<!DOCTYPE html> <html lang="cs"> <head> <title> 6 A 154/2025- 32 - text</title> </head> <body> ÿþ pokra ování 10 6 A 154/2025<br/><br/>[OBRÁZEK] ESKÁ REPUBLIKA<br/>ROZSUDEK<br/>JMÉNEM REPUBLIKY<br/><br/>Mstský soud v Praze rozhodl v senát slo~eném z pYedsedy JUDr. Ladislava Hejtmánka a soudkyH JUDr. Hany KadaHové, Ph.D. a Mgr. Hany Janotové ve vci <br/><br/><br/>~alobce: J. C.<br/> bytem X<br/> <br/> <br/>proti <br/><br/>~alovanému: Ministerstvo pro místní rozvoj<br/> sídlem Staromstské námstí 6, Praha <br/><br/>o ~alob proti rozhodnutí ~alovaného ze dne 24. Yíjna 2025, . j. MMR-70418/2025-31,<br/><br/><br/>takto:<br/><br/>I. Rozhodnutí Ministerstva pro místní rozvoj ze dne 24. Yíjna 2025, . j. MMR-70418/2025-31, se ruaí, a vc se vrací ~alovanému k dalaímu Yízení.<br/><br/>II. }alovaný je povinen ~alobci zaplatit náhradu náklado Yízení tvoYených zaplaceným soudním poplatkem ve výai 3 000 K , a to do 30 dno od právní moci tohoto rozsudku.<br/><br/><br/><br/><br/><br/><br/>Odovodnní:<br/>I. Vymezení vci<br/>[1] }alobce podal dne 14. 2. 2025 ~ádost o poskytnutí zpráv z provedeného penetra ního testování systémo Digitálního stavebního Yízení (dále té~  DSX ), a to k Ministerstvu pro místní rozvoj (dále té~  povinný subjekt nebo  ~alovaný ). Podanou ~alobou brojí proti neposkytnutí informace pod . 4 ~ádosti, kde se domáhal  poskytnutí výsledných zpráv z penetra ního testování systémo digitálního stavebního Yízení, zpracovaných spole nostmi ESET a DCIT (zakázky . VZ/2024/034/1064 a VZ/2024/034/1074) .<br/>[2] }ádost byla dne 25. 4. 2025 povinným subjektem áste n odmítnuta rozhodnutím . j. MMR-33456/2025-31. V rámci jeho vydání nebyla dodr~ena zákonná lhota pro vydání rozhodnutí. }alobce nejdYíve musel neúspan vy erpat ochranné prostYedky proti ne innosti. Poté musel podat ~alobu na ochranu proti ne innosti ke zdejaímu soudu. V usnesení ze dne 30. 6. 2025, . j. 17 A 34/2025-32, zdejaí soud uvedl, ~e ke dni podání ~aloby byl povinný subjekt ne inný ve vci (Yízení bylo zastaveno z dovodu zptvzetí ~aloby, neboe ~alovaný po podání ne innostní ~aloby vydal rozhodnutí). <br/>[3] }alobce následn podal v dané vci rozklad. O nm opt pYi nedodr~ení zákonné lhoty rozhodoval ministr pro místní rozvoj, který dané rozhodnutí zruail a vc vrátil povinnému subjektu k novému projednání. Povinný subjekt byl i nadále ne inný. Ministr pro místní rozvoj ani v tomto pYípad nic neu inil k odstranní ne innosti. }alobce se proto znovu obrátil za zdejaí soud. Byl vydán rozsudek ze dne 10. 11. 2025, . j. 18 A 75/2025-33, kterým byla znovu konstatována ne innost povinného subjektu.<br/>[4] }alobce se obával, ~e povinný subjekt zaujme ne innostní postoj i  napotYetí . Z toho dovodu se rozhodl vyu~ít mo~nosti, kterou uvedl Nejvyaaí správní soud ve svém rozsudku ze dne 24. 10. 2018, . j. 7 As 192/2017-35, a podanou ~alobou napadl pYímo rozhodnutí povinného subjektu ze dne 24. 10. 2025, . j. MMR-70418/2025-31 /pozn. soudu: proto je v nyní posuzované vci povinným subjektem i ~alovaným tý~ orgán/.<br/>II. }alobní argumentace<br/>[5] }alobce se v podané ~alob vymezuje proti tvrzení ~alovaného, který odmítl poskytnout jakékoli po~adované informace, a to v etn údajo o po tech nalezených zranitelností a informaci o pou~ité metod testování IT systémo. Dle ~alobce není tento postup souladný s ustanovením § 11 odst. 1 písm. d) zákona . 106/1999 Sb., o svobodném pYístupu k informacím (dále jen  informa ní zákon ) a s ustanovením § 10a zákona . 181/2014 Sb., o kybernetické bezpe nosti (dále jen  kybernetický zákon ).<br/>[6] }alobce argumentuje zákazem extenzivního výkladu omezení práva na informace a odkazuje na nález Ústavního soudu ze dne 30. 3. 2010, sp. zn. Pl. ÚS 2/10. Dále poukazuje na znní § 12 informa ního zákona.<br/>[7] Uvádí, ~e i v situaci, kdy by zprávy z penetra ního testování obsahovaly takové skute nosti, které by nemohly být zveYejnny z dovodu ochrany pYed ohro~ením bezpe nosti testovaných systémo, není tím ospravedlnno neposkytnutí celého materiálu. Dle ~alobce tak ~alovaný musí pYesn ur it, které informace musí být chránny a anonymizovat je. Sou asn musí v odovodnní svého rozhodnutí jejich vylou ení dostate n odovodnit. <br/>[8] }alobce poukazuje na odovodnní napadeného rozhodnutí, konkrétn na str. 3 a 4. ZdorazHuje, ~e a koli ~alovaný zmiHuje, ~e redakci po~adovaných dokumento zva~oval, tuto mo~nost následn vylou il. Dle ~alobce vaak absentuje uvedení dovodu, pro  nebyla redakce mo~ná. Postrádá zdovodnní, z jakého dovodu nebylo mo~né poskytnout informaci o tom,  jakou metodou testování probíhalo (napY. OWASP TOP 10), a jaký po et zranitelností v jednotlivých stupních záva~nosti (kritická, vysoká, stYední, nízká) byl zjiatn . Dále ~alobce postrádá odovodnní nemo~nosti poskytnout údaje o asovém a personálním rozsahu testování.<br/>[9] }alobce se vymezuje takté~ vo i odmítnutí poskytnutí tch ástí pYedmtných zpráv, o jejich~ detailech se bylo mo~né do íst v médiích. Jedná se o informaci o chyb systému, která dávala vaem u~ivatelom mo~nost prohlédnout si a zmnit dokumenty u~ivatelo jiných. ZároveH se u~ivatelé mohli do geoportálu územního plánování pYihlásit pomocí uhodnutého íselného identifikátoru. }alobce dodává, ~e ob tyto zranitelnosti byly ji~ odstranny, a proto poskytnutí daných informací nemo~e vést ke zneu~ití tchto chyb. <br/>[10] Dle ~alobce mohl ~alovaný poskytnout také  alespoH rámcové údaje o dalaích zranitelnostech, které byly takté~ odstranny. Poskytnutí mohlo být provedeno pYedn u ástí systému, je~ nebyly zprovoznny.<br/>[11] Závrem ~alobce odkazuje na rozsudky zdejaího soudu, vnující se otázce kyberbezpe nosti, ve vci 9 A 161/2019 a ve vci 8 A 82/2023. <br/>[12] Z výae uvedených dovodo ~alobce navrhuje zruaení napadeného rozhodnutí a ulo~ení povinnosti ~alovanému poskytnout po~adované informace do 7 dno od právní moci rozsudku.<br/>III. Shrnutí odovodnní napadeného rozhodnutí<br/>[13] V rámci odovodnní napadeného rozhodnutí ~alovaný zdovodnil nemo~nost poskytnutí výsledných zpráv z penetra ního testovánu systému DSX následovn.<br/>[14] }alovaný se odvolává na odborné stanovisko Národního úYadu pro kybernetickou a informa ní bezpe nost (dále jen  NÚKIB ) a na ur ení DSX za informa ní systém kritické infrastruktury (polo~ka 534  Informa ní systému podporující slu~by stavebního Yízení a územního plánování), které bylo provedeno po meziresortním projednání vládou eské republiky. Uvádí, ~e systém podléhá re~imu ochrany dle zákona . 240/2000 Sb., o krizovém Yízení a o zmn nkterých zákono (dále jen  krizový zákon ) a dle kybernetického zákona. Poukazuje na povinnost k zajiaeování bezpe nostních opatYení dle § 5 kybernetického zákona a na omezení mo~nosti poskytovat informace, jejich~ zpYístupnním by mohlo dojít k ohro~ení zajiaeování kybernetické bezpe nosti dle § 10 tého~ zákona. <br/>[15] Popisuje, ze kterých ástí se skládají pYedmtné zprávy z penetra ního testování. Jedná se o  detailní technické popisy nalezených zranitelností, konfigurací a pYístupových mechanismo, architekturu systému, síeové typologie a rozhraní, popisy vyu~itých metod testování a simulací útoko a doporu ení k náprav a vyhodnocení zbytkového rizika . Dle ~alovaného pYedstavují výae uvedené informace citlivé bezpe nostní údaje. V pYípad jejich zveYejnní by bylo mo~né odhalit slabiny systému, ím~ by byla usnadnna pYíprava cílených kybernetických útoko. Rovn~ by byla ohro~ena funkce systému DSX, jen~ je pYipojen k dalaím státním systémom.<br/>[16] V souvislosti s výae uvedeným ~alovaný argumentuje znním ustanovení § 11 odst. 1 písm. d) informa ního zákona. Rovn~ uvádí ustanovení § 10a kybernetického zákona, pYi em~ tento pYedpis ozna uje za zvláatní úpravu ve vztahu k informa nímu zákonu, která se vztahuje na veakeré informace týkající se ochrany, bezpe nostních opatYení a zranitelností prvko kritické infrastruktury. <br/>[17] }alovaný dále popisuje, jak provádl test proporcionality, v jeho~ rámci zkoumal, zda nelze poskytnout alespoH áste nou informaci ve smyslu § 12 informa ního zákona. Nejprve se zabýval zhodnocením celkové citlivosti informací. K tomuto uvádí, ~e jeliko~ obsahem pYedmtné zprávy jsou nejen izolované zranitelnosti, nýbr~ i celkový kontext systému (jeho architektura, síeové topologie, nastavení pYístupových mechanismo a metodika testování), v dosledku vzájemné propojenosti jednotlivých prvko by i pYi odstranní detailo o jednotlivých zranitelnostech bylo mo~né, aby potenciální úto níci zbylé informace (strukturu sítí, typy pou~ívaných komponent atd.) pou~ili k rekonstrukci celkového obrazu systému. Tím by bylo mo~né odhadnout, jaké dalaí slabiny daný systém vykazuje. <br/>[18] Dále se ~alovaný zabýval tím, zda by pYípadné redak ní úpravy pYedstavovaly efektivní Yeaení. Uvádí, ~e i pYi áste né anonymizaci daného dokumentu provedené zakrytím IP adres, názvo servero a konkrétních CVE by stále nebylo zabránno odvození architektury systému v etn jeho obranných mechanismo. Dodává, ~e  [v] praxi by takto upravené (anonymizované) verze ztratily informa ní hodnotu, jednalo by se pak pouze o fragmentární souhrn, který by nemohl mít dostate nou u~ite nost pro veYejnou kontrolu . <br/>[19] Ve vztahu k variant áste ného poskytnutí informace dle § 12 informa ního zákona ~alovaný uvádí, ~e byla zva~ována mo~nost poskytnutí souhrnného seznamu objevených zranitelností, z nho~ by byly vynechány technické detaily. Bylo vaak shledáno, ~e i výae uvedeným zposobem upravená verze by mohla poslou~it kybernetickým úto níkom k tomu, aby získali pYehled o obecn zranitelných místech systému a naplánovali jeho napadení. Následn dodává, ~e  v pYípad druhé mo~nosti  anonymizaci technických ástí (zakrytí IP, názvo, b~ných zranitelností a ohro~ení  CVE), by (& ) v poskytnutém dokumentu zostalo dostate né mno~ství informací umo~Hující[ch] odvození obranných mechanismo. <br/>[20] }alovaný dospl k závru, ~e  sdlování detailních informací o systému, který je sou ástí [kritické infrastruktury] státu, je mo~né pova~ovat za bezpe nostní riziko a tato skute nost pYeva~uje nad právem na informace , pYi em~ shledal, ~e byla naplnna výjimka obsa~ená v § 11 odst. 1 písm. d) informa ního zákona. ZároveH uvedl, ~e právo na informace pYedstavuje nástroj k dosa~ení transparentnosti veYejné správy, avaak není mo~né jej vyu~ívat k získávání technických dat, které mohou v pYípad poskytnutí ohrozit bezpe nostní zájmy zem. Riziko zneu~ití vyhodnotil v daném pYípad jako obzvláat vysoké.<br/>[21] Následn ~alovaný argumentoval, ~e neshledává ~ádný legitimní kontrolní ú el, který by byl plnn pYípadným zveYejnním po~adovaných informací. Uvádí, ~e by jen pYedstavovalo poskytnutí  pYímé výhody kybernetickým úto níkom. Odkazuje na publikaci NÚKIB s názvem  Penetra ní testování  úvod do problematiky , v ní~ je penetra ní testování ozna eno za simulaci reálného útoku. Proto danou zprávu vnímá jako  faktický návod k útoku na systém kritické infrastruktury. <br/>[22] Závrem ~alovaný dodává, ~e neml k dispozici ~ádný nástroj, který by mu umo~nil vyhovt ~alobcov ~ádosti a zároveH zajistit ochranu daných informací. Z toho dovodu nebylo mo~né postupovat jinak ne~ ~ádost odmítnout. Jeliko~ tak ~alovaný dané ~ádosti z ásti nevyhovl, vydal v souladu s § 15 odst. 1 informa ního zákona rozhodnutí o jejím odmítnutí. <br/>IV. VyjádYení ~alovaného<br/>[23] Ve svém vyjádYení ze dne 4. 2. 2026 setrval ~alovaný na závrech, ke kterým doael v odovodnní napadeného rozhodnutí. }alobu shledává nedovodnou a po~aduje její zamítnutí. <br/><br/>V. Posouzení vci Mstským soudem v Praze<br/>[24] Mstský soud v Praze pYezkoumal napadené rozhodnutí, v etn Yízení, je~ jeho vydání pYedcházelo, v mezích ~alobních bodo, jimi~ je vázán, vycházeje pYitom ze skutkového a právního stavu, který tu byl v dob rozhodnutí správního orgánu (ust. § 75 odst. 1, 2 zákona . 150/2002 Sb., soudní Yád správní  dále jen  s. Y. s. ), a o dovodnosti podané ~aloby uvá~il takto.<br/>[25] Zdejaí soud se nejprve zabýval otázkou splnní podmínek pYípustnosti ~aloby ve smyslu ustanovení § 5 s. Y. s., kde se uvádí:  Nestanoví-li tento nebo zvláatní zákon jinak, lze se ve správním soudnictví domáhat ochrany práv jen na návrh a po vy erpání Yádných opravných prostYedko, pYipouatí-li je zvláatní zákon. Jeliko~ bylo rozhodnutí o odmítnutí ~ádosti vydáno ústYedním správním úYadem, mohl ~alobce napadnout prvostupHové rozhodnutí povinného subjektu pomocí rozkladu. Jak sám ~alobce podrobn popsal v rámci rubriky  PYípustnost ~aloby v podané ~alob, rozhodl se správní ~alobou napadnout ji~ prvostupHové rozhodnutí, jeliko~ se obával dalaích obstrukcí ze strany povinného subjektu, proti nim~ se ji~ dvakrát bránil ~alobou na ochranu proti ne innosti u zdejaího soudu (usnesení ve vci 17 A 34/2025 a rozsudek ve vci 18 A 75/2025). V této souvislosti ~alobce odkazoval na závry formulované rozaíYeným senátem Nejvyaaího správního soudu v jeho rozsudku ze dne 24. 10. 2018, . j. 7 As 192/2017-35. Konkrétn upozorHoval na jeho bod 40, kde je uvedeno:  (& ) ~adatel o informace mo~e ve vcech svobodného pYístupu k informacím podat ~alobu pYímo proti rozhodnutí povinného subjektu, kterým povinný subjekt po pYedchozím zruaovacím rozhodnutí odvolacího orgánu znovu odmítl po~adovanou informaci poskytnout . Zdejaí soud zároveH pYipomíná i jeho bod 38, kde rozaíYený senát uvedl, ~e  ochrana ve vcech svobodného pYístupu k informacím je specifická a nesmí být v ~ádném pYípad formalistická. Proto podá-li ~adatel o informaci ~alobu proti rozhodnutí povinného subjektu poté, co povinný subjekt optovn rozhodl zposobem pro ~alobce negativním, nesmí správní soud takovouto ~alobu odmítnout, ale musí ji vcn projednat, samozYejm jsou-li dány ostatní podmínky Yízení. Je to toti~ práv toto rozhodnutí, které zasahuje do ~alobcovy právní sféry. Ve svtle výae citovaných závro dospl zdejaí soud k tomu, ~e ~aloba je pYípustná, a proto pokra oval v jejím vcném projednání, jeliko~ byly naplnny i ostatní podmínky Yízení.<br/>[26] Z obsahu správního spisu soud zjistil, ~e odmítnutí ~alobcovy ~ádosti napadeným rozhodnutím ~alovaného bylo odovodnno ustanovením § 15 odst. 1 informa ního zákona ve spojení s ustanoveními § 11 odst. 1 písm. d) tého~ zákona a rovn~ ustanovením § 10a kybernetického zákona. Na tomto míst soud poznamenává, ~e na základ ustanovení § 75 odst. 1 s. Y. s. soud rozhoduje dle právního stavu, jen~ tu byl v dob rozhodování správního orgánu, tedy v dob vydání napadeného rozhodnutí. Jeliko~ toto bylo vydáno dne 24. 10. 2025, pYezkoumává soud dané rozhodnutí na základ právní úpravy ú inné k danému dni. A koli tedy doalo mezitím ke zruaení kybernetického zákona . 181/2014 Sb. a od 1. 11. 2025 nabyl ú innosti zákon . 264/2025 Sb. (se shodným názvem), nemá tato zmna ve vztahu k nyní posuzované vci význam.<br/>[27] Dle ustanovení § 11 odst. 1 písm. d) informa ního zákona platí, ~e omezení poskytnutí po~adované informace mo~e povinný subjekt provést v pYípad, kdy  její poskytnutí významn nebo pYímo ohro~uje ú innost bezpe nostního opatYení stanoveného na základ zvláatního pYedpisu pro ú el ochrany bezpe nosti osob, majetku a veYejného poYádku nebo pYipravenosti na krizové situace a jejich Yeaení .<br/>[28] Dle ustanovení § 10a kybernetického zákona platilo:  Informace, jejich~ zpYístupnní by mohlo ohrozit zajiaeování kybernetické bezpe nosti nebo ú innost opatYení vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidento, ze kterých by bylo mo~né identifikovat orgán nebo osobu, která kybernetický bezpe nostní incident ohlásila, se podle pYedpiso upravujících svobodný pYístup k informacím neposkytují. <br/>[29] V odovodnní napadeného rozhodnutí ~alovaný sám odkazoval na ustanovení § 12 informa ního zákona, který mu ukládá povinnost poskytnout po~adované informace, a to po vylou ení tch, o kterých tak stanoví zákon. }alovaný se zabýval i tím, zda neexistuje mo~nost poskytnout ~alobci alespoH áste nou informaci, co~ popsal na str. 3 a 4 odovodnní napadeného rozhodnutí. Se samotným dovodem pro odmítnutí poskytnutí informace vaak soud nesouhlasí, pYi em~ prozatím není jasné, co vlastn tomuto odmítnutí brání, proto prozatím nepYistoupil k stanovení povinnosti povinnému subjektu informace poskytnout. <br/>[30] }alovaný nejprve posuzoval (str. 3, poslední odstavec), zda by bylo mo~né zprávy poskytnout za sou asného odstranní detailo o objevených zranitelnostech. Zde vaak ~alovaný dospl k závru, ~e i zbylé informace (zde dával za pYíklad strukturu sítí, typy pou~ívaných komponent apod.) by stále posta ovaly pYípadným úto níkom k tomu, aby získali pYehled o celkovém obrazu systému, a aby odhadli jeho dalaí nedostatky.<br/>[31] Dále se ~alovaný zabýval tím, zda by bylo mo~né daného ú elu dosáhnout zakrytím IP adres, názvo servero a konkrétních CVE (str. 4, první odstavec). }alovaný tuto mo~nost anonymizace ozna uje za nedostate nou, jeliko~ by stále umo~Hovala, aby úto níci odvodili architekturu daného systému a obranných mechanismo. ZároveH uvádí, ~e by  takto upravené (anonymizované) verze ztratily informa ní hodnotu, jednalo by se pak pouze o fragmentární souhrn, který by nemohl mít dostate nou u~ite nost pro veYejnou kontrolu . <br/>[32] }alovaný zohledHoval i mo~nost poskytnutí souhrnného seznamu, který by obsahoval objevené zranitelnosti, avaak bez uvedení technických detailo (str. 4, druhý odstavec). Rovn~ zde ~alovaný usoudil, ~e by i tato revize stále obsahovala takové informace, které by byli úto níky vyu~itelné k identifikaci zranitelností, objevení slabých míst a pYipravení kybernetického útoku. <br/>[33] Soud dále shledal, ~e sou ástí správního spisu je rovn~  VyjádYení MKB (pozn. soudu  mana~era kybernetické bezpe nosti) k po~adavku na poskytnutí výsledných zpráv z penetra ního testování systémo digitálního stavebního Yízení, zpracovaných spole nostmi ESET a DCIT (zakázky . VZ/2024/034/1064 a VZ/2024/034/1074) . V tomto vyjádYení bylo uvedeno, ~e dle názoru mana~era kybernetické bezpe nosti je poskytnutí této informace skrze informa ní zákon vylou eno, jeliko~ po~adované zprávy  obsahují krom jiného detailní technické popisy nalezených zranitelností, interní strukturu systému, ale i dalaí citlivé informace o stavu bezpe nosti testovaných systémo . <br/>[34] }alobce brojil proti závru ~alovaného v napadeném rozhodnutí, ~e nelze ~alobci poskytnout ani ást informací z pYedmtných zpráv, dle slov ~alovaného  ani po nejintenzivnjaím mo~ném redak ním zásahu . Soud z obsahu správního spisu zjistil, ~e se ~alobce ji~ v rámci podaného rozkladu ze dne 6. 5. 2025 vymezoval proti postupu ~alovaného spo ívajícím v odmítnutí jeho ~ádosti v celém rozsahu. S odkazem na argumentaci ~alovaného, kde uvádl, ~e po~adované zprávy  obsahují krom jiného citlivé informace, ~alobce namítal, ~e mlo být postupováno vy lenním citlivých informací a následným poskytnutím informací zbývajících. <br/>[35] ZároveH soud shledal, ~e ~alobce shodn v podané ~alob i v rámci rozkladu zdorazHoval asové hledisko, které musí být v~dy posouzeno ve vztahu k riziku vyplývajícímu ze zveYejnní daných informací. }alobce v této souvislosti odkazoval na zranitelnosti, o kterých se veYejnost mohla do íst v médiích. Sou asn argumentoval, ~e s ohledem na opravení daných chyb ji~ nadále nebyl dovod k tomu, aby nebyla poskytnuta alespoH ást pYedmtných zpráv týkající se opravených chyb, o kterých ji~ veYejnost ví. ZároveH podotýkal, ~e od okam~iku spuatní systému stavebního Yízení ji~ byla provedena zmna technického Yeaení - tzv. bypass. Dle názoru ~alobce proto není dovod k neposkytnutí informací týkajících se tchto  odstavených systémo. <br/>[36] Jak zdejaí soud konstatoval napYíklad v ~alobcem odkazovaném zruaujícím rozsudku ve vci 9 A 161/2019, je povinností ~alovaného dosledn vypoYádat ka~dou ást po~adované zprávy, kterou dle jeho názoru není mo~né poskytnout. V nyní posuzovaném pYípad soud shledal, ~e ~alovaný sice v rámci odovodnní napadeného rozhodnutí pYedlo~il vysvtlení dovodo, které pova~uje za pYeva~ující nad ~alobcovým právem na informace, avaak poskytl v~dy jen obecné zhodnocení, namísto toho, aby se dostate n vyjádYil ke vaem ástem, které pova~uje za nezveYejnitelné. ZároveH se podle názoru soudu pYília nekryje obsah mo~ného neposkytnutí informace s tím, co skute n ~alobce ~ádal.<br/>[37] Nelze souhlasit s ~alovaným ve vztahu k jeho argumentaci, ~e poskytnutí alespoH zbytkových ástí zpráv není mo~né provést, jeliko~ by se tím  zni ila informa ní hodnota dokumentu . Soud zde podotýká, ~e podobn formulované tvrzení nebylo shledáno relevantním ani ve výae uvedeném zruaujícím rozsudku devátého senátu zdejaího soudu (viz bod 78 daného rozsudku). Není toti~ na ~alovaném, aby posuzoval tuto zbytkovou informa ní hodnotu, pokud jsou dané informace ~adatelem po~adovány. Pokud ~alovaný odmítne informaci poskytnout, musí konkrétn zdovodnit, z jakého dovodu jde o  & informaci, jejich~ zpYístupnní by mohlo ohrozit zajiaeování kybernetické bezpe nosti nebo ú innost opatYení vydaného podle tohoto zákona&  (ust. § 10a kybernetického zákona), a to ve vztahu, co skute n ~alobce ~ádal a eho se domáhal ve svých podáních ( jakou metodou testování probíhalo (napY. OWASP TOP 10), a jaký po et zranitelností v jednotlivých stupních záva~nosti (kritická, vysoká, stYední, nízká) byl zjiatn ). Zatím není vobec zYejmé, jak by mohla metoda testování (napY. ~alobcem zmínná velmi obecná a rozaíYená metoda OWASP TOP 10, která testuje 10 nejkriti tjaích bezpe nostních rizik) dosáhnout takové informa ní doslednosti, ~e by informace o tom, zda byla tato metoda pou~ita, mohla ohrozit zajiaeování kybernetické bezpe nosti; to je závr naprosto absurdní. Toté~ je mo~né konstatovat o naprosto vaech testovacích metodách, pYi em~ vztah mezi sdlením informace o tom, zda tato metoda byla pou~ita, i nikoliv, k ochran kybernetické bezpe nosti je nulový. Stejn samotný po et zranitelností v jednotlivých stupních záva~nosti podle názoru soudu t~ko samo o sob naplní ohro~ení kybernetické bezpe nosti u systému, který je vytváYen na základ zákona a do nj~ jsou vkládány údaje touto právní normou vy~adované, a to jak s ohledem na samotné údaje, tak s ohledem na proces jejich vkládání. }alobce pYece nepo~adoval konkrétní uvedení tchto zranitelností, ale jejich po et s rozliaením jejich záva~nosti. Z odovodnní napadeného rozhodnutí neplyne, pro  by tato informace byla tak zásadní, ~e by u systému, který má provádt zákon (který sám ~ádnou utajenou informací být nemo~e), mla naplHovat njaké bezpe nostní riziko. <br/>[38] Je pochopitelné a jist zdovodnitelné, pro  by konkrétní zjiatní zranitelnosti mohlo dát pYípadnému úto níkovi návod, jak systém napadnout. To je legitimní postoj. Není vaak jasné, pro  by takový návod ml dát pouze vý et tchto zranitelností bez vztahu k tomu, co takovou zranitelností bylo, nebo dokonce pou~itá metoda testování. <br/>[39] }alovaný se rovn~ v napadeném rozhodnutí nevyjádYil ve vztahu k námitce ~alobce, kde poukazoval na odpadnutí dovodu k nezveYejnní té ásti zpráv, která se týká odstavených ástí systému. Rovn~ neposkytl vyjádYení k po~adavku na poskytnutí ástí pojednávajících o zranitelnostech, které ji~ byly opraveny, a proto dle ~alobce jejich zveYejnní nepYedstavuje riziko, a to i s ohledem na informace, které se veYejnost dozvdla z médií. Tyto argumenty ~alobce uvádl nejen v rámci podané ~aloby, ale ji~ v rámci rozkladových bodo (po~adavku na zprávy o výsledku penetra ního testování DSX se ~alobce vnoval na str. 2 rozkladu, který rovn~ tvoYí obsah správního spisu, a které toto napadené rozhodnutí pomíjí). Výae uvedené námitky vaak nebyly ze strany ~alovaného v napadeném rozhodnutí nijak vypoYádány. ZároveH na n ~alovaný nereagoval ani ve svém vyjádYení k ~alob, které je stejn jako odovodnní rozhodnutí pouze obecné a nereaguje na podstatu souzené vci (tedy obsah po~adované informace). <br/>[40] Soud výae uvedeným nepopírá význam rizika ohro~ení bezpe nosti ani snahu o minimalizaci hrozby kybernetických útoko, ta zde je a v sou asné dob je reálná. Na druhou stranu je vaak zapotYebí, aby ~alovaný vypoYádal veakeré námitky, které ~alobce v rámci správního Yízení uvádl (viz výae), a to zejména u takové informace, která byla veYejností airoce diskutována i s ohledem na její výsledek a mno~ství veYejných prostYedko, které na ni byly vynalo~eny, a která se svou obecností nevztahuje primárn na zjiatní mo~ných rizik, ale spíae na efektivitu vynalo~ených veYejných prostYedko na takový systém, který (zYejm) nebyl schopen plnit své základní funkce. Jak ji~ soud konstatoval výae, není na ~alovaném, aby posuzoval  zbytkovou informa ní hodnotu tch ástí, u nich~ zva~oval pYípadné poskytnutí. }alovaný má pouze pYezkoumateln zdovodnit, pro  nemohl zveYejnit vy lenné ásti po~adovaných zpráv. <br/>VI. Závr a rozhodnutí o nákladech Yízení<br/>[41] S ohledem na výae popsané doael zdejaí soud k závru, ~e nebyly naplnny dovody k odmítnutí ~alobcovy ~ádosti o poskytnutí pYedmtných informací. Soud prozatím pYistoupil jen ke zruaení napadeného rozhodnutí z dovodu vady Yízení spo ívající v jeho nepYezkoumatelnosti zposobené nedostate ným zdovodnním rozhodnutí a nevypoYádáním nkterých ~alobcových námitek vznesených v probhu správního Yízení (ustanovení § 76 odst. 1 písm. a) s. Y. s.). Proto soud vrátil ~alovanému vc zpt k dalaímu Yízení (ustanovení § 78 odst. 4 s. Y. s.). Nebylo tak zatím postupováno dle § 16 odst. 6 informa ního zákona, kdy by soud ~alovanému jako povinnému subjektu naYídil informace poskytnout. }alovaný tak musí znovu posoudit, zda jsou dány dovody k poskytnutí ~alobcem po~adovaných informací, pYi em~ je pYi tomto vázán výae formulovaným právním názorem zdejaího soudu.<br/>[42] Ve vci soud rozhodl rozsudkem bez naYízení jednání, neboe postupoval podle ust. § 76 odst. 1 písm. a) s. Y. s., navíc ú astníci proti takovému postupu nemli ve stanovené lhot námitek a jednání k projednání ~aloby nebylo nutné, kdy~ soud neprovádl dalaí dokazování (ust. § 51 odst. 1 s. Y. s.).<br/>[43] Výrok o náhrad náklado Yízení je odovodnn ust. § 60 odst. 1 s. Y. s., podle kterého má ú astník, který ml ve vci úspch, právo na náhradu náklado Yízení pYed soudem. Vzhledem k tomu, ~e ve vci byl úspaný ~alobce, má nárok na tyto náklady Yízení. Tyto náklady tvoYí zaplacený soudní poplatek ve výai 3 000 K , který je ~alovaný povinen ~alobci zaplatit ve lhot 30 dno od právní moci tohoto rozsudku. <br/><br/>Pou ení:<br/><br/>Proti tomuto rozhodnutí lze podat kasa ní stí~nost ve lhot dvou (2) týdno ode dne jeho doru ení. Kasa ní stí~nost se podává ve dvou (více) vyhotoveních u Nejvyaaího správního soudu, se sídlem Moravské námstí 6, Brno. O kasa ní stí~nosti rozhoduje Nejvyaaí správní soud.<br/>Lhota pro podání kasa ní stí~nosti kon í uplynutím dne, který se svým ozna ením shoduje se dnem, který ur il po átek lhoty (den doru ení rozhodnutí). PYipadne-li poslední den lhoty na sobotu, nedli nebo svátek, je posledním dnem lhoty nejblí~e následující pracovní den. Zmeakání lhoty k podání kasa ní stí~nosti nelze prominout.<br/>Kasa ní stí~nost lze podat pouze z dovodo uvedených v § 103 odst. 1 s. Y. s. a krom obecných nále~itostí podání musí obsahovat ozna ení rozhodnutí, proti nmu~ smYuje, v jakém rozsahu a z jakých dovodo jej st~ovatel napadá, a údaj o tom, kdy mu bylo rozhodnutí doru eno.<br/><br/>V Yízení o kasa ní stí~nosti musí být st~ovatel zastoupen advokátem; to neplatí, má-li st~ovatel, jeho zamstnanec nebo len, který za nj jedná nebo jej zastupuje, vysokoakolské právnické vzdlání, které je podle zvláatních zákono vy~adováno pro výkon advokacie.<br/>Soudní poplatek za kasa ní stí~nost vybírá Nejvyaaí správní soud. Variabilní symbol pro zaplacení soudního poplatku na ú et Nejvyaaího správního soudu lze získat na jeho internetových stránkách: www.nssoud.cz.<br/><br/><br/>Praha dne 7. kvtna 2026<br/><br/><br/><br/><br/>JUDr. Ladislav Hejtmánek, v.r.<br/>pYedseda senátu<br/> <br/></body> </html>