Varování Národního úřadu pro kybernetickou a informační bezpečnost pohledem forem správních činností

Základním cílem předkládaného článku je rozbor povahy varování, které může vydat Národní úřad pro kybernetickou a informační bezpečnost v případě zjištění kybernetické hrozby.

RB
Právnická fakulta Masarykovy univerzity

Článek se přitom na varování zaměřuje z toho pohledu, o jakou formu správní činnosti se jedná a jaké důsledky má, respektive může mít, jeho vydání pro jeho „adresáty“. S ohledem na skutečnost, že varování můžeme označit za neregulativní úkon, je podrobena zkoumání i otázka, zda a nakolik existují možnosti, jak se jeho vydání bránit. Navzdory tomu, že varování představuje neregulativní úkon, má otázka ochrany proti němu zásadní význam, neboť varování jako takové může zasáhnout do práv a povinností konkrétních subjektů. Proto se článek zabývá i otázkou, jestli existuje procedura, v rámci které by bylo možné přezkoumat existenci důvodů pro vydání varování.

Úvod 

Dne 17. 12. 2018 Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) vydal varování, č. j. 3012/2018-NÚKIB-E/110, kterým upozornil, že technické nebo programové prostředky čínských společností Huawei Technologies a ZTE Corporation představují hrozbu v oblasti kybernetické bezpečnosti. Tento krok NÚKIBu vzbudil poměrně velkou pozornost nejen odborné veřejnosti. Zmíněné varování tak bylo podrobeno kritice a hodnocení i v rámci široké veřejnosti, politickou reprezentaci nevyjímaje.[1] Předesílám, že se v rámci tohoto článku nebudu konkrétně zmíněným varováním zabývat, respektive nebudu (a ani nemohu pro nedostatek informací) posuzovat, zda jeho vydání bylo provedeno v souladu se zákonem či nikoliv. Cíl tohoto článku je jiný. Mým záměrem je naopak přinést hodnocení toho, jakou formu správní činnosti veřejné správy varování představuje a jaké důsledky má jeho vydání pro jeho „adresáty“. Současně se zabývám i otázkou, zda existují možnosti, jak se jeho vydání bránit, popřípadě jestli existuje procedura, v rámci které by bylo možné přezkoumat existenci důvodů pro jeho vydání, respektive zákonnost jeho vydání jako takového. Právě poslední uvedená myšlenka má podle mého názoru zásadní význam, neboť varování jako takové má z mého pohledu nemalý potenciál zasáhnout do práv a povinností konkrétních subjektů. Pro podpoření těchto úvah je však nejprve nezbytné posoudit povahu varování jako takového.  

Opatření podle kybernetického zákona 

Zákon o kybernetické bezpečnosti řadí varování mezi tzv. opatření.[2] Ze znění uvedeného zákona lze dovodit, že NÚKIB musí v případě zjištění hrozby v oblasti kybernetické bezpečnosti varování vydat, a tudíž nedisponuje správním uvážením v otázce, zda v případě zjištění kybernetické hrozby varování vydá.[3] Určitou míru „úvahy“ tak má jen z hlediska hodnocení toho, zda zjištěné informace skutečně vedou k závěru o existenci kybernetické hrozby. Činnost NÚKIBu tak směřuje k tomu, že v dané situaci vyhodnocuje (interpretuje), zda zjištěné okolnosti spadají pod (respektive naplňují) pojem kybernetické hrozby, který zde má povahu neurčitého právního pojmu. 

Podle důvodové zprávy má varování primárně preventivní charakter s tím, že slouží k varování před konkrétní bezpečnostní hrozbou.[4] Smyslem varování je oficiální publikace informací o bezpečnostní hrozbě,[5] tj. preventivní informování orgánů a osob, a to ještě před tím, než se tyto hrozby projeví v kybernetickém prostoru. „Vydávaná varování necílí jen na […] povinné osoby podle zákona o kybernetické bezpečnosti, ale jsou obecně platná (pro subjekty soukromého i veřejného sektoru).“[6] Varování představuje přitom podle důvodové zprávy speciální druh správního aktu,[7] který na rozdíl od dalších druhů opatření, reaktivního a ochranného, není právně závazné.[8]

Je namístě uvést, že podle zákona o kybernetické bezpečnosti je NÚKIB oprávněn vydat mimo varování i již zmíněná reaktivní a ochranná opatření. Reaktivní a ochranná opatření přitom může podle zákona o kybernetické bezpečnosti NÚKIB vydat buď ve formě správního rozhodnutí, nebo opatření obecné povahy. Bylo by přitom zkratkovité se domnívat, že nastíněné zákonné vymezení, podle kterého mohou být ochranná a reaktivní opatření vydána ve formě správního rozhodnutí nebo opatření obecné povahy, s sebou nebude přinášet žádné aplikační nejasnosti či obtíže. Po mém soudu tomu bude v řadě případů opačně a řadu nejasností zejména v hraničních případech ve finální fázi vyřeší až rozhodovací praxe soudů. 

V případě varování je přitom současná situace složitější, neboť zákonodárce ani nenaznačuje, o jakou formu činnosti se v případě varování jedná, respektive v důvodové zprávě uvádí jen některé dílčí znaky, které v omezené míře napomáhají zařazení varování do konkrétní „skupiny“ správních činností. Přitom určení toho, jakou formu správní činnosti varování představuje, není samoúčelné, neboť možnosti dotčených subjektů bránit se proti jednotlivým formám správní činnosti se liší, respektive možnosti ochrany jsou u každé jednotlivé formy správní činnosti odlišné.

Varování a formy správní činnosti

Před samotným rozborem toho, jakou formu správní činnosti veřejné správy varování představuje, považuji za vhodné alespoň krátce shrnout, co představují již několikrát zmíněné pojmy správní činnost a formy správní činnosti. 

V obecnosti můžeme správní činnost chápat jako projev výkonu působnosti veřejné správy vůči jejím adresátům,[9] respektive lze uvést, že „činnost veřejné správy se uskutečňuje v určitých formách“.[10] Protože existuje nemalé množství jednotlivých druhů správních činností, je nezbytné jejich rozřazení do skupin se společnými znaky. Tyto skupiny pak bývají označovány jako formy správní činnosti, formy jednání veřejné správy či formy státní správy.[11] Platí přitom, že „aktivity veřejné správy se projevují v různých, poměrně bohatých formách, které se teorie pokouší více či méně úspěšným způsobem klasifikovat“.[ 12] Rozdělování mezi jednotlivé skupiny, ani zařazování jednotlivé „správní činnosti“ do dané konkrétní skupiny není vždy jednoduché a jednoznačné, neboť hranice mezi nimi nepředstavují „čínskou zeď“, ale naopak jsou vnitřně prostupné. 

Není přitom cílem, ani smyslem tohoto článku přinést vyčerpávající pojednání o jednotlivých formách správních činností a jejich rozlišování, ale naopak alespoň částečně upozornit na ne zcela zřetelné linie mezi jednotlivými skupinami a také na nejednotnou terminologii spojenou s označováním jednotlivých forem správní činnosti. To má totiž za následek, že zařazení ne zcela obvyklých správních činností, jako je po mém soudu varování, není zcela jednoznačné, respektive není na první pohled zřejmé, jakou formu správní činnost varování představuje. Právě s ohledem na tuto skutečnost i v dalších částech tohoto článku vycházím z materiálního pojetí forem správní činnosti, kdy pro zařazení určitého „výstupu“ činnosti veřejné správy do konkrétní „skupiny“ správních činností považuji za rozhodující vlastnosti dané konkrétní správní činnosti, a nikoliv jejich formální označení. 

Lze přitom upozornit, že zákony v řadě případů výslovně neurčují,[13] jakou konkrétní formu správní činnosti mají správní orgány pro daný „jednotlivý případ“ využít. Taková situace může být i záměr zákonodárce směřující k tomu, aby měl správní orgán dostatečnou „volnost“ ve výběru toho, jakým způsobem bude na daný skutkový stav reagovat. Ostatně tak je tomu v případě již zmíněných reaktivních a ochranných opatření, u kterých NÚKIB „sám“ (v rámci správního uvážení) rozhodne o tom, zda je přijme ve formě správního rozhodnutí nebo opatření obecné povahy. Již výše jsem naznačoval, že „rozhodnutí o správné formě“ správní činnosti nebude vždy jednoduché, respektive jednoznačné. 

V případě varování je posouzení jeho vlastností, respektive zařazení do určité „skupiny“ správních činností veřejné správy, složitější, neboť varování jako takové samo se nejeví, alespoň z hlediska pravidelnosti výskytu v právních předpisech, jako obvyklá, respektive pravidelná a základní forma správní činnosti.[14] Skutečnost, že zákon o kybernetické bezpečnosti řadí varování souvztažně s reaktivními a ochrannými opatřeními mezi opatření, podle mého názoru také nedává jasnou odpověď na to, jakou formu správní činnosti varování představuje, a to minimálně ze dvou důvodů. Za prvé i v případě ochranných a reaktivních opatření se může jednat, respektive je možné je vydat (minimálně z formálního hlediska) jako správní akt a abstraktně konkrétní akt. Tudíž zde pro ně není jasně daná forma správní činnosti. Současně ani v odborné literatuře, ani v judikatuře není označení opatření používáno pro žádnou konkrétní formu správní činnosti, tudíž samotné označení varování za opatření nedává bližší odpověď na otázku, jakou formu správní činnosti varování představuje.

Vyjdu-li z již výše uvedeného, pak platí, že varování by mělo vždy upozorňovat na jednotlivou, konkrétní kybernetickou hrozbu. Toto omezení na konkrétní kybernetickou hrozbu po mém soudu proto zužuje okruh forem správní činnosti, do kterých by bylo možné varování zařadit. Z tohoto důvodu po mém soudu přichází do úvahy (při materiálním pohledu) celkem tři možné formy správní činnosti, jejichž definiční znaky by mohlo varování naplňovat, a to správní akt (správní rozhodnutí), abstraktně konkrétní akt (opatření obecné povahy) nebo neregulativní úkon.[15] Právě určení toho, které znaky z uvedených forem činnosti varování naplňuje, jsou věnovány následující řádky. 

Jako správní akty (správní rozhodnutí) můžeme označovat výsledky jednání příslušného vykonavatele veřejné správy (správního orgánu), který jednal na základě zákona, jednostranně a autoritativně rozhodl o právech nebo povinnostech od správního orgánu odlišných subjektů (vnější působnost správního aktu) s tím, že jeho závěry jsou bezprostředně právně závazné v konkrétní věci vůči konkrétním (individuálně určeným) subjektů, jimž je správní akt určen.[16] Správní akty (správní rozhodnutí) mají být vydány v rámci zákonem stanoveného formalizovaného postupu, pravidelně v rámci správního řízení. Je namístě doplnit, že správní akty (správní rozhodnutí) smí vydat jen správní orgány k tomu příslušné, jinak by mohl být takový „akt“ stižen vadou nicotnosti.[17]

Vyjdeme-li z nastíněné charakteristiky, varování vydávané NÚKIBem naplňuje jen dílčí definiční znaky správního aktu (správního rozhodnutí). Jediný zcela naplněný definiční znak je, že varování smí vydat zákonem stanovený správní orgán, konkrétně NÚKIB. Další definiční znaky již nepovažuji za naplněné. Do určité míry bychom mohli uvažovat o naplnění znaku konkrétnosti, avšak toliko z pohledu „předmětu upravovaných vztahů“, ke kterým se varování vztahuje. NÚKIB totiž má prostřednictvím varování varovat před konkrétní (individualizovanou) hrozbou. Varování nicméně nesměruje vůči konkrétním individuálně určeným subjektům, ale naopak jeho smyslem je informovat o existující hrozbě co největší okruh subjektů, čímž se naopak blíží svou povahou aktům abstraktním, jejichž znakem je neurčitý okruh adresátů. Protože po mém soudu nemůžeme hovořit o „právně mocenském zásahu do sféry práv a svobod svých (explicitně uvedených) adresátů,“[18] již jen z tohoto důvodu nemůžeme varování charakterizovat jako správní akt (správní rozhodnutí). 

Současně je na místě doplnit, že pokud by bylo varování vydáváno ve formě správního aktu (správního rozhodnutí), pak by jen velmi obtížně splnilo svůj předpokládaný cíl, kterým je zejména informování co nejširšího okruhu subjektů tak, aby mohly na zveřejněnou hrozbu v budoucnu reagovat. 

Poslední zkoumanou otázkou je posouzení, zda je varování vydáváno jako výsledek formalizovaného procesu, respektive správního řízení. Jakkoliv lze připustit, že vydání varování nesmí být projevem libovůle, a vždy tudíž musí být do jisté míry výsledkem formalizovaného „procesu“, mám za to, že jeho vydání je výsledkem činnosti, kterou lze jen obtížně charakterizovat jako striktně formalizovaný proces, respektive zákon o kybernetické bezpečnosti takový postup nepředpokládá. Tím méně je proto možné vyhodnotit postup vydávání varování jako správní řízení. Lze po mém soudu uzavřít, že varování není individuální správní akt – správní rozhodnutí.

Článek byl publikován v časopise Právník č. 9/2020. Jeho pokračování je dostupné zde.


[1] Kupř. lze uvést článek GOLIS, Ondřej. Zeman o Huawei ve světle faktů: kdo varoval jako první, jak reagují jiné státy a jak vypadají investice? In: iRozhlas.cz [online]. 11. 1. 2019 [cit. 2020-03-26]. Dostupné z: Zeman o Huawei ve světle faktů: kdo varoval jako první, jak reagují jiné státy a jak vypadají investice? | iROZHLAS - spolehlivé zprávy

[2] Podle § 11 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, „opatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu“. 

[3] Podle § 12 odst. 1 zákona o kybernetické bezpečnosti „úřad vydá varování, dozví-li se zejména z vlastní činnosti nebo z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti“. 

[4] Důvodová zpráva k zákonu o kybernetické bezpečnosti. 

[5] POLČÁK, Radim. Kybernetická bezpečnost jako aktuální fenomén českého práva. Revue pro právo a technologie. 2015, roč. 6, č. 11, s. 113. 

[6] LECHNER, Tomáš. Problematika kybernetické bezpečnosti z pohledu obcí. Veřejná správa. 2014, roč. 12, č. 4, s. 23. 

[7] Blíže však tento druh správního aktu důvodová zpráva nespecifikuje. 

[8] Důvodová zpráva k zákonu o kybernetické bezpečnosti.

[9]9 KOPECKÝ, Martin. Správní právo: obecná část. Praha: C. H. Beck, 2019, s. 146. 

[10] HENDRYCH, Dušan. Správní věda: teorie veřejné správy. 4. aktualizované vydání. Praha: Wolters Kluwer, 2014, s. 119. 

[11] KOPECKÝ, Martin. Správní právo: obecná část, s. 146. 

[12] SLÁDEČEK, Vladimír. Obecné správní právo. 4. aktualizované vydání. Praha: Wolters Kluwer, 2019, s. 115. 

[13] HENDRYCH, Dušan. Správní věda: teorie veřejné správy, s. 81

[14] Varování se objevuje i v některých dalších zákonech, a to konkrétně v zákoně o vodách, kde se o varování hovoří v souvislosti s informováním obyvatelstva před hrozícími povodněmi, popřípadě v zákoně o ČNB, která může při plnění svých úkolů vydat varování určené veřejnosti, orgánům České republiky anebo jednotlivým nebo druhově určeným osobám. Současně se předpokládá možnost vydání varování ze strany provozovatele distribuční soustavy, a to v případě hrozby vzniku stavu nouze ve smyslu energetického zákona. Povaha těchto varování se od varování ve smyslu kybernetického zákona v zásadě neliší, neboť slouží, s výjimkou varovaní podle zákona o ČNB, které může být adresováno i konkrétní osobě, primárně k informování široké veřejnosti o konkrétní hrozbě. Mimoto se v českém právním řádu objevuje i varování „soukromoprávní“ ve smyslu § 2896 odst. 2 o. z., které však má odlišnou funkci a kterému právě pro jeho specifika věnuji větší pozornost níže. 

[15] Pro účely tohoto článku primárně vycházím z dělení forem správních činností, jak je vymezuje kolektiv autorů „pražské“ učebnice správního práva. Současně je vhodné upozornit, že existují i odlišné přístupy k rozdělování forem správní činnosti, a to např. PRŮCHA, Petr. Správní právo: obecná část. 8. doplněné a aktualizované vydání. Brno: Doplněk, 2012, s. 269, který formy správní činnosti dělí primárně na 1) normativní správní akty, 2) individuální správní akty, 3) správní akty smíšené povahy, 4) veřejnoprávní smlouvy, 5) faktické úkony s přímými právními důsledky, nebo SLÁDEČEK, Vladimír. Obecné správní právo, 2019, s. 115, a KOPECKÝ, Martin. Správní právo: obecná část, s. 146, kteří přinášejí další možná dělení forem správní činnosti. 

[16] HENDRYCH, Dušan. Správní právo: obecná část. 9. vydání. Praha: C. H. Beck, 2016, s. 133. 

[17] SLÁDEČEK, Vladimír. Obecné správní právo, s. 131.

[18]  HENDRYCH, Dušan. Správní právo: obecná část, s. 133.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články

Tento web využívá cookies pro zajištění funkčnosti webu a získání statistik návštěvnosti webu