§ 3
Požadavky na způsobilost poskytovatele zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy
Poskytovatelem způsobilým zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona je poskytovatel za následujících podmínek:
a) má sídlo nebo bydliště v členském státě Evropské unie nebo má určeného svého zástupce v členském státě Evropské unie obdobně podle čl. 27 obecného nařízení o ochraně osobních údajů1),
b) poskytovatel ani jeho ovládající osoby2) nebyli v posledních 5 letech pravomocně uznáni vinnými ze spáchání přestupku spočívajícího v nesplnění některé z povinností uložené nápravným opatřením podle § 56 odst. 1 zákona o kybernetické bezpečnosti3) a
c) poskytovatel ani jeho ovládající osoby nebyli v posledních 5 letech více než jednou pravomocně uznáni vinnými ze spáchání přestupku spočívajícího v
1. nesplnění povinnosti ohlásit službu podle § 6 odst. 1 zákona o kybernetické bezpečnosti,
2. nesplnění povinnosti ohlásit změnu regulované služby podle § 9 odst. 1 zákona o kybernetické bezpečnosti,
3. nesplnění povinnosti určit za účelem vymezení stanoveného rozsahu všechna primární aktiva podle § 12 odst. 2 písm. a) zákona o kybernetické bezpečnosti nebo podpůrná aktiva podle § 12 odst. 2 písm. c) zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti jejich určení pravidelně přezkoumávat nebo aktualizovat podle § 12 odst. 5 zákona o kybernetické bezpečnosti,
4. nesplnění povinnosti posoudit za účelem vymezení stanoveného rozsahu, zda primární aktiva určená podle § 12 odst. 2 písm. a) zákona o kybernetické bezpečnosti souvisí s poskytováním regulované služby, nebo v nesplnění povinnosti toto posouzení pravidelně přezkoumávat nebo aktualizovat podle § 12 odst. 5 zákona o kybernetické bezpečnosti,
5. nesplnění povinnosti evidovat aktiva podle § 12 odst. 3 zákona o kybernetické bezpečnosti,
6. nesplnění povinnosti zavádět nebo provádět bezpečnostní opatření podle § 13 odst. 2 nebo § 18 odst. 1 zákona o kybernetické bezpečnosti,
7. nesplnění povinnosti vybírat svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo v nesplnění povinnosti zahrnovat požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem v rozporu s § 13 odst. 5 zákona o kybernetické bezpečnosti,
8. nesplnění povinnosti předložit prvotní hlášení o incidentu podle § 16 odst. 1 zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti doplnit některý z údajů o incidentu podle § 16 odst. 3 zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti nahlásit kybernetický bezpečnostní incident podle § 18 odst. 2 zákona o kybernetické bezpečnosti,
9. nesplnění povinnosti poskytnout informace nebo součinnost při zvládání incidentu podle § 17 odst. 3 zákona o kybernetické bezpečnosti,
10. nesplnění rozhodnutím stanovené povinnosti nebo zákazu informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem podle § 19 odst. 1 zákona o kybernetické bezpečnosti,
11. nesplnění povinnosti informovat uživatele regulované služby o významné hrozbě nebo krocích, které může uživatel služby učinit v reakci na ni, podle § 19 odst. 2 zákona o kybernetické bezpečnosti,
12. nesplnění povinnosti uložené rozhodnutím o výstraze podle § 21 odst. 1 zákona o kybernetické bezpečnosti,
13. nesplnění reaktivního protiopatření uloženého podle § 23 odst. 1 nebo § 23 odst. 4 zákona o kybernetické bezpečnosti,
14. nesplnění povinnosti uložené rozhodnutím podle § 24 odst. 1 zákona o kybernetické bezpečnosti,
15. nesplnění povinnosti ohlásit změnu regulované služby podle § 26 odst. 1 zákona o kybernetické bezpečnosti,
18. nesplnění povinnosti prověřovat zajištění poskytování strategicky významné služby podle § 33 odst. 2 zákona o kybernetické bezpečnosti nebo nesplnění povinnosti o tomto prověření vyhotovit záznam,
16. porušení podmínky nebo zákazu uložených v opatření obecné povahy podle § 29 zákona o kybernetické bezpečnosti,
21. nesplnění povinnosti podle § 10 odst. 3 kontrolního řádu4) jako povinná osoba v souvislosti s kontrolou plnění povinností podle zákona o kybernetické bezpečnosti.
20. nesplnění některé z povinností podle § 10 odst. 2 kontrolního řádu4) jako kontrolovaná osoba v souvislosti s kontrolou plnění povinností podle zákona o kybernetické bezpečnosti, nebo
17. nesplnění povinnosti zajišťovat dostupnost strategicky významné služby z území České republiky ve stanoveném čase nebo kvalitě podle § 33 odst. 1 zákona o kybernetické bezpečnosti,
19. nesplnění povinnosti provést v souvislosti se stavem kybernetického nebezpečí opatření k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru uložené rozhodnutím nebo opatřením obecné povahy podle § 39 zákona o kybernetické bezpečnosti,