ZÁKON
N á v r h
ZÁKON
ze dne 2024
o kybernetické bezpečnosti
Parlament se usnesl na tomto zákoně České republiky:
KYBERNETICKÁ BEZPEČNOST
Základní ustanovení
Předmět úpravy
(1) Tento zákon zapracovává příslušný předpis Evropské unie1), zároveň navazuje na přímo použitelné předpisy Evropské unie2) a upravuje práva a povinnosti orgánů a osob a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad“) a dalších orgánů veřejné moci v oblasti kybernetické bezpečnosti.
(2) Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi. Tento zákon se dále nevztahuje na osoby, které nejsou usazené na území České republiky; to neplatí pro osoby poskytující na území České republiky sítě a služby elektronických komunikací podle jiného právního předpisu.3) CELEX 32022L2555
1) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).
2) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).
Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU.
Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
Nařízení Evropského parlamentu a Rady (EU) 2023/588 ze dne 15. března 2023, kterým se zavádí Program Unie pro bezpečnou konektivitu na období 2023–2027.
3) Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů.
Vymezení pojmů
(1) Pro účely tohoto zákona se rozumí
a) aktivem primární aktiva a podpůrná aktiva relevantní pro zpracování informací a dat v elektronické podobě, a to včetně likvidace,
b) primárním aktivem informace a služby,
c) podpůrným aktivem zaměstnanci, dodavatelé, objekty a technická aktiva,
d) technickým aktivem technické a programové prostředky a vybavení, a to včetně průmyslových, řídicích nebo jiných obdobných specifických aktiv,
e) regulovanou službou služba, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností a k jejímuž poskytování jsou používána aktiva,
f) poskytovatelem regulované služby orgán nebo osoba, které poskytují jednu nebo více regulovaných služeb a
g) řízením kybernetické bezpečnosti činnost poskytovatele regulované služby podle tohoto zákona směřující k zajištění kybernetické bezpečnosti regulované služby.
(2) Pro účely tohoto zákona se dále rozumí
a) kybernetickým prostorem digitální prostředí tvořené aktivy umožňující zpracování informací a dat,
b) bezpečností informací zajištění důvěrnosti, integrity a dostupnosti informací a dat,
c) hrozbou jakákoliv potenciální okolnost, událost nebo jednání, které mohou být příčinou kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, a které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit aktiva, jejich uživatele nebo další osoby,
d) významnou hrozbou hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál závažně ovlivnit aktiva poskytovatele regulované služby nebo uživatelů regulovaných služeb natolik, že způsobí značnou majetkovou nebo nemajetkovou újmu,
e) kybernetickou bezpečnostní událostí událost, která může nebo mohla vyústit v kybernetický bezpečnostní incident,
f) kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v rámci aktiv,
g) zvládáním kybernetického bezpečnostního incidentu úkony vedoucí k zajištění prevence, detekce, analýzy, omezení dopadů incidentu, reakce na incident a následné obnovy,
h) významným dodavatelem ten, kdo jako dodavatel s poskytovatelem regulované služby vstupuje do závazkového vztahu, který je významný z hlediska bezpečnosti informací ve stanoveném rozsahu řízení kybernetické bezpečnosti,
i) strategicky významnou službou regulovaná služba, jejíž narušení by mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek,
j) poskytovatelem strategicky významné služby poskytovatel regulované služby, který poskytuje jednu nebo více strategicky významných služeb,
k) zranitelností slabé místo aktiva nebo slabé místo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami,
l) usazením místo, kde jsou fakticky vykonávány činnosti prostřednictvím stálých struktur nezávisle na právní formě takové struktury nebo její závislosti na jiných strukturách umístěných mimo území daného státu, zejména místo sídla orgánu nebo osoby, umístění pobočky nebo obchodního závodu a
m) orgánem ústřední orgány státní správy4), jiné správní úřady5), územní samosprávné celky6), Ústavní soud, soudy, státní zastupitelství, Česká národní banka, Nejvyšší kontrolní úřad, Kancelář prezidenta republiky, Kancelář Poslanecké sněmovny a Kancelář Senátu a další orgány veřejné moci a osoby, kterým byl výkon veřejné moci svěřen.
(3) Pro účely tohoto zákona se dále rozumí
a) systémem překladu jmen domén hierarchický distribuovaný systém překladu jmen domén, který umožňuje identifikaci internetových služeb a zdrojů, a současně umožňuje, aby zařízení koncových uživatelů využívala služby směrování a připojení k internetu za účelem přístupu k těmto službám a zdrojům,
b) správou a provozem registru domény nejvyšší úrovně činnost spočívající ve správě konkrétní delegované domény nejvyšší úrovně, včetně registrace jmen domén v rámci domény nejvyšší úrovně a technického provozu jmenných serverů, vedení databází zajišťujících správu a provoz domény nejvyšší úrovně a distribuci zónových souborů domény nejvyšší úrovně mezi jmennými servery, s výjimkou situací, kdy registr domény nejvyšší úrovně používá jména domény nejvyšší úrovně pouze pro svou vlastní potřebu,
c) službou cloud computingu služba informační společnosti ve smyslu právního předpisu upravujícího některé služby informační společnosti7), která umožňuje samoobslužnou správu a široký vzdálený přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů, včetně těch, které jsou rozmístěny na více místech,
d) službou datového centra služba, která zahrnuje struktury nebo skupiny struktur určené k centralizovanému umístění, propojení a provozu informačních technologií a síťových zařízení poskytujících služby zpracování dat společně se všemi zařízeními a infrastrukturami pro distribuci energie a řízení prostředí,
4) Zákon č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické
republiky, ve znění pozdějších předpisů.
5) Čl. 79 odst. 1 ústavního zákona č. 1/1993 Sb., Ústava České republiky.
6) Čl. 99 ústavního zákona č. 1/1993 Sb., Ústava České republiky.
7) § 2 odst. 1 písm. a) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů.
e) sítí pro doručování obsahu síť geograficky distribuovaných serverů sloužící k zajištění vysoké dostupnosti, přístupnosti nebo rychlého poskytování digitálního obsahu a služeb uživatelům internetu jménem poskytovatelů obsahu a služeb,
f) platformou sociálních sítí platforma, která koncovým uživatelům umožňuje vzájemné propojení, sdílení, objevování a komunikaci napříč různými zařízeními, zejména prostřednictvím chatů, příspěvků, videí a doporučení,
g) řízenou službou služba související s instalací, správou, provozem nebo údržbou technických aktiv, a to prostřednictvím asistence nebo aktivní správy, které jsou prováděny v prostorách zákazníků nebo na dálku,
h) řízenou bezpečnostní službou řízená služba, která spočívá v činnostech souvisejících s řízením kybernetických bezpečnostních rizik nebo poskytováním asistence pro tyto činnosti a
i) subjektem poskytujícím služby registrace jmen domén registrátor nebo zástupce jednající jménem registrátora, jako je poskytovatel služeb ochrany soukromí nebo zprostředkovatel registračních služeb nebo přeprodejce.
CELEX 32022L2555
Poskytovatel regulované služby
Stanovení regulované služby a režimu jejího poskytovatele
Kritéria regulované služby
(1) Regulovanou službou je služba
a) naplňující alespoň jedno kritérium pro identifikaci regulované služby podle § 4, nebo
b) určená rozhodnutím Úřadu na základě kritéria pro určení regulované služby podle
§ 5 odst. 1.
(2) Kritéria pro identifikaci regulované služby a kritéria pro určení regulované služby zohledňují významnost dopadu narušení služby na zabezpečení důležitých společenských nebo ekonomických činností podle § 2 odst. 1 písm. e).
Kritéria pro identifikaci regulované služby
(1) Kritérium pro identifikaci regulované služby je tvořeno kritériem služby a kritériem poskytovatele regulované služby.
(2) Kritéria pro identifikaci regulované služby zohledňují
a) v rámci kritéria služby
1. odvětví, pododvětví a druh subjektu uvedené v přílohách I a II směrnice Evropského
parlamentu a Rady (EU) 2022/2555 a
2. významnost služeb poskytovaných v jednotlivých odvětvích uvedených v odstavci 3 s ohledem na zabezpečení důležitých společenských nebo ekonomických činností a bezpečnost v České republice,
b) v rámci kritéria poskytovatele regulované služby
1. velikost podniku8) podle požadavků směrnice Evropského parlamentu a Rady (EU) 2022/2555 a
2. ekonomickou, společenskou a bezpečnostní významnost poskytovatele regulované služby pro Českou republiku.
(3) Kritéria pro identifikaci regulované služby jsou stanovena v odvětvích
a) veřejná správa,
b) energetika,
c) výrobní průmysl,
d) potravinářský průmysl,
e) chemický průmysl,
f) vodní hospodářství,
g) odpadové hospodářství,
h) doprava,
i) digitální infrastruktura a služby,
j) finanční trh,
k) zdravotnictví,
l) věda, výzkum a vzdělávání,
m) poštovní a kurýrní služby,
n) vojenský průmysl,
o) vesmírný průmysl.
(4) Kritéria služby a kritéria poskytovatele regulované služby a vymezení významnosti dopadu narušení služby na zabezpečení důležitých společenských nebo ekonomických činností stanoví Úřad vyhláškou.
CELEX 32022L2555
Kritéria pro určení regulované služby
(1) Regulovanou službou je dále služba určená orgánu nebo osobě rozhodnutím Úřadu
v případě, že
a) jde o službu uvedenou ve vyhlášce Úřadu stanovující kritéria pro identifikaci regulovaných služeb a
8) Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.
1. orgán nebo osoba je jediným poskytovatelem této služby v České republice a tato služba je zásadní pro zachování nezbytných společenských nebo ekonomických činností v České republice,
2. narušení této služby by mohlo mít významný dopad na bezpečnost České republiky, vnitřní či veřejný pořádek nebo veřejné zdraví,
3. narušení této služby by mohlo vyvolat významná systémová rizika, zejména
v odvětvích, kde by takové narušení mohlo mít přeshraniční dopad, nebo
4. orgán nebo osoba je kvůli svému specifickému významu na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví nebo typ služby nebo pro jiná vzájemně propojená odvětví v České republice,
b) její narušení může způsobit závažný zásah do života postihující více než 125 000 osob, a to prostřednictvím ohrožení života, zdraví, majetkové hodnoty, vnitřního či veřejného pořádku, bezpečnosti nebo životního prostředí,
c) její narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu stejného nebo jiného poskytovatele regulované služby v režimu vyšších povinností, nebo
d) orgán nebo osoba je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu; v takovém případě je regulovanou službou služba odpovídající prvku kritické infrastruktury určenému u tohoto subjektu.
(2) Řízení o určení regulované služby podle odstavce 1 lze zahájit pouze z moci úřední. Proti rozhodnutí o určení regulované služby podle odstavce 1 není rozklad přípustný.
CELEX 32022L2555
Režim poskytovatele regulované služby
(1) Režim poskytovatele regulované služby stanovuje míru jemu uložených povinností podle tohoto zákona.
(2) Režim poskytovatele regulované služby je
a) režim vyšších povinností, nebo
b) režim nižších povinností.
(3) Režim poskytovatele regulované služby stanovený vyhláškou Úřadu zohledňuje
a) základní a důležité subjekty podle příslušného předpisu Evropské unie9) a
b) významnost poskytovatele služby podle § 4 odst. 2 písm. b) bod 2.
(4) Je-li regulovaná služba určena rozhodnutím Úřadu podle § 5 odst. 1, je režim jejího poskytovatele vždy režimem vyšších povinností.
CELEX 32022L2555
9) Čl. 3 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
Režim poskytovatele regulované služby v případě poskytování více regulovaných služeb
(1) Každý poskytovatel regulované služby má pro všechny poskytované regulované služby stanoven jen jeden režim.
(2) Poskytovatel regulované služby, kterému je stanoven režim vyšších povinností pro alespoň jednu jím poskytovanou regulovanou službu, má stanoven režim vyšších povinností pro všechny jím poskytované regulované služby.
CELEX 32022L2555
Registrace regulované služby
(1) Poskytovatel regulované služby je povinen nahlásit Úřadu naplnění kritérií pro identifikaci regulované služby, a to vyplněním registračních údajů podle § 12 odst. 2 písm. a).
(2) Registraci podle odstavce 1 je poskytovatel regulované služby povinen provést nejpozději do 30 dnů ode dne, kdy zjistí, že došlo k naplnění kritérií pro identifikaci regulované služby, nejpozději však do 90 dnů ode dne, kdy k naplnění kritérií pro identifikaci regulované služby došlo.
(3) Úřad provede registraci regulované služby v případě, kdy se dozví o naplnění kritérií pro identifikaci regulované služby podle vyhlášky Úřadu a poskytovatel regulované služby neprovede registraci podle odstavce 1 ve lhůtě podle odstavce 2.
(4) Úřad dále provede registraci regulované služby na základě rozhodnutí Úřadu podle
§ 5 odst. 1.
(5) Na postup Úřadu podle tohoto ustanovení se ustanovení správního řádu upravující vedení správního řízení nepoužijí.
CELEX 32022L2555
Změna registrace regulované služby
(1) Poskytovatel regulované služby je povinen v případě, že u registrované regulované služby dojde v rámci naplnění kritérií pro identifikaci regulované služby ke změně režimu jejího poskytovatele, provést změnu registrace regulované služby a postupovat obdobně podle
§ 8 odst. 1 a 2.
(2) Při změně režimu poskytovatele regulované služby z režimu vyšších povinností
na režim nižších povinností nové lhůty pro zahájení plnění povinností podle § 12 odst. 3,
§ 14 odst. 3 a § 16 odst. 4 neplynou.
(3) Na postup Úřadu podle tohoto ustanovení se ustanovení správního řádu upravující vedení správního řízení nepoužijí.
Zápis do evidence regulovaných služeb
(1) Po registraci regulované služby podle § 8 nebo po změně registrace regulované služby podle § 9 Úřad bez zbytečného odkladu zapíše regulovanou službu nebo její změnu do evidence regulovaných služeb. O této skutečnosti Úřad poskytovatele regulované služby písemně vyrozumí.
(2) Poskytovatel regulované služby je povinen plnit všechny povinnosti plynoucí mu ze zákona vůči zapsaným regulovaným službám od okamžiku doručení vyrozumění o zápisu regulované služby nebo její změny do evidence regulovaných služeb. Platí, že dokud je služba zapsána v evidenci regulovaných služeb, je regulovanou službou.
(3) Na postup Úřadu podle tohoto ustanovení se ustanovení správního řádu upravující vedení správního řízení nepoužijí.
CELEX 32022L2555
Výmaz z evidence regulovaných služeb
(1) Pokud regulovaná služba zapsaná v evidenci regulovaných služeb již nenaplňuje kritéria pro identifikaci regulované služby nebo určení regulované služby, Úřad na základě rozhodnutí službu z evidence regulovaných služeb vymaže.
(2) Řízení o výmazu regulované služby z evidence regulovaných služeb se zahajuje na žádost poskytovatele regulované služby zapsané v evidenci regulovaných služeb. Pokud se Úřad ze své činnosti dozví, že regulovaná služba zapsaná v evidenci regulovaných služeb již nenaplňuje kritéria pro identifikaci regulované služby nebo určení regulované služby, lze zahájit řízení podle věty první i z moci úřední.
(3) Úřad provede výmaz regulované služby z evidence regulovaných služeb bez zbytečného odkladu po nabytí právní moci rozhodnutí o výmazu regulované služby z evidence regulovaných služeb; o této skutečnosti účastníka řízení písemně vyrozumí.
(4) Rozhodnutí o výmazu regulované služby z evidence regulovaných služeb může být prvním úkonem Úřadu v řízení.
(5) Písemné rozhodnutí o výmazu regulované služby z evidence regulovaných služeb se vyhotovuje pouze v případě, kdy Úřad žádost o výmaz regulované služby z evidence regulovaných služeb zamítá. V ostatních případech rozhodnutí o výmazu z evidence regulovaných služeb nabývá právní moci záznamem do spisu.
(6) Jako nepřípustná bude posouzena opakovaná žádost, ve které žadatel neuvedl nové skutečnosti či zjištění o tom, že nadále neposkytuje službu naplňující kritéria pro identifikaci či určení regulované služby. Úřad řízení o žádosti, která je posouzena jako nepřípustná, zastaví.
(7) Podání rozkladu je přípustné pouze proti rozhodnutí, kterým Úřad žádost o výmaz regulované služby z evidence regulovaných služeb zamítá.
Povinnosti poskytovatele regulované služby
Hlášení údajů
(1) Poskytovatel regulované služby hlásí registrační, kontaktní a další doplňující údaje a jejich změny Úřadu. Poskytovatel regulované služby odpovídá za správnost a úplnost nahlášených údajů.
(2) Hlášenými údaji jsou
a) registrační údaje, kterými se rozumí informace spojené s identifikací poskytovatele regulované služby a jím poskytované regulované služby,
b) kontaktní údaje, kterými se rozumí informace spojené s identifikací fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem a
c) doplňující údaje, kterými se rozumí informace o vlastnické struktuře poskytovatele regulované služby, technické údaje týkající se regulované služby a informace o jejím geografickém rozšíření a přeshraničním poskytování.
(3) Poskytovatel regulované služby je povinen nahlásit údaje podle odstavce 2 písm. b) a c) pro každou regulovanou službu nejpozději do 30 dnů ode dne doručení písemného vyrozumění o jejím zápisu do evidence regulovaných služeb podle § 10 odst. 1.
(4) Poskytovatel regulované služby je povinen hlásit změny pouze těch údajů podle odstavce 2, které nejsou referenčními údaji vedenými v základních registrech, a to nejpozději do 14 dnů od jejich změny.
(5) Poskytovatel regulované služby je povinen zajistit dostatečnou zastupitelnost fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby podle tohoto zákona.
(6) Obsahové náležitosti, formát a způsob provedení hlášení registračních, kontaktních a doplňujících údajů stanoví Úřad vyhláškou.
CELEX 32022L2555
Stanovení rozsahu řízení kybernetické bezpečnosti
(1) Poskytovatel regulované služby
a) identifikuje všechna primární aktiva v rámci celé organizace,
b) určí, která primární aktiva identifikovaná podle písmene a) souvisejí s poskytováním regulované služby a
c) u primárních aktiv určených podle písmene b) identifikuje a určí související organizační části organizace a podpůrná aktiva.
(2) Organizační části a aktiva určená podle odstavce 1 písm. b) a c) tvoří rozsah řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“).
(3) O provedení identifikace a určení organizačních částí a aktiv podle odstavce 1 vede poskytovatel regulované služby dokumentovaný záznam, a to včetně evidence primárních aktiv, která byla ze stanoveného rozsahu vyjmuta, a odůvodnění jejich vyjmutí.
(4) Do doby splnění povinností podle odstavců 1 a 3 se má za to, že stanovený rozsah je tvořen regulovanou službou a podpůrnými aktivy jsou všechna podpůrná aktiva organizace a další podpůrná aktiva související s poskytováním regulované služby.
(5) Má se za to, že aktiva, která ještě nebyla identifikována a určena podle odstavce 1, jsou součástí stanoveného rozsahu, dokud nejsou zahrnuta v procesu identifikace a určování organizačních částí a aktiv tvořících stanovený rozsah podle odstavce 1 a není o nich veden dokumentovaný záznam podle odstavce 3.
(6) Stanovený rozsah podle odstavce 1 je poskytovatel regulované služby povinen pravidelně přezkoumávat a aktualizovat.
CELEX 32022L2555
Bezpečnostní opatření
(1) Bezpečnostními opatřeními jsou organizační a technická opatření, jejichž cílem
je zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv.
(2) Poskytovatel regulované služby je povinen v rámci stanoveného rozsahu zavést a provádět bezpečnostní opatření podle § 15 alespoň v míře a způsobem stanoveným vyhláškou Úřadu.
(3) Poskytovatel regulované služby začne plnit povinnost zavádět a provádět bezpečnostní opatření podle odstavce 2 pro každou regulovanou službu nejpozději do 1 roku ode dne doručení písemného vyrozumění o jejím zápisu do evidence regulovaných služeb podle
§ 10 odst. 1.
CELEX 32022L2555
Seznam bezpečnostních opatření
(1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a) organizačními opatřeními
1. systém řízení bezpečnosti informací,
2. povinnosti vrcholného vedení,
3. bezpečnostní role,
4. řízení bezpečnostní politiky a bezpečnostní dokumentace,
5. řízení aktiv,
6. řízení rizik,
7. řízení dodavatelů,
8. bezpečnost lidských zdrojů,
9. řízení změn,
10. akvizice, vývoj a údržba,
11. řízení přístupu,
12. zvládání kybernetických bezpečnostních událostí a incidentů,
13. řízení kontinuity činností a
14. audit kybernetické bezpečnosti,
b) technickými opatřeními
1. fyzická bezpečnost,
2. bezpečnost komunikačních sítí,
3. správa a ověřování identit,
4. řízení přístupových práv a oprávnění,
5. detekce kybernetických bezpečnostních událostí,
6. zaznamenávání událostí,
7. vyhodnocování kybernetických bezpečnostních událostí,
8. aplikační bezpečnost,
9. kryptografické algoritmy,
10. zajišťování dostupnosti regulované služby a
11. zabezpečení průmyslových, řídících a obdobných specifických technických aktiv.
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
a) zajišťování kybernetické bezpečnosti,
b) povinnosti vrcholného vedení,
c) řízení aktiv,
d) řízení rizik,
e) bezpečnost lidských zdrojů,
f) řízení kontinuity činností,
g) řízení přístupu,
h) řízení identit a jejich oprávnění,
i) detekce a zaznamenávání kybernetických bezpečnostních událostí,
j) řešení kybernetických bezpečnostních incidentů,
k) bezpečnost komunikačních sítí,
l) aplikační bezpečnost a
m) kryptografické algoritmy.
(3) Úřad stanoví vyhláškou obsah a rozsah bezpečnostních opatření odpovídající režimu poskytovatele regulované služby.
CELEX 32022L2555
Hlášení kybernetických bezpečnostních incidentů
(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen v rámci stanoveného rozsahu hlásit Úřadu všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a nelze u nich ve lhůtě podle § 17 odst. 1 vyloučit úmyslné zavinění.
(2) Poskytovatel regulované služby v režimu nižších povinností je povinen v rámci stanoveného rozsahu hlásit národnímu týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (dále jen „Národní CERT“) všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru, mají významný dopad na poskytování regulované služby a nelze u nich ve lhůtě podle § 17 odst. 1 vyloučit úmyslné zavinění.
(3) Způsob stanovení významného dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby poskytovatelem regulované služby v režimu nižších povinností stanoví Úřad vyhláškou.
(4) Poskytovatel regulované služby začne plnit povinnost hlásit kybernetické bezpečnostní incidenty podle odstavců 1 a 2 pro každou regulovanou službu nejpozději do 1 roku ode dne doručení písemného vyrozumění o jejím zápisu do evidence regulovaných služeb podle § 10 odst. 1.
(5) Nad rámec odstavců 1 a 2 mohou poskytovatelé regulovaných služeb a další orgány a osoby Úřadu hlásit kybernetické bezpečnostní incidenty, především ty, u kterých lze dovodit úmyslné zavinění, kybernetické bezpečnostní události nebo hrozby. Úřadu mohou být anonymně hlášeny také zranitelnosti, zejména pro účely zajištění koordinovaného zveřejňování zranitelností ze strany vládního týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (dále jen „Vládní CERT“).
(6) Tímto ustanovením není dotčena informační povinnost podle jiného právního předpisu nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů.
CELEX 32022L2555
Náležitosti hlášení kybernetických bezpečnostních incidentů
(1) Poskytovatel regulované služby bez zbytečného odkladu po zjištění kybernetického bezpečnostního incidentu, nejpozději však do 24 hodin předloží Úřadu nebo Národnímu CERT prvotní hlášení, v němž uvede své identifikační údaje, základní údaje o kybernetickém
bezpečnostním incidentu, a dále zda se domnívá, že byl kybernetický bezpečnostní incident způsoben nezákonným zásahem nebo že by mohl mít přeshraniční dopad.
(2) Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1 na základě obsahu hlášení a dalších relevantních informací, zda má kybernetický bezpečnostní incident u poskytovatele regulované služby v režimu vyšších povinností významný dopad na kybernetický prostor státu. Významnost dopadu na kybernetický prostor státu je dána významem dopadu na poskytování regulované služby, odvětvím, ve kterém se kybernetický bezpečnostní incident vyskytl, a aktuální situací v kybernetickém prostoru s potenciálním dopadem na bezpečnost České republiky.
(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 16 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 předloží poskytovatel regulované služby nad rámec prvotního hlášení podle odstavce 1 Úřadu nebo Národnímu CERT
a) bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění kybernetického bezpečnostního incidentu oznámení, v němž aktualizuje informace uvedené v odstavci 1, předloží prvotní posouzení kybernetického bezpečnostního incidentu a uvede dopad a indikátory kompromitace, pokud jsou k dispozici; poskytovatel regulovaných služeb vytvářejících důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10) předloží toto oznámení do 24 hodin od okamžiku, kdy se o tomto kybernetickém bezpečnostním incidentu dozvěděl,
b) na výzvu Úřadu nebo Národního CERT průběžnou zprávu o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu a
c) nejpozději do 30 dnů od předložení oznámení podle písmene a) závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu; v případě, že po uplynutí uvedené lhůty kybernetický bezpečnostní incident stále trvá, předloží poskytovatel regulované služby bez zbytečného odkladu po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a poté nejpozději do 30 dnů od vyřešení kybernetického bezpečnostního incidentu závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.
(4) Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu Úřadu. Nelze-li využít Portálu Úřadu, zašle poskytovatel regulované služby v režimu vyšších povinností hlášení na adresu elektronické pošty Úřadu určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Úřadu. Poskytovatel regulované služby v režimu nižších povinností zašle v takovém případě hlášení na adresu elektronické pošty Národního CERT určenou pro příjem hlášení kybernetických bezpečnostních incidentů nebo do jeho datové
10) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
schránky. Dobrovolná hlášení podle § 16 odst. 5 lze hlásit prostřednictvím internetových stránek Úřadu.
(5) Obsahové náležitosti, formát a způsob hlášení kybernetického bezpečnostního incidentu, průběžné zprávy o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu, průběžné zprávy o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu stanoví Úřad vyhláškou.
CELEX 32022L2555
Zvládání kybernetických bezpečnostních incidentů
(1) Úřad nebo Národní CERT poskytne bez zbytečného odkladu, nejpozději do 24 hodin od obdržení prvotního hlášení podle § 17, poskytovateli regulované služby své vyjádření ke kybernetickému bezpečnostnímu incidentu.
(2) Na žádost dotčeného poskytovatele regulované služby poskytne Úřad nebo Národní CERT metodickou podporu k provádění možných zmírňujících opatření, a případnou další technickou podporu ke zvládání hlášeného kybernetického bezpečnostního incidentu.
(3) Orgány a osoby jsou povinny poskytnout na výzvu Úřadu nezbytné informace a další nezbytnou součinnost při zvládání kybernetického bezpečnostního incidentu, pokud nelze sledovaného účelu dosáhnout jinak nebo by bylo jinak jeho dosažení podstatně ztížené. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
(4) Údaje o kybernetických bezpečnostních incidentech, kybernetických bezpečnostních událostech, hrozbách a zranitelnostech jsou vedeny v evidenci podle § 48.
(5) Odstavce 1 až 4 se při zvládání kybernetických bezpečnostních incidentů nahlášených podle § 16 odst. 5 a incidentů oznámených jiným dozorovým orgánem v souvislosti s plněním povinností podle zvláštního odvětvového předpisu ve smyslu § 71 použijí obdobně.
CELEX 32022L2555
Zvláštní ustanovení o povinnostech poskytovatelů regulovaných služeb v odvětví digitální infrastruktury a služeb
(1) Poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu jmen domén, služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10), služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště11), služby internetového vyhledávače ve smyslu přímo použitelného právního
11) On-line tržiště ve smyslu zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů.
předpisu Evropské unie12), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, je ve vztahu k těmto regulovaným službám povinen v rámci stanoveného rozsahu zavést a provádět vhodná a přiměřená bezpečnostní opatření zahrnující alespoň řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činnosti, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit, a to v míře a způsobem stanoveným prováděcím předpisem Evropské komise, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2022/2555 (dále jen „prováděcí předpis Komise“), pokud jde o technické a metodické požadavky opatření, která jsou uvedení poskytovatelé regulovaných služeb povinni přijímat; § 14 odst. 2 se ve vztahu k těmto regulovaným službám nepoužije.
(2) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1 s výjimkou služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10), je ve vztahu k této regulované službě povinen v rámci stanoveného rozsahu hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem na poskytování regulované služby; § 16 odst. 1 a 2 se ve věci vymezení incidentů, které je potřeba hlásit, ve vztahu k této regulované službě nepoužijí. Způsob stanovení významného dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví prováděcí předpis Komise. Ve věci způsobu hlášení kybernetických bezpečnostních incidentů se uplatní obecná úprava v § 16 a 17, pokud prováděcí předpis Komise nestanoví zvláštní postup.
(3) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1 s výjimkou služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10), a který má umístěnu hlavní provozovnu v jiném členském státě Evropské unie nebo má v jiném členském státě Evropské unie ustaveného zástupce, je povinen ve vztahu k této regulované službě plnit povinnosti stanovené tímto zákonem pouze v rozsahu odstavce 1. Povinnosti uložené rozhodnutím nebo opatřením obecné povahy Úřadu na základě tohoto zákona jsou pro poskytovatele regulované služby podle věty první závazné pouze v případě, že tak Úřad v rozhodnutí nebo opatření obecné povahy výslovně stanoví.
(4) Poskytovatel regulované služby uvedené v odstavci 1 zařazený do režimu vyšších povinností je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro orgány a osoby zařazené do kategorie základních subjektů. Poskytovatel regulované služby uvedené v odstavci 1 zařazený do režimu nižších povinností je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro orgány a osoby zařazené do kategorie důležitých subjektů.
(5) Plnění povinností poskytovatele regulované služby uvedené v odstavci 1 vůči regulovaným službám neuvedeným v odstavci 1 není použitím tohoto ustanovení dotčeno. CELEX 32022L2555
12) Čl. 2 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb.
Informační povinnost
(1) Pokud to poskytovatel regulované služby považuje za vhodné, oznámí bez zbytečného odkladu uživatelům regulované služby kybernetický bezpečnostní incident s významným dopadem, který by mohl negativně ovlivnit poskytování této služby. Úřad je oprávněn poskytovateli regulované služby, který je dotčen kybernetickým bezpečnostním incidentem s významným dopadem, po konzultaci s tímto poskytovatelem regulované služby, uložit povinnost informovat uživatele regulované služby o tomto incidentu. V rozhodnutí o uložení této povinnosti stanoví Úřad rozsah informační povinnosti.
(2) Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele regulované služby, který může být ovlivněn významnou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší. V případě, že je to možné a vhodné, informuje poskytovatel regulované služby uživatele také o této významné hrozbě. CELEX 32022L2555
Protiopatření
(1) Protiopatřeními se rozumí úkony Úřadu, jichž je potřeba k ochraně aktiv před hrozbou nebo před zneužitím zranitelností v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem, anebo k řešení již nastalého kybernetického bezpečnostního incidentu.
(2) Protiopatřeními jsou
a) výstraha,
b) varování a
c) reaktivní protiopatření.
(3) Nestanoví-li Úřad v protiopatření jinak, je poskytovatel regulované služby povinen bez zbytečného odkladu, nejpozději však ve lhůtě dané protiopatřením, oznámit Úřadu provedení protiopatření a jeho výsledek. Obsahové náležitosti, formát a způsob oznámení stanoví Úřad vyhláškou. Orgány a osoby jsou povinny poskytovat Úřadu při zajišťování podkladů pro vydání protiopatření nezbytnou součinnost. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
CELEX 32022L2555
Výstraha
(1) Úřad je po konzultaci s dotčeným poskytovatelem regulované služby z důvodu ochrany vnitřního či veřejného pořádku a bezpečnosti, ochrany života a zdraví osob nebo
ochrany ekonomiky státu oprávněn veřejnost formou výstrahy informovat o kybernetickém bezpečnostním incidentu či o porušování povinností daných tímto zákonem, nebo dotčenému poskytovateli regulované služby rozhodnutím uložit, aby tak učinil sám.
(2) Úřad veřejnost o skutečnostech podle odstavce 1 informuje prostřednictvím svých internetových stránek a poskytovatele regulovaných služeb v případě, že je to vhodné, informuje Úřad prostřednictvím Portálu Úřadu.
(3) Rozhodnutí Úřadu podle odstavce 1 může být prvním úkonem v řízení a rozklad proti němu nemá odkladný účinek.
CELEX 32022L2555
Varování
(1) Úřad vydá varování, dozví-li se o závažné hrozbě nebo zranitelnosti v oblasti kybernetické bezpečnosti.
(2) Poskytovatel regulované služby v režimu vyšších povinností zohlední varování
v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3) Varování Úřad oznámí dotčeným poskytovatelům regulované služby prostřednictvím Portálu Úřadu a zveřejní jej na úřední desce Úřadu. Úřad varování nezveřejní, pokud by jeho zveřejnění mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření vydaného podle tohoto zákona, jiné oprávněné zájmy státu nebo by na jeho základě bylo možné identifikovat orgán nebo osobu, která hrozbu, zranitelnost nebo s tím související kybernetický bezpečnostní incident ohlásila.
CELEX 32022L2555
Reaktivní protiopatření
(1) Úřad vydá rozhodnutí, ve kterém uloží poskytovateli regulované služby povinnost provést reaktivní protiopatření
a) k řešení hrozícího či probíhajícího kybernetického bezpečnostního incidentu,
b) k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, nebo
c) za účelem zvýšení ochrany aktiv na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu.
(2) Reaktivní protiopatření je povinen provádět poskytovatel regulované služby v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3) Rozhodnutí o povinnosti provést reaktivní protiopatření může být prvním úkonem v řízení. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 72 hodin od jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné.
Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.
(4) Má-li se protiopatření podle odstavce 1 týkat blíže neurčeného okruhu orgánů nebo osob, vydá jej Úřad formou opatření obecné povahy.
(5) Opatření obecné povahy podle odstavce 4 nabývá účinnosti okamžikem jeho vyvěšení na úřední desce Úřadu; ustanovení § 172 správního řádu se nepoužije. O vydání opatření obecné povahy Úřad rovněž vyrozumí poskytovatele regulované služby, kteří jsou jím dotčeni.
(6) Dotčený poskytovatel regulované služby či kdokoliv, kdo prokáže, že jeho práva, povinnosti nebo zájmy mohou být opatřením obecné povahy přímo dotčeny, může k opatření obecné povahy vydanému podle odstavce 4 uplatnit připomínky ve lhůtě 30 dnů ode dne jeho vyvěšení na úřední desce Úřadu. Úřad může na základě uplatněných připomínek opatření obecné povahy změnit nebo zrušit.
CELEX 32022L2555
Vztah poskytovatele regulované služby a jeho dodavatelů
Řízení dodavatelů a vztah k zadávání veřejných zakázek
(1) Poskytovatel regulované služby je povinen zohlednit požadavky vyplývající
z bezpečnostních opatření při výběru dodavatele pro svůj stanovený rozsah.
(2) Tam, kde je to možné, je poskytovatel regulované služby povinen zohlednit požadavky vyplývající z bezpečnostních opatření ve smlouvách se svými dodavateli.
(3) Zohlednění požadavků vyplývajících z bezpečnostních opatření při výběru dodavatele v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěže.
Speciální úprava předání informací a dat od významného dodavatele
(1) Úřad může v případě hrozícího nebo probíhajícího kybernetického bezpečnostního incidentu, který by mohl mít závažný vliv na poskytování regulované služby s dopadem na zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, majetku nebo životního prostředí, na podnět poskytovatele regulované služby v režimu vyšších povinností, který marně vyzval významného dodavatele k předání informací a dat, uložit významnému dodavateli povinnost předat poskytovateli regulované služby v režimu vyšších povinností informace a data související s provozem aktiv sloužících k poskytování regulované služby. Pokud významný dodavatel informacemi nebo daty souvisejícími s provozem aktiv
sloužících k poskytování regulované služby nedisponuje nebo vzhledem ke skutkovým okolnostem není účelné jejich opatření a vydání po něm požadovat, může Úřad povinnost podle věty první uložit i jinému orgánu nebo osobě, která požadovanými informacemi a daty disponuje. Úřad může v rozhodnutí podle věty první určit formát, rozsah, způsob a lhůtu předání a stanovit povinnost po provedení předání tyto informace a data a jejich kopie bezpečně zlikvidovat.
(2) Podnět podle odstavce 1 musí obsahovat odůvodnění požadavku s ohledem na hrozící nebo probíhající kybernetický bezpečnostní incident, podrobný popis předchozího jednání mezi významným dodavatelem a poskytovatelem regulované služby v režimu vyšších povinností a možné následky, pokud nedojde k předání požadovaných informací a dat.
(3) Rozhodnutí o uložení povinnosti předat informace a data podle odstavce 1 může být prvním úkonem v řízení. Rozklad proti rozhodnutí podle věty první nemá odkladný účinek.
(4) Významný dodavatel nebo jiný orgán nebo osoba, která požadovanými informacemi a daty disponuje, má nárok na úhradu účelně vynaložených nákladů spojených s předáním informací a dat ze strany poskytovatele regulované služby v režimu vyšších povinností. Jednání
o úhradě účelně vynaložených nákladů spojených s předáním informací a dat nesmí být překážkou řádného splnění povinnosti předat informace a data.
(5) Exekuce rozhodnutí Úřadu ukládajícího povinnost předat nebo jinak naložit s informacemi a daty se řídí ustanoveními správního řádu upravujícími exekuci odebráním movité věci.
Strategicky významná služba
Kritéria strategicky významné služby
Strategicky významná služba je stanovena kritérii pro identifikaci strategicky významné služby ve vymezených odvětvích nebo kritérii pro určení strategicky významné služby.
Kritéria pro identifikaci a určení strategicky významné služby
(1) Strategicky významnou službou je regulovaná služba
a) naplňující alespoň jedno kritérium pro identifikaci strategicky významné služby uvedené ve vyhlášce Úřadu v odvětvích
1. veřejná správa,
2. energetika,
3. doprava a
4. digitální infrastruktura a služby, nebo
b) určená rozhodnutím Úřadu v případě, že by její narušení mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek.
(2) Kritéria pro identifikaci strategicky významné služby zohledňují významnost dopadu narušení regulované služby na bezpečnost České republiky nebo vnitřní či veřejný pořádek.
(3) Po registraci regulované služby naplňující kritérium pro identifikaci strategicky významné služby podle odstavce 1 písm. a), po změně registračních údajů podle § 12 na základě naplnění tohoto kritéria, nebo po rozhodnutí Úřadu o určení strategicky významné služby podle odstavce 1 písm. b) Úřad bez zbytečného odkladu označí takovou regulovanou službu jako strategicky významnou službu v evidenci regulovaných služeb, o čemž poskytovatele strategicky významné služby písemně vyrozumí.
(4) Pominou-li důvody pro určení strategicky významné služby, postupuje se obdobně jako při výmazu regulované služby z evidence regulovaných služeb podle § 11.
(5) Proti rozhodnutí o určení strategicky významné služby podle odstavce 1 písm. b) není rozklad přípustný.
Mechanismus prověřování bezpečnosti dodavatelského řetězce
Prověřování rizik spojených s dodavatelem
§ 29
(1) Úřad za účelem prověřování rizik spojených s dodavatelem shromažďuje a vyhodnocuje informace a data spojené s orgánem či osobou, které se týkají možné hrozby pro bezpečnost České republiky, vnitřní či veřejný pořádek.
(2) Činnosti podle odstavce 1 upřednostňuje Úřad podle přístupu založeného na rizicích a dostupných personálních a technických zdrojích.
(3) Pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce se rozumí
a) kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle vyhlášky Úřadu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní vysoká nebo kritická; kritickou částí stanoveného rozsahu jsou vždy alespoň aktiva stanoveného rozsahu strategicky významné služby, která zajišťují nepominutelné funkce stanoveného rozsahu stanovené vyhláškou Úřadu,
b) bezpečnostně významnou dodávkou plnění směřující do kritické části stanoveného rozsahu spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu
1. technického prostředku nebo vybavení s výpočetní kapacitou,
2. programového prostředku nebo vybavení, nebo
3. informační či komunikační služby a
c) dodavatelem bezpečnostně významné dodávky ten, kdo poskytovateli strategicky významné služby poskytne přímo či jako poddodavatel bezpečnostně významnou dodávku.
(4) Nepominutelné funkce stanoveného rozsahu stanoví Úřad vyhláškou.
(1) Ministerstvo průmyslu a obchodu, Ministerstvo zahraničních věcí a Ministerstvo vnitra za účelem výkonu činnosti podle § 29 odst. 1 poskytnou Úřadu na jeho žádost bez zbytečného odkladu, nejpozději však do 30 dnů ode dne obdržení žádosti, stanovisko
o rizikovosti dodavatele, nebo požadované informace.
(2) Nejvyšší státní zastupitelství, Policie České republiky, Úřad pro ochranu hospodářské soutěže a zpravodajské služby České republiky za účelem výkonu činnosti podle
§ 29 odst. 1 poskytnou Úřadu na jeho žádost bez zbytečného odkladu, nejpozději však
do 30 dnů ode dne obdržení žádosti, požadované informace.
(3) Finanční analytický úřad za účelem výkonu činnosti podle § 29 odst. 1 poskytne Úřadu na jeho žádost bez zbytečného odkladu, nejpozději však do 30 dnů ode dne obdržení žádosti, požadované informace, které získal při své činnosti podle právního předpisu upravujícího opatření proti legalizaci výnosů z trestné činnosti a financování terorismu a právního předpisu upravujícího provádění mezinárodních sankcí.
(4) Nezíská-li Úřad z vlastní činnosti nebo postupem podle odstavců 1 až 3 informace potřebné pro výkon činnosti podle § 29 odst. 1, poskytnou na základě žádosti Úřadu tyto informace orgány a osoby neuvedené v odstavcích 1 až 3, a to do 30 dnů ode dne obdržení žádosti.
(5) Při poskytování informací podle tohoto ustanovení není porušením povinnosti mlčenlivosti poskytnutí informace
a) orgánem činným v trestním řízení, ledaže by poskytnutí informace, na kterou
se mlčenlivost vztahuje, zmařilo účel trestního řízení,
b) správcem daně podle daňového řádu,
c) orgánem Celní správy České republiky a
d) Ministerstvem průmyslu a obchodu, jedná-li se o informace zjištěné v souvislosti
s řízením nebo konzultací podle zákona o prověřování zahraničních investic.
(6) Při poskytování informací podle tohoto ustanovení není porušením bankovního tajemství poskytnutí informace bankou.
Omezení rizik spojených s dodavatelem
(1) Úřad vydá opatření obecné povahy, kterým stanoví podmínky nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, zjistí-
li na základě vyhodnocení rizikovosti dodavatele možné významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku. Lhůtu pro zohlednění podmínek nebo zákazu obsaženého v opatření obecné povahy stanoví Úřad s přihlédnutím k jejich dopadům na poskytovatele strategicky významné služby, přičemž při jejím stanovení Úřad vezme v potaz doby odpisování podle právního předpisu upravujícího zdanění příjmu.
(2) Návrh opatření obecné povahy podle odstavce 1 Úřad projedná s ostatními orgány uvedenými v § 30 odst. 1 až 3 a Ministerstvem financí a v případě, že se návrh opatření obecné povahy dotýká jejich působnosti, s Českým telekomunikačním úřadem a Energetickým regulačním úřadem. Po projednání návrhu opatření obecné povahy podle věty první jej Úřad předloží pro informaci členům Bezpečnostní rady státu.
(3) Jestliže lhůta pro zohlednění zákazu obsaženého v návrhu opatření obecné povahy pro stávající či minulá plnění dodavatele bezpečnostně významné dodávky je kratší než stanovená doba odpisování podle právního předpisu upravujícího zdanění příjmu, pokud ji tento právní předpis ve vztahu k dotčené bezpečnostně významné dodávce stanoví, nebo je kratší než 5 let od pořízení bezpečnostně významné dodávky v případě, že ji právní předpis upravující zdanění příjmu ve vztahu k dotčené bezpečnostně významné dodávce nestanoví, Úřad předloží návrh opatření obecné povahy po projednání podle odstavce 2 ke schválení formou závazného stanoviska Ministerstvu průmyslu a obchodu, Ministerstvu zahraničních věcí a Ministerstvu vnitra.
(4) Po informování členů Bezpečnostní rady státu podle odstavce 2 a po postupu podle odstavce 3 Úřad doručí návrh opatření obecné povahy veřejnou vyhláškou a vyzve dodavatele, vůči jehož plnění opatření obecné povahy míří, a další dotčené osoby, aby k návrhu opatření obecné povahy podávaly připomínky. Lhůta pro podání připomínek činí 30 dnů, nestanoví-li Úřad jinak. Ustanovení § 172 odst. 1 a 5, § 173 odst. 1 části věty první za středníkem, a § 173 odst. 1 věty druhé správního řádu se pro postup podle tohoto ustanovení nepoužijí.
(5) Úřad přezkoumá alespoň jednou za 4 roky trvání skutečností, na jejichž základě bylo vydáno opatření obecné povahy podle odstavce 1. Zjistí-li Úřad, že tyto skutečnosti pominuly, zruší opatření obecné povahy podle odstavce 1 postupem podle odstavců 1 až 3 obdobně.
Výjimky z omezení rizik spojených s dodavatelem
(1) Úřad může, pokud to povaha daného ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku připouští, povolit výjimku z podmínek či zákazu stanovených opatřením obecné povahy podle § 31, jestliže by plnění opatření obecné povahy poskytovatelem strategicky významné služby mohlo podstatným způsobem ohrozit poskytování strategicky významné služby.
(2) Řízení o povolení výjimky podle odstavce 1 se zahajuje na žádost poskytovatele strategicky významné služby nebo z moci úřední. Poskytovatel strategicky významné služby je povinen k žádosti připojit důkazy prokazující skutečnosti, kterých se dovolává.
(3) Úřad v rozhodnutí o povolení výjimky stanoví podmínky jejího uplatnění. V případě závažného porušení podmínek pro uplatnění výjimky nebo v případě pominutí důvodu, pro který byla povolena, Úřad výjimku rozhodnutím zruší.
(4) Úřad výjimku nepovolí, pokud by to zcela zmařilo účel opatření obecné povahy podle § 31.
(5) Žádost podle odstavce 2 lze podat znovu, pokud nastane podstatná změna okolností.
Povinnosti spojené s prověřováním bezpečnosti dodavatelského řetězce
(1) Poskytovatel strategicky významné služby je povinen
a) zjišťovat s vynaložením přiměřeného úsilí informace o dodavatelích bezpečnostně významných dodávek a evidovat tyto informace alespoň v rozsahu identifikace všech bezpečnostně významných dodávek a dodavatelů bezpečnostně významných dodávek, kteří je poskytují a
b) hlásit Úřadu informace podle písmene a) a jejich změny do 10 dnů od jejich zjištění; obsahové náležitosti, formát a způsob hlášení stanoví Úřad vyhláškou.
(2) Poskytovatel strategicky významné služby začne plnit povinnost hlásit informace podle odstavce 1 pro každou strategicky významnou službu nejpozději do 1 roku ode dne doručení písemného vyrozumění o označení regulované služby jako strategicky významné služby v evidenci regulovaných služeb podle § 28 odst. 3.
(3) Informace ohlášené Úřadu podle odstavce 1 písm. b) a odstavce 2 a informace zjištěné postupem podle § 29 a 30 jsou součástí evidence dodavatelů bezpečnostně významných dodávek.
Výpověď závazku ze smlouvy v důsledku omezení rizik spojených s dodavatelem
Poskytovatel strategicky významné služby může závazek ze smlouvy vypovědět bez zbytečného odkladu poté, co zjistí, že v jeho plnění nelze pokračovat, aniž by bylo porušeno opatření obecné povahy podle § 31. Výpověď závazku ze smlouvy může být v odůvodněných případech odložena, pokud nebude narušen účel opatření obecné povahy.
Zajištění dostupnosti strategicky významné služby
(1) Poskytovatel strategicky významné služby je povinen zajistit její dostupnost
v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.
(2) Poskytovatel strategicky významné služby je povinen prověřovat schopnost zajištění jejího poskytování v nezbytném rozsahu z území České republiky nejméně jednou za 2 roky a o tomto prověření vyhotovit písemný záznam.
(3) Poskytovatel strategicky významné služby začne plnit povinnosti uvedené v odstavcích 1 a 2 pro každou strategicky významnou službu nejpozději do 1 roku ode dne doručení písemného vyrozumění o označení regulované služby jako strategicky významné služby v evidenci regulovaných služeb podle § 28 odst. 3.
(4) Stanovený čas a kvalitu služby stanoví poskytovatel strategicky významné služby zejména s ohledem na charakter a specifika jím poskytované strategicky významné služby, účel, pro nějž je poskytována, a závažnost dopadů narušení jejího řádného poskytování na uživatele služby.
(5) Nezbytný rozsah dostupnosti strategicky významné služby stanoví vyhláška Úřadu.
Subjekt poskytující služby registrace jmen domén a subjekt spravující a provozující registr domény nejvyšší úrovně
Hlášení údajů subjektů poskytujících služby registrace jmen domén
(1) Subjekt poskytující služby registrace jmen domén hlásí Úřadu bez zbytečného odkladu, nejpozději však do 30 dnů ode dne, kdy začal poskytovat službu registrace jmen domén, způsobem stanoveným vyhláškou Úřadu následující údaje
a) název subjektu,
b) adresu hlavní provozovny a jeho dalších provozoven na území členských států Evropské unie, popřípadě zástupce subjektu podle § 68,
c) aktuální kontaktní údaje včetně adres elektronické pošty a telefonních čísel subjektu, popřípadě jeho zástupce podle § 68,
d) členské státy Evropské unie, v nichž subjekt poskytuje své služby a
e) rozsah veřejných IP adres subjektu.
(2) V případě změn v údajích nahlášených podle odstavce 1 aktualizuje subjekt poskytující služby registrace jmen domén nahlášené údaje bez zbytečného odkladu, nejpozději však do 90 dnů ode dne změny.
CELEX 32022L2555
Shromažďování údajů o registraci jmen domén
(1) Subjekt spravující a provozující registr domény nejvyšší úrovně
a subjekt poskytující služby registrace jmen domén shromažďují a uchovávají přesné a úplné
údaje o registraci jmen domén ve vyhrazené databázi v souladu s právními předpisy upravujícími ochranu osobních údajů, pokud jde o údaje, které jsou osobními údaji.
(2) Databáze podle odstavce 1 obsahuje informace nezbytné k identifikaci a kontaktování držitelů jmen domén a kontaktních míst spravujících doménu nejvyšší úrovně, a to alespoň
a) jméno domény,
b) datum registrace,
c) jméno držitele jména xxxxxx,
d) adresu elektronické pošty držitele jména domény,
e) telefonní číslo držitele jména xxxxxx,
f) adresu elektronické pošty a telefonní číslo kontaktního místa spravujícího jméno domény v případě, že se liší od držitele jména domény.
(3) Subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén zavádí veřejně dostupné zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování totožnosti držitele jména domény. Tyto zásady a postupy nesmí vést ke zdvojování shromažďovaných dat. Za tímto účelem subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén vzájemně spolupracují. Subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén uzavřou písemnou smlouvu o dodržování těchto zásad a postupů.
(4) Subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén mohou při zavedení postupů pro ověření totožnosti držitele jména domény využít přístup s využitím prostředku pro elektronickou identifikaci vydaného v rámci kvalifikovaného systému elektronické identifikace podle zákona upravujícího elektronickou identifikaci.
(5) Subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén bez zbytečného odkladu po registraci jména domény uveřejní její registrační údaje, které nejsou osobními údaji.
(6) Subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén poskytují přístup ke konkrétním údajům o registraci jména domény na základě zákonných a řádně odůvodněných žádostí oprávněných žadatelů o přístup v souladu s právním předpisem upravujícím ochranu osobních údajů a s přímo použitelným předpisem Evropské unie13), a to bez zbytečného odkladu, nejpozději do 72 hodin od žádosti o přístup. Zásady a postupy pro zveřejňování těchto údajů musejí být veřejně dostupné.
CELEX 32022L2555
13) Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Další nástroje zajišťování kybernetické bezpečnosti
Výjimka z práva na informace
Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost protiopatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidencích vedených Úřadem podle § 48, se podle právních předpisů upravujících svobodný přístup k informacím neposkytují.
Stav kybernetického nebezpečí
Stav kybernetického nebezpečí lze vyhlásit v případě, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo na zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, majetku nebo životního prostředí.
Vyhlášení stavu kybernetického nebezpečí
(1) Stav kybernetického nebezpečí lze vyhlásit jen s uvedením důvodů a na nezbytně nutnou dobu, nejvýše však na dobu 30 dnů. Pokud důvody pro vyhlášení stavu kybernetického nebezpečí trvají, může ředitel Úřadu vyhlášený stav kybernetického nebezpečí přiměřeně prodloužit, maximálně však na celkovou délku 60 dní od jeho vyhlášení. Stav kybernetického nebezpečí vyhlašuje ředitel Úřadu. Ředitel Úřadu o vyhlášení stavu kybernetického nebezpečí a jeho prodloužení neprodleně informuje vládu.
(2) V případě, že není možné odvrátit značné ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru v rámci stavu kybernetického nebezpečí nebo budou důvody pro vyhlášení stavu kybernetického nebezpečí trvat i po 60 dnech od jeho vyhlášení, požádá ředitel Úřadu neprodleně vládu o vyhlášení nouzového stavu k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru.
(3) V případě vyhlášení krizového stavu k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru zůstává stav kybernetického nebezpečí v platnosti po celou dobu vyhlášení tohoto krizového stavu. Opatření za stavu kybernetického nebezpečí vyhlášená ředitelem Úřadu zůstávají v případě vyhlášení krizového stavu k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru v platnosti, pokud vláda nerozhodne jinak.
(4) Rozhodnutí o vyhlášení stavu kybernetického nebezpečí musí obsahovat opatření podle § 41 k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru a jejich rozsah. Rozhodnutí se zveřejňuje na úřední desce Úřadu a dalšími vhodnými
způsoby, zejména prostřednictvím hromadných sdělovacích prostředků. Rozhodnutí
o vyhlášení stavu kybernetického nebezpečí nabývá účinnosti okamžikem, který se v něm stanoví. Změna opatření k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru musí být vyhlášena obdobným způsobem jako stav kybernetického nebezpečí.
(5) Stav kybernetického nebezpečí končí uplynutím doby, na kterou byl vyhlášen, pokud ředitel Úřadu nebo vláda nerozhodnou o jeho zrušení před uplynutím této doby. Tím není dotčen odstavec 3. Vláda stav kybernetického nebezpečí také zruší, pokud nejsou splněny podmínky pro jeho vyhlášení. Zrušení stavu kybernetického nebezpečí se zveřejní na úřední desce Úřadu a dalšími vhodnými způsoby, zejména prostřednictvím hromadných sdělovacích prostředků. Toto rozhodnutí nabývá účinnosti okamžikem, který se v něm stanoví.
(6) Na rozhodování a ukládání povinností podle tohoto zákona se v době stavu kybernetického nebezpečí nevztahuje správní řád.
Opatření za stavu kybernetického nebezpečí
(1) Ředitel Úřadu je oprávněn k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru za stavu kybernetického nebezpečí
a) poskytnout věcné prostředky v majetku České republiky, které má v užívání Úřad, a které jsou nezbytné k řešení kybernetického bezpečnostního incidentu, nebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem, a to osobám, které se podílejí na výše popsaných činnostech,
b) vyžádat si za účelem využití opatření podle tohoto ustanovení od orgánů a osob v přiměřeném rozsahu informace o věcných prostředcích, o výrobních a provozních kapacitách a personálních zdrojích a o objemu zásob ve stanovených druzích materiálu, přičemž tyto orgány a osoby mají povinnost poskytnout Úřadu vyžadované informace úplně a pravdivě v Úřadem stanovené lhůtě,
c) vyžádat si na základě smlouvy nebo zápisu o sdílení personálních zdrojů a věcných prostředků přednostní poskytnutí personálních zdrojů nebo věcných prostředků a tyto personální zdroje a věcné prostředky využít, přičemž dožádané orgány a osoby mají povinnost žádosti Úřadu vyhovět, pokud to neohrozí plnění jejich úkolů při řešení stavu kybernetického nebezpečí. Plnění této povinnosti může za stavu kybernetického nebezpečí fyzická osoba odmítnout, pokud by jejím plněním ohrozila život nebo zdraví vlastní nebo jiných osob,
d) zakázat orgánům a osobám používání technických aktiv v případě, že jsou taková aktiva bezprostředně ohrožena kybernetickým bezpečnostním incidentem, který je může významně poškodit nebo zničit, nebo jsou takovým incidentem již postižena,
e) nařídit po konzultaci s orgány a osobami, kteří jsou zaměstnavateli podle právního předpisu upravujícího pracovněprávní vztahy, pracovní pohotovost konkrétním zaměstnancům tohoto zaměstnavatele, pokud je to nezbytné k řešení značného ohrožení
nebo narušení bezpečnosti informací v kybernetickém prostoru; ustanovení § 95 odst. 1 věta první zákoníku práce se nepoužije,
f) uložit orgánům či osobám povinnost provést opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před kybernetickým bezpečnostním incidentem a oznámit provedení opatření a jeho výsledek Úřadu,
g) nařídit orgánům a osobám provedení skenu zranitelností nebo provedení identifikace a ověření zranitelností prostřednictvím simulace reálného útoku (dále jen „penetrační test“),
h) nařídit orgánům a osobám zpřístupnění neveřejných komunikačních sítí v jejich správě pro potřeby Úřadu, který je použije způsobem obvyklým pro tuto komunikační síť, nebo
i) požádat orgán nebo osobu provozující hromadné sdělovací prostředky o uveřejnění informace o vyhlášení stavu kybernetického nebezpečí a o opatřeních za stavu kybernetického nebezpečí. Orgán nebo osoba provozující hromadné sdělovací prostředky jsou povinni bez náhrady nákladů na základě žádosti ředitele Úřadu neprodleně vyhovět a informace bez úpravy obsahu a smyslu uveřejnit.
(2) Za stavu kybernetického nebezpečí jsou orgány a osoby, které k tomu byly na základě vydaných opatření Úřadem vyzvány, povinny provést opatření podle odstavce 1 a strpět omezení z nich vyplývající a poskytnout Úřadu nezbytnou součinnost.
(3) Poskytnuté věcné prostředky, mimo prostředků, které byly spotřebovány, se po skončení stavu kybernetického nebezpečí navrací Úřadu. Příjemce je povinen tyto prostředky vrátit do 60 dnů po skončení stavu kybernetického nebezpečí. Po této lhůtě je příjemce oprávněn užívat poskytnuté věcné prostředky pouze na základě smlouvy uzavřené s Úřadem. Návrh smlouvy zpracuje Úřad na základě žádosti předložené příjemcem do 60 dnů po skončení stavu kybernetického nebezpečí. Pokud příjemce žádost v uvedené lhůtě nepředloží, je užívání poskytnutých věcných prostředků neoprávněným použitím majetku Úřadu. V případě nevrácení poskytnutých pohotovostních zásob se postupuje podle právních předpisů upravujících hospodaření s majetkem státu.
Náhrada škody
Pro účely náhrady škody v příčinné souvislosti s opatřeními za stavu kybernetického nebezpečí se použijí přiměřeně příslušná ustanovení právního předpisu upravujícího krizové řízení a kritickou infrastrukturu.
Náhrada za omezení vlastnického práva nebo uložení povinnosti
Pro účely náhrady za omezení vlastnického práva nebo uložení povinnosti v příčinné souvislosti s opatřeními za stavu kybernetického nebezpečí se použijí přiměřeně příslušná ustanovení právního předpisu upravujícího krizové řízení a kritickou infrastrukturu.
Výkon veřejné správy a jeho kontrola
Orgány a osoby vykonávající veřejnou správu v oblasti kybernetické bezpečnosti
Úřad
(1) Úřad je ústředním orgánem státní správy14) pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Úřad se svou činností podílí na posilování bezpečnosti a odolnosti České republiky v kybernetickém prostoru. Sídlem Úřadu je Brno. Příjmy a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu.
(2) V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává. Ředitel Úřadu je odpovědný předsedovi vlády nebo pověřenému členovi vlády.
(3) Úřad
a) přijímá informace o naplnění kritérií pro identifikaci regulované služby a registruje
poskytovatele regulovaných služeb,
b) určuje rozhodnutím regulovanou službu, pokud naplní kritéria pro určení regulované služby,
c) určuje rozhodnutím strategicky významnou službu podle § 28 odst. 1 písm. b),
d) zapisuje regulovanou službu do evidence regulovaných služeb a provádí výmaz regulované služby z této evidence,
e) přijímá hlášení registračních, kontaktních a doplňujících údajů a jejich změn,
f) stanoví bezpečnostní opatření odpovídající režimu poskytovatele regulované služby,
g) spravuje a provozuje Portál Úřadu,
h) v souladu s postupy podle tohoto zákona informuje veřejnost o kybernetickém bezpečnostním incidentu,
i) vydává protiopatření a přijímá oznámení o jejich provedení a výsledku,
j) vede evidence a seznamy podle tohoto zákona,
k) vydává rozhodnutí o povinnosti předat poskytovateli regulované služby v režimu vyšších povinností informace a data související s provozem aktiv sloužících k poskytování regulované služby,
l) stanovuje opatřením obecné povahy podmínky nebo zakazuje využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu,
14) § 2 bod 16 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické republiky, ve znění pozdějších předpisů.
m) přezkoumává trvání skutečností, na jejichž základě bylo vydáno opatření obecné povahy podle písmene m),
n) rozhoduje o žádostech o výjimku a povoluje výjimku z podmínek či zákazu stanovených opatřením obecné povahy podle § 32,
o) sjednává s orgány a osobami smlouvy a zápisy o sdílení personálních zdrojů a věcných prostředků za účelem plnění povinností a naplňování pravomocí Úřadu stanovených mu tímto zákonem,
p) je koordinačním orgánem za stavu kybernetického nebezpečí, vyhlašuje, řídí a koordinuje stav kybernetického nebezpečí, ukládá povinnosti a přijímá opatření k odvracení stavu kybernetického nebezpečí,
q) během stavu kybernetického nebezpečí vyhlašuje opatření určená k řešení a nápravě stavu kybernetického nebezpečí,
r) průběžně se připravuje na zajištění řešení a nápravy stavu kybernetického nebezpečí,
s) uzavírá veřejnoprávní smlouvu s provozovatelem Národního CERT,
t) provádí kontrolu plnění povinností podle tohoto zákona a ukládá nápravná opatření,
u) ukládá správní tresty a další sankce za nedodržení povinností stanovených tímto zákonem,
v) poskytuje nezbytnou součinnost na základě žádosti dozorového orgánu jiného členského státu Evropské unie,
w) vydává rozhodnutí o pozastavení platnosti evropského certifikátu kybernetické bezpečnosti nebo o povinnosti subjektu posuzování shody pozastavit platnost certifikátu nebo osvědčení podle § 62 a
x) podává soudu návrh na pozastavení výkonu řídící funkce a vydává osvědčení
podle § 63.
(4) Úřad dále
a) provádí analýzu a monitoring hrozeb a rizik,
b) nejméně každých 5 let zpracuje a vládě ke schválení předloží národní strategii kybernetické bezpečnosti15) a akční plán k jejímu naplňování,
c) v oblasti kybernetické bezpečnosti a v souvislosti s ní
1. spolupracuje s orgány a osobami, které působí v této oblasti a v oblasti kybernetické obrany, zejména s veřejnoprávními korporacemi, výzkumnými a vývojovými pracovišti a s ostatními pracovišti typu CERT,
2. zajišťuje mezinárodní spolupráci v souladu s právními předpisy upravujícími činnost ústředních orgánů státní správy16),
3. plní další úkoly v souladu se závazky vyplývajícími z členství České republiky
v Evropské unii, Organizaci Severoatlantické smlouvy a z dalších mezinárodních
15) Čl. 7 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
16) § 25 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické
republiky, ve znění pozdějších předpisů.
smluv, jimiž je Česká republika vázána, a to v souladu s právními předpisy upravujícími činnost ústředních orgánů státní správy4),
4. zajišťuje prevenci, vzdělávání a metodickou podporu a
5. zajišťuje výzkum a vývoj,
d) podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu určuje prvky kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti nebo zasílá Ministerstvu vnitra návrh prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, jejichž provozovatelem je organizační složka státu, a každé 2 roky ověřuje jejich aktuálnost,
e) plní povinnosti vůči Evropské komisi, Agentuře Evropské unie pro kybernetickou bezpečnost, Agentuře Evropské unie pro Kosmický program, Skupině pro spolupráci, Síti Computer Security Incident Response Team (dále jen „Síť CSIRT“), Evropské síti styčných organizací pro řešení kybernetických krizí a dalším subjektům podle příslušného předpisu Evropské unie17),
f) je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie a je příslušným orgánem v České republice podle příslušného předpisu Evropské unie18), a zajišťuje vysílání zástupců do Skupiny pro spolupráci, Sítě CSIRT a Evropské sítě styčných organizací pro řešení kybernetických krizí,
g) v případě potřeby se podílí na procesu vzájemného hodnocení podle příslušného předpisu Evropské unie19) a metodiky a organizačních aspektů vzájemného hodnocení vypracovaných Skupinou pro spolupráci podle tohoto příslušného předpisu Evropské unie,
CELEX 32022L2555
h) vykonává působnost v oblasti veřejné regulované služby Evropského programu družicové navigace Galileo, zejména plní funkce příslušného orgánu veřejné regulované služby (PRS) podle přímo použitelného předpisu Evropské unie20),
CELEX 32011D1104
i) vykonává působnost ve vybraných oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb v rámci Kosmického programu Evropské Unie, zejména plní funkce příslušného orgánu pro družicovou komunikaci v rámci státní správy (GOVSATCOM) podle přímo použitelného předpisu Evropské Unie21),
CELEX 32021R0696
j) vykonává působnost ve vybraných oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
18) Čl. 8 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
19) Čl. 19 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
20) Čl. 5 rozhodnutí Evropského parlamentu a Rady (EU) 1104/2011.
21) Čl. 68 nařízení Evropského parlamentu a Rady č. 2021/696.
v rámci Programu Evropské unie pro bezpečnou konektivitu, zejména plní funkce příslušného orgánu pro bezpečnou konektivitu podle přímo použitelného předpisu Evropské unie22),
CELEX 32023R0588
k) je vnitrostátním orgánem certifikace kybernetické bezpečnosti podle přímo použitelného předpisu Evropské unie23),
CELEX 32019R0881
l) působí jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti pro Českou republiku podle přímo použitelného předpisu Evropské unie24),
CELEX 32021R0887
m) zřizuje a podporuje platformy sloužící ke sdílení informací v oblasti kybernetické bezpečnosti a stanovuje pravidla jejich fungování a
CELEX 32022L2555
n) plní další úkoly stanovené tímto zákonem a zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti.
(5) Součástí Úřadu je Vládní CERT, který
a) koordinuje, analyzuje a preventivně působí ve vztahu k
1. hrozbám v oblasti kybernetické bezpečnosti,
2. zranitelnostem v oblasti kybernetické bezpečnosti, včetně vyhledávání zranitelností,
3. kybernetickým bezpečnostním událostem a
4. kybernetickým bezpečnostním incidentům, včetně podpory při jejich zvládání,
b) působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu vyšších povinností,
c) testuje zavedení a odolnost zabezpečení aktiv, včetně provádění penetračních testů
se souhlasem dotčených orgánů či osob,
d) je koordinátorem pro účely koordinovaného zveřejňování zranitelností,
e) vede evidenci kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí, hrozeb a zranitelností,
f) spolupracuje s orgány a osobami v oblasti kybernetické bezpečnosti,
g) poskytuje orgánům a osobám konzultace v oblasti kybernetické bezpečnosti,
h) od orgánu a osob přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,
i) s orgány a osobami sdílí údaje a informace ze své činnosti a z evidencí vedených Úřadem, je-li to nezbytné pro zajišťování kybernetické bezpečnosti; pro takto sdílené údaje a informace Vládní CERT stanoví závaznou úroveň ochrany,
22) Čl. 11 nařízení Evropského parlamentu a Rady č. 2023/588.
23) Čl. 58 nařízení Evropského parlamentu a Rady (EU) 2019/881.
24) Nařízení Evropského parlamentu a Rady (EU) 2021/887.
j) plní roli CSIRT týmu podle příslušného předpisu Evropské unie25) a zastupuje Českou republiku a podílí se na fungování relevantních mezinárodních uskupení a sdružení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
k) ve vhodných případech předává bez zbytečného odkladu informace o kybernetickém bezpečnostním incidentu s významným dopadem týkajícím se 2 nebo více členských států Evropské unie nahlášeném podle § 16 a 17 dotčeným členským státům Evropské unie a Agentuře Evropské unie pro kybernetickou bezpečnost, přičemž zachovává důvěrnost poskytnutých informací, bezpečnost a obchodní zájmy ohlašovatele,
l) se podílí na výzkumu a vývoji kybernetických bezpečnostních nástrojů a řešení a
m) upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.
CELEX 32022L2555
Národní CERT
(1) Národní CERT
a) zajišťuje v rozsahu tohoto zákona sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti a působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu nižších povinností,
b) přijímá hlášení o kybernetických bezpečnostních incidentech, kybernetických bezpečnostních událostech, hrozbách a zranitelnostech v oblasti kybernetické bezpečnosti a tyto údaje zaznamenává, vyhodnocuje, uchovává a chrání,
c) poskytovatelům regulovaných služeb v režimu nižších povinností poskytuje metodickou podporu, pomoc a součinnost při výskytu a zvládání kybernetického bezpečnostního incidentu s významným dopadem a při zveřejňování informací o zranitelnostech v oblasti kybernetické bezpečnosti,
d) provádí vyhledávání a hodnocení zranitelností v oblasti kybernetické bezpečnosti,
e) předává Úřadu údaje o nahlášených hrozbách, kybernetických bezpečnostních událostech, kybernetických bezpečnostních incidentech podle § 16 a zranitelnostech v oblasti kybernetické bezpečnosti,
f) informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování regulované služby v tomto členském státě a zároveň o tom informuje Úřad, přičemž dbá na bezpečnost a jiné oprávněné zájmy ohlašovatele,
g) od orgánů a osob přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,
h) plní roli CSIRT týmu podle příslušného předpisu Evropské unie25) a podílí se na fungování mezinárodních uskupení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
25) Čl. 10 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
i) se v případě potřeby podílí na procesu vzájemného hodnocení podle příslušného předpisu Evropské unie19) a
j) upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.
(2) Činnosti Národního CERT uvedené v odstavci 1 vykonává provozovatel Národního CERT, který přitom postupuje nestranně a v koordinaci s Úřadem.
(3) Provozovatel Národního CERT vykonává činnosti podle odstavce 1 písm. a), b) a e) až h) bezúplatně. Provozovatel Národního CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v odstavci 1 nezbytné náklady.
(4) Provozovatelem Národního CERT může být pouze právnická osoba, která uzavřela
s Úřadem veřejnoprávní smlouvu podle § 55, a která
a) nevyvíjí ani nevyvíjela činnost proti zájmu České republiky ve smyslu právních předpisů upravujících ochranu utajovaných informací,
b) spravuje a provozuje relevantní technická aktiva nebo se na jejich správě a provozu
podílí, a to nejméně po dobu 5 let,
c) má technické předpoklady k výkonu činností podle odstavce 1,
d) je členem nadnárodní organizace působící v oblasti kybernetické bezpečnosti,
e) nemá v České republice evidován nedoplatek, s výjimkou nedoplatku, u kterého je povoleno posečkání jeho úhrady na splátky,
1. u orgánů Finanční správy České republiky,
2. u orgánů Celní správy České republiky,
3. na pojistném a na penále na veřejné zdravotní pojištění a
4. na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti,
f) nebyla pravomocně odsouzena za spáchání trestného činu, pokud se na ní nehledí, jako
by nebyla odsouzena,
g) nemá sídlo mimo území České republiky,
h) nevykonává v oblasti kybernetické bezpečnosti činnosti neupravené tímto zákonem, které by mohly narušit plnění povinností uvedených v odstavci 1 a
i) je držitelem platného osvědčení podnikatele pro přístup k utajovaným informacím pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti.
(5) Zájemce o provozování Národního CERT prokazuje splnění podmínek předložením
a) čestného prohlášení o skutečnostech podle odstavce 4 písm. a) až d), g) a h), z jehož obsahu musí být zřejmé, že uchazeč splňuje příslušné předpoklady,
b) výpisu z evidence Rejstříku trestů v případě odstavce 4 písm. f), který nesmí být starší než 3 měsíce,
c) potvrzení příslušné pojišťovny v případě odstavce 4 písm. e) bod 3 a příslušné okresní správy sociálního zabezpečení v případě odstavce 4 písm. e) bod 4, která nesmí být starší než 30 dnů a
d) platného osvědčení podnikatele pro přístup k utajovaným informacím minimálně pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti.
(6) Úřad zveřejní na svých internetových stránkách údaje o provozovateli Národního CERT, a to jeho obchodní firmu nebo název, adresu sídla, identifikační číslo osoby, identifikátor datové schránky a adresu jeho internetových stránek.
CELEX 32022L2555
Kontrola orgánů a osob vykonávajících veřejnou správu v oblasti kybernetické bezpečnosti
Kontrolní orgán pro kontrolu činnosti Úřadu
(1) Kontrolu činnosti Úřadu vykonává Poslanecká sněmovna, která k tomuto účelu zřizuje zvláštní kontrolní orgán (dále jen „kontrolní orgán“).
(2) Kontrolní orgán se skládá nejméně ze 7 členů. Poslanecká sněmovna stanoví počet členů tak, aby byl zastoupen každý poslanecký klub ustavený podle příslušnosti k politické straně nebo politickému hnutí, za něž poslanci kandidovali ve volbách; počet členů je vždy lichý. Členem kontrolního orgánu může být pouze poslanec Poslanecké sněmovny. Pokud tento zákon nestanoví jinak, vztahuje se na jednání kontrolního orgánu a na práva a povinnosti jeho členů přiměřeně jednací řád Poslanecké sněmovny.
(3) Členové kontrolního orgánu mohou vstupovat v doprovodu ředitele Úřadu nebo jím pověřeného zaměstnance do objektů Úřadu.
(4) Ředitel Úřadu předkládá kontrolnímu orgánu
a) zprávu o činnosti Úřadu,
b) návrh rozpočtu Úřadu,
c) podklady potřebné ke kontrole plnění rozpočtu Úřadu,
d) vnitřní předpisy Úřadu a
e) na vyžádání zprávu o jednotlivých kybernetických bezpečnostních incidentech poskytovatelů regulovaných služeb.
(5) Má-li kontrolní orgán za to, že činnost Úřadu nezákonně omezuje nebo poškozuje práva a svobody občanů nebo že rozhodovací činnost Úřadu v rámci správního řízení je stižena vadami, je oprávněn požadovat od ředitele Úřadu vysvětlení.
(6) Každé porušení zákona zaměstnancem Úřadu při plnění povinností podle tohoto zákona a ve vybraných oblastech podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, které kontrolní orgán zjistí při své činnosti, je povinen oznámit řediteli Úřadu a předsedovi vlády. Povinnost zachovávat mlčenlivost uloženou členům kontrolního orgánu podle zákona se nevztahuje na případy, kdy kontrolní orgán podává oznámení podle věty první.
Nástroje výkonu veřejné správy
Portál Úřadu
(1) Úřad je správcem a provozovatelem Portálu Úřadu, který slouží k výkonu pravomocí Úřadu, sdílení informací, provádění digitálních úkonů a poskytování digitálních služeb ve smyslu právního předpisu upravujícího digitální služby podle tohoto zákona.
(2) Úkony podle § 8 odst. 1, § 9 odst. 1, § 11 odst. 2, § 12 odst. 1, § 16 odst. 1 a 2, § 21 odst. 3, § 33 odst. 1 písm. b) a § 59 odst. 1 je poskytovatel regulované služby povinen provádět výlučně elektronicky s využitím dálkového přístupu prostřednictvím formulářových podání. Jiným způsobem lze tyto úkony provést pouze tehdy, připouští-li to odpovídající ustanovení tohoto zákona a není-li z objektivních příčin možné využít k provedení úkonu Portál Úřadu. Úkon, který nebude proveden tímto způsobem, ve formátu a struktuře stanovené vyhláškou Úřadu, je neúčinný.
(3) Technické a organizační podmínky používání Portálu Úřadu, obsahové náležitosti, formát, strukturu a způsob provedení úkonů podle odstavce 2 stanoví Úřad vyhláškou. CELEX 32022L2555
Evidence vedené Úřadem
(1) Úřad vede evidenci
a) poskytovatelů regulovaných služeb, subjektů poskytujících služby registrace jmen domén a jimi hlášených údajů,
b) kybernetických bezpečnostních incidentů, událostí, hrozeb a zranitelností,
c) dodavatelů bezpečnostně významných dodávek,
d) koordinovaného zveřejňování zranitelností,
e) penetračních testů a
f) provedených kontrol a protokolů o kontrole.
(2) Úřad poskytuje v odůvodněných případech údaje z evidencí orgánům veřejné moci na jejich žádost, je-li to nezbytné pro výkon jejich působnosti. Poskytnuté údaje je možné využít
jen pro potřeby, které byly uvedeny v žádosti. Orgán veřejné moci vynaloží přiměřené úsilí
k zajištění bezpečnosti informací takto poskytnutých údajů.
(3) Úřad může v odůvodněných případech poskytovat údaje z evidencí Národnímu CERT, orgánům nebo osobám vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným orgánům nebo osobám působícím v oblasti kybernetické bezpečnosti v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.
(4) Zaměstnanci Úřadu jsou vázáni povinností mlčenlivosti o údajích z evidencí podle odstavce 1 písm. b) až e). Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu. Ředitel Úřadu může osoby uvedené v tomto odstavci zprostit povinnosti mlčenlivosti, a to s uvedením rozsahu údajů a rozsahu zproštění.
CELEX 32022L2555
Autorizace subjektů posuzování shody
(1) Stanoví-li přímo použitelný předpis Evropské unie přijatý na základě nařízení Evropského parlamentu a Rady (EU) 2019/881 (dále jen „akt o kybernetické bezpečnosti“) konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti rozhoduje o žádostech o autorizaci subjektu posuzování shody, a pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti nebo přímo použitelného předpisu Evropské unie přijatého na základě aktu o kybernetické bezpečnosti, o pozastavení vykonatelnosti, o změně nebo o zrušení rozhodnutí o autorizaci.
(2) Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie přijatým na základě aktu o kybernetické bezpečnosti.
(3) V rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci podle odstavce 1 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nápravu nezjedná, rozhodne Úřad o změně či zrušení rozhodnutí o autorizaci.
(4) Úřad rozhodne v řízení o žádosti o autorizaci podle odstavce 1 nejdéle do 120 dnů ode dne zahájení řízení, v mimořádných případech do 180 dnů.
CELEX 32019R0881
Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti
(1) Úřad jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti posuzuje podle přímo použitelného předpisu Evropské unie26) způsobilost žadatele o registraci členství v Komunitě kompetencí pro kybernetickou bezpečnost27) (dále jen
„Komunita“).
(2) Členem Komunity může být ten, kdo Úřadu prokáže, že splňuje:
a) základní způsobilosti a
b) zvláštní způsobilost.
(3) Žádost o registraci členství v Komunitě se podává elektronicky prostřednictvím formuláře zveřejněného na internetových stránkách Úřadu.
(4) Žadatel o registraci členství v Komunitě je povinen v žádosti podle odstavce 3 uvést pravdivé a úplné údaje potřebné pro posouzení jeho základní a zvláštní způsobilosti Úřadem. Po dobu trvání členství v Komunitě je člen Komunity povinen nahlásit změnu těchto údajů nebo skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti, a to ve lhůtě 30 dnů ode dne, kdy tato změna nebo skutečnost nastala.
CELEX 32021R0887
Základní způsobilost k členství v Komunitě
(1) Člen Komunity má základní způsobilost k členství v Komunitě, pokud
a) má sídlo na území České republiky,
b) není zapsán na vnitrostátním sankčním seznamu28), nebo vůči němu Česká republika neuplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí,
c) je bezúhonný; za bezúhonného se považuje člen Komunity, který nebyl v posledních 5 letech před podáním žádosti o registraci členství v Komunitě ani v průběhu trvání členství v Komunitě pravomocně odsouzen pro trestný čin, jehož skutková podstata souvisí s předmětem podnikání žadatele, nebo pro trestný čin hospodářský, trestný čin proti majetku, trestný čin obecně nebezpečný, trestný čin proti České republice, cizímu státu a mezinárodní organizaci, trestný čin proti pořádku ve věcech veřejných a trestný čin proti lidskosti, proti míru a válečný trestný čin, nehledí-li se na žadatele, jako by nebyl odsouzen,
d) nemá v České republice evidován nedoplatek, s výjimkou nedoplatku, u kterého je povoleno posečkání jeho úhrady nebo rozložení jeho úhrady na splátky
26) Čl. 8 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2021/887.
27) Čl. 8 nařízení Evropského parlamentu a Rady (EU) 2021/887.
28) Zákon č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných
v mezinárodních vztazích (sankční zákon).
1. u orgánů Finanční správy České republiky,
2. u orgánů Celní správy České republiky,
3. na pojistném a na penále na veřejné zdravotní pojištění a
4. na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti a
e) není v likvidaci29), není v úpadku, není proti němu vedené insolvenční řízení a není vůči němu nařízena nucená správa podle jiného právního předpisu30).
(2) Bezúhonnost podle odstavce 1 písm. c) se dokládá výpisem z evidence Rejstříků trestů a dále dokladem prokazujícím splnění podmínky bezúhonnosti vydaným státem, ve kterém se fyzická osoba zdržovala v posledních 5 letech nepřetržitě déle než 3 měsíce nebo právnická osoba vykonávala činnost v posledních 5 letech alespoň po dobu 3 měsíců, zejména výpisem z evidence trestů nebo rovnocenným dokladem vydaným příslušným soudním nebo správním orgánem tohoto státu, nebo výpisem z evidence Rejstříku trestů, v jehož příloze jsou tyto informace obsaženy, nebo čestným prohlášením, nevydává-li cizí stát výpis nebo doklad podle tohoto odstavce. Výpis z evidence Rejstříku trestů a další doklady, jimiž se dokládá bezúhonnost, nesmí být starší 3 měsíců. Za účelem doložení bezúhonnosti si Úřad vyžádá podle právního předpisu upravujícího evidenci fyzických a právnických osob pravomocně odsouzených soudy v trestním řízení výpis z evidence Rejstříku trestů. Žádost o vydání výpisu z evidence Rejstříku trestů a výpis z evidence Rejstříku trestů se předávají v elektronické podobě, a to způsobem umožňujícím dálkový přístup.
(3) Základní způsobilost k členství v Komunitě se dále prokazuje
a) předložením potvrzení příslušné pojišťovny v případě odstavce 1 písm. d) bod 3 a příslušné okresní správy sociálního zabezpečení v případě odstavce 1 písm. d) bod 4, která nesmí být starší než 30 dnů a
b) čestným prohlášením, že člen Komunity není v úpadku v případě odstavce 1 písm. g), pokud proti němu není zahájeno insolvenční řízení.
(4) U člena Komunity, je-li právnickou osobou, Úřad zjistí údaje o jeho skutečném majiteli podle právního předpisu upravujícího evidenci skutečných majitelů31) (dále jen
„skutečný majitel“) z evidence skutečných majitelů podle téhož právního předpisu (dále jen
„evidence skutečných majitelů“).
(5) Člen Komunity dále není způsobilý k členství v Komunitě, pokud
a) je právnickou osobou, která má skutečného majitele, pokud nebylo podle odstavce 4
možné zjistit údaje o jeho skutečném majiteli z evidence skutečných majitelů, nebo
29) § 187 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
30) Například zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, zákon č. 363/1999 Sb., o pojišťovnictví a o změně některých souvisejících zákonů (zákon o pojišťovnictví), ve znění pozdějších předpisů.
31) Zákon č. 37/2021 Sb., o evidenci skutečných majitelů, ve znění pozdějšího předpisu.
b) skutečný majitel je zapsán na vnitrostátním sankčním seznamu28) nebo vůči němu Česká republika uplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí.
(6) V případě, že skutečným majitelem člena Komunity je osoba usazená na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, předloží člen Komunity výpis ze zahraniční evidence obdobné evidenci skutečných majitelů, který nesmí být starší než 30 dnů.
(7) Je-li členem Komunity právnická osoba, musí podmínku podle odstavce 1 písm. c) splňovat
a) tato právnická osoba,
b) každý člen statutárního orgánu této právnické osoby a
c) osoba zastupující tuto právnickou osobu ve statutárním orgánu člena Komunity.
(8) Člen Komunity není k členství v Komunitě způsobilý, pokud Úřad vydal opatření obecné povahy podle § 31 odst. 1, ve kterém stanovil podmínky pro využití plnění člena Komunity, nebo zakázal využití plnění člena Komunity jako dodavatele bezpečnostně významné dodávky.
CELEX 32021R0887
Zvláštní způsobilost k členství v Komunitě
Zvláštní způsobilost má člen Komunity, který je způsobilý k členství v Komunitě podle přímo použitelného předpisu Evropské unie32).
CELEX 32021R0887
Posouzení způsobilosti žadatele o registraci členství v Komunitě
(1) V případě, že žadatel o registraci členství v Komunitě naplní základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, Úřad postoupí žádost žadatele registrujícímu orgánu podle přímo použitelného předpisu Evropské unie24) (dále jen „registrující orgán“).
(2) V případě pochybností, zda žadatel o registraci členství v Komunitě naplňuje základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, zahájí Úřad řízení o nezpůsobilosti žadatele k registraci členství v Komunitě.
(3) Úřad o nezpůsobilosti žadatele o registraci členství v Komunitě vydá rozhodnutí. Pokud se prokáže, že žadatel naplňuje základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, Úřad řízení o jeho nezpůsobilosti zastaví.
(4) Po právní moci rozhodnutí o nezpůsobilosti žadatele k registraci členství
v Komunitě vydaného v řízení podle odstavce 2 Úřad postoupí registrujícímu orgánu žádost
32) Čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2021/887.
žadatele o registraci členství v Komunitě a současně vyrozumí registrující orgán
o nezpůsobilosti žadatele k registraci členství v Komunitě.
CELEX 32021R0887
Trvání členství v Komunitě
(1) Úřad průběžně posuzuje naplnění základní a zvláštní způsobilosti k členství
v Komunitě podle § 51 a 52 po celou dobu trvání členství člena Komunity.
(2) V případě, že člen Komunity nadále nenaplňuje základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, zahájí Úřad řízení o jeho nezpůsobilosti k členství v Komunitě.
(3) Úřad o nezpůsobilosti člena Komunity k dalšímu trvání členství v Komunitě vydá rozhodnutí. Pokud se prokáže, že člen Komunity nadále naplňuje základní a zvláštní způsobilosti k členství v Komunitě podle § 51 a 52, Úřad řízení o jeho nezpůsobilosti zastaví.
(4) Po právní moci rozhodnutí o nezpůsobilosti člena Komunity k dalšímu trvání členství v Komunitě vydaného v řízení podle odstavce 2 Úřad vyrozumí registrující orgán
o jeho nezpůsobilosti k členství v Komunitě.
CELEX 32021R0887
Veřejnoprávní smlouva s provozovatelem Národního CERT
(1) Úřad uzavře veřejnoprávní smlouvu s právnickou osobou vybranou postupem podle
§ 163 odst. 4 správního řádu za účelem spolupráce v oblasti kybernetické bezpečnosti a zajištění činností podle § 45 odst. 3 (dále jen „veřejnoprávní smlouva“). Řízení o výběru žádosti vyhlašuje Úřad.
(2) Veřejnoprávní smlouva obsahuje alespoň
a) označení smluvních stran,
b) vymezení předmětu smlouvy,
c) práva a povinnosti smluvních stran,
d) podmínky spolupráce smluvních stran,
e) způsob a podmínky odstoupení smluvních stran od veřejnoprávní smlouvy,
f) výpovědní lhůtu a výpovědní důvody,
g) zákaz zneužití údajů získaných v souvislosti s výkonem činností uvedených
v § 45 odst. 3,
h) vymezení podmínek pro výkon činnosti Národního CERT podle § 45 odst. 1 písm. h) a
i) způsob předání a rozsah údajů předávaných Úřadu v případě zániku závazku.
(3) Veřejnoprávní smlouvu uzavřenou podle odstavce 1 Úřad zveřejňuje na úřední desce Úřadu, s výjimkou těch částí veřejnoprávní smlouvy, jejichž zveřejnění neumožňuje jiný právní předpis.
(4) Není-li uzavřena veřejnoprávní smlouva podle odstavce 1, nebo v případě zániku závazku, vykonává činnost Národního CERT Úřad.
Zpracování osobních údajů
(1) Úřad a provozovatel Národního CERT při zpracování osobních údajů,
na které se vztahuje přímo použitelný předpis Evropské unie13),
a) nemusí omezit zpracování osobních údajů v případě, že subjekt údajů popírá jejich přesnost nebo vznesl námitku proti tomuto zpracování a
b) mohou v rámci výkonu své působnosti využít osobní údaje i pro jiné účely, než pro které byly shromážděny.
(2) Pokud Úřad nebo provozovatel Národního CERT v rámci činnosti, na kterou se vztahuje přímo použitelný předpis Evropské unie13), při řešení kybernetického bezpečnostního incidentu nebo kybernetické bezpečnostní události, při prevenci hrozeb nebo rizik anebo při výkonu kontroly obdrží osobní údaje, které zpracovávají pouze za účelem plnění povinností podle tohoto zákona, po dobu plnění těchto povinností dále nemusí
a) poskytovat subjektu údajů informace o opravách nebo výmazech osobních údajů nebo omezení jejich zpracování,
b) zajistit přístup subjektu údajů k osobním údajům, nebo
c) opravit či doplnit osobní údaje na žádost subjektu údajů.
CELEX 32022L2555
Vzájemná součinnost s členskými státy Evropské unie
(1) Úřad spolupracuje při uplatňování tohoto zákona s příslušnými orgány jiných členských států Evropské unie, zejména může poskytovat a žádat součinnost ve formě
a) sdílení informací,
b) provedení kontroly nebo jiných úkonů vůči poskytovateli regulované služby, nebo
c) koordinace při kontrolách poskytovatelů regulovaných služeb poskytujících regulované služby ve více členských státech Evropské unie, včetně možnosti přizvání zástupců příslušných orgánů jiného členského státu Evropské unie k účasti na kontrole.
(2) Úřad může žádost o součinnost odmítnout pouze
a) není-li příslušný nebo nemá-li pravomoc provést požadovaný úkon,
b) je-li žádost o součinnost s ohledem na kapacity Úřadu zjevně nepřiměřená, nebo
c) týká-li se žádost informací nebo zahrnuje-li činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy České republiky v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
(3) Poskytuje-li poskytovatel regulované služby, který má umístěnu hlavní provozovnu v jiném členském státě Evropské unie, v rámci České republiky službu uvedenou v § 19 odst. 1 s výjimkou služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10) je Úřad oprávněn vůči této osobě ve vztahu k poskytování uvedené regulované služby provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu Evropské unie, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
(4) Nachází-li se v rámci České republiky aktiva sloužící k poskytování některé z regulovaných služeb uvedených v § 19 odst. 1 s výjimkou regulované služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10), ale poskytovatel regulované služby má umístěnu svou hlavní provozovnu v jiném členském státě Evropské unie, je Úřad oprávněn ve vztahu k těmto aktivům sloužícím k poskytování uvedených regulovaných služeb provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu Evropské unie, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
(5) Umístěním hlavní provozovny se rozumí místo v Evropské unii, kde osoba poskytující služby uvedené v odstavci 3 převážně přijímá rozhodnutí související s řízením rizik v oblasti kybernetické bezpečnosti, zejména sídlo společnosti. Nelze-li takové místo určit podle věty první, nebo nejsou-li taková rozhodnutí přijímána v Evropské unii, má se za to, že je hlavní provozovna umístěna v členském státě Evropské unie, kde se provádějí faktické úkony vedoucí k zajištění kybernetické bezpečnosti. Nelze-li takové místo určit podle věty první a druhé, má se za to, že je hlavní provozovna umístěna v členském státě Evropské unie, kde má osoba provozovnu s nejvyšším počtem zaměstnanců.
(6) Ustanovení odstavce 3 se uplatní i vůči subjektu poskytujícímu službu registrace jmen domén v rámci České republiky.
CELEX 32022L2555
Kontrola vykonávaná Úřadem, nápravná opatření, přestupky a sankce
Kontrola vykonávaná Úřadem
(1) Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak orgány a osoby plní povinnosti stanovené tímto zákonem, rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle tohoto zákona, a dodržují vyhlášky Úřadu.
(2) Při výkonu kontroly se postupuje podle kontrolního řádu.
CELEX 32022L2555
Nápravná opatření
(1) Zjistí-li Úřad, že orgán nebo osoba neplní povinnosti stanovené tímto zákonem nebo na základě tohoto zákona, může uložit orgánu nebo osobě, aby zjištěné nedostatky ve stanovené lhůtě odstranila, popřípadě určit jakým způsobem. Úřad může v rozhodnutí uložit orgánu nebo osobě povinnost oznámit Úřadu provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Náležitosti a způsob hlášení stanoví Úřad vyhláškou.
(2) Rozklad proti rozhodnutí o uložení nápravného opatření nemá odkladný účinek.
CELEX 32022L2555
Přestupky
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku
tím, že
a) neprovede registraci nebo změnu registrace poskytovatele regulované služby podle
§ 8 odst. 1 a 2 nebo § 9 odst. 1,
b) nenahlásí registrační a kontaktní údaje nebo další údaje nebo jejich změnu Úřadu podle
§ 12 odst. 1 a 4,
c) nezajišťuje dostatečnou zastupitelnost fyzických osob oprávněných jednat
za poskytovatele regulované služby podle § 12 odst. 5,
d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva podle § 13 odst. 1 písm. a), nebo jejich identifikaci pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c), nebo jejich určení pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
f) nevede dokumentovaný záznam o identifikaci a určení organizačních částí a aktiv podle
§ 13 odst. 3,
g) v rozporu s § 14 odst. 2 nebo 3 nebo § 19 odst. 1 nezavede nebo neprovádí bezpečnostní opatření,
h) neohlásí kybernetický bezpečnostní incident podle § 16 odst. 1 nebo 19 odst. 2 nebo nepředloží prvotní hlášení o incidentu podle § 17 odst. 1 anebo nedoplní některý z údajů o incidentu podle § 17 odst. 3,
i) neposkytne informace nebo součinnost při zvládání incidentu podle § 18 odst. 3,
j) neplní povinnost informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovenou rozhodnutím Úřadu podle
§ 20 odst. 1,
k) neplní povinnost informovat uživatele regulované služby o významné hrozbě a krocích, které může uživatel služby učinit v reakci na ni podle § 20 odst. 2,
l) neoznámí provedení protiopatření uložené Úřadem a jeho výsledek podle § 21 odst. 3,
m) v rozporu s § 22 odst. 1 neplní povinnost uloženou Úřadem rozhodnutím o výstraze,
n) v rozporu s § 24 odst. 1 nebo 2 neplní povinnost uloženou rozhodnutím o vydání reaktivního protiopatření nebo opatřením obecné povahy vydaným Úřadem podle § 24,
o) nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem v rozporu s § 25 odst. 1 nebo 2, nebo
p) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 59 odst. 1.
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku
tím, že
a) neprovede registraci nebo změnu registrace poskytovatele regulované služby podle § 8 odst. 1 a 2 nebo § 9 odst. 1 nebo 2,
b) nenahlásí registrační, kontaktní údaje nebo další údaje nebo jejich změnu Úřadu podle
§ 12 odst. 1 a 4,
c) nezajišťuje dostatečnou zastupitelnost fyzických osob oprávněných jednat
za poskytovatele regulované služby podle § 12 odst. 5,
d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva podle § 13 odst. 1 písm. a), nebo jejich identifikaci pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c), nebo jejich určení pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
f) nevede dokumentovaný záznam o identifikaci a určení organizačních částí a aktiv podle
§ 13 odst. 3,
g) v rozporu s § 14 odst. 2 nebo 3 nebo § 19 odst. 1 nezavede nebo neprovádí bezpečnostní opatření,
h) neohlásí kybernetický bezpečnostní incident podle § 16 odst. 2 nebo 19 odst. 2 nebo nepředloží prvotní hlášení o incidentu podle § 17 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 17 odst. 3,
i) neposkytne informace nebo součinnost při zvládání incidentu podle § 18 odst. 3,
j) neplní povinnost informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovenou rozhodnutím Úřadu podle
§ 20 odst. 1,
k) neplní povinnost informovat uživatele regulované služby o významné hrozbě a krocích, které může uživatel služby učinit v reakci na ni podle § 20 odst. 2,
l) neoznámí provedení protiopatření uložené Úřadem a jeho výsledek podle § 21 odst. 3,
m) v rozporu s § 22 odst. 1 neplní povinnost uloženou Úřadem rozhodnutím o výstraze,
n) v rozporu s § 24 odst. 1 nebo 2 neplní povinnost uloženou rozhodnutím o vydání reaktivního protiopatření nebo opatřením obecné povahy vydaným Úřadem podle § 24,
o) nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem v rozporu s § 25 odst. 1 nebo 2, nebo
p) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 59 odst. 1.
(3) Poskytovatel strategicky významné služby se dopustí přestupku tím, že
a) poruší podmínku nebo zákaz uložený Úřadem v opatření obecné povahy podle § 31,
b) nezjišťuje informace o dodavateli bezpečnostně významné dodávky podle § 33 odst. 1 písm. a),
c) neeviduje informace o dodavateli bezpečnostně významné dodávky podle § 33 odst. 1
písm. a),
d) neohlásí Úřadu informace o dodavateli bezpečnostně významné dodávky nebo jejich změnu podle § 33 odst. 1 písm. b),
e) nezajišťuje dostupnost strategicky významné služby z území České republiky
ve stanoveném čase a kvalitě podle § 35 odst. 1, nebo
f) neprověřuje schopnost zajištění poskytování strategicky významné služby podle § 35 odst. 2.
(4) Subjekt poskytující služby registrace jmen domén se dopustí přestupku tím, že
a) nenahlásí Úřadu údaje podle § 36 odst. 1 nebo jejich změnu podle § 36 odst. 2,
b) neshromažďuje nebo neuchovává přesné a úplné údaje o registraci jmen domén
ve vyhrazené databázi podle § 37 odst. 1 v souladu s požadavky § 37 odst. 2,
c) nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování podle § 37 odst. 3,
d) bez zbytečného odkladu po registraci jména domény neuveřejní její registrační údaje, které nejsou osobními údaji, podle § 37 odst. 5, nebo
e) neposkytne přístup ke konkrétním údajům o registraci jména domény podle § 37 odst. 6.
(5) Subjekt spravující a provozující registr domény nejvyšší úrovně se dopustí přestupku tím, že
a) neshromažďuje nebo neuchovává přesné a úplné údaje o registraci jmen domén
ve vyhrazené databázi podle § 37 odst. 1 v souladu s požadavky § 37 odst. 2,
b) nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování podle § 37 odst. 3,
c) bez zbytečného odkladu po registraci jména domény neuveřejní její registrační údaje, které nejsou osobními údaji, podle § 37 odst. 5, nebo
d) neposkytne přístup ke konkrétním údajům o registraci jména domény podle § 37 odst. 6.
CELEX 32022L2555
(6) Orgán nebo osoba se dopustí přestupku tím, že
a) neposkytne součinnost při zajišťování podkladů pro vydání protiopatření podle § 21
odst. 3,
b) nepředá data a informace podle § 26 odst. 1,
c) neposkytne informace na základě žádosti Úřadu podle § 30 odst. 4, nebo
d) neposkytne informace nebo jinou součinnost nezbytnou k posouzení naplnění kritérií regulované služby podle § 65 odst. 2.
(7) Orgán nebo osoba, které nejsou poskytovatelem regulované služby, se dopustí přestupku tím, že
a) neposkytnou součinnost při zvládání incidentu podle § 18 odst. 3, nebo
b) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 59 odst. 1.
CELEX 32022L2555
(8) V souvislosti se stavem kybernetického nebezpečí se orgán nebo osoba dopustí přestupku tím, že
a) neposkytne vyžadované informace podle § 41 odst. 1 písm. b),
b) nedodrží zákaz používání technických aktiv podle § 41 odst. 1 písm. d),
c) neprovede opatření a neoznámí jeho výsledek Úřadu podle § 41 odst. 1 písm. f),
d) neprovede sken zranitelností nebo penetrační test podle § 41 odst. 1 písm. g),
e) nezpřístupní neveřejnou komunikační síť v jeho správě podle § 41 odst. 1 písm. h),
f) neuveřejní informace o vyhlášení stavu kybernetického nebezpečí a o opatřeních podle
§ 41 odst. 1 písm. i), nebo
g) neposkytne součinnost podle § 41 odst. 2.
(9) Fyzická osoba se dopustí přestupku tím, že poruší povinnost mlčenlivosti podle § 48
odst. 4.
(10) Žadatel o registraci členství v Komunitě se dopustí přestupku tím, že v žádosti o
registraci podle § 50 odst. 4 uvede nepravdivé nebo zkreslené údaje nebo podstatné údaje do žádosti neuvede.
(11) Člen Komunity se dopustí přestupku tím, že v době trvání členství v Komunitě podle § 50 odst. 4 neuvede změnu údajů potřebných pro posouzení jeho základní a zvláštní způsobilosti Úřadem nebo neuvede další skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti.
CELEX 32021R0887
(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.
(13) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti,
b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti,
c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti, nebo
d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti.
(14) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti,
d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie přijatém na základě aktu o kybernetické bezpečnosti,
e) provede bez autorizace činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie přijatém na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody,
f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti nebo mimo rozsah této akreditace, nebo
g) jako subjekt posuzování shody nesplní Úřadem uloženou povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení podle § 62 odst. 1.
CELEX 32019R0881
(15) Za přestupek lze uložit pokutu do výše
a) 000 000 000 Kč nebo jedná-li se o podnik podle čl. 101 a 102 Smlouvy o fungování Evropské unie, až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 1 písm. a), d) až k) a m) až p), odstavce 3 písm. a), e) a f), odstavce 6 písm. b) nebo odstavce 8 písm. b),
b) 000 000 000 Kč nebo jedná-li se o podnik podle čl. 101 a 102 Smlouvy o fungování Evropské unie, až do výše 1,4 % čistého celosvětového ročního obratu dosaženého podnikem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 písm. a), d) až k) a m) až p) nebo odstavce 8 písm. c), d) a g),
c) 100 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. b), odstavce 3 písm. b) a c) nebo odstavce 8 písm. a) a f),
d) 50 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. c) a l), odstavce 2 písm. b), odstavce 3 písm. d), odstavce 4 písm. a) až e), odstavce 5 písm. a) až d), odstavce 6
písm. a), c) a d), odstavce 7 písm. a) a b), odstavce 8 písm. e) nebo odstavce 13 písm.
a),
CELEX 32022L2555
e) 35 000 000 Kč, jde-li o přestupek podle odstavce 2 písm. c) a l),
f) 20 000 000 Kč, jde-li o přestupek podle odstavce 13 písm. b) až d) nebo odstavce 14 písm. a) až c) a e) až g),
CELEX 32019R0881
g) 2 000 000 Kč, jde-li o přestupek podle odstavců 10, 11 a 12 nebo odstavce 14 písm. d),
nebo
CELEX 32019R0881, 32021R0887
h) 50 000 Kč, jde-li o přestupek podle odstavce 9.
Společná ustanovení k přestupkům
(1) Přestupky podle tohoto zákona projednává Úřad.
(2) Na postup Úřadu podle tohoto zákona se ustanovení § 43, § 68 písm. b), § 70, § 71,
§ 80 odst. 3, § 88 odst. 2, § 89, § 90 odst. 3, § 95 odst. 3 a § 96 odst. 1 písm. b) zákona
o odpovědnosti za přestupky a řízení o nich33) nepoužijí.
(3) Platí, že přestupky spočívající v porušení povinnosti uložené rozhodnutím, opatřením obecné povahy nebo nápravným opatřením, přestupky spočívající v neprovedení registrace regulované služby, přestupky související se stanovením rozsahu řízení kybernetické bezpečnosti, přestupky související se zohledněním požadavků vyplývajících z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem, přestupky spočívající v porušení povinností z mechanismu prověřování bezpečnosti dodavatelského řetězce a přestupky spočívající v neoznámení informací a udržování stavu neinformování Úřadu nebo uživatelů regulované služby jsou trvajícími přestupky.
CELEX 32022L2555
Pozastavení platnosti certifikace
(1) Úřad může v případě nesplnění povinnosti odstranit zjištěné nedostatky uložené rozhodnutím Úřadu podle § 59 odst. 1 poskytovateli regulované služby v režimu vyšších povinností, který je držitelem evropského certifikátu kybernetické bezpečnosti podle aktu
o kybernetické bezpečnosti nebo jiného certifikátu nebo osvědčení souvisejícího se zajištěním kybernetické bezpečnosti regulované služby, pozastavit tomuto poskytovateli regulované služby platnost evropského certifikátu kybernetické bezpečnosti vydaného Úřadem nebo uložit
33) Zákon č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, ve znění pozdějších předpisů.
subjektu posuzování shody povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení, a to až do doby odstranění zjištěných nedostatků, nejméně však na 6 měsíců.
(2) Rozhodnutí Úřadu podle odstavce 1 může být prvním úkonem v řízení a rozklad proti němu nemá odkladný účinek.
(3) Účastníkem řízení o vydání rozhodnutí podle odstavce 1 je vždy poskytovatel regulované služby v režimu vyšších povinností, o platnosti jehož certifikátu je rozhodováno.
(4) Informaci o pozastavení platnosti certifikátu nebo osvědčení Úřad zveřejní na svých internetových stránkách.
(5) Úřad provede, nejdříve však po uplynutí lhůty podle odstavce 1, kontrolu splnění povinnosti odstranit zjištěné nedostatky a v případě, že zjistí, že nedostatky byly odstraněny, Úřad o tomto vydá osvědčení, které je podkladem pro obnovení platnosti certifikátu nebo osvědčení.
(6) Využitím postupu podle odstavce 1 není dotčeno ukládání pokut za přestupky
podle § 60.
CELEX 32022L2555
Pozastavení výkonu řídící funkce
(1) Soud může na návrh Úřadu rozhodnout, že člen statutárního orgánu právnické osoby, vedoucí odštěpného závodu, prokurista nebo podnikající fyzická osoba, která v přímé souvislosti s plněním rozhodnutí Úřadu podle § 59 odst. 1, kterým byla poskytovateli regulované služby v režimu vyšších povinností uložena povinnost odstranit zjištěné nedostatky, opakovaně nebo závažně porušila své povinnosti při výkonu své řídící funkce, v důsledku čehož bylo zmařeno řádné splnění rozhodnutí Úřadu, nesmí až do doby odstranění zjištěných nedostatků , nejméně však po dobu 6 měsíců tuto řídicí funkci vykonávat.
(2) Návrh lze podat pouze vůči osobě vykonávající řídící funkci u poskytovatele regulované služby v režimu vyšších povinností a pouze ve vztahu k řídící funkci, která není veřejnou funkcí vymezenou funkčním nebo časovým obdobím a obsazovanou na základě přímé nebo nepřímé volby anebo jmenováním podle zvláštních právních předpisů.
(3) Ustanovení zákona o obchodních korporacích upravující vyloučení člena statutárního orgánu z výkonu funkce v částech právních účinků pravomocného rozhodnutí o vyloučení člena statutárního orgánu, informování rejstříkového soudu a odpovědnosti za porušení dočasného zákazu výkonu funkce a ustanovení zákona o zvláštních řízeních soudních v částech vedení řízení o vyloučení z výkonu funkce podle zákona o obchodních korporacích se použijí obdobně.
(4) Informaci o pravomocném rozhodnutí o pozastavení výkonu řídící funkce Úřad zveřejní na svých internetových stránkách.
(5) Úřad, nejdříve však po uplynutí lhůty podle odstavce 1, provede kontrolu splnění povinnosti odstranit zjištěné nedostatky a v případě, že zjistí, že nedostatky odstraněny byly,
vydá o tom osvědčení, které je podkladem pro výmaz údaje o pozastavení řídicí funkce
z obchodního rejstříku podle zákona o veřejných rejstřících právnických a fyzických osob.
CELEX 32022L2555
Zajištění účelu a průběhu řízení
(1) Úřad může uložit pořádkovou pokutu až do výše 100 000 Kč. Pořádkovou pokutu lze uložit i opakovaně. Celková výše opakovaně ukládaných pokut nesmí přesáhnout 10 000 000 Kč nebo 1 % z čistého obratu dosaženého právnickou nebo podnikající fyzickou osobou za poslední ukončené účetní období podle toho, která z daných částek je vyšší.
(2) Úřad může za účelem vymáhání splnění povinnosti uložené rozhodnutím Úřadu ukládat donucovací pokuty až do výše 10 000 000 Kč nebo 1 % z čistého obratu dosaženého právnickou nebo podnikající fyzickou osobou za poslední ukončené účetní období podle toho, která z daných částek je vyšší.
(3) Za přestupek, kterého se poskytovatel regulované služby dopustí tím, že jako kontrolovaná osoba nesplní některou z povinností podle kontrolního řádu34), lze uložit pokutu do 10 000 000 Kč.
CELEX 32022L2555
USTANOVENÍ SPOLEČNÁ, PŘECHODNÁ A ZÁVĚREČNÁ
Součinnost
(1) Orgány veřejné moci jsou povinny bez zbytečného odkladu, a nestanoví-li jiný právní předpis jinak, i bez úplaty poskytnout Úřadu podněty, informace a jiné formy součinnosti potřebné k výkonu pravomocí a za účelem splnění povinností Úřadu, které jsou stanoveny tímto zákonem. Orgány veřejné moci a Úřad při výkonu pravomocí svěřených Úřadu tímto zákonem vzájemně spolupracují, jsou oprávněny vyžadovat stanoviska k připravovaným rozhodnutím vydávaným v mezích jejich působnosti a usilují při tom o dosažení shody těchto stanovisek. Orgány veřejné moci a Úřad dále v rozsahu, který je nezbytný pro plnění úkolů orgánů veřejné moci a Úřadu, sdílí informace o hrozbách, zranitelnostech a incidentech a o opatřeních přijatých v reakci na tyto hrozby, zranitelnosti a incidenty. Ustanovení § 48 odst. 2 a 3 tím nejsou dotčena. Plnění těchto povinností mohou orgány činné v trestním řízení v nezbytně nutném rozsahu omezit nebo na nezbytně nutnou dobu odložit, pokud by poskytnutím součinnosti došlo k ohrožení či zmaření účelu trestního řízení.
(2) Orgány a osoby, u kterých lze důvodně předpokládat, že naplňují kritéria pro identifikaci nebo určení regulované služby, jsou povinny bez zbytečného odkladu, a nestanoví-
34) § 10 odst. 2 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů.
li jiný právní předpis jinak, i bez úplaty poskytnout informace nezbytné k posouzení naplnění kritérií regulované služby a další nezbytnou součinnost. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti.
(3) Ministerstva, jiné ústřední orgány státní správy a Česká národní banka, odpovědné za určování prvků kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu, bez zbytečného odkladu informují Úřad o určení prvků kritické infrastruktury a o důvodech určení.
(4) Úřad je oprávněn od Generálního finančního ředitelství požadovat poskytnutí informací získaných při správě daní, které jsou nezbytné pro posouzení, zda orgán nebo osoba naplňuje kritéria pro identifikaci regulované služby podle § 3. Generální finanční ředitelství žádosti vyhoví, ledaže by poskytnutím informací mohlo dojít k narušení řádného výkonu správy daní. Poskytnutí informací podle tohoto ustanovení není porušením povinnosti mlčenlivosti podle daňového řádu; porušením této mlčenlivosti není ani použití těchto informací Úřadem podle tohoto zákona.
(5) Úřad a Úřad pro ochranu osobních údajů jsou vzájemně oprávněny požadovat informace a vyžadovat spolupráci za účelem zamezení dvojího trestání porušení téže povinnosti uložené jak tímto zákonem, tak právními předpisy upravujícími ochranu osobních údajů. Ukládání jiných sankcí podle tohoto zákona tím není dotčeno.
(6) Pro účely výkonu působnosti Úřadu podle tohoto zákona umožní Ministerstvo spravedlnosti Úřadu získat způsobem umožňujícím dálkový přístup z evidence skutečných majitelů úplný výpis platných údajů a údajů, které byly vymazány bez náhrady nebo s nahrazením novými údaji podle právního předpisu upravujícího evidenci skutečných majitelů31).
CELEX 32022L2555
unie17)
§ 66
Informační povinnost Úřadu
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské
a) každé 2 roky informuje Evropskou komisi a Skupinu pro spolupráci o počtech poskytovatelů regulovaných služeb naplňujících kritéria pro identifikaci regulované služby v jednotlivých odvětvích,
b) každé 2 roky informuje Evropskou komisi o počtech poskytovatelů regulovaných služeb naplňujících kritéria pro určení regulované služby v jednotlivých odvětvích, službách, které poskytují, a kritériích, pro která byli určeni,
c) každé 3 měsíce předkládá Agentuře Evropské unie pro kybernetickou bezpečnost souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o kybernetických bezpečnostních incidentech, hrozbách a významných kybernetických bezpečnostních událostech oznámených podle § 16,
d) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost identifikační údaje o subjektech poskytujících služby registrace jmen domén a poskytovatelích regulovaných služeb uvedených v § 57 odst. 3, kteří mají hlavní provozovnu na území České republiky nebo kteří mají na území České republiky ustaveného svého zástupce,
e) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost informace ke koordinovanému zveřejňování zranitelností,
f) informuje Evropskou komisi o přijetí národní strategie kybernetické bezpečnosti a v rozsahu, ve kterém nebudou ohroženy bezpečnostní zájmy České republiky, o obsahu strategie,
g) poskytuje Evropské komisi identifikační údaje orgánu odpovědného za dozor v oblasti kybernetické bezpečnosti, jednotného kontaktního místa pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie, orgánu pro řešení kybernetických krizí, týmu CSIRT a koordinátora určeného pro účely koordinovaného zveřejňování zranitelností a
h) poskytuje Evropské komisi a Agentuře Evropské unie pro kybernetickou bezpečnost další informace a nezbytnou součinnost.
(2) Úřad za účelem plnění informační povinnosti podle odstavce 1 neposkytuje informace, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států Evropské unie v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany. Aniž je dotčen čl. 346 Smlouvy u fungování Evropské unie, informace, které jsou důvěrné podle unijních či vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Evropskou komisí a jinými příslušnými orgány Evropské unie v souladu s příslušným předpisem Evropské unie17) pouze v případě, že je tato výměna nutná pro jeho účely. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy dotčených orgánů a osob.
CELEX 32022L2555
Ochrana informací
(1) Části písemností a záznamy, které obsahují utajované informace nebo informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření podle § 21, opatření obecné povahy podle § 31 nebo zmařit účel trestního řízení, uchovává Úřad v řízeních podle § 21, § 31 a § 32 odděleně mimo spis.
(2) V soudním řízení o rozhodnutí či opatření obecné povahy vydaném v řízení podle
§ 21, § 31 a § 32 předseda senátu rozhodne, že účastníku řízení umožní v nezbytném rozsahu přístup k částem písemností a záznamů uchovávaných odděleně mimo spis, pokud tím nemůže dojít k ohrožení bezpečnosti státu, jeho svrchovanosti, územní celistvosti, demokratických základů, života, zdraví osob, činnosti zpravodajských služeb nebo Policie České republiky, k ohrožení zajišťování kybernetické bezpečnosti, účinnosti protiopatření podle § 21, opatření obecné povahy podle § 31 nebo ke zmaření účelu trestního řízení. Před rozhodnutím týkajícím
se utajovaných informací, nebo neutajovaných informací, jejichž zpřístupnění by mohlo zmařit účel trestního řízení, si předseda senátu vyžádá vyjádření orgánu, který tyto informace poskytl; před rozhodnutím týkajícím se jiných informací podle odstavce 1 si předseda senátu vyžádá vyjádření Úřadu.
(3) Projednávání informací podle odstavce 1 se provádí tak, aby byla šetřena povinnost zachovávat mlčenlivost o těchto informacích s tím, že o rozsahu osob, které se projednávání těchto informací zúčastní, rozhodne předseda senátu. K těmto okolnostem lze provést důkaz výslechem jen tehdy, byl-li ten, kdo povinnost mlčenlivosti má, této povinnosti příslušným orgánem zproštěn. Zprostit mlčenlivosti nelze v případě, kdy by mohlo dojít k ohrožení nebo vážnému narušení činnosti zpravodajských služeb nebo Policie České republiky. Obdobně se postupuje také v případech, kdy se důkaz provádí jinak než výslechem.
(4) Orgán, který poskytl utajované informace, označí okolnosti podle odstavce 3,
o kterých tvrdí, že ve vztahu k nim nelze zprostit mlčenlivosti, a předseda senátu rozhodne, že části spisu, k nimž se tyto okolnosti váží, budou odděleny, jestliže by jinak mohlo dojít k ohrožení nebo vážnému narušení činnosti zpravodajských služeb nebo Policie České republiky.
Zástupce pro Českou republiku
(1) Subjekt poskytující služby registrace jmen domén a poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu jmen domén, služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště11), služby internetového vyhledávače ve smyslu přímo použitelného právního předpisu Evropské unie12), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, který poskytuje tuto službu v České republice, nemá umístěnu hlavní provozovnu v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie, je povinen ustavit si svého zástupce v České republice. Zástupcem je osoba usazená v České republice, které subjekt poskytující služby registrace jmen domén nebo poskytovatel některé z uvedených regulovaných služeb udělil zmocnění zastupovat jej ve vztahu k povinnostem podle tohoto zákona.
(2) V případě, že subjekt poskytující služby registrace jmen domén nebo poskytovatel některé z regulovaných služeb uvedených v odstavci 1 má hlavní provozovnu mimo Evropskou unii a ustavil si svého zástupce v České republice, platí, že je usazen v České republice a vztahují se na něj povinnosti podle tohoto zákona. To platí i v případě, že subjekt poskytující služby registrace jmen domén nebo poskytovatel některé z regulovaných služeb podle odstavce 1 má hlavní provozovnu mimo Evropskou unii a neustavil si svého zástupce v žádném členském státě Evropské unie.
(3) Ustanovením zástupce není dotčena odpovědnost subjektu poskytujícího služby registrace jmen domén nebo poskytovatele regulované služby podle odstavce 1 za dodržování tohoto zákona.
CELEX 32022L2555
Finanční zabezpečení stavu kybernetického nebezpečí
Finanční zabezpečení stavu kybernetického nebezpečí na běžný rozpočtový rok
se provádí podle právního předpisu upravujícího rozpočtová pravidla35). Za tímto účelem
a) Úřad v rozpočtu své kapitoly na příslušný rok vyčleňuje objem finančních prostředků potřebných k zajištění přípravy na stav kybernetického nebezpečí; a dále ve svém rozpočtu na příslušný rok vyčleňuje účelovou rezervu finančních prostředků na řešení stavů kybernetického nebezpečí a odstraňování jejich následků a
b) se finanční prostředky potřebné k zajištění přípravy na stav kybernetického nebezpečí a odstraňování jeho následků vyčleňované Úřadem úřady v rozpočtech kapitol považují za závazný ukazatel státního rozpočtu na příslušný rok.
Zpravodajské služby
(1) Zpravodajské služby36) nejsou poskytovateli regulované služby.
(2) Zpravodajské služby
a) hlásí registrační a kontaktní údaje a jejich změny Úřadu, přičemž zajistí také dostatečnou zastupitelnost fyzických osob, které jsou oprávněny jednat za zpravodajskou službu podle tohoto zákona,
b) přiměřeně zavádí bezpečnostní opatření podle § 14 a 15 odst. 1 tohoto zákona a
c) přiměřeně zohlední varování podle § 23, pokud Úřad nebo jiný právní předpis nestanoví
jinak.
(3) Ustanovení § 18 odst. 3, 41 a hlavy VI tohoto zákona se na zpravodajské služby nepoužije.
(4) Ustanovení § 30 odst. 2 a 65 odst. 1 se v případě zpravodajských služeb použije, pokud plnění těchto povinností nebrání zvláštní právní předpis37) nebo zákonná nebo státem uznaná povinnost mlčenlivosti. Předávání informací zpravodajskými službami se vždy řídí zákonem o zpravodajských službách.38) Vojenské zpravodajství může informace předávat také způsobem stanoveným v zákoně o Vojenském zpravodajství.39)
CELEX 32022L2555
35) Zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů.
36) § 3 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
37) Například zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
38) § 8 odst. 3 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
39) § 16b odst. 1 nebo § 16f odst. 2 zákona č. 289/2005, o Vojenském zpravodajství, ve znění pozdějších předpisů.
Vztah k odvětvovým právním předpisům Evropské unie
(1) Pokud přímo použitelný předpis Evropské unie nebo jiný právní předpis, který zapracovává příslušný předpis Evropské unie, stanoví orgánům nebo osobám povinnosti v oblasti zavádění a provádění bezpečnostních opatření nebo hlášení kybernetických bezpečnostních incidentů a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti, které jsou těmto orgánům nebo osobám stanoveny podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavést a provádět bezpečnostní opatření a hlásit kybernetické bezpečnostní incidenty se vůči těmto orgánům a osobám neuplatní, a to včetně ustanovení o dozoru nad dodržováním uvedených povinností.
(2) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se považují taková ustanovení přímo použitelného předpisu Evropské unie nebo jiného právního předpisu, který zapracovává příslušný předpis Evropské unie, která
a) ve vztahu k povinnosti zavést a provádět bezpečnostní opatření odpovídají alespoň požadavkům stanoveným v § 14 a 15, nebo
b) ve vztahu k povinnosti hlásit kybernetické bezpečnostní incidenty odpovídají alespoň požadavkům stanoveným § 16 a 17.
(3) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný právní předpis Evropské unie sám stanoví.
CELEX 32022L2555
Přechodná ustanovení
(1) Správci informačních systémů základní služby, správci informačních a komunikačních systémů kritické informační infrastruktury, správci významných informačních systémů nebo poskytovatelé digitální služby podle § 3 zákona č. 181/2014 Sb.,
o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění účinném přede dnem nabytí účinnosti tohoto zákona, jimiž poskytované služby naplňují kritéria regulované služby podle tohoto zákona, plní pro služby a informační systémy regulované podle dosavadních právních předpisů v rozsahu, ve kterém jsou tyto služby a aktiva regulovány tímto zákonem, alespoň
a) povinnosti spojené se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, v případě, že je podle tohoto zákona poskytovatelem regulované služby v režimu vyšších povinností, nebo
b) povinnosti spojené se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu podle zákona č. 181/2014 Sb. ve znění pozdějších předpisů, v rozsahu povinností uložených tímto zákonem poskytovatelům regulovaných služeb v režimu nižších povinností v případě,
že je podle tohoto zákona poskytovatelem regulované služby v režimu nižších povinností,
a to od okamžiku nabytí účinnosti tohoto zákona až do doby uplynutí lhůt pro zahájení plnění povinností podle tohoto zákona, s výjimkou způsobu hlášení kybernetických bezpečnostních incidentů, které jsou tito poskytovatelé regulované služby povinni realizovat podle tohoto zákona od okamžiku doručení vyrozumění o zápisu jimi poskytované regulované služby do evidence regulovaných služeb.
(2) V řízeních týkajících se splnění povinnosti uložené přede dnem nabytí účinnosti tohoto zákona zákonem č. 181/2014 Sb. nebo na jeho základě se postupuje podle dosavadních právních předpisů.
(3) Varování vydaná přede dnem nabytí účinnosti tohoto zákona podle zákona č. 181/2014 Sb. se považují za varování vydaná podle tohoto zákona.
(4) Reaktivní opatření a ochranná opatření vydaná přede dnem nabytí účinnosti tohoto zákona podle zákona č. 181/2014 Sb. se považují za reaktivní protiopatření vydaná podle tohoto zákona.
(5) Nabytím účinnosti tohoto zákona není dotčena platnost veřejnoprávních smluv uzavřených přede dnem nabytí účinnosti tohoto zákona podle zákona č. 181/2014 Sb.
(6) V případě, že poskytovatel Národního CERT není ke dni účinnosti tohoto zákona držitelem platného osvědčení podnikatele pro přístup k utajovaným informacím pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, je bez zbytečného odkladu povinen o takové osvědčení zažádat a tuto skutečnost Úřadu doložit. Osvědčení podle tohoto ustanovení musí provozovatel Národního CERT předložit Úřadu bez zbytečného odkladu, nejpozději však do 1 roku od nabytí účinnosti tohoto zákona.
Zrušovací ustanovení
Zrušují se:
1. Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti).
2. Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích.
3. Vyhláška č. 205/2016 Sb., kterou se mění vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích.
4. Část druhá zákona č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb.,
o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony.
5. Část dvě stě dvacátá devátá zákona č. 183/2017 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o odpovědnosti za přestupky a řízení o nich a zákona o některých přestupcích.
6. Část první zákona č. 205/2017 Sb., kterým se mění zákon č. 181/2014 Sb.,
o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony.
7. Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.
8. Část šestá zákona č. 35/2018 Sb., o změně některých zákonů upravujících počet členů zvláštních kontrolních orgánů Poslanecké sněmovny.
9. Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).
10. Část třicátá druhá zákona č. 111/2019 Sb., kterým se mění některé zákony
v souvislosti s přijetím zákona o zpracování osobních údajů.
11. Část devátá zákona č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů.
12. Vyhláška č. 360/2020 Sb., kterou se mění vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění vyhlášky č. 205/2016 Sb.
13. Vyhláška č. 573/2020 Sb., kterou se mění vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby.
14. Část sto padesátá třetí zákona č. 261/2021 Sb., kterým se mění některé zákony
v souvislosti s další elektronizací postupů orgánů veřejné moci.
15. Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.
16. Zákon č. 226/2022 Sb., kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.
17. Vyhláška č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu.
Účinnost
Tento zákon nabývá účinnosti dnem 18. října 2024.
CELEX 32022L2555