(6) Provozovatel významného informačního systému se dopustí přestupku tím, že

a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,

b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,

c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,

d) nepředá data, provozní údaje a informace podle § 6a odst. 2,

e) nepředá data, provozní údaje a informace podle § 6a odst. 3,

f) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,

g) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,

h) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,

i) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,

j) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,

k) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,

l) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,

m) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo

n) nesplní některou z povinností uloženou nápravným opatřením podle § 24.