Varování (§ 12 ZKB)

Varování je prvním z opatření v užším slova smyslu, které ZKB upravuje v §§ 11 - 15.

Zákon zmíněná opatření souhrnně definuje jako „úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu.” ⁹³⁷ Narozdíl od bezpečnostních opatření reagují opatření v užším slova smyslu již na konkrétní kybernetickou bezpečnostní hrozbu či přímo na bezpečnostní incident. Užití termínu „opatření” u preventivně míněných bezpečnostních opatření v §§ 4 a 5 ZKB, a poté opětovně zde, se proto může zdát mírně matoucí. Opatření vyjmenovaná v § 11 odst. 2 ZKB si tak u části akademické obce vysloužila přezdívku „protiopatření”, která dobře vystihuje jejich ⁹³⁸ charakter a vymezuje je od bezpečnostních opatření popsaných shora.

Právní formou se varování řadí mezi tzv. jiné úkony podle části čtvrté správního řádu.

Varování má podpůrnou formu, jejíž právní účinky lze považovat za méně zásadní než v případě ochranného a reaktivního opatření, která nabývají forem opatření obecné povahy, případně i rozhodnutí (jde-li o reaktivní opatření). Klodwig považuje varování za sdělení podle části čtvrté správního řádu. Podle mého názoru však varování odpovídá spíše zbytkové kategorii jiných ⁹³⁹ úkonů ve smyslu části čtvrté správního řádu, než výslovně sdělení. Varování podle ZKB je natolik specifickým institutem, že se obvyklým sdělením správního orgánu, jež mají veskrze informativní charakter, vymyká. Vzhledem k § 158 odst. 1 správního řádu se bude na varování, které je jiným úkonem, ovšem také vztahovat část čtvrtá správního řádu.

S ohledem na právní formu jiného úkonu podle části čtvrté správního řádu nelze varování napadnout samostatnou správní žalobou, ledaže by ve skutečnosti materiálně šlo o správní rozhodnutí. Individuální ochranou proto bude ochrana v režimu podkladových úkonů ve smyslu

§ 75 odst. 2 s. ř. s., bude-li ovšem varování současně závazným podkladem pro napadené

V projednávané věci šlo o zjevné obstrukční jednání při zastupování pachatelů dopravních přestupků, jak kasační

936

soud i poznamenal v závěru svého rozhodnutí. Viz rozsudek Nejvyššího správního soudu ze dne 6. 3. 2019, č. j. 2 As 153/2018-31, bod 17.

§ 11 odst. 1 ZKB.

937

POLČÁK, Radim, HARAŠTA, Jakub, STUPKA, Václav. Op. cit., str. 30.

938

KLODWIG, Jakub. Op. cit., str. 56.

939

rozhodnutí, a dále též ochrana v režimu zásahové žaloby podle § 82 a násl. s. ř. s. Narozdíl od ⁹⁴⁰ běžných podkladových úkonů, kterými jsou typicky stanoviska či odborná vyjádření správních orgánů, je však varování samostatným aktem vydávaným bez závislosti na správním řízení.

Smyslem varování je upozornit veřejnost oficiální cestou na hrozbu v oblasti kybernetické bezpečnosti, která vyžaduje bezprostřední reakci. Podmínkou pro vydání varování je proto konkrétní informace o existenci hrozby. ZKB v § 12 odst. 1 ukládá NÚKIB vydat varování tehdy,

„dozví-li se zejména z vlastní činnosti nebo z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti.” Dozví-li se NÚKIB o existenci této hrozby, musí o ní vydat varování (srov. „vydá”), zde není prostor pro úvahu. Při zjišťování existence hrozeb pro kybernetickou bezpečnost je klíčová spolupráce s dalšími orgány státní správy jak v tuzemsku, tak v zahraničí. Podnět však může NÚKIB obdržet odkudkoli (srov. „zejména”). Vhodné je rovněž uveřejnění informace o technickém řešení, má-li hrozba technickou povahu a takové řešení již má NÚKIB k dispozici. ⁹⁴¹

Orgány a osoby, jimž ZKB ukládá povinnosti, se musí varováním přímo zabývat. NÚKIB jim proto varování také sám oznámí. Varování musí být rovněž uveřejněno, aby se s ním mohla ⁹⁴² seznámit širší veřejnost. Stane se tak přímo na internetových stránkách NÚKIB. Jak poukazuje Klodwig, „[v]ýznam takového prokazatelného sdělení přitom vytváří očekávání společnosti, že regulovaný subjekt bude adekvátně reagovat. Informace totiž není pouhým dohadem, nebo spekulací v tisku, ale vážně míněnou adresnou zprávou, která může pocházet od tuzemských zpravodajských služeb, zahraničních spojenců či v různé míře vycházet z tajných informací.” ⁹⁴³

Povinné subjekty musejí na základě vydaného varování provést v rámci řízení rizik jejich ⁹⁴⁴ analýzu, v níž zohlední kybernetickou hrozbu, která je předmětem varování, tím, že přijmou bezpečnostní opatření reagující na související rizika. Zmíněné povinnosti související s řízením rizik podrobněji rozebírá metodika, kterou vydal NÚKIB v souvislosti s prvním z vydaných varování. ⁹⁴⁵ Nejen v zájmu regulovaných subjektů bude adekvátní reakce na popsanou kybernetickou hrozbu.

POTĚŠIL, Lukáš. § 154 [Zákonné vymezení tzv. jiných úkonů a úprava procesního postupu]. In: POTĚŠIL, Lukáš,

940

HEJČ, David, RIGEL, Filip, MAREK, David. Správní řád. 2. vydání. Praha: C. H. Beck, 2020, s. 769, marg. č. 5.

Důvodová zpráva k ZKB. Obecná část. Op. cit., str. 78.

941

§ 12 odst. 2 ZKB.

942

KLODWIG, Jakub. Op. cit., str. 58.

943

Jde o povinné orgány a osoby uvedené v § 3 písm. c) až f) a h) ZKB.

944

NÚKIB. Metodika k varování ze dne 17. prosince 2018 [online], str. 4. Dostupné: https://www.govcert.cz/download/

945

kii-vis/2019_01_04_metodika_k_varov%C3%A1n%C3%AD_z_17-12-2018_v1.0.pdf [Cit. 2022-11-22].

Půjde totiž o způsob, jak se vyvarovat vzniku škody nejen na vlastním majetku, ale též ve vztahu ke smluvním partnerům, prokáže-li se, že škodě bylo možné zabránit. ⁹⁴⁶

Varování může souviset i s výskytem konkrétního kybernetického bezpečnostního incidentu.

Je-li tímto incidentem dotčena kritická informační infrastruktura, provozování základní služby nebo poskytování digitální služby, a vyžaduje-li to současně ochrana vnitřního pořádku a bezpečnosti, života a zdraví osob nebo ekonomiky státu, stanoví zákon oprávnění NÚKIB informovat o tomto incidentu také veřejnost. NÚKIB tak učiní po konzultaci s dotčeným orgánem či osobou, případně jim uloží veřejnost informovat. Ve druhém případě bude podoba konkrétní informace na ⁹⁴⁷ dotčeném subjektu. ⁹⁴⁸

Zákon nestanoví povinnost informovat o incidentu veřejnost v každém případě, nýbrž dává správnímu úřadu v § 12 odst. 3 ZKB prostor pro úvahu, zda veřejnost vůbec informovat. NÚKIB má možnost, shledá-li zákonem stanovené důvody, veřejnost o incidentu informovat nebo neinformovat (resp. povinnost informovat uložit dotčeným orgánům či osobám). Veřejnost tím pádem bude informována až na základě správního uvážení. Taková správní úvaha však musí vždy respektovat meze a hlediska stanovená zákonem a být v souladu s pravidly logického úsudku. ⁹⁴⁹ Podle důvodové zprávy musí správní úřad vzít v úvahu při rozhodování o zveřejnění informací o kybernetickém bezpečnostním incidentu „potřebu zachování rovnováhy mezi zájmem veřejnosti být informovanou o hrozbách a možným poškozením pověsti či obchodních zájmů provozovatelů základních služeb a poskytovatelů digitálních služeb, kteří incidenty ohlašují.” ⁹⁵⁰ Jelikož půjde o situace, v níž může být dotčeno fungování pro stát klíčových služeb, bude vhodné před rozhodnutím o informování zajistit také stanoviska dalších dotčených správních orgánů. ⁹⁵¹

Jelikož zákon hovoří o konzultaci s incidentem dotčenými orgány a osobami, a zároveň nestanoví časovou podmínku pro samotné informování o incidentu, lze předpokládat, že míní poskytnout dotčeným orgánům a osobám prostor pro zvládnutí incidentu ještě před tím, než o něm bude informována veřejnost.

Je-li varování vydáno v souvislosti s konkrétní technologií či programovým vybavením, jako tomu bylo v případě varování ze dne 17. 12. 2018 ve vztahu k použití prostředků společnosti

Na souvislosti se vznikem občanskoprávní odpovědnosti upozorňuje KLODWIG, Jakub. Op. cit., str. 58 - 59.

946

§ 12 odst. 3 ZKB.

947

Důvodová zpráva k ZKB. Zvláštní část. Op. cit., bod 26.

948

Srov. např. rozsudek Nejvyššího správního soudu ze dne 26. 8. 2004, č. j. 5 Azs 170/2004-72.

949

Důvodová zpráva k ZKB. Op. cit. Zvláštní část, bod 26.

950

Tamtéž.

951