(5) Správce významného informačního systému se dopustí přestupku tím, že

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,

d) neinformuje provozovatele systému podle § 4a odst. 1,

e) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

f) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.