(1) Úřad vydá rozhodnutí, ve kterém uloží poskytovateli regulované služby povinnost provést reaktivní protiopatření

(2) Reaktivní protiopatření je povinen provádět poskytovatel regulované služby v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.

a) k řešení hrozícího nebo probíhajícího kybernetického bezpečnostního incidentu,

b) k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, nebo

c) za účelem zvýšení ochrany aktiv na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu.

(6) Nestanoví-li Úřad v reaktivním protiopatření jinak, je poskytovatel regulované služby povinen bez zbytečného odkladu, nejpozději ve lhůtě dané reaktivním protiopatřením, oznámit Úřadu provedení reaktivního protiopatření a jeho výsledek.

(3) Rozhodnutí o povinnosti provést reaktivní protiopatření může být prvním úkonem v řízení. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 72 hodin od jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.

(4) Má-li se protiopatření podle odstavce 1 týkat blíže neurčeného okruhu poskytovatelů regulovaných služeb, vydá jej Úřad formou opatření obecné povahy.

(5) Opatření obecné povahy podle odstavce 4 nabývá účinnosti okamžikem jeho vyvěšení na úřední desce Úřadu; ustanovení § 172 správního řádu se nepoužije. O vydání opatření obecné povahy Úřad rovněž vyrozumí poskytovatele regulovaných služeb, kteří jsou jím dotčeni.