a) uložit každému povinnost poskytnout za účelem ukládání opatření podle tohoto ustanovení v přiměřeném rozsahu informace o věcných prostředcích, o výrobních a provozních kapacitách a lidských zdrojích a o objemu zásob ve stanovených druzích materiálu, přičemž každý má povinnost informace poskytnout v Úřadem stanovené lhůtě,

(1) Úřad rozhodne o uložení opatření k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru za stavu kybernetického nebezpečí. Úřad opatřením může

c) nařídit po konzultaci s každým, kdo je zaměstnavatelem podle právního předpisu upravujícího pracovněprávní vztahy nebo služebním orgánem nebo bezpečnostním sborem podle právních předpisů upravujících služební poměry a ozbrojené síly, pracovní pohotovost konkrétním zaměstnancům tohoto zaměstnavatele nebo služební pohotovost konkrétním státním zaměstnancům tohoto služebního orgánu nebo konkrétním příslušníkům tohoto bezpečnostního sboru nebo ozbrojených sil, pokud je to nezbytné k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru; ustanovení § 95 odst. 1 věta první zákoníku práce se nepoužije,

b) zakázat každému používání technických aktiv v případě, že jsou taková aktiva bezprostředně ohrožena kybernetickým bezpečnostním incidentem, který je může významně poškodit nebo zničit, nebo jsou takovým incidentem již postižena,

g) uložit tomu, kdo provozuje hromadné sdělovací prostředky, povinnost zveřejnit informace o vyhlášení stavu kybernetického nebezpečí a o opatřeních za stavu kybernetického nebezpečí; ten, kdo provozuje hromadné sdělovací prostředky, je povinen bez náhrady nákladů na základě žádosti Úřadu neprodleně vyhovět a informace bez jakýchkoliv úprav zveřejnit.

d) uložit každému povinnost provést opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení aktiv před kybernetickým bezpečnostním incidentem a oznámit provedení opatření a jeho výsledek Úřadu,

e) nařídit každému provedení skenu zranitelností nebo provedení identifikace a ověření zranitelností prostřednictvím simulace reálného útoku (dále jen „penetrační test“),

f) nařídit každému zpřístupnění neveřejných komunikačních sítí v jeho správě pro potřeby Úřadu, který je použije způsobem obvyklým pro tuto komunikační síť, nebo

(2) Úřad je dále za účelem řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru oprávněn poskytnout věcné prostředky v majetku České republiky, které má v užívání Úřad a jsou nezbytné k řešení kybernetického bezpečnostního incidentu nebo k zabezpečení aktiv před hrozícím kybernetickým bezpečnostním incidentem, a to osobám, které se podílejí na výše popsaných činnostech.

(3) Za stavu kybernetického nebezpečí je ten, kdo k tomu byl na základě vydaných opatření Úřadem vyzván, povinen provést opatření podle odstavce 1 a strpět omezení z nich vyplývající a poskytnout Úřadu nezbytnou součinnost.

(4) Poskytnuté věcné prostředky, mimo prostředků, které byly spotřebovány, se po skončení stavu kybernetického nebezpečí navrací Úřadu. Příjemce je povinen tyto prostředky vrátit do 60 dnů ode dne skončení stavu kybernetického nebezpečí. Po této lhůtě je příjemce oprávněn užívat poskytnuté věcné prostředky pouze na základě smlouvy uzavřené s Úřadem. Návrh smlouvy zpracuje Úřad na základě žádosti předložené příjemcem do 60 dnů ode dne skončení stavu kybernetického nebezpečí. Pokud příjemce žádost v uvedené lhůtě nepředloží, je užívání poskytnutých věcných prostředků neoprávněným použitím majetku Úřadu. V případě nevrácení poskytnutých pohotovostních zásob se postupuje podle právních předpisů upravujících hospodaření s majetkem státu.

(5) Rozhodnutí o opatření podle odstavce 1 může být prvním úkonem v řízení. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 24 hodin od okamžiku jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.

(6) Má-li se opatření podle odstavce 1 týkat blíže neurčeného okruhu osob, vydá jej Úřad formou opatření obecné povahy.

(7) Opatření obecné povahy podle odstavce 6 nabývá účinnosti okamžikem jeho vyvěšení na úřední desce Úřadu; ustanovení § 172 správního řádu se nepoužije. O vydání opatření obecné povahy Úřad rovněž vyrozumí poskytovatele regulovaných služeb, kteří jsou jím dotčeni.