Nástroje výkonu veřejné správy

(1) Úřad je správcem a provozovatelem Portálu Úřadu. Portál Úřadu slouží k provádění činností podle tohoto zákona, kterými jsou výkon pravomocí Úřadu, sdílení informací, provádění digitálních úkonů a poskytování digitálních služeb podle právního předpisu upravujícího digitální služby.

(2) Úkony podle § 6 odst. 1, § 9 odst. 1, § 10 odst. 2, § 11, § 15 odst. 1 a 2, § 23 odst. 6, § 26 odst. 1 a § 31 odst. 1 písm. c) je nezbytné provádět výlučně elektronicky s využitím dálkového přístupu prostřednictvím formulářových podání. Jiným způsobem lze tyto úkony provést pouze tehdy, připouští-li to ustanovení tohoto zákona a není-li z důvodů nezávislých na vůli osoby provádějící úkon možné využít k provedení úkonu Portál Úřadu. Úkon, který nebude proveden způsobem podle věty první nebo druhé, ve formátu a struktuře stanovené vyhláškou Úřadu, je neúčinný.

(3) Technické a organizační podmínky používání Portálu Úřadu, obsahové náležitosti, formát, strukturu a způsob provedení úkonů podle odstavce 2 stanoví Úřad vyhláškou.

a) regulovaných služeb včetně jejich poskytovatelů a jimi hlášených údajů,

g) provedených kontrol a protokolů o kontrole.

f) penetračních testů a

(2) Úřad poskytuje v odůvodněných případech údaje z evidencí orgánům veřejné moci na jejich žádost, je-li to nezbytné pro výkon jejich působnosti. Poskytnuté údaje je možné využít jen pro potřeby, které byly uvedeny v žádosti. Orgán veřejné moci vynaloží přiměřené úsilí k zajištění bezpečnosti informací takto poskytnutých údajů.

e) koordinovaného zveřejňování zranitelností,

d) dodavatelů bezpečnostně významných dodávek,

c) kybernetických bezpečnostních incidentů, událostí, hrozeb a zranitelností,

b) osob poskytujících služby registrace doménových jmen a jimi hlášených údajů,

(1) Úřad vede evidenci

(4) Zaměstnanci Úřadu jsou vázáni povinností mlčenlivosti o údajích z evidencí podle odstavce 1 písm. c) až f). Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu. Ředitel Úřadu může osoby uvedené v tomto odstavci zprostit povinnosti mlčenlivosti, a to s uvedením rozsahu údajů a rozsahu zproštění.

(3) Úřad může v odůvodněných případech poskytovat údaje z evidencí Národnímu CERT a těm, kdo vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí a těm, kdo působí v oblasti kybernetické bezpečnosti, v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.

(2) Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie přijatým na základě aktu o kybernetické bezpečnosti.

(3) Úřad rozhoduje o pozastavení, omezení nebo odebrání autorizace, pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti nebo přímo použitelného předpisu Evropské unie přijatého na základě aktu o kybernetické bezpečnosti.

(4) V rozhodnutí o pozastavení autorizace podle odstavce 3 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení autorizace. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nezjedná nápravu, rozhodne Úřad o omezení nebo odebrání autorizace.

(5) Úřad rozhodne v řízení o žádosti o autorizaci podle odstavce 1 nejpozději do 120 dnů ode dne zahájení řízení, v mimořádných případech do 180 dnů.

(1) Stanoví-li přímo použitelný předpis Evropské unie přijatý na základě nařízení Evropského parlamentu a Rady (EU) 2019/881 (dále jen „akt o kybernetické bezpečnosti“) konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti rozhoduje o žádostech o autorizaci subjektu posuzování shody; to platí i pro řízení podle odstavce 3.

(1) Úřad jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti posuzuje podle přímo použitelného předpisu Evropské unie¹⁹) způsobilost žadatele o registraci členství v Komunitě kompetencí pro kybernetickou bezpečnost²⁰) (dále jen „komunita“).

(2) Členem komunity může být ten, kdo má

(3) Žádost o registraci členství v komunitě se podává elektronicky prostřednictvím formuláře zveřejněného na internetových stránkách Úřadu.

(4) Žadatel o registraci členství v komunitě je povinen v žádosti podle odstavce 3 uvést pravdivé a úplné údaje potřebné pro posouzení jeho základní a zvláštní způsobilosti Úřadem. Po dobu trvání členství v komunitě je člen komunity povinen nahlásit změnu těchto údajů nebo skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti, a to ve lhůtě 30 dnů ode dne, kdy tato změna nebo skutečnost nastala.

a) základní způsobilost a

b) zvláštní způsobilost.

c) výpisem ze zahraniční evidence obdobné evidenci skutečných majitelů, který nesmí být starší než 30 dnů, v případě, že skutečným majitelem žadatele o registraci členství v komunitě nebo člena komunity je osoba usazená na území členského státu Evropské unie nebo členského státu Evropského sdružení volného obchodu.

(1) Základní způsobilost má ten, kdo

(2) Základní způsobilost nemá ten, kdo

(3) Základní způsobilost dále nemá ten, pro využití jehož plnění byly podle § 29 odst. 1 Úřadem stanoveny podmínky v opatření obecné povahy, nebo bylo využití jeho plnění opatřením obecné povahy podle § 29 odst. 1 zakázáno.

(4) Bezúhonnost podle odstavce 1 písm. c) se dokládá výpisem z rejstříku trestů a dále dokladem prokazujícím splnění podmínky bezúhonnosti vydaným státem, ve kterém se fyzická osoba zdržovala v posledních 5 letech nepřetržitě déle než 3 měsíce nebo právnická osoba vykonávala činnost v posledních 5 letech alespoň po dobu 3 měsíců, zejména výpisem z evidence trestů nebo rovnocenným dokladem vydaným příslušným soudním nebo správním orgánem tohoto státu, nebo výpisem z rejstříku trestů, v jehož příloze jsou tyto informace obsaženy, nebo čestným prohlášením, nevydává-li cizí stát výpis nebo doklad podle tohoto odstavce. Výpis z rejstříku trestů a další doklady, jimiž se dokládá bezúhonnost, nesmí být starší 3 měsíců. Za účelem doložení bezúhonnosti si Úřad vyžádá podle právního předpisu upravujícího evidenci fyzických a právnických osob pravomocně odsouzených soudy v trestním řízení výpis z rejstříku trestů. Žádost o vydání výpisu z rejstříku trestů a výpis z rejstříku trestů se předávají v elektronické podobě, a to způsobem umožňujícím dálkový přístup.

(5) Základní způsobilost se prokazuje

a) má sídlo na území České republiky,

b) není zapsán na vnitrostátním sankčním seznamu²¹), nebo vůči němu Česká republika neuplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí,

c) je bezúhonný; za bezúhonného se považuje ten, kdo nebyl pravomocně odsouzen pro trestný čin, jehož skutková podstata souvisí s jeho předmětem podnikání, nebo pro trestný čin hospodářský, trestný čin proti majetku, trestný čin obecně nebezpečný, trestný čin proti České republice, cizímu státu a mezinárodní organizaci, trestný čin proti pořádku ve věcech veřejných a trestný čin proti lidskosti, proti míru a válečný trestný čin, nehledí-li se na něj, jako by nebyl odsouzen; je-li žadatelem o registraci členství v komunitě nebo členem komunity právnická osoba, musí podmínku bezúhonnosti splňovat tato právnická osoba a zároveň každý člen jejího statutárního orgánu; je-li členem statutárního orgánu žadatele právnická osoba, musí podmínku bezúhonnosti splňovat

d) nemá v České republice evidován nedoplatek, s výjimkou nedoplatku, u kterého je povoleno posečkání jeho úhrady nebo rozložení jeho úhrady na splátky

e) není v likvidaci²²), není v úpadku, není proti němu vedené insolvenční řízení a není vůči němu nařízena nucená správa podle jiného právního předpisu²³).

a) má skutečného majitele a nebylo možné zjistit údaje o jeho skutečném majiteli z úplného výpisu platných údajů a údajů, které byly vymazány bez náhrady nebo s nahrazením novými údaji, podle právního předpisu upravujícího evidenci skutečných majitelů²⁴) (dále jen „skutečný majitel“) z evidence skutečných majitelů podle téhož právního předpisu (dále jen „evidence skutečných majitelů“), nebo

b) má skutečného majitele, který je zapsán na vnitrostátním sankčním seznamu²¹), nebo vůči němu Česká republika uplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí.

a) předložením potvrzení příslušné zdravotní pojišťovny v případě odstavce 1 písm. d) bodu 3 a příslušné okresní správy sociálního zabezpečení v případě odstavce 1 písm. d) bodu 4, která nesmí být starší než 30 dnů,

b) čestným prohlášením, že žadatel o registraci členství v komunitě nebo člen komunity není v úpadku v případě odstavce 1 písm. e), pokud proti němu není zahájeno insolvenční řízení, a

1. tato právnická osoba,

2. každý člen statutárního orgánu této právnické osoby,

3. osoba zastupující tuto právnickou osobu ve statutárním orgánu žadatele o registraci členství v komunitě nebo člena komunity,

1. u orgánů Finanční správy České republiky,

2. u orgánů Celní správy České republiky,

3. na pojistném a na penále na veřejné zdravotní pojištění,

4. na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti a

(1) V případě, že má žadatel o registraci členství v komunitě základní a zvláštní způsobilost k členství v komunitě podle § 49 a 50, Úřad postoupí žádost žadatele registrujícímu orgánu podle přímo použitelného předpisu Evropské unie¹⁸) (dále jen „registrující orgán“).

(2) Úřad zahájí řízení o nezpůsobilosti žadatele k registraci členství v komunitě, pokud žadatel o registraci členství v komunitě nesplňuje podmínky základní a zvláštní způsobilosti podle § 49 a 50.

(4) Po právní moci rozhodnutí o nezpůsobilosti žadatele k registraci členství v komunitě vydaného v řízení podle odstavce 2 Úřad postoupí registrujícímu orgánu žádost žadatele o registraci členství v komunitě a současně vyrozumí registrující orgán o nezpůsobilosti žadatele k registraci členství v komunitě.

(3) Úřad o nezpůsobilosti žadatele o registraci členství v komunitě vydá rozhodnutí. Pokud se prokáže, že žadatel má základní a zvláštní způsobilost k členství v komunitě podle § 49 a 50, Úřad řízení o jeho nezpůsobilosti zastaví.

(1) Úřad průběžně posuzuje splnění podmínek základní a zvláštní způsobilosti člena komunity podle § 49 a 50 po celou dobu trvání jeho členství v komunitě.

(2) V případě, že člen komunity nesplňuje podmínky základní a zvláštní způsobilosti podle § 49 a 50, zahájí Úřad řízení o jeho nezpůsobilosti k trvání členství v komunitě.

(3) Úřad o nezpůsobilosti člena komunity k trvání členství v komunitě vydá rozhodnutí. Pokud se prokáže, že člen komunity nadále má základní a zvláštní způsobilost podle § 49 a 50, Úřad řízení zastaví.

(4) Po právní moci rozhodnutí o nezpůsobilosti člena komunity k trvání členství v komunitě vydaného v řízení podle odstavce 2 Úřad vyrozumí registrující orgán o jeho nezpůsobilosti k trvání členství v komunitě.

(1) Úřad uzavře veřejnoprávní smlouvu s právnickou osobou vybranou postupem podle § 163 odst. 4 správního řádu za účelem spolupráce v oblasti kybernetické bezpečnosti a zajištění činností podle § 43 odst. 1 (dále jen „veřejnoprávní smlouva“). Řízení o výběru žádosti vyhlašuje Úřad.

(2) Veřejnoprávní smlouva obsahuje alespoň

(3) Veřejnoprávní smlouvu uzavřenou podle odstavce 1 Úřad zveřejňuje na úřední desce Úřadu, s výjimkou těch částí veřejnoprávní smlouvy, jejichž zveřejnění neumožňuje jiný právní předpis.

(4) Není-li uzavřena veřejnoprávní smlouva podle odstavce 1, nebo v případě zániku závazku, vykonává činnost Národního CERT Úřad.

b) vymezení předmětu smlouvy,

c) práva a povinnosti smluvních stran,

d) podmínky spolupráce smluvních stran,

e) způsob a podmínky odstoupení smluvních stran od veřejnoprávní smlouvy,

f) výpovědní lhůtu a výpovědní důvody,

h) vymezení podmínek pro výkon činnosti Národního CERT podle § 43 odst. 1 písm. h) a

i) způsob předání a rozsah údajů předávaných Úřadu v případě zániku závazku.

a) označení smluvních stran,

g) zákaz zneužití údajů získaných v souvislosti s výkonem činností uvedených v § 43 odst. 1,

b) provedení kontroly nebo jiných úkonů vůči poskytovateli regulované služby, nebo

a) není-li příslušný nebo nemá-li pravomoc provést požadovaný úkon,

b) je-li žádost o součinnost s ohledem na kapacity Úřadu zjevně nepřiměřená, nebo

c) týká-li se žádost informací nebo zahrnuje-li činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy České republiky v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.

(6) Odstavce 3 a 4 se použijí i vůči osobě poskytující službu registrace doménových jmen v rámci České republiky.

(1) Úřad spolupracuje při uplatňování tohoto zákona s příslušnými orgány jiných členských států, zejména může poskytovat a žádat součinnost ve formě

(2) Úřad žádost o součinnost odmítne,

(3) Poskytuje-li poskytovatel regulované služby, který má umístěnu hlavní provozovnu v jiném členském státě, v rámci České republiky službu uvedenou v § 18 odst. 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie⁸), Úřad může vůči této osobě ve vztahu k poskytování uvedené regulované služby provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.

(4) Nachází-li se v rámci České republiky aktiva sloužící k poskytování některé z regulovaných služeb uvedených v § 18 odst. 1, s výjimkou regulované služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie⁸), ale poskytovatel regulované služby má umístěnu svou hlavní provozovnu v jiném členském státě, Úřad může ve vztahu k těmto aktivům sloužícím k poskytování uvedených regulovaných služeb provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.

(5) Umístěním hlavní provozovny se rozumí místo ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru, kde osoba poskytující služby uvedené v odstavci 3 převážně přijímá rozhodnutí související s řízením rizik v oblasti kybernetické bezpečnosti, zejména sídlo společnosti. Nelze-li takové místo určit podle věty první, nebo nejsou-li taková rozhodnutí přijímána ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru, má se za to, že je hlavní provozovna umístěna v členském státu, kde se provádějí faktické úkony vedoucí k zajištění kybernetické bezpečnosti. Nelze-li takové místo určit podle věty první a druhé, má se za to, že je hlavní provozovna umístěna ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru, kde má osoba provozovnu s nejvyšším počtem zaměstnanců.

a) sdílení informací,

c) koordinace při kontrolách poskytovatelů regulovaných služeb poskytujících regulované služby i v jiných členských státech, včetně možnosti přizvání zástupců příslušných orgánů jiného členského státu k účasti na kontrole.