Stanovisko k vyhlášce o vstupních kritériích pro poskytování cloudových služeb orgánům veřejné správy

Stanovisko SPČR k materiálu „Návrh vyhlášky o požadavcích na základní úroveň důvěrnosti, integrity a dostupnosti pro posuzování poskytovatele cloud computingu a služeb cloud computingu využívaných orgány veřejné správy a na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací (vyhláška o vstupních kritériích)“

 

Cíle a kontext dokumentu

  1. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vložil do připomínkového řízení návrh vyhlášky o vstupních kritériích.
  2. Návrh vyhlášky o vstupních kritériích usiluje o vytvoření přehledného a jednoduchého rámce pro vstup poskytovatelů cloud computingových služeb do nově zřizovaného katalogu cloud computingových služeb, odkud následně bude umožněno orgánům veřejné správy pořizování těchto služeb, a tím bude zajištěno zefektivnění provozu orgánů veřejné správy při výkonu jejich působnosti.

Stanovisko Svazu průmyslu

Svaz průmyslu a dopravy dlouhodobě spolupracuje s NÚKIB i Ministerstvem vnitra, aby byl vytvořen opravdu funkční systém pro poskytování cloudových služeb orgánům veřejné správy. Požadavky kladené na dodavatele a regulované subjekty musí dle vládou schválené zprávy eGC SAZ z r. 2018 kromě zvýšení úrovně zabezpečení také zjednodušit a urychlit zavádění cloud computingu. Současný návrh vyhlášky jde opačným směrem, ať v rozsahu administrativy, ve schopnosti poskytovatelů naplnit tyto požadavky a v řadě případů jde i za hranici ekonomické únosnosti. Nemalé náklady spojené s naplněním požadavků, zejména u lokálních poskytovatelů, budou v plné výši přeneseny na koncové uživatele, pokud je bude možné vůbec ze strany dodavatelů realizovat (viz obecná připomínka č. 3).
Jedná se o společné stanovisko Svazu průmyslu a dopravy ČR, ICT Unie a Hospodářské komory ČR.

 Vybrané připomínky Svazu průmyslu

  • V obecné rovině je nutné zajistit, aby česká legislativa byla v souladu s připravovaným evropským certifikačním schématem cloud computingu, publikovaným evropskou agenturou ENISA (tzv. EUCS).
  • Navrhujeme z definice "zákaznických dat" v § 2 bodě g) vypustit dovětek "a provozní údaje obsahující taková data".
  • Navrhujeme § 4 bod (2) upravit tak, že v rámci jednoho podání a jedné přílohy s deklaracemi lze spojit takovou množinu cloudových služeb, které jsou spravovány v rámci stejné bezpečnostní politiky a jsou uvedeny v rámci jedné certifikace ISO 27001.
  • Navrhujeme vypustit z povinných deklarací pro jednotlivé služby oblast "provozních údajů" a ponechat pouze deklarace týkající se zpracování "zákaznických dat" mimo EU/EHS.
  • Navrhujeme v §7 vypustit požadavek na předání plné auditní zprávy k certifikacím ISO 22301 nebo ISO 20000, zařadit možnost certifikace nebo atestace podle CSA STAR Level 2, a poskytnout možnost využít jiné auditní zprávy včetně SOC 2 Type II a upravit znění §7.
  • Další naše návrhy se týkají konkrétních změn v jednotlivých kritériích.

Celé stanovisko zde.

kategorie Stanoviska SP ČR
zpět