V srpnu roku 2020 vstoupila v účinnost pravidla týkající se využívání cloud computingových služeb orgány veřejné správy, která zavedla tzv. katalog cloud computingu. Jedná se o komplexní set pravidel, které musí splnit každá cloudová služba, jenž má být využívána orgány veřejné správy.
Tato pravidla byla původně zavedena jako součást velké digitalizační novely právního řádu, ke které mělo dojít v rámci přijetí tzv. digitální ústavy (dnes zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů), a to v rámci zákona o informačních systémech veřejné správy (zákon č. 365/2000 Sb.; dále také jen „ZoISVS“). Záhy se však ukázala jako nedostatečná a Ministerstvo vnitra ČR navrhlo její úpravu další novelou ZoISVS, která vstoupila v účinnost 1. září 2021. Spolu s ní rovněž došlo k přijetí tzv. cloudové vyhlášky (vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu) a dalších souvisejících předpisů.
ZoISVS a cloudová vyhláška dnes tvoří hlavní právní rámec, kterým se musejí prodejci mající zájem dodávat služby cloud computingu orgánům veřejné správy řídit. Zde jen pro upřesnění: orgány veřejné správy (OVS) jsou určitou podmnožinou širšího pojmu orgány veřejné.
Plný režim pravidel katalogu cloud computingu platí až od 1. února 2022. Do té doby platila přechodná výjimka, která umožňovala OVS nakupovat i cloud computing, který nesplňoval podmínky; pokud k takovému nákupu došlo, OVS tyto cloudové služby mohou využívat až do 31. prosince 2022. Od 1. ledna 2023 budou muset migrovat na služby splňující všechny podmínky cloud computingu.
Další přechodné výjimky platí pro služby, které byly zapsány v katalogu cloud computingu před zářím 2021 (tj. podle starých pravidel) – ty mohou být využívány až do konce roku 2023.
Pokud služba nesplňuje nějakou z výše uvedených podmínek, OVS ji může nakoupit (standardně podle pravidel zákona o zadávání veřejných zakázek), pouze pokud je zapsaná v katalogu cloud computingu vedeném Ministerstvem vnitra ČR jako tzv. nabídka cloud computingu (https://www.mvcr.cz/clanek/egovernment-cloud. aspx?q=Y2hudW09NQ%3D%3D), a to podle účinných pravidel ZoISVS a cloudové vyhlášky. Od 1. února rovněž platí nová metodika pro zápis služeb i poskytovatelů do katalogu cloud computingu (https://www.mvcr.cz/clanek/egovernment-cloud.aspx?q=Y2hudW09NQ%3D%3D).
K dnešnímu dni se zdá, že dosud žádná taková služba nebyla zapsána – všechny služby jsou tak zatím registrovány jen podle přechodné výjimky umožňující využívání do roku 2023. Cloudová vyhláška v zásadě zavedla dva sety pravidel, které musejí komerční prodejci (poskytovatelé) cloud computingu splnit, aby orgány veřejné správy mohly jejich služby využívat (pokud pomineme některé výjimky v § 6l odst. 1 ZoISVS, jako např. vertikální či horizontální spolupráce):
- musejí být registrovaní jako [důvěryhodní] poskytovatelé cloud computingu (v souladu s § 6m ZoISVS a přílohou č. 1 cloudové vyhlášky) – tento požadavek se přitom vztahuje na všechny zapojené subjekty (faktické dodavatele služby i případné (pře)prodejce služeb v závislosti na obchodním modelu daných poskytovatelů; pokud by některý z článků řetězce nebyl registrován, nelze služby do katalogu registrovat)
- služba, kterou OVS chce využívat, musí být daným poskytovatelem registrována jako nabídka cloud computinugu (tj. splňovat podmínky dle § 6n ZoISVS a přílohy č. 2 cloudové vyhlášky).
Výjimku z povinnosti zápisu pak mohou tvořit cloudové služby zahrnuté do bezpečnostní úrovně 1 (srov. požadavek dle § 6t odst. 1 ZoISVS). Celkově jsou stanoveny čtyři bezpečnostní úrovně, kde v úrovni 1–3 mohou být služby poskytovány komerčními poskytovateli; v nejvyšší úrovni 4 pak mohou být služby poskytovány jen státním poskytovatelem cloud computingu – stačí, že jsou dodávány zapsaným poskytovatelem a již nemusejí být registrovány jako nabídka cloud computingu v katalogu.
Materiální požadavky na zápis služeb (do bezpečnostní úrovně 2 a 3) jsou tak primárně koncentrovány v příloze č. 2 cloudové vyhlášky a specifikují požadavky na zajištění důvěrnosti, integrity a dostupnosti informací nabízeným cloud computingem. Celkově musejí poskytovatelé prokázat splnění téměř 50 požadavků. Splnění těchto požadavků je většinově možné doložit odkazy na smluvní podmínky anebo odkazy na mezinárodní bezpečnostní certifikáty – standardně ISO 27001, ISO 27010 a ISO 27018 a dále pak SOC 2® Type 2. Tyto certifikáty musejí být rovněž pravidelně předkládány v souladu s podmínkami přílohy č. 3 cloudové vyhlášky.
Pro některé nadnárodní poskytovatele může být pak hlavní překážkou splnění pravidel podle bodů 1.1 až 1.8 na umístění zákaznických dat (především pak lokace „zpracovávaných“ – tedy opak pouhého uložení některých údajů). Nebo pak požadavků bodů 2.1 až 2.6 na zpřístupňování zákaznických dat cizozemským orgánům. Tato pravidla jdou významně za rámec požadavků např. předpisů na ochranu osobních údajů (zejména GDPR) i jiných evropských pravidel pro využívání cloud computingu.
V této souvislosti bude zajisté významné sledovat další vývoj v přijímání evropských certifikačních schémat pro cloudové služby, jako je např. EUCS – Cloud Services Scheme připravovaný evropskou kybernetickou agenturou ENISA (https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme), který by měl přinést komplexní set pravidel pro využívání cloudových služeb a který by měl být rovněž pak sjednocen s požadavky cloudové vyhlášky.
Registrační proces poskytovatele může trvat přibližně dva až tři měsíce. Přibližně o měsíc déle je tomu se zápisem nabídek (toto prodloužení je způsobené obligatorním stanoviskem Národního úřadu pro kybernetickou bezpečnost). Tento proces se však fakticky může významně prodloužit v závislosti na aktuálních kapacitách ministerstva, které mohou být zahlceny významným množstvím přihlášek k registraci – např. v katalogu zapsaných nabídek vidíme, že ještě k 16. únoru 2022 byla zapsána nabídka, jejíž přihláška byla podána podle starých pravidel (tj. do září 2021).
Veškeré zapsané nabídky cloud computingu musejí být pravidelně aktualizovány. Zápis je pak platný na dobu tří let, kdy po uplynutí této doby může poskytovatel potvrdit, že zapsané údaje jsou stále aktuální a dojde k potvrzení o další tři roky. Po uplynutí těchto šesti let bude nabídka vymazána a poskytovatel musí projít novým registračním procesem (srov. § 6w odst. 1 písm. c) ZoISVS).
Veškeré nabídky cloud computingu musejí přitom být napárovány na tzv. poptávky vypisované buď konkrétními OVS, nebo obecně Ministerstvem vnitra ČR (podle generických potřeb veřejné správy). Jakmile orgán veřejné správy začne cloudovou službu využívat, měl by tuto skutečnost rovněž registrovat do katalogu cloud computingu] a zapsat tuto službu jako tzv. využívaný cloud computing.
