Regulace cloud computingu v České republice

Bez cloudu nebudou inovace

Cloud computing představuje zásadní technologii nutnou pro rozvoj digitální společnosti. Důležitost cloud computingu spočívá v tom, že umožňuje firmám i jednotlivcům využívat nejnovější technologie bez nutnosti velkých investic do vlastní infrastruktury. Cloudové služby de-facto “demokratizují” přístup k pokročilým technologiím a nástrojům, což podporuje rovnost příležitostí, stimuluje konkurenceschopnost trhu a přináší prostor pro inovace.

Využívání cloud computingu s sebou ovšem také nese řadu rizik, zejména z oblasti kybernetické bezpečnosti a ochrany dat. Není proto divu, že se i oblast cloud computingu stala předmětem regulace. Právní a regulatorní rámec cloud computingu se týká zejména subjektů veřejné správy, ale dotýká se i dalších oblastí, jako jsou ochrana osobních údajů, kritická informační infrastruktura a kybernetická bezpečnost.

Ambicí tohoto článku je přinést stručný přehled regulace cloud computingu v České republice, nastínit principy jejího fungování a stručně představit tzv. Cloudové vyhlášky: 

• vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro používání cloud computingu 

• vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu

• vyhláška č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu).

V článku používám sousloví “cloud computing”, neboť je takto používán i v české legislativě (např. v zákoně č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů).

Co je to cloud computing

Cloud computingem rozumíme poskytování výpočetních služeb a IT infrastruktury, kterými mohou být servery, operační systémy, databáze či aplikace, prostřednictvím internetu. Služby cloud computingu nabízí mnoho výhod, jako jsou škálovatelnost, flexibilita, cenová efektivita a bezpečnost. Cloud computing transformuje způsob, jakým firmy a organizace fungují, umožňuje přístup a správu jejich dat a aplikací odkudkoli, kdykoli, z jaké jakéhokoliv zařízení a přenášejí odpovědnost za významnou část IT provozu na poskytovatele cloudových služeb.

Rozeznáváme tři základní druhy (třídy) cloud computingu podle toho, jaké vrstvy IT infrastruktury jsou využívány a jaká je úroveň poskytovaných služeb ve smyslu jejich kontroly uživatelem.

IaaS (Infrastruktura jako služba)	PaaS (Platforma jako služba)	SaaS (Software jako služba)
Tento model cloud computinu představuje poskytování výpočetních zdrojů prostřednictvím vzdáleného přístupu (přes internet). IaaS v podstatě představuje pronájem IT infrastruktury, jako jsou servery, databáze, sítě a operační systémy...  Příklady poskytovatelů IaaS jsou Microsoft Azure nebo Google Cloud Platform.	Cloudový produkt typu platforma jako služba poskytuje vývojářům nástroj (platformu) a prostředí pro vývoj, testování a provoz a správu softwarových aplikací. PaaS šetří vývojářům čas a náklady, které by jinak museli vynaložit na nákup a správu hardwaru a softwaru potřebného pro vývoj aplikací. Příklady poskytovatelů PaaS jsou Microsoft Azure nebo IBM Cloud.	Uvedený model znamená poskytování (provozování) aplikací prostřednictvím internetu. Uživatel nemusí instalovat žádný software, ale pouze využívá službu provozovanou někým jiným. Služba je obvykle dostupná na základě předplatného. Příkladů SaaS  služeb je nepřeberné množství, jako příklad můžeme uvést Gmail nebo Microsoft Office 365.

Z pohledu subjektů cloud computingu zde tedy vystupují uživatel (např. subjekt veřejné správy) a třetí strana – poskytovatel cloudových služeb. Poskytovatelů cloudových služeb existuje velké množství od globálních hráčů typy Microsoft Azure, Google Cloud Platform a IBM Cloud, až po lokální poskytovatele O2 cloud, Seznam.cz apod. Cloudové vyhlášky, které představíme dále v článku, stanovují řadu povinností jak pro uživatele cloudových služeb (z veřejného sektoru), tak pro poskytovatele cloudových služeb.

Regulace cloud computingu v České republice

Pojem „cloud computing“ byl do českého práva zaveden novelou zákona o kybernetické bezpečnosti č. 205/2017 Sb., platnou od 1.8.2017, která byla především motivována potřebou implementace směrnice NIS 1. Pojem cloud computing byl také začleněn do zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a to dvěma novelami č. 12/2020 Sb. a č. 261/2021 Sb. Tyto novely specifikují další požadavky jak pro poskytovatele, tak i pro uživatele služeb cloud computingu.

Podle zákona o kybernetické bezpečnosti č. 181/2014 Sb. je cloud computing specifikován jako:

Digitální služba informační společnosti, která umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet.

Zákon o kybernetické bezpečnosti také definuje některé povinností pro orgány veřejné moci ve vztahu k poskytovateli služeb cloud computingu, zejména následující:

Orgány veřejné moci jsou povinny před uzavřením smlouvy s poskytovatelem služeb cloud computingu zařadit poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému podle prováděcího právního předpisu a zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase.

A také:

Poskytovatel služby cloud computingu a orgán veřejné moci si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel a realizaci bezpečnostní politiky odběratele.

Bezpečnostní úrovně cloudu

Další povinností uloženou zákonem o kybernetické bezpečnosti v oblasti cloud computingu je povinnost Národního úřadu pro kybernetickou a informační bezpečnost stanovit vyhláškou obsah a rozsah bezpečnostních pravidel pro služby cloud computingu, včetně definice bezpečnostních úrovní pro používání služeb cloud computingu orgány veřejné moci. Na základě této povinnosti byla vydána vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro používání služeb cloud computingu orgány veřejné správy. 

Vyhláška stanoví rámec, který umožňuje orgánům veřejné moci provést hodnocení důležitosti informačního nebo komunikačního systému, který si přeje provozovat prostřednictvím služeb cloud computingu (podrobněji viz dále).

Jak bylo uvedeno výše, je cloud computing v České republice regulován také zákonem č. 365/2000 Sb., o informačních systémech veřejné správy, který obsahuje další povinnosti, ale také odlišnou definici cloud computingu. Podle tohoto zákona je cloud computing definován jako:

Způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.

Z pohledu kybernetické bezpečnosti není odlišnost těchto definic podstatná, důležité je, že orgány veřejné správy mají při využívání cloud computingu postupovat podle bezpečnostních pravidel podle právního předpisu upravujícího kybernetickou bezpečnost. Zákon o informačních systémech veřejné správy stanovuje řadu pravidel pro využívání cloud computingu orgány veřejné správy a požadavků na poskytovatele cloud computingu i samotné služby cloud computingu. 

Na základě těchto požadavků byla vytvořena tzv. druhá cloudová vyhláška č. 316/2021. Bezpečnostní požadavky nejsou stanoveny pouze pro poskytovatele cloud computingu, ale i pro orgány veřejné moci využívající služby poskytovatelů cloud computingu. Tyto bezpečnostní požadavky jsou definovány ve třetí cloudové vyhlášce č. 190/2023 Sb.

Katalog cloud computingu

Dalším důležitým prvkem definovaným v zákoně o informačních systémech veřejné správy je tzv. Katalog cloud computingu. Jedná se o seznam, ve kterém se vedou údaje o poptávkách cloud computingu, akceptovaných poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy. Orgány veřejné správy mohou uzavírat smlouvy o poskytování cloudových služeb pouze s poskytovateli zapsanými v tomto katalogu. Struktura katalogu cloud computingu je definována vyhláškou č. 433/2020 Sb.

ISO normy pro bezpečné použití cloudu

Pro získání uceleného přehledu o současném stavu regulace cloud computingu v České republice je třeba zmínit, že byly přijaty také české verze mezinárodních ISO norem v oblasti cloud computingu.

• Norma ČSN ISO/IEC 27017 je zaměřená na kybernetické bezpečnostní požadavky cloudových služeb. Představuje de facto směrnici pro implementaci bezpečnostních opatření v cloud computingu (norma je českou verzí mezinárodní normy ISO/IEC 27017:2015).

• Norma ČSN ISO/IEC 27018 - Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PI. Tato norma jezaměřená na specifické požadavky související s PII v cloudových službách (je českou verzí mezinárodní normy ISO/IEC 27018:2019).

Cloudové vyhlášky jako součást systému řízení kybernetické bezpečnosti v ČR

Tři cloudové vyhlášky byly připraveny Národním úřadem pro kybernetickou a informační bezpečnost na základě dokumentu Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025 a dokumentu Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 - 2025, který definuje konkrétní kroky v oblasti budování kybernetické bezpečnosti v České republice.

Všechny tři vyhlášky regulují vztahy mezi orgány veřejné správy a poskytovateli služeb cloud computingu a stanovují určité požadavky, které by měly být oběma stranami splněny. Vyhlášky se vzájemně doplňují (v některých aspektech překrývají) a dohromady představují základ pro regulaci využití cloud computingu veřejným sektorem.

Představení jednotlivých vyhlášek naleznete v celém článku na stránkách gdpr.cz.