Mezi moderní způsoby využívání softwaru patří cloud computing, tedy poskytování programů provozovaných na infrastruktuře provozovatele a dostupných prostřednictvím internetu, třeba jen skrze prostý internetový prohlížeč. Cloud computing má v mnohých případech řadu výhod oproti instalaci softwaru u samotného uživatele. Patří mezi ně snížení nákladů na nákup hardwaru, snadná a rychlá škálovatelnost výkonu či snadná dostupnost zabezpečených dat v podstatě odkudkoli.

Výhod cloud computingu začínají čím dál více využívat orgány veřejné správy (dále jen „OVS“). Rostoucí obliba však znamená také nutnost nastavit pravidla, aby byla zajištěna dostupnost řešení a bezpečnost shromažďovaných dat.

Nová pravidla se zákonodárce rozhodl přidat do zákona o informačních systémech veřejné správy (dále jen „ZISVS“). Základní myšlenkou je zřízení tzv. katalogu cloud computingu, který bude obsahovat všechny nabídky a poptávky cloud computingu pro OVS. ZISVS současně zavedl povinnost pro OVS využívat pouze cloud computingy zapsané v tomto katalogu. Tyto služby také mají být řazeny do čtyřech bezpečnostních úrovní od nízké až po kritickou, přičemž soukromé subjekty nemohou poskytovat cloud computing nejvyšší bezpečnostní úrovně – to je vyhrazeno státním poskytovatelům.

Potíže nastávají už v tom, že novela ZISVS počítá hned se dvěma prováděcími vyhláškami: jedna má určit údaje uváděné v katalogu cloud computingu, druhá kritéria bezpečnostních úrovní. Tyto vyhlášky však zatím neexistují a zřejmě ani v blízké době existovat nebudou. Jejich funkci nahrazuje jen „Metodika pro práci s katalogem cloud computingu a katalogem služeb cloud computingu“ vydaná Ministerstvem vnitra. Absence předpokládané legislativy je přitom jen první překážka, která na poskytovatele cloud computingu i OVS číhá – dalším se věnujeme v textu níže.

Chatrné základy robustního systému

Základním stavebním kamenem je informační systém cloud computingu, prostřednictvím kterého lze poskytovat službu dynamického nákupního systému a elektronického nástroje podle zákona o zadávání veřejných zakázek. Součástí tohoto systému je katalog cloud computingu – byť v době psaní tohoto článku zcela prázdný. Katalog je vlastně souborem tří dílčích katalogů: poptávek, nabídek a aktuálně využívaných služeb.

Proces vypsání poptávky cloud computingu, resp. její umístění do katalogu, by se měl do účinnosti prováděcí vyhlášky řídit zejména výše uvedenou metodikou Ministerstva vnitra. Podle té OVS adresují své poptávky cloud computingu ministerstvu, které z nich vytváří sumarizovanou poptávku a tuto zveřejňuje v katalogu. První taková měla být zveřejněna „po 1. 8. 2020 v nejdříve možném termínu“…

Poskytovatelé následně zasílají v době platnosti zveřejněné poptávky své nabídky prostřednictvím formulářů dostupných na webu Ministerstva vnitra a do speciální datové schránky k tomu určené.

Obsahem nabídky je zejména specifikace jednotlivých služeb pro dané bezpečnostní úrovně. Součástí mohou být i služby, které nejsou uvedeny v poptávce – ačkoli předpokladem je, že budou mít souvislost s předmětem poptávky, tedy budou představovat alternativu či novější variantu, které by OVS mohly chtít využít.

V nabídce nesmí chybět také doložení splnění potřebných bezpečnostních kritérií, přičemž tato musí splnit jak prodejce (resp. reseller či integrátor), tak každý tzv. materiální dodavatel (tedy ten, kdo přebírá zákaznická data a data generovaná službami do své správy, např. Microsoft, Google). Za všechny subjekty v dodavatelském řetězci formulář vyplňuje prodejce, ten i vstupuje do smluvního vztahu s OVS.

Dalším krokem zápisu nabídky do katalogu je tzv. ex-ante kontrola. Jde o ověření, zda nabídka obsahuje všechny požadované údaje a náležitosti a zda služby splňují bezpečnostní kritéria. Opět jde o oblast, kterou by měly upravovat prováděcí vyhlášky, ale namísto nich jejich roli supluje pouze metodika Ministerstva vnitra. Na posouzení nabídky má ministerstvo 45 dní, během nichž o výsledku kontroly informuje poskytovatele datovou zprávou a nabídku splňující podmínky zapíše do katalogu.

Pro cloud computingy využívaný k 1. 8. 2020 platí, že jejich zápis do katalogu musí prostřednictvím příslušného formuláře zajistit OVS do 1. 11. 2020. Zákon ovšem nijak neřeší, co se stane, pokud k tomuto zápisu nedojde, přestože nezapsaný cloud computing OVS nesmí po uvedeném datu využívat. V rámci přechodných ustanovení je na druhou stranu OVS umožněno stávající cloud computingy, které nesplňují podmínky pro zápis do katalogu, využívat až do 1. 8. 2023.

Bezpečnostní kritéria pro cloud computing

Zásadní součástí procesu poskytování cloud computingu OVS podle nových pravidel je vyhodnocení bezpečnostních kritérií. Těm se věnuje především návrh prováděcí, tzv. cloudové vyhlášky, ale její myšlenky do značné míry přebírá i metodika a její přílohy. Ověření splnění bezpečnostních kritérií se navíc děje svým způsobem hned dvakrát: v rámci ex-ante kontroly a posléze v rámci ex-post kontroly, přitom kritéria v obou kontrolách se v řadě bodů překrývají. Rozdílem je, že splnění podmínek pro ex-ante kontrolu dokládá poskytovatel při zápisu nabídky do katalogu, zatímco ex-post kontrola ověřuje podmínky, jejichž naplnění má zajistit OVS.

Před odesláním poptávky provede OVS u systému, pro který plánuje využití cloud computingu, hodnocení dopadů způsobených narušením dostupnosti systému a ztrátou či narušením důvěrnosti a integrity zpracovávaných dat, a to v řadě oblastí. Mezi ně patří např. bezpečnost a zdraví osob, ochrana osobních údajů, řízení a provoz organizace, ztráta důvěryhodnosti či finanční ztráty.

Hodnocení dopadů probíhá zařazením do několika úrovní, které však nejsou totéž, co bezpečnostní úrovně – ty by v budoucnu měla určit právě vyhláška. Zatím se očekává, že OVS na základě vyhodnocení dopadů určí míru požadavků na poptávaný cloud computing. Splnění kritérií je požadováno odděleně podle formy poskytovaného řešení: IaaS, PaaS nebo SaaS.

Takto definovaná kritéria musí splnit poskytovatel cloud computingu, aby OVS mohl dané řešení nabízet. Současně je povinností OVS splnění kritérií poskytovatelem zajistit.

Novinky pro nedotažené řešení

Uvedená pravidla a s nimi související postupy se snadno mohou zdát komplikovaná a mnohdy až nekoncepční. Dojem nikterak nezlepšuje ani polovičaté legislativní řešení v podobě ZISVS. K němu se navíc připravuje novela, a aby toho nebylo málo, v září byl k této novele zpracován komplexní pozměňovací návrh. Výsledkem je značná nejistota ohledně pravidel poskytování a využívání cloud computingu u OVS nyní i v budoucnu.

Jak to tedy vypadá s „druhým pokusem“ zákonodárců upravit pravidla ke cloud computingu správně? Novela předně obsahuje seznam údajů vedených v katalogu, které podle ZISVS měla definovat prováděcí vyhláška. Dále prodlužuje lhůtu Ministerstva vnitra pro zápis nabídky do katalogu ze 45 dní na sedm měsíců. Poskytovatelům by také měla přibýt povinnost uvést způsob, jakým jejich nabízené řešení umožňuje OVS dodržet bezpečnostní pravidla podle zákona o kybernetické bezpečnosti včetně odkazů na konkrétní ustanovení dokumentace řešení a tuto dokumentaci přiložit. Splnění této povinnosti by také bylo další podmínkou zápisu nabídky do katalogu.

Pozměňovací návrh k novele zejména prodlužuje možnost využívat „nevyhovující“ cloud computing až do konce roku 2023. Řeší také situaci ohledně řízení zahájených před účinností novely, které by doběhly podle dosavadních předpisů. Úprava také obsahuje pravidla pro zápis samotných poskytovatelů cloud computingu do katalogu; teprve zapsaný poskytovatel totiž podle návrhu může žádat o zápis nabídky.

Nadějné vyhlídky?

Stanovení pravidel pro využívání cloud computingu ze strany orgánů veřejné správy a jeho poskytování dodavateli ze soukromého sektoru je bezpochyby krok správným směrem. Je proto nešťastné, že realizace zatím tak zásadně vázne. Už od srpna nemohou OVS používat nové cloud computingy, pokud tyto nejsou zapsány v katalogu, přitom dotažení pravidel, které ZISVS předpokládá, je v nedohlednu. Výsledkem je prázdný katalog, připravované změny ZISVS, nejistota a faktická nemožnost využívání a nabízení nových cloud computingů.

Vývoj situace celou dobu sledujeme, k předpisům jsme zprostředkovávali připomínky a plánujeme využít každé příležitosti, která se k zapojení do procesu dotváření úpravy cloud computingu ve veřejné správě naskytne. Je naším cílem mít čerstvé informace o situaci kolem katalogu cloud computingu a související právní úpravy. Doufáme, že se nám tak podaří přispět k vyjasnění pravidel a nastartování vhodného systému pro zadavatele i poskytovatele cloud computingu. Aktuální přehled v postupech je totiž pro každý subjekt využívající či poskytující cloud computing ve veřejné správě klíčový.

JUDr. Josef Donát, LL.M. Josef Donát je vedoucím specializace Právo ICT advokátní kanceláře ROWAN LEGAL a zapsaným mediátorem. Ve své praxi se dlouhodobě věnuje rozsáhlým projektům v oblasti outsourcingu IT, cloud computingu, elektronického dokazování, kybernetické bezpečnosti, ochrany osobních údajů a dodávek informačních systémů. Jako ředitel Národního centra pro digitální ekonomiku se zároveň aktivně podílí na právní úpravě jednotného digitálního trhu, zejména ve vztahu k e-commerce, službám informační společnosti či elektronické kontraktaci.

Mgr. et Mgr. Ing. Jan Tomíšek Jan Tomíšek působí jako advokát v advokátní kanceláři ROWAN LEGAL. Poskytuje právní poradenství zejména v oblastech softwarového práva, cloud computingu, ochrany osobních údajů, kybernetické bezpečnosti a elektronických transakcí. Zaměřuje se také na komerční aplikace nejmodernějších technologií, jako je blokchain a umělá inteligence.