(4) Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,

d) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2,

e) nepředá data, provozní údaje a informace podle § 6a odst. 2,

f) nepředá data, provozní údaje a informace podle § 6a odst. 3,

g) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,

h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,

i) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

j) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

k) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,

l) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

m) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

n) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,

o) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

p) nesplní některou z povinností uloženou nápravným opatřením podle § 24.