Regulace cloud computingu v zákoně č. 365/2000 Sb., o infor­mač­ních systémech veřejné správy („ZISVS“) ukládá dodavatelům i zákazníkům, kteří jsou orgány veřejné správy („OVS“) řadu povin­nos­tí, jež předcházejí samotnému poskytování cloudových služeb. V minulém textu jsme popsali zejména potřebu vyhodnocení, zda je zákazník OVS a zda se na poptávané řešení vůbec regulace uplatní. V případě, že se regulace aplikuje, je nutné vyřešit zápisy poptávky, poskytovatele a nabídky do katalogu cloud computingu. Právě na problematiku související se zápisy se zaměříme v tomto textu.

Dodavatelské řetězce

Poskytování cloudových služeb obecně může zahrnovat řadu pestrých služeb různých dodavatelů. ZISVS za poskytovatele cloud computingu považuje všechny členy dodavatelského řetězce, kteří v rámci dané dodávky poskytují služby naplňující definiční znaky cloud computingu. Takové subjekty se označují jako poskytovatelé. Členové dodavatelského řetězce nabízející služby, které nejsou cloud computingem, se pro rozlišení označují jako dodavatelé.

Při interpretaci ZISVS je možné vyjít z podpůrných materiálů, které zveřejňuje Digitální a informační agentura („DIA“) na svých webových stránkách, jako jsou např. otázky a odpovědi. Podle nich jsou typickými příklady poskytovatelů v dodavatelském řetězci prodejci, distributoři cloudových služeb, provozovatelé datových center či vlastníci softwarových prostředků provozovaných na infrastruktuře jiného poskytovatele, např. provozovatele datového centra. Takto široký seznam typů poskytovatelů vychází z požadavků ZISVS na cloud computing, na němž je závislé poskytování nabízeného cloud computingu (tzv. podpůrný cloud computing), které jsou obdobné jako požadavky na samotný nabízený cloud computing. Dodavatelé jsou zpravidla subjekty poskytující poskytovatelům hardware, software a služby (např. service desk), které nejsou cloud computingem. Poskytovatelé a jejich služby mají povinnost být zapsáni v katalogu cloud computingu, zatímco dodavatelé tuto povinnost nemají.

Specifickým subjektem je podle otázek a odpovědí na webu DIA systémový integrátor, u něhož není a priori dané, zda bude poskytovatelem, nebo dodavatelem. Pokud systémový integrátor pouze provede integraci, přičemž výsledné služby provozuje např. sám zákazník, bude systémový integrátor dodavatelem a nebude muset být zapsán v katalogu cloud computingu. Pokud integrací dojde k vytvoření nové služby, kterou systémový integrátor bude provozovat, zřejmě půjde o poskytovatele s povinností zápisu v katalogu.

Další výjimky ze zápisu do katalogu

V praxi se lze setkat naopak i s dalšími případy, kdy není nutný zápis poskytovatele, resp. nabídky, do katalogu cloud computingu. Pokud OVS má již zakoupeny licence k softwarovému řešení a toto chce provozovat pomocí cloudu, má několik možností. Jestliže se rozhodne k pronájmu služeb IaaS či PaaS, na kterých bude řešení samo provozovat v single-tenant režimu, nepůjde o cloud computing, a proto dané licence k softwarovému řešení nebudou cloud computingem podléhajícím regulaci.

Specifická je obecně situace s různými řešeními typu SaaS, protože ani v této kategorii nemusí být každé řešení cloud computingem (a tedy podléhat příslušné regulaci). Ve skutečnosti je pro zařazení SaaS do režimu cloud computingu nutné splnění dvou podmínek: (i) řešení slouží více správcům ISVS (OVS) v roli tenantů, kteří jej využívají k provozu vlastních ISVS, nebo jiným zákazníkům a (ii) řešení je provozováno na sdílené platformě cloud computingu třídy IaaS, případně PaaS (přičemž pokud tyto služby IaaS/PaaS jsou využívány jen pro poskytování daného SaaS, nezapisují se samostatně do katalogu).

Avšak nejde o cloud computing, pokud nějaké řešení (i) slouží více OVS, ale jsou pro každého správce provozovány na nesdílené (dedikované) výpočetní infrastruktuře a (ii) slouží pouze pro jedno OVS, přičemž může jít o aplikaci umožňující vzdálený přístup přes internet nebo přes vnitřní síť pro mnoho externích uživatelů. To platí, i když je řešení provozováno na platformě cloud computingu třídy IaaS, případně PaaS – v takovém případě ale platforma podléhá povinnosti zápisu do katalogu.

Bezpečnostní úrovně

Velký význam pro poskytování cloud computingu má jeho zařazení do bezpečnostní úrovně, od které se odvíjí povinnosti, jaké poskytovatel a dané řešení musí splňovat. Bezpečnostní úrovně jsou čtyři – nízká, střední, vysoká a kritická – přičemž cloud computing nejvyšší (kritické) úrovně může poskytovat jen státní poskytovatel. Na druhou stranu na nízkou třídu jsou kladeny jen minimální požadavky. Zařazení poptávky provádí zákazník (OVS) podle vyhlášky č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci. Pro dodavatele je klíčové nastavení služeb tak, aby splňovaly příslušná kritéria a aby se dodavatel mohl ucházet o veřejné zakázky, o které má zájem.

Zařazení cloud computingu do bezpečnostní úrovně je založeno na vyhodnocení nejvyššího možného dopadu v devíti různých kategoriích od bezpečnosti a zdraví lidí přes veřejný pořádek či důvěryhodnost po zajišťování služeb. Na rozdíl od posuzování v oblasti kybernetické bezpečnosti zde přitom nehraje roli pravděpodobnost, s jakou negativní dopad může nastat, ale samotná existence možnosti takového následku. Bezpečnostní úroveň cloud computingu pak odpovídá nejvyšší dosažené úrovni dopadu. Současně platí, že významný informační systém bude zpravidla alespoň ve vysoké bezpečnostní úrovni a kritická informační infrastruktura v kritické bezpečnostní úrovni.

Konkrétní povinnosti pro dodavatele podle bezpečnostní úrovně cloud computingu vychází z vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, zejména její příloha č. 2. Povinnosti jsou stanoveny v deseti oblastech, které se týkají zpracování, uložení, zpřístupnění a předání dat a nakládání s nimi, provádění kontrol, dostupnosti služby a zajištění jejího poskytování, připojení do výměnného uzlu internetu, certifikací a testování či kybernetické bezpečnosti.

Některé povinnosti se vztahují na všechny bezpečnostní úrovně, avšak významným dělícím prvkem je rozdíl mezi nízkou či střední a vysokou bezpečnostní úrovní. U ní lze vysledovat citelný nárůst nároků a povinností na poskytovatele a dané řešení. Pro každého poskytovatele je proto významné zvážit, zda a které služby chce poskytovat ve vysoké bezpečnostní úrovni a tomu přizpůsobit nároky na dané řešení, zajistit příslušné testy a certifikace a dále přizpůsobit své dotčené procesy.

Časování zápisů do katalogu

Dalším zásadním úkolem pro dodavatele je zajištění zápisu sebe a svých služeb do katalogu cloud computingu. Zejména zápis poskytovatele je něco, s čím není důvod otálet – jde o proces, který je a priori zamýšlen jako zevrubný, a tím pádem poněkud zdlouhavý, ačkoliv je fakticky spíše jen formální a v důsledku pro dodavatele relativně jednoduchý. Přesto platí, že reaktivní zápis poskytovatele až třeba při vyhlášení atraktivní veřejné zakázky s největší pravděpodobností zápis znemožní.

Cílem řízení o žádosti o zápis poskytovatele do katalogu je zhodnotit naplnění podmínek zejména zajištění ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy. O žádosti rozhoduje Digitální a informační agentura („DIA“), která má lhůtu 45 dní.

DIA si vyžádá závazné stanovisko Národního úřadu pro kybernetickou bezpečnost („NÚKIB“) pro ověření požadavků. NÚKIB má na posouzení lhůtu tři měsíce. Lhůta DIA navíc neběží až další tři měsíce po dobu zjišťování informací z dalších úřadů.

Pro zápis nabídky jsou lhůty kratší, a to 30 dnů pro DIA a 30 dnů pro NÚKIB. Bylo i záměrem zákonodárce nastavit podmínky tak, aby zápis nabídky byl po zápisu poskytovatele již relativně snadnou záležitostí. Praxe však ukázala, že zápis nabídky je velmi komplikovaný na doložení všech potřebných skutečností a dokladů, čímž se podstatně prodlužuje oproti uvedeným lhůtám. Proto doporučujeme zápisy neodkládat a přípravu na ně nepodcenit.

Jan Tomíšek, David Sláma Autoři článku jsou advokáti specializující se na IT právo, kteří působí v kanceláři ROWAN LEGAL.