Hlava 5 · 181/2014 Sb.

KONTROLA, NÁPRAVNÁ OPATŘENÍ A PŘESTUPKY
Kontrola činnosti Úřadu
Přestupky

§ 24c

Povinnost zachovávat mlčenlivost uložená členům kontrolního orgánu podle zákona se nevztahuje na případy, kdy kontrolní orgán podává oznámení podle § 24b odst. 2.

§ 27

Společné ustanovení k přestupkům

Přestupky podle tohoto zákona projednává a pokuty vybírá Úřad.

(1) Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak orgány a osoby uvedené v § 3 písm. a) až g) plní povinnosti stanovené tímto zákonem a rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle tohoto zákona, a dodržují prováděcí právní předpisy v oblasti kybernetické bezpečnosti. Je-li důvodné podezření, že poskytovatel digitální služby neplní povinnosti stanovené tímto zákonem, provede u něj Úřad kontrolu.

(2) Při výkonu kontroly se postupuje přiměřeně podle kontrolního řádu.

(3) Kontrolu vykonávají pověření zaměstnanci Úřadu.

(1) Zjistí-li Úřad při kontrole nedostatky, uloží kontrolovanému orgánu nebo osobě, aby je ve stanovené lhůtě odstranila, popřípadě určí, jakým způsobem.

(2) Pokud je informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, informační systém základní služby nebo významný informační systém pro zjištěné nedostatky bezprostředně ohrožen kybernetickým bezpečnostním incidentem, který jej může významně poškodit nebo zničit, může kontrolní orgán zakázat kontrolovanému orgánu nebo osobě používání tohoto systému anebo jeho části do doby, než bude zjištěný nedostatek odstraněn.

a) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13,

(1) Kontrolu činnosti Úřadu vykonává Poslanecká sněmovna, která k tomuto účelu zřizuje zvláštní kontrolní orgán (dále jen „kontrolní orgán“).

(1) Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací se dopustí přestupku tím, že

b) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

(2) Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že

a) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

(2) Kontrolní orgán se skládá nejméně ze 7 členů. Poslanecká sněmovna stanoví počet členů tak, aby byl zastoupen každý poslanecký klub ustavený podle příslušnosti k politické straně nebo politickému hnutí, za něž poslanci kandidovali ve volbách; počet členů je vždy lichý. Členem kontrolního orgánu může být pouze poslanec Poslanecké sněmovny.

b) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3,

c) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13,

d) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

(3) Pokud tento zákon nestanoví jinak, vztahuje se na jednání kontrolního orgánu a na práva a povinnosti jeho členů přiměřeně jiný právní předpis¹⁵).

(3) Správce informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že

c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

(4) Členové kontrolního orgánu mohou vstupovat v doprovodu ředitele Úřadu nebo jím pověřeného zaměstnance do objektů Úřadu.

b) návrh rozpočtu Úřadu,

e) na vyžádání zprávu o jednotlivých kybernetických bezpečnostních incidentech z kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby.

d) vnitřní předpisy Úřadu,

a) zprávu o činnosti Úřadu,

c) podklady potřebné ke kontrole plnění rozpočtu Úřadu,

(5) Ředitel Úřadu předkládá kontrolnímu orgánu

(1) Fyzická osoba se dopustí přestupku tím, že poruší povinnost uvedenou v § 10 odst. 1.

(1) Má-li kontrolní orgán za to, že činnost Úřadu nezákonně omezuje nebo poškozuje práva a svobody občanů nebo že rozhodovací činnost Úřadu v rámci správního řízení je stižena vadami, je oprávněn požadovat od ředitele Úřadu potřebné vysvětlení.

(2) Každé porušení zákona zaměstnancem Úřadu při plnění povinností podle tohoto zákona a ve vybraných oblastech podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, které kontrolní orgán zjistí při své činnosti, je povinen oznámit řediteli Úřadu a předsedovi vlády.

(2) Za přestupek podle odstavce 1 lze uložit pokutu do 50 000 Kč.

d) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

c) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo

l) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

h) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

d) neinformuje provozovatele systému podle § 4a odst. 1,

f) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

g) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

e) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2,

i) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

j) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

k) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

(4) Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

d) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2,

e) nepředá data, provozní údaje a informace podle § 6a odst. 2,

f) nepředá data, provozní údaje a informace podle § 6a odst. 3,

g) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,

h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,

i) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

j) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

k) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

l) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

m) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

n) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,

o) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

p) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

(5) Správce významného informačního systému se dopustí přestupku tím, že

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

f) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

e) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

d) neinformuje provozovatele systému podle § 4a odst. 1,

l) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,

m) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

n) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

(6) Provozovatel významného informačního systému se dopustí přestupku tím, že

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

d) nepředá data, provozní údaje a informace podle § 6a odst. 2,

e) nepředá data, provozní údaje a informace podle § 6a odst. 3,

f) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,

g) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,

h) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

i) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

j) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

k) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

(7) Správce informačního systému základní služby se dopustí přestupku tím, že

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,

(8) Provozovatel informačního systému základní služby se dopustí přestupku tím, že

d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

a) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,

b) neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3,

c) nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1, 4 nebo 8,

d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,

(9) Provozovatel základní služby se dopustí přestupku tím, že

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti¹⁷).

b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti¹⁷),

a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti¹⁷),

f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo

d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

c) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3,

b) v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření,

a) neustaví svého zástupce podle § 3a odst. 1,

(11) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že

(10) Poskytovatel digitální služby se dopustí přestupku tím, že

c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti¹⁷), nebo

(13) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že

a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti¹⁷),

b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti¹⁷),

c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti¹⁷) na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti¹⁷),

d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti¹⁷) vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti,

e) provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo

f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti¹⁷) nebo mimo rozsah této akreditace.

(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.

(14) Za přestupek lze uložit pokutu do

a) 5 000 000 Kč, jde-li o přestupek podle odstavce 3 písm. a), odstavce 4 písm. a), odstavce 5 písm. a), odstavce 6 písm. a), odstavce 7 písm. a), odstavce 8 písm. a), odstavce 10 písm. b) anebo odstavce 12 nebo 13,

b) 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a), b) nebo d), odstavce 2 písm. a) až d) nebo písm. f), odstavce 3 písm. b) až j) nebo písm. l), odstavce 4 písm. b) až n) nebo písm. p), odstavce 5 písm. b) až h) nebo písm. j), odstavce 6 písm. b) až l) nebo písm. n), odstavce 7 písm. b) až h) nebo písm. j), odstavce 8 písm. b) až h) nebo písm. j), odstavce 9 písm. a) až d) nebo písm. f), odstavce 10 písm. a), c), d) nebo f) nebo odstavce 11,

c) 10 000 Kč, jde-li o přestupek podle odstavce 1 písm. c), odstavce 2 písm. e), odstavce 3 písm. k), odstavce 4 písm. o), odstavce 5 písm. i), odstavce 6 písm. m), odstavce 7 písm. i), odstavce 8 písm. i), odstavce 9 písm. e) nebo odstavce 10 písm. e).

§ 23

§ 24

§ 24c

§ 27