Výkon veřejné správy v oblasti kybernetické bezpečnosti

(2) V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává. Ředitel Úřadu je ze své funkce odpovědný vládě.

(1) Úřad je ústředním správním úřadem pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Sídlem Úřadu je Brno. Příjmy a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu.

k) stanovuje opatřením obecné povahy podmínky nebo zakazuje využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu,

(3) Úřad

(4) Úřad dále

(5) Úřad dále

c) v oblasti kybernetické bezpečnosti a v souvislosti s ní

d) určuje podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu prvky kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, nebo zasílá Ministerstvu vnitra návrh prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, jejichž provozovatelem je organizační složka státu, a každé 2 roky ověřuje jejich aktuálnost,

e) plní povinnosti vůči Evropské komisi, Agentuře Evropské unie pro kybernetickou bezpečnost, Agentuře Evropské unie pro Kosmický program, Skupině pro spolupráci, Síti Computer Security Incident Response Team (dále jen „Síť CSIRT“), Evropské síti styčných organizací pro řešení kybernetických krizí a dalším subjektům podle příslušného předpisu Evropské unie¹³),

f) je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie a zajišťuje vysílání zástupců do Skupiny pro spolupráci, Sítě CSIRT a Evropské sítě styčných organizací pro řešení kybernetických krizí,

g) se podílí v případě potřeby na procesu vzájemného hodnocení a tvorby metodiky a organizačních aspektů vzájemného hodnocení vypracovaných Skupinou pro spolupráci,

h) vykonává působnost v oblasti veřejně regulované služby Evropského programu družicové navigace Galileo, zejména plní funkce příslušného orgánu veřejně regulované služby (PRS) podle příslušného předpisu Evropské unie¹⁴),

i) vykonává působnost v oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb v rámci Kosmického programu Evropské unie, zejména plní funkce příslušného orgánu pro družicovou komunikaci v rámci státní správy (GOVSATCOM) podle přímo použitelného předpisu Evropské unie¹⁵),

j) vykonává působnost v oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb v rámci Programu Evropské unie pro bezpečnou konektivitu, zejména plní funkce příslušného orgánu pro bezpečnou konektivitu podle přímo použitelného předpisu Evropské unie¹⁶),

k) je vnitrostátním orgánem certifikace kybernetické bezpečnosti podle přímo použitelného předpisu Evropské unie¹⁷),

l) působí jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti pro Českou republiku podle přímo použitelného předpisu Evropské unie¹⁸),

m) zřizuje a podporuje platformy sloužící ke sdílení informací v oblasti kybernetické bezpečnosti a stanovuje pravidla jejich fungování a

n) plní další úkoly stanovené tímto zákonem a zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti.

a) koordinuje, analyzuje a preventivně působí ve vztahu k

b) působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu vyšších povinností,

c) testuje zavedení a odolnost zabezpečení aktiv, včetně provádění penetračních testů se souhlasem toho, kdo je testováním dotčen,

d) je koordinátorem pro účely koordinovaného zveřejňování zranitelností,

e) vede evidenci kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí, hrozeb a zranitelností,

f) spolupracuje v oblasti kybernetické bezpečnosti,

g) poskytuje konzultace v oblasti kybernetické bezpečnosti,

h) přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,

i) sdílí údaje a informace ze své činnosti a z evidencí vedených Úřadem, je-li to nezbytné pro zajišťování kybernetické bezpečnosti; pro takto sdílené údaje a informace stanoví závaznou úroveň ochrany,

j) plní roli CSIRT týmu a zastupuje Českou republiku a podílí se na fungování relevantních mezinárodních uskupení a sdružení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,

k) předává ve vhodných případech bez zbytečného odkladu informace o kybernetickém bezpečnostním incidentu s významným dopadem týkajícím se 2 nebo více členských států Evropské unie nebo smluvních států Dohody o Evropském hospodářském prostoru nahlášeném podle § 15 a 16 dotčeným členským státům Evropské unie nebo smluvním státům Dohody o Evropském hospodářském prostoru a Agentuře Evropské unie pro kybernetickou bezpečnost, přičemž zachovává důvěrnost poskytnutých informací, bezpečnost a obchodní zájmy ohlašovatele,

l) spolupracuje na výzkumu a vývoji kybernetických bezpečnostních nástrojů a řešení a

m) upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.

1. spolupracuje s těmi, kdo působí v této oblasti a v oblasti kybernetické obrany, zejména s veřejnoprávními korporacemi, výzkumnými a vývojovými pracovišti a s ostatními pracovišti typu CERT,

2. zajišťuje mezinárodní spolupráci v souladu s právními předpisy upravujícími činnost ústředních správních úřadů,

3. plní další úkoly v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z dalších mezinárodních smluv, jimiž je Česká republika vázána, a to v souladu s právními předpisy upravujícími činnost ústředních správních úřadů,

4. zajišťuje prevenci, vzdělávání a metodickou podporu a

5. zajišťuje výzkum a vývoj,

1. hrozbám v oblasti kybernetické bezpečnosti,

2. zranitelnostem v oblasti kybernetické bezpečnosti, včetně vyhledávání zranitelností,

3. kybernetickým bezpečnostním událostem a

4. kybernetickým bezpečnostním incidentům, včetně podpory při jejich zvládání,

a) přijímá ohlášení regulované služby nebo její změny,

b) rozhoduje o registraci regulované služby,

c) rozhoduje o zrušení registrace regulované služby,

d) přijímá hlášení kontaktních a doplňujících údajů a jejich změn,

e) stanovuje bezpečnostní opatření odpovídající režimu poskytovatele regulované služby,

f) spravuje a provozuje Portál Úřadu,

g) informuje v souladu s postupy podle tohoto zákona veřejnost o kybernetickém bezpečnostním incidentu,

h) vydává protiopatření a přijímá oznámení o jejich provedení a výsledku,

i) vede evidence podle tohoto zákona,

j) vydává rozhodnutí o povinnosti předat poskytovateli regulované služby v režimu vyšších povinností informace a data související s provozem aktiv sloužících k poskytování regulované služby,

l) přezkoumává trvání skutečností, na jejichž základě bylo vydáno opatření obecné povahy podle písmene k),

m) rozhoduje o žádostech o výjimku a povoluje výjimku z podmínek nebo zákazu stanovených opatřením obecné povahy podle § 29,

n) sjednává smlouvy a zápisy o sdílení lidských zdrojů a věcných prostředků za účelem plnění povinností a naplňování pravomocí Úřadu stanovených mu tímto zákonem,

o) vyhlašuje, řídí a koordinuje stav kybernetického nebezpečí, ukládá povinnosti a rozhoduje o opatřeních k odvracení stavu kybernetického nebezpečí,

p) rozhoduje během stavu kybernetického nebezpečí o opatřeních určených k řešení a nápravě stavu kybernetického nebezpečí,

q) se průběžně připravuje na zajištění řešení a nápravy stavu kybernetického nebezpečí,

r) uzavírá veřejnoprávní smlouvu s provozovatelem Národního CERT,

s) provádí kontrolu plnění povinností podle tohoto zákona a ukládá nápravná opatření,

t) ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,

u) poskytuje nezbytnou součinnost na základě žádosti dozorového orgánu jiného členského státu,

v) vydává rozhodnutí o pozastavení platnosti evropského certifikátu kybernetické bezpečnosti nebo o povinnosti subjektu posuzování shody pozastavit platnost certifikátu nebo osvědčení podle § 57 a

w) vydává rozhodnutí o zákazu výkonu funkce nebo o jeho skončení podle § 58.

a) provádí analýzu a monitoring hrozeb a rizik,

b) zpracuje nejméně každých 5 let a předloží vládě ke schválení národní strategii kybernetické bezpečnosti a akční plán k jejímu naplňování,

(2) Činnosti Národního CERT uvedené v odstavci 1 vykonává provozovatel Národního CERT, který přitom postupuje nestranně.

(1) Národní CERT

f) informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování regulované služby v tomto jiném členském státu a zároveň o tom informuje Úřad, přičemž dbá na bezpečnost a jiné oprávněné zájmy ohlašovatele,

g) přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,

h) plní roli CSIRT týmu a podílí se na fungování mezinárodních uskupení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,

i) se v případě potřeby podílí na procesu vzájemného hodnocení a

j) upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.

a) zajišťuje v rozsahu tohoto zákona sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti a působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu nižších povinností,

b) přijímá hlášení o kybernetických bezpečnostních incidentech, kybernetických bezpečnostních událostech, hrozbách a zranitelnostech v oblasti kybernetické bezpečnosti a tyto údaje zaznamenává, vyhodnocuje, uchovává a chrání,

c) poskytuje poskytovatelům regulovaných služeb v režimu nižších povinností metodickou podporu, pomoc a součinnost při výskytu a zvládání kybernetického bezpečnostního incidentu s významným dopadem a při zveřejňování informací o zranitelnostech v oblasti kybernetické bezpečnosti,

d) provádí vyhledávání a hodnocení zranitelností v oblasti kybernetické bezpečnosti,

e) předává Úřadu údaje o nahlášených hrozbách, kybernetických bezpečnostních událostech, kybernetických bezpečnostních incidentech podle § 15 a zranitelnostech v oblasti kybernetické bezpečnosti,

c) má technické předpoklady k výkonu činností podle odstavce 1,

d) je členem nadnárodní organizace působící v oblasti kybernetické bezpečnosti,

e) nemá v České republice evidován nedoplatek, s výjimkou nedoplatku, u kterého je povoleno posečkání jeho úhrady nebo rozložení jeho úhrady na splátky,

(3) Provozovatel Národního CERT vykonává činnosti podle odstavce 1 písm. a), b) a e) až h) bezúplatně. Provozovatel Národního CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v odstavci 1 nezbytné náklady.

f) nebyla pravomocně odsouzena za spáchání trestného činu, pokud se na ní nehledí, jako by nebyla odsouzena,

g) nemá sídlo mimo území České republiky,

h) nevykonává v oblasti kybernetické bezpečnosti činnosti neupravené tímto zákonem, které by mohly narušit plnění povinností uvedených v odstavci 1, a

i) je držitelem platného osvědčení podnikatele pro přístup k utajovaným informacím pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti.

a) čestného prohlášení o skutečnostech podle odstavce 4 písm. a) až d) a g) a h), z jehož obsahu musí být zřejmé, že uchazeč splňuje příslušné předpoklady,

b) výpisu z rejstříku trestů v případě odstavce 4 písm. f), který nesmí být starší než 3 měsíce,

c) potvrzení příslušné zdravotní pojišťovny v případě odstavce 4 písm. e) bodu 3 a příslušné okresní správy sociálního zabezpečení v případě odstavce 4 písm. e) bodu 4, která nesmí být starší než 30 dnů, a

(4) Provozovatelem Národního CERT může být pouze právnická osoba, která

(5) Předpokladem pro provozování Národního CERT je uzavření veřejnoprávní smlouvy podle § 53. Zájemce o provozování Národního CERT prokazuje splnění podmínek uvedených v odstavci 4 předložením

(6) Úřad zveřejní na svých internetových stránkách údaje o provozovateli Národního CERT, a to jeho obchodní firmu nebo název, adresu sídla, identifikační číslo osoby, identifikátor datové schránky a adresu jeho internetových stránek.

d) platného osvědčení podnikatele pro přístup k utajovaným informacím minimálně pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti.

4. na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti,

1. u orgánů Finanční správy České republiky,

2. u orgánů Celní správy České republiky,

3. na pojistném a na penále na veřejné zdravotní pojištění a

a) nevyvíjí ani nevyvíjela činnost proti zájmu České republiky podle právních předpisů upravujících ochranu utajovaných informací,

b) spravuje a provozuje relevantní technická aktiva nebo se na jejich správě a provozu podílí, a to nejméně po dobu 5 let,