Střední a velké podniky, které vzdáleně nabízejí digitální služby využívající sdílených výpočetních zdrojů, se budou muset mít s připravovaným návrhem zákona o kybernetické bezpečnosti na pozoru. Jejich činnost by totiž mohla být považována za poskytování cloud computingu, což v režimu vyšších povinností znamená, že takový poskytovatel spadne pod regulaci.
ROWAN LEGAL je přední tuzemskou advokátní kanceláří specializující se na právo IT, kybernetickou bezpečnost, telekomunikace, řešení sporů a arbitráží, korporátní a obchodní právo, duševní vlastnictví a hospodářskou soutěž včetně veřejných zakázek. Mezi její klienty patří největší národní a mezinárodní korporace včetně veřejných institucí. V kancelářích v Praze a Brně zaměstnává přes 100 spolupracovníků, z toho více než 90 zkušených právníků pravidelně oceňovaných v tuzemských i mezinárodních oborových žebříčcích.
ROWAN LEGAL, partner seriálu Regulace podle NIS2.
Problémem je podle odborníků velmi široká a obecná definice cloud computingu. Není z ní jasné, jaké konkrétní služby zahrnuje. A mohl by se dokonce dotýkat kohokoliv, kdo nějaké řešení v cloudu nabízí. Tím pádem bychom mohli rovnou zapomenout na odhady Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), že regulace dopadne na zhruba šest tisíc subjektů. Zahrnutím každého poskytovatele webu nebo aplikace využívajících cloud modelem SaaS (software jako služba) by se regulace týkala násobně více firem.
Široké vymezení vnáší mezi firmy nejistotu
Návrh tuzemského zákona, který v současnosti leží ve Sněmovně a sbírá poslanecké pozměňovací návrhy, pracuje s podobnou definicí jako směrnice NIS2. Říká, že cloud computing je „služba informační společnosti podle právního předpisu upravujícího služby informační společnosti, která umožňuje samoobslužnou správu a široký vzdálený přístup k rozšířitelnému a pružnému seskupení sdílitelných výpočetních zdrojů, včetně těch, které jsou rozmístěny na více místech.“
Právě odkaz na zákon č. 480/2004 Sb., o některých službách informační společnosti, v tuzemské právní úpravě je kamenem úrazu, který způsobuje výkladové problémy. Podle jeho ust. § 2 písm. a) je totiž služba informační společnosti definována jako „jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat.“
Tak, jak je obecně chápán provoz cloudu, je jeho poskytovatelem subjekt, který nabízí výpočetní zdroje, zatímco tyto zdroje jsou plně v dispozici toho, kdo si je pronajímá. Český návrh kyberzákona, který se odchýlil od NIS2 a zakomponoval odkaz na definici dle zákona o informační společnosti, může do nejistoty uvrhnout i firmy, které cloud přímo neprovozují, ale poskytují jeho prostřednictvím své služby.
„Vzhledem k tomu, že je odpovědností poskytovatelů těchto služeb, aby se sami identifikovali jako poskytovatelé regulovaných služeb, bude to znamenat nemalé náklady na vyhodnocení situace a mnohdy i značnou míru nejistoty, zda je toto vyhodnocení správné,“ upozorňuje advokát Jan Tomíšek z advokátní kanceláře Rowan Legal.
Pomoc nabízí výkladová vodítka NIS2
Tam, kde má národní úprava nedostatky, bude podle něj namístě použít eurokonformní výklad. Směrnice NIS2 naštěstí výkladová vodítka k tomu, jak instituty obsažené v textu směrnice chápat, podává. Mají to být ty digitální služby, které umožňují správu na vyžádání a široký dálkový přístup k rozšířitelnému a přizpůsobitelnému úložišti distribuovaných výpočetních zdrojů, jež je možné sdílet, včetně případů, kdy tyto zdroje mají několik různých umístění.
Pojem široký dálkový přístup se používá k popsání toho, že cloudová kapacita je poskytována po síti a přístup k ní probíhá přes platformy s tenkými nebo tlustými klienty, včetně mobilních telefonů, tabletů, laptopů a pracovních stanic.
Pojem rozšířitelný poukazuje na skutečnost, že v zájmu pokrytí nerovnoměrné poptávky jsou výpočetní kapacity přidělovány poskytovatelem cloudových služeb flexibilně, bez ohledu na zeměpisnou polohu zdrojů. A pod pojmem přizpůsobitelné úložiště je třeba chápat, že výpočetní zdroje jsou poskytovány a uvolňovány na základě poptávky, aby bylo možné urychleně zvyšovat i snižovat zdroje se zřetelem na zatížení.
Definici má i pojem „sdílitelné“. Tím se rozumí, že tyto výpočetní zdroje jsou poskytovány vícero uživatelům, kteří k dané službě mají společný přístup, avšak zpracování probíhá pro každého uživatele odděleně, byť by služba byla poskytována z téhož elektronického zařízení. A konečně pojem „distribuovaný“ odkazuje na ty výpočetní zdroje, které se nacházejí na různých síťově propojených počítačích či zařízeních a které mezi sebou komunikují a koordinují prostřednictvím předávaných zpráv.
Čekání na sjednocující stanovisko
„Směrnice NIS2 tak alespoň částečně osvětluje, na jaké služby evropský zákonodárce cílil a co měl typicky na mysli, když pojem cloud computingu do směrnice vkládal,“ vysvětluje Tomíšek. Posuzováno tímto eurokonformním výkladem by pak za poskytovatele cloud computingu měli být považováni pouze velcí hráči na trhu s cloudovými službami, jako jsou Google, Microsoft nebo Amazon.
Jan Tomíšek se domnívá, že ze strany regulátora bude uplatňován spíše materiální než formální výklad. Posuzovat se tedy bude služba podle toho, co je její podstatou, než jak je označená. „Jako nejrozumnější se jeví strategie v tuto chvíli vyčkat na sjednocující stanovisko pracovní skupiny Evropské komise, která snad poskytne jasnější rámec pro výklad problematických definic,“ uzavírá.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU