Zápis do katalogu cloud computingu

V  Brně, 11. 11. 2022

Autor: Mgr. Jiří Císek, advokát
Spoluautor: Mgr. Jan Přívora, advokátní koncipient

Autor i spoluautor působí v Cisek, advokátní kancelář s.r.o.

Úvod

Pro státní orgány a orgány územních samosprávných celků (dále jako „orgány veřejné správy”) se
v souvislosti s tzv. DEPO novelou1 od 1. 9. 2021 změnily podmínky využívání služeb cloud computingu. To
se pak dotýká všech poskytovatelů služeb cloud computingu, kteří své služby poskytují orgánům veřejné
správy (nebo se jim je chystají poskytovat).

Orgány veřejné správy smí využívat pouze služby cloud computingu z katalogu cloud computingu
Ministerstva vnitra. Jednou z nových povinností je využívat pouze služby cloud computingu zapsané
v katalogu cloud computingu vedeném Ministerstvem vnitraDEPO novela a s ní související prováděcí
předpisy zpřesňují podmínky zápisu do tohoto katalogu a zároveň upravují dřívější přechodná časová
ustanovení (mimo jiné). Pro některé služby cloud computingu skončí přechodná lhůta, ve které nemusely
respektovat podmínky ZoISVS2 už letos. Pro zápis do katalogu je přitom nutné splnit relativně přísná
bezpečnostní kritéria.

Cílem tohoto článku je popsat kroky zápisu poskytovatele a jeho služeb do katalogu cloud computingu.
Článek poskytuje základní vodítka právním odborníkům, ale i případným poskytovatelům služeb cloud
computingu pro zápis do katalogu cloud computingu. Ačkoliv nevěřím (a ani si nekladu za cíl), že článek
zodpoví veškeré otázky zástupců žadatelů a samotných žadatelů o zápis, věřím, že jim pomůže rychle se
zorientovat v problematice.

Poskytovatel cloud computingu

Poskytovatelem služby cloud computingu není jen koncový dodavatel technologie (jakým je například
Microsoft, Amazon nebo Google). Je jím každý subjekt, který orgánu veřejné správy poskytuje službu,
založenou na technologii cloud computingu.3 V katalogu by měl být zapsán celý řetězec poskytovatelů od
smluvního partnera orgánu veřejné správy, až po koncového poskytovatele podpůrného cloudu.

Poskytovatelem služby cloud computingu je každá osoba, která prodává orgánu veřejné správy
službu cloud computingu, i prostředník.

V modelovém případu může situace vypadat následovně:

Poskytovatel základní cloudové Poskytovatel cloudového řešení,

služby (MS Azure, AWS, Google vystavěného na základní cloudové Orgán veřejné správy
Cloud) službě

Podle nové právní úpravy by v katalogu cloud computingu měli být zapsáni jak osoba poskytovatele
základní cloudové služby, tak osoba poskytovatele cloudového řešení na ní vystavěného.

1
Zákon č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci.
2
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění účinném od
1. 9. 2021 (dále jako „ZoISVS”).
3
§ 6t odst. 5 písm. b) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve
znění účinném od 1. 9. 2021 (dále jako „ZoISVS”)ZoISVS předpokládá existenci jiného cloud computingu, na kterém je nabídka
závislá. Stejně tak § 6t odst. 7 písm. a) ZoISVS.

1
Přechodné časové výjimky z působnosti novely

Cloud computing nasmlouvaný před 1. 9. 2021 anebo takový, který orgán veřejné správy před 1. 9. 2021
začal využívat, může orgán veřejné správy využívat i bez splnění podmínek DEPO ZoISVS novely až do
31. 12. 2023. Stejně tak smí do 31. 12. 2023 využívat cloud computing zapsaný do katalogu cloud
computingu podle starých pravidel, před DEPO novelou. Cloud computing, s jehož využíváním začal
orgán veřejné správy mezi 1. 9. 2021 a 31. 1. 2022 smí bez splnění podmínek DEPO novelyZoISVS využívat
jen do konce letošního roku.4

Pro historické služby cloud computingu platí přechodné výjimky do konce roku 2023, nové
kontrakty už ale musejí mít oporu v katalogu cloud computingu.

Přehled přechodných výjimek:

Cloud computing nasmlouvaný před 1. 9. 2021, nebo který Do 31. 12. 2023
orgán veřejné správy před 1. 9. 2021 začal využívat

Cloud computing zapsaný do katalogu cloud computingu Do 31. 12. 2023

podle pravidel účinných před 1. 9. 2021 (i kdyby řízení
skončilo po 1. 9. 2021)

Cloud computing, s jehož využíváním orgán veřejné správy Do 31. 12. 2022
začal mezi 1. 9. 2021 a 31. 1. 2022

Veškeré nově vyjednávané služby cloud computingu musejí být tudíž poskytovány zapsaným
poskytovatelem (s výjimkou poskytovatele státního cloud computingu) a musejí samy být v seznamu
nabídek cloud computingu v katalogu vedeném Ministerstvem vnitra (s výjimkami pro státního
poskytovatele cloud computingu a cloud computing v kritické úrovni bezpečnosti)..

Cíle nové regulace

Cílem regulace je podle důvodové zprávy k DEPO novele:5

 usnadnit zejména menším orgánům veřejné správy využívání cloud computingu a

 zajistit přehled Ministerstva vnitra o využití cloud computingu orgány veřejné správy.

Zatímco před účinností DEPO novely byla problematika využití cloud computingu orgány veřejné správy
regulována de facto pouze na úrovni ZKB6 a výlučně ve vztahu k tamtéž definovaným povinným osobám,
nově se rozšiřuje na všechny orgány veřejné správy. S tím souvisí i rozšíření dopadů ZKB na všechny
orgány veřejné moci. 7

4
Čl. LXXXI zákona č. 261/2021 Sb.
5
Strana 72 Důvodové zprávy k zákonu č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací
postupů orgánů veřejné moci.
6
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve
znění pozdějších předpisů (dále jako „ZKB”).
7
Za zmínku stojí, že ZKB pracuje s termínem orgán veřejné moci, na rozdíl od orgánu veřejné správy podle ZoISVS. V ust. § 4 odst.
5 stanovuje ZKB orgánům veřejné moci povinnost: „…před uzavřením smlouvy s poskytovatelem služeb cloud computingu zařadit
poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému podle
prováděcího právního předpisu a zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená
Úřadem a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud
computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase.” Povinnosti v oblasti cloud computingu
tedy dopadají podle ZKB a ZoISVS na různé subjekty a situace je dost nepřehledná. Více se k tomuto tématu věnuje Jakub
Klodwig v části 2.4 Příručky právní regulace cloudu (Klodwig, J. Příručka právní regulace cloudu. Brno: Nugis Finem Publishing,
2022, 108 s.).

2
Do budoucna bude rovněž zajímavé sledovat přicházející legislativní změny, zejména v souvislosti
s příchozí směrnicí NIS 28, jejímž cílem je rozšíření povinných osob v oblasti kybernetické bezpečnosti
mimo jiné o poskytovatele cloud computingu.9

Je jednoznačné, že cloud computing bude i mezi orgány veřejné správy převažujícím trendem v řešení jejich
informačních a komunikačních potřeb. I střední a menší obce dnes nechtějí investovat do nákupů a rozvoje
zastaralé infrastruktury a raději své systémy přenášejí do cloudu. 10 Cloud computing je z hlediska
pořizovacích nákladů levnější, ze své podstaty je škálovatelný a elastický a, alespoň v teorii, by měl být
bezpečnější.11 Přináší však s sebou nová rizika i pro bezpečnost státu, související například s mezinárodní
špionáží a akcemi zahraničních informačních služeb. Je proto jasné, že využívání cloud computingu ze
strany orgánů veřejné správy musí být pod jistou kontrolou.

Zápis do katalogu cloud computingu

Samotný zápis do katalogu cloud computingu probíhá ve dvou krocích:

1. Aby mohla být zapsána nabídka, je nutné nejdříve zapsat osobu poskytovatele cloud computingu. 12
2. Po zápisu poskytovatele je možné zapsat konkrétní řešení jako nabídku. 13

Zápis do katalogu cloud computingu je jednoduchý a probíhá ve dvou krocích. Zápis poskytovatele a
zápis nabídky.

K zápisu poskytovatele i nabídky se využívá formulářů z webových stránek Ministerstva vnitra a podávají
se výlučně elektronicky.14 Jednotlivé přílohy žádostí se dokládají ve formátu PDF/A. Formulář je poměrně
intuitivní a celý postup vyplnění žádosti je v něm krok po kroku vysvětlen.

Zápis poskytovatele

Poskytovatelem cloud computingu může být pouze osoba nebo jiné právní uspořádání, které jsou:

a) způsobilé zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu
veřejné správy,
b) bezúhonné v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného
systému elektronické identifikace,
c) způsobilé pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného
pořádku, bezpečnosti a dodržování práv třetích osob.

8
Jedná se o Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY o opatřeních k zajištění vysoké společné úrovně
kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148. Konečné znění směrnice nebylo ke dni přípravy tohoto
článku schváleno a momentálně se dokončuje.
9
Nonnemann, F., Červený, V., Vítek, D. Kybernetický bezpečnostní incident 3D: IT, právo a compliance. Praha: Wolters Kluwer ČR,
2022, s. 195.
10
Například v době psaní tohoto článku zajišťujeme přípravu smlouvy o poskytování platformy jako služby pro jednu takovou
obec (PaaS).
11
Více informací o cloud computingu například Přívora, J. Služby cloud computingu v ČR [online]. akcisek.cz. 6. 3. 2020 [cit.
2022-11-09]. Dostupné z: https://akcisek.cz/cs/blog/sluzby-cloud-computingu-v-cr
12
V § 6t ZoISVS se uvádí, že o zápisu nabídky do katalogu rozhoduje Ministerstvo vnitra na základě žádosti (a) poskytovatele
státního cloud computingu, nebo (b) poskytovatele cloud computingu zapsaného v katalogu cloud computingu. Z toho
vyplývá, že lze zapsat pouze nabídky poskytovatelů zapsaných do katalogu (s výjimkou poskytovatele státního cloud
computingu).
13
Podotýkám, že existence nabídky cloudové služby v katalogu cloud computingu ještě nepředstavuje závaznou nabídku
cloud computingu poskytovatele. Do katalogu se totiž nezapisuje cena jako podstatná náležitost smlouvy o poskytování služeb
cloud computingu. Jedná se pouze o osvědčení splnění zápisných podmínek, mimo jiné bezpečnosti nabízeného cloud
computingu v některé z úrovní bezpečnosti podle prováděcích předpisů.
14
Žádosti podané elektronicky na elektronickou podatelnu Ministerstva vnitra musejí být podepsány zaručeným elektronickým
podpisem nebo uznávaným elektronickým podpisem zástupce žadatele. Žadatelé, kteří mají zřízenou datovou schránku
podávají žádost na datovou schránku ministerstva označenou jako Katalog cloud computingu (Ministerstvo vnitra).

3
 Způsobilost zajistit základní
úroveň ochrany, důvěrnosti,
integrity a dostupnosti informací,
bezúhonnost a
Podání přihlášky způsobilost pro poskytnutí cloud
computingu orgánu veřejné
správy z hlediska veřejného
pořádku, bezpečnosti a
dodržování práv třetích osob.

Orgán Finanční správy České

republiky,
Zajištění orgán Celní správy České
republiky,
vyjádření orgán sociálního zabezpečení na
pojistném a na penále na sociální

příslušných
zabezpečení a příspěvku na státní
politiku zaměstnanosti,
zdravotní pojišťovny na pojistném
orgánů a na penále na veřejné zdravotní
pojištění a
NÚKIB.

Zápis O zápisu se
poskytovatele do nevydává
rozhodnutí, ale
katalogu cloud dává se žadateli na
computingu vědomí.

Výše uvedené informace se tuzemskými poskytovateli dokládají vlastním prohlášením žadatele

s uvedením svých referencí15 a výpisem z trestního rejstříku. Dále je v žádosti nutné uvést kontaktní osobu
poskytovatele pro účely komunikace s Ministerstvem vnitra. Zahraniční poskytovatelé to mají poněkud
složitější, protože musí navíc doložit informace o svých skutečných majitelích a oficiální doklady o tom, že
nemají nedoplatek vůči orgánům států, ve kterých mají své sídlo a ve kterých budou dlouhodobě uložené
informace orgánů veřejné správy16.

Na internetu se množí ne zcela přesné informace o lhůtách pro zápis poskytovatele do katalogu cloud
computingu. Některé články zmiňují například lhůtu 45 dnů ode dne podání přihlášky k Ministerstvu
vnitra. To je sice lhůta, ve které musí Ministerstvo vnitra o přihlášce rozhodnout, nicméně má možnost
řízení stavět až 3 měsíce za účelem získání vyjádření orgánů podle § 6r odst. 2, 4 a 5 ZoISVS a na další
3 měsíce řízení přerušit za účelem získání závazného stanoviska Národního úřadu pro kybernetickou
a informační bezpečnost.17 V důsledku tak celková lhůta pro vyřízení žádosti může trvat déle než 7 měsíců.

Ke dni zpracování tohoto článku bylo v katalogu poskytovatelů služeb cloud computingu zapsáno celkem
18 poskytovatelů a lze očekávat výrazný nárůst s blížícím se koncem přechodných období dle shora
uvedené tabulky. Případným poskytovatelům doporučujeme s podáním žádosti s ohledem na maximální
délku řízení neotálet. S přílivem nových žádostí a s přihlédnutím ke kapacitám NÚKIB a dalších
zainteresovaných subjektů lze spíše očekávat větší prodlevu s vyřizováním žádostí a prodlužování řízení.

Zápis nabídky

Až na velmi specifické výjimky je nutné do katalogu cloud computingu zapsat všechny služby, které
poskytovatel chce nabízet orgánům veřejné správy. 18

Před podáním žádosti o zápis nabídky je nutné rozmyslet si, o kterou bezpečnostní úroveň cloud
computingu hodlá poskytovatel žádat. Bezpečnostní úrovně jsou čtyři, přičemž 4. kritická (nejvyšší
úroveň) je vyhrazena pouze pro poskytovatele státního cloud computingu. Zbývající úrovně jsou 1. nízká,
2. střední a 3. vysoká.19 Orgán veřejné moci, který chce využívat cloud computing, musí stanovit sám pro
sebe požadovanou úroveň bezpečnosti v souladu s vyhláškou o bezpečnostních úrovních. K tomu je možné

15
Podle formuláře Ministerstva vnitra Žádost o zápis poskytovatele do katalogu cloud computingu, verze 3.0, se jedná o „doklad o
zkušenostech poskytovatele s poskytováním cloud computingu za posledních 5 let.” Zajímavé je, že tento doklad ani informace v něm
uvedené se nezveřejňují v katalogu a absence referencí není bez dalšího důvodem pro nezpůsobilost k zápisu poskytovatele.
16
Pravděpodobně se tím myslí informace, které bude orgán veřejné správy uchovávat v cloudové službě poskytovatele.
17
Srov. § 6r odst. 6 ZoISVS, § 149 odst. 3 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů a konečně § 6r odst.
1 ZoISVS.
18
Klodwig. Příručka právní regulace cloudu. s. 69.
19
Srov. přílohu č. 1 vyhlášky č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.

4
mimo jiné využít podpůrný materiál NÚKIB s názvem Průvodce zařazením poptávaného cloud
computingu do bezpečnostní úrovně20.

Ačkoliv je primárně povinností orgánu veřejné moci zařadit poptávaný cloud computing do určité
bezpečnostní úrovně, může si poskytovatel projít metodikou zařazení dobrovolně sám, zjistit do jaké
úrovně zřejmě bude zařazena jeho služba a podle toho zvolit příslušnou přihlášku nabídky (poskytovatel si
ověří, do jaké bezpečnostní úrovně jeho službu zařadí orgán veřejné správy a podle toho zvolí úroveň
žádosti). Různé úrovně pak kladou různé požadavky na službu a přílohy žádosti.

Pro praxi je dobré, že Ministerstvo vnitra ve spolupráci s NÚKIB zveřejnilo formuláře přihlášky do každé
z bezpečnostních úrovní, které obsahují seznam všech povinných příloh i s vysvětlivkami. Základní
zákonem stanovené požadavky21 jsou:

a) cloud computing umožňuje splnění požadavků kladených na informační systém veřejné správy
informační koncepcí České republiky,
b) cloud computing umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a
dostupnosti informací orgánu veřejné správy,
c) cloud computing umožňuje orgánu veřejné správy postupovat podle bezpečnostních pravidel pro
orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího
kybernetickou bezpečnost,
d) bezpečnostní úroveň cloud computingu je stejná nebo vyšší než bezpečnostní úroveň informačního
systému veřejné správy nebo jeho části, k jehož zajištění provozu je využíván,
e) v případě, že je poskytování cloud computingu závislé na jiném cloud computingu, je poskytovaný
s využitím cloud computingu splňujícího požadavky podle písmen b) až d) a poskytovaného
poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným
v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu
poskytovaného podle § 6l odst. 1 písm. c) (pozn. autora: v rámci obecné výjimky z povinnosti zadat
veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných
zakázek) a
f) u něhož v případě, že je jeho poskytování závislé na více poskytovatelích cloud computingu, je
každý poskytovatel cloud computingu poskytovatelem státního cloud computingu nebo
poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před
středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c)
(pozn. autora: v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení
podle právního předpisu upravujícího zadávání veřejných zakázek).

Rozepsání všech podkladů k doložení způsobilosti nabídky být zapsané do katalogu cloud computingu
přesahuje možnosti tohoto článku. Jedná se o oblasti týkající se místa zpracování a uložení dat, podmínek
zpřístupnění a předání dat, oprávnění k provedení kontroly, úrovně dostupnosti služeb, připojení do
peeringového uzlu, zajištění poskytování služby cloud computingu, nakládaní s daty, certifikace služby,
kybernetických bezpečnostních událostí a incidentů a testování služby.

Mezi důležité podklady patří zejména:

 seznamy států relevantních pro oblast zpracování a uložení dat,

 platné certifikáty vydané subjektem nezávislým na poskytovateli a auditní zprávy,
 podmínky poskytování služby a návrh smlouvy,
 produktová a technická specifikace, a
 zpráva z provedení penetračního testování.

20
Národní úřad pro kybernetickou a informační bezpečnost. PRŮVODCE ZAŘAZENÍM POPTÁVANÉHO CLOUD
COMPUTINGU DO BEZPEČNOSTNÍ ÚROVNĚ. Brno, 2021. Dostupné z: https://www.nukib.cz/cs/kyberneticka-
bezpecnost/regulace-a-kontrola/podpurne-materialy/
21
§ 6n ZoISVS.

5
Absence některého z podkladů automaticky ještě neznamená, že poskytovatel není oprávněn svoji nabídku
do katalogu zapsat. V mnoha případech je dáno poskytovateli na výběr z několika alternativ, kterou
k nabídce může připojit. Pokud poskytovateli chybí některý z obligatorních podkladů, může se rozhodnout
požádat o zápis do nižší bezpečnostní úrovně, pro kterou daný podklad není potřeba. Jediným omezením
v takovém případě bude nemožnost poskytovat služby orgánům veřejné správy, které zařadily svoji
poptávku do vyšší úrovně, než pro kterou je nabídka zapsána.

Pro poskytovatele zaměřující se primárně na zahraniční trh může být rovněž důležité, že Ministerstvo
vnitra vyžaduje podklady v českém jazyce. Máte-li například podmínky poskytování služby v angličtině,
neobejdete se bez českého překladu. Dle našich zkušeností je však Ministerstvo vnitra poměrně vstřícné
a postačí přeložit jen relevantní části textu podkladů (kupříkladu ujednání podmínek, na které je v žádosti
odkazováno). V každém případě je ale nezbytné posuzovat každý případ individuálně a může se stát, že se
neobejdete bez kompletního překladu a v souvislosti se zápisem dojde k navýšení nákladů.22

Běžně také může nastat situace, že žadatel nesplňuje požadavky pro zápis do bezpečnostní úrovně,
o kterou požádal (zejména po výzvě k doplnění podkladů). Ministerstvo vnitra však nemůže nabídku,
o jejíž zápis poskytovatel usiluje, libovolně přeřadit do jiné (nižší) bezpečnostní úrovně. V této „patové”
situaci tak nezbude žadateli žádost stáhnout a celým procesem projít znovu už pro vhodnou bezpečnostní
úroveň. Vyžadované podklady proto důsledně shromážděte již v rámci příprav celého procesu a žádost
dodejte, pokud možno, kompletní nebo alespoň s vědomím toho, že budete s to jakékoli podklady na výzvu
doplnit.

O zápisu nabídky musí Ministerstvo vnitra rozhodnout do 30 dnů s tím, že pro bezpečnostní úroveň
střední a vysokou si zároveň Ministerstvo vnitra musí vyžádat závazné stanovisko NÚKIB, k jehož vydání
má NÚKIB až 30 dnů. Řízení bude tedy celkem trvat až dva měsíce.

Dobrovolný zápis

Zajímavé je, že do katalogu cloud computingu se mohou dobrovolně zapsat také poskytovatelé a služby,
které zatím nejsou nabízené orgánům veřejné moci (a třeba ani nikdy nebudou). Zápis osvědčuje splnění
legislativních podmínek pro konkrétní bezpečnostní úroveň cloud computingu a může sloužit jako
významná konkurenční výhoda při dodávkách řešení soukromým subjektům a orgánům veřejné moci,
které nemají povinnost řešení vybírat z katalogu cloud computingu.

Ne jednou jsme s klienty advokátní kanceláře řešili, že během obchodních jednání s velkými korporacemi
stále dokola osvědčují bezpečnost svých služeb, a to například formou dokládání auditních zprávcertifikátů
o splnění norem z rodiny ISO 27000 apod. Vzhledem k tomu, že splnění norem se dokládá u vyšších úrovní
bezpečnosti cloudových služeb, mohlo by „razítko” Ministerstva vnitra, respektive NÚKIB, a zápis
v katalogu cloud computingu představovat jednoduchý způsob jak zákazníkům poskytovatelů dokládat
bezpečnost svého řešení bez nutnosti předkládat bezpečnostní dokumentaci.

I samotné Ministerstvo vnitra doporučuje všem orgánům veřejné moci, i těm, na které by v konkrétním
případě povinnost vybírat z katalogu cloud computingu nedopadala, aby si vybíraly řešení z katalogu.23

Závěr

Nová právní úprava cloud computingu je založena na dobrých úmyslech a cílech. Měla by usnadnit
orgánům veřejné moci nalézt bezpečný cloud computing—po provedení zařazení poptávaného cloud
computingu do bezpečnostní úrovně by orgán měl nahlédnout do katalogu cloud computingu a jednoduše
22
Vycházíme z naší interní komunikace s Ministerstvem vnitra. Ministerstvo je oprávněno požadovat veškeré podklady
v českém jazyce a doporučujeme se minimálně připravit na to, že větší část dokumentů bude muset být přeložena.
23
„Správci, na jejichž ISVS se ZoISVS nevztahuje, mohou využívat služby zapsané v katalogu CC dobrovolně. Výhodou v tomto případě
je, že poskytovatelé a služby zapsané v katalogu CC jsou prověřené, tzn. že vyhovují základním bezpečnostním požadavkům na
zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací.” Ministerstvo vnitra České republiky. Metodický návod na
využívání cloud computingu ve veřejné správě. Verze 1.0. Praha, 2022. Dostupné z: https://www.mvcr.cz/clanek/metodiky-
navody-formulare.aspx.

6
z něj vybrat potenciální systémy s předem zapsanou úrovní. Zejména menší orgány veřejné moci tak
nebudou muset prověřovat dodavatele a jejich systémy (zejména prověření bezpečnosti systémů je finančně
i časově velmi náročná disciplína). Úprava zároveň nutí poskytovatele zajistit alespoň základní úrovně
ochrany důvěrnosti, integrity a dostupnosti informací, protože jinak by byli vyloučeni z možnosti
poskytovat své služby orgánům veřejné moci.

Negativně hodnotím dvojkolejnou úpravu v ZKB a ZoISVS s různými definicemi povinných osob
a různými povinnostmi podle uvedených zákonů. Zároveň hodnotím negativně nepřipravenost všech
prováděcích předpisů. Postupně sice dochází k vydávání prováděcích předpisů, se kterými novela DEPO
počítá, nicméně ke dni přípravy tohoto článku stále chybí například vyhláška, kterou se stanoví obsah
a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud
computingu, jak předpokládá ustanovení § 6 písm. e) ZKB. 24 V minulosti (i přes již účinná nová pravidla)
také absentovaly ostatní tzv. cloudové vyhlášky, kterými se řídí bezpečnostní úrovně a některé požadavky
pro zápis poskytovatele a nabídky do katalogu cloud computingu.

V neposlední řadě lze zmínit obecně nízkou úroveň osvěty a informovanosti subjektů regulace. Jako
advokát se nyní v praxi potýkám se spoustou otázek klientů, na které zatím neexistují, když už ne
osvědčené, tak alespoň praktické odpovědi.

24
O tomto nedostatku hovoří také NONNEMANN, F., ČERVENÝ, V., VÍTEK, D. Kybernetický bezpečnostní incident 3D: IT, právo
a compliance. Praha: Wolters Kluwer ČR, 2022, s. 189.Nonnemann, Červený, Vítek. Kybernetický bezpečnostní incident 3D: IT, právo
a compliance. s. 189.