K osobní působnosti právní úpravy kybernetické bezpečnosti
Pokusíme se vymezit okruh subjektů, na které dopadají povinnosti podle zákona č. 181/2014 Sb. , o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „ZKB“), a to ve vztahu k orgánům a osobám podle § 3 písm. c), d), e) a f) ZKB, tj. ve vztahu ke správcům a provozovatelům informačních a komunikačních systémů kritické infrastruktury, významných informačních systémů a informačních systémů základní služby.
Povinnými osobami dle ZKB jsou správci a provozovatelé chráněných systémů. Primární odpovědnost nesou správci, což vyplývá jednak z koncepce právní úpravy kybernetické bezpečnosti, ale také z legální definice správce upravené v § 2 písm. e) a f) ZKB. Podle této definice je správce orgán nebo osoba, která určuje účel zpracování informací, resp. účel komunikačního systému, a podmínky provozování systému. Povinnou osobou je však také provozovatel, kterým je orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.
Při výkladu pojmu provozovatele se omezíme na poměrně častou situaci, kdy správce chráněný systém na svých technických prostředcích sám provozuje, přičemž pro tento systém objednává služby servisu, podpory apod. Z vymezení správce vyplývá, že je to on, kdo určuje podmínky provozování chráněného systému. Správce je povinen své dodavatele, kteří ve vztahu k danému systému naplňují definici provozovatele, o této skutečnosti informovat. Provozovatel bude zavádět bezpečnostní opatření (pouze) tam, kde je není schopen zavést správce, což dle Národního úřadu pro kybernetickou a informační bezpečnost vyplývá z cílů ZKB i z podstaty zavedení institutu provozovatele. Podle názoru autora se jedná o objektivní neschopnost správce taková bezpečnostní opatření zavést. Rozsah stanovení povinností provozovatele je odpovědností správce, protože je to on, kdo disponuje informacemi nezbytnými k vymezení bezpečnostních opatření a kdo určuje podmínky provozování chráněného systému.
Pro stanovení bezpečnostních opatření je klíčová analýza rizik provedená podle vyhlášky č. 82/2018 Sb. , o kybernetické bezpečnosti (dále jen „VKB“), kterou povinné osoby provádějí nad množinou identifikovaných aktiv. Povinné osoby pro aktiva často pořizují různá externí plnění, zejména služby, jejichž nedostatky mohou vést ke snížení informační bezpečnosti aktiv. Taková aktiva povinná osoba zahrne do systému řízení bezpečnosti informací. V závislosti na výsledku analýzy rizik pak může vzniknout potřeba na tyto dodavatele přenést část povinností k zajištění kybernetické bezpečnosti. I samotní dodavatelé jsou z hlediska VKB podpůrnými aktivy, se kterými může být spojena potřeba určitých bezpečnostních opatření. VKB rozlišuje dvě úrovně dodavatelů – „běžné“ a významné ve smyslu § 2 písm. n) VKB. Významným dodavatelem je vždy provozovatel chráněného systému a dále každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému.
Vzhledem k tomu, že provozovatel je povinnou osobou, má sám o sobě povinnosti dle ZKB, resp. VKB. Odpovědností správce je smluvně provozovateli vymezit aktiva, která bude provozovat, a bezpečnostní opatření, která bude realizovat. Mohou přitom existovat bezpečnostní opatření, která jsou pro ochranu takových aktiv nezbytná, ale správce je sám není schopen zavést. Nevyloučí-li to správce v právním vztahu s provozovatelem, může provozovatel za účelem realizace těchto bezpečnostních opatření externě pořizovat určitá plnění. Poskytovatelé takových plnění jsou potom ve vztahu k takovému provozovateli dodavateli ve smyslu § 8 VKB, přestože nejde o dodavatele správce[1].
Pokud bychom ve vymezení okruhu osob, na které dopadají povinnosti dle ZKB, resp. VKB, chtěli být důslední, měli bychom uvést rovněž fyzické osoby podílející se u povinné osoby na zajišťování kybernetické bezpečnosti. Jde zejména o bezpečnostní role dle § 6 a 7 VKB a o administrátory ve smyslu § 2 písm. a) VKB. Pojednání o těchto osobách je však nad rámec tohoto článku.
Můžeme shrnout, že okruh subjektů, na které dopadnou povinnosti upravené ZKB, resp. VKB, tvoří správce chráněného systému, provozovatel chráněného systému a jejich dodavatelé, jejichž plnění mohou ovlivnit bezpečnost informací v chráněném systému. Správce je povinnou osobou ex lege a rozsah jeho povinností je rovněž dán právními předpisy. Provozovatel je sice povinnou osobou ex lege, ale rozsah jeho povinností je primárně vymezen ex contractu právním vztahem se správcem. Dodavatel, nejde-li současně o provozovatele chráněného systému, povinnou osobou dle ZKB, resp. VKB není. Povinnosti dle těchto právních předpisů na něj však dopadají, a to na základě právního vztahu se správcem, případně provozovatelem.
Mgr. Ing. Robert Kotzian, Ph.D.
Právník a bývalý programátor-analytik
E-mail: robert@kotzian.cz
[1] Takoví dodavatelé provozovatele však již nejsou dalšími provozovateli.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
