Bezpečnostní opatření pro smluvní vztahy v rámci kybernetické bezpečnosti
Orgány a osoby uvedené v § 2 zákona o kybernetické bezpečnosti[1], např. poskytovatelé služby elektronických komunikací a subjekty zajišťující síť elektronických komunikací, správci a provozovatelé informačního nebo komunikačního systému kritické informační infrastruktury (dále jen „povinné osoby“), jsou povinny v oblasti kybernetické bezpečnosti plnit celou řadu povinností uložených jim jak samotným zákonem, tak vyhláškou o kybernetické bezpečnosti[2].
To platí i pro významné dodavatele povinných osob, tj. provozovatele informačního nebo komunikačního systému a subjekty, které s povinnou osobou vstupují do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému. Povinné osoby musí mimo jiné i zajistit, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní oblasti uvedené v příloze č. 7 k vyhlášce o kybernetické bezpečnosti. Požadavky zákona a vyhlášky o kybernetické bezpečnosti však mohou působit potíže těm osobám, které zároveň podléhají zákonu o zadávání veřejných zakázek (dále jen “ZZVZ“)[3].
Kontrolu dodržování povinností zákona a vyhlášky o kybernetické bezpečnosti vykonává Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) v rámci důkladných auditů. Vzhledem k tomu, že i významní dodavatelé povinných osob musejí být nahlášeni a evidováni u NÚKIB mohou být rovněž podrobeni kontrole plnění povinností v oblasti kybernetické bezpečnosti.
Mezi nejdůležitější a ze strany NÚKIB nejvíce kontrolovaná ustanovení smluv s významnými dodavateli pak zejména patří ustanovení o bezpečnosti informací, oprávnění užívat data, řízení dodavatelů, řízení kontinuity činností a havarijního plánování a povinnosti dodavatele informovat povinnou osobu o kybernetických bezpečnostních incidentech, způsobu jakým dodavatel řídí rizika a o zbytkových rizicích souvisejících s plněním smlouvy, která budou zbývat i po přijetí bezpečnostního opatření, a významné změně ovládání dodavatele nebo změně vlastnictví zásadních aktiv, popř. změně oprávnění nakládat s aktivy využívanými dodavatelem k plnění smlouvy s povinnou osobou.
Příloha č. 7 k vyhlášce o kybernetické bezpečnosti však rovněž vyžaduje, aby smlouvy s významnými dodavateli rovněž obsahovaly ustanovení o právu povinné osoby jednostranně odstoupit od smlouvy v případě významné změny kontroly[4] nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění smlouvy s povinnou osobou a o sankcích za porušení smluvních povinností, které by měly být úměrné k ceně poskytované služby i dopadu případného porušení smluvních povinností na povinnou osobu. A právě poslední dvě zmíněná ustanovení však mohou řadě povinných osob působit potíže, pokud podléhají i požadavkům stanoveným ZZVZ.
Pokud jde o nově zadávané veřejné zakázky, měl by zadavatel veřejné zakázky jako povinná osoba pamatovat na své povinnosti v rámci kybernetické bezpečnosti a obsahové náležitosti smluv podle zákona a vyhlášky o kybernetické bezpečnosti zapracovat již do zadávací dokumentace k veřejné zakázce.
Pokud jde o již uzavřené smlouvy, které byly vysoutěženy dle ZZVZ (v některých z tam uvedených zadávacích řízeních), příp. dle předchozí zadávací právní úpravy a které neobsahují výše uvedená pravidla, je nutno zvážit, zda je s ohledem na právní úpravu veřejného zadávání možné uzavřít dodatek k takovým smlouvám, kterým by byly splněny požadavky na obsahové náležitosti smluv podle zákona a vyhlášky o kybernetické bezpečnosti.
Ustanovení § 222 ZZVZ, které se použije i pro změny závazků ze smlouvy uzavřené podle zákona č. 137/2006 Sb. (viz § 273 odst. 6 ZZVZ), totiž obecně zapovídá podstatnou změnu závazku ze smlouvy. Pokud tedy v posuzovaných případech nebude možné podřadit daný postup pod změny dovolené podle § 222 ZZVZ, příp. nebude možné aplikovat některou z výjimek umožňujících zadavateli nezadat veřejnou zakázku v zadávacím řízení podle ZZVZ (viz § 29 až 31 ZZVZ), pak pravděpodobně zadavateli nezbyde jiná možnost, než smlouvu ukončit a plnění opětovně zadat v zadávacím řízení podle ZZVZ, aby mohl splnit všechny požadavky na něj kladené zákonem a vyhláškou o kybernetické bezpečnosti.
Lze tak jen doporučit, aby povinné osoby, které zároveň podléhají režimu ZZVZ, pamatovaly na povinnosti v rámci kybernetické bezpečnosti již při samotném vytváření smluvní dokumentace, a stávající smluvní dokumentaci se snažily upravit dodatky tak, aby odpovídala požadavkům zákona o kybernetické bezpečnosti.
Mgr. Ing. Tomáš Jelínek,
advokát
Mgr. Petra Kratochvílová,
advokátka
[1] Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
[2] Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
[3] Zákon č. 134/2016 Sb., o zadávání veřejných zakázek
[4] Kontrolou se zde rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, či ekvivalentní postavení
