§ 25 · 181/2014 Sb.

a) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13,

(1) Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací se dopustí přestupku tím, že

b) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

c) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13,

a) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

(2) Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že

b) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3,

d) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo

f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,

(3) Správce informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

c) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo

d) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

j) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

k) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

d) neinformuje provozovatele systému podle § 4a odst. 1,

h) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

f) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

g) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

l) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

e) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2,

i) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

(4) Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

d) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2,

e) nepředá data, provozní údaje a informace podle § 6a odst. 2,

f) nepředá data, provozní údaje a informace podle § 6a odst. 3,

g) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,

h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,

i) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

j) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

k) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

l) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

m) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

n) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,

o) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

p) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

d) neinformuje provozovatele systému podle § 4a odst. 1,

e) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

f) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

(5) Správce významného informačního systému se dopustí přestupku tím, že

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

e) nepředá data, provozní údaje a informace podle § 6a odst. 3,

f) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,

g) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,

h) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

i) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

j) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

m) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

l) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,

k) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

(6) Provozovatel významného informačního systému se dopustí přestupku tím, že

n) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

d) nepředá data, provozní údaje a informace podle § 6a odst. 2,

j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

(7) Správce informačního systému základní služby se dopustí přestupku tím, že

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,

g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

(9) Provozovatel základní služby se dopustí přestupku tím, že

(8) Provozovatel informačního systému základní služby se dopustí přestupku tím, že

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

a) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,

b) neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3,

c) nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1, 4 nebo 8,

d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,

(10) Poskytovatel digitální služby se dopustí přestupku tím, že

(11) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že

a) neustaví svého zástupce podle § 3a odst. 1,

b) v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření,

c) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3,

d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo

f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.

a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti¹⁷),

b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti¹⁷),

d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti¹⁷).

c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti¹⁷), nebo

a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti¹⁷),

b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti¹⁷),

(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.

(13) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že

d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti¹⁷) vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti,

e) provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo

f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti¹⁷) nebo mimo rozsah této akreditace.

c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti¹⁷) na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti¹⁷),

(14) Za přestupek lze uložit pokutu do

c) 10 000 Kč, jde-li o přestupek podle odstavce 1 písm. c), odstavce 2 písm. e), odstavce 3 písm. k), odstavce 4 písm. o), odstavce 5 písm. i), odstavce 6 písm. m), odstavce 7 písm. i), odstavce 8 písm. i), odstavce 9 písm. e) nebo odstavce 10 písm. e).

a) 5 000 000 Kč, jde-li o přestupek podle odstavce 3 písm. a), odstavce 4 písm. a), odstavce 5 písm. a), odstavce 6 písm. a), odstavce 7 písm. a), odstavce 8 písm. a), odstavce 10 písm. b) anebo odstavce 12 nebo 13,

b) 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a), b) nebo d), odstavce 2 písm. a) až d) nebo písm. f), odstavce 3 písm. b) až j) nebo písm. l), odstavce 4 písm. b) až n) nebo písm. p), odstavce 5 písm. b) až h) nebo písm. j), odstavce 6 písm. b) až l) nebo písm. n), odstavce 7 písm. b) až h) nebo písm. j), odstavce 8 písm. b) až h) nebo písm. j), odstavce 9 písm. a) až d) nebo písm. f), odstavce 10 písm. a), c), d) nebo f) nebo odstavce 11,