Regulace cloud computingu veřejné správy
Zdroj: IT Systems
Autoři: Mgr. et Mgr. Ing. Jan Tomíšek, Ph.D., Mgr. David Sláma
V minulém článku jsme představili základní přehled regulace poskytování cloudových služeb orgánům veřejné správy. Vzhledem k této regulaci zpravidla není možné, aby veřejný subjekt realizoval IT řešení formou tzv. cloud computingu bez naplnění předpokladů a procesů na straně dodavatele i veřejného subjektu. Cílem tohoto textu je podrobněji rozebrat některé aspekty poskytování cloud computingu veřejné správě z pohledu dodavatele a upozornit na úskalí, která aplikace příslušné regulace přináší.
Regulace cloud computingu v zákoně č. 365/2000 Sb., o informačních systémech veřejné správy („ZISVS“) ukládá dodavatelům i zákazníkům, kteří jsou orgány veřejné správy („OVS“) řadu povinností, jež předcházejí samotnému poskytování cloudových služeb. V minulém textu jsme popsali zejména potřebu vyhodnocení, zda je zákazník OVS a zda se na poptávané řešení vůbec regulace uplatní. V případě, že se regulace aplikuje, je nutné vyřešit zápisy poptávky, poskytovatele a nabídky do katalogu cloud computingu. Právě na problematiku související se zápisy se zaměříme v tomto textu.
Dodavatelské řetězce veřejné správy
Poskytování cloudových služeb obecně může zahrnovat řadu pestrých služeb různých dodavatelů. ZISVS za poskytovatele cloud computingu považuje všechny členy dodavatelského řetězce, kteří v rámci dané dodávky poskytují služby naplňující definiční znaky cloud computingu. Takové subjekty se označují jako poskytovatelé. Členové dodavatelského řetězce nabízející služby, které nejsou cloud computingem, se pro rozlišení označují jako dodavatelé.
Při interpretaci ZISVS je možné vyjít z podpůrných materiálů, které zveřejňuje Digitální a informační agentura („DIA“) na svých webových stránkách, jako jsou např. otázky a odpovědi. Podle nich jsou typickými příklady poskytovatelů v dodavatelském řetězci prodejci, distributoři cloudových služeb, provozovatelé datových center či vlastníci softwarových prostředků provozovaných na infrastruktuře jiného poskytovatele, např. provozovatele datového centra. Takto široký seznam typů poskytovatelů vychází z požadavků ZISVS na cloud computing, na němž je závislé poskytování nabízeného cloud computingu (tzv. podpůrný cloud computing), které jsou obdobné jako požadavky na samotný nabízený cloud computing. Dodavatelé jsou zpravidla subjekty poskytující poskytovatelům hardware, software a služby (např. service desk), které nejsou cloud computingem. Poskytovatelé a jejich služby mají povinnost být zapsáni v katalogu cloud computingu, zatímco dodavatelé tuto povinnost nemají.
Specifickým subjektem je systémový integrátor podle otázek a odpovědí na webu DIA. Není a priori jasné, zda bude poskytovatelem, nebo dodavatelem. Pokud integrátor pouze provede integraci a výsledné služby provozuje zákazník, bude dodavatelem. V takovém případě nemusí být zapsán v katalogu cloud computingu. Pokud integrace vytvoří novou službu, kterou integrátor provozuje, stává se poskytovatelem. Vznikne povinnost zápisu v katalogu.
Další výjimky ze zápisu do katalogu
V praxi se lze setkat naopak i s dalšími případy, kdy není nutný zápis poskytovatele, resp. nabídky, do katalogu cloud computingu. Pokud OVS má již zakoupeny licence k softwarovému řešení a toto chce provozovat pomocí cloudu, má několik možností. Pokud se rozhodnete pronajmout si služby IaaS či PaaS a provozovat řešení v single-tenant režimu, nejedná se o cloud computing, a dané licence nejsou cloud computingem regulovány.
Specifická je obecně situace s různými řešeními typu SaaS. Ani v této kategorii nemusí být každé řešení cloud computingem. Tím pádem nemusí podléhat příslušné regulaci. Pro zařazení SaaS do režimu cloud computingu je nutné splnit dvě podmínky. Řešení musí sloužit více správcům ISVS (OVS) v roli tenantů. Ti jej využívají k provozu vlastních ISVS, nebo jiným zákazníkům. Řešení musí být provozováno na sdílené platformě cloud computingu třídy IaaS, případně PaaS. Pokud tyto služby IaaS/PaaS jsou využívány jen pro poskytování daného SaaS, nezapisují se samostatně do katalogu.
Avšak nejde o cloud computing, pokud řešení slouží více OVS na nesdílené infrastruktuře. To znamená, že jsou provozovány na dedikované výpočetní infrastruktuře pro každého správce. Nejde o cloud computing, pokud řešení slouží pouze pro jedno OVS. Může jít o aplikaci umožňující vzdálený přístup přes internet nebo vnitřní síť. To platí i při provozu na platformě cloud computingu IaaS nebo PaaS. V takovém případě však platforma musí být zapsána do katalogu.
Bezpečnostní úrovně veřejné správy
Velký význam pro poskytování cloud computingu má jeho zařazení do bezpečnostní úrovně, od které se odvíjí povinnosti, jaké poskytovatel a dané řešení musí splňovat. Bezpečnostní úrovně jsou čtyři – nízká, střední, vysoká a kritická – přičemž cloud computing nejvyšší (kritické) úrovně může poskytovat jen státní poskytovatel. Na druhou stranu na nízkou třídu jsou kladeny jen minimální požadavky. Zařazení poptávky provádí zákazník (OVS) podle vyhlášky č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci. Pro dodavatele je klíčové nastavení služeb tak, aby splňovaly příslušná kritéria a aby se dodavatel mohl ucházet o veřejné zakázky, o které má zájem.
Zařazení cloud computingu do bezpečnostní úrovně je založeno na vyhodnocení nejvyššího možného dopadu v devíti různých kategoriích od bezpečnosti a zdraví lidí přes veřejný pořádek či důvěryhodnost po zajišťování služeb. Na rozdíl od posuzování v oblasti kybernetické bezpečnosti zde přitom nehraje roli pravděpodobnost, s jakou negativní dopad může nastat, ale samotná existence možnosti takového následku. Bezpečnostní úroveň cloud computingu pak odpovídá nejvyšší dosažené úrovni dopadu. Současně platí, že významný informační systém bude zpravidla alespoň ve vysoké bezpečnostní úrovni a kritická informační infrastruktura v kritické bezpečnostní úrovni.
Jak splnit požadavky na zápis do katalogu cloud computingu
Konkrétní povinnosti pro dodavatele podle bezpečnostní úrovně cloud computingu vychází z vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, zejména její příloha č. 2. Povinnosti jsou stanoveny v deseti oblastech, které se týkají zpracování, uložení, zpřístupnění a předání dat a nakládání s nimi, provádění kontrol, dostupnosti služby a zajištění jejího poskytování, připojení do výměnného uzlu internetu, certifikací a testování či kybernetické bezpečnosti.
Některé povinnosti platí pro všechny bezpečnostní úrovně. Významný rozdíl je mezi nízkou, střední a vysokou úrovní. U vysoké úrovně roste nárok na poskytovatele a řešení. Poskytovatel musí zvážit, jaké služby chce nabízet. Je důležité přizpůsobit řešení a zajistit testy a certifikace. Poskytovatelé musí také přizpůsobit své procesy.
Časování zápisů do katalogu
Dalším zásadním úkolem pro dodavatele je zajištění zápisu sebe a svých služeb do katalogu cloud computingu. Zejména zápis poskytovatele je něco, s čím není důvod otálet – jde o proces, který je a priori zamýšlen jako zevrubný, a tím pádem poněkud zdlouhavý, ačkoliv je fakticky spíše jen formální a v důsledku pro dodavatele relativně jednoduchý. Přesto platí, že reaktivní zápis poskytovatele až třeba při vyhlášení atraktivní veřejné zakázky s největší pravděpodobností zápis znemožní.
Cílem řízení o žádosti o zápis poskytovatele do katalogu je zhodnotit naplnění podmínek zejména zajištění ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy. O žádosti rozhoduje Digitální a informační agentura („DIA“), která má lhůtu 45 dní.
DIA si vyžádá závazné stanovisko Národního úřadu pro kybernetickou bezpečnost („NÚKIB“) pro ověření požadavků. NÚKIB má na posouzení lhůtu tři měsíce. Lhůta DIA navíc neběží až další tři měsíce po dobu zjišťování informací z dalších úřadů.
Pro zápis nabídky jsou lhůty kratší, a to 30 dnů pro DIA a 30 dnů pro NÚKIB. Bylo i záměrem zákonodárce nastavit podmínky tak, aby zápis nabídky byl po zápisu poskytovatele již relativně snadnou záležitostí. Praxe však ukázala, že zápis nabídky je velmi komplikovaný na doložení všech potřebných skutečností a dokladů, čímž se podstatně prodlužuje oproti uvedeným lhůtám. Proto doporučujeme zápisy neodkládat a přípravu na ně nepodcenit.
