c) neurčí za účelem vymezení stanoveného rozsahu všechna primární aktiva podle § 12 odst. 2 písm. a) nebo podpůrná aktiva podle § 12 odst. 2 písm. c), nebo jejich určení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,

(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že

a) neohlásí změnu regulované služby podle § 9 odst. 1,

b) neohlásí kontaktní nebo doplňující údaje nebo jejich změnu podle § 11,

f) nezavede nebo neprovede bezpečnostní opatření podle § 13 odst. 2 nebo § 18 odst. 1,

g) nevybírá svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo nezahrnuje požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem v rozporu s § 13 odst. 5,

h) nepředloží prvotní hlášení o incidentu podle § 16 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 16 odst. 3 nebo nenahlásí kybernetický bezpečnostní incident podle § 18 odst. 2,

i) neposkytne informace nebo součinnost při zvládání incidentu podle § 17 odst. 3,

j) nesplní povinnost nebo zákaz informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovené rozhodnutím podle § 19 odst. 1,

k) neinformuje uživatele regulované služby o významné hrozbě nebo krocích, které může uživatel služby učinit v reakci na ni podle § 19 odst. 2,

m) nesplní reaktivní protiopatření uložené podle § 23 odst. 1 nebo § 23 odst. 4,

l) nesplní povinnost uloženou rozhodnutím o výstraze podle § 21 odst. 1,

n) neoznámí provedení reaktivního protiopatření nebo jeho výsledek podle § 23 odst. 6, nebo

o) nesplní povinnost uloženou nápravným opatřením podle § 56 odst. 1.

d) neposoudí za účelem vymezení stanoveného rozsahu, zda primární aktiva určená podle § 12 odst. 2 písm. a) souvisí s poskytováním regulované služby nebo toto posouzení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,

e) neeviduje aktiva podle § 12 odst. 3,

a) neohlásí změnu regulované služby podle § 9 odst. 1,

(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že

c) neurčí za účelem vymezení stanoveného rozsahu všechna primární aktiva podle § 12 odst. 2 písm. a) nebo podpůrná aktiva podle § 12 odst. 2 písm. c), nebo jejich určení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,

b) neohlásí kontaktní nebo doplňující údaje nebo jejich změnu podle § 11,

k) neinformuje uživatele regulované služby o významné hrozbě nebo krocích, které může uživatel služby učinit v reakci na ni podle § 19 odst. 2,

d) neposoudí za účelem vymezení stanoveného rozsahu, zda primární aktiva určená podle § 12 odst. 2 písm. a) souvisí s poskytováním regulované služby, nebo toto posouzení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,

e) neeviduje aktiva podle § 12 odst. 3,

f) nezavede nebo neprovede bezpečnostní opatření podle § 13 odst. 2 nebo § 18 odst. 1,

g) nevybírá svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo nezahrnuje požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem v rozporu s § 13 odst. 5,

h) nepředloží prvotní hlášení o incidentu podle § 16 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 16 odst. 3 nebo nenahlásí kybernetický bezpečnostní incident podle § 18 odst. 2,

i) neposkytne informace nebo součinnost při zvládání incidentu podle § 17 odst. 3,

j) nesplní povinnost nebo zákaz informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovené rozhodnutím podle § 19 odst. 1,

l) nesplní povinnost uloženou rozhodnutím o výstraze podle § 21 odst. 1,

m) nesplní reaktivní protiopatření uložené podle § 23 odst. 1 nebo § 23 odst. 4,

n) neoznámí provedení reaktivního protiopatření nebo jeho výsledek podle § 23 odst. 6, nebo

o) nesplní povinnost uloženou nápravným opatřením podle § 56 odst. 1.

g) neprověří zajištění poskytování strategicky významné služby podle § 33 odst. 2 nebo o něm nevede záznam, nebo

h) nestanoví čas a kvalitu dostupnosti strategicky významné služby z území České republiky nebo o tom nevede záznam podle § 33 odst. 6.

b) poruší podmínku nebo zákaz uložené Úřadem v opatření obecné povahy podle § 29,

(3) Poskytovatel regulované služby se dále jako poskytovatel strategicky významné služby dopustí přestupku tím, že

a) neohlásí změnu regulované služby podle § 26 odst. 1,

c) nezjišťuje informace o dodavateli bezpečnostně významné dodávky podle § 31 odst. 1 písm. a),

d) neeviduje informace o dodavateli bezpečnostně významné dodávky podle § 31 odst. 1 písm. b),

e) neohlásí Úřadu informace o dodavateli bezpečnostně významné dodávky nebo jejich změnu podle § 31 odst. 1 písm. c),

f) nezajistí dostupnost strategicky významné služby z území České republiky ve stanoveném čase nebo kvalitě podle § 33 odst. 1,

c) 100 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. b) nebo odstavce 3 písm. c), d) nebo h),

e) 35 000 000 Kč, jde-li o přestupek podle odstavce 2 písm. n).

(4) Za přestupek lze uložit pokutu do

a) 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem podle čl. 101 a 102 Smlouvy o fungování Evropské unie, jehož je obviněný součástí, za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 1 písm. a), c) až m) a o), nebo odstavce 3 písm. a), b), f) nebo g),

b) 175 000 000 Kč nebo až do výše 1,4 % čistého celosvětového ročního obratu dosaženého podnikem podle čl. 101 a 102 Smlouvy o fungování Evropské unie, jehož je obviněný součástí, za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 písm. a), c) až m) nebo o),

d) 50 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. n), odstavce 2 písm. b), nebo odstavce 3 písm. e), nebo