Stanovisko SPČR k materiálu „Návrh vyhlášky o bezpečnostních pravidlech pro využívání služeb cloud computingu orgány veřejné moci“

Cíle a kontext dokumentu:

1. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vložil do připomínkového řízení návrh vyhlášky o bezpečnostních pravidlech pro využívání služeb cloud computingu orgány veřejné moci.
2. Návrh vyhlášky o vstupních kritériích usiluje o vytvoření přehledného a jednoduchého seznamu bezpečnostních pravidel pro poskytování služeb cloud computingu.

Stanovisko Svazu průmyslu

Svaz průmyslu jednoznačně podporuje, že při využívání cloudových služeb je nezbytné zajistit důvěrnost, integritu a dostupnost dat. Oceňujeme, že již během projednávání předchozích cloudových vyhlášek se nám v této oblasti podařilo s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) dosáhnout konsensu.

Bohužel se obáváme, že podoba, v jaké byl tento návrh vyhlášky předložen do mezirezortního připomínkového řízení, bude zdrojem extrémní administrativní zátěže nejen pro orgány veřejné moci (dále jen OVM), ale i pro soukromý sektor. Hrozí tak značné zpomalení zavádění pokročilých služeb veřejné správy, které by mohlo mít negativní dopady i na konkurenceschopnost České republiky v mezinárodním srovnání (např. v rámci indexu DESI, který dlouhodobě upozorňuje na to, že zavádění digitálních veřejných služeb je v ČR pomalé). To potvrzuje i zpráva NKÚ o digitalizaci, která zdůrazňuje, že digitalizace se zatím nedostatečně projevuje ve zvýšení účinnosti procesů a efektivitě veřejné správy a je jedním z důležitých nástrojů zlepšení fungování státu.

Shrnutí připomínek Svazu průmyslu:

Samotný seznam bezpečnostních pravidel je značně přísnější, než jak je požadováno na základě vyhlášky o kybernetické bezpečnosti (dále jen VKB) pro on-premise řešení i přesto, že kybernetické hrozby jsou v zásadě stejné pro cloud i pro on-premise řešení. Pro využití cloud computingu se uvedeným množstvím detailních kontrolních bodů v podobě pravidel pro OVM popírá smysl průmyslové certifikace rodiny ISO 27000, jejíž plnění je standardně kontrolováno nezávislými auditory.

Očekávali jsme, že v souladu se zmocněním v zákoně o kybernetické bezpečnosti (dále jen ZKB) v § 6, bod e), bude tato vyhláška obsahovat primárně požadavky na OVM, tzn. jakým způsobem mají v jednotlivých bezpečnostních úrovních konfigurovat a využívat cloudové služby, které již prošly zápisem do Katalogu cloud computingu dle pravidel v ZoISVS a především pak vyhlášce č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu (CV1). Vycházíme z předpokladu, že veřejná správa smí dle ZoISVS § 6l využívat pouze cloudové služby, které již byly ověřeny dle ex-ante kontrol v CV1, které byly certifikovány a které jsou kontinuálně dokládány jako stále certifikované dle ISO 27000 od příslušných akreditovaných autorit (pro BÚ2 a vyšší). Není nám proto jasný důvod, proč by OVM měly znovu ověřovat detaily opatření, které již byly prověřeny dle CV1 a v rámci mezinárodně certifikovaných standardů ISO (podrobněji viz níže).

Rovněž normativy v oblasti rizik uložení a zpracování zákaznických dat mimo EU by měl být v souladu se stávající evropskou standardizací, zejména se standardem BSI C5, a neměly by jít nad tuto úroveň.

Žádost o prodloužení lhůty konzultace

Vzhledem k velkému množství detailních požadavků, které jsou ve vyhlášce obsaženy, zároveň navrhujeme prodloužit délku připomínkového řízení alespoň o jeden měsíc, aby se všechny dotčené subjekty mohly řádně seznámit se všemi navrhovanými požadavky a mít dostatečný prostor k podání případných připomínek.

Celé stanovisko je k dispozici zde.