Metodický pokyn k aplikaci § 5b zákona č. 365/2000 Sb., o informačních systémech veřejné správy

Digitální a informační agentura vydává na základě § 4 odst. 1 písm. c) zákona č. 365/2000 Sb., o informačních systémech veřejné správy (dále také „Zákon“) tento metodický pokyn pro výkon odborných činností spojených s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy.

Účelem metodického pokynu je výklad § 5b Zákona, pokud jde o okamžik, kdy je nutné jej začít plnit.

Ustanovení § 5b Zákona, ve znění účinném od 1. listopadu 2026, zní:

Ustanovení § 13 odst. 4 zákona č. 264/2025 Sb., o kybernetické bezpečnosti, jehož přiměřené použití je ustanovením § 5b Zákona uloženo, předpokládá, že poskytovatel regulované služby začne plnit povinnost zavádět a provádět bezpečnostní opatření pro každou regulovanou službu nejpozději do 1 roku ode dne doručení rozhodnutí o registraci regulované služby.

Správce informačního systému veřejné správy, na kterého se povinnost zavádět bezpečnostní opatření vztahuje přiměřeně, jak stanoví § 5b Zákona, svou službu nijak neregistruje, není-li zároveň poskytovatelem regulované služby podle zákona č. 264/2025 Sb., o kybernetické bezpečnosti. Správcem informačního systému veřejné správy se stává již v okamžiku, kdy fakticky existuje informační systém veřejné správy a je zde orgán veřejné správy, který je jeho správcem (pozn. definice informačního systému veřejné správy a definice správce informačního systému veřejné správy, obsažené v § 2 odst. 1 písm. b) a c) Zákona, jsou materiální), nejpozději však v okamžiku nabytí účinnosti zákonného ustanovení, které správce konkrétního informačního systému veřejné správy výslovně určuje. Zároveň ustanovení § 5b Zákona nepředpokládá na rozdíl od § 13 odst. 4 zákona o kybernetické bezpečnosti pro svou aplikaci výslovně žádnou lhůtu.

Výklad spočívající v tom, že by správci informačních systémů byly nuceni povinnosti podle § 8, § 13 a § 14 zákona o kybernetické bezpečnosti, plnit již od nabytí účinnosti ustanovení § 5b Zákona, zatímco poskytovatelé regulované služby až po uplynutí jednoho roku od doručení rozhodnutí o registraci regulované služby, lze považovat za výklad zakládající nedůvodnou nerovnost mezi těmito druhy subjektů.

S ohledem na uvedené je nutné překlenout, že lhůta uvedená v § 13 odst. 4 zákona o kybernetické bezpečnosti v § 5b Zákona absentuje, jakož i to, že správci informačních systémů veřejné správy nejsou registrováni podle § 13 odst. 4 zákona o kybernetické bezpečnosti a v § 5b není stanoven počátek běhu předmětné lhůty.

Digitální a informační agentura vykládá povinnost přiměřeného použití aplikace § 8, § 13 a § 14 zákona o kybernetické bezpečnosti, pokud jde konkrétně o přiměřené použití § 13 odst. 4 zákona kybernetické bezpečnosti, tak, že správce informačního systému veřejné správy je stejně jako poskytovatel regulované služby povinen začít plnit povinnosti podle § 5b Zákona do 1 roku, přičemž pokud jde o počátek běhu této lhůty, tak s ohledem na to, že nedochází k registraci ve smyslu § 13 odst. 4 zákona o kybernetické bezpečnosti, počíná lhůta běžet ode dne, kdy se stal správcem informačního systému veřejné správy, nejdříve však do 1 roku ode dne nabytí účinnosti § 5b zákona.

Správce informačního systému veřejné správy je povinen začít plnit povinnosti podle § 5b Zákona do 1 roku ode dne, kdy se stal správcem informačního systému veřejné správy, nejdříve však do 1 roku ode dne nabytí účinnosti § 5b Zákona, tj. do 1. listopadu 2026.