V sekci Regulace a kontrola, v části Podpůrné materiály, byly zveřejněny dva metodické materiály:

  1. aktualizovaná verze dokumentu vysvětlujícího institut provozovatele informačního nebo komunikačního systému kritické informační infrastruktury, významného informačního systému nebo informačního systému základní služby podle § 2 písm. g) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, a
  2. dokument věnující se možným způsobům zohlednění varování NÚKIB ze dne 17. prosince 2018 při zadávání veřejných zakázek.

K aktualizaci materiálu o provozovateli informačního nebo komunikačního systému bylo přistoupeno za účelem reflektovat a zpřesnit výklad pojmu „provozovatel informačního nebo komunikačního systému“ podle § 2 písm. g) zákona o kybernetické bezpečnosti, a to na základě zkušeností s aplikací tohoto zákonného institutu v praxi.

Institut byl od své účinnosti (1. července 2017) doplněn nejen novelou zákona o kybernetické bezpečnosti účinnou k 1. srpnu 2017, ale jeho praktickou aplikaci ovlivnil také obsah vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat o kybernetické bezpečnosti, přičemž právě ustanovení § 8 vyhlášky má velký vliv na informace obsažené v tomto dokumentu.

Cílem materiálu věnujícího se zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení je shrnout a akcentovat některé problémy, které NÚKIB do dnešního dne identifikoval v souvislosti s vydáním varování, a poskytnout povinným osobám podle zákona o kybernetické bezpečnosti, které jsou současně zadavateli ve smyslu zákona č. 134/2016 Sb., o zadávání veřejných zakázek, metodickou pomoc při zohlednění varování v procesu zadávání veřejných zakázek.

NÚKIB si je vědom toho, že problematika zadávání veřejných zakázek nespadá do jeho věcné působnosti. Právní úprava zadávání veřejných zakázek však zasahuje i do oblasti kybernetické a informační bezpečnosti a úzce s touto problematikou souvisí. Z toho důvodu považuje NÚKIB za nezbytné vyjádřit alespoň v této podpůrné rovině své stanovisko a napomoci tím zadavatelům při řešení problémů, kterým při zakomponování varování do svých bezpečnostních politik a při výběru dodavatelů svých informačních a komunikačních systémů mohou čelit.

Tímto stanoviskem NÚKIB však není a nemůže být dotčena odpovědnost zadavatelů za zákonnost zadávacího řízení, v němž bude zohledněno varování a v němž může dojít, s odkazem na plnění povinností podle zákona o kybernetické bezpečnosti, k omezení hospodářské soutěže. Současně tímto stanoviskem NÚKIB nijak nenavádí zadavatele ke konkrétnímu postupu, který mají ve vztahu k zajištění kybernetické bezpečnosti svých informačních a komunikačních systémů aplikovat.

Oba dokumenty jsou ke stažení zde.