| 1. | V § 1 se za odstavec 1 vkládá nový odstavec 2, který včetně poznámky pod čarou č. 6 zní: „(2) | Tento zákon zapracovává příslušné předpisy Evropské unie6) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů. |
__________ 6) | Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.“. |
Dosavadní odstavec 2 se označuje jako odstavec 3. |
| 2. | V § 2 se na konci textu písmene c) doplňují slova „a dat“. |
| 3. | V § 2 písm. d) se za slova „informační infrastrukturou“ vkládají slova „ani informačním systémem základní služby“. |
| 4. | V § 2 se na konci písmene g) slovo „a“ zrušuje. |
| 5. | V § 2 se na konci písmene h) tečka nahrazuje čárkou a doplňují se písmena i) až m), která včetně poznámek pod čarou č. 7 až 10 znějí: „i) | základní službou služba, jejíž poskytování je závislé na sítích elektronických komunikací7) nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví |
1. | energetika, | 2. | doprava, | 3. | bankovnictví, | 4. | infrastruktura finančních trhů, | 5. | zdravotnictví, | 6. | vodní hospodářství, | 7. | digitální infrastruktura, | 8. | chemický průmysl, |
j) | informačním systémem základní služby informační systém, na jehož fungování je závislé poskytování základní služby, |
k) | provozovatelem základní služby orgán nebo osoba, která poskytuje základní službu a která je určena Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „Úřad“) podle § 22a; pro účely plnění informační povinnosti podle příslušného předpisu Evropské unie8) se za provozovatele základní služby považují též orgány a osoby uvedené v § 3 písm. c) a d), |
l) | digitální službou služba informační společnosti podle zákona upravujícího některé služby informační společnosti9), která spočívá v provozování |
1. | on-line tržiště, které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem10) kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm, | 2. | internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem, nebo | 3. | cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet, a |
m) | příslušným orgánem orgán vykonávající působnost v oblasti kybernetické bezpečnosti. |
__________ 7) | § 2 písm. h) zákona č. 127/2005 Sb., ve znění pozdějších předpisů. |
8) | Čl. 5 odst. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148. |
10) | § 2 odst. 1 písm. a) a b) zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů. § 419 a 420 zákona č. 89/2012 Sb., občanský zákoník.“. |
|
| 6. | V § 3 se na konci písmene d) slovo „a“ nahrazuje čárkou. |
| 7. | V § 3 se na konci písmene e) tečka nahrazuje čárkou a doplňují se písmena f) až h), která znějí: „f) | správce a provozovatel informačního systému základní služby, pokud nejsou správcem nebo provozovatelem podle písmene c) nebo d), |
g) | provozovatel základní služby, pokud není správcem nebo provozovatelem podle písmene f), a |
h) | poskytovatel digitální služby.“. |
|
| 8. | Za § 3 se vkládá nový § 3a, který včetně nadpisu zní: „§ 3a Zástupce poskytovatele digitálních služeb (1) | Poskytovatel digitální služby, který poskytuje tuto službu v České republice, nemá sídlo v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie (dále jen „jiný členský stát“), je povinen ustavit si svého zástupce v České republice. Zástupcem poskytovatele digitální služby je osoba, která je usazená v České republice a která je poskytovatelem digitální služby na základě plné moci zmocněná jej zastupovat ve vztahu k povinnostem podle tohoto zákona. | (2) | V případě, že poskytovatel digitální služby má sídlo mimo Evropskou unii a ustavil si svého zástupce v České republice, má se za to, že je usazen v České republice a vztahují se na něj povinnosti podle tohoto zákona. | (3) | V případě, že je poskytovatel digitální služby usazen v České republice nebo zde má ustaveného zástupce, ale jím využívané sítě elektronických komunikací a informační systémy se nacházejí v jiném členském státu, Úřad při výkonu státní správy spolupracuje s příslušným orgánem dotčeného členského státu.“. |
|
| 9. | § 4 zní: „§ 4 (1) | Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací1) v kybernetickém prostoru. | (2) | Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, informačního systému základní služby a významného informačního systému a vést o nich bezpečnostní dokumentaci. | (3) | Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy. | (4) | Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži. | (5) | Orgány a osoby uvedené v § 3 písm. c) až g), které jsou orgány veřejné moci, jsou povinny si ve smlouvě s poskytovatelem služeb cloud computingu zejména zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem, a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase. Dalšími nezbytnými náležitostmi smlouvy jsou |
a) | zakotvení povinnosti poskytovatele služeb respektovat bezpečnostní politiku odběratele služeb, | b) | stanovení úrovně poskytovaných služeb, | c) | systém schvalování subdodavatelů služby cloud computingu, | d) | podmínky ukončení smluvního vztahu z pohledu bezpečnosti, | e) | řízení kontinuity činností v souvislosti s poskytovanou službou cloud computingu, | f) | určení vlastníka uchovávaných dat, | g) | dohoda o důvěrnosti smluvního vztahu, | h) | stanovení úrovně ochrany dat z pohledu důvěrnosti, dostupnosti a integrity, | i) | pravidla zákaznického auditu, | j) | stanovení povinnosti poskytovatele služeb informovat odběratele o kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy. |
(6) | Poskytovatel služby cloud computingu a orgány a osoby uvedené v § 3 písm. c) až g), které jsou orgány veřejné moci, si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel. | (7) | Zohlednění požadavků vyplývajících z bezpečnostních pravidel, bezpečnostních opatření a dalších podmínek sjednaných ve smlouvě podle odstavce 5, které jsou nezbytné pro splnění povinností podle tohoto zákona, nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.“. |
|
| 10. | Za § 4 se vkládá nový § 4a, který zní: „§ 4a (1) | Orgány a osoby, které se staly správci informačních nebo komunikačních systémů kritické informační infrastruktury nebo správci významných informačních systémů, a nejsou provozovateli tohoto systému, jsou povinny neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem nebo osobou podle § 3 písm. c), d) nebo e). | (2) | Orgány a osoby, které se staly správci nebo provozovateli informačních nebo komunikačních systémů kritické informační infrastruktury, jsou povinny neprodleně a prokazatelně informovat subjekt zajišťující síť elektronických komunikací, ke které je jejich předmětný informační nebo komunikační systém kritické informační infrastruktury připojen, o této skutečnosti a o tom, že se tento subjekt stal orgánem nebo osobou podle § 3 písm. b). | (3) | Orgány a osoby, které byly podle § 22a určené provozovateli základní služby a nejsou zároveň správci nebo provozovateli svých informačních systémů základní služby, jsou povinny správce nebo provozovatele tohoto informačního systému základní služby neprodleně a prokazatelně informovat o svém určení a o tom, že se dotčený správce nebo provozovatel stal orgánem nebo osobou podle § 3 písm. f).“. |
|
| 11. | § 6 zní: „§ 6 Prováděcí právní předpis stanoví a) | obsah bezpečnostních opatření, |
b) | obsah a strukturu bezpečnostní dokumentace, |
c) | rozsah bezpečnostních opatření pro orgány a osoby uvedené v § 3 písm. c) až f), |
d) | významné informační systémy a jejich určující kritéria, |
e) | obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu.“. |
|
| 12. | V § 6a se na konci odstavce 3 doplňuje věta „Způsob likvidace dat, provozních údajů, informací a jejich kopií stanoví prováděcí právní předpis.“. |
| 13. | V § 7 odst. 3 se slova „§ 3 písm. b) až e)“ nahrazují slovy „§ 3 písm. b) až f)“ a za slova „komunikačním systému kritické informační infrastruktury“ se vkládají slova „ , informačním systému základní služby“. |
| 14. | V § 8 odstavec 1 včetně poznámky pod čarou č. 11 zní: „(1) | Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury, informačním systému základní služby nebo významném informačním systému, a to bezodkladně po jejich detekci; tím není dotčena informační povinnost podle jiného právního předpisu3) nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů11). V případě, že kybernetický bezpečnostní incident má významný dopad na kontinuitu poskytování základní služby, oznámí to provozovatel základní služby Úřadu. |
__________ 11) | Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).“. |
|
| 15. | V § 8 se za odstavec 1 vkládá nový odstavec 2, který zní: „(2) | Poskytovatel digitální služby je povinen bez zbytečného odkladu hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb, pokud má přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu.“. |
Dosavadní odstavce 2 až 5 se označují jako odstavce 3 až 6. |
| 16. | V § 8 odst. 3 se text „§ 3 písm. b)“ nahrazuje slovy „§ 3 písm. b) a h)“. |
| 17. | V § 8 odst. 4 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až g)“ a slova „Národnímu bezpečnostnímu úřadu (dále jen „Úřad“)“ se nahrazují slovem „Úřadu“. |
| 18. | V § 8 se za odstavec 5 vkládá nový odstavec 6, který zní: „(6) | Orgány a osoby neuvedené v § 3 mohou hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT, nebo Úřadu.“. |
Dosavadní odstavec 6 se označuje jako odstavec 7. |
| 19. | V § 8 odst. 7 písmeno a) zní: „a) | typy, kategorie a hodnocení významnosti dopadu kybernetického bezpečnostního incidentu a“. |
|
| 20. | V § 8 se doplňuje odstavec 8, který zní: „(8) | Pokud má kybernetický bezpečnostní incident, který postihnul poskytovatele digitální služby, významný dopad na kontinuitu poskytování základní služby, je její provozovatel povinen tuto skutečnost Úřadu nahlásit.“. |
|
| 21. | V § 9 se na konci textu odstavce 2 doplňují slova „a l)“. |
| 22. | Za § 10 se vkládá nový § 10a, který zní: „§ 10a Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují.“. |
| 23. | V § 11 odst. 3 písm. b) a v § 11 odst. 4 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až f)“. |
| 24. | V § 12 se doplňuje odstavec 3, který zní: „(3) | Úřad je z důvodu ochrany vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn po konzultaci s orgánem nebo osobou uvedenými v § 3 písm. c), d), f), g) nebo h), které jsou dotčeny kybernetickým bezpečnostním incidentem, veřejnost o tomto incidentu informovat nebo dotčenému orgánu nebo osobě uložit, aby tak učinil sám.“. |
|
| 25. | V § 13 odst. 4 se za text „§ 3“ vkládají slova „písm. a) až f)“. |
| 26. | § 14 zní: „§ 14 Úřad za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu jako ochranné opatření vydá opatření obecné povahy, ve kterém orgánům a osobám uvedeným v § 3 písm. c) až f) stanoví způsob zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a přiměřenou lhůtu k jeho provedení.“. |
| 27. | V § 16 odst. 2 písm. a) se slova „§ 3 písm. a) a b)“ nahrazují slovy „§ 3 písm. a), b) a h)“. |
| 28. | V § 16 odst. 2 písm. b) a v § 16 odst. 3 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až g)“. |
| 29. | V § 16 se za odstavec 5 vkládá nový odstavec 6, který zní: „(6) | Úřad je dále oprávněn si pro účely kontroly vyžádat od provozovatele národního CERT kontaktní údaje orgánů a osob uvedených v § 3 písm. h).“. |
Dosavadní odstavec 6 se označuje jako odstavec 7. |
| 30. | V § 17 odst. 2 písm. a), d) a e) se slova „§ 3 písm. a) a b)“ nahrazují slovy „§ 3 písm. a), b) a h)“. |
| 31. | V § 17 odst. 2 písm. b) a c) se text „§ 3 písm. b)“ nahrazuje slovy „§ 3 písm. b) a h)“. |
| 32. | V § 17 odst. 2 písm. g) se za slovo „incidentech“ vkládají slova „ohlášených podle § 8 odst. 3,“ a slova „kybernetického bezpečnostního incidentu a“ se nahrazují čárkou. |
| 33. | V § 17 odst. 2 písmeno h) zní: „h) | předává Úřadu na vyžádání údaje podle § 16 odst. 5 a 6,“. |
|
| 34. | V § 17 se na konci odstavce 2 doplňují písmena i) až l), která včetně poznámky pod čarou č. 12 znějí: „i) | plní roli týmu CSIRT podle příslušného předpisu Evropské unie12), |
j) | informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování základní nebo digitální služby v tomto členském státě a zároveň o tom informuje Úřad, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele, |
k) | spolupracuje s týmy CSIRT jiných členských států a |
l) | přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob neuvedených v § 3, a pokud to jeho kapacity umožňují, zpracovává je a poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost. |
__________ 12) | Čl. 9 směrnice Evropského parlamentu a Rady (EU) 2016/1148.“. |
|
| 35. | V § 18 odst. 5 se slova „podle § 17 odst. 2 písm. a), b), c), e), g) a h)“ nahrazují slovy „podle § 17 odst. 2 písm. a) až c), e) a g) až l)“. |
| 36. | V § 18 se na konci odstavce 5 doplňuje věta „Provozovatel národního CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v § 17 odst. 2 nezbytné náklady.“. |
| 37. | V § 20 písm. a), b), d) a e) se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až g)“. |
| 38. | V § 20 písm. c) se slova „infrastruktury, z“ nahrazují slovy „infrastruktury, informačního systému základní služby,“. |
| 39. | V § 20 se na konci písmene i) slovo „a“ nahrazuje čárkou. |
| 40. | V § 20 se na konci písmene j) tečka nahrazuje čárkou a doplňují se písmena k) až n), která znějí: „k) | informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu, který má významný dopad na kontinuitu poskytování základních služeb v tomto členském státě nebo se dotýká poskytování digitálních služeb v tomto členském státě, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele, |
l) | přijímá hlášení o kybernetickém bezpečnostním incidentu od orgánů a osob neuvedených v § 3; vládní CERT hlášení zpracovává, a pokud to jeho kapacity umožňují a jedná se o kybernetický bezpečnostní incident s významným dopadem, poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost, |
m) | plní roli týmu CSIRT podle příslušného předpisu Evropské unie12) a |
n) | spolupracuje s týmy CSIRT jiných členských států.“. |
|
| 41. | V § 21 odst. 1 se slova „bezpečnost a integrita služeb nebo sítí elektronických komunikací1)“ nahrazují slovy „bezpečnost služeb elektronických komunikací anebo bezpečnost a integrita sítí elektronických komunikací1)“. |
| 42. | Na začátku hlavy IV se vkládá nový § 21a, který včetně skupinového nadpisu zní: „Úřad § 21a (1) | Zřizuje se Úřad se sídlem v Brně jako ústřední správní úřad pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Příjmy a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu. | (2) | V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává. | (3) | Ředitel Úřadu je odpovědný předsedovi vlády nebo pověřenému členovi vlády.“. |
|
| 43. | § 22 včetně poznámek pod čarou č. 13 a 14 zní: „§ 22 Úřad a) | stanoví bezpečnostní opatření, |
c) | plní stanovené úkoly ve vybraných oblastech ochrany utajovaných informací, |
f) | působí jako koordinační orgán ve stavu kybernetického nebezpečí, |
g) | spolupracuje s orgány a osobami, které působí v oblasti kybernetické bezpečnosti a kybernetické obrany, zejména s veřejnoprávními korporacemi, výzkumnými a vývojovými pracovišti a s ostatními pracovišti typu CERT, a s orgány a osobami, které působí ve vybraných oblastech ochrany utajovaných informací, |
h) | zajišťuje mezinárodní spolupráci v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací, |
i) | sjednává a uzavírá smlouvy o mezinárodní spolupráci v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací, |
j) | zajišťuje prevenci, vzdělávání a metodickou podporu v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací, |
k) | zajišťuje výzkum a vývoj v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací, |
l) | uzavírá veřejnoprávní smlouvu s provozovatelem národního CERT, |
m) | zasílá podle krizového zákona Ministerstvu vnitra návrh prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, jejichž provozovatelem je organizační složka státu, |
n) | určuje podle krizového zákona prvky kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, pokud nejde o prvky uvedené v písmeni m), |
o) | ověřuje každé 2 roky aktuálnost určení prvků kritické infrastruktury podle písmen m) a n), |
p) | určuje provozovatele základní služby a informační systém základní služby, |
q) | zpracovává a vládě ke schválení předkládá národní strategii kybernetické bezpečnosti13) a akční plán k jejímu naplňování a tuto strategii aktualizuje nejméně každých 5 let, |
r) | je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie, |
s) | je příslušným orgánem v České republice a plní informační povinnosti vůči Evropské komisi a skupině pro spolupráci podle příslušného předpisu Evropské unie14), |
t) | informuje veřejnost o kybernetickém bezpečnostním incidentu podle § 12 odst. 3, |
u) | provádí analýzu a monitoring kybernetických hrozeb a rizik, |
v) | vykonává působnost v oblasti veřejné regulované služby Evropského programu družicové navigace Galileo, |
w) | vydává Věstník Úřadu, který zveřejňuje na svých internetových stránkách, |
x) | plní další úkoly v oblasti kybernetické bezpečnosti stanovené tímto zákonem a ve vybraných oblastech ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. |
__________ 13) | Čl. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148. |
14) | Například čl. 5 odst. 3, čl. 7 odst. 3 a čl. 8 směrnice Evropského parlamentu a Rady (EU) 2016/1148.“. |
|
| 44. | Za § 22 se vkládají nové § 22a a 22b, které včetně nadpisu znějí: „§ 22a Určení provozovatele základní služby a informačního systému základní služby (1) | Úřad rozhodnutím určí provozovatele základní služby a informační systém základní služby, pokud naplní odvětvová a dopadová kritéria, která zohledňují významnost |
a) | služeb poskytovaných v jednotlivých odvětvích uvedených v § 2 písm. i) a | b) | dopad kybernetického bezpečnostního incidentu zejména na |
1. | rozsah a kvalitu poskytování základní služby uživatelům, kteří jsou na ní závislí, | 2. | ekonomické a společenské činnosti a veřejnou bezpečnost, | 3. | vzájemnou závislost odvětví uvedených v § 2 písm. i). |
| Dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností stanoví prováděcí právní předpis. |
(2) | V případě, že Úřad zjistí, že orgán nebo osoba, které hodlá určit podle odstavce 1 jako provozovatele základní služby, poskytují danou službu i v jiném členském státě, provede před rozhodnutím ve věci konzultaci s příslušným orgánem dotčeného členského státu. | (3) | Proti rozhodnutí Úřadu o určení provozovatele základní služby a informačního systému základní služby není rozklad přípustný. | (4) | Úřad ověřuje nejméně každé 2 roky ode dne vydání rozhodnutí o určení provozovatele základní služby, zda jsou splněny podmínky pro určení provozovatele základní služby a informačního systému základní služby. |
§ 22b (1) | Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru obyvatel referenční údaje, kterými jsou |
a) | příjmení, | b) | jméno, popřípadě jména, | c) | adresa místa pobytu, | d) | datum, místo a okres narození; u subjektu údajů, který se narodil v cizině, datum, místo a stát, kde se narodil, | e) | datum, místo a okres úmrtí; jde-li o úmrtí subjektu údajů mimo území České republiky, datum úmrtí, místo a stát, na jehož území k úmrtí došlo, | f) | státní občanství, popřípadě více státních občanství, | g) | záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna. |
(2) | Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z agendového informačního systému evidence obyvatel o státních občanech České republiky údaje, kterými jsou |
a) | jméno, popřípadě jména, příjmení, včetně předchozích příjmení, rodné příjmení, | b) | rodné číslo, pokud není přiděleno, datum narození, | c) | adresa místa trvalého pobytu, včetně předchozích adres místa trvalého pobytu, popřípadě adresa, na kterou mají být doručovány písemnosti podle jiného právního předpisu, | d) | omezení svéprávnosti, jméno, popřípadě jména, příjmení a rodné číslo opatrovníka; nebylo-li opatrovníkovi rodné číslo přiděleno, datum, místo a okres narození; je-li opatrovníkem ustanoven orgán místní správy, název a adresa sídla, | e) | datum, místo a okres úmrtí; jde-li o úmrtí občana mimo území České republiky, datum úmrtí, místo a stát, na jehož území k úmrtí došlo, | f) | den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti, popřípadě jako den, který občan prohlášený za mrtvého nepřežil. |
| Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z agendového informačního systému evidence obyvatel, pouze pokud jsou ve tvaru předcházejícím současný stav. |
(3) | Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z informačního systému cizinců o cizincích údaje, kterými jsou |
a) | jméno, popřípadě jména, příjmení, rodné příjmení, | b) | datum narození, | c) | rodné číslo, | d) | státní občanství, popřípadě více státních občanství, | e) | druh a adresa místa pobytu, | f) | číslo a platnost oprávnění k pobytu, | g) | omezení svéprávnosti, | h) | datum, místo a okres úmrtí; jde-li o úmrtí mimo území České republiky, stát, na jehož území k úmrtí došlo, popřípadě datum úmrtí, | i) | den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti, popřípadě jako den, který cizinec prohlášený za mrtvého nepřežil. |
| Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav. |
(4) | Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z registru rodných čísel o fyzických osobách, kterým bylo přiděleno rodné číslo, avšak nejsou vedeny v agendovém informačním systému evidence obyvatel, údaje, kterými jsou |
a) | jméno, popřípadě jména, příjmení, popřípadě rodné příjmení, | b) | rodné číslo, | c) | v případě změny rodného čísla původní rodné číslo, | d) | den, měsíc a rok narození, | e) | místo a okres narození; u fyzické osoby narozené v cizině stát, na jehož území se narodila. |
(5) | Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje, kterými jsou |
a) | obchodní firma nebo název právnické osoby nebo jméno, popřípadě jména, a příjmení podnikající fyzické osoby, | b) | datum vzniku nebo datum zápisu do evidence podle zvláštních právních předpisů, | c) | datum zániku nebo datum výmazu z evidence podle zvláštních právních předpisů, | d) | právní forma, | e) | záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna, | f) | statutární orgán vyjádřený referenční vazbou na registr obyvatel anebo na registr osob nebo údajem o jménu, popřípadě jménech, příjmení a bydlišti u zahraniční fyzické osoby, | g) | právní stav, | h) | adresa sídla právnické osoby nebo adresa místa podnikání fyzické osoby ve formě referenční vazby (kódu adresního místa) na referenční údaj o adrese v registru územní identifikace. |
(6) | K údajům podle odstavců 2 až 5 vedeným v agendových informačních systémech jsou Úřadu poskytovány i jejich předchozí změny. | (7) | Z poskytovaných údajů lze v konkrétním případě použít vždy jen takové údaje, které jsou nezbytné ke splnění daného úkolu.“. |
|
| 45. | § 23 včetně nadpisu zní: „§ 23 Kontrola (1) | Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak orgány a osoby uvedené v § 3 písm. a) až g) plní povinnosti stanovené tímto zákonem a rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle tohoto zákona, a dodržují prováděcí právní předpisy v oblasti kybernetické bezpečnosti. Je-li důvodné podezření, že poskytovatel digitální služby neplní povinnosti stanovené tímto zákonem, provede u něj Úřad kontrolu. | (2) | Při výkonu kontroly se postupuje přiměřeně podle kontrolního řádu. | (3) | Kontrolu vykonávají pověření zaměstnanci Úřadu.“. |
|
| 46. | V § 24 odst. 2 se za slova „komunikační systém kritické informační infrastruktury“ vkládají slova „ , informační systém základní služby“. |
| 47. | Za § 24 se vkládají nové § 24a až 24c, které včetně nadpisu a poznámky pod čarou č. 15 znějí: „Kontrola činnosti Úřadu § 24a (1) | Kontrolu činnosti Úřadu vykonává Poslanecká sněmovna, která k tomuto účelu zřizuje zvláštní kontrolní orgán (dále jen „kontrolní orgán“). | (2) | Kontrolní orgán se skládá ze 7 členů. Členem kontrolního orgánu může být pouze poslanec Poslanecké sněmovny. | (3) | Pokud tento zákon nestanoví jinak, vztahuje se na jednání kontrolního orgánu a na práva a povinnosti jeho členů přiměřeně jiný právní předpis15). | (4) | Členové kontrolního orgánu mohou vstupovat v doprovodu ředitele Úřadu nebo jím pověřeného zaměstnance do objektů Úřadu. | (5) | Ředitel Úřadu předkládá kontrolnímu orgánu |
a) | zprávu o činnosti Úřadu, | b) | návrh rozpočtu Úřadu, | c) | podklady potřebné ke kontrole plnění rozpočtu Úřadu, | d) | vnitřní předpisy Úřadu, | e) | na vyžádání zprávu o jednotlivých kybernetických bezpečnostních incidentech z kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby. |
§ 24b (1) | Má-li kontrolní orgán za to, že činnost Úřadu nezákonně omezuje nebo poškozuje práva a svobody občanů nebo že rozhodovací činnost Úřadu v rámci správního řízení je stižena vadami, je oprávněn požadovat od ředitele Úřadu potřebné vysvětlení. | (2) | Každé porušení zákona zaměstnancem Úřadu při plnění povinností podle tohoto zákona a ve vybraných oblastech podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, které kontrolní orgán zjistí při své činnosti, je povinen oznámit řediteli Úřadu a předsedovi vlády. |
§ 24c Povinnost zachovávat mlčenlivost uložená členům kontrolního orgánu podle zákona se nevztahuje na případy, kdy kontrolní orgán podává oznámení podle § 24b odst. 2. __________ 15) Zákon č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, ve znění pozdějších předpisů.“. |
| 48. | V § 25 odst. 1 úvodní části ustanovení se slova „Právnická osoba nebo podnikající fyzická osoba uvedené v § 3 písm. a) nebo b)“ nahrazují slovy „Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací nebo orgán nebo osoba zajišťující významnou síť“. |
| 49. | V § 25 odst. 2 úvodní části ustanovení se slova „Právnická osoba nebo podnikající fyzická osoba uvedené v § 3 písm. c) až e)“ nahrazují slovy „Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury nebo správce nebo provozovatel významného informačního systému“. |
| 50. | V § 25 odst. 2 písm. b) se číslo „3“ nahrazuje číslem „4“. |
| 51. | V § 25 se za odstavec 2 vkládají nové odstavce 3 až 11, které znějí: „(3) | Správce informačního nebo komunikačního systému kritické informační infrastruktury nebo významného informačního systému se dopustí přestupku tím, že neinformuje provozovatele systému podle § 4a odst. 1. | (4) | Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2. | (5) | Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že |
a) | nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1, | b) | nepředá data, provozní údaje a informace podle § 6a odst. 2, | c) | nepředá data, provozní údaje a informace podle § 6a odst. 3, | d) | nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3, nebo | e) | neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3. |
(6) | Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3. | (7) | Správce a provozovatel informačního systému základní služby se dopustí přestupku tím, že |
a) | v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci, | b) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, | c) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, | d) | nesplní povinnost uloženou Úřadem podle § 13 nebo 14, | e) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | f) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
(8) | Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury, správce nebo provozovatel významného informačního systému, správce nebo provozovatel informačního systému základní služby a provozovatel základní služby, kteří jsou orgánem veřejné moci, se dopustí přestupku tím, že uzavřou smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 5. | (9) | Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3. | (10) | Provozovatel základní služby se dopustí přestupku tím, že |
a) | neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3, | b) | nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1 a 4, | c) | nenahlásí významný dopad na kontinuitu poskytování základní služby způsobený kybernetickým bezpečnostním incidentem podle § 8 odst. 8, | d) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, nebo | e) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b). |
(11) | Poskytovatel digitální služby se dopustí přestupku tím, že |
a) | neustaví svého zástupce podle § 3a odst. 1, | b) | v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření, | c) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3, | d) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, nebo | e) | neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a).“. |
Dosavadní odstavec 3 se označuje jako odstavec 12. |
| 52. | V § 25 odstavec 12 zní: „(12) | Za přestupek lze uložit pokutu do |
a) | 5 000 000 Kč, jde-li o přestupek podle odstavce 2 písm. a), odstavce 7 písm. a) nebo odstavce 11 písm. b), | b) | 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a) nebo b), odstavce 2 písm. b), c) nebo e), odstavce 3, odstavce 4, odstavce 5 písm. a), c) nebo d), odstavce 6, odstavce 7 písm. b) až d) nebo f), odstavce 8, odstavce 9, odstavce 10 písm. a) až d) nebo odstavce 11 písm. a), c) nebo d), | c) | 200 000 Kč, jde-li o přestupek podle odstavce 5 písm. b) nebo e), | d) | 10 000 Kč, jde-li o přestupek podle odstavce 2 písm. d), odstavce 7 písm. e), odstavce 10 písm. e) nebo odstavce 11 písm. e).“. |
|
| 53. | V § 26 odst. 2 se slova „se uloží pokuta“ nahrazují slovy „lze uložit pokutu“. |
| 54. | V § 28 odst. 2 písmena a) a b) znějí: „a) | obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních opatření podle § 6 písm. a) až c) a obsah a rozsah bezpečnostních pravidel podle § 6 písm. e), |
b) | typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 7,“. |
|
| 55. | V § 28 odst. 2 se na konci písmene c) slovo „a“ nahrazuje čárkou. |
| 56. | V § 28 odst. 2 písm. d) se text „odst. 6.“ nahrazuje textem „odst. 7,“ a na konci odstavce 2 se doplňují písmena e) a f), která znějí: „e) | dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1, |
f) | způsob likvidace dat, provozních údajů, informací a jejich kopií.“. |
|
| 57. | V § 30 písm. b) a v § 31 písm. b) se číslo „3“ nahrazuje číslem „4“. |
| 58. | V § 33 odst. 2 se za slovo „republiky“ vkládají slova „a Generální inspekce bezpečnostních sborů“. |
| 59. | V § 33 se doplňují odstavce 3 a 4, které včetně poznámky pod čarou č. 16 znějí: „(3) | Tento zákon se vztahuje pouze na poskytovatele digitální služby, který je právnickou osobou a není mikropodnikem nebo malým podnikem16). | (4) | Tento zákon se nevztahuje na poskytovatele digitální služby, který má sídlo v jiném členském státě. |
__________ 16) | Příloha doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.“. |
|
| 60. | Části druhá a čtvrtá se včetně nadpisů zrušují. |
