Varování Národního úřadu pro kybernetickou a informační bezpečnost před produkty společností Huawei a ZTE v rozhodovací praxi Úřadu pro ochranu hospodářské soutěže

Zatímco například USA a některé další státy přijaly poměrně striktní systémová opatření a omezení v návaznosti na tuto kauzu, v České republice žádná podobná systémová opatření nenastala. Jedinou oficiální reakci tak učinil Národní úřad pro kybernetickou a informační bezpečnost („NÚKIB“), když na konci roku 2018 vydal „Varování č. j. 3012/2018-NÚKIB-E/110“ a rovněž „Metodiku k varování ze dne 17. prosince 2018“, ve kterých označil používání softwaru i hardwaru společností Huawei Technologies Co., Ltd., a také ZTE Corporation, včetně jejích dceřiných společností, za bezpečnostní hrozbu.
 

V této souvislosti je nutné upozornit na skutečnost, že jak Varování NÚKIB, tak na něj navazující Metodika mají spíše doporučující charakter. Zmíněné dokumenty stanoví, že správci systémů, které spadají do tzv. kritické informační infrastruktury[1], významných informačních systémů[2] nebo provozovatelů základních služeb[3], se popsanými hrozbami musí zabývat a musí přijmout adekvátní opatření[4].

Kauza nyní ukázala svůj přesah i do práva veřejných zakázek, a to konkrétně prostřednictvím rozhodnutí Úřadu pro ochranu hospodářské soutěže („Úřad“) č.j. ÚOHS-S0358/2019/VZ-01269/2020/512/KMo[5], ve kterém Úřad rozhodoval spor mezi společností Huawei a zadavatelem veřejné zakázky Metropolnet, a.s. („zadavatel“), který s odvoláním na Varování NÚKIB nastavil zadávací podmínky v zadávacím řízení na veřejnou zakázku s názvem „Obnova páteřní a přístupové infrastruktury“ („veřejná zakázka“) takovým způsobem, že z účasti na ní vyloučil dodavatele nabízející technické programové prostředky společností Huawei Technologies Co., Ltd., Šen-Čen, Čínská lidová republika („Huawei“) a ZTE Corporation, Šen-Čen, Čínská lidová republika („ZTE“), a to včetně jejích dceřiných společností. Zadavatel ve svém vyjádření uvedl, že na podkladě Varování NÚKIB aktualizoval svou analýzu rizik, přičemž rizika, jež představují technické programové prostředky výše zmíněných společností, vyhodnotil jako kritická a neviděl tak jiné řešení než úplné vyloučení rizikových prostředků.

Úřad posuzoval soulad této zadávací podmínky se zásadou diskriminace a vliv takové zadávací podmínky na hospodářskou soutěž. Pro zajištění patřičné odbornosti takového posouzení si Úřad vyžádal rovněž odborné stanovisko NÚKIB, zda je předmětná analýza rizik provedená zadavatelem z formálního i obsahového hlediska v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů („ZKB“) a vyhláškou č. 82/2018 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů („VKB“). Odborné stanovisko NÚKIB tvořilo de facto výhradní podklad pro rozhodnutí Úřadu – sám v rozhodnutí poznamenal, že z hlediska posouzení, zda zadavatel stanovil spornou podmínku v souladu se zákonem, je stanovisko NÚKIB rozhodné.

V odborném stanovisku NÚKIB předně uvedl, že zadavatel není povinnou osobou podle § 3 ZKB, současně ovšem připustil, že zadavatel mohl ve svých strukturách aplikovat ustanovení ZKB i VKB dobrovolně. Postup zadavatele při hodnocení rizik a při navazujícím výběru bezpečnostních opatření však označil za „nedostatečně zdokumentovaný a obecně (pro nezainteresovanou osobu) neopakovatelný a zmatečný“, s tím, že výběr bezpečnostního opatření se nezakládal na hodnocení rizik provedených zcela v souladu s požadavky ZKB a VKB.

Úřad vyhodnotil, že výše popsaná zadávací podmínka je v rozporu s § 36 odst. 1 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů („ZZVZ“), stejně jako se zásadou rovného zacházení a zásadou zákazu diskriminace zakotvenými v § 6 ZZVZ, jelikož zadavatel postupoval v rozporu se ZKB a VKB a neměl žádný relevantní důvod pro vyloučení technických programových prostředků společností Huawei a ZTE.

Zadavatel tak podle Úřadu neunesl důkazní břemeno, které mu ukládalo prokázat, že disponuje odůvodnitelnými oprávněnými potřebami pro omezení hospodářské soutěže – Úřad tak zadávací řízení zrušil a zadavateli uložil zákaz uzavřít smlouvu.

Na podkladě tohoto rozhodnutí vydal dne 1. 3. 2020 NÚKIB podpůrný materiál „Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení“[6]. Ve svém odborném stanovisku podávaném v rámci výše popsaného správního řízení totiž naznačil, že postup zadavatele je třeba odmítnout především z důvodu, že ona konkrétní analýza rizik nebyla zadavatelem provedena řádně a podle ZKB, resp. zejména VKB.

Kdyby se ovšem zadavatel vyvaroval podstatných chyb, kterých se při jejím provádění dopustil, NÚKIB nevyloučil, že by byl výsledek hodnocení rizik shodný a jako jediné akceptovatelné bezpečnostní opatření pro snížení identifikovaných rizik by tak bylo přijato právě opatření v podobě vyloučení technických programových prostředků společností Huawei a ZTE. Tento podpůrný materiál je samozřejmě rovněž pouze na úrovni doporučení, má ovšem zadavatelům poskytovat podrobnější návod, jak nastavit zadávací podmínky veřejných zakázek v oblasti kritické informační infrastruktury, významných informačních systémů nebo provozovatelů základních služeb tak, aby byly v souladu se ZZVZ a dalšími právními předpisy.

Závěr

Výše citované rozhodnutí Úřadu je prvním pravomocným rozhodnutím ve věci související s kauzou bezpečnostních rizik spojených s produkty společností Huawei a ZTE, před kterými na konci roku 2018 varoval NÚKIB.

Ačkoliv Úřad v tomto konkrétním případě, i na základě odborného vyjádření NÚKIB, dovodil porušení ZZVZ ze strany zadavatele, když zadavatel produkty těchto společností vyloučil z možnosti použití při plnění veřejné zakázky, aniž by k tomu byly podle ÚOHS (i NÚKIB) dány relevantní důvody z pohledu ZKB a VKB, podstatným sdělením je, že NÚKIB ve svém odborném vyjádření, a potažmo i Úřad ve svém rozhodnutí (byť ne přímo), připustil, že v krajním případě, na základě řádně provedené analýzy rizik, může být jako jediné akceptovatelné bezpečnostní opatření pro snížení identifikovaných rizik vyloučení technických programových prostředků společností Huawei a ZTE.

Zadavatelé, kteří se při zadávání veřejných zakázek mohou dotknout problematiky kybernetické bezpečnosti by tak měli věnovat tomuto aktualizovanému podpůrnému materiálu NUKIB patřičnou pozornost a postupovat v souladu s ním, aby se vyhnuli případným sankcím ze strany Úřadu.

Mgr. Lukáš Pruška,
advokát

LAWYA, advokátní kancelář s.r.o.

Sídlo:
Tučapy 240
683 01, Tučapy

Kontaktní adresa:
Březinova 746/29
616 00, Brno

tel.:    +420 543 216 310
e-mail: info@lawya.cz