CS · EN DE FR brzy

1 Afs 1/2012 — Nejvyšší správní soud

ECLI: ECLI:CZ:KSBR:2023:62.A.23.2023.165
Datum: 2023-10-05
Z rozhodnutí: pokračování 8 62 A 23/2023…
62 A 23/2023- 165 - text pokračování 8 62 A 23/2023 [OBRÁZEK] ČESKÁ REPUBLIKA ROZSUDEK JMÉNEM REPUBLIKY Krajský soud v Brně rozhodl v senátě složeném z předsedy JUDr. Davida Rause, Ph.D., a soudců Mgr. Kateřiny Kopečkové, Ph.D., a Mgr. Filipa Skřivana v právní věci žalobce: Česká republika – Drážní úřad sídlem Wilsonova 8, Praha 2 zastoupen JUDr. Jaromírem Císařem, Ph.D., advokátem sídlem Hvězdova 2b, Praha 4 proti žalovanému: Národní úřad pro kybernetickou a informační bezpečnost sídlem Mučednická 31, Brno o žalobě proti rozhodnutí žalovaného ze dne 12. 1. 2023, č. j. 380/2023-NÚKIB-E/105, sp. zn. 105 – 1051/2022, takto: I. Žaloba se zamítá. II. Žalobce nemá právo na náhradu nákladů řízení. III. Žalovanému se nepřiznává náhrada nákladů řízení. Odůvodnění: I. Vymezení věci 1. Žalovaný rozhodnutím ze dne 1. 7. 2022, č. j. 8217/2022-NÚKIB-E/210 (dále jen „prvostupňové rozhodnutí“), uznal žalobce vinným ze spáchání přestupku dle § 25 odst. 5 písm. h) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Přestupku se žalobce dopustil tím, že jako správce významného informačního systému v rozporu s § 13 odst. 4 zákona o kybernetické bezpečnosti neoznámil do dne 22. 3. 2021 provedení úkonů popsaných v bodech č. 1 a č. 3 reaktivního opatření žalovaného ze dne 12. 3. 2021, č. j. 2377/2021-NÚKIB-E/350 (dále jen „reaktivní opatření“), a jejich výsledek žalovanému. Za spáchání přestupku uložil žalovaný žalobci pokutu ve výši 150 000 Kč a povinnost uhradit náklady řízení ve výši 1 000 Kč. O rozkladu žalobce rozhodl ředitel žalovaného tak, že jej zamítl a prvostupňové rozhodnutí potvrdil. II. Žaloba 2. Žalobce uznává, že naplnil formální znaky skutkové podstaty vytýkaného přestupku. Je však přesvědčen, že pokuta, kterou mu žalovaný uložil, je vzhledem k povaze, závažnosti a okolnostem přestupku zjevně nepřiměřená. Žalovaný výši pokuty neindividualizoval a nezohlednil konkrétní skutkové okolnosti přestupku. Žalobce proto napadá výroky II. a III. prvostupňového rozhodnutí, kterými došlo k uložení pokuty a povinnosti nahradit náklady řízení. 3. Žalobce uvádí, že sám sebe označil za správce významného informačního systému označeného jako „IceWarp - elektronická pošta“ ve smyslu § 2 písm. d) zákona o kybernetické bezpečnosti. Žalovaný opatřením obecné povahy stanovil reaktivní opatření k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem v souvislosti se zranitelnostmi Microsoft Exchange Server. Reaktivní opatření ukládalo dotčeným orgánům a osobám (včetně žalobce) povinnost provést ve stanovené lhůtě a) identifikaci Microsoft Exchange Server, b) byl-li Microsoft Exchange Server identifikován, povinnost postupovat dle písm. a) - h) reaktivního opatření, c) nebyl-li Microsoft Exchange Server identifikován, informovat o tomto zjištění žalovaného. 4. Reaktivní opatření se tedy týkalo výhradně zranitelnosti Microsoft Exchange Server. Bylo to první setkání žalobce s reaktivním opatřením žalovaného. Žalobce se mylně domníval, že se na něj reaktivní opatření nevztahuje, neboť žalovanému oznámil informace o své elektronické poště a žalobce nedisponuje řešením Microsoft Exchange Server. V důsledku toho žalobce žalovanému neoznámil, že Microsoft Exchange Server vůbec není součástí jeho informačního systému nebo sítě elektronických komunikací. Skutečnost, že žalobce provozuje pouze mailové řešení IceWarp, poté žalovaný sám zjistil podle MX záznamů pro doménu ducr.cz. Neprodleně poté, co se žalobce o svém pochybení z příkazu dozvěděl, provedení reaktivního opatření oznámil. 5. Žalobce uvádí, že při individualizaci sankce je třeba zohlednit především intenzitu skutkových okolností, s jakou došlo k porušení právem chráněných hodnot a zájmů v konkrétním případě, a reflektovat také princip spravedlnosti. Žalovaný při ukládání sankce vzal v úvahu řadu polehčujících okolností. Nepřihlédl ovšem k tomu, že pochybení žalobce nespočívalo v neprovedení konkrétního úkonu, který by zabránil kybernetickému útoku či odvrátil případnou kybernetickou hrozbu, ale pouze v neoznámení, že jeho kritická infrastruktura nemůže být ohrožena, neboť Microsoft Exchange Server není vůbec součástí mailového řešení žalobce. Tuto informaci přitom mohl žalovaný získat vlastní činností, což ostatně učinil. 6. Žalovaný zcela odmítl argument žalobce, že v rozhodném období byla celá společnost zasažena pandemií Covid-19 a souvisejícími opatřeními, která činnost žalobce mimořádně ztížila. Reakce na reaktivní opatření nebyla nijak složitá, pro žalobce však bylo v době výpadku zaměstnanců obtížné zkontrolovat, zda byl úkol, jenž je navíc mimo standardní náplň práce zaměstnanců žalobce, řádně splněn. Žalobce vykonává svou působnost v oblasti drah a problematika kybernetické bezpečnosti mu není nikterak blízká. Ze strany Ministerstva vnitra nebyla vydána na věc dopadající metodika. 7. Žalovaný uvedl, že pokutu vyměřil z rozpočtu žalobce, který pro rok 2022 činil 105 459 000 Kč. Tyto prostředky jsou však účelově vázány na povinnosti vyplývající z náplně jeho činnosti, zejména platy zaměstnanců. Pokuta 150 000 Kč je proto mimořádným zásahem do poměrů žalobce, který může negativně ovlivnit jeho fungování. Pokutu ve výši 150 000 Kč nelze považovat za sankci ve spodní hranici zákonem stanovené sazby. 8. Nestanovením spodní hranice výše pokuty zákonodárce projevil vůli, aby v individuálních případech se zanedbatelnou společenskou škodlivostí sankce ukládána nebyla, nebo aby byla ukládána sankce velmi nízká. Žalovaný měl na základě uvedeného a polehčujících okolností, které sám shledal (nebyla způsobena škoda a žalobce bezprostředně po zahájení řízení o přestupku zjednal nápravu), aplikovat § 43 odst. 2 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich (dále jen „zákon o přestupcích“), a od sankce upustit. Namísto toho ovšem žalovaný akcentoval represivní funkci pokuty. Žalobce proto navrhuje, aby soud změnil výrok II. prvostupňového rozhodnutí tak, že se upouští od uložení pokuty, a aby soud zrušil výrok III. prvostupňového rozhodnutí, kterým se stanoví povinnost nahradit náklady řízení. III. Vyjádření žalovaného a replika žalobce 9. Žalovaný je přesvědčen, že žalobní argumentace se shoduje s argumentací žalobce ve správním řízení. Tou se žalovaný zabýval již v napadeném rozhodnutí. Tvrzení žalobce, že měl za to, že se na něj povinnost uvedená v reaktivním opatření nevztahuje, považuje žalovaný za účelové. Reaktivní opatření jasně stanoví povinnost i subjektům, které Microsoft Exchange Server neprovozují. 10. To, že se jednalo o první reaktivní opatření, se kterým se žalobce setkal, není pro posouzení věci relevantní. Žalovaný sice dokázal sám zjistit, že Microsoft Exchange Server není součástí významného informačního systému, jehož je žalobce správcem, tato informace však sama o sobě nenahrazuje včasné oznámení provedení reaktivního opatření povinným subjektem. Zcela absurdní je pak představa, že žalovaný sám požadované informace zkontroluje u všech povinných subjektů. Obdobně žalovaný zhodnotil i to, že žalobce provedení reaktivního opatření dodatečně oznámil. Žalovaný v kritické době informaci neměl k dispozici a nevěděl, zda žalobce vzal existenci reaktivního opatření na vědomí. Včasná komunikace mezi povinnými subjekty a žalovaným je pro ochranu kybernetické bezpečnosti zásadní. I když nevznikla v důsledku jednání žalobce škoda, chráněný zájem byl přesto porušen, jelikož komunikace byla zpřetrhána. Jednání žalobce tedy bylo škodlivé. 11. Žalovaný zohlednil zavinění ve formě nevědomé nedbalosti. V případě úmyslného jednání by uložil sankci vyšší. Kybernetická bezpečnost je zpravidla ohrožena více v době krize. Pandemickou situaci tedy nelze zohlednit jako polehčující okolnost. Sankci nelze považovat za nepřiměřenou proto, že s ní žalobce v rámci rozpočtu nepočítal. Pokuta je z povahy věci sankcí a pachatel jí tedy musí pociťovat, aby splnila svůj účel. Žalovaný poukázal na současný vývoj právní úpravy, směřující ke zpřísnění sankcí v odvětví kybernetické bezpečnosti, což dokládá společenský význam chráněného zájmu. Dle žalovaného argumenty žalobce neodůvodňují snížení uložené pokuty, a proto navrhuje, aby soud žalobu zamítl. 12. Žalobce v replice setrval na své argumentaci. Žalovaný ve svém vyjádření podle něj opakuje již v napadeném rozhodnutí uvedené argumenty. Žalobce poukazuje na to, že nelze odůvodňovat výši uložené pokuty budoucí (možnou) úpravou. Argumentace žalovaného pravděpodobným budoucím zpřísněním sankcí v oboru kyberbezpečnosti je proto nepřípustná. IV. Posouzení věci krajským soudem 13. Žaloba byla podána včas [§ 72 odst. 1 zákona č. 150/2002 Sb., soudního řádu správního (dále jen „s. ř. s.“], osobou k tomu oprávněnou (§ 65 odst. 1 s. ř. s.). Žaloba je přípustná (zejména § 65, § 68 a § 70 s. ř. s.). 14. Žaloba není důvodná. 1

Citovaná ustanovení

§ 103 (150/2002 Sb.)§ 60 (150/2002 Sb.)§ 65 (150/2002 Sb.)§ 70 (150/2002 Sb.)§ 72 (150/2002 Sb.)§ 78 (150/2002 Sb.)§ 25 (181/2014 Sb.)§ 43 (250/2016 Sb.)
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.