USTANOVENÍ SPOLEČNÁ, PŘECHODNÁ A ZÁVĚREČNÁ

(1) Orgány veřejné moci jsou povinny bez zbytečného odkladu poskytnout Úřadu součinnost potřebnou k výkonu jeho působnosti podle tohoto zákona. Orgány veřejné moci a Úřad při výkonu působnosti podle tohoto zákona vzájemně spolupracují, jsou oprávněny si vyžadovat stanoviska k připravovaným rozhodnutím vydávaným v mezích jejich působnosti a usilují při tom o dosažení shody těchto stanovisek. Orgány veřejné moci a Úřad dále v rozsahu, který je nezbytný pro výkon působnosti orgánů veřejné moci a Úřadu, sdílí informace o hrozbách, zranitelnostech a incidentech a o opatřeních přijatých v reakci na tyto hrozby, zranitelnosti a incidenty. Ustanovení § 46 odst. 2 a 3 tím nejsou dotčena. Plnění těchto povinností mohou orgány činné v trestním řízení v nezbytně nutném rozsahu omezit nebo na nezbytně nutnou dobu odložit, pokud by poskytnutím součinnosti došlo k ohrožení nebo zmaření účelu trestního řízení.

(2) Každý, u koho lze důvodně předpokládat, že splňuje podmínky pro registraci regulované služby, je povinen bez zbytečného odkladu, a nestanoví-li jiný právní předpis jinak, i bez úplaty poskytnout informace nezbytné k posouzení splnění těchto podmínek a další nezbytnou součinnost. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti.

(3) Ministerstva, jiné ústřední správní úřady a Česká národní banka, odpovědné za určování prvků kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu, bez zbytečného odkladu informují Úřad o určení prvků kritické infrastruktury a o důvodech určení.

(4) Úřad může od Generálního finančního ředitelství požadovat pro účely výkonu své působnosti poskytnutí informací získaných při správě daní, které jsou nezbytné pro zjištění, zda posuzovaný splňuje podmínky pro registraci regulované služby podle § 4 odst. 1. Generální finanční ředitelství žádosti vyhoví, ledaže by poskytnutím informací mohlo dojít k narušení řádného výkonu správy daní. Poskytnutí informací podle tohoto ustanovení není porušením povinnosti mlčenlivosti podle daňového řádu; porušením této povinnosti mlčenlivosti není ani použití těchto informací Úřadem podle tohoto zákona.

(5) Úřad a Úřad pro ochranu osobních údajů jsou vzájemně oprávněny požadovat informace a vyžadovat spolupráci za účelem zamezení dvojího trestání porušení téže povinnosti uložené jak tímto zákonem, tak právními předpisy upravujícími ochranu osobních údajů. Ukládání jiných sankcí podle tohoto zákona tím není dotčeno.

(6) Pro účely výkonu působnosti Úřadu podle tohoto zákona umožní Ministerstvo spravedlnosti Úřadu získat způsobem umožňujícím dálkový přístup z evidence skutečných majitelů úplný výpis platných údajů a údajů, které byly vymazány bez náhrady nebo s nahrazením novými údaji podle právního předpisu upravujícího evidenci skutečných majitelů²⁴).

(1) Úřad za účelem plnění informační povinnosti

(2) Úřad za účelem plnění informační povinnosti podle odstavce 1 neposkytuje informace, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států Evropské unie nebo smluvních států Dohody o Evropském hospodářském prostoru v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany. Informace, které jsou důvěrné podle unijních nebo vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Evropskou komisí a jinými příslušnými orgány Evropské unie pouze v nezbytném rozsahu s ohledem na účel této výměny. Při výměně informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy toho, jehož se výměna informací týká.

(1) Části písemností a záznamů, které obsahují utajované informace nebo informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti, opatření obecné povahy podle § 29 nebo zmařit účel trestního řízení, uchovává Úřad v řízeních podle § 21 až 23, § 29 a 30 odděleně mimo spis.

(2) V soudním řízení o přezkumu rozhodnutí nebo opatření obecné povahy vydaném v řízení podle § 21 až 23, § 29 a 30 předseda senátu rozhodne, že účastníku řízení umožní v nezbytném rozsahu přístup k částem písemností a záznamů uchovávaných odděleně mimo spis, pokud tím nemůže dojít k ohrožení svrchovanosti České republiky, její územní celistvosti, demokratických základů, bezpečnosti, vnitřního pořádku, života a zdraví, činnosti zpravodajských služeb nebo Policie České republiky, k ohrožení zajišťování kybernetické bezpečnosti, opatření obecné povahy podle § 29 nebo ke zmaření účelu trestního řízení. Před rozhodnutím týkajícím se utajovaných informací, nebo neutajovaných informací, jejichž zpřístupnění by mohlo zmařit účel trestního řízení, si předseda senátu vyžádá vyjádření orgánu, který tyto informace poskytl; před rozhodnutím týkajícím se jiných informací podle odstavce 1 si předseda senátu vyžádá vyjádření Úřadu.

(3) Projednávání informací podle odstavce 1 se provádí tak, aby byla šetřena povinnost zachovávat mlčenlivost o těchto informacích s tím, že o rozsahu osob, které se projednávání těchto informací zúčastní, rozhodne předseda senátu. K těmto okolnostem lze provést důkaz výslechem jen tehdy, byl-li ten, kdo povinnost mlčenlivosti má, této povinnosti příslušným orgánem zproštěn. Zprostit mlčenlivosti nelze v případě, kdy by mohlo dojít k ohrožení nebo vážnému narušení činnosti zpravodajských služeb nebo Policie České republiky. Obdobně se postupuje také v případech, kdy se důkaz provádí jinak než výslechem.

(4) Orgán, který poskytl utajované informace, označí okolnosti podle odstavce 3, o kterých tvrdí, že ve vztahu k nim nelze zprostit mlčenlivosti, a předseda senátu rozhodne, že části spisu, k nimž se tyto okolnosti váží, budou odděleny, jestliže by jinak mohlo dojít k ohrožení nebo vážnému narušení činnosti zpravodajských služeb nebo Policie České republiky.

(1) Osoba poskytující služby registrace doménových jmen a poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu doménových jmen, služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště⁹), služby internetového vyhledávače podle přímo použitelného předpisu Evropské unie¹⁰), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, který poskytuje tuto službu v České republice, nemá umístěnu hlavní provozovnu ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru a neustanovil si svého zástupce v jiném členském státě, je povinen ustanovit si svého zástupce v České republice. Zástupcem je osoba usazená v České republice, které osoba poskytující služby registrace doménových jmen nebo poskytovatel některé z uvedených regulovaných služeb udělili zmocnění zastupovat je ve vztahu k povinnostem podle tohoto zákona.

(2) V případě, že osoba poskytující služby registrace doménových jmen nebo poskytovatel některé z regulovaných služeb uvedených v odstavci 1 mají hlavní provozovnu mimo členský stát Evropské unie nebo smluvní stát Dohody o Evropském hospodářském prostoru a ustanovili si svého zástupce v České republice, platí, že jsou usazeni v České republice a vztahují se na ně povinnosti podle tohoto zákona. To platí i v případě, že osoba poskytující služby registrace doménových jmen nebo poskytovatel některé z regulovaných služeb podle odstavce 1 mají hlavní provozovnu mimo členský stát Evropské unie nebo smluvní stát Dohody o Evropském hospodářském prostoru a neustanovili si svého zástupce v žádném členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru.

(3) Ustanovením zástupce není dotčena odpovědnost osoby poskytující služby registrace doménových jmen nebo poskytovatele regulované služby podle odstavce 1 za dodržování tohoto zákona.

(1) Zpravodajské služby²⁸) nejsou poskytovateli regulované služby.

(2) Zpravodajské služby

(3) Ustanovení § 17 odst. 3, § 39 a § 55 až 63 se na zpravodajské služby nepoužijí.

(4) Ustanovení § 28 odst. 2 a § 64 odst. 1 se v případě zpravodajských služeb použije, pokud plnění těchto povinností nebrání zvláštní právní předpis²⁹) nebo zákonná nebo státem uznaná povinnost mlčenlivosti. Předávání informací zpravodajskými službami se vždy řídí zákonem o zpravodajských službách³⁰). Vojenské zpravodajství může informace předávat také způsobem stanoveným v zákoně o Vojenském zpravodajství³¹).

(1) Pokud přímo použitelný předpis Evropské unie nebo jiný právní předpis, který zapracovává příslušný předpis Evropské unie, stanoví povinnosti v oblasti zavádění a provádění bezpečnostních opatření nebo hlášení kybernetických bezpečnostních incidentů a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavádět a provádět bezpečnostní opatření a hlásit kybernetické bezpečnostní incidenty se neuplatní, a to včetně ustanovení o dozoru nad dodržováním uvedených povinností.

(2) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se považují taková ustanovení přímo použitelného předpisu Evropské unie nebo jiného právního předpisu, který zapracovává příslušný předpis Evropské unie, která

(3) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný předpis Evropské unie sám stanoví.

a) každé 2 roky informuje Evropskou komisi a Skupinu pro spolupráci o počtech poskytovatelů regulovaných služeb splňujících podmínky pro registraci regulované služby podle § 4 odst. 1 v jednotlivých odvětvích,

b) každé 2 roky informuje Evropskou komisi o počtech poskytovatelů regulovaných služeb splňujících podmínky pro registraci regulované služby podle § 5 písm. a) a d) v jednotlivých odvětvích, službách, které poskytují, a podmínkách, pro které byly stanoveny,

c) každé 3 měsíce předkládá Agentuře Evropské unie pro kybernetickou bezpečnost souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o kybernetických bezpečnostních incidentech, hrozbách a významných kybernetických bezpečnostních událostech oznámených podle § 15,

d) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost identifikační údaje o osobách poskytujících služby registrace doménových jmen a poskytovatelích regulovaných služeb uvedených v § 18 odst. 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie, kteří mají hlavní provozovnu na území České republiky nebo kteří mají na území České republiky ustanoveného svého zástupce,

e) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost informace ke koordinovanému zveřejňování zranitelností,

f) informuje Evropskou komisi o přijetí národní strategie kybernetické bezpečnosti a v rozsahu, ve kterém nebudou ohroženy bezpečnostní zájmy České republiky, o obsahu strategie,

g) poskytuje Evropské komisi identifikační údaje orgánu odpovědného za dozor v oblasti kybernetické bezpečnosti, jednotného kontaktního místa pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie, orgánu pro řešení kybernetických krizí, týmu CSIRT a koordinátora určeného pro účely koordinovaného zveřejňování zranitelností a

h) poskytuje Evropské komisi a Agentuře Evropské unie pro kybernetickou bezpečnost další informace a nezbytnou součinnost.

a) Úřad v rozpočtu své kapitoly na příslušný rok vyčleňuje objem finančních prostředků potřebných k zajištění přípravy na stav kybernetického nebezpečí; a dále ve svém rozpočtu na příslušný rok vyčleňuje účelovou rezervu finančních prostředků na řešení stavu kybernetického nebezpečí a odstraňování jeho následků a

b) finanční prostředky potřebné k zajištění přípravy na stav kybernetického nebezpečí a odstraňování následků ohrožení bezpečnosti České republiky, vnitřního pořádku, života, zdraví, majetkových hodnot nebo životního prostředí vyčleňované Úřadem v rozpočtu jeho kapitoly se považují za závazný ukazatel státního rozpočtu na příslušný rok.

a) hlásí kontaktní údaje a jejich změny Úřadu,

b) přiměřeně zavádí bezpečnostní opatření podle § 13 a 14 odst. 1 tohoto zákona a

c) přiměřeně zohlední varování podle § 22, pokud Úřad nebo jiný právní předpis nestanoví jinak.

a) ve vztahu k povinnosti zavádět a provádět bezpečnostní opatření odpovídají alespoň požadavkům stanoveným v § 13 a 14, nebo

b) ve vztahu k povinnosti hlásit kybernetické bezpečnostní incidenty odpovídají alespoň požadavkům stanoveným v § 15 a 16.

b) povinnosti spojené se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, v rozsahu povinností uložených tímto zákonem poskytovatelům regulovaných služeb v režimu nižších povinností v případě, že je podle tohoto zákona poskytovatelem regulované služby v režimu nižších povinností,

a to počínaje dnem nabytí účinnosti tohoto zákona až do doby uplynutí lhůt pro zahájení plnění povinností podle tohoto zákona, s výjimkou způsobu hlášení kybernetických bezpečnostních incidentů, které jsou tito poskytovatelé regulované služby povinni realizovat podle tohoto zákona již ode dne doručení rozhodnutí o registraci regulované služby.
(1) Správci informačních systémů základní služby, správci informačních a komunikačních systémů kritické informační infrastruktury, správci významných informačních systémů nebo poskytovatelé digitální služby podle § 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, jimiž poskytované služby splňují podmínky pro registraci regulované služby podle § 4 odst. 1, plní pro služby a informační systémy regulované podle dosavadních právních předpisů v rozsahu, ve kterém jsou tyto služby a aktiva regulovány tímto zákonem, alespoň

a) povinnosti spojené se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, v případě, že je podle tohoto zákona poskytovatelem regulované služby v režimu vyšších povinností, nebo

(2) V řízeních týkajících se splnění povinnosti uložené přede dnem nabytí účinnosti tohoto zákona zákonem č. 181/2014 Sb., ve znění pozdějších předpisů, nebo na jeho základě, se postupuje podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů.

(3) Varování vydaná přede dnem nabytí účinnosti tohoto zákona podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, se považují za varování vydaná podle tohoto zákona.

(4) Reaktivní opatření a ochranná opatření vydaná přede dnem nabytí účinnosti tohoto zákona podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, se považují za reaktivní protiopatření vydaná podle tohoto zákona.

(5) Veřejnoprávní smlouvy uzavřené podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, pozbývají platnosti uplynutím 1 roku ode dne nabytí účinnosti tohoto zákona.

(6) V případě, že poskytovatel Národního CERT není v den nabytí účinnosti tohoto zákona držitelem platného osvědčení podnikatele pro přístup k utajovaným informacím pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, je bez zbytečného odkladu povinen o takové osvědčení požádat a tuto skutečnost Úřadu doložit. Osvědčení podle věty první musí provozovatel Národního CERT předložit Úřadu bez zbytečného odkladu, nejpozději do 1 roku ode dne nabytí účinnosti tohoto zákona.