Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 21. března 2022 varování před hrozbou spočívající v nedodržení smluvních závazků ze strany dodavatelů ICT služeb a produktů s významným vztahem k Ruské federaci. Varování reagovalo na aktuální geopolitickou situaci spojenou s vojenským konfliktem na Ukrajině a související sankce uvalené Evropskou komisí na některé ruské osoby a společnosti. Tyto sankce mohou vést k nedodržení smluvních závazků ze strany ICT dodavatelů majících významný vztah k Ruské federaci. Varování je stále platné a je co do povinnosti zabývat se jím závazné pro všechny správce a provozovatele informačních systémů regulovaných zákonem o kybernetické bezpečnosti, z nichž mnozí jsou současně zadavateli podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek. Tyto osoby jsou povinny zohlednit obsah varování NÚKIB v procesu výběru dodavatele veřejné zakázky (způsobu zohlednění varování v zadávacím řízení se věnuje např. materiál NÚKIB Zohlednění varování ze dne 17. prosince 2018 v zadávacím řízení dostupný zde: https://nukib.gov.cz/download/publikace/podpurne_materialy/Zohledneni-varovani-v-zadavacim-rizeni_v1.1.pdf) a v případě identifikace neakceptovatelných rizik spojených se současnými dodavateli zvážit úpravu či ukončení uzavřených smluv.
Po vydání varování NÚKIB došlo ze strany Evropské unie k přijetí dalších omezujících opatření ekonomického a individuálního charakteru, z nichž některé mají zásadní dopad i do oblasti zadávání a plnění veřejných zakázek, neboť stanoví zákaz účasti ruských společností na veřejných zakázkách a koncesních smlouvách (k tomu viz nařízení Rady (EU) 2022/576 ze dne 8. dubna 2022, kterým se mění nařízení (EU) č. 833/2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině). Tato omezující opatření se přímo dotýkají i plnění povinností souvisejících se zohledněním varování NÚKIB v procesech povinných osob a v některých případech situaci těmto osobám významně usnadňují.
Informaci obsaženou ve varování NÚKIB je i nadále třeba zohlednit v procesu hodnocení rizik a přijmout na základě jeho výsledků adekvátní bezpečnostní opatření. V případě nadlimitní veřejné zakázky nebo plnění smlouvy na nadlimitní veřejnou zakázku však povinná osoba automaticky vyloučí ruské dodavatele naplňující podmínky sankčního nařízení z možnosti zakázku získat a plnit, čímž dojde i k ošetření podstatné části rizik navázaných na hrozbu identifikovanou ve varování NÚKIB.
Ke způsobu, jak zákazy obsažené v sankčním nařízení aplikovat v praxi, se nedávno vyjádřila i expertní skupina Ministerstva pro místní rozvoj k zákonu o zadávání veřejných zakázek. Ve stanovisku expertní skupiny je v podrobnostech popsáno, jakým způsobem přizpůsobit proces zadávacího řízení tak, aby bylo dostáno jak sankčním opatřením, tak zákonným pravidlům pro zadávání veřejných zakázek. Stanovisko expertní skupiny MMR k zákonu o zadávání veřejných zakázek je dostupné zde: https://portal-vz.cz/wp-content/uploads/2019/12/Dopad-sankc%C3%AD-proti-Rusku-a-B%C4%9Blorusku-do-oblasti-ve%C5%99ejn%C3%BDch-zak%C3%A1zek.pdf. Zároveň Evropská komise vydala materiál obsahující odpovědi na nejčastější otázky k sankčnímu nařízení Rady. Dokument Evropské komise reagující na často kladené otázky k sankcím proti Rusku v oblasti veřejných zakázek, které vyplývají z čl. 5k nařízení Rady (EU) č. 833/2014 ze dne 31. července 2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, je dostupný zde: https://ec.europa.eu/info/sites/default/files/business_economy_euro/banking_and_finance/documents/faqs-sanctions-russia-public-procurement_en.pdf
NÚKIB upozorňuje, že ekonomické sankce přijaté na úrovni Evropské unie jsou přímo použitelné pouze pro nadlimitní veřejné zakázky, tzn. v případech podlimitních veřejných zakázek, veřejných zakázek malého rozsahu a vybraných veřejných zakázek zadaných na základě výjimek podle § 29 a § 30 zákona o zadávání veřejných zakázek, je potřeba i nadále opírat možné omezení ruských dodavatelů (pokud nejde o osoby uvedené na individuálních sankčních seznamech) a ruských dodávek v procesu výběru dodavatele veřejné zakázky nebo vlastního plnění veřejné zakázky o výsledky řádně provedeného hodnocení rizik, v němž bude zohledněno varování NÚKIB. Stejně tak je potřeba důsledně ověřit, zda vyloučení ruských dodavatelů ve smyslu sankčního nařízení Rady řeší všechna rizika spojená s realizací hrozby, na kterou upozorňuje varování NÚKIB.
Celý text Varování NÚKIB je dostupný na tomto odkazu: https://nukib.gov.cz/cs/uredni-deska/
Souhrnné informace o vydaných sankcích proti Rusku a Bělorusku jsou dostupné zde: https://www.financnianalytickyurad.cz/sankce-proti-rusku-a-belorusku#sankce%20proti%20rusku
Aktualizované otázky a odpovědi:
- Proč NÚKIB varování vydal?
NÚKIB vydává varování v souladu s § 12 zákona o kybernetické bezpečnosti (ZKB) v případě, že se dozví o hrozbě v oblasti kybernetické bezpečnosti.
V souladu se ZKB tedy NÚKIB vydá varování, dozví-li se zejména z vlastní činnosti, z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti. S ohledem na výše uvedené musí NÚKIB musí k vydání varování přistoupit, pokud se dozví o hrozbě v oblasti kybernetické bezpečnosti. Na základě toho NÚKIB varování vydal.
Konkrétně jde ze strany NÚKIB o preventivní krok, protože hrozba nedodržení smluvního závazku ze strany dodavatelů s významným vztahem k Ruské federaci vzrůstá. Dochází k tomu zejména v důsledku ekonomických sankcí uvalovaných na i ze strany Ruské federace. Vedle toho i některé soukromé společnosti působící v oblasti ICT přestávají na území Ruské federace poskytovat služby a podporu. Vzhledem k tomu hrozí, že v případě závislosti na ICT produktech a službách dodavatelů s významnou vazbou na Ruskou federaci může být ohrožena kontinuita takto závislých informačních a komunikačních systémů.
Varování se v souladu se zákonem zveřejňuje na úřední desce NÚKIB a o jeho vydání jsou následně informovány také organizace povinné dle ZKB, které s ním musejí dále pracovat.
- Co varování znamená?
Varování v prvé řadě upozorňuje na hrozbu, respektive její zvýšenou úroveň.
Dle § 12 ZKB prostřednictvím varování NÚKIB upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti. Hrozba se může týkat blíže neurčeného počtu povinných subjektů a tyto subjekty by na ni měly adekvátním způsobem reagovat. Varování obsahuje i doporučení, jak s hrozbou nakládat.
- Je varování závazné? Pro koho?
Varování je závazné pro okruh organizací povinných dle ZKB. Tyto organizace jsou povinny vyhodnocovat hrozby spojené s jejich ICT systémy a na tyto hrozby reagovat. Pro ostatní organizace jsou postupy v něm obsažené využitelné jako doporučení. Občané nejsou povinni tuto hrozbu reflektovat, nicméně mohou využít jeho obsah, který pro ně může mít obecnou informační hodnotu.
- V čem hrozba spočívá?
Hrozba, na kterou varování upozorňuje, spočívá v možném nedodržení závazků dodavatelů s významnou vazbou na Ruskou federaci. Jinými slovy tedy hrozí, že vzhledem k ekonomickým sankcím uvalovaným na Ruskou federaci ze strany států, nebudou ICT dodavatelé s významným vztahem k Ruské federaci schopni dodávat své ICT služby a produkty tak, jako doposud. Tato situace může v některých případech vést k narušení kontinuity provozu informačních a komunikačních systémů, které jsou na těchto dodávkách závislé. Výše popsanou situaci může dále zintenzivnit i omezování služeb nadnárodních společností v Ruské federaci (například výrobci ICT komponentů a platforem).
Pokud by se tato hrozba realizovala, může to mít dopad na zachování funkčnosti informačních a komunikačních systémů, které jsou významné pro chod České republiky nebo pro naplňování potřeb jejích občanů.
- Co tedy mají subjekty dělat?
Osoby povinné dle ZKB musí hrozbu zohlednit v rámci své analýzy rizik, tedy zvýšit hodnotu typové hrozby „nedodržení smluvního závazku ze strany dodavatele“ vůči dodavatelům u kterých identifikují významný vztah k Ruské federaci na hodnotu určenou varováním a příslušně přizpůsobit následné procesy řízení bezpečnosti informací.
Varování obsahuje doporučení, jak situaci, kdy nebudou dodány klíčové ICT služby nebo produkty, předcházet. Může však nastat také případ, kdy této hrozbě účinně předejít nepůjde. V takovém případě, je nutno se připravit na situaci, kdy bude potřeba službu zajistit náhradním způsobem, tedy bez použití systémů, které jsou na dodávce ICT služeb či produktů ze strany dodavatelů s vazbou na Ruskou federaci závislé.
- Co znamená, že je hrozba hodnocena jako Vysoká, tedy pravděpodobná až velmi pravděpodobná?
Označení, že je hrozba vysoká, v terminologii ZKB vyjadřuje, že je pravděpodobná až velmi pravděpodobná. Jde o třetí stupeň z celkem čtyřstupňové škály používané zákonem k hodnocení hrozeb. Jedná se o kvantifikaci hodnoty hrozby pro účely jejího vyhodnocení v analýze rizik, kterou musejí povinné osoby ze zákona provádět. Osobám povinným dle ZKB tak dává vodítko, s jak závažnou hrozbou pracují a také jakou hodnotu použít v rámci hodnocení rizik podle § 5 vyhlášky o kybernetické bezpečnosti.
- Jsou nyní ICT produkty a služby společností s vazbou na Ruskou federaci zakázány?
Varování použití ICT produktů a služeb společností s vazbou na Ruskou federaci a priori nezakazuje, pouze upozorňuje na zvýšenou hrozbu nedostupnosti ICT produktů a služeb, závislých na dodavatelích s významným vztahem k Ruské federaci. Pokud je na těchto produktech závislý informační nebo komunikační systém důležitý pro chod státu nebo poskytování služeb občanům je třeba s tímto počítat a přijmout odpovídající opatření. Návrh možných opatření je součástí varování.
- Jak varování souvisí se sankčními nařízeními Evropské unie?
Sankční nařízení Evropské unie upravují jednak individuální, jednak ekonomické sankce. Varování je na těchto sankcích nezávislé, nicméně může vstupovat do vztahů, které jsou současně regulovány i sankčními nařízeními, což se týká zejm. oblasti zadávání veřejných zakázek, pokud je organizace spadající do regulace ZKB současně zadavatelem podle zákona o zadávání veřejných zakázek.
- Mohu tedy varování použít v rámci veřejných zakázek?
Osoby povinné podle ZKB jsou povinny zohlednit zvýšenou míru hrozby v rámci svých analýz rizik. V případě, že jim následně riziko v důsledku zvýšené míry hrozby vyjde ve vztahu k dodavatelům, kteří mají významný vztah k Ruské federaci, jako neakceptovatelné, měly by tuto situaci řešit. To se může projevit i v rámci požadavků na dodavatele v rámci zadávání veřejných zakázek. Právě pro tento postup je pak varování podkladem s právní závazností. Platí přitom, že zohlednění požadavků vyplývajících z varování v míře nezbytné nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
Pro nadlimitní veřejné zakázky podle zákona o zadávání veřejných zakázek pak aktuálně v návaznosti na sankční nařízení Evropské unie platí zákaz účasti ruských společností na veřejných zakázkách a koncesních smlouvách podle nařízení Rady (EU) 2022/576 ze dne 8. dubna 2022, kterým se mění nařízení (EU) č. 833/2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině). Stanovisko expertní skupiny Ministerstva pro místní rozvoj v podrobnostech popisuje, jakým způsobem přizpůsobit proces zadávacího řízení tak, aby bylo dostáno jak sankčním opatřením, tak zákonným pravidlům pro zadávání veřejných zakázek (stanovisko je dostupné zde: https://portal-vz.cz/wp-content/uploads/2019/12/Dopad-sankc%C3%AD-proti-Rusku-a-B%C4%9Blorusku-do-oblasti-ve%C5%99ejn%C3%BDch-zak%C3%A1zek.pdf).
Vyloučením ruských dodavatelů naplňujících podmínky sankčního nařízení z možnosti zakázku získat a plnit dojde i k ošetření podstatné části rizik navázaných na hrozbu identifikovanou ve varování. Je však potřeba důsledně ověřit, zda vyloučení ruských dodavatelů ve smyslu sankčního nařízení Rady řeší všechna rizika spojená s realizací hrozby, na kterou varování upozorňuje, neboť předmět varování a sankčních nařízení Evropské unie není zcela totožný a nemusí se stoprocentně překrývat.
Pro zadavatele ostatních veřejných zakázek (především podlimitních zakázek a veřejných zakázek malého rozsahu) a povinné osoby, které nejsou zadavateli podle zákona o zadávání veřejných zakázek, i nadále platí, že varování použití ICT produktů a služeb společností s vazbou na Ruskou federaci a priori nezakazuje, pouze upozorňuje na zvýšenou hrozbu, se kterou je potřeba dále pracovat v procesu řízení rizik.
- Je důvodem pro vydání tohoto varování legislativní prostředí Ruské federace, které zavazuje soukromé společnosti řídící se ruským právem k tomu, aby se státem významně spolupracovaly a poskytovaly jim informace svých zákazníků?
Legislativní prostředí Ruské federace není přímým důvodem pro vydání tohoto varování. Varování stojí na objektivní skutečnosti, že ekonomické sankce ze strany nebo vůči Ruské federaci mohou mít vliv na spolehlivost dodávek ICT služeb či produktů ze strany dodavatelů s významným vztahem k Ruské federaci.
Ve vztahu k povaze ruského právního prostředí vydal NÚKIB Upozornění na svém webu. To, co je v něm obsaženo, i nadále platí. Upozornění je dostupné zde https://nukib.gov.cz/cs/infoservis/aktuality/1820-ruske-firmy-a-dopady-na-ict/
- Kdo je „dodavatel s významnou vazbou na Ruskou federaci“?
Definice dodavatele s významnou vazbou na Ruskou federaci není jednoduchá. Obecně je třeba vzít v úvahu jeden či více znaků. Ve Varování je uveden tento jejich demonstrativní výčet:
- Dodavatel má sídlo v Ruské federaci, nebo je závislý na dodávkách z území Ruské federace.
- ICT produkt nebo služba podstatná pro funkčnost spravovaného či provozovaného informačního či komunikačního systému je dodávána prostřednictvím pobočky dodavatele v Ruské federaci.
- ICT produkt nebo služba podstatná pro funkčnost spravovaného či provozovaného informačního či komunikačního systému má svůj vývoj či výrobu lokalizované v Ruské federaci.