Dne 20. 1. 2020 byla Krajskému úřadu Plzeňského kraje (dále jen „KÚPK“) doručena žádost o poskytnutí informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů (dále jen „InfZ“), na základě které byly požadovány následující informace (v anonymizované podobě):
1. Sdělení, zda krizový plán kraje ve smyslu z. č. 240/2000 Sb., o krizovém řízení obsahuje seznam provozovaných prvků kritické informační infrastruktury ve smyslu § 2 písm. b) zákona č. 181/2014 Sb., o kybernetické bezpečnosti k 31. 12. 2019 (případně jinému Vámi evidovanému datu) na území kraje (dále jen „KII na území kraje“), pokud ne, z jakého důvodu;
2. Sdělení počtu KII na území kraje;
3. Poskytnutí seznamu KII na území kraje, včetně uvedení označení, předmětu činnosti a provozovatele u každého prvku;
4. Sdělení, zda výčet možných zdrojů rizik (zejména kybernetické incidenty/útoky/hrozby s případnými dopady na KII na území kraje) a analýzy ohrožení uvedené v rámci krizového plánu kraje obsahují rizika vůči KII na území kraje, pokud ne, z jakého důvodu;
5. Poskytnutí krizového plánu kraje, případně jeho částí, ve kterých jsou identifikována možná ohrožení funkce provozovaných KII na území kraje;
6. Poskytnutí typového plánu (včetně karty opatření) Narušení bezpečnosti informací kritické informační infrastruktury, který je aplikován pro řešení krizových situacích souvisejících s KII na území kraje, pokud není předmětný typový plán rozpracován v krizovém plánu kraje, z jakého důvodu a podle jakého plánu, případně jiného dokumentu, kraj postupuje v případě krizové situace související s narušením KII na území kraje (včetně poskytnutí tohoto dokumentu);
7. Sdělení, jaké plány/dokumenty krizové a havarijní dokumentace kraje obsahují postupy kraje související s participací/reakcí kraje na případná narušení KII na území kraje;
K jednotlivým bodům žádosti [vyjma jejího bodu 4) a části bodu 6), které byly odloženy dle § 14 odst. 5 písm. c) InfZ, a bodu 5), jenž byl vyřízen odkazem na zveřejněnou informaci dle § 6 odst. 1 InfZ] KÚPK sdělil a poskytl následující:
ad 1) Krizový plán Plzeňského kraje obsahuje seznam prvků kritické informační infrastruktury (dále jen „KII“).
ad 2) V tomto seznamu je uvedeno 118 prvků KII.
ad 3) Seznam prvků KII je uveden v příloze.
ad 6) Typový plán „Narušení bezpečnosti informací KII“ není v krizovém plánu rozpracován na podmínky kraje. Stanovení důvodů je však v působnosti HZS PK. Postup kraje v případě krizové situace související s narušením KII na území kraje je uveden v dokumentech uvedených níže pod bodem ad 7).
ad 7) Plán připravenosti KÚPK obsahují postupy při řešení mimořádné události a krizové situace, a to „Narušení poskytování veřejně dostupných služeb elektronických komunikací velkého rozsahu“ a „Narušení funkčnosti veřejných informačních vazeb velkého rozsahu“ (viz přílohy).