Odpověď na ni můžeme nalézt v zákoně o kybernetické bezpečnosti (ZOKB, dále jen „zákon“), jehož regulace dopadá i na klíčové dodavatele, v liteře zákona tzv. provozovatele (tj. subjekty, které zajišťují funkčnost hardwaru a softwaru tvořících informační nebo komunikační systém). Pro lepší představu, kdo takovým provozovatelem je, využiji obecný příklad. Ministerstvo X provozuje informační systém Y, přičemž tento informační systém byl určen jakožto prvek kritické informační infrastruktury. Pro provoz tohoto informačního systému ministerstvo však využívá služeb externího datového centra Z. Toto datové centrum je tedy provozovatelem podle zákona.

Je nezbytné zdůraznit, že tito provozovatelé musí plnit povinnosti podle tohoto zákona v podobném rozsahu jako samotní správci. Především tak musí mít implementovaná bezpečnostní opatření (technická a organizační), která do velké míry odpovídají požadavkům mezinárodního standardu ISO 27001, detekovat kybernetické bezpečnostní události a hlásit kybernetické bezpečnostní incidenty. Dále se na ně vztahuje i možnost Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) plnění těchto povinností kontrolovat podle § 23 zákona a kontrolního řádu.

Zákon dále v ustanovení § 4 uvádí, že správci a provozovatelé jsou povinni zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zvláštní opatření jsou v tomto ohledu navíc stanovena pro smluvní vztahy mezi správci a provozovateli, kteří jsou orgány veřejné moci a využívají služeb poskytovatelů cloud computingu.

Úprava zákona a jeho prováděcích právních předpisů jde v tomto ohledu ale ještě dále, konkrétně pak ve vyhlášce o kybernetické bezpečnosti (dále jen „vyhláška“). Ta totiž nad rámec výše uvedeného uvádí v § 8 další povinnosti, které musí plnit povinné osoby (tj. správci a provozovatelé podle zákona) při výběru provozovatele, případně jiného dodavatele. Vyhláška tak i podle důvodové zprávy v rámci tohoto ustanovení klade důraz na vlastní bezpečnostní potřeby povinného subjektu, jejichž vyhodnocení má být základním vstupem pro stanovení bezpečnostních opatření v rámci řízení dodavatelů, kontroly plnění stanovených bezpečnostních opatření a jejich případné vymáhání.

Obecně musí tedy povinná osoba např. stanovit pravidla pro dodavatele zohledňující požadavky ISMS nebo v souvislosti s nimi řídit rizika. Dále musí u tzv. významných dodavatelů vést jejich evidenci, mít s nimi ošetřené smluvní vztahy, provést v rámci výběrového řízení a před uzavřením smlouvy hodnocení rizik souvisejících s plněním předmětu výběrového řízení, stanovit bezpečnostní opatření a určit vzájemnou smluvní odpovědnost za zavedení a kontrolu těchto bezpečnostních opatření, provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění a v reakci na rizika a zjištěné nedostatky zajistit jejich řešení.

V souvislosti s výše zmiňovanou kauzou stojí za povšimnutí zejména povinnost provést hodnocení rizik už během výběrového řízení. V tomto ohledu poskytuje zajímavé informace Metodika NÚKIB vydaná k varování ze dne 17. 12. 2018. Např. pokud ještě nebylo vypsáno výběrové řízení, musí správci a provozovatelé provést analýzu rizik podle § 5 vyhlášky a následně zapracovat její výsledek přímo do zadávací dokumentace.

Za zdůraznění také stojí, že se tato úprava vztahuje i na dodavatele provozovatelů, to znamená, že pokrývá i tzv. řetězení dodavatelů. Neřešení této otázky by totiž mohlo způsobit značná bezpečnosti rizika. Podle důvodové zprávy v případě, kdy dodavatel zainteresuje do plnění smlouvy třetí stranu – poddodavatele, je nutné, aby bylo zajištěno, že i poddodavatel musí splňovat stejné povinnosti jako dodavatel, který tuto zakázku získal. Poddodavatel navíc musí samozřejmě dodržovat v plném rozsahu i ujednání mezi dodavatelem a povinným subjektem.

Dalo by se tedy říci, že minimálně u těchto významných dodavatelů by měly existovat dostatečně nastavené povinnosti a k výběru „rizikového“ dodavatele by u nich dojít nemělo, případně že by měla být rizika s ním spojená včas ošetřena.

Je však nutné zohlednit i určitá omezení dané regulace. Ta by mohla v prvé řadě vyplývat přímo z povahy hospodářské soutěže, v rámci které by neměl být žádný subjekt znevýhodněn nebo omezen. V tomto ohledu je nutné se vrátit opět k samotnému zákonu, který přímo v § 4 odst. 4 uvádí, že zohlednění požadavků vyplývajících z bezpečnostních opatření při výběru dodavatele nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku v hospodářské soutěži. Pravidla vztahující se k ochraně hospodářské soutěže uvádí i zákon o zadávání veřejných zakázek, který v § 36 odst. 1 stanoví, že zadavatel nesmí vytvářet při stanovování zadávacích podmínek bezdůvodné překážky hospodářské soutěže. Na druhou stranu, určení omezujících zadávacích podmínek opřené o zákonné povinnosti zadavatele by ze samotné podstaty plnění zákonných povinností nemělo být považováno za vytvoření bezdůvodné překážky. Lze se tedy domnívat, že ochrana hospodářské soutěže by v tomto případě neměla být na překážku.

Další možné existující omezení vyplývá přímo z působnosti zákona, která dopadá v oblasti veřejné správy pouze na systémy kritické informační infrastruktury, významné informační systémy, případně informační systémy základních služeb. Jinak řečeno, zákon o kybernetické bezpečnosti dosáhne pouze na ty provozovatele a dodavatele, kteří se podílejí na provozování informačních nebo komunikačních systémů spadajících pod jeho režim a nezahrnuje všechny informační nebo komunikační systémy, které jsou v rámci veřejného sektoru provozovány. Na druhou stranu je však nutné si uvědomit, že tyto neurčené systémy nejsou z hlediska státní bezpečnosti považovány za klíčové a z tohoto důvodu nejsou pod režim zákona ani zařazeny. Neexistence jejich regulace by tudíž, alespoň z pohledu účelu zákona, neměla představovat větší problém.

Obecně je tedy možné shrnout, že Česká republika v současné době disponuje poměrně kvalitní zákonnou úpravou dodavatelů ve veřejném sektoru, která zohledňuje požadavky na bezpečnost těchto dodavatelů a zároveň je propojena i se systémem výběrových řízení podle zákona o zadávání veřejných zakázek. Samozřejmě druhou stranu mince v této otázce představuje samotné praktické uplatňování výše uvedených pravidel a jejich případné vymáhání ze strany NÚKIB. V tomto ohledu je zejména důležité, aby se orgány státní správy naučily zohledňovat bezpečnostní rizika už během zpracování zadávací dokumentace a při následném uzavírání smluvních závazků s dodavateli. Jinak řečeno, zaměstnanci těchto orgánů musí vědět, jak takováto rizika vyhodnotit, jakým způsobem je případně ošetřit a jak kontrolovat dodržování stanovených požadavků. Závěrem lze tedy konstatovat, že důležitým základním pilířem (vedle plnění stanovených povinností a jejich vynucování) je proškolení zaměstnanců, kteří mají dostatečné povědomí o hrozbách a existujících rizicích a jsou schopni správně vyhodnotit a nastavit potřebné požadavky. Státní orgány by tak neměly opomíjet ani tento aspekt a dávat na zvyšování povědomí svých zaměstnanců zvláštní důraz.

Citované zákony a vyhlášky:

• Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.
• Zákon č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění zákona č. 183/2017 Sb.
• Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).
• Zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů.

Hana Valentová Autorka článku je konzultantkou pro IT bezpečnost ve společnosti PricewaterhouseCoopers Česká republika, s. r. o.