)

6. Vzájemná výměna osvědčených postupů při provádění strategických opatření, zejm. vnitrostátních rámců pro hodnocení rizikového profilu dodavatelů (SA06)

7. Zlepšení koordinace reakce na incidenty a řešení krizí (SA07)

8. Provádění auditů vzájemných závislostí mezi sítěmi 5G a jinými důležitými službami (SA08)

9. Posílení mechanismů spolupráce, koordinace a sdílení informací (SA09)

10. Zajištění, že projekty 5G podporované z veřejného financování zohlední rizika kybernetické bezpečnosti (SA10)

Podpůrná opatření podle EU Toolboxu pravděpodobně nebudou vyžadovat legislativní podporu. Budou však vyžadovat koordinaci stejným způsobem jako další opatření dle EU Toolboxu.45

5.2.5. Přílohy EU Toolboxu

EU Toolbox dále obsahuje přílohy k hlavní části. Zde jsou blíže popsána jednotlivá strategická, technická a podpůrná opatření a jsou představeny plány pro zmírňování rizik. Dále je obsaženo, shrnutí zjištění, která by měla být návodnými kritérii pro koordinované posuzování rizik.

EU Toolbox zde popisuje mimo jiné kritéria, na jejichž základě může být posouzen rizikový profil dodavatele. Tato kritéria mají převážně politický význam. Může tak být komplikované je správně identifikovat a rizikový profil dodavatele podle nich posoudit, aniž by v krajním případě nedocházelo k nedůvodné diskriminaci dodavatelů bez fakticky transparentního a prokazatelného hodnocení. Těmto, z pohledu zpracovatele ve svém důsledku ve svém důsledku potenciálně problematickým místům EU Toolboxu, je věnována v rámci této studie samostatná část.

5.3. Právní povaha a závaznost EU Toolboxu

Cílem EU Toolboxu je vymezit koordinovaný přístup členských států založený na sadě opatření zaměřených na zmírnění hlavních kybernetických bezpečnostních rizik sítí 5G, která byla vymezena

00 XX Xxxxxxx, xxx. 16

ve zprávě EU o koordinovaném posouzení rizik na evropské úrovni.

Jeho záměrem je poskytnout členským státům doporučující46 vodítka pro výběr a stanovení priorit opatření, která by měla být součástí vnitrostátních plánů a plánů EU pro zmírňování rizik. Konečným cílem je pak vytvoření spolehlivého a objektivního souhrnu bezpečnostních opatření, která zajistí odpovídající úroveň kybernetické bezpečnosti sítí 5G v celé EU prostřednictvím účinných koordinovaných přístupů.47

Z hlediska právní povahy lze říci, že jeho obsah je doporučující. Přesto vyjadřuje předvídatelný postoj celé EU pro oblast efektivního zabezpečení provozu sítě 5G.

EU Toolbox má především, co do obsahu strategických a technických opatření, stejně jako kritérií pro posouzení rizikovosti v jeho příloze, doporučující charakter. Přesto je třeba upozornit, že předlohou pro celý dokument bylo předchozí vytvoření koordinovaného přístupu EU ke kybernetické bezpečnosti 5G. Předpokládá se tak pevné odhodlání členských států a Evropské komise doporučená bezpečnostní opatření využívat a plně provádět. To vše pochopitelně při současném respektování pravomocí členských států v této dané oblasti.

Základní myšlenka EU Toolbox odkazuje k tomu, že zavádění a provoz sítí 5G je zároveň záležitostí národní bezpečnosti, a tak by k tomu mělo být ze strany členských států přistupováno.

5.4. Problematická místa EU Toolboxu

Strategická, technická a podpůrná opatření překládaná v EU Toolboxu lze označit z hlediska zachování bezpečnosti provozu sítí 5G obecně za legitimní, neboť ve svém souhrnu mohou přispět k zajištění vysoké míry kybernetické bezpečnosti. Ta je pro moderní společnost zásadní.

Přesto lze v dokumentu nalézt části, které se více než na objektivní parametry soustředí na kritéria politického charakteru.

Jedná se především o kritéria pro posouzení rizikovosti profilu dodavatelů. Tato jsou blíže vymezena v příloze č. 2 EU Toolboxu. Tato příloha nazvaná jako „Shrnutí poznatků koordinovaného hodnocení rizik EU“ („Summary of the findings of the EU coordinated risk assessment“) obsahuje mimo jiné část věnovanou specifickým zranitelnostem souvisejícím s dodavateli. EU Toolbox zde uvádí, že „rizikový profil jednotlivých dodavatelů může být hodnocen na základě několika faktorů, zejména:

a) „Pravděpodobnost, že dodavatel bude vystaven zásahům ze země mimo EU. Toto je jeden z klíčových aspektů při posuzování netechnických zranitelností souvisejících s 5G sítěmi. Takové zásahy mohou být usnadněny, nikoli však výlučně, přítomností následujících faktorů:

46 xxxxx://xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/xxxxxx/xx/xxxxx_00_000

47 xxxxx://xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/xxxxxx/xx/xxxxx_00_000

• silná vazba mezi dodavatelem a vládou dané třetí země;

• právní předpisy třetí země, zejména pokud neexistují žádné legislativní nebo demokratické kontroly a rovnováhy nebo pokud neexistují dohody o bezpečnosti

nebo ochraně dat mezi EU a danou třetí zemí

• charakteristika vlastnické struktury dodavatele nebo

• schopnost třetí země vyvíjet jakoukoli formu tlaku, a to i ve vztahu k místu výroby zařízení.

b) Schopnost dodavatele zajistit dodávky.

c) Celková kvalita produktů a postupy dodavatele v oblasti kybernetické bezpečnosti, včetně stupně kontroly nad jeho vlastním dodavatelským řetězcem a toho, zda je bezpečnostním postupům dána přiměřená priorita.“48

Poslední dvě citované odrážky (schopnost zajištění dodávek, kvalita postupů a postupy v oblasti kybernetické bezpečnosti) lze považovat za objektivní.

Otázka zásahů ze strany třetí země je z pohledu zpracovatele komplikovanější. Zpracovatel respektuje skutečnost, že ČR je součástí vyšších globálních celků (zejména EU) a je proto legitimním závěrem, pokud jiní členové těchto celků (resp. dodavatelé s těmito státy spojení) jsou považováni za nižší (pokud vůbec jaké) riziko. Naopak dodavatelé ze států mimo celky („třetí země“) naopak budou požívat nižší míry důvěryhodnosti, resp. budou obecně považováni za více rizikové. Je třeba brát v úvahu, že kybernetické útoky nejsou činěny pouze ze strany nezávislých jednotlivců či organizací, ale často jsou prováděny i jednotlivými státy. Proto je zcela na místě dbát v této souvislosti zvýšené opatrnosti při výběru dodavatele 5G sítí a minimalizovat riziko, že tento subjekt by se mohl na takovém útoku ohrožujícím bezpečnost státu podílet.

Čtyři faktory představující demonstrativní výčet příkladů faktorů usnadňující zásahy států mimo EU nejmenují žádné konkrétní dodavatele ani jednotlivé státy. Potud je lze považovat za správné. Na druhou stranu, jejich obecná formulace zároveň poskytuje nepřiměřený prostor k uvážení subjektu, který bude v konkrétním případě o účasti konkrétního dodavatele na budování 5G sítí rozhodovat. Tento nepřiměřený prostor může v praxi přerůst spíše v libovůli, neboť naplnění velmi obecného kritéria bude také jen velmi obtížně (pokud vůbec) přezkoumatelné. Důsledkem toho je pro dotčeného dodavatele i faktická nemožnost účinné obrany v případě, že by byl shledán jako rizikový. Tím by docházelo k nežádoucí diskriminaci dodavatelů, kteří budou vyloučeni už jen z důvodu, že existuje pouhá domněnka např. jejich silného spojení s vládou třetí země.

Použití netechnických kritérií lze tak dle zpracovatele obecně připustit pouze na základě detailní metodiky (či jiného způsobu upřesnění obsahu, resp. aplikace příslušných opatření), ve spojení s ostatními opatřeními a pouze na základě individuálního posouzení odrážejícího specifika daného případu společně s odůvodněním, jaký význam byl kritérium v konkrétním případě přikládán a

proč. Jen tak bude zachována objektivita, měřitelnost a možnost účinné obrany proti rozhodnutí založenému na aplikaci těchto opatření.

5.5. Závěry EU Toolboxu ve vztahu k posuzování rizikovosti dodavatelů

EU Toolbox ve svém závěru obecně mimo jiné uvádí:

„Všechny členské státy by měly zajistit, aby měly zavedena opatření (včetně pravomocí pro vnitrostátní orgány), aby mohly vhodně a přiměřeně reagovat na aktuálně zjištěná a budoucí rizika, a zejména zajistit, že jsou schopny omezit, zakázat a/nebo uložit specifické požadavky nebo podmínky na základě přístupu založeného na posouzení rizik pro dodávku, zavedení a provoz síťového zařízení 5G na základě řady důvodů souvisejících s bezpečností.

Měly by zejména:

− Posílit bezpečnostní požadavky pro operátory mobilních sítí (např. přísná kontrola přístupu, pravidla pro bezpečný provoz a monitorování, omezení outsourcingu určitých funkcí atd.);

− Posoudit rizikový profil dodavatelů; v důsledku toho uplatňovat příslušná omezení pro dodavatele, kteří jsou považováni za vysoce rizikové - včetně nezbytných vyloučení pro

účinné zmírnění rizik - pro klíčová aktiva definovaná jako kritická a citlivá v koordinovaném hodnocení rizik EU (např. funkce jádra sítě, správa sítě a funkce orchestrace a přístup k síťovým funkcím);

− Zajistit, aby každý provozovatel měl vhodnou strategii více dodavatelů, aby se vyhnul nebo omezil jakoukoli výraznou závislost na jednom dodavateli (nebo dodavatelích s podobným rizikovým profilem), zajistit přiměřenou rovnováhu dodavatelů na

vnitrostátní úrovni a vyhnout se závislosti na dodavatelích považovaných za vysoké riziko; to také vyžaduje, aby se zabránilo jakékoli závislosti na jediném dodavateli, včetně podpory větší interoperability zařízení.“49

EU Toolbox nabádá v případě zjištěných rizik k vhodné a přiměřené reakci. Takovému pojetí se však vymyká úplné vyloučení jakéhokoli dodavatele bez dalšího. Vzhledem k tomu, že by se jednalo o krajní krok, muselo by mu předcházet velmi pečlivé posouzení, zda skutečně neexistuje jiné řešení, které lze považovat za vhodné a přiměřené. Zároveň je nutné upozornit, že požadavky 5G Toolboxu uvedené v těchto závěrech nejsou zcela ve vzájemném souladu. Toolbox klade zároveň požadavek na státy, aby operátory zatížily přísnějšími bezpečnostními požadavky a požadovaly po nich strategii více dodavatelů, ale současně s tím jim ukládá disponovat nástroji, kterým počet těchto dodavatelů mohou omezit. Vzhledem k tomu, že pro některé méně citlivé části sítě, které ale vyžadují vysokou technologickou úroveň, jako je rádiová část sítě, existuje pro velké

operátory efektivně velmi malý počet dodavatelů (tři až čtyři), může vést tvrdý přístup vylučující některé dodavatele paradoxně k tomu, že operátoři se stanou výrazně závislými na těch, kteří

„zbydou“. Strategie mít více dodavatelů je přitom už nyní zcela běžná a v České republice dle veřejně dostupných poznatků neexistuje ani jeden velký operátor, který by měl celou svou síť postavenou pouze na technologiích od jednoho dodavatele.

5.6. Další kroky navazující na EU Toolbox

S ohledem na to, že EU Toolbox má doporučující charakter, je ponecháno na jednotlivých členských státech EU, aby svou aktuální legislativu posoudily a teprve poté určily rozsah případné implementace.

Lze tak dovozovat, že těch členských států, které mají již nyní národní legislativu na požadované úrovni a značnou část opatření uvedených v EU Toolboxu obsahují, se zásadní legislativní změny příliš nedotknou. Naopak členské státy, jež dosud žádnou funkční bezpečnostní legislativou nedisponují, budou muset přijmout vlastní opatření, aby na případná kybernetická rizika dokázaly včas a dostatečně efektivně reagovat. Předpokládá se, že tyto státy patrně převezmou některá z doporučených bezpečnostních opatření z EU Toolboxu do své národní legislativy.

Implementační plán Evropské komise byl původně avizován členským státům s tím, aby do 30. dubna 2020 přijaly konkrétní a měřitelné kroky k implementaci klíčové sady opatření.

Skupina pro spolupráci EU měla do 30. června 2020 připravit zprávu o stavu implementace dokumentu EU Toolboxu ve všech členských státech.

Členské státy by poté měly ve spolupráci s Evropskou komisí do 1. října 2020 posoudit účinky doporučení Evropské komise z března 2019 s cílem stanovit, zda jsou nutné další kroky.50

5.7. Zpráva o pokroku členských států v implementaci EU Toolboxu

Skupina pro spolupráci EU dne 24. 7. 2020 zveřejnila dokument nazvaný „Zpráva o pokroku členských států v implementaci EU Toolboxu“ („Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity“).51

Hlavním cílem dokumentu je „poskytnout přehled o současném stavu probíhajícího implementačního procesu Toolboxu členskými státy v červenci 2020. Byl připraven a schválen skupinou pro spolupráci NIS, s podporou Komise a ENISA. EU Toolbox obsahuje opatření, která mají být přijata na vnitrostátní úrovni a na úrovni EU. Tato zpráva se zaměřuje na opatření, která mají členské státy podniknout na vnitrostátní úrovni. Kromě toho, co je uvedeno v této zprávě, na

50 xxxxx://xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/xxxxxx/xx/xxxxx_00_000

51 xxxxx://xx.xxxxxx.xx/xxxxxxx-xxxxxx-xxxxxx/xx/xxxx/xxxxxx-xxxxxx-xxxxxx-xxxxxxxx-xxxxxxxxxxxx-xx-xxxxxxx-0x- cybersecurity

úrovni EU probíhají další oblasti práce, jako jsou činnosti zahájené na 5G standardizaci a certifikaci nebo politiky připravované Komisí na podporu kapacit EU a udržitelný hodnotový řetězec 5G v EU.“52

5.7.1. Obsah a metodika Zprávy o implementaci

K metodice uvádí Zpráva o implementaci následující:

„Výsledky této zprávy vycházejí z informací poskytnutých členskými státy v rámci EU činnosti skupiny pro spolupráci NIS v oblasti kybernetické bezpečnosti. Tyto informace byly shromážděny mezi 15. května a koncem června, zejména prostřednictvím standardizované šablony, do které 26 členských států poskytlo odpovědi a prostřednictvím dalších vstupů a diskusí během schůzek. Zpráva také odkazuje na relevantní zjištění interního průzkumu, který BEREC53 provedl v listopadu 2019 jako vstup do koordinovaného procesu EU v oblasti kybernetické bezpečnosti 5G.

Vnitrostátní implementační procesy probíhají a navzdory náročným okolnostem krize Covid-19, možná podstatná zpoždění v procesu implementace bylo sděleno jen velmi málo členskými státy. V mnoha členských státech jsou nicméně navrhovaná opatření stále projednávána nebo konzultována nebo čekají na politická rozhodnutí. Navíc, v jistých případech, z jiných důvodů (absence politického rozhodnutí nebo nedostatečné poskytnuté informace) nedostatek informací dostupných v době psaní této zprávy limitovaly analýzu, kterou lze provést. Kromě toho některé členské státy, ve kterých již implementační proces pokročil nebo kde již opatření byla přijata, nesdělily podrobné informace o jednotlivých opatřeních pro účely této zprávy (v některých případech z důvodů národní bezpečnosti).

Pro každé opatření Toolboxu uvádí zpráva také indikativní úroveň vyspělosti implementace, který zhruba ilustruje, jak daleko v průměru členské státy pokročily s implementací příslušných opatření. Tyto indikativní úrovně jsou stanoveny na základě ad-hoc metodiky, která bere v úvahu několik faktorů, konkrétně deklarovaný aktuální stav implementace, deklarovaný plánovaná data dokončení a odhadované úrovně úplnosti údajů poskytnutých členskými státy.“54

Zpráva o implementaci následně detailně pojednává o stavu implementace jednotlivých strategických a technických opatření. Z pohledu objednatele je zásadní část Zprávy o implementaci, která se zabývá strategickým opatřením SM03 (Posouzení rizikového profilu dodavatelů a uplatňování omezení u dodavatelů považovaných za vysoce rizikové – včetně nezbytných vyloučení pro účinné zmírnění rizik – pro klíčová aktiva). Této části Zprávy o implementaci a jejím dopadům na objednatele se proto zpracovatel níže věnuje podrobněji.

52 Zpráva o implementaci, str. 4

53 Body of European Regulators for Electronic Communications - Sdružení evropských regulačních orgánů v oblasti elektronických komunikací, xxxxx://xxxxx.xxxxxx.xx/

54 Zpráva o implementaci, str. 5

Pro úplnost lze doplnit, že informace, které měly být ohledně stavu implementace předány ze strany ČR (viz výše), nejsou veřejně dostupné. V tuto chvíli tedy není zcela zřejmé, jakými konkrétními kroky je, resp. má být obsah EU Toolboxu do českého právního řádu implementován. Podrobné informace nejsou dostupné ani ve veřejně dostupných dokumentech NÚKIB. Tento stav přitom vytváří nejistotu a nedostatek transparentnosti ohledně dalšího rozvoje 5G sítí v ČR.

5.7.2. Odhadovaná úroveň vystavení potenciálně vysoce rizikovým dodavatelům a stávající zmírňování

V souvislosti se strategickým opatřením SM03 Zpráva o implementaci úvodem shrnuje vyjádření členských států k otázce odhadu míry jejich vystavení potenciálně vysoce rizikovým dodavatelům. Většina členských států považuje toto riziko za střední (9) či vysoké (5). Jen malá část považuje toto riziko za nízké (4), zbývající se k tomuto nevyjádřily (8). Žádný z členských států nepovažuje riziko za velmi vysoké. Přehledně viz následující schéma:

Odhadovaná úroveň vystavení potenciálně vysoce rizikovým dodavatelům a stávající zmírňování dle jednotlivých členských států55

55 Zpráva o implementaci, str. 15

5.7.3. Stav implementace

Členské státy se rovněž vyjádřily ke stavu implementace. Pokročilost tohoto procesu Zpráva o implementaci hodnotí jako střední a uvádí: „Několik členských států již implementovalo opatření zaměřená na minimalizaci vystavení rizikům ze strany dodavatelů považovaných za vysoce rizikové, zatímco ve velké většině ostatních členských států tento proces stále probíhá a v mnoha případech již dobře pokročil. Malá menšina členských států nesdělila konkrétní informace o svých plánech na implementaci tohoto opatření.

U těch, kde proces ještě nebyl zahájen nebo dokončen, však často chybí jasné informace o časovém rámci pro implementaci tohoto opatření. To může souviset se složitostí a citlivostí tohoto opatření, které vyžaduje zohlednění širšího spektra faktorů, zejména netechnických faktorů (např. xxxxxx zásahů ze strany třetí země), jakož i potenciálních nákladů specifických pro daný sektor a širších ekonomických nebo společenských dopadů.“56

Zpráva o implementaci uvedené rovněž znázorňuje i graficky:

Stav implementace57

Z uvedeného schématu je zřejmé, že u většiny členských států implementace právě probíhá (16), případně je teprve plánována (8). Dokončená implementace představuje výjimku (1).

56 Zpráva o implementaci, str. 15 - 16

57 Zpráva o implementaci, str. 16

Časový plán implementace58

Další graf znázorňuje časový plán členských států a shrnuje, že pouze malá menšina států (2) již opatření implementovala, resp. tak měla učinit do poloviny roku 2020. Zbývající státy, které se časovému odhadu implementace vyjádřily, plánují její dokončení do konce roku 2020 (7), resp. do konce roku 2021 (5). Další státy (12) k tomuto neposkytly informace.

5.7.4. Zpráva o implementaci a strategické opatření SM03: Přístup k rizikovým dodavatelům

5.7.4.1. Předpoklady implementace

Zpráva o implementaci uvádí následující dva hlavní určující faktory pro účinnou implementaci strategického opatření SM03:

a) metodika používaná k posouzení rizikového profilu dodavatelů, která by měla rovněž zohlednit kritéria stanovená v koordinovaném posuzování rizik EU, včetně netechnických faktorů;

b) definice klíčových aktiv, na která se budou vztahovat omezení; to by mělo být rovněž založeno na kategorizaci citlivých aktiv při koordinovaném posuzování rizik v EU a zejména přihlédnout k tomu, že „lepší funkčnost na okraji sítě a méně centralizovaná architektura než v předchozích generacích mobilních sítí znamená, že některé funkce jádra sítí mohou být integrovány do jiných částí sítí, což učiní příslušná odpovídající zařízení citlivějším (např. základnové stanice nebo funkce MANO59)60;

Stavu metodiky a definici klíčových aktiv v ČR se zpracovatel věnuje v následující kapitole.

58 Zpráva o implementaci, str. 16

59 Management and orchestration (správa a orchestrace)

60 Zpráva o implementaci, str. 16

5.7.4.2. Možné přístupy k posuzování rizikovosti dodavatele dle Zprávy o implementaci

Zpráva o implementaci dále popisuje různé typové přístupy členských států k rizikovým dodavatelům. Řada členských států uvádí, že stávající nebo připravovaná omezení jsou založena na specifických posouzeních rizik a na otázkách národní bezpečnosti. Na základě dostupných informací, ačkoli existují rozdíly v jednotlivých opatřeních, lze existující přístupy shrnout následujícím způsobem:

− Předchozí schválení nebo notifikace/veto: Posouzení plánů operátorů a uložení omezení nebo vyloučení případ od případu, s přihlédnutím k řadě aspektů, včetně charakteristik jednotlivých dodavatelů a specifických způsobů zavádění; tento přístup

obvykle nezahrnuje systematická nebo blanketní opatření týkající se konkrétního dodavatele;

- „Deny list“: Určení určitých dodavatelů jako vysoce rizikové nebo nedůvěryhodné a na tomto základě uplatnění omezení nebo zákazů pro operátory, aby z nich získávali určité zařízení nebo služby; uvažovaná omezení mohou mít formu vyloučení nebo omezení a/nebo limitu podílu dodavatele (dodavatelů) v sítích;

- „Allow list“: Identifikace konkrétních dodavatelů, kteří by mohli dodávat zařízení či služby pro 5G sítě.61

Zpráva o implementaci dále shrnuje informace, které poskytly členské státy ohledně metodiky a faktorů pro posuzování rizikového profilu dodavatelů. K aktuálnímu stavu Zpráva o implementaci uvádí, že „čtrnáct členských států potvrdilo, že jejich vnitrostátní rámec zahrnuje nebo se očekává, že bude zahrnovat netechnické faktory (v některých případech spolu s technickými faktory), jak jsou stanoveny v koordinovaném posuzování rizik EU. Mezi uvedené konkrétní faktory patří objektivní faktory, jako je původ dodavatelů nebo riziko zásahů ze třetích zemí (např. s ohledem na právní a politický systém třetí země). Některé členské státy navíc uvedly, že jsou nebo budou brát v úvahu informace a/nebo hrozby specifické pro danou zemi na základě zpráv od zpravodajských služeb. Nebyly však sděleny žádné konkrétní informace týkající se toho, jak bude zohledněno kritérium

„schopnosti dodávat“. Několik členských států navrhlo prozkoumat možnost společného posouzení rizikového profilu, případně posouzení rizikového profilu na úrovni EU.“62

5.7.4.3. Identifikace klíčových aktiv

Zpráva o implementaci ohledně identifikace klíčových síťových aktiv vyžadujících vyšší ochranu uvádí, že aktuálně „pouze jeden členský stát zveřejnil seznam aktiv podléhajících předchozímu povolení, který rozšiřuje rozsah regulačních pravomocí nad rámec funkcí jádra sítě tak, aby zahrnoval i další vysoce citlivé části sítí (např. rádiová přístupová síť), v souladu s Toolboxem.

61 Zpráva o implementaci, str. 16 - 17

62 Zpráva o implementaci, str. 17

Několik dalších oznámilo, že se budou řídit pokyny Toolboxu, pokud jde o hodnocení citlivosti síťových aktiv. Tyto seznamy jsou stále zpracovávány a v některých případech nejsou určeny k zveřejnění. Dalším zmíněným přístupem je identifikace všech prvků a funkcí 5G jako citlivých a uplatňování omezení na infrastrukturu jako celek.“

Pokud jde o jiné typy klíčových aktiv (geografické oblasti, kritické infrastruktury, vládní subjekty atd.), některé členské státy zmínily úvahy týkající se typu případů použití a obsluhovaných klientů. Pro účely této zprávy však nebyly sděleny žádné další podrobnosti o identifikaci konkrétních aktiv.

V tomto posledním bodě (definice klíčových aktiv podléhajících omezením) v současné době celkově není k dispozici dostatek informací pro určení, zda vnitrostátní přístupy dostatečně konvergují a zda tedy povedou k účinnému zmírnění kyberneticko-bezpečnostních rizik souvisejících s dodavateli a zamezení závislostí na vysoce rizikových dodavatelích podle SM05 a SM06, která úzce souvisejí s implementací SM03.63

Zpráva o implementaci k problematice dále zmiňuje poznámku, že „další komponenty infrastruktury kritické pro veřejnou síť elektronických komunikací, jako je páteřní infrastruktura z optického vlákna, mohou dodávat i potenciálně vysoce rizikoví dodavatelé, a proto uvedené stojí za zvážení, možná jako součást další fáze koordinovaného přístupu EU.“64

5.7.4.4. Konkrétní příklady

Zpráva o implementaci závěrem části týkající se strategického opatření SM03 uvádí jako ilustrativní příklady přístupu k rizikovým dodavatelům přístupy tří zemí – Francie, Itálie a Nizozemska:

− Francie: Klíčová síťová aktiva jsou definována v nařízení ze dne 6. prosince 2019 a jsou regulována jako citlivá aktiva podléhající kontrole a schválení před jejich

zavedením. Tato klíčová aktiva zahrnují funkce rádiového přístupu a většinu funkcí jádra sítě.

- Itálie: Podle „zákona o zlaté moci“65 vláda dostává oznámení týkající se použití zařízení nebo služeb od provozovatelů mobilních sítí k rozmístění 5G, kdykoli je toto zařízení nebo služba získáno od dodavatelů mimo EU. Meziresortní koordinační skupina radí vládě ohledně možnosti vetovat smlouvu (na základě technické analýzy) nebo uložit bezpečnostní opatření.

- Nizozemsko: Vyhláška o bezpečnosti a integritě telekomunikací ze dne 28. listopadu 2019 stanoví, že nedůvěryhodní dodavatelé budou jmenováni na základě různých kritérií, včetně toho, zda:

63 Zpráva o implementaci, str. 17

64 Zpráva o implementaci, str. 17

65 Tzv. „Golden Power Law“

• subjekt poskytující službu nebo produkt pochází nebo je pod kontrolou subjektu ze země s právními předpisy, které zavazují obchodní nebo soukromé strany ke

spolupráci s vládou této země, zejména se státními orgány pověřenými zpravodajskými nebo vojenskými úkoly, nebo je subjekt společností vlastněnou státem.

• subjekt poskytující službu nebo produkt pochází ze země s aktivním útočným zpravodajským programem zaměřeným na Nizozemsko a nizozemské zájmy nebo pochází ze země, se kterou může být vztah natolik napjatý, že existují myslitelná

jednání, která mohou ovlivnit nizozemské zájmy.66

Na tomto místě je třeba připomenout i navrhovaný přístup Německa, který byl popsán v rámci úvodu (přehled postojů členských států). Německo zveřejnilo návrh katalogu bezpečnostních požadavků pro provoz telekomunikačních systémů a systémů pro zpracování dat i pro zpracování osobních údajů, který bude předložen k oznámení Evropské komisi a jehož obsah bude muset být respektován operátory při nákupu příslušných komponentů, budování a provozování sítí. O výběru technologií pro výstavbu sítí 5G bude rozhodovat na základě uvedeného katalogu s jasně danými kritérii Spolkový úřad pro bezpečnost informační techniky (BSI). Stát si sice i nad rámec tohoto stále ponechá možnost vyloučit určitého dodavatele na základě vlastního uvážení, k tomu však bude docházet zřejmě spíše výjimečně, a to pokud se pro takový postup vyjádří jednomyslně Úřad spolkového kancléře, Úřad pro zahraniční věci, Ministerstvo vnitra a Ministerstvo průmyslu.

5.7.5. Strategická opatření související se strategickým opatřením SM03

Se strategickým opatřením SM03 úzce souvisí i strategická opatření SM05 a SM06, tedy diverzifikace dodavatelů - pro každého operátora a na vnitrostátní úrovni - a vyhýbání se závislosti na vysoce rizikových dodavatelích.

Zpráva o implementaci k implementaci zmíněných strategických opatření uvádí:

„Většina členských států dosud nevypracovala ani nesdělila jasné plány, jak účinně řešit stávající situace závislosti na vysoce rizikových dodavatelích a zabránit budoucím závislostem. Vyhýbání se takové závislosti je úzce spjato s prováděním SM03 a s rozsahem omezení aplikovaných na vysoce rizikové dodavatele, která by měla brát v úvahu síť jako celek (tj. omezení vztahující se na funkce jádra sítě i na jiná klíčová aktiva, včetně NFV správy a orchestrace (MANO) a rádiové přístupové sítě. Je naléhavě nutné dosáhnout pokroku při snižování tohoto významného rizika, a to i s cílem snížit závislosti na úrovni Unie. To by mělo být založeno na důkladné inventuře dodavatelského řetězce sítí a mělo by zahrnovat sledování vývoje situace.

66 Zpráva o implementaci, str. 18

Mnoho členských států v současné době čelí výzvám při navrhování a zavádění vhodných strategií více dodavatelů pro jednotlivé MNO67 nebo na vnitrostátní úrovni, což může být složitý proces z důvodu technických nebo provozních obtíží (např. nedostatečná interoperabilita, velikost země). Proto by se mělo dále pracovat na upřesnění parametrů „vhodných strategií více dodavatelů“ v rámci SM05, zejména prostřednictvím další výměny zkušeností a osvědčených postupů v rámci NIS Work Stream a v rámci BEREC. Na tomto základě by členské státy měly rovněž posoudit potřebu dalších opatření k zajištění národní odolnosti.“68

5.7.6. Závěry Zprávy o implementaci

Zpráva o implementaci závěrem shrnuje, že proces implementace opatření dle EU Toolboxu v členských státech probíhá. Ne všechny členské státy poskytly detailní informace o implementaci každého jednotlivého opatření, přesto však Zpráva o implementaci uvádí, že „lze zformulovat řadu zjištění na základě analýzy uvedené v této zprávě, pokud jde o provádění Toolboxu a oblastí, ve kterých je třeba věnovat zvláštní pozornost v další fázi implementace Toolboxu na vnitrostátní a/nebo EU úrovni.“69

Následně jsou doplněny závěry k jednotlivým opatřením. Vzhledem k zaměření této studie se zpracovatel soustředí na část týkající se strategického opatření SM03. V této souvislosti Zpráva o implementaci konstatuje stále probíhající proces implementace a zároveň nejistotu ohledně časového rámce procesu v některých členských státech. Dále doporučuje, aby při posuzování rizikového profilu dodavatele, pokud jde o kritérium „schopnost zajistit dodávku“, posouzení zohlednilo kontext mezinárodního obchodu.70

Dále Zpráva o implementaci zdůrazňuje, že při implementaci strategického opatření SM03 by měla být věnována zvláštní pozornost ohledně následujícího:

− Identifikace klíčových aktiv, která podléhají nebo budou podléhat omezením (včetně nezbytných vyloučení), při pohledu na síť jako celek a jejich použití na funkce jádra sítě,

jakož i na další klíčová aktiva, včetně správy a orchestrace (MANO) NFV71 a rádiovou přístupovou síť, za účelem včasného řešení rizik včasné řešení rizik, neboť tato aktiva se v sítích 5G stanou kritickými nebo vysoce citlivými (zejména během fáze zavádění 5G), jak je stanoveno v hodnocení rizik v celé EU a v Toolboxu;

− Zavedení opatření na ochranu také jiných typů klíčových aktiv, jako jsou definované zeměpisné oblasti, vládní nebo jiné kritické subjekty;

67 Provozovatelé mobilních sítí

68 Zpráva o implementaci, str. 42

69 Zpráva o implementaci, str. 41

70 Zpráva o implementaci, str. 41

71 Network Functions Virtualization (virtualizace síťových funkcí)

− Definování implementačních plánů a/nebo přechodných období pro ty operátory, kteří v současné době používají zařízení vysoce rizikových dodavatelů nebo kteří již uzavřeli

smlouvy s vysoce rizikovými dodavateli před přijetím Toolboxu (např. zohledněním cyklů modernizace zařízení, zejména migrace z „non stand-alone“ do „stand-alone“ 5G sítí).

V návaznosti na uvedené závěry Zprávy o implementaci je třeba zkoumat, do jaké míry je výše uvedené do právního řádu ČR v současnosti promítnuto. Této otázce, resp. právní úpravě oblasti kybernetické bezpečnosti v ČR je věnována následující kapitola této studie.

5.8. Dílčí závěr

EU Toolbox, tedy „Soubor opatření EU pro kybernetickou bezpečnost sítí 5G“, představuje významný pokrok ve snaze EU koordinovat přijímání opatření zmírňujících rizika spojená se zaváděním sítí 5G. V této souvislosti je třeba připomenout zásadní roli ČR jakožto evropského lídra v oblasti kybernetické bezpečnosti. To se potvrdilo i v souvislosti s EU Toolboxem, na jehož přípravě se dominantně podílela Česká republika spolu s Francií.

Cílem EU Toolboxu je určit na evropské úrovni jednotný koordinovaný přístup členských států vedoucí ke zmírnění hlavních kybernetických bezpečnostních rizik sítí 5G. EU Toolbox je pohledem své závaznosti doporučujícím dokumentem. Jeho obsah nicméně představuje konsolidovaný názorový postoj členských států EU k zajištění bezpečného provozu sítě 5G, neboť byl připraven v rámci spolupráce skupiny v oblasti bezpečnosti sítí a informací, která je složena ze zástupců orgánů všech členských států, Evropské komise a ENISA

Hlavní část dokumentu EU Toolboxu tvoří přehled strategických a technických opatření, která vyjadřují určitý vzor nástrojů, které by měly být dle potřeby implementovány do národních legislativ členských států, aby bylo na úseku právně kybernetické bezpečnosti dosaženo srovnatelné úrovně v rámci celé EU.

Strategická, technická a podpůrná opatření překládaná v EU Toolboxu lze z hlediska zachování bezpečnosti provozu sítí 5G označit za legitimní. Přesto však EU Toolbox obsahuje některá místa, která považujeme za problematická, resp. za místa, při jejichž implementaci do národních právních řádů je třeba dbát zvýšené pozornosti. Jedná se o ta opatření, která jsou svou povahou spíše politická, než technická, a tedy méně objektivní a obecně obtížněji měřitelná. Ačkoli zpracovatel uznává význam těchto opatření, vzhledem k jejich převážně politické povaze by měla být jejich aplikace o to pečlivěji posuzována a v každém jednotlivém případě konkrétně a transparentně odůvodněna.

O aktuálním stavu implementace strategických, technických a podpůrných opatření jednotlivými členskými státy pojednává Zpráva o implementaci. Zpráva o implementaci představuje významný inspirační zdroj pro rozhodování o způsobu implementace EU Toolboxu v ČR. V souvislosti se strategickým opatřením SM03 konstatuje, že proces

implementace stále probíhá s tím, že většina členských států očekává jeho dokončení do konce roku 2020, resp. do konce roku 2021.

Zpráva o implementaci uvádí tyto dva hlavní určující faktory účinné implementace strategického opatření SM03: vytvoření metodiky posouzení rizikového profilu dodavatelů a definici klíčových aktiv, na která se budou případná omezení vztahovat. Dále popisuje typově různé přístupy členských států k rizikovým dodavatelům. Mezi nimi uvádí (i) Předchozí schválení nebo notifikace/veto: Posouzení plánů operátorů a uložení omezení nebo vyloučení případ od případu, (ii) „Deny list“, tedy určení určitých dodavatelů jako vysoce rizikových nebo nedůvěryhodných a v úpravě příslušných omezení pro tyto subjekty a (iii) „Allow list“, tedy identifikace konkrétních dodavatelů, kteří mohou dodávat zařízení či služby pro 5G sítě.

Zpráva o implementaci dále předkládá stručný popis přístupů vybraných členských států, konkrétně (i) Francie, kde jsou nařízením definována klíčová síťová aktiva, přičemž tato podléhají kontrole a schválení před jejich zavedením, (ii) Itálie, kde má vláda právo vetovat smlouvu s konkrétním dodavatelem či uložit určitá bezpečnostní opatření v případě použití zařízení nebo služeb od provozovatelů mobilních sítí k rozmístění 5G, kdykoli je toto zařízení nebo služba získáno od dodavatelů mimo EU, a (iii) Nizozemsko, kde jsou stanovena kritéria, na jejichž základě budou jmenováni nedůvěryhodní dodavatelé.

Za významný lze považovat také přístup Německa. Německo zveřejnilo návrh katalogu bezpečnostních požadavků pro provoz telekomunikačních systémů a systémů pro zpracování dat i pro zpracování osobních údajů, který bude předložen k oznámení Evropské komisi, a jehož obsah bude muset být respektován operátory při nákupu příslušných komponentů, při budování a provozování sítí. O výběru technologií pro výstavbu sítí 5G bude rozhodovat na základě uvedeného katalogu s jasně danými kritérii Spolkový úřad pro bezpečnost informační techniky (BSI). Stát si sice i nad rámec tohoto stále ponechá možnost vyloučit určitého dodavatele na základě vlastního uvážení, k tomu však bude docházet zřejmě spíše výjimečně, a to pokud se pro takový postup vyjádří jednomyslně Úřad spolkového kancléře, Úřad pro zahraniční věci, Ministerstvo vnitra a Ministerstvo průmyslu. Zpracovatel považuje tento přístup za vhodný kompromis chránící dostatečně jak bezpečnostní zájmy státu, tak i práva dodavatelů a volnou hospodářskou soutěž. S ohledem na postavení Německa jako politicky a hospodářsky nejvýznamnějšího státu EU lze zároveň očekávat, že jím zvolený (resp. obdobný) model převezmou jako inspiraci i další členské státy.

Se strategickým opatřením SM03 úzce souvisí i strategická opatření SM05 a SM06, tedy diverzifikace dodavatelů - pro každého operátora a na vnitrostátní úrovni - a vyhýbání se závislosti na vysoce rizikových dodavatelích. Zpráva o implementaci k implementaci zmíněných strategických opatření uvádí, že většina členských států dosud nevypracovala ani nesdělila jasné plány, jak účinně řešit závislost na vysoce rizikových dodavatelích a jak zabránit budoucím závislostem. Zpráva o implementaci zejména zdůrazňuje nutnost další práce na upřesnění parametrů „vhodných strategií více dodavatelů“ v rámci strategického opatření SM05, zejména prostřednictvím další výměny zkušeností a osvědčených postupů v

rámci NIS Work Stream a v rámci BEREC. Na tomto základě by členské státy měly rovněž posoudit potřebu dalších opatření k zajištění národní odolnosti.

6. Analýza právní úpravy oblasti kybernetické bezpečnosti v ČR

Pokud jde o legislativu a další aktivní kroky v oblasti kybernetické bezpečnosti, ČR je považována za jednoho z evropských lídrů. To je zřejmé i ze zásadní role ČR při přípravě EU Toolboxu (viz předcházející kapitola). ČR disponuje relativně komplexní právní úpravou kybernetické bezpečnosti, která již nyní obsahuje řadu opatření, jejichž implementaci EU Toolbox doporučuje. Níže je shrnut a posouzen aktuální tuzemský právní rámec s důrazem na ustanovení spojená se zmírňováním rizik spojených s budováním 5G sítě.

Základem je rozbor relevantních částí ZKB a VKB, pozornost je však věnována i ústavněprávním souvislostem. Upozorněno bude na skutečnost, že doposud nebyl vytvořen transparentní, předvídatelný proces hodnocení rizik a vyhodnocení rizikových poskytovatelů. Proto je rovněž doplněn návrh základních zásad a pravidel, kterými by se tento proces měl řídit. Zpracovatel tento návrh předkládá ve variantách s odkazem na již existující přístupy členských států, které popisuje nedávno vydaná Zpráva o implementaci.

6.1. Právní úprava kybernetické bezpečnosti v ČR

V České republice patří mezi nejdůležitější právní předpisy regulující kybernetickou bezpečnost ZKB spolu s VKB.

6.1.1. ZKB

Zákon o kybernetické bezpečnosti upravuje práva a povinnosti osob, jakož i pravomoc a působnost orgánů veřejné moci v oblasti kybernetické bezpečnosti. Zpracovává příslušné předpisy Evropské unie (jedná se o transpozici směrnice NIS) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.

Hlavním cílem zákona je:

− stanovit základní úroveň bezpečnostních opatření,

− zlepšit detekci kybernetických bezpečnostních incidentů,

− zavést hlášení kybernetických bezpečnostních incidentů,

− zavést systém opatření k reakci na kybernetické bezpečnostní incidenty,

− upravit činnost dohledových pracovišť.

V roce 2017 proběhly dvě obsahově významné novely zákona o kybernetické bezpečnosti, a to prostřednictvím zákona č. 104/2017 Sb. s účinností od 1. července 2017 a zákona č. 205/2017 Sb. s účinností od 1. srpna 2017. K aktuálnímu datu proběhly ještě následující novelizace tohoto zákona – novelizace zákonem č. 183/2017 Sb., zákonem 35/2018 Sb., zákonem č. 111/2019 Sb. a aktuálně

poslední novelizace zákonem č. 12/2020 Sb. Aktuální znění zákona je pak účinné od 1. února 2020.72

6.1.2. VKB

Také tato vyhláška zapracovává směrnici NIS a pro informační systémy kritické informační infrastruktury, komunikační systémy kritické informační infrastruktury, významné informační systémy, informační systémy základní služby anebo informační systémy nebo sítě elektronických komunikací, které využívá poskytovatel digitálních služeb, upravuje především:

− obsah a strukturu bezpečnostní dokumentace,

− obsah a rozsah bezpečnostních opatření,

− typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,

− náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,

− náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,

− vzor oznámení kontaktních údajů a jeho formu,

− způsob likvidace dat, provozních údajů, informací a jejich kopií.73

6.1.3. Další vybrané předpisy

Významné jsou i některé další předpisy, jako např.:

a) Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle § 6 písm.

d) ZKB.

b) Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby Vyhláška zapracovává požadavky Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne

6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Směrnice NIS).

Směrnice NIS představuje základní unijní předpis, s nímž je dále spojeno prováděcí nařízení Evropské komise ke směrnici NIS, které stanoví bezpečnostní opatření a parametry významnosti dopadu incidentu pro poskytovatele digitálních služeb.74

72 xxxxx://xxx.xxxxxxx.xx/xx/xxxxxxxx-x-xxxxxxxx/xxxxxxxxxxx/

73 Tamtéž.

74 xxxxx://xxx.xxxxxxx.xx/xx/xxxxxxxx-x-xxxxxxxx/xxxxxxxxxxx/

c) Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

Nařízení vlády definuje průřezová a odvětvová kritéria pro určení prvku kritické infrastruktury. V příloze k nařízení vlády je definováno 9 odvětví, včetně jednotlivých odvětvových kritérií pro určení prvku kritické infrastruktury.

6.2. Implementace EU Toolboxu do právního řádu ČR

6.2.1. Existující úprava odpovídající strategickým opatřením dle EU Toolboxu

Výše uvedené právní předpisy již ve stávající podobě některá opatření, jež jsou doporučena v EU Toolboxu, obsahují. Jde zejména o tato strategická opatření:

a) Posílení role vnitrostátních orgánů (SM01)

b) Provádění auditů u provozovatelů a vyžadování informací (SM02)

c) Posouzení rizikového profilu dodavatelů a uplatňování omezení u dodavatelů považovaných za vysoce rizikové – včetně nezbytných vyloučení pro účinné zmírnění rizik – pro klíčová aktiva (SM03)

d) Kontrola poskytovatelů spravovaných služeb a třetí linie podpory dodavatelů zařízení (SM04)

e) Zajištění rozmanitosti dodavatelů pro jednotlivé operátory mobilních sítí prostřednictvím vhodných strategií více dodavatelů (SM05)

f) Zajištění odolnosti na národní úrovni (SM06)

g) Identifikace klíčových aktiv a podpora rozmanitého a udržitelného ekosystému 5G v EU (SM07)

h) Zachování a budování rozmanitosti a kapacit EU v budoucích síťových technologiích (SM08)

Níže zpracovatel analyzuje, jakým způsobem jsou opatření dle EU Toolboxu obsažena v současné legislativě ČR. Pro tento účel zpracovatel níže uvádí vybraná ustanovení relevantních právních předpisů, ve kterých se obsah EU Toolboxu odráží (nejedná se o detailní konečný výčet, neboť k jednotlivým opatřením lze případně vztáhnout i další ustanovení – cílem je poukázat na skutečnost, že česká právní úprava již obsah strategických opatření do značné míry odráží).

6.2.1.1. Posílení role vnitrostátních orgánů (opatření SM01)

§ 17 ZKB – Národní CERT

Národní CERT75 zajišťuje v rozsahu stanoveném ZKB sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti. Nadto CERT ze zákona například hodnotí zranitelnosti v

75 Národní CERT tým zaštiťuje organizace CZ.NIC.

oblasti kybernetické bezpečnosti anebo informuje příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování základní nebo digitální služby v tomto členském státě a zároveň o tom informuje NÚKIB, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele. Současně také národní CERT plní roli týmu CSIRT podle příslušného předpisu Evropské unie.

§ 20 ZKB – Vládní CERT

Vládní CERT76 je součástí struktury NÚKIB a společně s týmy typu CSIRT hraje klíčovou roli při ochraně kritické informační infrastruktury a významných informačních systémů podle ZKB a jeho prováděcích předpisů.

Každá země, která má své kritické systémy připojeny do internetu, musí být schopna efektivně a účinně čelit bezpečnostním výzvám, reagovat na incidenty, koordinovat činnosti při jejich řešení a účelně působit při předcházení incidentům.77

§ 21a ZKB – Úřad (NÚKIB)

NÚKIB je ústředním správním úřadem pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. V čele NÚKIB je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda a ta ho též odvolává.

Ředitel NÚKIB je ze své funkce odpovědný předsedovi vlády nebo pověřenému členovi vlády.

Mezi nejzásadnější pravomoci NÚKIB spadá stanovení bezpečnostních opatření a jejich vydávání a především ukládání sankcí za nedodržení povinností stanovených zákonem a zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti.

NÚKIB dále působí jako koordinační orgán ve stavu kybernetického nebezpečí, provádí například analýzu a monitoring kybernetických hrozeb a rizik a zajišťuje mezinárodní spolupráci v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací.

6.2.1.2. Provádění auditů u provozovatelů a vyžadování informací (SM02)

§ 23 – 24 ZKB – Kontrola Úřadu (NÚKIB)

NÚKIB vykonává ze zákona kontrolu v oblasti kybernetické bezpečnosti. Je-li důvodné podezření,

76 V České republice plní úlohu vládního CERT Národní centrum kybernetické bezpečnosti (NCKB).

77 xxxxx://xxx.xxxxxxx.xx/xx/xxxxxx-xxxx/xxxxxxx-xx/

že osoba dle § 3 písm. a) - g) ZKB neplní povinnosti stanovené tímto zákonem, provede u něj NÚKIB kontrolu.

V případech je-li informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, informační systém základní služby nebo významný informační systém pro zjištěné nedostatky bezprostředně ohrožen kybernetickým bezpečnostním incidentem, který jej může významně poškodit nebo zničit, může NÚKIB zakázat kontrolovanému orgánu nebo osobě používání tohoto systému anebo jeho části do doby, než bude zjištěný nedostatek odstraněn.

§ 22 písm. u) ZKB

Nad výše uvedené provádí NÚKIB pravidelný monitoring a analýzy kybernetických hrozeb a rizik.

§ 16 VKB – Audit kybernetické bezpečnosti

VKB zavazuje pod hrozbou sankce povinnou osobu (tj. rovněž poskytovatele služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací), aby v rámci auditu kybernetické bezpečnosti pravidelně ve stanovených intervalech prováděla a dokumentovala audit dodržování bezpečnostní politiky, a to včetně přezkoumání technické shody a výsledky auditu poté zohlednila v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně.

Povinná osoba dále musí posuzovat soulad bezpečnostních opatření s nejlepší praxí, právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu a komunikačnímu systému a určí případná nápravná opatření pro zajištění souladu.

§ 4 odst. 4 ZKB – Bezpečnostní opatření

Povinné osoby jsou ze zákona povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou.

§ 25 odst. 3 písm. b), odst. 4 písm. b), odst. 5 písm. b), odst. 6 písm. b) odst. 7 písm. b, odst. 8 písm. b) ZKB

ZKB obsahuje výčet sankčních ustanovení, která definují jako přestupek jednání povinné osoby,

pokud tato nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s tím, co jí zákon ukládá.

§ 8 odst. 1, 2 VKB – Řízení dodavatelů

Povinná osoba řídí rizika spojená s dodavateli, dále u významných dodavatelů78 v rámci uzavíraných smluvních vztahů stanoví způsoby a úrovně realizace bezpečnostních opatření a určí obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření.

Příloha č. 2 VKB k hodnocení rizik

Příloha předkládá stupnici pro hodnocení hrozeb, zranitelnosti a rizik systému. Tím, že povinná osoba pravidelně provádí toto hodnocení, de facto testuje bezpečnost technologie svých případných dodavatelů.

Posouzení rizikovosti dodavatele

V rámci strategického opatření SM03 předpokládá EU Toolbox vypracování rámce obsahujícího jasná kritéria, která budou zohledňovat rizikové faktory identifikované v odst. 2.37 EU koordinovaného hodnocení rizika bezpečnosti sítí 5G, a informace o jednotlivých státech (např. hodnocení rizik o národních zpravodajských službách atd.) pro příslušné národní orgány a operátory mobilních služeb a umožní jim provádět přísná hodnocení rizikového profilu relevantních dodavatelů a na jejich základě odpovídající opatření.

Popsaný rámec v ČR dosud nebyl vytvořen. Zpracovatel se otázkou posouzení rizikovosti dodavatele zabývá podrobněji níže v samostatné podkapitole.

6.2.1.4. Kontrola poskytovatelů spravovaných služeb a třetí linie podpory dodavatelů zařízení (SM04))

§ 8 ZKB – Hlášení kybernetického bezpečnostního incidentu

Zákon ukládá povinnost, aby vyjmenované povinné osoby hlásily zákonem vyjmenovaným orgánům stanoveným způsobem kybernetické bezpečnostní incidenty.

78 Významným dodavatelem je dle § 2 písm. n) VKB „provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému.“

§ 23 odst. 1 ZKB – Kontrola

Nad dodržováním povinností vyjmenovaných povinných osob dle ZKB bdí NÚKIB, který je-li důvodné podezření, že neplní povinnosti stanovené tímto zákonem, provede u nich cílenou kontrolu, popřípadě jej bude řešit pro spáchání přestupku (viz sankční ustanovení § 25 a násl. zákona).

6.2.1.5. Zajištění rozmanitosti dodavatelů pro jednotlivé operátory mobilních sítí prostřednictvím vhodných strategií více dodavatelů (SM05)

Operátoři by měli dle EU Toolboxu disponovat strategií k zamezení, resp. omezení závislosti na jediném dodavateli (nebo dodavatelích s podobným rizikovým profilem) a k zamezení závislosti na dodavatelích považovaných za vysoce rizikové ve smyslu strategického opatření SM03.

Česká legislativa sice výslovně a v detailu neupravuje povinnost povinných osob využívat více dodavatelů, toto opatření však může být výsledkem řízení rizik spojených s dodavateli, které povinná osoba provádí dle § 8 odst. 1 písm. e) VKB. O rozmanitost svých dodavatelů navíc zpravidla usilují i samotní operátoři, kdy mají např. jiného dodavatele pro jádro sítě a jiného pro rádiovou síť.

6.2.1.6. Zajištění odolnosti na národní úrovni (SM06)

Jak již bylo zmíněno, strategické opatření SM05 spolu s SM06 úzce souvisí se strategickým opatřením SM03.

EU Toolbox doporučuje zajištění adekvátní rovnováhy dodavatelů na národní úrovni, aby byla zajištěna odolnost v případě incidentu jednoho operátora a/nebo dodavatele.

V předchozí kapitole bylo poukázáno na skutečnost, že Zpráva o implementaci mimo jiné zdůrazňuje nutnost další práce na upřesnění parametrů „vhodných strategií více dodavatelů“ v rámci strategického opatření SM05, resp. posoudit potřeby dalších opatření k zajištění národní odolnosti ze strany členských států.

Dle názoru zpracovatele k zajištění tohoto strategického opatření může přispět zejména vytváření volné hospodářské soutěže, díky které bude na trhu existovat více dodavatelů zařízení nutného při budování 5G. Jak na celostátní úrovni, tak i pro jednotlivé operátory tak bude podporována diverzifikace dodavatelů. Zpracovatel má za to, že současná legislativa tuto volnou hospodářskou soutěž podporuje. Na škodu by jí naopak mohlo být bezdůvodné vyloučení některého z jejích významných účastníků, neboť tím by byl počet subjektů schopných efektivního zavádění 5G sítí v ČR zásadně omezen.

6.2.1.7. Identifikace klíčových aktiv a podpora rozmanitého a udržitelného ekosystému 5G v EU (SM07)

6.2.1.8. Zachování a budování rozmanitosti a kapacit EU v budoucích síťových technologiích (SM08)

Zavádění uvedených dvou strategických opatření je dle EU Toolboxu odpovědností primárně Evropské komise ve spolupráci s členskými státy a nevyžaduje proto na prvním místě úpravu národní legislativy. Z tohoto důvodu nejsou v rámci této studie strategická opatření SM07 a SM08 ve vztahu k existujícím právním předpisům ČR blíže rozebrána.

6.3. Potřebný rozsah implementace EU Toolboxu v ČR

Z výše uvedeného vyplývá, že by aktuální nastavení legislativy v oblasti kybernetické bezpečnosti mohlo do značné míry zůstat zachováno jako dostatečně funkční i do budoucna. V tomto ohledu může být národní bezpečnostní legislativa inspirativní i pro další členské státy EU. To ostatně potvrzuje také dosavadní postoj EU, kdy bývá Česká republika v přístupech k problematice kybernetické bezpečnosti velmi kladně hodnocena. Také celá řada opatření doporučených v EU Toolboxu se již nyní – jak je blíže popsáno v samostatné podkapitole – s obsahem ZKB a VKB překrývá.

Ačkoli doporučená opatření strategického, technického a podpůrného významu mají svá opodstatnění, do určité míry problematickou zůstává část doporučení z EU Toolboxu ohledně kritérií pro posuzování rizikovosti dodavatele, jak jsou vymezena v jeho příloze. O citlivosti opatření SM03 (které se rizikovosti dodavatele dotýká) ostatně hovoří i Zpráva o implementaci.79 Proto je třeba k implementaci tohoto strategického opatření přistoupit s vysokou mírou pečlivosti a zohlednění všech relevantních faktorů.

6.4. Posuzování rizikovosti dodavatele dle stávající legislativy ČR

K posuzování a hodnocení rizikovosti dodavatelů dochází podle české právní úpravy (především ZKB a VKB) již v prvotní fázi jejich výběru a dále, když je s nimi uzavírán smluvní vztah. Tím se preventivně předchází pozdějšímu riziku a navazujícímu incidentu, který může vzniknout a tím významně narušit bezpečný provoz sítě.

Mezi řadu povinností, ke kterým jsou povinné osoby (kterými jsou zejména operátoři)80 zavázány podle ZKB a jehož ustanovení provádí VKB, patří rovněž řízení rizik dodavatelských vztahů.

79 Zpráva o implementaci, str. 16: „U těch [členských států], kde proces ještě nebyl zahájen nebo dokončen, však často chybí jasné informace o časovém rámci pro implementaci tohoto opatření [SM03]. To může souviset se složitostí a citlivostí tohoto opatření, které vyžaduje zohlednění širšího spektra faktorů, zejména netechnických faktorů (např. riziko

zásahů ze strany třetí země), jakož i potenciálních nákladů specifických pro daný sektor a širších ekonomických nebo společenských dopadů.“

80 Výčet povinných osob viz § 3 ZKB

Povinné osoby musí mimo jiné dle § 4 odst. 4 ZKB „zohlednit požadavky vyplývající z bezpečnostních opatření už při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou později s dodavatelem uzavřou.“

Již před rozborem příslušné právní úpravy je přitom třeba zdůraznit, že operátoři uplatňují při zabezpečení sítí přísná bezpečnostní opatření i bez ohledu na příslušné zákonné povinnosti. Této skutečnosti se zpracovatel věnuje v samostatné podkapitole.

Dle ustanovení § 8 odst. 1 VKB povinná osoba například:

a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,

b) vede evidenci svých významných dodavatelů81,

c) seznamuje své dodavatele s pravidly zohledňujícími požadavky systému řízení bezpečnosti informací,

d) řídí rizika spojená s dodavateli,

e) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.

U významných dodavatelů musí povinná osoba udržovat ještě přísnější režim, přičemž tím je v praxi vždy provozovatel chráněného systému a dále každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti chráněného systému. Vzhledem k důležitosti a možné zranitelnosti sítě 5G lze konstatovat, že za významného dodavatele může být považován každý, kdo se bude svou technologií podílet na jejím provozu.

U takových dodavatelů pak musí povinná osoba a dle § 8 odst. 2 VKB již zejména:

a) v rámci výběrového řízení a před uzavřením smlouvy provést hodnocení rizik souvisejících s plněním předmětu výběrového řízení,

b) v rámci uzavíraných smluvních vztahů stanovit způsoby a úrovně realizace bezpečnostních opatření a určit obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,

c) provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a

d) v reakci na rizika a zjištěné nedostatky zajistí jejich řešení.

Z výše uvedených opatření, která musí být ze zákona povinnou osobou respektována, je zřejmé, že již v okamžiku výběru dodavatele existuje mnoho možností, jak odhalit či eliminovat případné kybernetické hrozby, jež by mohly souviset se zapojením technologie rizikového dodavatele do systému veřejné sítě a jejich páteřních částí.

81 Významným dodavatelem se dle § 2 písm. n) VKB „provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému“.

K řízení dodavatelů – konkrétně k bezpečnostním opatřením pro smluvní vztahy s významnými dodavateli – stanoví příloha č. 7 VKB klíčová ustanovení, která musí být do smluvního ujednání mezi povinnou osobou a významným dodavatelem vtělena.

Obsah smlouvy uzavírané s významnými dodavateli například zahrnuje:

a) ustanovení o bezpečnosti informací (z pohledu důvěrnosti, dostupnosti a integrity),

b) ustanovení o oprávnění užívat data,

c) ustanovení o autorství programového kódu, popřípadě o programových licencích,

d) ustanovení o kontrole a auditu dodavatele (pravidla zákaznického auditu),

e) ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že poddodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi povinnou osobou a dodavatelem a nebudou v rozporu s požadavky povinné osoby na dodavatele,

f) ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele povinnou osobou,

g) ustanovení o povinnosti dodavatele informovat povinnou osobu o

• kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy,

• způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním smlouvy,

• významné změně ovládání tohoto dodavatele podle zákona o obchodních korporacích nebo změně vlastnictví zásadních aktiv, popřípadě změně oprávnění

nakládat s těmito aktivy, využívaných tímto dodavatelem k plnění podle smlouvy se správcem,

• specifikace podmínek z pohledu bezpečnosti při ukončení smlouvy (například přechodné období při ukončení spolupráce, kdy je třeba ještě udržovat službu

před nasazením nového řešení, migrace dat a podobně),

• pravidla pro likvidaci dat,

• ustanovení o právu jednostranně odstoupit od smlouvy v případě významné změny kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými

dodavatelem k plnění podle smlouvy a

• ustanovení o sankcích za porušení povinností.82

V současné době není v české legislativě otázka posuzování rizikovosti dodavatele explicitně řešena. Nejsou tak k dispozici žádná konkrétní kritéria, která by měla být návodem pro to, jak mají být dodavatelé posuzováni a hodnoceni co do jejich rizikovosti. Určitá taková kritéria, která ovšem nejsou aktuálně závazná, předkládá doporučení EU Toolbox ve své příloze. Jak však již zpracovatel uvedl výše, pro jejich obecnou formulaci může být jejich aplikace v praxi v této autentické podobě problematická. Implementaci této části EU Toolboxu se zpracovatel věnuje podrobněji níže.

82 § 7 VKB

6.5. Posuzování rizikovosti dodavatele ve světle dosavadního postoje NÚKIB

K posuzování rizikovosti dodavatele dle české legislativy je vhodné připomenout pohled NÚKIB na tuto otázku. Z veřejně dostupných zdrojů83 lze dovozovat, že NÚKIB, jako ústřední správní orgán pro úsek kybernetické bezpečnosti, připravuje vydání metodiky, která by mohla předestřít vzorový klíč, jak by mělo k posuzování rizik dodavatelů v budoucnu docházet.

NÚKIB již v minulosti veřejně publikoval dokumenty, z kterých lze dovozovat názorový trend, kterým se při tvorbě metodiky bude patrně ubírat. Posouzení otázky názorového smýšlení NÚKIB je důležité pro úvahu, jak by mohl být obsah připravované metodiky vymezen a jak se tento dokument v praxi dotkne dodavatelů. Jestliže vycházíme z aktuálně nastavené národní legislativy, která je v tomto ohledu ucelená, pak může mít právě metodika NÚKIB zásadní význam, neboť lze očekávat, že předloží návod, jak konkrétně má být rizikovost dodavatelů posuzována.

NÚKIB ve svém podpůrném materiálu „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“ konstatoval, že „riziko spojené s používáním prostředků dotčených společností může být na různých úrovních systémů různé a teprve analýza rizik zadavateli určí, na jakých místech a v jaké míře je potřeba na riziko reagovat.“84 Jsou to tedy příslušní smluvní partneři, kdo budou muset sami vyhodnotit, zda použití určité technologie od rizikových dodavatelů v jejich systémech představuje riziko, resp. jakým způsobem mohou toto riziko dostatečně zmírnit.

NÚKIB v dalším metodickém materiálu „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“ uvedl, že „ve veřejných zakázkách nesmí docházet k bezdůvodnému vytváření překážek hospodářské soutěže, znamenající vyloučení dodavatele, aniž byla dříve testována či zjišťována jeho případná rizikovost. Takové omezení hospodářské soutěže je možné pouze tehdy, pokud jej lze obhájit objektivními skutečnostmi. Za objektivní důvody pak lze považovat ty skutečnosti, kdy použití určité technologie je prokazatelně rizikovější, než použití technologie jiné. Nicméně uvedené důvody musí být dostatečně konkrétní a vztahující se k přímo posuzované technologii, nikoli obecně k výrobkům určitého výrobce.85“

XXXXX rovněž prohlásil86, že „nelze považovat za stanovisko a názorový postoj“ tohoto úřadu prohlášení jednoho z jeho pracovníků, který v článku Hospodářských novin uvedl:

− „Při současném zhodnocení rizik je opravdu vhodné, aby se sítě stavěly bez čínských technologií.“

− „Technicky nejjednodušší je ale rizikové vybavení nahradit technologiemi důvěryhodnějších dodavatelů.“

83 xxxxx://xxx.xxxxx.xx/xx/xxxxx-xxxxxxx/xxxxxxxx/x-xxxxx-xxxxxxxx-xxxxx-xxxxxx-0x-xxxxxxxx-xxxxxxxxxx-000000/

84 Podpůrný materiál NÚKIB „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“ s platností k 1. 3. 2020, s. 7 (xxxxx://xxx.xxxxxxx.xx/xxxxxxxx/xxx-xxx/xxxxxx/Xxxxxxxxxx-xxxxxxxx-x-xxxxxxxxx-xxxxxx_x0.0.xxx).

85 Metodický materiál NÚKIB „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“ s platností k 29.

1. 2019, s. 6 (xxxxx://xxx.xxxxxxx.xx/xxxxxxxx/xxx-xxx/xxxxxx/Xxxxxxxx-xxxxxxxxx-xxxxxxx-x-xxxxxxx-XXX-x- kyberneticka-bezpecnost_v1.2.pdf)

86 Odpověď na žádost o poskytnutí informace ze dne 1. 6. 2020, č. j. 2762/2020-NÚKIB-E/210, dostupná na xxxxx://xxx.xxxxx.xx/xx/xxxxxx-xxxxx/xxxxxxxx-xxxxx-xxxxxx-x-000-0000-xx/

Výše uvedené dokládá konzistentní přístup NÚKIB k rizikovým dodavatelům, resp. k objednateli. Bude-li se touto otázkou zabývat i připravovaná metodika, resp. případně novelizovaná bezpečnostní legislativa v České republice, neměla by umožnit vyloučení jakéhokoli dodavatele technologie, aniž by byl nejdříve označen za rizikového po předchozí řádné a objektivní analýze ze strany povinné osoby. Případné omezení dodavatele by pak tedy mělo nastat pouze na základě dostatečně konkrétních objektivních skutečností vztahujících se přímo k posuzované technologii dodavatele. V tomto případě by pak dle zpracovatele měl mít dodavatel vždy možnost se k tvrzené rizikovosti jím dodávané technologie dostatečně vyjádřit a případnou rizikovost vyvrátit. Aktuální nastavení bezpečnostních opatření souvisejících s výběrem bezrizikového dodavatele, by proto mohla zůstat zachována jako dostatečně funkční i pro příště.

6.6. Posuzování rizikovosti dodavatele z pohledu Zprávy o implementaci

V souvislosti s kritérii posouzení rizikovosti dodavatele se jako vhodný jeví postup některých z ostatních členských států. Jejich přístup je obecně shrnut ve Zprávě o implementaci, kterou zpracovatel rozebral v rámci předcházející kapitoly.

Zpráva o implementaci považuje jako dva hlavní určující faktory pro účinnou implementaci strategického opatření SM03 metodiku k posouzení rizikového profilu dodavatelů a dále definici klíčových aktiv, na která se budou vztahovat omezení. Tento závěr je významný i pro otázku způsobu implementace popsaného strategického opatření do české legislativy. Jak metodika, tak identifikace klíčových aktiv totiž dosud v podobě odpovídající požadavkům Zprávy o implementaci neexistuje. Zpracovatel obojí blíže popisuje níže.

6.6.1. Metodika k posouzení rizikového profilu dodavatelů

Jak již bylo uvedeno výše, česká legislativa již nyní obsahuje řadu ustanovení odrážející obsah strategického opatření SM03. Pokud však jde o samotné posouzení rizikového profilu dodavatelů, příslušná úprava chybí.

Z veřejně dostupných zdrojů vyplývá, že metodika je aktuálně připravována ze strany NÚKIB, který měl svůj výstup prezentovat na druhém ročníku konference o bezpečnosti sítí 5. generace s

„Prague 5G Security Conference“, která se měla uskutečnit ve dnech 5. a 6. května 2020. Kvůli pandemii Covid-19 byl původně plánovaný termín změněn a konference byla přesunuta na září roku 2020. Ohledně metodiky se v souvislosti s konferencí uvádí: „Českým příspěvkem do této sady bude kromě zmíněného 5G security toolbox, při jehož projednávání a přípravě v EU sehrálo Česko zásadní roli, také systém komplexní analýzy rizik, který vyvinul a používá NÚKIB. Jde o metodiku, která může být použita kteroukoli soukromou nebo veřejnou organizací pro posouzení rizik spojených s provozem kritických informačních systémů. Součástí bude také případová studie využití

této metodiky při budování sítí 5G. Česká republika je připravena sdílet toto know how se svými zahraničními partnery.“87

Avizovaná metodika dosud zveřejněna nebyla. Stejně tak nemá zpracovatel informace ani o tom, že by bylo posouzení rizikovosti dodavatele obsahem jiného dokumentu, resp. připravované legislativy.

6.6.2. Definice klíčových aktiv

EU Toolbox ve svém textu nabádá členské státy EU k tomu, „aby z bezpečnostních důvodů zajistily a zavedly opatření, která budou přiměřeně reagovat na aktuálně zjištěná a budoucí rizika v souvislosti s dodávkami a nasazením síťových zařízení pro provoz 5G.“

Členské státy by pak měly mimo jiné cit. „posoudit rizikový profil dodavatelů; v důsledku čehož by měl použít příslušná omezení pro dodavatele, kteří jsou považováni za vysoce rizikové, včetně nezbytných výjimek, aby bylo možné účinně zmírnit rizika pro klíčová aktiva definovaná jako kritická a citlivá v koordinovaném hodnocení rizik EU (např. funkce jádra sítě, funkce správy a řízení sítě, a přístup k síťovým funkcím) …“88

Z obsahu EU Toolboxu vyplývá, že klíčová aktiva jsou pro provoz sítě 5G z hlediska bezpečnostního významu zcela zásadní. Jednoznačně je zde kladen důraz na rozdělení částí sítě, přičemž přísnější režim pro posouzení rizikovosti dodavatelů technologie bude nastolen právě pro klíčová aktiva. Ačkoli nejsou v České republice klíčová aktiva blíže legislativně definována, existují zde tzv. prvky kritické informační infrastruktury, které jsou pojmově klíčovým aktivům, tak jak je znázorňuje EU Toolbox, nejblíže. Proto se zpracovatel níže zaměřuje na vymezení kritické informační infrastruktury.

Pro pochopení uvedené problematiky je nezbytné nejdříve vysvětlit, co se rozumí prvkem obecné kritické infrastruktury, ze kterého se teprve následně určuje konkrétní prvek kritické informační infrastruktury. Xxxxxxx ke kritické infrastruktuře uvádí, že „se v podstatě jedná o vše, co umožňuje, abychom tzv. žili svůj normální život, tj. aby se po zapnutí vypínače rozsvítilo světlo nebo abychom si každý den mohli nakoupit potraviny (...) Laicky řečeno to znamená, že pokud se připojím k internetu, můžu se spolehnout na jeho funkčnost. Avšak jednoho dne se může stát, že internet nebude fungovat, stejně jako jiné komunikační sítě, banky, výroba, zdravotnictví, vláda apod. Toto vše, společně se síťovými infrastrukturami, jako jsou elektřina, voda či plyn, vytváří kritickou infrastrukturu, bez které bychom dnes nemohli vůbec existovat...89

87 xxxxx://xxx.xxxxx.xx/xx/xxxxx-xxxxxxx/xxxxxxxx/x-xxxxx-xxxxxxxx-xxxxx-xxxxxx-0x-xxxxxxxx-xxxxxxxxxx-000000/

88 EU Toolbbox, s. 18

89 xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxx/xxxxxxx-xxxxx/xxxx-xxxxxxxxxx-xxxxxxxxx-xxx-xxxxxx-xxxxxxx-xxxx-xx-xxxxxx-x- kyberneticke-bezpecnosti-ii

Aby však mohl být prvek kritické infrastruktury spolehlivě a zcela konkrétně určen, musí splňovat průřezová a odvětvová kritéria stanovená nařízením vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury.

Průřezovým kritériem se rozumí hledisko obětí s mezní hodnotou více než 250 mrtvých nebo více než 2500 osob s následnou hospitalizací po dobu delší než 24 hodin, ekonomického dopadu s mezní hodnotou hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu nebo dopadu na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 125 000 osob.

Je-li splněno alespoň jedno z průřezových kritérií, dojde k dalšímu posouzení, zda je splněno také alespoň jedno z odvětvových kritérií.

Odvětvová kritéria se týkají všech možných oblastí, jakými jsou například vodní hospodářství, energetika či potravinářství a nadto sem byla zařazena i oblast kybernetické bezpečnosti. Pro určení existence konkrétního prvku kritické informační infrastruktury je nezbytné vymezit ty části systémů, které mohou do oblasti kybernetické bezpečnosti za splnění dalších níže uvedených podmínek spadat.

Jedná se o následující komunikační a informační systémy:

Části pevné sítě elektronických komunikací

a) centrum řízení a podpory sítě

b) řídící ústředna

c) mezinárodní ústředna

d) transitní ústředna

e) datové centrum

f) telekomunikační vedení

Části mobilní sítě elektronických komunikací

a) centrum řízení a podpory sítě

b) ústředna mobilní sítě

c) základnová řídící jednotka sítě pokrývající strategickou lokalitu

d) základnová stanice sítě pokrývající strategickou lokalitu

e) datové centrum

Části informačních systémů

a) řídicí centrum

b) datové centrum

c) elektronických komunikací

d) technologický prvek zajišťující provoz registru doménových jmen „CZ“ a zabezpečení provozu domény nejvyšší úrovně „CZ“

Pokud je dle výše znázorněného postupu zjištěno, že posuzovaná technologie do tohoto výčtu spadá, tak aby mohl být prvek kritické informační infrastruktury přesně určen, je třeba dále posoudit, zda tato technologie skutečně zasahuje do oblasti kybernetické bezpečnosti. Nezasahuje-li uvedená technologie do oblasti kybernetické bezpečnosti, nebude se o prvek kritické informační infrastruktury jednat.

Aby bylo možné určit, že se technologie dotýká oblasti kybernetické bezpečnosti, musí jít o:

1. informační systém, který významně nebo zcela ovlivňuje činnost určeného prvku kritické infrastruktury, a který je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období přesahujícím 8 hodin

2. komunikační systém, který významně nebo zcela ovlivňuje činnost určeného prvku kritické infrastruktury, a který je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období přesahujícím 8 hodin

3. informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách

4. komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury,

s kapacitou garantovaného datového přenosu nejméně 1 Gbit/s

nebo

5. o některou z výše uvedené technologie komunikačního a informačního systému, pokud je její ochrana nezbytná pro zajištění kybernetické bezpečnosti.

Lze tedy uzavřít, že je-li splněno alespoň jedno průřezové kritérium, dále se jedná o konkrétní uvedenou technologii komunikačního a informačního systému a současně je posouzením zjištěno, že tato technologie spadá do oblasti kybernetické bezpečnosti, jsou splněny podmínky pro jeho zařazení do oblasti prvků kritické informační infrastruktury. K tomu formálně dojde vydáním opatření obecné povahy (není-li subjekt posuzované technologie organizační složkou státu).90

Výše uvedené schéma u všech sítí předešlých generací, ale i té aktuální 4G jednoznačně specifikuje, jaká technologie je z hlediska kybernetické bezpečnosti prvkem kritické informační infrastruktury a jaká sem naopak nespadá. Tento současný stav je z hlediska právní jistoty dotčených subjektů zcela zásadní, neboť se tím de facto stanoví, jaká technologie, kterého dodavatele bude z hlediska kybernetické bezpečnosti přísněji posuzována, což má pro budování sítě 5G zásadní význam, který vyplývá i ze znění EU Toolboxu, jak již bylo uvedenou v úvodu této podkapitoly.

90 xxxxx://xxx.xxxxxxx.xx/xxxxxxxx/xxx-xxx/Xxxxxx_XXX.xxx

V souvislosti se zaváděním nové sítě však zaznívají názory, které dosavadní dělení sítě odmítají s tím, že jej údajně inovativní řešení sítě 5G vůbec technicky neumožní. Tak například vládní dokument Implementace a rozvoj sítí 5G v České republice z roku 2019 uvádí, že „problematickým, aspektem bezpečnosti je absence efektivního dělení na periferii a jádro ve snaze snížení latence. Kvůli této nové decentralizované struktuře odpadá možnost rozdělit sítě na jádro a periferii, čímž bylo u předchozích generací sítí možné zamezit vstupu podezřelých dodavatelů do citlivých částí sítě (jádro) a umožnit jim participaci pouze na okraji, kde je výrazně menší riziko. Potenciálně citlivá data mohou být pravděpodobně vedena jakoukoliv částí sítě 5G a zneužita dodavatelem.“91

Jestliže z citovaného dokumentu vyplývá, že dělení na jádro a periferii nebude v případě budování a provozu sítí 5G možné, pak nebude možné reálně určit, která technologie je prvkem kritické informační infrastruktury a vyžaduje tak přísnější režim posouzení rizik a která naopak nikoli. Takový závěr bude nepochybně vyvolávat právní nejistotu u všech subjektů, které se na budování sítě 5G budou bezprostředně podílet, a to tím spíše, že z uvedeného textu může de facto vyznívat, že celá síť 5G bude pro příště prvkem kritické informační infrastruktury bez rozdílu.

S touto úvahou se však zpracovatel neztotožňuje, neboť pokud by celá síť 5G byla součástí kritické informační infrastruktury, tak by se veškeré aktuálně velmi ostře vymezené zákonné povinnosti subjektů nepřiměřeně rozšířily92, což by mimo jiné vytvářelo významné překážky v hospodářské soutěži a na subjekty by mohlo přenášet výraznou byrokratickou zátěž.

Zpracovatel není schopen detailně posuzovat technické možnosti zabezpečení sítě 5G, resp. reálné možnosti jejího budoucího dělení tak, jak je tomu doposud. Z hlediska právního významu však jednoznačně trvá na tom, aby zůstal zachován aktuální stav, a i nadále bylo pro budování sítě 5G konkrétně vymezeno, která technologie bude jejím prvkem kritické informační infrastruktury a která část technologie se dotkne pouze její periferie. Jasné a předvídatelné rozdělení sítě 5G sehraje důležitou úlohu nejen při řešení jejího zabezpečení, ale i pro možnosti zapojení dodavatelů technologie do jejího technického řešení a stejně tak i pro vymezení jejich případných limitů. Z informací dodavatelů je zjevné, že sítě 5G budou do značné míry stavěné velmi podobně jako sítě předchozích generací s ohledem na rozdělení mezi jádro sítě a okrajovou část sítě. Je zjevné, že v konkrétních případech se některé služby jádra sítě mohou přesunout do konkrétních okrajových částí sítě na základě poptávky a požadavků konkrétních zákazníků93. Nelze ale bez dalšího říci, že pokud se některé funkcionality jádra sítě přesouvají do periferních částí sítě, automaticky se tak zvyšuje míra rizika v oblasti kybernetické bezpečnosti.

91 xxxxx://xxx.xxxxxx.xx/xxxxxxxxxxx-xxxxxx-xxxx-0x-x-xxxxx-xxxxxxxxx-xxxxx-x-xxxxxxxxx-xxxxxxxxx-xxxxx-xxxxxxxx- verze

92 Takové povinnosti by byly bez omezení dány například podle § 4 odst. 2 ZKB, § 4 odst. 4 nebo § 4a odst. 1 téhož apod.

93 xxxxx://xxxxx.xxxx/xx-xxxxxxx/xxxxxxx/0000/00/xxxx-xxxxxxxxx-xxx-0x.xxx

6.7. Návrh přístupu k rizikovým dodavatelům dle zpracovatele

Zpracovatel v předchozí kapitole rozebral relevantní části Zprávy o implementaci. Ve Zprávě o implementaci jsou mimo jiné shrnuty typové přístupy členských států k rizikovým dodavatelům94, resp. ilustrativní příklady přístupu tří vybraných členských států. Tyto přístupy mohou být inspirací i pro implementaci strategického opatření SM03 do českého právního řádu.

V návaznosti na uvedené, zpracovatel předkládá následující možná řešení:

6.7.1. Posuzování rizikovosti dodavatelů operátory

Z pohledu zpracovatele je primárním přístupem dosud používaná koncepce, kdy veškerá rizika v oblasti kybernetické bezpečnosti spojená s dodávkou (a dodavateli) posuzují samotné povinné osoby (vyjmenované v § 3 ZKB).

Povinné osoby mají mimo jiné povinnost postupovat v souladu s § 8 VKB, kde je upraveno tzv. řízení dodavatelů. Mimo jiné jsou povinny dle § 8 odst. 1 písm. f) VKB „řídit rizika spojená s dodavateli“. Stejně tak v § 8 odst. 2 VKB v podrobnostech upravuje zvláštní povinnosti povinné osoby ve vztahu k významným dodavatelům. VKB tedy již nyní obsahuje legislativní základ pro implementaci kritérií rizikovosti dodavatele.

Stávající legislativa proto umožňuje pouhé dotvoření, resp. metodické upřesnění povinností v oblasti řízení spojených s dodavateli pro specifický případ, kdy má zařízení pro 5G sítě dodávat rizikový dodavatel. Metodika by měla konkretizovat povinnosti povinné osoby v případě, kdy má být předmětem dodávky zařízení pro budování 5G sítí. Tato metodika může vycházet z kritérií popsaných v příloze EU Toolboxu s tím, že předloží podrobnější způsob hodnocení spolu s konkrétními příklady použití.

Odpovědnost za posouzení rizikovosti jednotlivých dodavatelů by nesli stejně jako dosud operátoři, kterým je povinnost řízení rizik uložena již ve stávající právní úpravě. Povinná osoba je pro řízení rizik dostatečně vybavena a nejlépe zná okolnosti konkrétní dodávky (a specifika dodavatele) a s ní spojených potenciálních rizik, stejně jako možnosti, jak tato rizika řídit.

Stát, resp. NÚKIB, disponuje širokými kontrolními a sankčními pravomocemi pro případ, že by povinná osoba nepostupovala při řízení rizik řádným způsobem. Popsaný přístup se proto blíží prvnímu z přístupů dle Zprávy o implementaci (možnost NÚKIB fakticky dodatečně „vetovat“ dodávku od rizikového dodavatele). Z pohledu zpracovatele by tento přístup zajistil efektivní rozvoj 5G sítí při zachování bezpečnosti 5G sítí, resp. účinných nástrojů států, které mají tuto bezpečnost zaručit.

94 (i) Předchozí schválení nebo notifikace/veto: Posouzení plánů operátorů a uložení omezení nebo vyloučení případ od případu, (ii) „Deny list“ spočívající v určení určitých dodavatelů jako vysoce rizikové nebo nedůvěryhodné a v úpravě příslušných omezení pro tyto subjekty a (iii) „Allow list“ tedy identifikace konkrétních dodavatelů, kteří by mohli dodávat zařízení či služby pro 5G sítě.

6.7.2. Plošné určení klíčových aktiv a dodavatelů s (ne)omezeným přístupem

Zatímco první prezentovaný přístup spočívá v posuzování rizikovosti dodavatele s dominantní rolí operátorů a následnou kontrolní pravomocí státu, druhou variantou je úprava obecných podmínek dodávek pro 5G sítě.

Pro její realizaci by byla primárně nezbytná jednoznačná identifikace dodávek, z nichž by byli vyloučeni či omezeni rizikoví poskytovatelé. V případě omezení by bylo zároveň nutné velmi přesně popsat způsob tohoto omezení. Dále by bylo rovněž nezbytné upravit postup určování rizikových dodavatelů (vytvoření „Deny list“), případně dodavatelů, kterým bude umožněno se budování 5G sítí (jejích vybraných částí) účastnit („Allow list“).

Dle názoru zpracovatele by bylo nutné zejména legislativně upravit průběh řízení, jehož výsledek by bylo zmíněné určení (bez)rizikového dodavatele. Z ústavněprávního hlediska lze stěží připustit, aby proces výběru proběhl jednostranně a vyústil v pouhé sdělení orgánu veřejné moci bez možnosti příslušného subjektu, aby se k věci mohl předem aktivně vyjádřit. Nemožnost objednatele učinit takové vyjádření ostatně zpracovatel považuje za jednu z nejzásadnějších vad Varování vydaného ze strany NÚKIB, namířeného proti objednateli (podrobněji k Varování viz samostatná kapitola).

V nově upraveném řízení by měl rozhodovat o připuštění určitého dodavatele k tomu určený orgán s tím, že s ohledem na strategickou povahu tohoto rozhodnutí lze upravit možnost, kdy jeho rozhodnutí může zvrátit jiný orgán, resp. několik orgánů jednohlasně. V tomto ohledu se jako vhodný jeví již výše popsaný německý model s dvoustupňovým schvalovacím procesem, v němž stát primárně rozhoduje na základě objektivních kritérií, která jsou stejná pro všechny dodavatele, avšak současně si ponechává možnost vyloučení (možného, ale svojí povahou výjimečného) dodavatele na základě politického rozhodnutí, jehož podmínky jsou předem jasně stanoveny.

Případné vyloučení (či podstatné omezení) konkrétního dodavatele by mělo být až poslední možností, která bude uplatněna poté, co všechna mírnější řešení budou vyčerpána.

6.8. Legislativní způsob implementace EU Toolboxu v ČR

Pokud bude na úrovni České republiky vyhodnoceno, že je nezbytné některá opatření z EU Toolboxu do národní legislativy implementovat, pak se jako primární způsob implementace nabízí (kromě případné novelizace samotného ZKB) i novelizace VKB. Tento podzákonný právní předpis již v současné podobě obsahuje celou řadu opatření, která jsou závazná a ve značném rozsahu se s EU Toolboxem překrývají. Celý implementační proces by tak mohl být řešen novelou VKB, kterou by byl obsah některých opatření z EU Toolboxu vložen do VKB.

Stejně tak může být obsahem novely precizace návodu dosud zakotveného v příloze, jak posuzovat rizikovost případného dodavatele – výrobce, což je aktuálně součástí přílohy č. 2 VKB. Zde je role

NÚKIB významná, neboť je z obsahu ZKB95 zmocněn k tomu, aby stanovil znění VKB, mimo jiné tedy rovněž obsah bezpečnostních opatření a jejich rozsah (pochopitelně v souladu s další legislativou vyšší právní síly).

Zásadní však bude, pro jaký přístup k rizikovým dodavatelům se ČR rozhodne, neboť tento způsob bude mít dopad mimo jiné i na to, jakou formou bude legislativně zakotven. Jak již bylo popsáno výše, některé otázky lze upravit v metodice jakožto formálně nezávazném materiálu NÚKIB96, jiné vyhláškou (VKB), některé by však vyžadovaly novelizaci, případně existujícího zákona, případně přípravu nového. S formou pak úzce souvisí i časový rámec, resp. (ne)snadnost přijetí příslušných pravidel. Zatímco např. metodiku je NÚKIB schopen vydat velmi rychle, novela zákona musí projít legislativním procesem, který je podstatně delší a s nejistým výsledkem.

6.9. Dílčí závěr

Pokud jde o legislativu a další aktivní kroky v oblasti kybernetické bezpečnosti, ČR je považována za jednoho z evropských lídrů. To je zřejmé i ze zásadní role ČR při přípravě EU Toolboxu (viz předcházející kapitola). ČR disponuje relativně komplexní právní úpravou kybernetické bezpečnosti, která již nyní obsahuje řadu opatření, jejichž implementaci EU Toolbox doporučuje.

Pokud se jedná o implementaci doporučených kritérií pro posouzení rizikovosti, případná aplikace některých z nich by měla být velmi pečlivě zvážena. Z formulace kritérií a jejich obecného pojetí je zřejmé, že by mohlo v praxi docházet k bezdůvodné diskriminaci dodavatelů. Na jejich základě by mohli být někteří dodavatelé automaticky vyloučeni, aniž by k tomu byl v konkrétních případech objektivní anebo prokazatelný důvod a aniž by daný dodavatel měl možnost se proti takovému vyloučení účinně právně bránit.

Ačkoli český právní řád prostřednictvím ZKB a VKB obsahuje úpravu řízení rizik dodavatelů, výslovné zakotvení kritérií pro posuzování rizikovosti dodavatele dosud chybí. Nejsou tak k dispozici žádná konkrétní kritéria, která by měla být návodem pro to, jak mají být dodavatelé posuzováni a hodnoceni co do jejich rizikovosti.

Z dosavadních vyjádření NÚKIB lze vyčíst názor, podle kterého si povinné osoby budou muset sami vyhodnotit, zda použití určitých prostředků od rizikových dodavatelů v jejich systémech představuje riziko, resp. jakým způsobem mohou toto riziko dostatečně zmírnit. Není možné, aby byl dodavatel označen za rizikového a posléze vyloučen bez předchozí objektivní analýzy.

Ve Zprávě o implementaci jsou mimo jiné shrnuty typové přístupy členských států k rizikovým dodavatelům, resp. ilustrativní příklady přístupu tří vybraných členských států.

95 Viz § 28 odst. 2 ZKB.

96 Jednalo by se o úkon správního orgánu dle části čtvrté SŘ.

Tyto přístupy mohou být inspirací i pro implementaci strategického opatření SM03 do českého právního řádu. V návaznosti na uvedené přicházejí v úvahu tyto možnosti:

1. posuzování rizikovosti dodavatelů operátory

2. plošné určení klíčových aktiv a dodavatelů s (ne)omezeným přístupem

Jako vhodný se zpracovateli jeví např. již výše popsaný německý model s dvoustupňovým schvalovacím procesem, v němž stát primárně rozhoduje na základě objektivních kritérií, která jsou stejná pro všechny dodavatele, avšak současně si ponechává možnost vyloučení (možného, ale svojí povahou výjimečného) dodavatele na základě politického rozhodnutí, jehož podmínky jsou předem jasně stanoveny.

Způsob implementace (vybraný přístup) by měl být zvolen tak, aby byly vyváženy veškeré relevantní zájmy, tedy zejména ochrana volné hospodářské soutěže a práva jednotlivých dodavatelů na straně jedné, a ochrana bezpečnosti státu na straně druhé. Proto i v případě budování 5G sítí by mělo být vyloučení (či podstatné omezení) konkrétního dodavatele až poslední možností, která bude uplatněna poté, co všechna mírnější řešení budou vyčerpána.

V případě, že finální posouzení rizikovosti dodávaných technologií bude záviset pouze na povinné osobě (bude-li takové řešení zvoleno), měl by NÚKIB pro zachování právní jistoty a konzistence ve svých dosavadních vyjádřeních setrvat na dosavadních postojích a v případné metodice zdůraznit, že jakákoli namítaná rizikovost bude muset být dostatečně prokazatelná a konkrétní, aby nemohlo dojít ke zneužití práva a diskriminaci konkrétních dodavatelů. Metodika sice nebude nahrazovat právní předpis a samostatně nebude právně závaznou, nicméně z pohledu autority NÚKIB lze očekávat, že bude všeobecně přijímána a jejímu návodnému obsahu se režim hodnocení rizikovosti jednotlivých dodavatelů v praxi přizpůsobí.

7. EU certifikace kybernetické bezpečnosti

Jedním z technických opatření EU Toolboxu (konkrétně TM09) je i „Využití certifikace EU pro komponenty sítí 5G, vybavení zákazníka a/nebo procesy dodavatelů“. Toto následně doplňuje i další technické opatření (TM10) „Používání certifikace EU pro jiné produkty a služby IKT, které nejsou specifické pro 5G (připojená zařízení, cloudové služby)“.

Příprava podrobného schématu EU certifikace teprve probíhá. Již nyní je však zřejmé, že v souvislosti se zmírněním rizik spojených se zaváděním sítí 5G může mít certifikace zásadní význam. Proto tuto problematiku zpracovatel zařazuje do této studie jako samostatnou kapitolu.

7.1. K účelu EU certifikace

Problematiku EU certifikace nově upravuje akt o kybernetické bezpečnosti.97 Akt o kybernetické bezpečnosti poprvé zavádí celounijní pravidla kyberneticko-bezpečnostní certifikace produktů, postupů a služeb. Kromě toho uděluje nový trvalý mandát Agentuře EU pro kybernetickou bezpečnost (dále jen „ENISA“), která tak k plnění stanovených cílů získá více zdrojů.

Nařízení EU jsou obecně ve smyslu čl. 288 druhá alinea Smlouvy o fungování EU, právními akty s obecnou působností, které jsou závazné v celém rozsahu a přímo použitelné ve všech členských státech EU. Přes přímou použitelnost nařízení EU ovšem v některých případech nastává nutnost přijmout ještě navazující prováděcí opatření na vnitrostátní úrovni, což bývá zpravidla dílčí upřesňující novela již účinné národní legislativy. Jde tedy částečně o metodu obdobnou pro aplikaci směrnic a uvedený postup se týká i výše citovaného Aktu, který je takto implementován například do dílčí novely ZKB.

Akt o kybernetické bezpečnosti z velké části upravuje systém EU certifikace, což je ucelený soubor pravidel, technických požadavků, norem a procesů sjednaný na evropské úrovni, jímž se posuzují kyberneticko-bezpečnostní vlastnosti konkrétního produktu, služby či procesu. Účelem EU certifikace kybernetické bezpečnosti má být zvyšování důvěryhodnosti a bezpečnosti produktů, služeb a procesů, které mají zásadní význam pro hladké fungování jednotného digitálního trhu. Vzhledem k velké rozmanitosti produktů, služeb a procesů IKT a mnoha jejich využití umožňuje evropský rámec pro certifikaci kybernetické bezpečnosti vytvářet flexibilní systémy certifikace EU uzpůsobené potřebám a existujícím rizikům.

EU certifikát vyjadřuje kyberneticko-bezpečnostní riziko stanovením úrovně zabezpečení, která odpovídá úrovni rizika spojeného se zamýšleným použitím produktu, služby nebo procesu co do pravděpodobnosti a dopadu případného incidentu. Vysoká úroveň zabezpečení tak například znamená, že produkt úspěšně prošel nejpřísnější bezpečnostní kontrolou.

97 xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXXXXX:00000X0000

Uvedeným procesem by mělo dojít k zajištění důvěry v digitální systémy, na nichž je celá společnost závislá a má přinést prospěch především pro:

− Občany a koncové uživatele (např. provozovatele základních služeb), kteří budou schopni činit informovanější rozhodnutí při nákupu produktů a služeb, které používají

ve svém běžném životě. Například občan, který zvažuje koupi chytrého televizoru a je si vědom kyberneticko-bezpečnostních rizik při připojení na internet, si bude moci vyhledat nezbytné informace na stránkách Evropské skupiny pro certifikaci kybernetické bezpečnosti, které spravuje Agentura EU pro kybernetickou bezpečnost. Na stránkách bude možné vyhledávat podle modelu výrobku, který byl certifikován a odpovídá příslušným kyberneticko-bezpečnostním požadavkům. Budou zde i informace od prodejce ohledně toho, jak televizor bezpečně nastavit, konfigurovat a používat, a také doba, po kterou se prodejce zavazuje poskytnout v případě vzniku nových hrozeb kyberneticko-bezpečnostní řešení.

− Prodejce a poskytovatele produktů a služeb (včetně malých a středních podniků (MSP) a nových podniků), neboť budou moci získávat obchodní důvěru připojením EU

certifikace ke svým produktům pomocí etikety navázané na EU certifikát.

− Vlády, které budou mít stejně jako všichni jednotlivci i velkoobchodníci více informací, jež jim pomohou při výběru produktu či služby, které pořizují.98

7.2. Orgány a další subjekty EU pro oblast certifikace kybernetické společnosti

7.2.1. Evropská komise

Evropská komise (dále jen „Komise“) je nejvyšším orgánem, který zastřešuje celý certifikační aparát. Komise by v této souvislosti měla připravit, za podpory Evropské skupiny pro certifikaci kybernetické bezpečnosti a Skupiny zúčastněných stran pro certifikaci kybernetické bezpečnosti a po otevřené a široké konzultaci, průběžný pracovní program Unie pro evropské systémy certifikace kybernetické bezpečnosti a zveřejnit jej v podobě nezávazného nástroje, který určí strategické priority pro budoucí evropské systémy certifikace kybernetické bezpečnosti.99 Průběžný pracovní program Evropské unie bude obsahovat zejména seznam produktů, služeb a procesů IKT či jejich kategorií, pro něž by mohlo být zařazení do oblasti působnosti evropského systému kybernetické bezpečnosti prospěšné.100

Krom výše uvedených skupin spolupracuje Komise také s ENISA, a to především v řešení žádostí o evropský systém certifikace kybernetické bezpečnosti; jeho vypracování, přijetí a přezkumu, ale i v dalších oblastech týkajících se EU certifikace pro zachování společné mezinárodní spolupráce.101

98 xxxxx://xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/xxxxxx/xx/XXXXX_00_0000

99 Viz bod 84 Preambule Aktu, dále Čl. 47 odst. 1 Aktu

100 Viz Čl. 47 odst. 2 Aktu

101 Viz Čl. 12 Aktu

7.2.2. ENISA

Monitoring a dohled nad kybernetickou bezpečností v rámci Evropské unie provádí ENISA. Ta se obecně podílí například na zvyšování informovanosti a vzdělávání na úseku kybernetických bezpečnostních rizik nebo se podílí na výzkumech a inovacích, jak těmto rizikům předcházet.

Aby ENISA mohla být plně aktivní, disponuje vlastní poradní skupinou, která má být složena ze zástupců průmyslu (ICT odvětví), poskytovatelů služeb internetové společnosti, malých a středních podniků, správců informačních infrastruktur, spotřebitelů i akademické půdy, jakož i donucovacích orgánů a orgánů dozoru pro ochranu údajů.102

V oblasti EU certifikace kybernetické bezpečnosti ENISA prosazuje její unifikaci, aby se zabránilo roztříštěnosti vnitřního trhu. S cílem zvýšit transparentnost kybernetické bezpečnosti produktů, služeb a procesů IKT, a posílit tak důvěru v digitální vnitřní trh a jeho konkurenceschopnost pak ENISA přispívá svou činností k zavedení a správě evropského rámce pro certifikaci kybernetické bezpečnosti.103 V souvislosti s tím je ENISA rovněž povinna zprovoznit a udržovat internetovou stránku věnovanou certifikaci, evropským certifikačním schématům platným, připravovaným, navrhnutým i zamítnutým, informacím o dotčených národních schématech i samotných certifikátech.104

V neposlední řadě se ENISA věnuje otázkám spolupráce se třetími zeměmi a mezinárodními organizacemi, jakož i v příslušných rámcích mezinárodní spolupráce, v zájmu prosazení mezinárodní spolupráce v otázkách týkajících se kybernetické bezpečnosti tím, že poskytuje Komisi poradenství a podporu v otázkách týkajících se dohod se třetími zeměmi o vzájemném uznávání certifikátů kybernetické bezpečnosti.105

7.2.3. Evropská skupina pro certifikaci kybernetické bezpečnosti

S cílem zajistit jednotné uplatňování evropského rámce pro certifikaci kybernetické bezpečnosti by měla být zřízena Evropská skupina pro certifikaci kybernetické bezpečnosti sestávající ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo jiných příslušných vnitrostátních orgánů. Evropská skupina pro certifikaci kybernetické bezpečnosti by měla usnadnit sdílení osvědčených postupů a odborných znalostí mezi různými vnitrostátními orgány certifikace kybernetické bezpečnosti odpovědnými za pověřování subjektů posuzování shody a vydávání evropských certifikátů kybernetické bezpečnosti.106

102 Viz Čl. 21 Aktu

103 Viz Čl. 4 odst. 6 Aktu

104 Viz bod 85 Preambule Aktu

105 Viz Čl. 12 písm. d) Aktu

000 Xxx xxx 000 Xxxxxxxxx Xxxx, xxxx Xx. 62 odst. 2 Aktu

Jedná se o uskupení složené ze zástupců národních autorit pro certifikaci kybernetické bezpečnosti, kterými jsou vnitrostátní orgány určené členským státem k výkonu dozorčí funkce nad dodržováním povinností plynoucích z Aktu pro subjekty na jeho domovském území. Z toho lze také snadno dovodit, že by tímto zástupcem v rámci fungování Evropské skupiny pro certifikaci kybernetické bezpečnosti měl být v České republice NÚKIB.

Evropská skupina pro certifikaci kybernetické bezpečnosti při své činnosti spolupracuje úzce jak s Komisí, tak s agenturou ENISA.

Evropská skupina pro certifikaci kybernetické bezpečnosti má zejména tyto úkoly:

− poskytovat poradenství a pomoc Komisi, zejména pokud jde o průběžný pracovní program Unie, záležitosti politiky v oblasti certifikace kybernetické bezpečnosti,

koordinaci politických přístupů a vypracování evropských systémů certifikace kybernetické bezpečnosti;

− poskytovat poradenství a pomoc agentuře XXXXX a spolupracovat s ní v souvislosti s

vypracováním návrhu systému;

− zkoumat relevantní vývoj v oblasti certifikace kybernetické bezpečnosti a sdílet informace a osvědčené postupy týkající se systémů certifikace kybernetické bezpečnosti.

7.2.4. Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti

Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti je zřízena především proto, aby:

− poskytovala poradenství Komisi ohledně strategických otázek souvisejících s evropským rámcem pro certifikaci kybernetické bezpečnosti;

− na požádání poskytovala poradenství agentuře ENISA ohledně obecných i strategických záležitostí souvisejících s úkoly agentury ENISA v oblasti trhu, certifikace kybernetické bezpečnosti a normalizace;

− v naléhavých případech poskytovala poradenství Komisi a Evropské skupině pro certifikaci kybernetické bezpečnosti ohledně potřeby dodatečných systémů certifikace mimo rámec průběžného pracovního programu Evropské unie.107

Uvedený orgán má ryze poradní funkci a odlišuje se tak od Evropské skupiny pro certifikaci kybernetické bezpečnosti. Jde tedy o jakýsi podpůrný orgán, který se zpravidla aktivuje až poté, kdy je požádán o konkrétní podporu.

Samotní členové Skupiny zúčastněných stran pro certifikaci kybernetické bezpečnosti jsou vybráni z řad uznávaných odborníků zastupujících příslušné zúčastněné strany. Tyto členy vybírá Komise

107 Viz Čl. 22 odst. 3 Aktu

na návrh agentury ENISA prostřednictvím transparentní a otevřené výzvy, přičemž zajišťuje vyvážené zastoupení různých skupin zúčastněných stran a patřičnou genderovou a zeměpisnou vyváženost.108

7.3. Evropské certifikáty kybernetické bezpečnosti

Evropský systém certifikace kybernetické bezpečnosti může u produktů, služeb a procesů IKT určit jednu nebo více těchto úrovní záruky: „základní“, „významná“ nebo „vysoká“. Úroveň záruky je přiměřená úrovni rizika z hlediska pravděpodobnosti a dopadu incidentu, jež je spojeno se zamýšleným použitím produktu, služby nebo procesu IKT.109

Akt o kybernetické bezpečnosti rozlišuje následující úrovně.110

Evropský certifikát kybernetické bezpečnosti nebo EU prohlášení o shodě, které odkazují na úroveň záruky „základní“, poskytují záruku, že produkty, služby a procesy IKT, pro něž jsou tento certifikát nebo toto EU prohlášení o shodě vydány, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá základní rizika incidentů a kybernetických útoků. Prováděné hodnotící činnosti zahrnují alespoň přezkum technické dokumentace.

Evropský certifikát kybernetické bezpečnosti, který odkazuje na úroveň záruky „významná“, poskytuje záruku, že produkty, služby a procesy IKT, pro něž je tento certifikát vydán, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá kybernetická rizika a rizika incidentů a kybernetických útoků prováděných subjekty s omezenými dovednostmi a zdroji. Prováděné hodnotící činnosti zahrnují alespoň přezkum s cílem prokázat neexistenci veřejně známých zranitelností a zkouška k prokázání toho, že produkty, procesy a služby IKT náležitě uplatňují nezbytné bezpečnostní funkcionality.

Evropský certifikát kybernetické bezpečnosti, který odkazuje na úroveň záruky „vysoká“, poskytuje záruku, že produkty, služby a procesy IKT, pro něž je tento certifikát vydán, splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat rizika sofistikovaných kybernetických útoků prováděných subjekty s významnými dovednostmi a zdroji. Prováděné hodnotící činnosti zahrnují alespoň přezkum s cílem prokázat neexistenci veřejně známých zranitelností, zkoušku k prokázání toho, že produkty, procesy a služby IKT náležitě uplatňují nezbytné nejnovější bezpečnostní funkcionality a posouzení jejich odolnosti vůči zručným útočníkům prostřednictvím zkoušky penetrace.

108 Viz Čl. 22 odst. 2 Aktu

109 Viz Čl. 52 odst. 1 Aktu

110 Viz Čl. 52 odst. 5, 6 a 7 Aktu

7.4. Evropský systém certifikace kybernetické bezpečnosti

Certifikační rámec neboli Evropský systém certifikace kybernetické bezpečnosti poskytne pro celou Evropskou unii komplexní soubor pravidel, technických požadavků, norem a postupů.

Nařízením se zřizuje Evropský systém certifikace kybernetické bezpečnosti s cílem předložit pro celou Evropskou unii jednotný komplexní soubor pravidel, technických požadavků, norem a postupů. Tento systém by měl přispět ke zlepšení fungování vnitřního trhu zvýšením úrovně kybernetické bezpečnosti v Evropské unii a umožněním harmonizovaného přístupu k evropským systémům certifikace kybernetické bezpečnosti.

Dále by měl vytvořit mechanismus pro zřizování systémů certifikace, které osvědčují, že produkty, služby a procesy IKT hodnocené v souladu s takovými systémy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, autentičnosti, integrity nebo důvěrnosti uchovávaných, předávaných či zpracovávaných údajů nebo funkcí či služeb nabízených nebo přístupných prostřednictvím těchto produktů, služeb a procesů během celého jejich životního cyklu.111

V současné době ještě není Evropský systém certifikace kybernetické bezpečnosti dopracován do finální podoby.

Evropský systém certifikace kybernetické bezpečnosti je přesto již navržen tak, aby dle okolností dosáhl alespoň těchto bezpečnostních cílů:

− chránil ukládané, předávané nebo jinak zpracovávané údaje proti náhodnému nebo neoprávněnému ukládání, zpracování, přístupu nebo sdělování, a to během celého životního cyklu produktu, služby nebo procesu IKT;

− chránil ukládané, předávané nebo jinak zpracovávané údaje proti náhodnému nebo neoprávněnému zničení, ztrátě nebo změně nebo proti nedostupnosti, a to během celého životního cyklu produktu, služby nebo procesu IKT;

− zajistil, aby oprávněné osoby, programy nebo stroje měly přístup pouze k údajům, službám nebo funkcím, jichž se týkají jejich přístupová práva;

− identifikoval a zdokumentoval známé případy závislosti a známé zranitelnosti;

− zaznamenal, které údaje, služby nebo funkce byly předmětem přístupu, použití nebo jiného zpracování, kdy k tomu došlo a kdo tak učinil;

− zajistil, aby bylo možné kontrolovat, které údaje, služby nebo funkce byly předmětem přístupu, použití nebo jiného zpracování, kdy k tomu došlo a kdo tak učinil;

− ověřil, že produkty, služby a procesy IKT neobsahují žádné známé zranitelnosti;

− včas obnovil dostupnost údajů, služeb a funkcí a přístup k nim v případě fyzických nebo technických incidentů;

111 Srov. přiměřeně xxxx://xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxx/xxxxxx/xxxx0xx0-000x-00xx-xx00- 01aa75ed71a1.0004.02/DOC_1

− zajistil, aby produkty, služby a procesy IKT byly zabezpečeny na úrovni standardního nastavení a výchozího návrhu;

− zajistil, aby byly produkty, služby a procesy IKT poskytovány s aktualizovaným softwarem a hardwarem, které neobsahují veřejně známé zranitelnosti, a aby obsahovaly mechanismy pro bezpečné aktualizace.

Výsledkem aplikace Evropského systém certifikace kybernetické bezpečnosti by mělo být v případě, že daný produkt bezpečnostně obstojí, vydání evropského certifikátu kybernetické bezpečnosti.

7.5. Postup při vydávání EU certifikace a posuzování shody na národní úrovni

Výrobce nebo poskytovatel produktu, na který je připraven Evropský systém certifikace kybernetické bezpečnosti, by se měl s tímto systémem seznámit (informace o něm budou zveřejňovány na internetu ze strany ENISA) a zhodnotit rizika, která hrozí jeho produktu. Na základě tohoto vyhodnocení si pak dotčený výrobce nebo poskytovatel produktu vybere požadovanou úroveň záruky bezpečnosti, na kterou zamýšlí svůj produkt certifikovat, a kontaktuje příslušný subjekt pro posuzování shody. Tento subjekt112 následně provede testování produktu a v případě, že bude produkt shledán bezpečným ke zvolení úrovni záruky, tak pro ni vydá příslušný EU certifikát.

Evropský systém certifikace kybernetické bezpečnosti může umožnit také vlastní posuzování shody pod výhradní odpovědností výrobce nebo poskytovatele produktů, služeb či procesů IKT. Vlastní posuzování shody je přípustné pouze u produktů, služeb a procesů IKT, které vykazují nízké riziko odpovídající úrovni záruky „základní“ (zde jde ovšem veškerá odpovědnost spojena s případným chybným či vadným hodnocením k tíži výrobce či poskytovatele – navíc je zde možnost kontroly dosažené EU certifikace ze strany NÚKIB, popř. kompetentního subjektu v rámci uzavřené veřejnoprávní smlouvy).

7.6. Legislativní vymezení kompetencí NÚKIB pro oblast EU certifikace

Návrh novely ZKB v souvislosti s problematikou EU certifikace nově v ustanovení § 22 písm. y) xxxxxxx, že NÚKIB je cit.: „…vnitrostátním orgánem certifikace kybernetické bezpečnosti podle aktu o kybernetické bezpečnosti…“ Z uvedeného tedy vyplývá, že NÚKIB bude rovněž subjektem pro vydávání evropského certifikátu kybernetické bezpečnosti a pro posuzování shody.

Navrhované ustanovení novely v § 19 odst. 5 uvádí, že cit.: „…NÚKIB může uzavřít veřejnoprávní smlouvu s právnickou osobou vybranou postupem podle § 163 odst. 4 správního řádu za účelem

112 Z obsahu dílčí novely ZKB vyplývá, že dohledovým gestorem pro posuzování shody měl být v České republice NÚKIB.

spolupráce v oblasti certifikace kybernetické bezpečnosti a zajištění některých činností podle čl. 58 Aktu. Řízení o výběru žádosti vyhlašuje NÚKIB...“.

Z dotčeného ustanovení je patrno, že NÚKIB bude moci pro vzájemnou spolupráci v oblasti certifikace kybernetické bezpečnosti uzavřít s blíže neurčeným subjektem veřejnoprávní smlouvu. S ohledem na obsah Čl. 58 Aktu lze dovozovat, že kompetence takového subjektu budou moci být poměrně široké.

7.7. Přenositelnost EU certifikace v rámci Evropské unie

Evropský rámec pro certifikaci kybernetické bezpečnosti by měl být jednotně zaveden ve všech členských státech, aby se zabránilo spekulativnímu výběru místa pro certifikaci v závislosti na rozdílné přísnosti požadavků v různých členských státech.113

Pokud bude výrobci nebo poskytovateli produktu vydán EU certifikát, pak bude v rámci unifikace uznáván ve všech členských státech Evropské unie, což podnikům nejenže usnadní přeshraniční obchod, ale sníží se tím i náklady a ušetří čas, jelikož budou muset o evropský certifikát žádat pouze jednou. Zájemci o koupi produktů a služeb i spotřebitelé rovněž lépe porozumí, jaké bezpečnostní vlastnosti produkt či služba mají. To umožní zajistit efektivní hospodářskou soutěž mezi poskytovateli na celém trhu EU a ve výsledku tak zaručit kvalitnější produkty a vyšší efektivnost nákladů.

7.8. K možnostem procesní obrany na úseku EU certifikace kybernetické bezpečnosti a posuzování shody

Akt o kybernetické bezpečnosti výslovně stanoví, že fyzické a právnické osoby mají právo podat stížnost u vydavatele evropského certifikátu kybernetické bezpečnosti. Orgán nebo subjekt, u něhož byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o přijatém rozhodnutí, jakož i o jeho právu využít soudního prostředku nápravy.

Bez ohledu na jakékoli správní nebo jiné mimosoudní opravné prostředky mají fyzické i právnické osoby právo na účinný soudní prostředek nápravy, pokud jde o:

− rozhodnutí orgánu, a to i pokud jde o případné chybné vydání či nečinnost ve vztahu k vydání nebo uznání evropského certifikátu kybernetické bezpečnosti, jehož jsou tyto fyzické či právnické osoby držiteli;

− nečinnost v řešení stížnosti podané u orgánu.

Řízení se s odkazem na dotčené ustanovení Aktu zahajuje u soudu členského státu, v němž se nachází orgán nebo subjekt, vůči kterému soudní prostředek nápravy směřuje.114

113 Viz bod 70 Preambule Aktu, dále Čl. 56 odst. 10 Aktu

Z výše uvedeného tak lze dovozovat, že by alespoň v případě nevydání certifikace mělo jít o formu správního rozhodnutí ze strany NÚKIB. Proti tomuto rozhodnutí by měla, dle výše uvedeného, existovat možnost podat opravný prostředek a popřípadě dále až správní žalobu.115

7.9. Význam EU certifikace v souvislosti s rizikovými dodavateli

EU certifikace může představovat významný nástroj při posuzování rizikovosti dodavatele. Je tomu tak i s ohledem na skutečnost, že „Využití certifikace EU pro komponenty sítí 5G, vybavení zákazníka a/nebo procesy dodavatelů“ představuje i jedno z technických opatření (TM09, doplněné o TM10) předpokládaných EU Toolboxem.

Bude-li zkoumání soustředěno na technická kritéria objektivního charakteru (dle názoru zpracovatele by takový postup odpovídal povaze certifikace), nabízí se z pohledu zpracovatele možnost, aby udělení certifikátu znamenalo, aby dodavatel mohl bez dalšího dodávat příslušné certifikované komponenty pro 5G sítě. A to včetně těch částí sítě, k nimž by měli rizikoví dodavatelé přístup omezen.

V kontextu již dříve popsaného německého modelu by mohla certifikace, byť by se týkala pouze určitých produktů daného dodavatele, být vzata v úvahu v souvislosti s posuzováním rizikovosti daného dodavatele jako takového.

7.10. Možnost posouzení rizikovosti dodavatele nezávislým subjektem

Pro úplnost lze doplnit, že rizikovost dodavatele (resp. jím dodávaného zařízení) nemusí nezbytně nutně posuzovat pouze samotné povinné osoby či stát (příslušný orgán), ale v úvahu připadá i provedení tohoto posouzení nezávislým subjektem, který bude kromě nezávislosti garantovat i profesionalitu tohoto posouzení.

Jako příklad lze jmenovat např. systém NESAS.116 Zpracovatel byl informován objednatelem, že

vybrané produkty objednatele certifikaci NESAS již získaly.

NESAS - Network Equipment Security Assurance Scheme, neboli Schéma zajištění bezpečnosti síťových zařízení. Jedná se o dobrovolnou nezávislou iniciativu mobilního průmyslu, která vznikla za účelem vytvoření plánu k průběžnému zvyšování současného zabezpečení zařízení, které tvoří infrastrukturu mobilní sítě. Schéma ve své první podobě zahrnuje zařízení určená k podpoře funkcí definovaných 3GPP117, které používají mobilní operátoři ve svých sítích.

114 Viz Čl. 63 Aktu

115 Ve smyslu SŘ a potažmo SŘS

116 Podrobněji k NESAS viz xxxxx://xxx.xxxx.xxx/xxxxxxxx/xxxxx-xxxx/

117 Partnerský projekt 3. generace je zastřešující pojem pro řadu organizací, které vyvíjejí bezpečnostní protokoly pro mobilní telekomunikace. V současnosti například pro sítě LTE nebo 4G a 5G

Schéma zajištění bezpečnosti síťových zařízení je zřízeno oborovou asociací GSMA118 a je spravován pracovní skupinou „Fraud and Security Group“, která se skládá z dodavatelů, provozovatelů mobilních sítí a vnitrostátních bezpečnostních orgánů.

Cílem Schématu zajištění bezpečnosti síťových zařízení je poskytnout bezpečnostní rámec a základní úroveň zabezpečení, které usnadní zlepšení úrovně zabezpečení v celém mobilním průmyslu. Aby toho mohlo být dosaženo, definuje bezpečnostní požadavky a rámec hodnocení pro bezpečný vývoj produktů a životní cyklus produktů a provádí testování bezpečnosti pro hodnocení bezpečnosti síťových zařízení.

Schéma zajištění bezpečnosti síťových zařízení se skládá ze dvou hlavních činností:

1. hodnocení bezpečnosti procesů během vývoje produktů u dodavatelů a životního cyklu produktů; a

2. hodnocení bezpečnosti síťových produktů.

Kombinace obou těchto procesů představuje již zmiňovanou definici bezpečnostních požadavků a zároveň zavádí základní požadavek na zabezpečení, kterého by mělo mobilní odvětví dosáhnout. Do Schématu zajištění bezpečnosti síťových zařízení však není zahrnuto hodnocení přepravy a rozmístění síťových zařízení ani konfiguraci a provoz síťových zařízení v mobilních sítích.

Schéma zajištění bezpečnosti síťových zařízení představuje řadu výhod pro zúčastněné subjekty, zejména pro dodavatele, kteří takto mohou objektivně prokázat, že dodržují bezpečnostní požadavky, a získají přístup k sjednocené sadě bezpečnostních požadavků, které usnadní vývoj síťových zařízení a globální prodej a následně se vyhnou globálně nekonzistentním a konfliktním bezpečnostním požadavkům, které by představoval fragmentovaný bezpečnostní trh.

Provozovatelé mobilních sítí mají před zakoupením k dispozici bezpečnostní možnosti dodavatelů, je jim poskytnuta představa o základních bezpečnostních požadavcích, které produkty síťového vybavení mají splňovat a zároveň se provozovatelům mobilních sítí sníží úsilí při testování zabezpečení, protože testování základního zabezpečení je zadáno externě akreditovaným zkušebnám, jakožto součást Schématu zajištění bezpečnosti síťových zařízení.

Naopak pro vnitrostátní regulační orgány poskytuje systém standardu zabezpečení, který lze snadno použít, zvyšuje efektivní zabezpečení, aniž by to mělo negativní dopad na průmysl a pomáhá zabránit fragmentaci bezpečnostních požadavků na globálním trhu.

Celkově tedy Schéma zajištění bezpečnosti síťových zařízení představuje nezávislý, objektivní a technicky odborný standard zabezpečení síťových zařízení, který napomáhá všem zúčastněným subjektům zapojených a přispívá k defragmentaci bezpečnostních požadavků na globálním trhu.

118 GSMA je oborová asociace, která zastupuje zájmy provozovatelů mobilních sítí po celém světě. Členy GSMA je více než 750 mobilních operátorů.

7.11. Dílčí závěr

Akt o kybernetické bezpečnosti z velké části upravuje systém EU certifikace, což je ucelený soubor pravidel, technických požadavků, norem a procesů sjednaný na evropské úrovni, jímž se posuzují kyberneticko-bezpečnostní vlastnosti konkrétního produktu, služby či procesu. Účelem EU certifikace kybernetické bezpečnosti má být zvyšování důvěryhodnosti a bezpečnosti produktů, služeb a procesů, které mají zásadní význam pro hladké fungování jednotného digitálního trhu. V současné době ještě není Evropský systém certifikace kybernetické bezpečnosti dopracován do finální podoby.

EU certifikát vyjadřuje kyberneticko-bezpečnostní riziko stanovením úrovně zabezpečení, která odpovídá úrovni rizika spojeného se zamýšleným použitím produktu, služby nebo procesu co do pravděpodobnosti a dopadu případného incidentu. Evropský systém certifikace kybernetické bezpečnosti může určit jednu nebo více těchto úrovní záruky: „základní“,

„významná“ nebo „vysoká“.

Systém by měl přispět ke zlepšení fungování vnitřního trhu zvýšením úrovně kybernetické bezpečnosti v Evropské unii a umožněním harmonizovaného přístupu k evropským systémům certifikace kybernetické bezpečnosti. Pokud bude výrobci nebo poskytovateli produktu vydán EU certifikát, pak bude v rámci unifikace uznáván ve všech členských státech Evropské unie.

EU certifikace může představovat významný nástroj při posuzování rizikovosti dodavatele. Je tomu tak i s ohledem na skutečnost, že „Využití certifikace EU pro komponenty sítí 5G, vybavení zákazníka a/nebo procesy dodavatelů“ představuje i jedno z technických opatření (TM09, doplněné o TM10) předpokládaných EU Toolboxem. Bude-li zkoumání soustředěno na technická kritéria objektivního charakteru (dle názoru zpracovatele by takový postup odpovídal povaze certifikace), nabízí se z pohledu zpracovatele možnost, aby udělení certifikátu znamenalo, aby dodavatel mohl bez dalšího dodávat příslušné certifikované komponenty pro 5G sítě. A to včetně těch částí sítě, k nimž by měli rizikoví dodavatelé přístup omezen. V kontextu již dříve popsaného německého modelu by mohla certifikace, byť by se týkala pouze určitých produktů daného dodavatele, být vzata v úvahu v souvislosti s posuzováním rizikovosti daného dodavatele jako takového.

Pro úplnost lze doplnit, že rizikovost dodavatele nemusí nezbytně nutně posuzovat pouze samotné povinné osoby či stát (příslušný orgán), ale v úvahu připadá i provedení tohoto posouzení nezávislým subjektem, který bude kromě nezávislosti garantovat i profesionalitu tohoto posouzení.

Jako příklad lze jmenovat např. schéma NESAS, zřízené oborovou asociací GSMA a spravované pracovní skupinou „Fraud and Security Group“, která se skládá z dodavatelů, provozovatelů mobilních sítí a vnitrostátních bezpečnostních orgánů. Zpracovatel byl informován objednatelem, že vybrané produkty objednatele certifikaci NESAS již získaly. I

taková skutečnost by měla být při případném posuzování rizikovosti dodavatele (zde objednatele) vzata v úvahu.

8. Varování NÚKIB

8.1. Vydání Varování

Roli NÚKIB v oblasti kybernetické bezpečnosti považujeme za nenahraditelnou a velmi významnou. Oblast, ve které NÚKIB působí je z pohledu práva velmi mladá, tudíž je zcela logické, že v rámci jeho aktivit budou vznikat právní otázky, které je nutné dodatečně zodpovědět a v jistých případech i s odstupem času zrevidovat.

Jednou z takových otázek je i Varování, které dne 17. prosince 2018 vydal NÚKIB podle § 12 odst. 1 ZKB, pod sp. zn. 110-536/2018, č. j. 3012/2018-NÚKIB-E/110, s konstatováním:

„Použití technických nebo programových prostředků následujících společností, včetně jejich dceřiných společností, představuje hrozbu v oblasti kybernetické bezpečnosti:

- Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx

- ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx.“

Doposud se jedná o nejvýraznější a nejdiskutovanější správní akt, který byl na poli kybernetické bezpečnosti ČR učiněn. I přes konkrétní zaměření varování má analýza tohoto aktu význam pro všechny subjekty účastnící se budování 5G sítí. Zatímco aktuálně platné varování je namířeno proti objednateli, NÚKIB takto v budoucnu může označit za rizikový jakýkoli jiný subjekt (dodavatele). Je tak významné zabývat se jeho právní povahou, důvody jeho vydání, zákonností zejména s ohledem na české právní přepisy a s důrazem na ústavněprávní rovinu a potenciální prostředky právní obrany. Stejně tak je nutné posoudit soulad Varování s obsahem již zmíněného EU Toolboxu.

8.2. Odůvodnění vydaného Varování

Z odůvodnění Varování vyplývá, že k jeho vydání vedla NÚKIB kombinace následujících poznatků a zjištění:

a) Právní a politické prostředí ČLR, ve kterém uvedené společnosti primárně působí a jejímiž zákony jsou povinny se řídit, vyžaduje po soukromých společnostech součinnost při naplňování zájmů ČLR včetně podílu na zpravodajských aktivitách aj.

Tyto společnosti se zároveň také spolupráci se státem povětšinou nebrání; úsilí chránit zájmy zákazníků na úkor zájmům ČLR je v tomto prostředí značně sníženo. Podle dostupných informací existuje organizační a personální propojení mezi těmito společnostmi a státem. Uvedené tedy vytváří obavy, že zájmy ČLR mohou být stavěny nad zájmy uživatelů technologií uvedených společností.

b) ČLR na území České republiky aktivně prosazuje své zájmy včetně provádění zpravodajských aktivit vlivového a špionážního charakteru (např. z výroční zprávy BIS za rok 2017).

c) Poznatky bezpečnostní komunity, které jsou NÚKIB dostupné, o aktivitách uvedených společností v České republice i ve světě vytváří důvodné obavy z existence potencionálních rizik při využívání technických nebo programových prostředků, které tyto společnosti poskytují svým zákazníkům, s cílem podporovat zájmy ČLR.

d) Technické a programové prostředky uvedených společností jsou dodávány do informačních a komunikačních systémů, které mají či mohou mít z hlediska bezpečnosti státu strategický význam. Narušení bezpečnostních informací, tedy narušení dostupnosti, integrity nebo důvěrnosti informací v takových informačních a komunikačních systémech může mít zásadní dopad na bezpečnost České republiky a její zájmy.

e) Tyto skutečnosti ve svém souhrnu vedou k důvodné obavě z možných bezpečnostních rizik při používání technologií těchto společností. Míra potencionálního rizika vzhledem k možnému dopadu narušení bezpečnosti informací a komunikačních systémů důležitých pro stát je nezanedbatelná.

8.3. Upřesnění a výklady Varování

Varování bylo později ze strany NÚKIB opakovaně upřesněno. NÚKIB tak učinil následujícími způsoby.

8.3.1. Doplnění Varování

Dne 20. prosince 2018 doplnil NÚKIB své Varování takto: „…varování nemíří primárně na běžného uživatele…“ a „…je zejména určeno vybraným subjektům, které provozují informační systémy důležité pro chod státu…“ s tím, že „…u lidí, kteří používají mobilní telefon nebo router zmíněných firem k běžnému použití, lze předpokládat obvyklé riziko spojené s používáním jakýchkoli mobilních či síťových zařízení…“.

8.3.2. Metodika „Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost“

Dne 4. 1. 2019 vydal NÚKIB písemnou metodiku, ve které blíže popisuje právní oporu a důvody, pro které tak učinil. Dle § 12 ZKB prostřednictvím varování NÚKIB upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti, na kterou je nutné bezprostředně reagovat. Varování dle NÚKIB neznamená bezpodmínečný zákaz používání daných technických a programových prostředků. Samotné označení technických a programových prostředků určité společnosti za hrozbu, jak to NÚKIB ve svém Varování učinil, má znamenat, že je nutné tuto hrozbu zvážit a

rozhodnout o výši rizika, které z používání zmíněných technických nebo programových prostředků pro konkrétní prostředí konkrétní organizace plyne. Dovolí-li to tedy výsledky analýzy rizik, lze uvedené technické nebo programové prostředky nadále používat.

NÚKIB v metodice uvádí, že cit.: „…vydání Varování nelze automaticky považovat za důvod pro vyloučení uchazeče ze zadávacího řízení. I nadále má platit, že zadavatel je oprávněn vyloučit uchazeče ze zadávacího řízení pouze z důvodů stanovených v ZZVZ (zadavatel by tedy musel Varování NÚKIB, resp. důsledky plynoucí z jeho vydání, legitimně podřadit pod některý z důvodů uvedených v § 48 ZZVZ) …“.119

8.3.3. Podpůrný materiál „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“

Dne 17. 12. 2018 vydal NÚKIB podpůrný materiál, v němž konstatoval, že „riziko spojené s používáním prostředků dotčených společností může být na různých úrovních systémů různé a teprve analýza rizik zadavateli určí, na jakých místech a v jaké míře je potřeba na riziko reagovat.“120 Zadavatelé si tedy budou muset sami vyhodnotit, zda použití požadovaných prostředků v jejich systémech představují riziko, které je třeba zcela či zčásti eliminovat. Není možné, aby byl dodavatel označen za rizikového a posléze vyloučen z veřejné zakázky bez předchozí objektivní analýzy.

8.4. Právní povaha Varování

Varování je vymezeno v § 12 ZKB takto:

(1) Úřad vydá varování, dozví-li se zejména z vlastní činnosti nebo z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti.

(2) Varování Úřad zveřejní na svých internetových stránkách a oznámí je orgánům a osobám uvedeným v § 3, jejichž kontaktní údaje jsou vedeny v evidenci podle § 16 odst. 4.

(3) Úřad je z důvodu ochrany vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn po konzultaci s orgánem nebo osobou uvedenými v § 3 písm. c), d), f), g) nebo h), které jsou dotčeny kybernetickým bezpečnostním incidentem, veřejnost o tomto incidentu informovat nebo dotčenému orgánu nebo osobě uložit, aby tak učinil sám.

Varování je jedním ze tří druhů opatření vydávaných NÚKIB na základě § 11 ZKB. Podle tohoto ustanovení se opatřeními rozumí „úkony, jichž je třeba k ochraně informačních systémů nebo služeb

119 https://www.nukib.cz//, dále NÚKIB: Metodika k varování ze dne 17. prosince 2018.

120Viz podpůrný materiál NÚKIB „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“ s platností k 1. 3. 2020, s. 7 (https://www.govcert.cz/download/kii-vis/obecne/Zohledneni-varovani-v-zadavacim-rizeni_v1.0.pdf).

a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu.“ Dalšími dvěma opatřeními jsou reaktivní opatření (§ 13 ZKB) a ochranné opatření (§ 14 ZKB).

ZKB výslovně neuvádí, jakou právní povahu má varování. Na rozdíl od reaktivních opatření a ochranných opatření, u nichž zákon výslovně stanovuje, že se jedná o opatření obecné povahy (§ 15 odst. 1 ZKB), ukládá povinnost jej doručit adresátovi do vlastních rukou, stanoví rozklad proti nim jako formu opravného prostředku apod., v případě varování nic podobného uvedeno není. ZKB toliko konstatuje, že „úřad vydá varování“, zveřejní je na svých internetových stránkách a oznámí je orgánům a osobám uvedeným v § 3 ZKB, tedy osobám, jimž jsou ukládány povinnosti v oblasti kybernetické bezpečnosti.

Právní povaha varování je zásadní pro posouzení, zda při jeho vydání byl dodržen procesní postup jeho přijetí a pro stanovení okruhu právních nástrojů, kterými se lze dopadům varování do práv a povinností postižených subjektů bránit.

Při stanovení právní povahy varování je třeba primárně vycházet ze zásady vyjádřené v čl. 2 odst. 3 Ústavy, podle které platí: „Státní moc slouží všem občanům a lze ji uplatňovat jen v případech, v mezích a způsoby, které stanoví zákon.“ (obdobně v článku 2 odst. 2 Listiny základních práv a svobod). Správní orgán (kterým je i NÚKIB) je tedy oprávněn činit pouze takové správní akty, k nimž je ze zákona oprávněn121.

Vzhledem k tomu, že zvláštní právní předpis (ZKB) o právní povaze varování mlčí, je třeba hledat odpověď v obecném právním předpisu upravujícím postup všech správních orgánů, tedy „orgánů moci výkonné, orgánů územních samosprávných celků a jiných orgánů, právnických a fyzických osob, pokud vykonávají působnost v oblasti veřejné správy,“ tedy v zákoně č. 500/2004 Sb., správní řád (dále jen „SŘ“). Jeho ustanovení se použijí vždy, pokud zvláštní zákon nestanoví jinak (§ 1 odst. 2 SŘ). Použití správního řádu není v textu ZKB vyloučeno.

Terminologie správního řádu týkající se rozhodnutí je matoucí, neboť je třeba rozlišovat rozhodnutí v širším smyslu (obecný termín rozhodnutí jako formu činnosti veřejné správy) a rozhodnutí v užším smyslu (čímž je míněna kvalifikovaná forma rozhodnutí v rozlišování rozhodnutí a usnesení správních orgánů). Tato terminologická nejednoznačnost vznikla během legislativního procesu, když původní návrh správního řádu počítal s terminologií správní akt (obecné označení pro individuální akt aplikace práva v konkrétní věci správním orgánem), který by byl vydán buď ve formě rozhodnutí, nebo ve formě usnesení. Termín správní akt byl nakonec v přijaté podobě správního řádu nahrazen pojmem rozhodnutí, které tak má ve správním řádu dvojí význam a je třeba jej vykládat vždy v kontextu daného ustanovení správního řádu, zda se daná právní norma týká rozhodnutí v širším smyslu, nebo rozhodnutí v užším smyslu.122

121 Srov. např. nález Ústavního soudu ze dne 28. 3. 2000, sp. zn. I. ÚS 513/98.

122 POUPEROVÁ, Olga. Rozhodnutí správního orgánu a jeho platnost. Správní právo 8/2018, s. 511

Správní řád obsahuje následující typy rozhodnutí správního orgánu:

• rozhodnutí správního orgánu vydané ve správním řízení podle části druhé a třetí SŘ (individuální akt aplikace práva v konkrétní věci)

• vyjádření, osvědčení a sdělení správního orgánu podle části čtvrté SŘ

• opatření obecné povahy podle části šesté SŘ

Varování není zjevně rozhodnutím správního orgánu vydaným ve správním řízení podle části druhé a třetí SŘ. Před NÚKIB nebylo zahájeno stanoveným postupem správní řízení, společnost Huawei ani ZTE, kterých se varování týká, nebyly zjevně účastníky správního řízení, neměly možnost se k obsahu varování ani v průběhu správního řízení, ani následně vyjádřit, Varování jim nebylo doručeno, nebyly poučeny o právu podat opravný prostředek.

Varování by mohlo být opatřením obecné povahy dle části šesté SŘ. V českém právu (§ 171– 174 správního řádu) je opatření obecné povahy vymezeno pouze jako správní akt s konkrétně vymezeným předmětem a s obecně určenými adresáty (nikoli s konkrétními adresáty a abstraktním předmětem). Vztahuje se tedy vždy k určité konkrétní situaci v oblasti veřejné správy, přičemž okruh adresátů je vymezen obecně, nelze je předem a kompletně určit. Od právního předpisu se liší tím, že není obecné, upravuje jedinečnou věc, a od rozhodnutí se liší zase tím, že nesměřuje vůči konkrétní osobě (osobám).123124 Opatření obecné povahy nemůže nahrazovat podzákonnou normotvorbu (stejně tak právní předpis zase nemůže vzhledem ke své obecnosti regulovat pouze jednu určitou situaci), ani nad rámec zákona stanovovat nové povinnosti, slouží tedy jen ke konkretizaci již existujících povinností vyplývajících ze zákona. Na druhou stranu, pokud takové zákonem stanovené povinnosti dále specifikuje, lze je exekučně vymáhat jen tehdy, bylo-li ve věci vydáno navíc klasické správní rozhodnutí.

„Při řešení problému, zda lze určitý správní akt považovat za opatření obecné povahy, je nutné posoudit, jsou-li naplněny všechny pojmové znaky tohoto specifického právního institutu, kterými jsou především konkrétnost předmětu a obecnost adresátů [viz nález sp. zn. IV. ÚS 2087/07 ze dne

29. 3. 2010 (N 67/56 SbNU 757)]“125. Odborná literatura spatřuje naplnění pojmového znaku konkrétnosti předmětu v případě, kdy je správním aktem regulována určitá (konkrétní) skutková podstata (konkrétní případ), přičemž povahu předmětu regulace je vhodné zkoumat z pohledu kritéria prostorového, věcného, příp. časového, teleologického a obsahového.126

Ústavní soud dospěl k následujícímu závěru ohledně opatření obecné povahy127: „Institut opatření obecné povahy, který do českého právního řádu vnesl s účinností od 1. 1. 2006 nový správní řád, představuje určité překlenutí dvou v činnosti veřejné správy tradičních základních forem jednostranných správních aktů: normativních (abstraktních) právních aktů na jedné straně a individuálních (konkrétních) právních aktů na straně druhé. V určitých situacích si však činnost veřejné správy vyžaduje přijímat i takové správní akty, které nejsou výlučně jen akty normativními

123 VEDRAL, Josef. Správní řád. Komentář. Praha: Bova Polygon, 2006. ISBN 80-7273-134-3. S. 967

124 PRŮCHA, Petr. Správní právo. Obecná část. Brno: Masarykova univerzita a Doplněk, 2007. ISBN 978-80-210- 4276-6. S. 299–300

125 Nález Ústavního soudu ze dne 22. 4. 2020, sp. zn. Pl. ÚS 8/2020 (odst. 34)

126 Bahýľová, L., Hejč, D. Opatření obecné povahy v teorii a praxi. Praha: C. H. Beck, 2017, s. 24–26

127 Nález Ústavního soudu ze dne 19. 11. 2008, sp. zn. Pl. ÚS 14/2007

či individuálními, ale jsou jejich určitou kombinací; jsou tak správními akty smíšené povahy s konkrétně určeným předmětem regulace a obecně vymezeným okruhem adresátů. Ustanovení § 171 nového správního řádu charakterizuje v tomto smyslu opatření obecné povahy jednak materiálními znaky, a to negativním vymezením jako závazný úkon správního orgánu, který není právním předpisem ani rozhodnutím. Zároveň ale stanovuje správním orgánům v případech, kdy jim zvláštní zákon ukládá vydat závazné opatření obecné povahy, postupovat podle části šesté zákona, jež upravuje řízení o návrhu opatření obecné povahy a jeho přezkum (formální znak).

Opatření obecné povahy není novým právním institutem a svým obsahem se uplatňuje v řadě evropských právních řádů, zejména v německém a švýcarském správním právu (viz např. Hendrych,

D. K institutu opatření obecné povahy v novém správním řádu. Právní rozhledy č. 5/2005, str. II). Důvodová zpráva k vládnímu návrhu nového správního řádu v tomto směru konstatuje, že institut opatření obecné povahy je definován po vzoru zahraničních právních úprav, přičemž se ve zvláštních právních předpisech již pod jinými názvy tento institut vyskytuje. Cílem zavedení tohoto právního institutu pak podle důvodové zprávy je "dát dotčeným osobám alespoň minimální práva, jak to vyplývá z celkového trendu demokratizace veřejné správy a jak se již stalo v některých zvláštních úpravách (srov. schvalování územně plánovací dokumentace podle stavebního zákona)".

Nejvyšší správní soud k tomu uvádí: „Opatření obecné povahy je správním aktem s konkrétně určeným předmětem (vztahuje se tedy k určité konkrétní situaci) a s obecně vymezeným okruhem adresátů. Je-li určitý akt pouze formálně označen jako opatření obecné povahy, avšak z materiálního hlediska nesplňuje jeho pojmové znaky (konkrétnost předmětu, obecnost adresátů), Nejvyšší správní soud jej k námitce navrhovatele zruší (§ 101d odst. 2 s. ř. s.).“128

Pokud bychom vycházeli z výše uvedené definice opatření obecné povahy (zejména konkrétnost předmětu a obecnost adresátů tohoto opatření) zejména pak z jeho materiální povahy, pak bychom mohli varování považovat za opatření obecné povahy: varování se týká konkrétní oblasti kybernetické bezpečnosti, varováno je před všemi dále nespecifikovanými výrobky dvou konkrétních obchodních společností, adresátem varování byl konkrétní okruh povinných osob uvedených v § 3 ZKB.

Ovšem pouze do okamžiku, kdy si uvědomíme, že ZKB za opatření obecné povahy označuje výslovně pouze reaktivní opatření a ochranné opatření (§ 15 ZKB). V případě varování podobné označení absentuje, přičemž jistě nebylo nic jednoduššího, než všechna opatření uvedená v § 11 ZKB označit jako opatření obecné povahy.

V úvahu tak přicházejí dva závěry: vyjdeme-li z vůle zákonodárce, který za opatření obecné povahy výslovně označil pouze reaktivní a ochranné opatření, nikoliv varování, pak musíme dospět k závěru, že varování není opatřením obecné povahy, nebo se zákonodárce zmýlil a v souladu s materiálním chápáním i přes absenci výslovného označení zákonem musíme varování považovat za opatření obecné povahy. Uvedenému materiálnímu chápání povahy varování by nasvědčoval i následující závěr Ústavního soudu, podle něhož „nabízí-li se dvojí možný výklad veřejnoprávní

128 Rozhodnutí Nejvyššího správního soudu ze dne 27. 09. 2005, čj. 1 Ao 1/2005

normy, je třeba v intencích zásad spravedlivého procesu volit ten, který vůbec, resp. co nejméně, zasahuje do toho kterého základního práva či svobody. Jde o strukturální princip liberálně demokratického státu in dubio pro libertate plynoucí přímo z ústavního pořádku (čl. 1 odst. 1 a čl. 2 odst. 4 Ústavy nebo čl. 2 odst. 3 a čl. 4 Listiny), vyjadřující prioritu jednotlivce a jeho svobody před státem [viz nález sp. zn. I. ÚS 643/06 ze dne 13. 9. 2007 (N 142/46 SbNU 373) a obdobně nález sp. zn. III. ÚS 741/06 ze dne 29. 11. 2007 (N 209/47 SbNU 685)]. Tímto přístupem Ústavní soud mimo jiné respektuje i doktrínu materiálního právního státu, na kterou se ve své judikatuře opakovaně odvolává."129

Pokud by nebylo varování opatřením obecné povahy, pak by muselo být pouze tzv. neregulativním úkonem dle části čtvrté SŘ, mezi které patří vyjádření, osvědčení a sdělení (§ 154 - 157 SŘ) a jiné úkony, které nejsou upraveny v části první, třetí, páté nebo šesté anebo v této čtvrté části (§ 158 SŘ). Podle názoru zpracovatele by bylo sdělením podle § 154 a násl. SŘ. Pokud by se nejednalo o sdělení ve smyslu § 154 a násl. SŘ, pak by varování představovalo tzv. jiný úkon dle § 158 SŘ. Závěry ohledně posouzení zákonnosti, možnosti právní obrany a dosažení kompenzace však platí v obou případech stejně.

Tomuto posouzení povahy varování by nasvědčovala i jeho informativní povaha v podobě varování, což dokládá i komentář k ustanovení § 12 ZKB, kde se konstatuje, že cit. „…Varování vydává NÚKIB v případě, že se o hrozbě dozví. Informace o takovém nebezpečí přitom může získat z vlastní činnosti, od provozovatele národního CERT nebo od zahraničního orgánu, který působí v oblasti kybernetické bezpečnosti…“.130

Informativní charakter varování nakonec vyplývá i z důvodové zprávy: „Účelem varování podle tohoto ustanovení je oficiální publikace informací o bezpečnostní hrozbě, tj. preventivní informování orgánů a osob. (…) Varování bude publikováno prostřednictvím internetových stránek NBÚ (respektive jeho součásti – vládního CERTu), aby byla zajištěna informovanost dotčených subjektů, včetně široké veřejnosti.“

A stejně tak se lze ztotožnit například s R. Polčákem, který uvádí, že cit. „…Všechny typy protiopatření mají povahu vrchnostenské činnosti NÚKIB, přičemž varování má charakter informativní a zbývající dvě opatření mají formu závazných individuálních právních aktů, resp. opatření obecné povahy…“.131

Definitivní a jednoznačnou odpověď na právní povahu varování nelze v tuto chvíli poskytnout. Jediným, kdo je schopen ji poskytnout, je některý ze soudů, který by tuto otázku řešil v rámci probíhajícího správního řízení (či řízení před Ústavním soudem). Takové řízení však v tento okamžik neprobíhá.

129 Nález ústavního soudu ze dne 19. 11. 2008, sp. zn. Pl. ÚS 14/2007

130 M. Maisner, B. Vlachová. Zákon o kybernetické bezpečnosti. Komentář. Praha: Wolters Kluwer, a. s., 2015. 110 s. ISBN. 978-80-7478-817-8.

131 R. Polčák. Kybernetická bezpečnost jako aktuální fenomén českého práva Revue pro právo a technologie 11/2015, s. 95.

I přes výše uvedené pochybnosti se zpracovatel přiklání k právnímu závěru, že je varování svou právní povahou sdělením podle § 154 SŘ, nikoliv opatřením obecné povahy podle části šesté SŘ.

Je-li Varování vydané NÚKIB podle § 11 ZKB svou právní povahou sdělením podle § 154 SŘ, tedy tzv. neregulativním úkonem správního orgánu, pak by nemělo mít přímé právní účinky na konkrétní osoby, nemělo by zakládat, měnit či rušit ani jiným způsobem ovlivňovat práva a povinnosti adresátů. Jinými slovy by nemělo vytvářet novou právní situaci ani deklarovat existenci nebo neexistenci práv a povinností na základě skutkového a právního hodnocení stavu.

8.5. Právní a faktické důsledky Varování

Varování na rozdíl od reaktivního (§ 13 ZKB) a ochranného opatření (§ 14 ZKB) nestanoví konkrétní práva a povinnosti. To však neznamená, že by nevyvolávalo žádné právní účinky. Kromě toho, že pro orgány nebo osoby, které jsou povinny zavést bezpečnostní opatření podle ZKB, mají povinnost dle § 5 odst. 1 písm. h) bod 3 VKB zohlednit při hodnocení rizik a v plánu zvládání rizik opatření podle § 11 ZKB (tedy i varování dle § 12 ZKB), jsou s varováním spojeny i další důsledky pro dotčené subjekty. Je totiž zřejmé, že varování, které varuje před dvěma konkrétními právnickými osobami, zcela nepochybně zasahuje do jejich práv a povinností: minimálně do práva na ochranu dobré pověsti právnické osoby, ale i do jejich postavení v oblasti veřejných zakázek.

8.5.1. Oblast veřejných zakázek

V souvislosti s dopadem Varování na zadávací řízení je zásadní § 4 odst. 4 ZKB, podle kterého platí: „Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.“ Povinnými osobami ve smyslu uvedeného ustanovení jsou následující:

a) správce a provozovatel informačního systému kritické informační infrastruktury (§ 3 písm. c) ZKB),

b) správce a provozovatel komunikačního systému kritické informační infrastruktury (§ 3 písm. d) ZKB),

c) správce a provozovatel významného informačního systému (§ 3 písm. e) ZKB),

d) správce a provozovatel informačního systému základní služby, pokud nejsou správcem nebo provozovatelem podle písmene c) nebo d) (§ 3 písm. f) ZKB).

NÚKIB ve své metodice shrnuje, že uvedené povinné osoby jsou povinny podle § 5 VKB pro informační systém kritické informační infrastruktury, komunikační systém kritické informační

infrastruktury, významný informační systém a informační systém základní služby provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit. Na základě vyhodnocení rizik následně zavádějí a provádějí bezpečnostní opatření specifikovaná ve VKB v rozsahu nezbytném pro zajištění kybernetické bezpečnosti v souladu s § 4 odst. 2 ZKB.

Uvedené osoby mají dle § 5 odst. 1 písm. h) bod 3 VKB povinnost při hodnocení rizik a v plánu zvládání rizik zohlednit i opatření dle § 11 ZKB. Musí tedy zohlednit varování vydaná ze strany NÚKIB. Dle Metodiky by měli varování při provádění analýzy rizik i při řízení dodavatelů vzít v úvahu i poskytovatelé digitální služby (§ 3 písm. h) ZKB).

Osobám mimo subjekty uvedené v předchozím odstavci právní předpis v souvislosti s varováním žádné povinnosti neukládá.

VKB v § 8 stanoví povinnosti pro povinné osoby (tzn. dle § 2 písm. b) VKB osoby, které jsou povinny zavést bezpečnostní opatření – tedy v souladu s § 4 odst. 2 ZKB se jedná o orgány a osoby uvedené v § 3 písm. c) až f) ZKB vyjmenované výše). Dle § 8 odst. 1 VKB povinná osoba:

a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,

b) vede evidenci svých významných dodavatelů,

c) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene b),

d) seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,

e) řídí rizika spojená s dodavateli,

f) v souvislosti s řízením rizik spojených s významnými dodavateli zajistí, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní oblasti uvedené v příloze č. 7 k této vyhlášce, a

g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.

VKB dále stanoví zvláštní povinnosti povinné osoby ve vztahu k tzv. významným dodavatelům (ve smyslu § 2 písm. n) VKB je jím provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému).

Dle § 36 odst. 1 ZZVZ platí: „Zadávací podmínky nesmí být stanoveny tak, aby určitým dodavatelům bezdůvodně přímo nebo nepřímo zaručovaly konkurenční výhodu nebo vytvářely bezdůvodné překážky hospodářské soutěže…“. Důvodová zpráva k tomuto uvádí: „Zadavatel nesmí zadávací podmínky stanovit a sdělit nebo zpřístupnit tak, aby určitým dodavatelům byla bezdůvodně přímo nebo nepřímo zaručena konkurenční výhoda nebo aby byly vytvořeny neodůvodněné překážky při hospodářské soutěži o veřejnou zakázku. Zásadní v této souvislosti je, že nepřípustné je

„bezdůvodné“ vytvoření překážky hospodářské soutěže. Prakticky veškeré zadávací podmínky totiž

omezují okruh potenciálních dodavatelů, a tím vytvářejí překážku soutěže o veřejnou zakázku. Například stanovení konkrétních technických parametrů vyřazuje ze soutěže všechny dodavatele, jejichž výrobky požadované parametry nesplňují.“132

Ve smyslu § 6 odst. 2 ZZVZ musí zadavatel při zadání veřejné zakázky dodržovat zásadu rovného zacházení a zákazu diskriminace. SD EU se aplikací této zásady pro oblast veřejných zakázek zabýval v několika případech. Dle rozsudku v tzv. případu Storebælt vyplývá zásada rovného zacházení ze samotného účelu zadávacích směrnic, jejichž primárním cílem je rozvoj účinné hospodářské soutěže; pro její zajištění je nezbytné, aby nabídky všech uchazečů vyhovovaly zadávacím podmínkám, aby bylo možné jejich objektivní porovnání (rozsudek SD EU C-243/89 Komise proti Dánskému království). Dle rozsudku v tzv. případu Wallon Buses musí mít všichni uchazeči při přípravě svých nabídek rovné šance (C-87/94 Komise proti Belgickému království).133

Zásada zákazu nediskriminace je stanovena na komunitární úrovni přímo v čl. 18 SFEU, který zakazuje jakoukoliv diskriminaci na základě státní příslušnosti. Dále je zakázána jakákoli diskriminace, ať už zjevná nebo skrytá. Zjevnou diskriminací by bylo uplatňování rozdílných podmínek vůči jednotlivým dodavatelům, ať z obsahového či procedurálního hlediska; diskriminací by byla rovněž situace, kdy by v důsledku postupu zadavatele bylo některým uchazečům znemožněno či ztíženo se ucházet o veřejnou zakázku za podmínek, které mají ostatní dodavatelé.134

Nejvyšší správní soud judikoval ve svém rozhodnutí ze dne 5. června 2008, č. j. 1 Afs 20/2008-152, že „za skrytou formu nepřípustné diskriminace je třeba považovati takový postup, kterým zadavatel znemožní některým dodavatelům ucházet se o veřejnou zakázku nastavením technických kvalifikačních předpokladů zjevně nepřiměřených ve vztahu k velikosti, složitosti a technické náročnosti konkrétní veřejné zakázky, v důsledku čehož je zřejmé, že zakázku nemohou splnit někteří z potenciálních uchazečů, jež by jinak byli bývali k plnění předmětu veřejné zakázky objektivně způsobilými…“.

Subjekt by měl přistupovat ke všem případným dodavatelům zásadně stejně, ctít principy rovného zacházení, a především všem poskytnout možnost, aby v průběhu řádného výběrového řízení doložili, že všechny požadované bezpečnostní podmínky splňují. Také by měl vždy volit řešení, které bude při zachování jeho povinností pro hospodářskou soutěž nejméně omezující. V opačném případě by nutně docházelo k nezákonnému omezování hospodářské soutěže a tím k poškození dotčených subjektů.

132 Důvodová zpráva k § 36 ZZVZ.

133 Dvořák, D., Machurek, T., Novotný P., Šebesta, M. a kolektiv. Zákon o zadávání veřejných zakázek. Komentář. 1. vydání. Praha: Nakladatelství C. H. Beck, 2017, s. 48.

134 Dvořák, D., Machurek, T., Novotný P., Šebesta, M. a kolektiv. Zákon o zadávání veřejných zakázek. Komentář. 1. vydání. Praha: Nakladatelství C. H. Beck, 2017, s. 48.

8.5.2. Ochrana dobré pověsti

Ještě závažnější je zásah do práva na ochranu dobré pověsti obou obchodních společností, před jejichž výrobky je varováno. I když se jedná o oblast kybernetické bezpečnosti, nelze podle názoru zpracovatele rezignovat na ochranu také těchto práv, jako v tomto případě.

Řada subjektů, pro které objednatel představuje potenciálního dodavatele, se může z opatrnosti a bez hlubší právní analýzy rozhodnout tak, že s objednatelem raději vůbec nevstoupí do smluvního vztahu z obav z teoretických budoucích právních problémů, které by používáním jeho technologií pro sebe mohla do budoucna způsobit. Ačkoli tedy i samotný NÚKIB opakovaně uvádí, že Varování nezakládá automatické vyloučení zařízení dodávané objednatelem z používání jeho odběrateli, není vyloučeno, že k tomu v praxi může dojít.

Varování vydané NÚKIB ze dne 17. 12. 2018 není obecným varováním před obecným nebezpečím, nýbrž varováním před všemi výrobky dvou konkrétních obchodních společností, o nich je autoritativně tvrzeno, že použití jimi dodávaných technických nebo programových prostředků představuje hrozbu v oblasti kybernetické bezpečnosti. Dopad tohoto varování do osobnostní sféry obou výslovně jmenovaných společností je nezpochybnitelný.

Závažnost tohoto konkrétního zásahu, i když o něm NÚKIB prohlašuje, že „…varování nemíří primárně na běžného uživatele…“ a „…je zejména určeno vybraným subjektům, které provozují informační systémy důležité pro chod státu…“ lze ještě lépe pochopit na příkladu: pokud by ministerstvo zdravotnictví vydalo varování, že konkrétní osoba XY je nakažena koronavirovou infekcí, ovšem s dodatkem, že toto „…varování nemíří primárně na běžného uživatele…“, nikdo by ani na okamžik nepochyboval, že se jedná o závažné tvrzení zasahující do práva na ochranu osobnosti osoby XY. Zkoumání, zda k tomuto zásahu došlo zákonem stanoveným postupem a ústavně konformním způsobem, je tak zcela na místě.

V této souvislosti je třeba doplnit, že vzhledem k právní povaze varování, jak byla výše popsána, neproběhlo před NÚKIB žádné správní řízení, v němž by se obě jmenované společnosti mohly k důvodům varování vyjádřit, není zřejmé, po jak dlouhou dobu bude varování trvat, není zřejmé, kdo a za jakých podmínek obsah a trvání varování přezkoumává apod.

8.6. Posouzení zákonnosti Varování

Byť je vydání varování úkonem v rámci postupu správního orgánu sui generis, nepochybně existuje možnost právní obrany proti správnosti, resp. zákonnosti takového postupu. Níže zpracovatel uvádí některé základní argumenty svědčící o zásadních formálních i věcných vadách vydaného Varování.

8.6.1. Obecně k postupu NÚKIB

Ustanovení § 3 SŘ ukládá správnímu orgánu povinnost postupovat tak, aby byl zjištěn stav věci, o němž nejsou důvodné pochybnosti v souladu s dodržením zásady materiální pravdy. NÚKIB by měl posuzovat celou věc objektivně, nestranně a nezávisle. Z uvedeného případu je však zjevné, že NÚKIB pouze přebírá informace z blíže nekonkretizovaných zdrojů, z nichž následně dovozuje stav umožňující vydání Varování, které odůvodňuje pouze velmi obecně. Některé ze závěrů přitom mohou být pouhou spekulací.

Postup NÚKIB považujeme v konkrétním případě za netransparentní. Ačkoli se (alespoň v případě Varování) jeho účinky mohou obou společností velmi znatelně dotknout, nemají až do vydání varování žádnou možnost ovlivnit to, zda a v jaké podobě bude vydáno. Není zde vedeno správní řízení ani jiný, zákonem blíže popsaný proces, v jehož rámci by mohla dotčená osoba např. uplatnit námitky, hájit svá práva, vyvrátit pochybnosti a právní závěry správního orgánu apod.

Ustanovení § 2 SŘ odkazuje na zásadu ochrany dobré víry a princip právní jistoty, tj. že by správní orgán měl a priori šetřit práva nabytá v dobré víře jakožto i oprávněné zájmy osob. Jestliže NÚKIB nepojmenoval konkrétní rizika a důvodnost svého postupu, pak nelze ani dost dobře určit podmínky, za kterých by mohlo být Varování ze strany NÚKIB zrušeno. Přitom po celou dobu, kdy je Varování vydáno, nejsou náležitě šetřena práva nabytá v dobré víře a po celou dobu tak může docházet k poškozování zájmů a pověsti dotčeného subjektu a k prohlubování jeho obchodních ztrát, jež s tímto opatřením bezprostředně souvisejí.

Rovněž je třeba zdůraznit, že ZKB neupravuje povinnost ani případný procesní postup průběžný přezkum toho, zda hrozba v oblasti kybernetické bezpečnost stále trvá. Varování poškozující objednatele tak může zůstat v platnosti neomezeně dlouho.

8.6.2. Použití utajovaných informací na podporu Varování a postoj judikatury

8.6.2.1. Evropský pohled (ESLP a SDEU)

Za jednu z nezbytných složek práva na spravedlivé projednání je považována mimo jiné rovnost zbraní a právo na kontradiktorní charakter řízení135. Právo na kontradiktorní charakter řízení v sobě dále zahrnuje (i) právo seznámit se se všemi důkazy předloženými za účelem ovlivnění rozhodnutí soudu a vyjádřit se k nim, (ii) právo na dostatek času na seznámení se s důkazy před soudem a (iii) právo na předložení důkazů.

Judikatura dále dovodila, že nárok na zpřístupnění všech relevantních důkazů není absolutním právem, neboť mohou existovat různé protichůdné zájmy, jako například zájem na ochraně národní bezpečnosti, potřeba ochránit svědky před možnou odvetou či uchovat v tajnosti policejní metody

135 Princip kontradiktornosti řízení představuje rovné postavení obou procesních stran, které tak mají stejnou možnost hájit svá stanoviska před nestranným soudem.

vyšetřování zločinů, které je třeba vyvažovat oproti právům účastníka řízení. Je pak povinností soudů, aby zvážily, zda postup použitý jako celek splnil požadavky práva na kontradiktorní charakter řízení.

Ze shora uvedeného tak vyplývá, že omezení práva na kontradiktornost řízení a rovnost zbraní je slučitelné s právem na spravedlivý proces, ovšem pouze v případě, pokud je v zájmu národní bezpečnosti striktně nezbytné. To znamená absolutní vyloučení existence jakýchkoliv alternativních prostředků, kterými by bylo možné dosáhnout sledovaného cíle při nižší intenzitě omezení procesních práv účastníka. Omezení procesních práv účastníka tak nesmí být svévolné ani provedené za jiným účelem, než je sledovaný zájem na ochraně národní bezpečnosti.136

Zájmy účastníka musí být v takovém případě dále chráněny dostupnými procesními zárukami, zejména pak aktivní přezkumnou rolí příslušných soudních orgánů. Zpracovatel si je vědom rozdílů mezi případy, které byly řešeny odkazovanou judikaturou, a postupem NÚKIB při vydání Varování, včetně specifického vztahu mezi objednatelem a NÚKIB, který vůči objednateli vystupuje ve vrchnostenském postavení. Na druhou stranu základní smysl popsaných požadavků je třeba převzít také pro vydané Varování, kterým byl objednatel dotčen.

Soudy by proto měly být oprávněny seznámit se se všemi podklady, posoudit, zda je jejich utajení vskutku nezbytné a (pokud bude shledáno, že tomu tak je) přezkoumat napadené rozhodnutí ex officio i mimo důvody uplatňované účastníkem. Z toho důvodu je nezbytné, aby soudy měly neomezený přístup ke všem utajovaným dokumentům, kdy mohou zároveň přezkoumat důvody znepřístupnění těchto dokumentů účastníkovi řízení. V tomto ohledu musí příslušný vnitrostátní soud provést nezávislý přezkum všech právních a skutkových okolností uváděných příslušným vnitrostátním orgánem a v souladu s vnitrostátními procesněprávními pravidly posoudit, zda bezpečnost státu brání takovému sdělení informací. Takovýto úplný právní i skutkový soudní přezkum je evropskou judikaturou ve většině případů považován za jednu z významných záruk zachování požadavků spravedlivého procesu.137

8.6.2.2. Judikatura českých soudů

Obdobně se k dané problematice staví česká judikatura, kdy rozhodování tuzemských soudů je ve shodě s těmi na evropské úrovni. Nejvyšším správním soudem tak je konstantně dovozováno, že procesní omezení účastníka, jemuž jsou některé informace či dokumenty legálně znepřístupněny, musí být vyvážena prostřednictvím specifické role správního soudu v rámci přezkumu správního rozhodnutí, jehož podkladem byla utajovaná informace.

Podle Nejvyššího správního soudu je zcela nezbytné, aby se soud s utajovanou informací přímo seznámil, a je povinen ověřit výše uvedená hlediska věrohodnosti, přesvědčivosti a relevance takové informace ve vztahu k závěrům, které z nich správní orgán vyvodil138. Otázku věrohodnosti

136 Např. viz rozsudek ESLP ze dne 19. září 2017 ve věci č. 35289/11 – Regner proti České republice.

137 Rozsudek SDEU ze dne 4. 6. 2013 věc C-300/11 - ZZ proti Secretary of State for the Home Department.

138 Usnesení rozšířeného senátu NSS ČR ze dne 1. 3. 2016, č. j. 4 As 1/2015 - 40, č. 3667/2018 Sb. NSS.

a přesvědčivosti utajovaných informací považuje Nejvyšší správní soud v rámci soudního přezkumu za klíčovou, neboť smyslem a účelem soudní kontroly rozhodování na základě utajovaných informací je především zajistit, aby k tomu byly používány pouze informace skutečné a věrohodné, ne vyfabulované, které poskytují dostatečně přesný a spolehlivý skutkový základ pro právní posouzení věci. Sám účastník řízení totiž nemůže jemu neznámému obsahu jakkoliv oponovat, například namítat, že uváděné skutečnosti se nestaly nebo probíhaly jinak. Soud je tak postaven do situace, v níž nahrazuje jinak běžné kontradiktorní schéma soudního řízení,139 a je ve zvýšené míře garantem práva na spravedlivý proces, což vyžaduje i zvýšenou aktivitu soudu vůči postupu veřejné správy.

Jen za splnění těchto podmínek může být přístup k informacím v nezbytných případech odepřen účastníkům řízení či dalším na řízení participujícím osobám (zástupcům účastníků, zúčastněným osobám aj.). Vždy však bude záležet na tom, jaká právem definovaná skutková podstata má být utajovanými informacemi prokazována.140

V návaznosti na uvedené lze shrnout, že v soudním řízení je zásadně možné provádět dokazování i ohledně obsahu utajovaných skutečností. To neplatí jen výjimečně, pokud by seznámení účastníků řízení s nimi vedlo k výraznému ohrožení obrany nebo bezpečnosti státu či jiných důležitých státních zájmů. Z toho vyplývá, že účastníkovi soudního řízení může být legálně odepřeno zpřístupnění utajovaných informací pouze v nezbytných případech odůvodněných ohrožením národní bezpečnosti a v co nejnižší možné míře. V opačném případě má účastník v rámci práva na spravedlivý proces nárok na seznámení se s důkazním materiálem v celém jeho rozsahu.

8.6.2.3. Aplikace judikatorních závěrů na případ Varování a jeho odůvodnění

Nelze připustit, aby se stát dopouštěl autoritativních zásahů do právní sféry jednotlivce bez toho, aby tento svůj zásah řádně odůvodnil, resp. aniž by jednotlivce seznámil s jeho logickým a spravedlnosti odpovídajícím právním základem.141142

Proti zájmu jednotlivce být zpraven o tom, které důvody vedly k přijetí rozhodnutí orgánu veřejné moci, však stojí bezpečnostní zájem státu, výslovně vyjádřený v čl. 1 ZoBČR, podle kterého je zajištění svrchovanosti a územní celistvosti České republiky, ochrana jejích demokratických základů a ochrana životů, zdraví a majetkových hodnot základní povinností státu. Bezpečnostní zájem státu je rovněž Ústavou chráněnou hodnotou.143

S ohledem na výše uvedené je zřejmé, že v souvislosti s Varováním se dostávají do konfliktu dvě Ústavou chráněné hodnoty. Nelze připustit absolutní a bezvýjimečný zákonný zákaz uvádění

139 Rozsudek NSS ČR ze dne 12. 3. 2020, čj. 2 Azs 259/2019-28.

140 Rozsudek NSS ČR ze dne 12. 3. 2020, čj. 2 Azs 259/2019-28.

141 Wagnerová, E., Šimíček, Langášek, T., Pospíšil, I., a kolektiv: Listina základních práv a svobod, Komentář, Wolters Kluwer, 2012, k čl. 36

142 Svoboda, P.: Ústavní základy správního řízení v České republice: právo na spravedlivý proces a české správní řízení. Praha: Linde, 2007. s. 326

143 Nález Ústavního soudu ze dne 11. 10. 2016, sp. zn. Pl. ÚS 5/16

jakýchkoliv důvodů rozhodnutí orgánu veřejné moci, zároveň je však nutné reflektovat legitimní veřejný zájem na ochraně utajovaných skutečností.144 I s ohledem na judikaturu Ústavního soudu145 je třeba posoudit, zda jsou zájem dotčené osoby a bezpečnostní zájem státu v konkrétním případě reflektovány, resp. vzájemně vyváženy.

Zpracovatel má za to, že (obdobně jako v případě důvodů nevyhovění žádosti žadatele o občanství146) ústavně konformní stav představuje situace, kdy konkrétní důvody vydání Varování nebudou sdělovány jen v těch případech, kdy je zde reálná obava, že by jejich zpřístupnění mohlo ohrozit bezpečnost státu či třetích osob.

Z ústavního hlediska je však problematický stav, že ZKB neupravuje možnost, aby dotčené osoby mohly s důvody vydání Varování polemizovat, resp. rozptýlit obavy NÚKIB, které jej k vydání Varování vedly. Za takových okolností hrozí značné riziko, že nikým nekontrolovaný NÚKIB bude vydávat varování na základě libovůle. Musí proto existovat orgán (či osoba) nadaný pravomocí varování NÚKIB přezkoumat včetně oprávnění zjišťovat od NÚKIB kompletní informace o důvodech vydání Varování.

Tyto informace, pokud mají být podkladem pro vydané Varování, musí být z důvodu právní jistoty poskytnuty rovněž objednateli (při rozumném zachování zájmu na bezpečnosti státu). Dle názoru zpracovatele by řada materiálů, jež pro NÚKIB sloužily jako podklad pro vydání Varování, měla být objednateli zpřístupněna, byť pouze v omezeném rozsahu, resp. anonymizované či agregované podobě. Takové právo deklaruje objednateli jednoznačně nedávná judikatura správních soudů.

8.6.3. Problematické body odůvodnění Varování

S ohledem na skutečnost, že ve Varování nejsou uvedeny do podrobností důvody jeho vydání (tzn., že podklady pro tuto analýzu nejsou z tohoto pohledu úplné) nelze podat kompletní rozbor jeho zákonnosti. Na druhou stranu, již z obsahu jeho stručného odůvodnění lze o ní přinejmenším pochybovat, když hovoří např. o:

1. právním a politickém prostředí ČLR, vyžadujícím po soukromých společnostech součinnost při naplňování zájmů ČLR, včetně podílu na zpravodajských aktivitách

• (Varování mj. neuvádí konkrétní právní normy, které by toto ukládaly),

2. tom, že společnosti se takové spolupráci se státem povětšinou nebrání

• (Varování tak uvádí obecný, plošný závěr, kdy uplatňuje jakousi kolektivní vinu),

3. existenci organizačního a personálního propojení mezi těmito společnostmi a státem

• (není zřejmé, jakými osobami má být v případě dotčených subjektů toto personální propojení představováno a jaký má mít praktický vliv),

144 Nález Ústavního soudu ze dne 11. 10. 2016, sp. zn. Pl. ÚS 5/16

145 Např. nález Ústavního soudu ze dne 12. 7. 2001 sp. zn. Pl. ÚS 11/2000

146 Nález Ústavního soudu ze dne 11. 10. 2016, sp. zn. Pl. ÚS 5/16

4. poznatcích bezpečnostní komunity, které jsou NÚKIB dostupné, o aktivitách uvedených společností v České republice i ve světě, které vytváří důvodné obavy z existence potenciálních rizik při využívání technických nebo programových prostředků, které tyto společnosti poskytují svým zákazníkům, s cílem podporovat zájmy ČLR

• (v ČR však nebyl zaznamenán případ jednání, o kterém Varování hovoří).

8.7. Možnosti právní obrany proti Varování

ZKB výslovně nestanoví, jakým způsobem se může osoba proti varování, jímž se cítí dotčena na svých právech, bránit. Přesto však existuje řada procesních nástrojů, které při obraně proti Varování připadají z pohledu objednatele v úvahu.

Stav, kdy by proti Varování neexistoval pro dotčený subjekt žádný prostředek nápravy, by nebylo možné považovat za ústavně konformní. V této souvislosti lze citovat judikaturu Ústavního soudu:

„Ústavní soud respektuje skutečnost, že s ohledem na specifika a význam rozhodování ve věcech utajovaných skutečností, kdy je velmi zřetelný bezpečnostní zájem státu, není možné vždy garantovat všechny běžné procesní záruky spravedlivého procesu (např. veřejnost jednání). Nicméně i v tomto typu řízení je úkolem zákonodárce umožnit zákonnou formou realizaci přiměřených záruk na ochranu soudem (či jiným nezávislým a nestranným tribunálem ve smyslu čl. 6 odst. 1 Úmluvy) byť

- podle povahy věci a s přihlédnutím k charakteru příslušné funkce - na ochranu i značně zvláštní a diferencovanou.“147

Zpracovatel níže analyzuje právní prostředky, které lze proti Varování učinit.

8.7.1. Podnět zvláštnímu kontrolnímu orgánu Poslanecké sněmovny Parlamentu České republiky

Kontrolu činnosti NÚKIB vykonává podle § 24a ZKB Poslanecká sněmovna Parlamentu České republiky, která k tomuto účelu zřizuje zvláštní kontrolní orgán. Poslanecká sněmovna zřídila Stálou komisi pro kontrolu činnosti Národního úřadu pro kybernetickou a informační bezpečnost. Jejím předsedou je Ing. Pavel Jelínek, PhD., komise má dalších 6 členů. Komise se pravidelně schází a řeší mj. i otázku bezpečnosti 5G sítí.148

Podle § 24b ZKB platí, že „má-li kontrolní orgán za to, že činnost Úřadu nezákonně omezuje nebo poškozuje práva a svobody občanů nebo že rozhodovací činnost Úřadu v rámci správního řízení je stižena vadami, je oprávněn požadovat od ředitele Úřadu potřebné vysvětlení.“

147 Nález Ústavního soudu ze dne 12. 7. 2001, sp. zn. Pl. ÚS 11/2000

148 Stálá komise se naposledy sešla dne 14. 5. 2020 a jedním z bodů jejího programu jednání byla „problematika bezpečnosti sítí 5G“

Jednou z prvních forem obrany proti Varování je nepochybně podnět Stálé komisi pro kontrolu činnosti Národního úřadu pro kybernetickou a informační bezpečnost k prošetření jeho činnosti v souvislosti s vydáním Varování podle § 11 ZKB. Dospěje-li komise k závěru, že Varování nezákonně poškozuje práva a svobody konkrétních osob nebo že správní řízení je stiženo vadou, měla by vyzvat ředitele NÚKIB a požadovat potřebné vysvětlení.

8.7.2. Podnět k odstranění či zrušení

Dle § 156 odst. 1 SŘ platí, že v případě, kdy sdělení správního orgánu trpí vadami, které lze opravit, aniž tím bude způsobena újma některé z dotčených osob, správní orgán je opraví usnesením, které se pouze poznamená do spisu. S ohledem na § 76 odst. 5 SŘ není proti tomuto usnesení přípustné odvolání.

Je-li však sdělení v rozporu s právními předpisy a nelze jej opravit podle zmíněného odstavce 1, zruší jej v souladu s § 156 odst. 2 SŘ usnesením správní orgán, který je vydal nebo učinil, a to s účinky ode dne, kdy bylo zrušované sdělení učiněno, nestanoví-li zákon jiný postup; takové usnesení lze vydat po dobu, po kterou trvají účinky vyjádření, osvědčení nebo sdělení. Na tento postup se přiměřeně použijí ustanovení hlavy IX části druhé správního řádu o přezkumném řízení.

To, který z uvedených postupů bude v konkrétním případě zvolen, zákon neposkytuje podrobnější vodítko: „Pro rozlišování toho, kdy se jedná o závažnější nedostatky (a je nutný postup podle odstavce 2) a kdy nikoli (a uplatní se postup podle odstavce 1), správní řád sám žádnou bližší konkretizaci nestanoví; je to nutno vždy posoudit s ohledem na daný úkon a okolnosti, za kterých byl proveden.“149

Dle názoru zpracovatele trpí vydané Varování zásadními vadami, pro které by mělo být zrevidováno a případně upraveno či zrušeno (podrobněji viz. níže).

8.7.3. Podnět k Veřejnému ochránci práv

Každý (i právnické osoby150) má právo obrátit se s písemným podnětem na Veřejného ochránce práv (dále jen „VOP“) dle ZVOP, pokud jde o věc, která patří do působnosti VOP (podle § 1 odst. 1 a 2 ZVOP).

Varování lze považovat za úkon správního úřadu s působností pro celé území státu (§ 1 odst. 2 ZVOP), a pokud je „v rozporu s právem, neodpovídá principům demokratického právního státu a dobré správy“ (§ 1 odst. 1 ZVOP), pak se lze s podnětem na VOP obrátit.

149 Jemelka, L., Pondělíčková, K., Bohadlo, D. Správní řád. Komentář. 6 vydání. Praha: C. h. Beck, 2019, s. 843

150 Důvodová zpráva k návrhu ZVOP

VOP sice není oprávněn NÚKIB nařídit učinění určitého úkonu, může ale působit svojí autoritou a vyzývat k vyjádření, navrhovat opatření k nápravě a za podmínek § 20 ZVOP vyrozumět nadřízený úřad a není-li takového úřadu, vládu, případně může o svých zjištěních informovat veřejnost včetně sdělení jména a příjmení osob oprávněných jednat jménem úřadu.

8.7.4. Stížnost

Osoby dotčené úkonem správního orgánu mají ve smyslu 175 a násl. SŘ právo obracet se na tyto správní orgány se stížnostmi proti nevhodnému chování úředních osob nebo proti postupu správního orgánu. Stížností tedy lze napadat postup správního orgánu v souvislosti s učiněným úkonem v podobě sdělení – varování pro rozpornost se zákonností, neobjektivitou zjištění skutkového stavu, poškození dobrého jména apod.

Dle § 175 odst. 4 SŘ se stížnost podává u správního orgánu, kterého se týká (vede řízení, provedl úkon podle části čtvrté, uzavřel veřejnoprávní smlouvu atd.). V této souvislosti je třeba zdůraznit, že úprava stížností podle § 175 dopadá na všechny úkony v působnosti správního řádu, přestože § 175 odst. 4 hovoří nepřesně o správním orgánu, který „vede řízení“.151

Podle § 175 odst. 5 SŘ je nutné stížnost vyřídit a o jejím vyřízení stěžovatele vyrozumět do 60 dnů od doručení stížnosti správnímu orgánu, který je k jejímu vyřízení příslušný. Vyrozumění o vyřízení stížnosti podle § 175 odst. 5 SŘ by mělo být chápáno jako sdělení informace o tom, zda byla stížnost důvodná, resp. částečně důvodná, a budou z ní vyvozeny určité důsledky nebo nikoli. O výsledcích šetření nebo konkrétních opatřeních k nápravě, která musí být učiněna bezodkladně, však musí být stěžovatel s ohledem na § 175 odst. 6 SŘ vyrozuměn pouze tehdy, když o to požádá152.

8.7.5. Žaloba na ochranu před nezákonným zásahem, pokynem nebo donucením správního orgánu

Významným nástrojem proti vydanému Varování může být žaloba na ochranu před nezákonným zásahem, pokynem nebo donucením správního orgánu. Tato je upravena v § 82 a násl. SŘS. V případě úspěchu žaloby soud dle § 87 odst. 2 SŘS rozsudkem určí, že provedený zásah byl nezákonný, a trvá-li takový zásah nebo jeho důsledky anebo hrozí-li jeho opakování, zakáže správnímu orgánu, aby v porušování žalobcova práva pokračoval, a přikáže, aby, je-li to možné, obnovil stav před zásahem.

Dle § 84 SŘS musí být žaloba podána do dvou měsíců ode dne, kdy se žalobce dozvěděl

o nezákonném zásahu. Nejpozději lze žalobu podat do dvou let od okamžiku, kdy k němu došlo. Ústavní soud dovodil, že žalobu na ochranu před nezákonným zásahem lze podat, dokud zásah trvá,

151 Jemelka, L., Pondělíčková, K., Bohadlo, D. Správní řád. Komentář. 6 vydání. Praha: C. h. Beck, 2019, 938 – 950 s.

152 Jemelka, L., Pondělíčková, K., Bohadlo, D. Správní řád. Komentář. 6 vydání. Praha: C. h. Beck, 2019, 938 – 950 s.

neboť lhůta k podání žaloby proti neukončenému trvajícímu zásahu ve skutečnosti začíná každý den znovu.153

Dle § 85 SŘS platí, že žaloba na ochranu před nezákonným zásahem je nepřípustná, lze-li se ochrany nebo nápravy domáhat jinými právními prostředky; to neplatí v případě, domáhá-li se žalobce pouze určení, že zásah byl nezákonný. Proti varování ZKB neupravuje opravný prostředek. Povahu prostředku nápravy nebo ochrany ve smyslu § 85 SŘS nesplňují instrumenty, které mají povahu podnětu včetně podnětu Veřejnému ochránci práv.154 Podání podnětu k VOP je tedy možné, ale ne povinné. Z nástrojů dle SŘ připadá teoreticky v úvahu podání stížnosti dle § 175 SŘ (kromě podnětu k postupu dle 156 SŘ). Neuplatnění není na překážku podání zásahové žaloby.155

Není tedy možnost domáhat se proti Varování ochrany nebo nápravy domáhat jinými právními prostředky ve smyslu § 85 SŘS. Případné žalobě napadající Varování tedy nebrání skutečnost, že by byla využita hned jako první právní prostředek k nápravě.

V daném případě je tedy možno výše uvedenou žalobu s ohledem na běh lhůty podat, neboť Varování stále trvá. Podání žaloby může být efektivním krokem i s ohledem na skutečnost, že dle § 38 SŘS lze zároveň podat i návrh na vydání předběžného opatření.

V případě, že soud žalobě nevyhoví, lze jeho rozhodnutí napadnout kasační stížností, která je upravena v § 102 a násl. SŘS.

8.7.6. Ústavní stížnost

Poté, co jsou vyčerpány všechny v úvahu připadající opravné prostředky (§ 75 ZÚS), je možno podat ústavní stížnost pro nezákonný zásah do ústavně zaručených práv a to i ve formě učiněného správního úkonu – sdělení (Varování), pokud v jeho základu existují vady takového charakteru.

V daném případě musí ústavní stížnosti předcházet podání žaloby dle § 82 SŘS a dále – pokud není žalobě vyhověno a důvody procesní obrany zde trvají i nadále – musí být využita

153 Ústavní soud k tomuto v nálezu ze dne 17. 7. 2018, sp. zn. III. ÚS 1257/18, vyslovil: Ústavní soud nálezem sp. zn. II. ÚS 635/18 rozsudek rozšířeného senátu zrušil z důvodu, že jím Nejvyšší správní soud porušil ústavně zaručená práva tím, že dospěl k závěru o nutnosti počítat objektivní i subjektivní lhůtu k podání zásahové žaloby proti trvajícímu zásahu od počátku zásahu, na základě čehož shledal žalobu opožděnou. V odůvodnění tohoto nálezu Ústavní soud konstatoval, že: "V řízení o žalobě na ochranu před nezákonným zásahem správního orgánu podle § 82 a násl. s. ř. s. je důležité - ačkoliv rozšířený senát této tezi nepřál - rozlišovat různé typy zásahů a zohledňovat specifika tzv. trvajících zásahů (…) V případě těchto zásahů obecně musí s ohledem na zásadu bezrozpornosti právního řádu platit pravidlo, podle kterého časové právní následky včetně dopadu na počátek běhu subjektivní i objektivní lhůty k podání zásahové žaloby má až ukončení takového zásahu. V případě stále neukončeného trvajícího zásahu pak ústavně-konformní výklad pojmu "dozvěděl se" (§ 84 odst. 1 věta první s. ř. s.) odpovídá pojmu "dozvídá", a výklad pojmu "došlo" (§ 84 odst. 1 věta druhá s. ř. s.), odpovídá pojmu "dochází". V souladu s judikaturou Evropského soudu pro lidská práva lhůta k podání žaloby proti neukončenému trvajícímu zásahu ve skutečnosti začíná každý den znovu".“

154 Blažek, T., Jirásek, J., Molek, P., Pospíšil, P., Sochorová, V., Šebek, P.: Soudní řád správní - online komentář. 3. aktualizace. Praha: C. H. Beck, 2016)

155 Rozsudek Nejvyššího správního soudu ze dne 17. 12. 2010, č. j. 4 Aps 2/2010-44

zmíněná kasační stížnost podle § 102 a násl. SŘS, kterou lze rozhodnutí soudu o žalobě napadnout.156

8.8. Možnosti dosažení kompenzace – náhrady škody za vydání nezákonného Varování

Dle OdpŠk stát odpovídá za škodu způsobenou rozhodnutím a nesprávným úředním postupem (§ 5 OdpŠk). Varování není rozhodnutím, v daném případě by se tedy jednalo o nesprávný úřední postup (§ 13 OdpŠk).

Soud si v případě podání uvedené žaloby v příslušném řízení sám posuzuje, zda ve věci došlo k nesprávnému úřednímu postupu (na rozdíl od případů nezákonného rozhodnutí). Pro úspěšnost žaloby lze vyčkat, až bude postaveno najisto, že Varování v tomto případě představuje nesprávný úřední postup (tedy po úspěšné správní žalobě dle SŘS). Nárok je třeba nejdříve uplatnit u příslušného úřadu (§ 14 OdpŠk) v daném případě tedy přímo u NÚKIB, přičemž je třeba zohlednit riziko možnosti promlčení (§ 32 a násl. OdpŠk).

Nárok na náhradu škody se promlčí za tři roky ode dne, kdy se poškozený dozvěděl o škodě a o tom, kdo za ni odpovídá (§ 32 odst. 1 OdpŠk). Nárok na náhradu nemajetkové újmy se promlčí za 6 měsíců ode dne, kdy se poškozený dozvěděl o vzniklé nemajetkové újmě, nejpozději však do deseti let ode dne, kdy nastala právní skutečnost, se kterou je vznik nemajetkové újmy spojen (§ 32 odst. 3 SŘS). Po dobu řízení před správním soudem tato lhůta neběží (§ 41 SŘS).

Ve smyslu § 5 OdpŠk odpovídá stát za škodu, která byla způsobena nesprávným úředním postupem. Vznik škody, jíž je ve smyslu § 1 odst. 3 OdpŠk třeba rozumět i nemajetkovou újmu, musí být ve vztahu příčinné souvislosti se škodnou událostí. Stát tedy odpovídá za škodu při splnění následujících podmínek:

1. nesprávný úřední postup,

2. vznik škody (či nemajetkové újmy) a

3. příčinná souvislost mezi nesprávným úředním postupem a vznikem škody či nemajetkové újmy.

V případě odpovědnosti dle OdpŠk není vyžadováno zavinění. S odkazem na § 2 OdpŠk se odpovědnosti nelze zprostit. U objektivní odpovědnosti státu totiž nejsou ve smyslu citovaného zákonného ustanovení připuštěny liberační důvody - jedná se o odpovědnost absolutní.157 Tuto

„nelze zákonem vyloučit, omezit či jinak zúžit, a to ani tehdy, pokud se prokáže, že tato škoda vznikla úmyslným protiprávním jednáním konkrétní osoby.“158

156 K podání kasační stížnosti v tomto případě srov. např. Blažek, T., Jirásek, J., Molek, P., Pospíšil, P., Sochorová, V., Šebek, P.: Soudní řád správní - online komentář. 3. aktualizace. Praha: C. H. Beck, 2016, k § 87 SŘS.

157 Rozsudek Nejvyššího soudu ze dne 8. 4. 2013, sp. zn. 28 Cdo 1388/2012

158 Nález Ústavního soudu ze dne 5. 5. 2015, sp. zn. II.ÚS 3005/14, s odkazem na Brejcha, A. Odpovědnost v soukromém a veřejném právu. Praha: Codex Bohemia, 2000, str. 243

8.8.1. Nesprávný úřední postup

Zákon neobsahuje obecnou definici nesprávného úředního postupu159, neboť výstižnou definici nelze pro jeho mnohotvárnost podat.160

Lze říci, že nesprávný úřední postup představuje porušení pravidel předepsaných právními normami pro počínání státního orgánu při jeho činnosti, a to i při takových úkonech, které jsou prováděny v rámci činnosti rozhodovací, avšak neodrazí se bezprostředně v obsahu vydaného rozhodnutí. Z tohoto hlediska za nesprávný postup vedoucí k odpovědnosti státu je třeba považovat i nevydání či opožděné vydání rozhodnutí, mělo-li být v souladu s uvedenými pravidly správně vydáno či vydáno ve stanovené lhůtě, případně jiná nečinnost státního orgánu či jiné vady ve způsobu vedení řízení, to vše samozřejmě za předpokladu, že poškozenému vznikla škoda (majetková újma vyjádřitelná v penězích) či nemajetková újma, která je v příčinné souvislosti s uvedeným postupem, tedy je-li nesprávný postup orgánu státu se vznikem škody ve vztahu příčiny a následku.161

Nejvyšší soud ve svém rozsudku ze dne 27. 5. 2009, sp. zn. 25 Cdo 1455/2007, např. konstatoval, že „…souhrn dílčích pochybení orgánu státu může představovat nesprávný úřední postup ve správním řízení, byť žádný z jednotlivých nedostatků sám o sobě nesprávným úředním postupem není…“ „…S odvolacím soudem lze v obecné rovině souhlasit, že každé z jednotlivých dílčích pochybení či nedůsledností v postupu katastrálního úřadu v řízení o povolení vkladu vlastnického práva samo o sobě nepředstavuje nesprávný úřední postup, to ovšem neznamená, že tyto jednotlivé dílčí nedostatky, posuzovány ve svém souhrnu komplexně a ve všech vzájemných souvislostech, nenaplňují znaky nesprávného úředního postupu…“.

I v daném případě je třeba zabývat se komplexně celým úředním postupem NÚKIBu, nikoli pouze jeho dílčími částmi. Výsledek tohoto posouzení dle názoru zpracovatele nasvědčuje tomu, že k nesprávnému úřednímu postupu na straně NÚKIBu dojít mohlo. V podrobnostech lze odkázat zejména na část této studie rozebírající zákonnost Varování, byť by na podporu závěru o nesprávném úředním postupu bylo možné doplnit i další argumenty.

8.8.2. Vznik škody

Protože OdpŠk blíže nedefinuje pojem škody ani neupravuje rozsah její náhrady, je třeba v této otázce vycházet z občanského zákoníku (§ 2952 OZ), podle nějž se hradí skutečná škoda a to, co poškozenému ušlo (ušlý zisk).

159 Zákon pouze v § 13 odst. 1 OdpŠk uvádí jeden z případů nesprávného úředního postupu, kterým je porušení povinnosti učinit úkon nebo vydat rozhodnutí v zákonem stanovené lhůtě.

160 Důvodová zpráva k návrhu OdpŠk

161 Důvodová zpráva k návrhu OdpŠk

Škodou zákon míní újmu, která nastala (projevuje se) v majetkové sféře poškozeného (spočívá ve zmenšení jeho majetkového stavu) a je objektivně vyjádřitelná všeobecným ekvivalentem, tj. penězi, a je tedy napravitelná poskytnutím majetkového plnění, především penězi.

Skutečnou škodou je nutno rozumět takovou újmu, která znamená zmenšení majetkového stavu poškozeného oproti stavu před škodnou událostí a která představuje majetkové hodnoty, jež je třeba vynaložit k uvedení věci do předešlého stavu.

Ušlý zisk (slovy zákona – „to, co poškozenému ušlo“) se zakládá na tom, že se nedostavilo rozmnožení majetku, které by bylo možno očekávat za obvyklého, pravidelného průběhu věcí. Škodná událost tvoří překážku, která zabránila rozmnožení majetku (zasáhla do průběhu děje vedoucího k určitému zisku). Musí existovat vysoká pravděpodobnost, že by k rozmnožení majetku došlo, nestačí pouhá neodůvodněná naděje – ušlý zisk se pojímá jako odůvodněná naděje na zisk. Ušlý zisk nemůže představovat jen zmaření zamýšleného výdělečného záměru či příslibu možného výdělku, není-li takový majetkový přínos podložen již existujícími či reálně dosažitelnými okolnostmi, z nichž lze usuzovat, že nebýt škodné události, k zamýšlenému zisku by skutečně došlo162.

Ustanovení § 1 odst. 3 OdpŠk konstatuje, že stát v rámci své odpovědnosti za škodu hradí též vzniklou nemajetkovou újmu. Podle důvodové zprávy se sice nehmotná újma vymezuje vedle škody jako takové (tj. vedle škody hmotné), vztahují se na ni však ustanovení zákona o náhradě škody v plném rozsahu. Pokud tedy v důsledku nesprávného úředního postupu došlo např. k poškození dobrého jména právnické osoby a tím ke vzniku nemajetkové újmy, lze poté, co nebude akceptováno předběžné uplatnění nároku dle § 6 OdpŠk, podat proti státu žalobu na náhradu způsobené nemajetkové újmy.

8.8.3. Příčinná souvislost

O vztah příčinné souvislosti se jedná, vznikla-li škoda následkem nesprávného úředního postupu, tedy je-li nesprávný úřední postup a škoda ve vzájemném poměru příčiny a následku, a tudíž je-li doloženo, že nebýt nesprávného úředního postupu, ke škodě by nedošlo.

Otázkou příčinné souvislosti se opakovaně zabývá judikatura, podle které platí: „Při rozboru otázky příčinné souvislosti jde o zjištění, jaká skutečnost byla bezprostřední příčinou daného následku. Z celého řetězce všeobecné příčinné souvislosti (v němž každý jev má svou příčinu, zároveň však je příčinou jiného jevu) je třeba sledovat jen ty příčiny a následky, které jsou důležité pro odpovědnost za škodu. Musí jít o příčinu důležitou, podstatnou a značnou, bez níž by ke vzniku škody nedošlo. Z hlediska naplnění příčinné souvislosti nemůže stačit obecná úvaha o možných následcích jednání škůdce či pouhé připuštění možnosti vzniku škody v důsledku jeho protiprávního jednání, nýbrž musí být příčinná souvislost najisto postavena.“163

162 Hulmák, M. a kol.: Občanský zákoník VI. Závazkové právo. Zvláštní část Komentář. 1. vydání. Praha: C. H. Beck, 2014, s. 1688 – 1695 a rozsudek Nejvyššího soudu ze dne 28. 1. 2009, sp. zn. 25 Cdo 3586/2006

163 Usnesení Nejvyššího soudu ze dne 28 Cdo 2490/2012, sp. zn. 9. 1. 2013

8.9. Dílčí závěr

Roli NÚKIB v oblasti kybernetické bezpečnosti považujeme za nenahraditelnou a velmi významnou. Oblast, ve které NÚKIB působí je z pohledu práva velmi mladá, tudíž je zcela logické, že v rámci jeho aktivit budou vznikat právní otázky, které je nutné dodatečně zodpovědět a v jistých případech i s odstupem času zrevidovat.

Jednou z takových otázek je i Varování, které dne 17. prosince 2018 vydal NÚKIB s konstatováním, že použití technických nebo programových prostředků společností Huawei a ZTE včetně jejich dceřiných společností představuje hrozbu v oblasti kybernetické bezpečnosti.

Varování jako právní institut bylo v ČR použito vůbec poprvé. I proto s ním bylo spojeno více otázek než odpovědí. Jako příklad lze uvést otázky typu: jak podrobně musí být varování odůvodněno, zda v něm musí být označeny konkrétní důkazy, jak dlouho samotné varování bude trvat, co je nutno udělat pro jeho zrušení, jakou právní formu má samotné varování a zda jej lze namířit proti konkrétním subjektům nebo obecné hrozbě. Nejasné také byly i právní důsledky Varování tzn. zda Varování představuje pouhou informaci, či zda a případně jaké povinnosti a kterým osobám na jeho základě vznikají. Mnoho z těchto otázek je doposud nezodpovězeno, a to přesto, že Varování představuje bezprecedentní zásah do práv v něm označených subjektů.

To, že je vydané Varování problematické, vyplývá i z následného postoje NÚKIB. Ten jej sice dosud nezrušil, nicméně opakovaně doplňovalo, resp. upřesňoval jeho výklad. Z pohledu zpracovatele však ani toto nenapravilo protiprávní stav vyvolaný vydáním Varováním.

Po prvním přečtení textu Varování není zcela zřejmé, jakou má Varování právní povahu. Tedy zda má představovat pouze určité sdělení, či zda má některým osobám ukládat konkrétní povinnosti. S tím totiž souvisí i to, zda a jak se lze proti němu bránit. Což je zcela zásadní pro osoby, před nimiž NÚKIB varuje. S každým dalším dnem trvání Varování jsou totiž zásadně poškozovány jejich obchodní zájmy a pověst.

V návaznosti na podrobnou analýzu zpracovatel konstatuje, že Varování považuje za sdělení dle § 154 a násl. SŘ. Účelem varování jako institutu dle ZKB je informovat. Varování nestanoví konkrétní práva a povinnosti. Pokud by se nejednalo o sdělení ve smyslu § 154 a násl. SŘ, pak by varování představovalo jiný úkon dle § 158 SŘ. Závěry ohledně posouzení zákonnosti, možnosti právní obrany a dosažení kompenzace však platí v obou případech stejně.

Byť Varování nestanoví konkrétní práva a povinnosti, neznamená to, že nevyvolává právní následky. Ustanovení § 4 odst. 4 ZKB uvádí: „Orgány a osoby uvedené v § 3 písm. c) až f) jsou

Document Metadata

Table of Contents

S t u d i e

Document Metadata