Poskytovatel regulované služby

Regulovaná služba a režim jejího poskytovatele
Podmínky pro registraci regulované služby
Režim poskytovatele regulované služby

Povinnosti poskytovatele regulované služby a protiopatření

Vztah poskytovatele regulované služby a jeho dodavatelů

Strategicky významná služba

Mechanismus prověřování bezpečnosti dodavatelského řetězce
Prověřování rizik spojených s dodavatelem

Zajištění dostupnosti strategicky významné služby

(2) Seznam služeb podle odstavce 1 písm. a) a vymezení podmínek významnosti poskytovatele podle odstavce 1 písm. b) stanoví Úřad vyhláškou.

b) poskytovatel služby je středním nebo velkým podnikem ve smyslu doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (dále jen „doporučení Komise 2003/361/ES“)⁶), nebo je významný pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice.

a) jde o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:

3. výrobní průmysl,

2. energetika,

15. vesmírný průmysl a

14. obranný průmysl,

13. poštovní a kurýrní služby,

12. věda, výzkum a vzdělávání,

11. zdravotnictví,

10. finanční trh,

1. veřejná správa,

(1) Podmínky pro registraci regulované služby jsou splněny v případě, že

9. digitální infrastruktura a služby,

8. doprava,

7. odpadové hospodářství,

6. vodní hospodářství,

5. chemický průmysl,

4. potravinářský průmysl,

4. její poskytovatel je kvůli svému specifickému významu na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví, ve kterém působí, nebo typ služby, kterou poskytuje anebo pro jiná vzájemně propojená odvětví v České republice,

b) jde o službu, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob, a to prostřednictvím ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkové hodnoty nebo životního prostředí,

3. narušení této služby by mohlo vyvolat významná systémová rizika, zejména v odvětvích, kde by takové narušení mohlo mít přeshraniční dopad, nebo

1. její poskytovatel je jediným poskytovatelem této služby v České republice a tato služba je zásadní pro zabezpečení kritických společenských nebo ekonomických činností nebo pro bezpečnost v České republice,

d) jde o službu, jejíž poskytovatel je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu; v takovém případě je regulovanou službou služba odpovídající prvku kritické infrastruktury určenému u tohoto subjektu.

c) jde o službu, jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele v režimu vyšších povinností, nebo

2. narušení této služby by mohlo mít významný dopad na bezpečnost České republiky, vnitřní pořádek nebo život a zdraví,

a) jde o službu podle § 4 odst. 1 písm. a) a

(2) Úřad rozhodne o registraci regulované služby v případě, že jsou splněny podmínky pro registraci regulované služby podle § 4 odst. 1 nebo § 5.

(1) Poskytovatel služby splňující podmínky pro registraci regulované služby podle § 4 odst. 1 je pro účely vydání rozhodnutí o registraci regulované služby povinen ohlásit tuto službu Úřadu nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo. Formát a způsob ohlášení podle tohoto odstavce stanoví Úřad vyhláškou.

(4) Rozhodnutí o registraci regulované služby podle odstavce 2 může být prvním úkonem Úřadu v řízení. Rozklad podaný proti rozhodnutí o registraci regulované služby nemá odkladný účinek.

(3) Řízení o registraci regulované služby splňující podmínky pro registraci podle § 5 lze zahájit pouze z moci úřední.

c) za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby, a

a) čl. 3 odst. 4 doporučení Komise 2003/361/ES se neuplatní,

b) za podnik se nepovažují organizační složky státu⁷), územní samosprávné celky a Česká národní banka,

d) pro určování velikosti poskytovatele regulované služby v odvětví věda, výzkum a vzdělávání, který není podnikem, se pravidla pro určování velikosti podniku podle doporučení Komise 2003/361/ES, včetně speciálních pravidel upravených tímto zákonem, použijí obdobně.

(3) Je-li regulovaná služba registrována rozhodnutím Úřadu na základě splnění podmínek pro registraci podle § 5, je její poskytovatel v režimu vyšších povinností.

(2) Rozdělení poskytovatelů podle poskytovaných regulovaných služeb do režimů uvedených v odstavci 1 stanoví Úřad vyhláškou.

(1) V režimu vyšších povinností je poskytovatel regulované služby, který z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo jiného poskytovatele regulované služby nebo rizikovosti provozu, je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku. V režimu nižších povinností je poskytovatel regulované služby, který není v režimu vyšších povinností podle věty první.

(2) Při změně režimu poskytovatele regulované služby z režimu nižších povinností na režim vyšších povinností plynou nové lhůty pro zahájení plnění povinností podle § 11 odst. 1, § 13 odst. 4 a § 15 odst. 4.

(1) Poskytovatel regulované služby je povinen hlásit Úřadu změny regulované služby, které mohou vést ke změně režimu jejího poskytovatele, nejpozději do 60 dnů ode dne, kdy ke změně regulované služby došlo.

(2) Řízení o zrušení registrace regulované služby se zahajuje na žádost jejího poskytovatele. Řízení lze zahájit i z moci úřední. Rozhodnutí o zrušení registrace regulované služby může být prvním úkonem v řízení. Podání rozkladu proti rozhodnutí o zrušení registrace regulované služby, kterým Úřad žádosti v plném rozsahu vyhověl, není přípustné.

(1) Pokud služba již nesplňuje podmínky pro registraci regulované služby podle § 4 odst. 1 nebo § 5, Úřad rozhodne o zrušení registrace regulované služby.

(3) Písemné rozhodnutí o zrušení registrace regulované služby se nevyhotovuje v případě, kdy Úřad žádosti v plném rozsahu vyhověl nebo kdy v řízení zahájeném z moci úřední rozhodl o zrušení registrace regulované služby. V takovém případě rozhodnutí nabývá právní moci záznamem do spisu. O zrušení registrace regulované služby Úřad účastníka řízení písemně vyrozumí.

a) kontaktní údaje, kterými se rozumí identifikační údaje fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem, a

(1) Poskytovatel regulované služby nejpozději do 30 dnů ode dne doručení rozhodnutí o registraci regulované služby hlásí Úřadu

(2) Poskytovatel regulované služby je povinen hlásit změny pouze těch údajů podle odstavce 1, které nejsou referenčními údaji vedenými v základních registrech, a to nejpozději do 14 dnů ode dne, kdy došlo k jejich změně.

b) doplňující údaje, kterými se rozumí informace o vlastnické struktuře poskytovatele regulované služby, technické údaje týkající se regulované služby a informace o jejím geografickém rozšíření a přeshraničním poskytování.

c) u primárních aktiv podle písmene b) určí podpůrná aktiva.

b) posoudí, zda primární aktiva souvisí s poskytováním regulované služby, a

(1) Součástí rozsahu řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“) jsou aktiva související s poskytováním regulované služby.

(2) Za účelem vymezení stanoveného rozsahu poskytovatel regulované služby

a) určí všechna svá primární aktiva,

(4) Platí, že primární aktiva, která ještě nebyla posouzena podle odstavce 2 písm. b), a podpůrná aktiva, která ještě nebyla určena podle odstavce 2 písm. c), jsou součástí stanoveného rozsahu.

(5) Stanovený rozsah je poskytovatel regulované služby povinen pravidelně přezkoumávat a aktualizovat.

(3) Poskytovatel regulované služby eviduje aktiva, která jsou součástí stanoveného rozsahu, a primární aktiva, která byla ze stanoveného rozsahu vyjmuta, včetně důvodů jejich vyjmutí.

(2) Poskytovatel regulované služby je povinen v rámci stanoveného rozsahu zavádět a provádět bezpečnostní opatření podle § 14 v míře nezbytné pro zajištění kybernetické bezpečnosti regulované služby.

(1) Bezpečnostními opatřeními jsou organizační a technická opatření, jejichž účelem je zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv.

(5) V případě, že poskytovatel regulované služby zavádí nebo provádí bezpečnostní opatření prostřednictvím dodavatele, je povinen vybírat svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření a zahrnovat požadavky vyplývající z bezpečnostního opatření do smluv s dodavatelem.

(4) Poskytovatel regulované služby začne plnit povinnost zavádět a provádět bezpečnostní opatření podle odstavce 2 pro každou regulovanou službu nejpozději do 1 roku ode dne doručení rozhodnutí o registraci regulované služby.

(3) Obsah bezpečnostních opatření a způsob jejich zavádění a provádění stanoví Úřad vyhláškou.

9. kryptografické algoritmy,

(1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou

(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními

a) organizačními opatřeními

b) technickými opatřeními

a) systém zajišťování minimální kybernetické bezpečnosti,

b) požadavky na vrcholné vedení,

c) řízení aktiv,

d) řízení rizik,

e) bezpečnost lidských zdrojů,

f) řízení kontinuity činností,

g) řízení přístupu,

h) řízení identit a jejich oprávnění,

i) detekce a zaznamenávání kybernetických bezpečnostních událostí,

j) řešení kybernetických bezpečnostních incidentů,

k) bezpečnost komunikačních sítí,

l) aplikační bezpečnost a

m) kryptografické algoritmy.

1. systém řízení bezpečnosti informací,

10. akvizice, vývoj a údržba,

11. řízení přístupu,

12. zvládání kybernetických bezpečnostních událostí a incidentů,

13. řízení kontinuity činností a

14. provádění auditu kybernetické bezpečnosti,

2. požadavky na vrcholné vedení,

3. stanovení bezpečnostních rolí,

4. řízení bezpečnostní politiky a bezpečnostní dokumentace,

5. řízení aktiv,

6. řízení rizik,

7. řízení dodavatelů,

8. bezpečnost lidských zdrojů,

9. řízení změn,

1. fyzická bezpečnost,

10. zajišťování dostupnosti regulované služby a

11. zabezpečení průmyslových, řídících a obdobných specifických technických aktiv.

2. bezpečnost komunikačních sítí,

3. správa a ověřování identit,

4. řízení přístupových práv a oprávnění,

5. detekce kybernetických bezpečnostních událostí,

6. zaznamenávání událostí,

7. vyhodnocování kybernetických bezpečnostních událostí,

8. aplikační bezpečnost,

(2) Poskytovatel regulované služby v režimu nižších povinností je povinen hlásit národnímu týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (dále jen „Národní CERT“) postupem podle § 16 kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru, mají významný dopad na poskytování regulované služby a nelze u nich ve lhůtě podle § 16 odst. 1 vyloučit úmyslné zavinění.

(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen hlásit Úřadu postupem podle § 16 kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru a nelze u nich ve lhůtě podle § 16 odst. 1 vyloučit úmyslné zavinění.

(4) Poskytovatel regulované služby začne plnit povinnost hlásit kybernetické bezpečnostní incidenty podle odstavců 1 a 2 pro každou regulovanou službu nejpozději do 1 roku ode dne doručení rozhodnutí o registraci regulované služby.

(3) Významný dopad na poskytování regulované služby má kybernetický bezpečnostní incident, který poskytovateli regulované služby způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty nebo způsobil nebo může způsobit jiným osobám značnou újmu. Způsob vyhodnocení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby poskytovatelem regulované služby v režimu nižších povinností stanoví Úřad vyhláškou.

(5) Úřad dále přijímá dobrovolná hlášení kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí nebo hrozeb. Úřadu mohou být hlášeny také zranitelnosti.

(2) Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1, zda má tento kybernetický bezpečnostní incident významný dopad na kybernetický prostor státu. Významnost dopadu na kybernetický prostor státu je dána závažností dopadu na poskytování regulované služby, zasaženým odvětvím a aktuální situací v kybernetickém prostoru s potenciálním dopadem na bezpečnost České republiky.

(1) Poskytovatel regulované služby bez zbytečného odkladu, nejpozději do 24 hodin po zjištění kybernetického bezpečnostního incidentu, předloží prvotní hlášení, v němž uvede své identifikační údaje, základní údaje o kybernetickém bezpečnostním incidentu, a zda se domnívá, že byl kybernetický bezpečnostní incident způsoben nezákonným zásahem nebo že by mohl mít přeshraniční dopad.

(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 15 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 poskytovatel regulované služby dále předloží

a) bez zbytečného odkladu, nejpozději do 72 hodin po zjištění kybernetického bezpečnostního incidentu oznámení, v němž aktualizuje informace uvedené v odstavci 1, předloží prvotní posouzení kybernetického bezpečnostního incidentu a uvede dopad a indikátory kompromitace, pokud jsou k dispozici; poskytovatel regulovaných služeb vytvářejících důvěru podle přímo použitelného předpisu Evropské unie⁸) předloží toto oznámení do 24 hodin po zjištění kybernetického bezpečnostního incidentu,

(4) Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu Úřadu. Nelze-li využít Portálu Úřadu, poskytovatel regulované služby v režimu vyšších povinností zašle hlášení na adresu elektronické pošty Úřadu určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Úřadu, a poskytovatel regulované služby v režimu nižších povinností zašle hlášení na adresu elektronické pošty Národního CERT určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Národního CERT.

(5) Obsahové náležitosti, formát a způsob hlášení kybernetického bezpečnostního incidentu, průběžné zprávy o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu, průběžné zprávy o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu stanoví Úřad vyhláškou.

c) nejpozději do 30 dnů ode dne předložení oznámení podle písmene a) závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu; v případě, že po uplynutí uvedené lhůty kybernetický bezpečnostní incident stále trvá, předloží poskytovatel regulované služby bez zbytečného odkladu po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu, a poté nejpozději do 30 dnů ode dne, kdy došlo k vyřešení kybernetického bezpečnostního incidentu závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.

b) na výzvu Úřadu nebo Národního CERT průběžnou zprávu o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu a

(2) Na žádost dotčeného poskytovatele regulované služby poskytne Úřad nebo Národní CERT metodickou podporu k provádění zmírňujících opatření a případnou další technickou podporu ke zvládání hlášeného kybernetického bezpečnostního incidentu.

(1) Úřad nebo Národní CERT poskytne bez zbytečného odkladu, nejpozději do 24 hodin od obdržení prvotního hlášení podle § 16, poskytovateli regulované služby své vyjádření ke kybernetickému bezpečnostnímu incidentu.

(3) Každý je povinen poskytnout na výzvu Úřadu nezbytné informace a součinnost při zvládání kybernetického bezpečnostního incidentu, pokud nelze sledovaného účelu dosáhnout jinak nebo by bylo jinak jeho dosažení podstatně ztížené. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.

(5) Odstavce 1 a 2 se při zvládání kybernetických bezpečnostních incidentů nahlášených podle § 15 odst. 5 a kybernetických bezpečnostních incidentů oznámených jiným dozorovým orgánem v souvislosti s plněním povinností podle zvláštního odvětvového předpisu podle § 70 použijí obdobně.

(4) Údaje o kybernetických bezpečnostních incidentech, událostech, hrozbách a zranitelnostech jsou vedeny v evidenci podle § 46.

(2) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie⁸), je ve vztahu k této regulované službě povinen v rámci stanoveného rozsahu hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem na poskytování regulované služby; § 15 odst. 1 a 2 se ve věci vymezení incidentů, které je potřeba hlásit, ve vztahu k této regulované službě nepoužijí. Způsob stanovení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví prováděcí předpis Komise. Ve věci způsobu hlášení kybernetických bezpečnostních incidentů se uplatní obecná úprava v § 15 a 16, pokud prováděcí předpis Komise nestanoví zvláštní postup.

(1) Poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu doménových jmen, služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie⁸), služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště⁹), služby internetového vyhledávače podle přímo použitelného předpisu Evropské unie¹⁰), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, je ve vztahu k těmto regulovaným službám povinen v rámci stanoveného rozsahu zavádět a provádět vhodná a přiměřená bezpečnostní opatření zahrnující alespoň řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit, a to v míře a způsobem stanoveným prováděcím předpisem Evropské komise, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2022/2555 (dále jen „prováděcí předpis Komise“), pokud jde o technické a metodické požadavky opatření, která jsou uvedení poskytovatelé regulovaných služeb povinni přijímat; § 13 odst. 2 se ve vztahu k těmto regulovaným službám nepoužije.

(5) Plnění povinností poskytovatele regulované služby uvedené v odstavci 1 vůči regulovaným službám neuvedeným v odstavci 1 není použitím tohoto ustanovení dotčeno.

(3) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie⁸), a který má umístěnu hlavní provozovnu v jiném členském státě Evropské unie nebo ve smluvním státě Dohody o Evropském hospodářském prostoru (dále jen „jiný členský stát“) nebo má v jiném členském státě ustanoveného zástupce, je povinen ve vztahu k této regulované službě plnit povinnosti stanovené tímto zákonem pouze v rozsahu odstavce 1. Povinnosti uložené rozhodnutím nebo opatřením obecné povahy Úřadu na základě tohoto zákona jsou pro poskytovatele regulované služby podle věty první závazné pouze v případě, že tak Úřad v rozhodnutí nebo opatření obecné povahy výslovně stanoví.

(4) Poskytovatel regulované služby uvedené v odstavci 1, který je v režimu vyšších povinností, je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro osoby zařazené do kategorie základních subjektů. Poskytovatel regulované služby uvedené v odstavci 1, který je v režimu nižších povinností, je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro osoby zařazené do kategorie důležitých subjektů.

(1) Pokud to poskytovatel regulované služby považuje z důvodu zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv za vhodné, oznámí bez zbytečného odkladu uživatelům regulované služby kybernetický bezpečnostní incident s významným dopadem, který by mohl negativně ovlivnit poskytování této služby. Úřad může poskytovateli regulované služby, který je dotčen kybernetickým bezpečnostním incidentem s významným dopadem, uložit povinnost nebo zákaz informovat uživatele regulované služby o tomto incidentu. V rozhodnutí o uložení povinnosti nebo zákazu informovat podle předchozí věty stanoví Úřad rozsah informační povinnosti nebo rozsah zákazu.

(2) Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele regulované služby, který může být ovlivněn významnou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší. V případě, že je to možné a vhodné, informuje poskytovatel regulované služby uživatele také o této významné hrozbě.

b) varování a

(1) Protiopatřeními jsou

(2) Každý je povinen poskytovat Úřadu při zajišťování podkladů pro vydání protiopatření nezbytnou součinnost. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.

c) reaktivní protiopatření.

a) výstraha,

(1) Úřad může po konzultaci s dotčeným poskytovatelem regulované služby z důvodu ochrany bezpečnosti České republiky, vnitřního pořádku, života a zdraví nebo majetkové hodnoty informovat veřejnost formou výstrahy o kybernetickém bezpečnostním incidentu nebo o porušování povinností stanovených tímto zákonem, nebo dotčenému poskytovateli regulované služby rozhodnutím uložit, aby tak učinil sám.

(2) Úřad o kybernetickém bezpečnostním incidentu nebo o porušování povinností stanovených tímto zákonem podle odstavce 1 informuje veřejnost prostřednictvím svých internetových stránek a poskytovatele regulovaných služeb informuje v případě, že je to vhodné, prostřednictvím Portálu Úřadu.

(3) Rozhodnutí podle odstavce 1 může být prvním úkonem v řízení a rozklad podaný proti němu nemá odkladný účinek.

(1) Úřad vydá varování, dozví-li se o závažné hrozbě nebo zranitelnosti v oblasti kybernetické bezpečnosti.

(2) Varování Úřad oznámí dotčeným poskytovatelům regulované služby prostřednictvím Portálu Úřadu a zveřejní jej na úřední desce Úřadu. Úřad varování nezveřejní, pokud by zveřejnění mohlo ohrozit zajišťování kybernetické bezpečnosti, jiné oprávněné zájmy státu nebo by na jeho základě bylo možné identifikovat toho, kdo hrozbu, zranitelnost nebo s tím související kybernetický bezpečnostní incident nahlásil.

(2) Reaktivní protiopatření je povinen provádět poskytovatel regulované služby v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.

(1) Úřad vydá rozhodnutí, ve kterém uloží poskytovateli regulované služby povinnost provést reaktivní protiopatření

c) za účelem zvýšení ochrany aktiv na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu.

b) k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, nebo

a) k řešení hrozícího nebo probíhajícího kybernetického bezpečnostního incidentu,

(6) Nestanoví-li Úřad v reaktivním protiopatření jinak, je poskytovatel regulované služby povinen bez zbytečného odkladu, nejpozději ve lhůtě dané reaktivním protiopatřením, oznámit Úřadu provedení reaktivního protiopatření a jeho výsledek.

(3) Rozhodnutí o povinnosti provést reaktivní protiopatření může být prvním úkonem v řízení. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 72 hodin od jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.

(4) Má-li se protiopatření podle odstavce 1 týkat blíže neurčeného okruhu poskytovatelů regulovaných služeb, vydá jej Úřad formou opatření obecné povahy.

(5) Opatření obecné povahy podle odstavce 4 nabývá účinnosti okamžikem jeho vyvěšení na úřední desce Úřadu; ustanovení § 172 správního řádu se nepoužije. O vydání opatření obecné povahy Úřad rovněž vyrozumí poskytovatele regulovaných služeb, kteří jsou jím dotčeni.

(1) Úřad může v případě hrozícího nebo probíhajícího kybernetického bezpečnostního incidentu, který by mohl mít závažný vliv na poskytování regulované služby s dopadem na zachování bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkových hodnot nebo životního prostředí, na podnět poskytovatele regulované služby v režimu vyšších povinností, který marně vyzval svého dodavatele k předání informací a dat, uložit tomuto dodavateli povinnost předat poskytovateli regulované služby informace a data související s provozem aktiv sloužících k poskytování regulované služby. Pokud tento dodavatel informacemi nebo daty souvisejícími s provozem aktiv sloužících k poskytování regulované služby nedisponuje nebo vzhledem ke skutkovým okolnostem není účelné jejich opatření a vydání po něm požadovat, může Úřad povinnost podle věty první uložit každému, kdo požadovanými informacemi a daty disponuje. Úřad může v rozhodnutí podle vět první a druhé určit formát, rozsah, způsob a lhůtu předání těchto informací a dat a stanovit povinnost po jejich předání tyto informace a data a všechny jejich kopie bezpečně zlikvidovat.

(2) Podnět podle odstavce 1 musí obsahovat odůvodnění požadavku s ohledem na hrozící nebo probíhající kybernetický bezpečnostní incident, podrobný popis předchozího jednání mezi dodavatelem a poskytovatelem regulované služby a možné následky, pokud nedojde k předání požadovaných informací a dat.

(3) Rozhodnutí podle odstavce 1 může být prvním úkonem v řízení. Rozklad proti rozhodnutí podle věty první nemá odkladný účinek.

(5) Pro účely exekuce rozhodnutí podle odstavce 1 se informace a data považují za movitou věc.

(4) Dodavatel nebo ten, kdo požadovanými informacemi a daty disponuje, má nárok na úhradu účelně vynaložených nákladů spojených s předáním informací a dat ze strany poskytovatele regulované služby. Jednání o úhradě účelně vynaložených nákladů spojených s předáním informací a dat nesmí být překážkou řádného splnění povinnosti předat informace a data.

(1) Poskytovatel regulované služby je povinen hlásit Úřadu změny regulované služby, dojde-li v jejich důsledku ke splnění podmínek strategicky významné služby podle § 25, a to nejpozději do 60 dnů ode dne, kdy ke změně regulované služby došlo.

(2) Přestane-li regulovaná služba splňovat podmínky strategicky významné služby podle § 25, postupuje se obdobně jako při zrušení registrace regulované služby podle § 10.

(3) Nepominutelnou funkcí je činnost nebo vlastnost aktiva zajišťující provoz strategicky významné služby, jejichž narušení by mohlo mít závažný dopad na poskytování strategicky významné služby.

a) kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle vyhlášky Úřadu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní kritická; kritickou částí stanoveného rozsahu jsou vždy alespoň aktiva stanoveného rozsahu strategicky významné služby, která zajišťují nepominutelné funkce strategicky významné služby,

b) bezpečnostně významnou dodávkou plnění směřující do kritické části stanoveného rozsahu, spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu nebo servisu aktiv, a

c) dodavatelem bezpečnostně významné dodávky ten, kdo poskytovateli strategicky významné služby poskytne přímo nebo jako poddodavatel bezpečnostně významnou dodávku.

(2) Pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce se rozumí

(1) Úřad za účelem prověřování rizik spojených s dodavatelem poskytovatele strategicky významné služby shromažďuje a vyhodnocuje informace a data o tom, kdo přímo nebo zprostředkovaně poskytuje plnění do strategicky významné služby, a které se týkají možné hrozby pro bezpečnost České republiky nebo vnitřní pořádek.

(4) Vláda nařízením stanoví seznam nepominutelných funkcí strategicky významných služeb.

(3) Finanční analytický úřad za účelem shromažďování a vyhodnocování informací a dat podle § 27 odst. 1 poskytne Úřadu na jeho žádost bez zbytečného odkladu, nejpozději do 30 dnů ode dne obdržení žádosti, požadované informace, které získal při své činnosti podle právního předpisu upravujícího opatření proti legalizaci výnosů z trestné činnosti a financování terorismu a právního předpisu upravujícího provádění mezinárodních sankcí.

(2) Nejvyšší státní zastupitelství, Policie České republiky, Úřad pro ochranu hospodářské soutěže a zpravodajské služby České republiky za účelem shromažďování a vyhodnocování informací a dat podle § 27 odst. 1 poskytnou Úřadu na jeho žádost bez zbytečného odkladu, nejpozději do 30 dnů ode dne obdržení žádosti, informace, které získaly při své činnosti.

(1) Ministerstvo průmyslu a obchodu, Ministerstvo zahraničních věcí a Ministerstvo vnitra za účelem shromažďování a vyhodnocování informací a dat podle § 27 odst. 1 poskytnou Úřadu na jeho žádost bez zbytečného odkladu, nejpozději do 30 dnů ode dne obdržení žádosti, stanovisko o rizikovosti dodavatele nebo informace, které získala při své činnosti.

(5) Úřad může od Generálního finančního ředitelství nebo Generálního ředitelství cel požadovat pro účely výkonu své působnosti poskytnutí informací získaných při správě daní, které jsou nezbytné pro prověřování rizik spojených s dodavatelem podle § 27 odst. 1. Generální finanční ředitelství nebo Generální ředitelství cel žádosti vyhoví, ledaže by poskytnutím informací mohlo dojít k narušení řádného výkonu správy daní. Poskytnutí informací podle tohoto ustanovení není porušením povinnosti mlčenlivosti podle daňového řádu; porušením této povinnosti mlčenlivosti není ani použití těchto informací Úřadem podle tohoto zákona.

(4) S výjimkou orgánů uvedených v odstavcích 1 až 3 je každý povinen poskytovat Úřadu nezbytnou součinnost při zajišťování informací potřebných pro shromažďování a vyhodnocování informací a dat podle § 27 odst. 1. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti nebo může-li Úřad požadované informace získat vlastní činností nebo postupem podle odstavců 1 až 3.

(2) Návrh opatření obecné povahy podle odstavce 1 Úřad projedná s orgány uvedenými v § 28 odst. 1 až 3 a s Ministerstvem financí a v případě, že se návrh opatření obecné povahy dotýká jejich působnosti, s Českým telekomunikačním úřadem a Energetickým regulačním úřadem.

(1) Úřad vydá opatření obecné povahy, kterým stanoví poskytovatelům strategicky významných služeb podmínky nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, jestliže se vláda usnese, že je takové opatření obecné povahy nutné z důvodu ochrany bezpečnosti České republiky nebo vnitřního pořádku. Lhůtu pro splnění podmínek nebo dodržení zákazu obsaženého v opatření obecné povahy stanoví Úřad s přihlédnutím k jejich dopadům na poskytovatele strategicky významné služby, přičemž při jejím stanovení Úřad přihlédne k dobám odpisování podle právního předpisu upravujícího zdanění příjmu.

(4) Úřad přezkoumá alespoň jednou za 4 roky skutečnosti, na jejichž základě bylo vydáno opatření obecné povahy podle odstavce 1. Zjistí-li Úřad, že tyto skutečnosti pominuly, zruší opatření obecné povahy podle odstavce 1 postupem podle odstavců 1 až 3 obdobně.

(3) Úřad doručí návrh opatření obecné povahy veřejnou vyhláškou a vyzve dodavatele, vůči jehož plnění opatření obecné povahy míří, a další dotčené osoby, aby k návrhu opatření obecné povahy podávali připomínky. Lhůta pro podání připomínek činí 30 dnů, nestanoví-li Úřad jinak. Ustanovení § 172 odst. 1 a 5 správního řádu se pro postup podle tohoto ustanovení nepoužijí.

(1) Úřad může, pokud to povaha daného ohrožení bezpečnosti České republiky nebo vnitřního pořádku připouští, povolit výjimku z podmínek nebo zákazu stanovených opatřením obecné povahy podle § 29, jestliže by dodržování zákazu vyplývajícího z plnění opatření obecné povahy poskytovatelem strategicky významné služby mohlo podstatným způsobem ohrozit poskytování strategicky významné služby.

(2) Řízení o povolení výjimky podle odstavce 1 se zahajuje na žádost poskytovatele strategicky významné služby. Poskytovatel strategicky významné služby je povinen k žádosti připojit podklady pro vydání rozhodnutí prokazující skutečnosti, kterých se dovolává.

(3) Úřad v rozhodnutí o povolení výjimky stanoví podmínky jejího uplatnění. V případě porušení podmínek pro uplatnění výjimky nebo v případě pominutí důvodu, pro který byla povolena, Úřad výjimku rozhodnutím zruší.

(1) Poskytovatel strategicky významné služby je povinen

(2) Poskytovatel strategicky významné služby plní povinnost hlásit informace podle odstavce 1 nejpozději do 1 roku ode dne, kdy se z regulované služby stala strategicky významná služba.

a) s vynaložením přiměřeného úsilí zjišťovat informace o dodavatelích bezpečnostně významných dodávek,

c) hlásit Úřadu informace podle písmene a) a jejich změny do 10 dnů ode dne jejich zjištění.

b) evidovat informace podle písmene a) alespoň v rozsahu identifikace všech bezpečnostně významných dodávek a dodavatelů bezpečnostně významných dodávek, kteří je poskytují, a

(3) Informace ohlášené Úřadu podle odstavce 1 písm. c) a odstavce 2 a informace zjištěné postupem podle § 27 a 28 jsou součástí evidence dodavatelů bezpečnostně významných dodávek.

(3) Poskytovatel strategicky významné služby začne plnit povinnosti uvedené v odstavcích 1 a 2 pro každou strategicky významnou službu nejpozději do 1 roku ode dne, kdy se z regulované služby stala strategicky významná služba.

(1) Poskytovatel strategicky významné služby je povinen zajišťovat její dostupnost v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.

(2) Poskytovatel strategicky významné služby je povinen prověřovat zajištění jejího poskytování v nezbytném rozsahu z území České republiky nejméně jednou za 2 roky a o tomto prověření vyhotovit záznam.

(4) Nezbytným rozsahem je část strategicky významné služby, jejíž nedostupnost by mohla mít závažný dopad na bezpečnost České republiky nebo vnitřní pořádek. Výčet částí strategicky významných služeb tvořících nezbytný rozsah a způsob jejich vymezení stanoví vláda nařízením.

(6) Čas a kvalitu služby stanoví poskytovatel strategicky významné služby zejména s ohledem na charakter a specifika jím poskytované strategicky významné služby, účel, pro nějž je poskytována, a závažnost dopadů narušení jejího řádného poskytování na uživatele strategicky významné služby. O stanovení času a kvality služby je poskytovatel strategicky významné služby povinen vyhotovit záznam.

(5) Nezbytným rozsahem strategicky významné služby v odvětví veřejná správa není taková část strategicky významné služby, která využívá aktiva, jejichž provoz je zajištěn prostřednictvím cloud computingu, který je možné v odvětví veřejné správy využívat podle zvláštního právního předpisu¹¹).