Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
"[Klepněte sem a vložte římské číslo dle čísla na obálce
VII.
ROZDÍLOVÁ TABULKA NÁVRHU PRÁVNÍHO PŘEDPISU S PŘEDPISY EU
Návrh zákona o kybernetické bezpečnosti
Navrhovaný právní předpis
Odpovídající předpis EU
Ustanovení (část, §, odst., písm., apod.)
Obsah
Celex č.
Ustanovení (čl., odst., písm., bod, apod.)
Obsah
§ 1 odst. 1
(1)
Tento zákon zapracovává příslušný předpis Evropské unie1, zároveň navazuje na přímo použitelné předpisy Evropské unie2 a upravuje práva a povinnosti orgánů a osob a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad“) a dalších orgánů veřejné moci v oblasti kybernetické bezpečnosti.
) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).
2) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).
Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU.
Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
Nařízení Evropského parlamentu a Rady (EU) 2023/588 ze dne 15. března 2023, kterým se zavádí Program Unie pro bezpečnou konektivitu na období 2023–2027.
32022L2555
Čl. 1 odst. 1
1. Touto směrnicí se stanoví opatření, jejichž účelem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem zlepšit fungování vnitřního trhu.
32022L2555
Čl. 41 odst. 1 a 2
1. Členské státy do 17. října 2024 přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Použijí tato opatření ode dne 18. října 2024.
2. Opatření uvedená v odst. 1 přijatá členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový
odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.
§ 1 odst. 2
(2)
Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi. Tento zákon se dále nevztahuje na osoby, které nejsou usazené na území České republiky; to neplatí pro osoby poskytující na území České republiky služby elektronických komunikací podle jiného právního předpisu.3)
3) Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).
32022L2555
Čl. 26 odst. 1 písm. a)
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů:
a) poskytovatelé veřejných sítí elektronických komunikací nebo poskytovatelé veřejně dostupných služeb elektronických komunikací, u nichž se má za to, že podléhají pravomoci členského státu, v němž poskytují své služby;
§ 2 odst. 1 písm. a)
(1)
Pro účely tohoto zákona se rozumí
a)
aktivem primární aktiva a podpůrná aktiva relevantní pro zpracování informací a dat v elektronické podobě, a to včetně likvidace,
32022L2555
Čl. 6 odst. 1
Pro účely této směrnice se rozumí:
1) „sítí a informačním systémem“:
a) síť elektronických komunikací ve smyslu čl. 2 bodu 1 směrnice (EU) 2018/1972;
b) zařízení nebo skupina vzájemně propojených nebo souvisejících zařízení, z nichž jedno nebo více provádí na základě programu automatické zpracování digitálních dat; nebo
c) digitální data, jež jsou prvky uvedenými v písmenech a) a b) uchovávána, zpracovávána, opětovně vyhledávána nebo předávána za účelem jejich provozu, použití, ochrany a údržby;
§ 2 odst. 1 písm. f)
(1)
Pro účely tohoto zákona se rozumí
f)
poskytovatelem regulované služby orgán nebo osoba, které poskytují jednu nebo více regulovaných služeb, a
32022L2555
Čl. 6 odst. 38
Pro účely této směrnice se rozumí:
38) „subjektem“ fyzická nebo právnická osoba vytvořená a uznaná jako taková podle vnitrostátního práva v místě svého usazení, která může svým jménem vykonávat práva a podléhat povinnostem;
§ 2 odst. 1 písm. g)
(1)
Pro účely tohoto zákona se rozumí
g)
řízením kybernetické bezpečnosti činnost poskytovatele regulované služby podle tohoto zákona směřující k zajištění kybernetické bezpečnosti regulované služby.
32022L2555
Čl. 6 odst. 3
Pro účely této směrnice se rozumí:
3) „kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 2 bodu 1 nařízení (EU) 2019/881;
§ 2 odst. 2 písm. b)
(2)
Pro účely tohoto zákona se dále rozumí
b)
bezpečností informací zajištění důvěrnosti, integrity a dostupnosti informací a dat,
32022L2555
Čl. 6 odst. 2 a 3
Pro účely této směrnice se rozumí:
2) „bezpečností sítí a informačních systémů“ schopnost sítí a informačních systémů odolávat s určitou spolehlivostí veškerým událostem, které mohou narušit dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné;
3) „kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 2 bodu 1 nařízení (EU) 2019/881;
§ 2 odst. 2 písm. c)
(2)
Pro účely tohoto zákona se dále rozumí
c)
hrozbou jakákoliv potenciální okolnost, událost nebo jednání, které mohou být příčinou kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, a které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit aktiva, jejich uživatele nebo další osoby,
32022L2555
Čl. 6 odst. 10
Pro účely této směrnice se rozumí:
10) „kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881;
§ 2 odst. 2 písm. d)
(2)
Pro účely tohoto zákona se dále rozumí
d)
významnou hrozbou hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál závažně ovlivnit aktiva poskytovatele regulované služby nebo uživatelů regulovaných služeb natolik, že způsobí značnou majetkovou nebo nemajetkovou újmu,
32022L2555
Čl. 6 odst. 11
Pro účely této směrnice se rozumí:
11) „významnou kybernetickou hrozbou“ kybernetická hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál vážně ovlivnit sítě a informační systémy určitého subjektu nebo uživatelů služeb takového subjektu tím, že způsobí značnou hmotnou nebo nehmotnou újmu;
§ 2 odst. 2 písm. e)
(2)
Pro účely tohoto zákona se dále rozumí
e)
kybernetickou bezpečnostní událostí událost, která může nebo mohla vyústit v kybernetický bezpečnostní incident,
32022L2555
Čl. 6 odst. 5
Pro účely této směrnice se rozumí:
5) „významnou událostí“ událost, která mohla narušit dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které nabízejí sítě a informační systémy nebo které jsou jejich prostřednictvím přístupné, ale plnému vzniku takové události bylo úspěšně zabráněno nebo taková událost nenastala;
§ 2 odst. 2 písm. f)
(2)
Pro účely tohoto zákona se dále rozumí
f)
kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v rámci aktiv,
32022L2555
Čl. 6 odst. 6
Pro účely této směrnice se rozumí:
6) „incidentem“ událost narušující dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné;
§ 2 odst. 2 písm. g)
(2)
Pro účely tohoto zákona se dále rozumí
g)
zvládáním kybernetického bezpečnostního incidentu úkony vedoucí k zajištění prevence, detekce, analýzy, omezení dopadů incidentu, reakce na incident a následné obnovy,
32022L2555
Čl. 6 odst. 8
Pro účely této směrnice se rozumí:
8) „řešením incidentu“ jakékoli akce a postupy, jejichž cílem je incidentu předejít, odhalit jej, analyzovat, zamezit jeho šíření nebo na něj reagovat a zotavit se z něj;
§ 2 odst. 2 písm. k)
(2)
Pro účely tohoto zákona se dále rozumí
k)
zranitelností slabé místo aktiva nebo slabé místo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami,
32022L2555
Čl. 6 odst. 15
Pro účely této směrnice se rozumí:
15) „zranitelností“ slabá stránka, snížená odolnost nebo chyba produktů IKT nebo služeb IKT, která může být využita kybernetickou hrozbou;
§ 2 odst. 2 písm. m)
(2)
Pro účely tohoto zákona se dále rozumí
m)
orgánem ústřední orgány státní správy4), jiné správní úřady5), územní samosprávné celky6), Ústavní soud, soudy, státní zastupitelství, Česká národní banka, Nejvyšší kontrolní úřad, Kancelář prezidenta republiky, Kancelář Poslanecké sněmovny a Kancelář Senátu a další orgány veřejné moci a osoby, kterým byl výkon veřejné moci svěřen.
4) Zákon č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické republiky, ve znění pozdějších předpisů.
5) Čl. 79 odst. 1 ústavního zákona č. 1/1993 Sb., Ústava České republiky.
6) Čl. 99 ústavního zákona č. 1/1993 Sb., Ústava České republiky.
32022L2555
Čl. 6 odst. 35
Pro účely této směrnice se rozumí:
35) „subjektem veřejné správy“ subjekt uznaný jako takový v členském státě v souladu s vnitrostátním právem, s výjimkou soudnictví, parlamentů a centrálních bank, který splňuje tato kritéria:
a) je založen za účelem spočívajícím v uspokojování potřeb veřejného zájmu a nemá průmyslovou nebo obchodní povahu;
b) má právní subjektivitu nebo je ze zákona oprávněn jednat jménem jiného subjektu s právní subjektivitou;
c) je financován převážně státem, regionálními orgány nebo jinými veřejnoprávními subjekty, podléhá řídicímu dohledu těchto orgánů nebo subjektů, nebo je v jeho správním, řídícím nebo dozorčím orgánu více než polovina členů jmenována státem, regionálními orgány nebo jinými veřejnoprávními subjekty;
d) má pravomoc vydávat fyzickým nebo právnickým osobám správní nebo regulační rozhodnutí ovlivňující jejich práva při přeshraničním pohybu osob, zboží, služeb nebo kapitálu;
32022L2555
Čl. 6 odst. 38
Pro účely této směrnice se rozumí:
38) „subjektem“ fyzická nebo právnická osoba vytvořená a uznaná jako taková podle vnitrostátního práva v místě svého usazení, která může svým jménem vykonávat práva a podléhat povinnostem;
§ 2 odst. 3 písm. a)
(3) Pro účely tohoto zákona se dále rozumí
a) systémem překladu jmen domén hierarchický distribuovaný systém překladu jmen domén, který umožňuje identifikaci internetových služeb a zdrojů, a současně umožňuje, aby zařízení koncových uživatelů využívala služby směrování a připojení k internetu za účelem přístupu k těmto službám a zdrojům,
32022L2555
Čl. 6 odst. 19
Pro účely této směrnice se rozumí:
19) „systémem překladu jmen domén“ nebo „DNS“ hierarchický distribuovaný systém překladu jmen domén, který umožňuje identifikaci internetových služeb a zdrojů a současně umožňuje, aby zařízení koncových uživatelů využívala služby směrování a připojení k internetu za účelem přístupu k těmto službám a zdrojům;
§ 2 odst. 3 písm. b)
(3) Pro účely tohoto zákona se dále rozumí
b) správou a provozem registru domény nejvyšší úrovně činnost spočívající ve správě konkrétní delegované domény nejvyšší úrovně, včetně registrace jmen domén v rámci domény nejvyšší úrovně a technického provozu jmenných serverů, vedení databází zajišťujících správu a provoz domény nejvyšší úrovně a distribuci zónových souborů domény nejvyšší úrovně mezi jmennými servery, s výjimkou situací, kdy registr domény nejvyšší úrovně používá jména domény nejvyšší úrovně pouze pro svou vlastní potřebu,
32022L2555
Čl. 6 odst. 21
Pro účely této směrnice se rozumí:
21) „registrem domén nejvyšší úrovně“ nebo „registrem TLD“ subjekt, kterému byla delegována konkrétní doména nejvyšší úrovně (TLD) a je odpovědný za správu domén nejvyšší úrovně, včetně registrace jmen domén v rámci domén nejvyšší úrovně a technického provozu domén nejvyšší úrovně, včetně provozu jejích jmenných serverů, vedení jejích databází a distribuce souborů zón domén nejvyšší úrovně mezi jmennými servery, bez ohledu na to, zda kteroukoli z těchto operací provádí subjekt sám nebo je zajišťována externě, avšak s výjimkou situací, kdy jsou jména domén nejvyšší úrovně používána registrem pouze pro vlastní potřebu;
§ 2 odst. 3 písm. c)
(3) Pro účely tohoto zákona se dále rozumí
c) službou cloud computingu služba informační společnosti ve smyslu právního předpisu upravujícího některé služby informační společnosti7), která umožňuje samoobslužnou správu a široký vzdálený přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů, včetně těch, které jsou rozmístěny na více místech,
7) § 2 odst. 1 písm. a) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů.
32022L2555
Čl. 6 odst. 23
Pro účely této směrnice se rozumí:
23) „digitální službou“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice Evropského parlamentu a Rady (EU) 2015/1535 (30);
Pro účely této směrnice se rozumí:
30) „službou cloud computingu“ digitální služba, která umožňuje samoobslužnou správu a široký vzdálený přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů, včetně těch, které jsou rozmístěny na více místech;
§ 2 odst. 3 písm. d)
(3) Pro účely tohoto zákona se dále rozumí
d) službou datového centra služba, která zahrnuje struktury nebo skupiny struktur určené k centralizovanému umístění, propojení a provozu informačních technologií a síťových zařízení poskytujících služby zpracování dat společně se všemi zařízeními a infrastrukturami pro distribuci energie a řízení prostředí,
32022L2555
Čl. 6 odst. 31
Pro účely této směrnice se rozumí:
31) „službou datového centra“ služba, která zahrnuje struktury nebo skupiny struktur určené k centralizovanému umístění, propojení a provozu IT a síťových zařízení poskytujících služby ukládání, zpracování a přepravy dat společně se všemi zařízeními a infrastrukturami pro distribuci energie a řízení prostředí;
§ 2 odst. 3 písm. e)
(3) Pro účely tohoto zákona se dále rozumí
e) sítí pro doručování obsahu síť geograficky distribuovaných serverů sloužící k zajištění vysoké dostupnosti, přístupnosti nebo rychlého poskytování digitálního obsahu a služeb uživatelům internetu jménem poskytovatelů obsahu a služeb,
32022L2555
Čl. 6 odst. 32
Pro účely této směrnice se rozumí:
32) „sítí pro doručování obsahu“ síť geograficky distribuovaných serverů za účelem zajištění vysoké dostupnosti, přístupnosti nebo rychlého poskytování digitálního obsahu a služeb uživatelům internetu jménem poskytovatelů obsahu a služeb;
§ 2 odst. 3 písm. f)
(3) Pro účely tohoto zákona se dále rozumí
f) platformou sociálních sítí platforma, která koncovým uživatelům umožňuje vzájemné propojení, sdílení, objevování a komunikaci napříč různými zařízeními, zejména prostřednictvím chatů, příspěvků, videí a doporučení,
32022L2555
Čl. 6 odst. 33
Pro účely této směrnice se rozumí:
33) „platformou sociálních sítí“ platforma, která koncovým uživatelům umožňuje vzájemné propojení, sdílení, objevování a komunikaci napříč různými zařízeními, zejména prostřednictvím chatů, příspěvků, videí a doporučení;
§ 2 odst. 3 písm. g)
(3) Pro účely tohoto zákona se dále rozumí
g) řízenou službou služba související s instalací, správou, provozem nebo údržbou technických aktiv, a to prostřednictvím asistence nebo aktivní správy, které jsou prováděny v prostorách zákazníků nebo na dálku,
32022L2555
Čl. 6 odst. 39
Pro účely této směrnice se rozumí:
39) „poskytovatelem řízených služeb“ subjekt, který poskytuje služby související s instalací, správou, provozem nebo údržbou produktů IKT, sítí, infrastruktury, aplikací nebo jakýchkoli jiných sítí a informačních systémů, a to prostřednictvím asistence nebo aktivní správy, které jsou prováděny buď v prostorách zákazníků, nebo na dálku;
§ 2 odst. 3 písm. h)
(3) Pro účely tohoto zákona se dále rozumí
h) řízenou bezpečnostní službou řízená služba, která spočívá v činnostech souvisejících s řízením kybernetických bezpečnostních rizik nebo poskytováním asistence pro tyto činnosti a
32022L2555
Čl. 6 odst. 40
Pro účely této směrnice se rozumí:
40) „poskytovatelem řízených bezpečnostních služeb“ poskytovatel řízených služeb, který provádí činnosti související s řízením kybernetických bezpečnostních rizik nebo poskytuje asistenci pro tyto činnosti;
§ 2 odst. 3 písm. i)
(3) Pro účely tohoto zákona se dále rozumí
i) subjektem poskytujícím služby registrace jmen domén registrátor nebo zástupce jednající jménem registrátora, jako je poskytovatel služeb ochrany soukromí nebo zprostředkovatel registračních služeb nebo přeprodejce.
32022L2555
Čl. 6 odst. 22
Pro účely této směrnice se rozumí:
22) „subjektem poskytujícím služby registrace jmen domén“ registrátor nebo zástupce jednající jménem registrátorů, jako je poskytovatel služeb ochrany soukromí nebo zprostředkovatel registračních služeb nebo přeprodeje;
§ 4 odst. 2
(2)
Kritéria pro identifikaci regulované služby zohledňují
a)
v rámci kritéria služby
1.
odvětví, pododvětví a druh subjektu uvedené v přílohách I a II směrnice Evropského parlamentu a Rady (EU) 2022/2555 a
2.
významnost služeb poskytovaných v jednotlivých odvětvích uvedených v odstavci 3 s ohledem na zabezpečení důležitých společenských nebo ekonomických činností a bezpečnost v České republice,
b)
v rámci kritéria poskytovatele regulované služby
1.
velikost podniku8) podle požadavků směrnice Evropského parlamentu a Rady (EU) 2022/2555 a
2.
ekonomickou, společenskou a bezpečnostní významnost poskytovatele regulované služby pro Českou republiku.
8) Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.
32022L2555
Čl. 2 odst. 1 a 2
1. Tato směrnice se vztahuje na veřejné a soukromé subjekty, jejichž druhy jsou uvedeny v příloze I nebo II a které jsou považovány podle článku 2 přílohy doporučení 2003/361/ES za střední podniky, nebo které překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku a které poskytují služby nebo vykonávají činnosti v rámci Unie. Ustanovení čl. 3 odst. 4 přílohy uvedeného doporučení se pro účely této směrnice nepoužije.
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
a) služby jsou poskytovány:
i) poskytovateli veřejné sítě elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací;
ii) poskytovateli služeb vytvářejících důvěru;
iii) registry domén nejvyšší úrovně a provozovateli DNS;
b) subjekt je v některém členském státě výhradním poskytovatelem služeb, jež mají zásadní význam pro zachování
kritických společenských nebo hospodářských činností;
c) narušení služby poskytované tímto subjektem by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost
nebo ochranu zdraví;
d) narušení služby poskytované tímto subjektem by mohlo vyvolat významná systémová rizika, zejména pro ta odvětví,
kde by takové narušení mohlo mít přeshraniční dopad;
e) subjekt je kritický vzhledem ke svému specifickému významu na vnitrostátní nebo regionální úrovni pro konkrétní
odvětví nebo druh služby nebo pro jiná vzájemně závislá odvětví v členském státě;
f) subjekt je subjektem veřejné správy:
i) ústřední vlády, jak je vymezena členským státem podle vnitrostátního práva; nebo
ii) na regionální úrovni, jak je vymezena členským státem podle vnitrostátního práva, a na základě posouzení rizik poskytuje služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti.
§ 4 odst. 3
(3)
Kritéria pro identifikaci regulované služby jsou stanovena v odvětvích
a)
veřejná správa,
b)
energetika,
c)
výrobní průmysl,
d)
potravinářský průmysl,
e)
chemický průmysl,
f)
vodní hospodářství,
g)
odpadové hospodářství,
h)
doprava,
i)
digitální infrastruktura a služby,
j)
finanční trh,
k)
zdravotnictví,
l)
věda, výzkum a vzdělávání,
m)
poštovní a kurýrní služby,
n)
vojenský průmysl,
o)
vesmírný průmysl.
32022L2555
Čl. 2 odst. 1 a 2
1. Tato směrnice se vztahuje na veřejné a soukromé subjekty, jejichž druhy jsou uvedeny v příloze I nebo II a které jsou považovány podle článku 2 přílohy doporučení 2003/361/ES za střední podniky, nebo které překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku a které poskytují služby nebo vykonávají činnosti v rámci Unie. Ustanovení čl. 3 odst. 4 přílohy uvedeného doporučení se pro účely této směrnice nepoužije.
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
a) služby jsou poskytovány:
i) poskytovateli veřejné sítě elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací;
ii) poskytovateli služeb vytvářejících důvěru;
iii) registry domén nejvyšší úrovně a provozovateli DNS;
b) subjekt je v některém členském státě výhradním poskytovatelem služeb, jež mají zásadní význam pro zachování
kritických společenských nebo hospodářských činností;
c) narušení služby poskytované tímto subjektem by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost
nebo ochranu zdraví;
d) narušení služby poskytované tímto subjektem by mohlo vyvolat významná systémová rizika, zejména pro ta odvětví,
kde by takové narušení mohlo mít přeshraniční dopad;
e) subjekt je kritický vzhledem ke svému specifickému významu na vnitrostátní nebo regionální úrovni pro konkrétní
odvětví nebo druh služby nebo pro jiná vzájemně závislá odvětví v členském státě;
f) subjekt je subjektem veřejné správy:
i) ústřední vlády, jak je vymezena členským státem podle vnitrostátního práva; nebo
ii) na regionální úrovni, jak je vymezena členským státem podle vnitrostátního práva, a na základě posouzení rizik poskytuje služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti.
32022L2555
Čl. 2 odst. 5 písm. a) a b)
5. Členské státy mohou stanovit, že se tato směrnice vztahuje na: a) subjekty veřejné správy na místní úrovni;
b) vzdělávací instituce, zejména pokud vykonávají kritické výzkumné činnosti.
§ 5 odst. 1 písm. a)
1)
Regulovanou službou je dále služba určená orgánu nebo osobě rozhodnutím Úřadu v případě, že
a)
jde o službu uvedenou ve vyhlášce Úřadu stanovující kritéria pro identifikaci regulovaných služeb a
1.
orgán nebo osoba je jediným poskytovatelem této služby v České republice a tato služba je zásadní pro zachování nezbytných společenských nebo ekonomických činností v České republice,
2.
narušení této služby by mohlo mít významný dopad na bezpečnost České republiky, vnitřní či veřejný pořádek nebo veřejné zdraví,
3.
narušení této služby by mohlo vyvolat významná systémová rizika, zejména v odvětvích, kde by takové narušení mohlo mít přeshraniční dopad, nebo
4.
orgán nebo osoba je kvůli svému specifickému významu na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví nebo typ služby nebo pro jiná vzájemně propojená odvětví v České republice,
32022L2555
Čl. 2 odst. 2 písm. b) až e)
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
(…)
b) subjekt je v některém členském státě výhradním poskytovatelem služeb, jež mají zásadní význam pro zachování kritických společenských nebo hospodářských činností;
c) narušení služby poskytované tímto subjektem by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;
d) narušení služby poskytované tímto subjektem by mohlo vyvolat významná systémová rizika, zejména pro ta odvětví, kde by takové narušení mohlo mít přeshraniční dopad;
e) subjekt je kritický vzhledem ke svému specifickému významu na vnitrostátní nebo regionální úrovni pro konkrétní odvětví nebo druh služby nebo pro jiná vzájemně závislá odvětví v členském státě;
§ 5 odst. 1 písm. d)
1)
Regulovanou službou je dále služba určená orgánu nebo osobě rozhodnutím Úřadu v případě, že
d)
orgán nebo osoba je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu; v takovém případě je regulovanou službou služba odpovídající prvku kritické infrastruktury určenému u tohoto subjektu.
32022L2555
Čl. 2 odst. 3
3. Bez ohledu na jejich velikost se tato směrnice použije na subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557.
§ 6
(1)
Režim poskytovatele regulované služby stanovuje míru jemu uložených povinností podle tohoto zákona.
(2)
Režim poskytovatele regulované služby je
a)
režim vyšších povinností, nebo
b)
režim nižších povinností.
(3)
Režim poskytovatele regulované služby stanovený vyhláškou Úřadu zohledňuje
a)
základní a důležité subjekty podle příslušného předpisu Evropské unie8) a
b)
významnost poskytovatele služby podle § 4 odst. 2 písm. b) bod 2.
(4)
Je-li regulovaná služba určena rozhodnutím Úřadu podle § 5 odst. 1, je režim jejího poskytovatele vždy režimem vyšších povinností.
9) Čl. 3 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 3 odst. 1 a 2
1. Pro účely této směrnice se za základní subjekty považují:
a) subjekty, jejichž druh je uveden v příloze I, které překračují stropy pro střední podniky stanovené v čl. 2 odst. 1 přílohy doporučení 2003/361/ES;
b) kvalifikovaní poskytovatelé služeb vytvářejících důvěru, registry domén nejvyšší úrovně a provozovatelé DNS bez ohledu na jejich velikost;
c) poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací, kteří jsou považováni za střední podniky podle článku 2 přílohy doporučení 2003/361/ES;
d) subjekty veřejné správy podle čl. 2 odst. 2 písm. f) bodu i);
e) jakékoli jiné subjekty druhu, který je uveden v příloze I nebo II, jež členský stát označí za základní subjekty podle čl. 2 odst. 2 písm. b) až e);
f) subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557, jež jsou uvedeny v čl. 2 odst. 3 této směrnice;
g) pokud tak členský stát stanoví, subjekty, které tento členský stát označil před 16. lednem 2023 za provozovatele základních služeb v souladu se směrnicí (EU) 2016/1148 nebo s vnitrostátním právem.
2. Pro účely této směrnice se za důležité subjekty považují subjekty druhu uvedeného v příloze I nebo II, které nelze považovat za základní subjekty podle odstavce 1 tohoto článku. Patří k nim i subjekty, jež členské státy označily za důležité podle čl. 2 odst. 2 písm. b) až e).
§ 7
(1)
Každý poskytovatel regulované služby má pro všechny poskytované regulované služby stanoven jen jeden režim.
(2)
Poskytovatel regulované služby, kterému je stanoven režim vyšších povinností pro alespoň jednu jím poskytovanou regulovanou službu, má stanoven režim vyšších povinností pro všechny jím poskytované regulované služby.
32022L2555
Čl. 3 odst. 1 a 2
1. Pro účely této směrnice se za základní subjekty považují:
a) subjekty, jejichž druh je uveden v příloze I, které překračují stropy pro střední podniky stanovené v čl. 2 odst. 1 přílohy doporučení 2003/361/ES;
b) kvalifikovaní poskytovatelé služeb vytvářejících důvěru, registry domén nejvyšší úrovně a provozovatelé DNS bez ohledu na jejich velikost;
c) poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací, kteří jsou považováni za střední podniky podle článku 2 přílohy doporučení 2003/361/ES;
d) subjekty veřejné správy podle čl. 2 odst. 2 písm. f) bodu i);
e) jakékoli jiné subjekty druhu, který je uveden v příloze I nebo II, jež členský stát označí za základní subjekty podle čl. 2 odst. 2 písm. b) až e);
f) subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557, jež jsou uvedeny v čl. 2 odst. 3 této směrnice;
g) pokud tak členský stát stanoví, subjekty, které tento členský stát označil před 16. lednem 2023 za provozovatele základních služeb v souladu se směrnicí (EU) 2016/1148 nebo s vnitrostátním právem.
2. Pro účely této směrnice se za důležité subjekty považují subjekty druhu uvedeného v příloze I nebo II, které nelze považovat za základní subjekty podle odstavce 1 tohoto článku. Patří k nim i subjekty, jež členské státy označily za důležité podle čl. 2 odst. 2 písm. b) až e).
§ 8 odst. 1
(1)
Poskytovatel regulované služby je povinen nahlásit Úřadu naplnění kritérií pro identifikaci regulované služby, a to vyplněním registračních údajů podle § 12 odst. 2 písm. a).
32022L2555
Čl. 3 odst. 4
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice.
Subjekty uvedené v odstavci 3 oznámí všechny změny údajů, které předložily podle prvního pododstavce tohoto odstavce, a to neprodleně, nejpozději však do dvou týdnů od data změny.
Komise za pomoci Agentury Evropské unie pro kybernetickou bezpečnost (dále jen „ENISA“) bez zbytečného odkladu poskytne pokyny a šablony týkající se povinností stanovených v tomto odstavci.
Členské státy mohou zřídit vnitrostátní mechanismy, jejichž pomocí by se subjekty mohly registrovat samy.
32022L2555
Čl. 32 odst. 2 písm. e) a f)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti
předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
(…)
§ 10 odst. 1 a 2
(1)
Po registraci regulované služby podle § 8 nebo po změně registrace podle § 9 Úřad bez zbytečného odkladu zapíše regulovanou službu nebo její změnu do evidence regulovaných služeb. O této skutečnosti Úřad poskytovatele regulované služby písemně vyrozumí.
(2)
Poskytovatel regulované služby je povinen plnit všechny povinnosti plynoucí mu ze zákona vůči zapsaným regulovaným službám od okamžiku doručení vyrozumění o zápisu regulované služby nebo její změny do evidence regulovaných služeb. Platí, že dokud je služba zapsána v evidenci regulovaných služeb, je regulovanou službou.
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
§ 12 odst. 1
(1)
Poskytovatel regulované služby hlásí registrační, kontaktní a další doplňující údaje a jejich změny Úřadu. Poskytovatel regulované služby odpovídá za správnost a úplnost nahlášených údajů.
32022L2555
Čl. 32 odst. 2 písm. e) a f)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti
předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
(…)
§ 12 odst. 1 až 4
(1)
Poskytovatel regulované služby hlásí registrační, kontaktní a další doplňující údaje a jejich změny Úřadu. Poskytovatel regulované služby odpovídá za správnost a úplnost nahlášených údajů.
(2)
Hlášenými údaji jsou
a)
registrační údaje, kterými se rozumí informace spojené s identifikací poskytovatele regulované služby a jím poskytované regulované služby,
b)
kontaktní údaje, kterými se rozumí informace spojené s identifikací fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem, a
c)
doplňující údaje, kterými se rozumí informace o vlastnické struktuře poskytovatele regulované služby, technické údaje týkající se regulované služby a informace o jejím geografickém rozšíření a přeshraničním poskytování.
(3)
Poskytovatel regulované služby je povinen nahlásit údaje podle odstavce 2 písm. b) a c) pro každou regulovanou službu nejpozději do 30 dnů ode dne doručení písemného vyrozumění o jejím zápisu do evidence regulovaných služeb podle § 10 odst. 1.
(4)
Poskytovatel regulované služby je povinen hlásit změny pouze těch údajů podle odstavce 2, které nejsou referenčními údaji vedenými v základních registrech, a to nejpozději do 14 dnů od jejich změny.
32022L2555
Čl. 3 odst. 4
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném
odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice.
§ 12 odst. 4
(4)
Poskytovatel regulované služby je povinen hlásit změny pouze těch údajů podle odstavce 2, které nejsou referenčními údaji vedenými v základních registrech, a to nejpozději do 14 dnů od jejich změny.
32022L2555
Čl. 29 odst. 4
4. Členské státy zajistí, aby základní a důležité subjekty oznámily příslušným orgánům, že se účastní ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2, a to od okamžiku uzavření takových ujednání, nebo v příslušných případech skutečnost, že od nich odstoupily, a to jakmile takové odstoupení nabude účinku.
§ 13 odst. 1
(1)
Poskytovatel regulované služby
a)
identifikuje všechna primární aktiva v rámci celé organizace,
b)
určí, která primární aktiva identifikovaná podle písmene a) souvisejí s poskytováním regulované služby, a
c)
u primárních aktiv určených podle písmene b) identifikuje a určí související organizační části organizace a podpůrná aktiva.
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
§ 14 odst. 1 a 2
(1)
Bezpečnostními opatřeními jsou organizační a technická opatření, jejichž cílem je zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv.
(2)
Poskytovatel regulované služby je povinen v rámci stanoveného rozsahu zavést a provádět bezpečnostní opatření podle § 15 alespoň v míře a způsobem stanoveným vyhláškou Úřadu.
32022L2555
Čl. 20
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
2. Členské státy zajistí, aby členové řídících orgánů základních a důležitých subjektů museli absolvovat školení, a vybízí základní a důležité subjekty, aby pravidelně nabízely podobné školení svým zaměstnancům, aby tak získali dostatečné znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik a jejich dopad na služby poskytované subjektem.
32022L2555
Čl. 21
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
b) řešení incidentů;
c) řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
5. Do 17. října 2024 přijme Komise prováděcí akty, kterými stanoví technické a metodické požadavky opatření uvedených v odstavci 2, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru.
Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvové požadavky, pokud jde o opatření uvedená v odstavci 2, přičemž tyto požadavky se týkají jiných základních a důležitých subjektů než těch, které jsou uvedeny v prvním pododstavci tohoto odstavce.
Při přípravě prováděcích aktů uvedených v prvním a druhém pododstavci tohoto odstavce se Komise pokud možno řídí evropskými a mezinárodními normami, jakož i příslušnými technickými specifikacemi. Komise si v souladu s čl. 14 odst. 4 písm. e) poskytuje se skupinou pro spolupráci a agenturou ENISA vzájemné poradenství a spolupracuje s nimi, pokud jde o návrhy prováděcích aktů.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 39 odst. 2.
32022L2555
Čl. 25 odst. 1
1. Členské státy za účelem harmonizovaného provádění čl. 21 odst. 1 a 2 podporují používání evropských a mezinárodních norem a technických specifikací upravujících bezpečnost sítí a informačních systémů, aniž by přitom vyžadovaly používání konkrétního druhu technologie nebo diskriminujícím způsobem prosazovaly jeho používání.
§ 15 odst. 1 a 2
(1)
Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
1.
systém řízení bezpečnosti informací,
2.
povinnosti vrcholného vedení,
3.
bezpečnostní role,
4.
řízení bezpečnostní politiky a bezpečnostní dokumentace,
5.
řízení aktiv,
6.
řízení rizik,
7.
řízení dodavatelů,
8.
bezpečnost lidských zdrojů,
9.
řízení změn,
10.
akvizice, vývoj a údržba,
11.
řízení přístupu,
12.
zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
13.
řízení kontinuity činností a
14.
audit kybernetické bezpečnosti,
b)
technickými opatřeními
1.
fyzická bezpečnost,
2.
bezpečnost komunikačních sítí,
3.
správa a ověřování identit,
4.
řízení přístupových oprávnění,
5.
detekce kybernetických bezpečnostních událostí,
6.
zaznamenávání bezpečnostních a relevantních provozních událostí,
7.
vyhodnocování kybernetických bezpečnostních událostí,
8.
aplikační bezpečnost,
9.
kryptografické algoritmy,
10.
zajišťování dostupnosti regulované služby a
11.
zabezpečení průmyslových, řídících a obdobných specifických technických aktiv.
(2)
Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
a)
zajišťování minimální úrovně kybernetické bezpečnosti,
b)
povinnosti vrcholného vedení,
c)
řízení aktiv,
d)
řízení rizik,
e)
bezpečnost lidských zdrojů,
f)
řízení kontinuity činností,
g)
řízení přístupu,
h)
řízení identit a jejich oprávnění,
i)
detekce a zaznamenávání kybernetických bezpečnostních událostí,
j)
řešení kybernetických bezpečnostních incidentů,
k)
bezpečnost komunikačních sítí,
l)
aplikační bezpečnost a
m)
kryptografické algoritmy.
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
32022L2555
Čl. 20
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
2. Členské státy zajistí, aby členové řídících orgánů základních a důležitých subjektů museli absolvovat školení, a vybízí základní a důležité subjekty, aby pravidelně nabízely podobné školení svým zaměstnancům, aby tak získali dostatečné znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik a jejich dopad na služby poskytované subjektem.
32022L2555
Čl. 21
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
b) řešení incidentů;
c) řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
5. Do 17. října 2024 přijme Komise prováděcí akty, kterými stanoví technické a metodické požadavky opatření uvedených v odstavci 2, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru.
Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvové požadavky, pokud jde o opatření uvedená v odstavci 2, přičemž tyto požadavky se týkají jiných základních a důležitých subjektů než těch, které jsou uvedeny v prvním pododstavci tohoto odstavce.
Při přípravě prováděcích aktů uvedených v prvním a druhém pododstavci tohoto odstavce se Komise pokud možno řídí evropskými a mezinárodními normami, jakož i příslušnými technickými specifikacemi. Komise si v souladu s čl. 14 odst. 4 písm. e) poskytuje se skupinou pro spolupráci a agenturou ENISA vzájemné poradenství a spolupracuje s nimi, pokud jde o návrhy prováděcích aktů.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 39 odst. 2.
32022L2555
Čl. 25 odst. 1
1. Členské státy za účelem harmonizovaného provádění čl. 21 odst. 1 a 2 podporují používání evropských a mezinárodních norem a technických specifikací upravujících bezpečnost sítí a informačních systémů, aniž by přitom vyžadovaly používání konkrétního druhu technologie nebo diskriminujícím způsobem prosazovaly jeho používání.
§ 16 odst. 1 a 2
(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen v rámci stanoveného rozsahu hlásit Úřadu všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a nelze u nich ve lhůtě podle § 17 odst. 1 vyloučit úmyslné zavinění.
(2) Poskytovatel regulované služby v režimu nižších povinností je povinen v rámci stanoveného rozsahu hlásit národnímu týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (dále jen „Národní CERT“) všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru, mají významný dopad na poskytování regulované služby a nelze u nich ve lhůtě podle § 17 odst. 1 vyloučit úmyslné zavinění.
32022L2555
Čl. 23 odst. 1 a 3
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
Pokud dotčené subjekty oznámí příslušnému orgánu významný incident podle prvního pododstavce, členský stát zajistí, aby příslušný orgán toto oznámení po jeho obdržení předal týmu CSIRT.
V případě přeshraničního nebo meziodvětvového významného incidentu členské státy zajistí, aby jejich jednotná kontaktní místa včas obdržela příslušné informace v souladu s odstavcem 4.
3. Incident se považuje za významný, jestliže:
a) dotčenému subjektu způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty;
b) způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.
32022L2555
Čl. 32 odst. 2 písm. e) a f)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti
předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
(…)
§ 16 odst. 5
(5)
Nad rámec odstavců 1 a 2 mohou poskytovatelé regulovaných služeb a další orgány a osoby Úřadu hlásit kybernetické bezpečnostní incidenty, především ty, u kterých lze dovodit úmyslné zavinění, kybernetické bezpečnostní události nebo hrozby. Úřadu mohou být anonymně hlášeny také zranitelnosti, zejména pro účely zajištění koordinovaného zveřejňování zranitelností ze strany vládního týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (dále jen „Vládní CERT“).
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
32022L2555
Čl. 32 odst. 2 písm. e) a f)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti
předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
(…)
§ 16 odst. 6
(6)
Tímto ustanovením není dotčena informační povinnost podle jiného právního předpisu nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů.
32022L2555
Čl. 2 odst. 12
12. Touto směrnicí není dotčeno nařízení (EU) 2016/679 a nejsou jí dotčeny směrnice Evropského parlamentu a Rady 2002/58/ES, 2011/93/EU (27) a 2013/40/EU (28) ani směrnice (EU) 2022/2557.
§ 17 odst. 1
(1) Poskytovatel regulované služby bez zbytečného odkladu po zjištění kybernetického bezpečnostního incidentu, nejpozději však do 24 hodin předloží Úřadu nebo Národnímu CERT prvotní hlášení, v němž uvede své identifikační údaje, základní údaje o kybernetickém bezpečnostním incidentu, a dále zda se domnívá, že byl kybernetický bezpečnostní incident způsoben nezákonným zásahem nebo že by mohl mít přeshraniční dopad.
32022L2555
Čl. 23 odst. 4 písm. a)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
a) bez zbytečného odkladu, nejpozději však do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významný incident způsoben nezákonným nebo svévolným zásahem nebo že by mohl mít přeshraniční dopad;
§ 17 odst. 2
(2)
Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1 na základě obsahu hlášení a dalších relevantních informací, zda má kybernetický bezpečnostní incident u poskytovatele regulované služby v režimu vyšších povinností významný dopad na kybernetický prostor státu. Významnost dopadu na kybernetický prostor státu je dána významem dopadu na poskytování regulované služby, odvětvím, ve kterém se kybernetický bezpečnostní incident vyskytl, a aktuální situací v kybernetickém prostoru s potenciálním dopadem na bezpečnost České republiky.
32022L2555
Čl. 23 odst. 5
5. Tým CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu a pokud možno do 24 hodin po obdržení včasného varování podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvotních vyjádření k významnému incidentu, a na žádost subjektu pomoc či podporu při zavádění možných opatření ke zmírnění dopadů. Pokud tým CSIRT není prvotním příjemcem oznámení podle odstavce 1, pomoc či podporu poskytne příslušný orgán ve spolupráci s týmem CSIRT. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření, že má významný incident povahu trestného činu, tým CSIRT nebo příslušný orgán poskytne také pokyny, jak významný incident oznámit orgánům činným v trestním řízení.
§ 17 odst. 3
(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 16 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 předloží poskytovatel regulované služby nad rámec prvotního hlášení podle odstavce 1 Úřadu nebo Národnímu CERT
a)
bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění kybernetického bezpečnostního incidentu oznámení, v němž aktualizuje informace uvedené v odstavci 1, předloží prvotní posouzení kybernetického bezpečnostního incidentu a uvede dopad a indikátory kompromitace, pokud jsou k dispozici; poskytovatel regulovaných služeb vytvářejících důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10) předloží toto oznámení do 24 hodin od okamžiku, kdy se o tomto kybernetickém bezpečnostním incidentu dozvěděl,
b)
na výzvu Úřadu nebo Národního CERT průběžnou zprávu o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu a
c)
nejpozději do 30 dnů od předložení oznámení podle písmene a) závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu; v případě, že po uplynutí uvedené lhůty kybernetický bezpečnostní incident stále trvá, předloží poskytovatel regulované služby bez zbytečného odkladu po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a poté nejpozději do 30 dnů od vyřešení kybernetického bezpečnostního incidentu závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.
10) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
32022L2555
Čl. 23 odst. 4 písm. b) až e)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
b) bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a), předloží prvotní posouzení významného incidentu včetně jeho závažnosti a dopadu a – pokud jsou k dispozici – indikátory kompromitace;
c) na žádost týmu CSIRT nebo případně příslušného orgánu průběžnou zprávu o podstatných aktualizacích stavu;
d) nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
i) podrobný popis incidentu včetně jeho závažnosti a dopadu;
ii) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;
iii) učiněná a probíhající opatření ke zmírnění následků;
iv) případně přeshraniční dopad incidentu;
e) v případě, že v okamžiku, kdy by měla být předložena závěrečná zpráva podle písmene d), incident stále trvá, členské státy zajistí, aby dotčené subjekty v uvedené lhůtě předložily zprávu o pokroku a následně, nejpozději jeden měsíc po tom, co incident vyřešily, závěrečnou zprávu.
Odchylně od prvního pododstavce písm. b) poskytovatel služby vytvářející důvěru oznámí týmu CSIRT nebo případně příslušnému orgánu významné incidenty, které mají dopad na jím poskytované služby, a to bez zbytečného odkladu, nejpozději však do 24 hodin od okamžiku, kdy se o významném incidentu dozvěděl.
§ 17 odst. 4
(4)
Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu Úřadu. Nelze-li využít Portálu Úřadu, zašle poskytovatel regulované služby v režimu vyšších povinností hlášení na adresu elektronické pošty Úřadu určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Úřadu. Poskytovatel regulované služby v režimu nižších povinností zašle v takovém případě hlášení na adresu elektronické pošty Národního CERT určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do jeho datové schránky. Dobrovolná hlášení podle § 16 odst. 5 lze hlásit prostřednictvím internetových stránek Úřadu.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 18 odst. 1 až 4
(1)
Úřad nebo Národní CERT poskytne bez zbytečného odkladu, nejpozději do 24 hodin od obdržení prvotního hlášení podle § 17, poskytovateli regulované služby své vyjádření ke kybernetickému bezpečnostnímu incidentu.
(2)
Na žádost dotčeného poskytovatele regulované služby poskytne Úřad nebo Národní CERT metodickou podporu k provádění možných zmírňujících opatření, a případnou další technickou podporu ke zvládání hlášeného kybernetického bezpečnostního incidentu.
(3)
Orgány a osoby jsou povinny poskytnout na výzvu Úřadu nezbytné informace a další nezbytnou součinnost při zvládání kybernetického bezpečnostního incidentu, pokud nelze sledovaného účelu dosáhnout jinak nebo by bylo jinak jeho dosažení podstatně ztížené. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
(4)
Údaje o kybernetických bezpečnostních incidentech, kybernetických bezpečnostních událostech, hrozbách a zranitelnostech jsou vedeny v evidenci podle § 48.
32022L2555
Čl. 23 odst. 5
5. Tým CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu a pokud možno do 24 hodin po obdržení včasného varování podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvotních vyjádření k významnému incidentu, a na žádost subjektu pomoc či podporu při zavádění možných opatření ke zmírnění dopadů. Pokud tým CSIRT není prvotním příjemcem oznámení podle odstavce 1, pomoc či podporu poskytne příslušný orgán ve spolupráci s týmem CSIRT. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření, že má významný incident povahu trestného činu, tým CSIRT nebo příslušný orgán poskytne také pokyny, jak významný incident oznámit orgánům činným v trestním řízení.
§ 18 odst. 5
(5)
Odstavce 1 až 4 se při zvládání kybernetických bezpečnostních incidentů nahlášených podle § 16 odst. 5 a incidentů oznámených jiným dozorovým orgánem v souvislosti s plněním povinností podle zvláštního odvětvového předpisu ve smyslu § 71 použijí obdobně.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 19
(1) Poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu jmen domén, služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10), služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště11), služby internetového vyhledávače ve smyslu přímo použitelného právního předpisu Evropské unie12), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, je ve vztahu k těmto regulovaným službám povinen v rámci stanoveného rozsahu zavést a provádět vhodná a přiměřená bezpečnostní opatření zahrnující alespoň řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činnosti, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit, a to v míře a způsobem stanoveným prováděcím předpisem Evropské komise, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2022/2555 (dále jen „prováděcí předpis Komise“), pokud jde o technické a metodické požadavky opatření, která jsou uvedení poskytovatelé regulovaných služeb povinni přijímat; § 14 odst. 2 se ve vztahu k těmto regulovaným službám nepoužije.
(2) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1 s výjimkou služby vytvářející důvěru ve smyslu přímo použitelné právního předpisu Evropské unie10), je ve vztahu k této regulované službě povinen v rámci stanoveného rozsahu hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem na poskytování regulované služby; § 16 odst. 1 a 2 se ve věci vymezení incidentů, které je potřeba hlásit, ve vztahu k této regulované službě nepoužijí. Způsob stanovení významného dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví prováděcí předpis Komise. Ve věci způsobu hlášení kybernetických bezpečnostních incidentů se uplatní obecná úprava v § 16 a 17, pokud prováděcí předpis Komise nestanoví zvláštní postup.
(3) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1 s výjimkou služby vytvářející důvěru ve smyslu přímo použitelné právního předpisu Evropské unie10), a který má umístěnu hlavní provozovnu v jiném členském státě Evropské unie nebo má v jiném členském státě Evropské unie ustaveného zástupce, je povinen ve vztahu k této regulované službě plnit povinnosti stanovené tímto zákonem pouze v rozsahu odstavce 1. Povinnosti uložené rozhodnutím nebo opatřením obecné povahy Úřadu na základě tohoto zákona jsou pro poskytovatele regulované služby podle věty první závazné pouze v případě, že tak Úřad v rozhodnutí nebo opatření obecné povahy výslovně stanoví.
(4) Poskytovatel regulované služby uvedené v odstavci 1 zařazený do režimu vyšších povinností je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro orgány a osoby zařazené do kategorie základních subjektů. Poskytovatel regulované služby uvedené v odstavci 1 zařazený do režimu nižších povinností je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro orgány a osoby zařazené do kategorie důležitých subjektů.
(5) Plnění povinností poskytovatele regulované služby uvedené v odstavci 1 vůči regulovaným službám neuvedeným v odstavci 1 není použitím tohoto ustanovení dotčeno.
10) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
11) On-line tržiště ve smyslu zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů.
12) Čl. 2 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb.
32022L2555
Čl. 2 odst. 9
9. Odstavce 7 a 8 se nepoužijí, pokud subjekt jedná jako poskytovatel služeb vytvářejících důvěru.
32022L2555
Čl. 6 odst. 24
Pro účely této směrnice se rozumí:
24) „službou vytvářející důvěru“ služba vytvářející důvěru ve smyslu čl. 3 bodu 16 nařízení (EU) č. 910/2014;
32022L2555
Čl. 6 odst. 28
Pro účely této směrnice se rozumí:
28) „on-line tržištěm“ on-line tržiště ve smyslu čl. 2 písm. n) směrnice Evropského parlamentu a Rady 2005/29/ES (31);
32022L2555
Čl. 6 odst. 29
Pro účely této směrnice se rozumí:
29) „internetovým vyhledávačem“ internetový vyhledávač ve smyslu čl. 2 bodu 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 (32);
32022L2555
Čl. 21 odst. 5
5. Do 17. října 2024 přijme Komise prováděcí akty, kterými stanoví technické a metodické požadavky opatření uvedených v odstavci 2, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru.
Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvové požadavky, pokud jde o opatření uvedená v odstavci 2, přičemž tyto požadavky se týkají jiných základních a důležitých subjektů než těch, které jsou uvedeny v prvním pododstavci tohoto odstavce.
Při přípravě prováděcích aktů uvedených v prvním a druhém pododstavci tohoto odstavce se Komise pokud možno řídí evropskými a mezinárodními normami, jakož i příslušnými technickými specifikacemi. Komise si v souladu s čl. 14 odst. 4 písm. e) poskytuje se skupinou pro spolupráci a agenturou ENISA vzájemné poradenství a spolupracuje s nimi, pokud jde o návrhy prováděcích aktů.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 39 odst. 2.
32022L2555
Čl. 23 odst. 11
11. Komise může přijmout prováděcí akty dále upřesňující druh informací, formát a postup oznámení předkládaných podle odstavce 1 tohoto článku a podle článku 30 a informací poskytnutých podle odstavce 2 tohoto článku.
§ 20 odst. 1
(1)
Pokud to poskytovatel regulované služby považuje za vhodné, oznámí bez zbytečného odkladu uživatelům regulované služby kybernetický bezpečnostní incident s významným dopadem, který by mohl negativně ovlivnit poskytování této služby. Úřad je oprávněn poskytovateli regulované služby, který je dotčen kybernetickým bezpečnostním incidentem s významným dopadem, po konzultaci s tímto poskytovatelem regulované služby, uložit povinnost informovat uživatele regulované služby o tomto incidentu. V rozhodnutí o uložení této povinnosti stanoví Úřad rozsah informační povinnosti.
32022L2555
Čl. 23 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
Pokud dotčené subjekty oznámí příslušnému orgánu významný incident podle prvního pododstavce, členský stát zajistí, aby příslušný orgán toto oznámení po jeho obdržení předal týmu CSIRT.
V případě přeshraničního nebo meziodvětvového významného incidentu členské státy zajistí, aby jejich jednotná kontaktní místa včas obdržela příslušné informace v souladu s odstavcem 4.
§ 20 odst. 2
(2)
Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele regulované služby, který může být ovlivněn významnou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší. V případě, že je to možné a vhodné, informuje poskytovatel regulované služby uživatele také o této významné hrozbě.
32022L2555
Čl. 23 odst. 2
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné.
32022L2555
Čl. 32 odst. 1 a 4 písm. e)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
32022L2555
Čl. 33 odst. 1 a 4 písm. e)
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
§ 21 odst. 3
(3)
Nestanoví-li Úřad v protiopatření jinak, je poskytovatel regulované služby povinen bez zbytečného odkladu, nejpozději však ve lhůtě dané protiopatřením, oznámit Úřadu provedení protiopatření a jeho výsledek. Obsahové náležitosti, formát a způsob oznámení stanoví Úřad vyhláškou. Orgány a osoby jsou povinny poskytovat Úřadu při zajišťování podkladů pro vydání protiopatření nezbytnou součinnost. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
32022L2555
Čl. 32 odst. 2 písm. e) a f) a odst. 4 písm. b)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti
předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
(…)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
32022L2555
Čl. 33 odst. 2 písm. e)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti s důležitými subjekty pravomoc podrobit tyto subjekty alespoň:
e) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon jejich dohledových úkolů;
§ 22
(1)
Úřad je po konzultaci s dotčeným poskytovatelem regulované služby z důvodu ochrany vnitřního či veřejného pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn veřejnost formou výstrahy informovat o kybernetickém bezpečnostním incidentu či o porušování povinností daných tímto zákonem, nebo dotčenému poskytovateli regulované služby rozhodnutím uložit, aby tak učinil sám.
(2)
Úřad veřejnost o skutečnostech podle odstavce 1 informuje prostřednictvím svých internetových stránek a poskytovatele regulovaných služeb v případě, že je to vhodné, informuje Úřad prostřednictvím Portálu Úřadu.
(3)
Rozhodnutí Úřadu podle odstavce 1 může být prvním úkonem v řízení a rozklad proti němu nemá odkladný účinek.
32022L2555
Čl. 23 odst. 7
7. Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.
32022L2555
Čl. 32 odst. 4 písm. a), b), e) a h)
Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
(…)
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
h) h) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
§ 23
(1)
Úřad vydá varování, dozví-li se o závažné hrozbě nebo zranitelnosti v oblasti kybernetické bezpečnosti.
(2)
Poskytovatel regulované služby v režimu vyšších povinností zohlední varování v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3)
Varování Úřad oznámí dotčeným poskytovatelům regulované služby prostřednictvím Portálu Úřadu a zveřejní jej na úřední desce Úřadu. Úřad varování nezveřejní, pokud by jeho zveřejnění mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření vydaného podle tohoto zákona, jiné oprávněné zájmy státu nebo by na jeho základě bylo možné identifikovat orgán nebo osobu, která hrozbu, zranitelnost nebo s tím související kybernetický bezpečnostní incident ohlásila.
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 32 odst. 4 písm. a)
Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
§ 24 odst. 1 a 2
(1)
Úřad vydá rozhodnutí, ve kterém uloží poskytovateli regulované služby povinnost provést reaktivní protiopatření
a)
k řešení hrozícího či probíhajícího kybernetického bezpečnostního incidentu,
b)
k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, nebo
c)
za účelem zvýšení ochrany aktiv na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu.
(2)
Reaktivní protiopatření je povinen provádět poskytovatel regulované služby v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 32 odst. 4 písm. b)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
§ 36
(1)
Subjekt poskytující služby registrace jmen domén hlásí Úřadu bez zbytečného odkladu, nejpozději však do 30 dnů ode dne, kdy začal poskytovat službu registrace jmen domén, způsobem stanoveným vyhláškou Úřadu následující údaje
a)
název subjektu,
b)
adresu hlavní provozovny a jeho dalších provozoven na území členských států Evropské unie, popřípadě zástupce subjektu podle § 68,
c)
aktuální kontaktní údaje včetně adres elektronické pošty a telefonních čísel subjektu, popřípadě jeho zástupce podle § 68,
d)
členské státy Evropské unie, v nichž subjekt poskytuje své služby, a
e)
rozsah veřejných IP adres subjektu.
(2)
V případě změn v údajích nahlášených podle odstavce 1 aktualizuje subjekt poskytující služby registrace jmen domén nahlášené údaje bez zbytečného odkladu, nejpozději však do 90 dnů ode dne změny.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
§ 37 odst. 1
(1)
Subjekt spravující a provozující registr domén nejvyšší úrovně a subjekt poskytující služby registrace jmen domén shromažďují a uchovávají přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi v souladu s právními předpisy upravujícími ochranu osobních údajů, pokud jde o údaje, které jsou osobními údaji.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 1
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti systému překladu jmen domén, požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén shromažďovaly a uchovávaly přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi, a to s náležitou péčí v souladu s právem Unie v oblasti ochrany údajů, pokud jde o data, jež jsou osobními údaji.
§ 37 odst. 2
(2)
Databáze podle odstavce 1 obsahuje informace nezbytné k identifikaci a kontaktování držitelů jmen domén a kontaktních míst spravujících domény nejvyšší úrovně, a to alespoň
a)
jméno domény,
b)
datum registrace,
c)
jméno držitele jména domény,
d)
adresu elektronické pošty držitele jména domény,
e)
telefonní číslo držitele jména domény,
f)
adresu elektronické pošty a telefonní číslo kontaktního místa spravujícího jméno domény v případě, že se liší od držitele jména domény.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 2
2. Členské státy pro účely odstavce 1 vyžadují, aby databáze údajů o registraci jmen domén obsahovala nezbytné informace umožňující identifikaci a kontaktování držitelů jmen domén a kontaktní místa spravující jména domén v registrech domén nejvyšší úrovně. Tyto informace zahrnují:
a) jméno domény;
b) datum registrace;
c) jméno žadatele o registraci, jeho kontaktní e-mailovou adresu a telefonní číslo;
d) kontaktní e-mailovou adresu a telefonní číslo kontaktního místa spravujícího jméno domény, pokud se liší od kontaktních údajů žadatele o registraci.
§ 37 odst. 3
(3)
Subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén zavádí veřejně dostupné zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování totožnosti držitele jména domény. Tyto zásady a postupy nesmí vést ke zdvojování shromažďovaných dat. Za tímto účelem subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén vzájemně spolupracují. Subjekt spravující a provozující registr domény nejvyšší úrovně a subjekt poskytující služby registrace jmen domén uzavřou písemnou smlouvu o dodržování těchto zásad a postupů.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 3 a 6
3. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly zavedeny zásady a postupy, včetně postupů ověřování, zajišťující, aby databáze uvedené v odstavci 1 zahrnovaly přesné a úplné informace. Členské státy požadují, aby byly tyto zásady a postupy veřejně dostupné.
6. Dodržování povinností stanovených v odstavcích 1 až 5 nesmí při shromažďování údajů o registraci jmen domén vést ke zdvojování. Členské státy požadují, aby za tímto účelem registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén vzájemně spolupracovaly.
§ 37 odst. 5
(5)
Subjekt spravující a provozující registr domén nejvyšší úrovně a subjekt poskytující služby registrace jmen domén bez zbytečného odkladu po registraci jména domény uveřejní její registrační údaje, které nejsou osobními údaji.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 4
4. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén zveřejňovaly bez zbytečného odkladu po registraci jména domény údaje o registraci jména domény, které nejsou osobními údaji.
§ 37 odst. 6
(6)
Subjekt spravující a provozující registr domén nejvyšší úrovně a subjekt poskytující služby registrace jmen domén poskytují přístup ke konkrétním údajům o registraci jména domény na základě zákonných a řádně odůvodněných žádostí oprávněných žadatelů o přístup v souladu s právním předpisem upravujícím ochranu osobních údajů a s přímo použitelným předpisem Evropské unie13), a to bez zbytečného odkladu, nejpozději do 72 hodin od žádosti o přístup. Zásady a postupy pro zveřejňování těchto údajů musejí být veřejně dostupné.
13) Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 5
5. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén poskytovaly přístup ke konkrétním údajům o registraci jmen domén na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právem Unie v oblasti ochrany údajů. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén reagovaly bez zbytečného odkladu, nejpozději však do 72 hodin od obdržení žádosti o přístup. Členské státy požadují, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.
§ 44 odst. 1
(1)
Úřad je ústředním orgánem státní správy14) pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Úřad se svou činností podílí na posilování bezpečnosti a odolnosti České republiky v kybernetickém prostoru.
14) § 2 bod 16. zákona č. 2/1969 Sb., České národní rady o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické republiky, ve znění pozdějších předpisů.
32022L2555
Čl. 8 odst. 1 až 5
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost a úkoly dohledu podle kapitoly VII (dále jen „příslušné orgány“).
2. Příslušné orgány podle odstavce 1 dohlížejí na provádění této směrnice na vnitrostátní úrovni.
3. Každý členský stát určí nebo zřídí jednotné kontaktní místo. Určí-li nebo zřídí-li členský stát pouze jeden příslušný orgán podle odstavce 1, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou spolupráci s jinými příslušnými orgány ve svém členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány a jednotná kontaktní místa disponovaly odpovídajícími zdroji pro účinné a účelné plnění svěřených úkolů, a tím pro naplnění cílů této směrnice.
§ 44 odst. 3 písm. t)
(3)
Úřad
t)
provádí kontrolu plnění povinností podle tohoto zákona a ukládá nápravná opatření,
32022L2555
Čl. 8 odst. 2
2. Příslušné orgány podle odstavce 1 dohlížejí na provádění této směrnice na vnitrostátní úrovni.
32022L2555
Čl. 31 odst. 1, 2 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 4
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) určit na stanovenou dobu pracovníka pro sledování s přesně vymezenými úkoly, který bude dohlížet na dodržování článků 21 a 23 ze strany dotčených subjektů;
h) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 1
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
§ 44 odst. 3 písm. u)
u) ukládá správní tresty a další sankce za nedodržení povinností stanovených tímto zákonem,
32022L2555
Čl. 31 odst. 1, 2 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 4 písm. i)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 1
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
§ 44 odst. 3 písm. v) až x)
(3)
Úřad
v)
poskytuje nezbytnou součinnost na základě žádosti dozorového orgánu jiného členského státu Evropské unie,
w)
vydává rozhodnutí o pozastavení platnosti evropského certifikátu kybernetické bezpečnosti nebo o povinnosti subjektu posuzování shody pozastavit platnost certifikátu nebo osvědčení podle § 62 a
x)
podává soudu návrh na pozastavení výkonu řídící funkce a vydává osvědčení podle § 63.
32022L2555
Čl. 31 odst. 1, 2 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
§ 44 odst. 4 písm. b)
(4)
Úřad dále
b)
nejméně každých 5 let zpracuje a vládě ke schválení předloží národní strategii kybernetické bezpečnosti15) a akční plán k jejímu naplňování,
15) Čl. 7 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 6 odst. 4
Pro účely této směrnice se rozumí:
4) „národní strategií kybernetické bezpečnosti“ soudržný rámec členského státu vymezující strategické cíle a priority v oblasti kybernetické bezpečnosti a správy za účelem jejich dosažení v tomto členském státě;
32022L2555
Čl. 7 odst. 1, 2 a 4
1. Každý členský stát přijme národní strategii kybernetické bezpečnosti, která stanovuje strategické cíle, zdroje potřebné k dosažení těchto cílů a příslušné politiky a regulační opatření s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti a udržovat ji. Národní strategie kybernetické bezpečnosti zahrnuje:
a) cíle a priority strategie kybernetické bezpečnosti členského státu týkající se zejména odvětví uvedených v přílohách I a II;
b) rámec správy k dosažení těchto cílů a priorit uvedených v tomto odstavci písm. a), včetně politik uvedených v odstavci 2;
c) rámec správy, který vyjasňuje úlohy a povinnosti příslušných zúčastněných stran na vnitrostátní úrovni, na němž se zakládá spolupráce a koordinace na vnitrostátní úrovni mezi příslušnými orgány, jednotnými kontaktními místy a týmy CSIRT podle této směrnice, jakož i koordinace a spolupráce mezi těmito subjekty a příslušnými orgány podle odvětvových právních aktů Unie;
d) mechanismus za účelem určení relevantních zařízení a hodnocení rizik v tomto členském státě;
e) určení opatření zajišťujících připravenost, schopnost reakce a obnovu při incidentech, včetně spolupráce veřejného a soukromého sektoru;
f) seznam různých orgánů a zúčastněných stran zapojených do provádění národní strategie kybernetické bezpečnosti;
g) rámec politiky pro lepší koordinaci mezi příslušnými orgány podle této směrnice a příslušnými orgány podle směrnice (EU) 2022/2557 pro účely sdílení informací o rizicích, kybernetických hrozbách a incidentech a o jiných než kybernetických rizicích, hrozbách a incidentech, případně pro výkon úkolů v oblasti dohledu;
h) plán, včetně nezbytných opatření, ke zlepšení obecné úrovně povědomí občanů o kybernetické bezpečnosti.
§ 44 odst. 4 písm. c) bod 1
(4)
Úřad dále
c)
v oblasti kybernetické bezpečnosti a v souvislosti s ní
1. spolupracuje s orgány a osobami, které působí v této oblasti a v oblasti kybernetické obrany, zejména s veřejnoprávními korporacemi, výzkumnými a vývojovými pracovišti a s ostatními pracovišti typu CERT,
32022L2555
Čl. 13 odst. 1
1. Pokud existují příslušné orgány, jednotné kontaktní místo a tým CSIRT téhož členského státu odděleně, při plnění povinností stanovených touto směrnicí vzájemně spolupracují.
32022L2555
Čl. 23 odst. 10
10. Týmy CSIRT nebo případně příslušné orgány poskytnou příslušným orgánům podle směrnice (EU) 2022/2557 informace o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30 subjekty určenými jakožto kritické subjekty podle směrnice (EU) 2022/2557.
§ 44 odst. 4 písm. c) bod 2
(1) Úřad dále
c)
v oblasti kybernetické bezpečnosti a v souvislosti s ní
2. zajišťuje mezinárodní spolupráci v souladu s právními předpisy upravujícími činnost ústředních orgánů státní správy16),
16) § 25 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České socialistické republiky, ve znění pozdějších předpisů.
32022L2555
Čl. 10 odst. 10
10. Členské státy si mohou při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.
§ 44 odst. 4 písm. e)
(4)
Úřad dále
e)
plní povinnosti vůči Evropské komisi, Agentuře Evropské unie pro kybernetickou bezpečnost, Agentuře Evropské unie pro Kosmický program, Skupině pro spolupráci, Síti Computer Security Incident Response Team (dále jen „Síť CSIRT“), Evropské síti styčných organizací pro řešení kybernetických krizí a dalším subjektům podle příslušného předpisu Evropské unie17)
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 6 odst. 7
Pro účely této směrnice se rozumí:
7) „rozsáhlým kybernetickým bezpečnostním incidentem“ incident, který způsobí úroveň narušení, jež přesahuje schopnost členského státu na takový incident reagovat, nebo který má významný dopad na nejméně dva členské státy;
32022L2555
Čl. 9 odst. 3 a 5
3. Každý členský stát určí kapacity, prostředky a postupy, které mohou být nasazeny v případě krize pro účely této směrnice.
32022L2555
Čl. 14 odst. 3 až 9
3. Skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Činností skupiny pro spolupráci se jako pozorovatel účastní Evropská služba pro vnější činnost. Činností skupiny pro spolupráci se mohou v souladu s čl. 47 odst. 1 nařízení (EU) 2022/2554účastnit evropské orgány dohledu a příslušné orgány podle uvedeného nařízení.
V příslušném případě může skupina pro spolupráci přizvat ke spolupráci Evropský parlament a zástupce příslušných zúčastněných stran.
Sekretariát zajišťuje Komise.
4. Skupina pro spolupráci má tyto úkoly:
a) poskytovat pokyny příslušným orgánům v souvislosti s prováděním této směrnice ve vnitrostátním právu a jejím uplatňováním;
b) poskytovat pokyny příslušným orgánům v souvislosti s vypracováváním a prováděním politik v oblasti koordinovaného zveřejňování zranitelností, jak je uvedeno v čl. 7 odst. 2 písm. c);
c) vyměňovat si osvědčené postupy a informace související s uplatňováním této směrnice, včetně informací souvisejících s kybernetickými hrozbami, incidenty, zranitelnostmi, významnými událostmi, iniciativami zaměřenými na zvyšování povědomí, školením, cvičeními a dovednostmi, budováním kapacit, normami a technickými specifikacemi, jakož i s určováním základních a důležitých subjektů podle čl. 2 odst. 2 písm. b) až e);
d) vyměňovat si doporučení a spolupracovat s Komisí na nových politických iniciativách v oblasti kybernetické bezpečnosti a na celkové soudržnosti odvětvových požadavků na kybernetickou bezpečnost;
e) vyměňovat si rady a spolupracovat s Komisí na návrzích aktů v přenesené pravomoci či prováděcích aktů přijímaných podle této směrnice;
f) vyměňovat si osvědčené postupy a informace s příslušnými orgány, institucemi a jinými subjekty Unie;
g) vyměňovat si názory na provádění odvětvových právních aktů Unie, které obsahují ustanovení o kybernetické bezpečnosti;
h) případně projednávat zprávy o vzájemném hodnocení uvedené v čl. 19 odst. 9 a vypracovávat závěry a doporučení;
i) provádět koordinované posouzení bezpečnostních rizik kritických dodavatelských řetězců v souladu s čl. 22 odst. 1;
j) projednávat případy vzájemné pomoci, včetně zkušeností a výsledků přeshraničních společných činností v oblasti dohledu uvedených v článku 37;
k) na žádost jednoho nebo více dotčených členských států projednávat konkrétní žádosti o vzájemnou pomoc podle článku 37;
l) poskytovat strategické pokyny síti CSIRT a EU-CyCLONe ke konkrétním nově vznikajícím problémům;
m) vyměňovat si názory na následná opatření po rozsáhlých kybernetických bezpečnostních incidentech a krizích na základě zkušeností získaných v rámci sítě CSIRT a EU-CyCLONe;
n) přispívat ke schopnostem v oblasti kybernetické bezpečnosti v celé Unii usnadňováním výměny úředníků členských států prostřednictvím programu budování kapacit zahrnujícího pracovníky z příslušných orgánů nebo týmů CSIRT;
o) pořádat pravidelná společná setkání s příslušnými soukromými zúčastněnými stranami z celé Unie za účelem projednávání činností vykonávaných skupinou pro spolupráci a shromažďování poznatků o nových výzvách v oblasti této politiky;
p) projednávat práci vykonávanou ve vztahu ke cvičením v oblasti kybernetické bezpečnosti, včetně práce prováděné agenturou ENISA;
q) stanovit metodiku a organizační aspekty vzájemných hodnocení uvedených v čl. 19 odst. 1 a vypracovat metodiku sebehodnocení pro členské státy v souladu s čl. 19 odst. 5 za pomoci Komise a agentury ENISA a ve spolupráci s Komisí a agenturou ENISA vypracovat kodexy chování, na nichž budou založeny pracovní metody určených odborníků na kybernetickou bezpečnost v souladu s čl. 19 odst. 6;
r) připravovat zprávy o zkušenostech získaných ze strategické úrovně a ze vzájemných hodnocení pro účely přezkumu uvedeného v článku 40;
s) pravidelně projednávat a provádět hodnocení aktuálního stavu kybernetických hrozeb nebo incidentů, například v souvislosti s ransomware.
Skupina pro spolupráci předkládá zprávy podle prvního pododstavce písm. r) Komisi, Evropskému parlamentu a Radě.
5. Členské státy zajistí, aby jejich zástupci ve skupině pro spolupráci účinně, účelně a spolehlivě spolupracovali.
6. Skupina pro spolupráci si může od sítě CSIRT vyžádat odbornou zprávu o vybraných tématech.
7. Do 1. února 2024 a poté každé dva roky vypracuje skupina pro spolupráci pracovní program týkající se činností, jež mají být realizovány za účelem plnění jejích cílů a úkolů.
8. Komise může přijmout prováděcí akty, kterými stanoví procesní pravidla nezbytná pro fungování skupiny pro spolupráci.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 39 odst. 2.
Komise si v souladu s odst. 4 písm. e) poskytuje se skupinou pro spolupráci vzájemné poradenství a spolupracuje s ní, pokud jde o návrhy prováděcích aktů uvedených v prvním pododstavci tohoto odstavce.
9. Skupina pro spolupráci se schází pravidelně, a vždy alespoň jednou ročně, se skupinou pro odolnost kritických subjektů zřízenou podle směrnice (EU) 2022/2557za účelem podpory a usnadnění strategické spolupráce a výměny informací.
32022L2555
Čl. 16 odst. 2 až 7
2. Síť EU-CyCLONe je tvořena zástupci orgánů členských států pro řešení kybernetických krizí a v případech, kdy potenciální nebo probíhající rozsáhlý kybernetický bezpečnostní incident má nebo pravděpodobně bude mít významný dopad na služby a činnosti spadající do oblasti působnosti této směrnice, jsou jejími členy také zástupci Komise. V jiných případech se činností sítě EU-CyCLONe Komise účastní jako pozorovatel.
7. Síť EU-CyCLONe do 17. července 2024 a poté každých 18 měsíců předloží Evropskému parlamentu a Radě zprávu, v níž posoudí svou činnost.
32022L2555
Čl. 34 odst. 8
8. Neumožňuje-li právo členského státu uložení správních pokut, tento členský stát zajistí, že se tento článek uplatní tak, aby podnět k uložení pokuty dal příslušný orgán a aby pokuta byla uložena příslušnými vnitrostátními soudy, přičemž současně je třeba zajistit, aby tyto prostředky právní nápravy byly účinné a aby byl jejich účinek rovnocenný správním pokutám, jež ukládají příslušné orgány. Uložené pokuty musí být v každém případě účinné, přiměřené a odrazující. Členský stát oznámí Komisi do 17. října 2024 příslušná ustanovení právních předpisů, která přijme podle tohoto odstavce, a bez prodlení jakoukoli následnou novelu nebo změnu týkající se těchto ustanovení.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 44 odst. 4 písm. f)
(4)
Úřad dále
f)
je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie a je příslušným orgánem v České republice podle příslušného předpisu Evropské unie18), a zajišťuje vysílání zástupců do Skupiny pro spolupráci, Sítě CSIRT a Evropské sítě styčných organizací pro řešení kybernetických krizí,
18) Čl. 8 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 6 odst. 7
Pro účely této směrnice se rozumí:
7) „rozsáhlým kybernetickým bezpečnostním incidentem“ incident, který způsobí úroveň narušení, jež přesahuje schopnost členského státu na takový incident reagovat, nebo který má významný dopad na nejméně dva členské státy;
32022L2555
Čl. 8 odst. 1, 3 a 4
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost a úkoly dohledu podle kapitoly VII (dále jen „příslušné orgány“).
3. Každý členský stát určí nebo zřídí jednotné kontaktní místo. Určí-li nebo zřídí-li členský stát pouze jeden příslušný orgán podle odstavce 1, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou spolupráci s jinými příslušnými orgány ve svém členském státě.
32022L2555
Čl. 9 odst. 1 až 4
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí (dále jen „orgány pro řešení kybernetických krizí“). Členské státy zajistí, aby tyto orgány disponovaly odpovídajícími zdroji pro účinné a účelné plnění svěřených úkolů. Členské státy zajistí soudržnost se stávajícími rámci pro obecné vnitrostátní krizové řízení.
2. Pokud členský stát určí nebo zřídí více než jeden příslušný orgán pro řešení kybernetických krizí podle odstavce 1, jasně uvede, který z těchto orgánů bude působit jako koordinátor pro řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí.
3. Každý členský stát určí kapacity, prostředky a postupy, které mohou být nasazeny v případě krize pro účely této směrnice.
4. Každý členský stát přijme národní plán reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, v němž budou stanoveny cíle a ujednání řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí. V uvedeném plánu se stanoví zejména:
a) cíle vnitrostátních opatření a činností v oblasti připravenosti;
b) úkoly a odpovědnost orgánů pro řešení kybernetických krizí;
c) postupy řešení kybernetické krize, včetně jejich začlenění do obecných vnitrostátních rámců pro krizové řízení, a kanály pro výměnu informací;
d) vnitrostátní opatření v oblasti připravenosti včetně cvičení a školení;
e) příslušné veřejné a soukromé zúčastněné strany a zapojená infrastruktura;
f) vnitrostátní postupy a ujednání mezi příslušnými vnitrostátními orgány a subjekty, aby byla zajištěna účinná účast členského státu a podpora koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na úrovni Unie.
32022L2555
Čl. 25 odst. 2
2. Agentura ENISA ve spolupráci se členskými státy, a případně po konzultaci s příslušnými zúčastněnými stranami, vydá doporučení a pokyny týkající se technických oblastí, které by měly být zohledněny ve vztahu k odstavci 1, jakož i s ohledem na již existující normy, včetně národních norem, které by umožnily tyto oblasti pokrýt.
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 44 odst. 4 písm. g)
(4)
Úřad dále
g)
v případě potřeby se podílí na procesu vzájemného hodnocení podle příslušného předpisu Evropské unie19) a metodiky a organizačních aspektů vzájemného hodnocení vypracovaných Skupinou pro spolupráci podle tohoto příslušného předpisu Evropské unie,
19) Čl. 19 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 19
1. Skupina pro spolupráci do 17. ledna 2025 s pomocí Komise a agentury ENISA a případně sítě CSIRT vypracuje metodiku a organizační aspekty vzájemných hodnocení s cílem poučit se ze společných zkušeností, posílit vzájemnou důvěru, dosáhnout společné vysoké úrovně kybernetické bezpečnosti a posílit schopnosti a politické strategie členských států v oblasti kybernetické bezpečnosti, které jsou nezbytné pro provádění této směrnice. Účast na vzájemných hodnoceních je dobrovolná. Vzájemná hodnocení provádějí odborníci na kybernetickou bezpečnost. Odborníky na kybernetickou bezpečnost určí nejméně dva členské státy, které nejsou posuzovanými členskými státy.
Vzájemná hodnocení musí zahrnovat alespoň jeden z následujících aspektů:
a) úroveň provádění opatření k řízení kybernetických bezpečnostních rizik a plnění oznamovacích povinností stanovených v článcích 21 a 23;
b) úroveň kapacit, včetně dostupných finančních, technických a lidských zdrojů, a účinnost plnění úkolů příslušných orgánů;
c) provozní kapacity týmů CSIRT;
d) úroveň uskutečňování vzájemné pomoci podle článku 37;
e) úroveň provádění ujednání o sdílení informací o kybernetické bezpečnosti podle článku 29;
f) specifické otázky přeshraniční nebo meziodvětvové povahy.
2. Metodika uvedená v odstavci 1 zahrnuje objektivní, nediskriminační, korektní a transparentní kritéria, na jejichž základě členské státy určí odborníky na kybernetickou bezpečnost způsobilé provádět vzájemná hodnocení. Komise a agentura ENISA se budou vzájemných hodnocení účastnit jako pozorovatelé.
3. Pro účely vzájemného hodnocení mohou členské státy určit konkrétní otázky, jak je uvedeno v odst. 1 písm. f).
4. Před zahájením vzájemného hodnocení podle odstavce 1 oznámí členské státy zúčastněným členským státům jeho rozsah, včetně konkrétních otázek, jež byly ve smyslu odstavce 3 určeny.
5. Před zahájením vzájemného hodnocení mohou členské státy provést sebehodnocení posuzovaných aspektů, které poté poskytnou určeným odborníkům na kybernetickou bezpečnost. Metodiku sebehodnocení členských států stanoví skupina pro spolupráci za pomoci Komise a agentury ENISA.
6. Vzájemná hodnocení zahrnují osobní nebo virtuální návštěvy na místě i externí výměny informací. S ohledem na zásadu dobré spolupráce poskytnou členské státy podléhající vzájemnému hodnocení určeným odborníkům na kybernetickou bezpečnost informace potřebné k posouzení, aniž by tím bylo dotčeno právo členských států nebo Unie týkající se ochrany důvěrných či utajovaných informací nebo plnění základních funkcí státu, jako je národní bezpečnost. Skupina pro spolupráci ve spolupráci s Komisí a agenturou ENISA vypracuje vhodné kodexy chování, které budou tvořit základ pracovních metod určených odborníků na kybernetickou bezpečnost. Veškeré informace získané v rámci vzájemného hodnocení lze použít pouze pro tento účel. Odborníci na kybernetickou bezpečnost účastnící se vzájemného hodnocení nesmí sdělit žádné citlivé nebo důvěrné informace získané v průběhu tohoto vzájemného hodnocení žádným třetím stranám.
7. Tytéž aspekty, které již byly v členském státě předmětem vzájemného hodnocení, nepodléhají v tomto členském státě v průběhu dvou let po ukončení vzájemného hodnocení dalšímu posuzování, pokud o to členský stát nepožádá nebo pokud to není výsledkem dohody na základě návrhu skupiny pro spolupráci.
8. Členské státy zajistí, aby byly ostatní členské státy, skupina pro spolupráci, Komise a agentura ENISA před zahájením vzájemného hodnocení informovány o jakémkoli riziku střetu zájmů týkajícím se určených odborníků na kybernetickou bezpečnost. Členský stát podléhající vzájemnému hodnocení může vznést námitku vůči určení konkrétních odborníků na kybernetickou bezpečnost, a to na základě řádného odůvodnění, které sdělí členskému státu, který tyto odborníky určil.
9. Odborníci na kybernetickou bezpečnost účastnící se vzájemných hodnocení vypracují návrhy zpráv o zjištěních a závěrech těchto vzájemných hodnocení. Členské státy podléhající vzájemnému hodnocení mohou předložit připomínky k návrhům zpráv, které se jich týkají, a tyto připomínky se poté ke zprávám připojí. Zprávy obsahují doporučení, jejichž cílem je dosáhnout zlepšení v aspektech, jichž se vzájemné hodnocení týká. Zprávy se předloží skupině pro spolupráci a v příslušném případě síti CSIRT. Členský stát podléhající vzájemnému hodnocení se může rozhodnout svou zprávu nebo její upravenou verzi zveřejnit.
§ 44 odst. 4 písm. h)
(4)
Úřad dále
h)
vykonává působnost v oblasti veřejné regulované služby Evropského programu družicové navigace Galileo, zejména plní funkce příslušného orgánu veřejné regulované služby (PRS) podle přímo použitelného předpisu Evropské unie20),
20) Čl. 5 rozhodnutí Evropského parlamentu a Rady (EU) 1104/2011.
32011D1104
Čl. 5 odst. 1 písm. a)
1. Příslušný orgán PRS je určen:
a) každým členským státem, který využívá PRS, a každým členským státem, na jehož území je usazen jakýkoli ze subjektů uvedených v čl. 7 odst. 1; v takových případech se příslušný orgán PRS zřídí na území dotčeného členského státu a tento stát o určení orgánu neprodleně uvědomí Komisi;
§ 44 odst. 4 písm. i)
(4)
Úřad dále
i)
vykonává působnost ve vybraných oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb v rámci Kosmického programu Evropské Unie, zejména plní funkce příslušného orgánu pro družicovou komunikaci v rámci státní správy (GOVSATCOM) podle přímo použitelného předpisu Evropské Unie21),
21) Čl. 68 nařízení Evropského parlamentu a Rady č. 2021/696.
32021R0696
Čl. 34 odst. 6 písm. b)
6. Za účelem zajištění ochrany pozemní infrastruktury, jež tvoří nedílnou součást programu a je umístěn na jejich území, členské státy:
b) provádějí úkoly bezpečnostní akreditace uvedené v článku 42 tohoto nařízení.
§ 44 odst. 4 písm. j)
(4)
Úřad dále
j)
vykonává působnost ve vybraných oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb v rámci Programu Evropské unie pro bezpečnou konektivitu, zejména plní funkce příslušného orgánu pro bezpečnou konektivitu podle přímo použitelného předpisu Evropské unie22).
22) Čl. 11 nařízení Evropského parlamentu a Rady č. 2023/588
32023R0588
Čl. 11
1. Členské státy, Rada, Komise a ESVČ jsou účastníky programu, pokud udělí oprávnění uživatelům služeb státní správy nebo poskytnou kapacity, prostory nebo zařízení.
2. Agentury a subjekty Unie se mohou stát účastníky programu pouze tehdy, je-li to nezbytné k vykonávání jejich úkolů, a v souladu s podrobnými pravidly stanovenými správní dohodou uzavřenou mezi dotčenou agenturou nebo subjektem a orgánem Unie, jenž nad nimi provádí dozor.
3. Třetí země a mezinárodní organizace se mohou stát účastníky programu v souladu s článkem 39.
4. Každý účastník programu určí jeden příslušný orgán pro bezpečnou konektivitu.
Má se za to, že účastníci programu vyhověli požadavku uvedenému v prvním pododstavci, pokud splňují obě tato kritéria:
a) jsou rovněž účastníky GOVSATCOM v souladu s článkem 68 nařízení (EU) 2021/696;
b) určili příslušný orgán v souladu s čl. 68 odst. 4 nařízení (EU) 2021/696.
5. Prioritizaci služeb státní správy mezi uživateli, které oprávnili jednotliví účastníci programu, určuje a provádí daný účastník programu.
6. Příslušný orgán pro bezpečnou konektivitu uvedený v odstavci 4 zajistí, aby:
a) používání služeb státní správy bylo v souladu s obecnými bezpečnostními požadavky uvedenými v čl. 30 odst. 3;
b) byla určena a spravována přístupová práva k službám státní správy;
c) uživatelská zařízení nezbytná k využívání služeb státní správy a související elektronická komunikační spojení a informace byly využívány a řízeny v souladu s obecnými bezpečnostními požadavky uvedenými v čl. 30 odst. 3;
d) bylo zřízeno ústřední kontaktní místo, které bude podle potřeby pomáhat při podávání zpráv o bezpečnostních rizicích a hrozbách, zejména pokud jde o detekci potenciálně škodlivého elektromagnetického rušení ovlivňujícího služby tohoto programu.
§ 44 odst. 4 písm. k)
(4)
Úřad dále
k)
je vnitrostátním orgánem certifikace kybernetické bezpečnosti podle přímo použitelného předpisu Evropské unie23),
23) Čl. 58 nařízení Evropského parlamentu a Rady (EU) 2019/881.
32019R0881
čl. 58 odst. 1
1. Každý členský stát určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na svém území, nebo se souhlasem jiného členského státu určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti zřízených v tomto jiném členském státě, které budou v určujícím členském státě odpovídat za dozor.
§ 44 odst. 4 písm. l)
(4)
Úřad dále
l)
působí jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti pro Českou republiku podle přímo použitelného předpisu Evropské unie24),
24) Nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 6 odst. 1 a odst. 5
1. Do 29. prosince 2021 každý členský stát určí jeden subjekt, který splňuje kritéria stanovená v odstavci 5, aby působil jako národní koordinační centrum pro účely tohoto nařízení. Každý členský stát oznámí tento subjekt neprodleně správní radě. Tímto subjektem může být i subjekt, který je již v uvedeném členském státě zřízen. Lhůta uvedená v prvním pododstavci tohoto odstavce se prodlouží o dobu, v níž má Komise vydat stanovisko uvedené
v odstavci 2.
§ 44 odst. 4 písm. m)
(4)
Úřad dále
m)
zřizuje a podporuje platformy sloužící ke sdílení informací v oblasti kybernetické bezpečnosti a stanovuje pravidla jejich fungování a
32022L2555
Čl. 10
1. Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
2. Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3.
3. Členské státy zajistí, aby měl každý tým CSIRT k dispozici přístup k odpovídající, bezpečné a odolné komunikační a informační infrastruktuře pro výměnu informací se základními a důležitými subjekty a dalšími příslušnými zúčastněnými stranami. Za tímto účelem členské státy zajistí, aby každý tým CSIRT přispíval k zavedení bezpečných nástrojů pro sdílení informací.
4. Týmy CSIRT spolupracují a v příslušných případech si vyměňují příslušné informace podle článku 29 s odvětvovými nebo meziodvětvovými komunitami základních a důležitých subjektů.
5. Týmy CSIRT se účastní vzájemného hodnocení pořádaného v souladu s článkem 19.
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
7. Týmy CSIRT mohou navázat spolupráci s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí. Členské státy v rámci takové spolupráce usnadňují účinnou, účelnou a bezpečnou výměnu informací s těmito národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, a to za použití příslušných protokolů pro sdílení informací, včetně TLP protokolu. Týmy CSIRT si mohou v souladu s právem Unie v oblasti ochrany údajů vyměňovat relevantní informace s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, včetně osobních údajů.
8. Týmy CSIRT mohou spolupracovat s národními týmy pro reakci na počítačové bezpečnostní incidenty ze třetích zemí nebo s obdobnými subjekty ze třetích zemí, zejména za účelem poskytování pomoci v oblasti kybernetické bezpečnosti.
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
10. Členské státy si mohou při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.
32022L2555
Čl. 11
Týmy CSIRT splňují tyto požadavky:
a) týmy CSIRT zajišťují vysokou úroveň dostupnosti svých komunikačních kanálů tím, že předchází kritickým místům
selhání a disponují několika způsoby, jimiž mohou kontaktovat ostatní a jimiž lze kontaktovat je, a to kdykoli; jednoznačně vymezí komunikační kanály a oznámí je spolupracujícím partnerům a subjektům spadajícím do jejich působnosti;
b) pracoviště týmů CSIRT a jejich podpůrné informační systémy se nacházejí na zabezpečeném místě;
c) týmy CSIRT jsou vybaveny vhodným systémem řízení a směrování požadavků, zejména pro usnadnění jejich účinného
a účelného předávání;
d) týmy CSIRT zajišťují důvěrnost a důvěryhodnost svých činností;
e) týmy CSIRT jsou náležitě personálně obsazeny tak, aby jejich služby byly kdykoli k dispozici, a zajistí odpovídající
vyškolení svých pracovníků;
f) týmy CSIRT jsou vybaveny redundantními systémy a záložním pracovním prostorem pro zajištění kontinuity svých
služeb;
Týmy CSIRT se mohou zapojovat do mezinárodních sítí pro spolupráci.
2. Členské státy zajistí, aby jejich týmy CSIRT společně měly technické dovednosti potřebné k plnění úkolů uvedených
v odstavci 3. Členské státy zajistí, aby byly jejich týmům CSIRT přiděleny dostatečné zdroje s cílem zajistit odpovídající personální obsazení, které jim umožní rozvoj jejich technických kapacit.
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti
kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal,
s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na
jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12
odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů. Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
4. Týmy CSIRT navážou spolupráci s příslušnými zúčastněnými stranami v soukromém sektoru za účelem plnění cílů této směrnice.
5. V zájmu usnadnění spolupráce uvedené v odstavci 4 prosazují týmy CSIRT přijetí a používání společných či
standardních postupů, klasifikačních schémat a taxonomií v oblasti:
a) postupů řešení incidentů;
b) krizového řízení a
c) koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1.
32022L2555
Čl. 12 odst. 1
1. Každý členský stát určí jeden ze svých týmů CSIRT jakožto koordinátora za účelem koordinovaného zveřejňování zranitelností. Tým CSIRT určený jakožto koordinátor vystupuje jako důvěryhodný zprostředkovatel, který v případě potřeby a na žádost kterékoli strany usnadňuje interakci mezi fyzickou nebo právnickou osobou oznamující zranitelnost a výrobcem nebo poskytovatelem případných zranitelných produktů IKT nebo služeb IKT. Mezi úkoly týmu CSIRT, který byl určen jakožto koordinátor, náleží:
a) identifikace a kontaktování dotčených subjektů;
b) pomoc fyzickým nebo právnickým osobám oznamujícím zranitelnost; a
c) jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů.
Členské státy zajistí, aby fyzické nebo právnické osoby mohly týmu CSIRT, který byl určen jakožto koordinátor, oznámit zranitelnost na požádání anonymně. Tým CSIRT, který byl určen jakožto koordinátor, zajistí, aby byla s ohledem na oznámenou zranitelnost provedena s náležitou péčí následná opatření, a zajistí anonymitu fyzické nebo právnické osoby oznamující zranitelnost. Pokud by oznámená zranitelnost mohla mít významný dopad na subjekty ve více než jednom členském státě, spolupracují týmy CSIRT, které byly určeny jakožto koordinátoři, z každého dotčeného členského státu v případě potřeby s ostatními týmy CSIRT, které byly určeny jakožto koordinátoři, v rámci sítě CSIRT
32022L2555
Čl. 13 odst. 2 až 5
2. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, obdržely oznámení o významných incidentech podle článku 23 a o incidentech, kybernetických hrozbách a významných událostech podle článku 30.
3. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, informovaly jejich jednotná kontaktní místa o oznámeních o incidentech, kybernetických hrozbách a významných událostech, která byla podána podle této směrnice.
4. S cílem zajistit účinné plnění úkolů a povinností příslušných orgánů, jednotných kontaktních míst a týmů CSIRT zajistí členské státy v co největší možné míře vhodnou spolupráci mezi těmito subjekty a donucovacími orgány, orgány pro ochranu osobních údajů, vnitrostátními orgány podle nařízení (ES) č. 300/2008 a (EU) 2018/1139, orgány dohledu podle nařízení (EU) č. 910/2014, příslušnými orgány podle nařízení (EU) 2022/2554, vnitrostátními regulačními orgány podle směrnice (EU) 2018/1972, příslušnými orgány podle směrnice (EU) 2022/2557, a příslušnými orgány podle dalších odvětvových právních aktů Unie v daném členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle směrnice (EU) 2022/2557spolupracovaly a pravidelně si vyměňovaly informace o určení kritických subjektů, o rizicích, kybernetických hrozbách a incidentech, jakož i o jiných než kybernetických rizicích, hrozbách a incidentech postihujících základní subjekty určené jakožto kritické podle směrnice (EU) 2022/2557, jakož i o opatřeních přijatých v reakci na tato rizika, hrozby a incidenty. Členské státy rovněž zajistí, aby si jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle nařízení (EU) č. 910/2014, nařízení (EU) 2022/2554a směrnice (EU) 2018/1972 pravidelně vyměňovaly relevantní informace, včetně informací o příslušných incidentech a kybernetických hrozbách.
32022L2555
čl. 15 odst. 2
2. Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajišťuje sekretariát a aktivně podporuje spolupráci mezi týmy CSIRT.
32022L2555
Čl. 29 odst. 1 a 4
1. Členské státy zajistí, aby subjekty, na které se vztahuje oblast působnosti této směrnice, a případně jiné subjekty nespadající do oblasti působnosti této směrnice mohly mezi sebou dobrovolně sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, významných událostí, zranitelností, technik a postupů, indikátorů kompromitace, nepřátelských taktik, informací specifických pro daný subjekt a danou hrozbu, varování při ohrožení kybernetické bezpečnosti a doporučení týkající se konfigurace nástrojů kybernetické bezpečnosti, které slouží k odhalování kybernetických útoků, pokud toto sdílení informací:
a) má za cíl předcházet incidentům, odhalovat je, reagovat na ně, zotavovat se z nich nebo zmírňovat jejich dopad;
b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných schopností, nápravou zranitelností a zveřejňováním zranitelností, odhalováním hrozeb, technikami na zamezení šíření hrozeb a předcházení jim, strategií zmírňování nebo fází reakce a obnovy nebo podporou společného výzkumu kybernetických hrozeb ze strany subjektů veřejného a soukromého sektoru.
2. Členské státy zajistí, aby k výměně informací docházelo v komunitách základních a důležitých subjektů a případně jejich dodavatelů nebo poskytovatelů služeb. Tato výměna bude probíhat prostřednictvím ujednání o sdílení informací o kybernetické bezpečnosti s ohledem na potenciálně citlivou povahu sdílených informací.
3. Členské státy usnadní zavedení ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tohoto článku. Tato ujednání mohou upřesnit provozní prvky, včetně použití vyhrazených platforem IKT a nástrojů automatizace, obsah a podmínky ujednání o sdílení informací. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání, přičemž mohou stanovit podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 7 odst. 2 písm. h).
4. Členské státy zajistí, aby základní a důležité subjekty oznámily příslušným orgánům, že se účastní ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2, a to od okamžiku uzavření takových ujednání, nebo v příslušných případech skutečnost, že od nich odstoupily, a to jakmile takové odstoupení nabude účinku.
§ 44 odst. 5
(5) Součástí Úřadu je Vládní CERT, který
a)
koordinuje, analyzuje a preventivně působí ve vztahu k
1.
hrozbám v oblasti kybernetické bezpečnosti,
2.
zranitelnostem v oblasti kybernetické bezpečnosti, včetně vyhledávání zranitelností,
3.
kybernetickým bezpečnostním událostem a
4.
kybernetickým bezpečnostním incidentům, včetně podpory při jejich zvládání,
b)
působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu vyšších povinností,
c)
testuje zavedení a odolnost zabezpečení aktiv, včetně provádění penetračních testů se souhlasem dotčených orgánů či osob,
d)
je koordinátorem pro účely koordinovaného zveřejňování zranitelností,
e)
vede evidenci kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí, hrozeb a zranitelností,
f)
spolupracuje s orgány a osobami v oblasti kybernetické bezpečnosti,
g)
poskytuje orgánům a osobám konzultace v oblasti kybernetické bezpečnosti,
h)
od orgánu a osob přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,
i)
s orgány a osobami sdílí údaje a informace ze své činnosti a z evidencí vedených Úřadem, je-li to nezbytné pro zajišťování kybernetické bezpečnosti; pro takto sdílené údaje a informace Vládní CERT stanoví závaznou úroveň ochrany,
j)
plní roli CSIRT týmu podle příslušného předpisu Evropské unie 25) a zastupuje Českou republiku a podílí se na fungování relevantních mezinárodních uskupení a sdružení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
k)
ve vhodných případech předává bez zbytečného odkladu informace o kybernetickém bezpečnostním incidentu s významným dopadem týkajícím se 2 nebo více členských států Evropské unie nahlášeném podle § 16 a 17 dotčeným členským státům Evropské unie a Agentuře Evropské unie pro kybernetickou bezpečnost, přičemž zachovává důvěrnost poskytnutých informací, bezpečnost a obchodní zájmy ohlašovatele,
l)
se podílí na výzkumu a vývoji kybernetických bezpečnostních nástrojů a řešení a
m)
upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.
25) Čl. 10 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 10
1. Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
2. Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3.
3. Členské státy zajistí, aby měl každý tým CSIRT k dispozici přístup k odpovídající, bezpečné a odolné komunikační a informační infrastruktuře pro výměnu informací se základními a důležitými subjekty a dalšími příslušnými zúčastněnými stranami. Za tímto účelem členské státy zajistí, aby každý tým CSIRT přispíval k zavedení bezpečných nástrojů pro sdílení informací.
4. Týmy CSIRT spolupracují a v příslušných případech si vyměňují příslušné informace podle článku 29 s odvětvovými nebo meziodvětvovými komunitami základních a důležitých subjektů.
5. Týmy CSIRT se účastní vzájemného hodnocení pořádaného v souladu s článkem 19.
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
7. Týmy CSIRT mohou navázat spolupráci s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí. Členské státy v rámci takové spolupráce usnadňují účinnou, účelnou a bezpečnou výměnu informací s těmito národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, a to za použití příslušných protokolů pro sdílení informací, včetně TLP protokolu. Týmy CSIRT si mohou v souladu s právem Unie v oblasti ochrany údajů vyměňovat relevantní informace s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, včetně osobních údajů.
8. Týmy CSIRT mohou spolupracovat s národními týmy pro reakci na počítačové bezpečnostní incidenty ze třetích zemí nebo s obdobnými subjekty ze třetích zemí, zejména za účelem poskytování pomoci v oblasti kybernetické bezpečnosti.
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
10. Členské státy si mohou při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.
32022L2555
Čl. 11
Týmy CSIRT splňují tyto požadavky:
a) týmy CSIRT zajišťují vysokou úroveň dostupnosti svých komunikačních kanálů tím, že předchází kritickým místům
selhání a disponují několika způsoby, jimiž mohou kontaktovat ostatní a jimiž lze kontaktovat je, a to kdykoli; jednoznačně vymezí komunikační kanály a oznámí je spolupracujícím partnerům a subjektům spadajícím do jejich působnosti;
b) pracoviště týmů CSIRT a jejich podpůrné informační systémy se nacházejí na zabezpečeném místě;
c) týmy CSIRT jsou vybaveny vhodným systémem řízení a směrování požadavků, zejména pro usnadnění jejich účinného
a účelného předávání;
d) týmy CSIRT zajišťují důvěrnost a důvěryhodnost svých činností;
e) týmy CSIRT jsou náležitě personálně obsazeny tak, aby jejich služby byly kdykoli k dispozici, a zajistí odpovídající
vyškolení svých pracovníků;
f) týmy CSIRT jsou vybaveny redundantními systémy a záložním pracovním prostorem pro zajištění kontinuity svých
služeb;
Týmy CSIRT se mohou zapojovat do mezinárodních sítí pro spolupráci.
2. Členské státy zajistí, aby jejich týmy CSIRT společně měly technické dovednosti potřebné k plnění úkolů uvedených
v odstavci 3. Členské státy zajistí, aby byly jejich týmům CSIRT přiděleny dostatečné zdroje s cílem zajistit odpovídající personální obsazení, které jim umožní rozvoj jejich technických kapacit.
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti
kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal,
s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na
jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12
odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů. Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
4. Týmy CSIRT navážou spolupráci s příslušnými zúčastněnými stranami v soukromém sektoru za účelem plnění cílů této směrnice.
5. V zájmu usnadnění spolupráce uvedené v odstavci 4 prosazují týmy CSIRT přijetí a používání společných či
standardních postupů, klasifikačních schémat a taxonomií v oblasti:
a) postupů řešení incidentů;
b) krizového řízení a
c) koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1.
32022L2555
Čl. 12 odst. 1
1. Každý členský stát určí jeden ze svých týmů CSIRT jakožto koordinátora za účelem koordinovaného zveřejňování zranitelností. Tým CSIRT určený jakožto koordinátor vystupuje jako důvěryhodný zprostředkovatel, který v případě potřeby a na žádost kterékoli strany usnadňuje interakci mezi fyzickou nebo právnickou osobou oznamující zranitelnost a výrobcem nebo poskytovatelem případných zranitelných produktů IKT nebo služeb IKT. Mezi úkoly týmu CSIRT, který byl určen jakožto koordinátor, náleží:
a) identifikace a kontaktování dotčených subjektů;
b) pomoc fyzickým nebo právnickým osobám oznamujícím zranitelnost; a
c) jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů.
Členské státy zajistí, aby fyzické nebo právnické osoby mohly týmu CSIRT, který byl určen jakožto koordinátor, oznámit zranitelnost na požádání anonymně. Tým CSIRT, který byl určen jakožto koordinátor, zajistí, aby byla s ohledem na oznámenou zranitelnost provedena s náležitou péčí následná opatření, a zajistí anonymitu fyzické nebo právnické osoby oznamující zranitelnost. Pokud by oznámená zranitelnost mohla mít významný dopad na subjekty ve více než jednom členském státě, spolupracují týmy CSIRT, které byly určeny jakožto koordinátoři, z každého dotčeného členského státu v případě potřeby s ostatními týmy CSIRT, které byly určeny jakožto koordinátoři, v rámci sítě CSIRT.
32022L2555
Čl. 13 odst. 2 až 5
2. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, obdržely oznámení o významných incidentech podle článku 23 a o incidentech, kybernetických hrozbách a významných událostech podle článku 30.
3. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, informovaly jejich jednotná kontaktní místa o oznámeních o incidentech, kybernetických hrozbách a významných událostech, která byla podána podle této směrnice.
4. S cílem zajistit účinné plnění úkolů a povinností příslušných orgánů, jednotných kontaktních míst a týmů CSIRT zajistí členské státy v co největší možné míře vhodnou spolupráci mezi těmito subjekty a donucovacími orgány, orgány pro ochranu osobních údajů, vnitrostátními orgány podle nařízení (ES) č. 300/2008 a (EU) 2018/1139, orgány dohledu podle nařízení (EU) č. 910/2014, příslušnými orgány podle nařízení (EU) 2022/2554, vnitrostátními regulačními orgány podle směrnice (EU) 2018/1972, příslušnými orgány podle směrnice (EU) 2022/2557, a příslušnými orgány podle dalších odvětvových právních aktů Unie v daném členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle směrnice (EU) 2022/2557spolupracovaly a pravidelně si vyměňovaly informace o určení kritických subjektů, o rizicích, kybernetických hrozbách a incidentech, jakož i o jiných než kybernetických rizicích, hrozbách a incidentech postihujících základní subjekty určené jakožto kritické podle směrnice (EU) 2022/2557, jakož i o opatřeních přijatých v reakci na tato rizika, hrozby a incidenty. Členské státy rovněž zajistí, aby si jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle nařízení (EU) č. 910/2014, nařízení (EU) 2022/2554a směrnice (EU) 2018/1972 pravidelně vyměňovaly relevantní informace, včetně informací o příslušných incidentech a kybernetických hrozbách.
§ 44 odst. 5 písm. e)
(5)
Součástí Úřadu je Vládní CERT, který
e)
vede evidenci kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí, hrozeb a zranitelností,
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 44 odst. 5 písm. f)
(5)
Součástí Úřadu je Vládní CERT, který
f)
spolupracuje s orgány a osobami v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 13 odst. 1
1. Pokud existují příslušné orgány, jednotné kontaktní místo a tým CSIRT téhož členského státu odděleně, při plnění povinností stanovených touto směrnicí vzájemně spolupracují.
§ 44 odst. 5 písm. j)
(5)
Součástí Úřadu je Vládní CERT, který
j)
plní roli CSIRT týmu podle příslušného předpisu Evropské unie25) a zastupuje Českou republiku a podílí se na fungování relevantních mezinárodních uskupení a sdružení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
25) Čl. 10 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 15 odst. 2 až 6
2. Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajišťuje sekretariát a aktivně podporuje spolupráci mezi týmy CSIRT.
3. Síť CSIRT má tyto úkoly:
a) vyměňovat si informace o schopnostech týmů CSIRT;
b) usnadňovat sdílení, přenos a výměnu technologií a příslušných opatření, politik, nástrojů, procesů, osvědčených postupů a rámců mezi týmy CSIRT;
c) vyměňovat si příslušné informace o incidentech, významných událostech, kybernetických hrozbách, rizicích a zranitelnostech;
d) vyměňovat si informace, pokud jde o publikace a doporučení v oblasti kybernetické bezpečnosti;
e) zajišťovat interoperabilitu, pokud jde o specifikace a protokoly týkající se sdílení informací;
f) na žádost člena sítě CSIRT potenciálně zasaženého incidentem si vyměňovat a projednávat informace o tomto incidentu a souvisejících kybernetických hrozbách, rizicích a zranitelnostech;
g) na žádost člena sítě CSIRT projednat a pokud možno realizovat koordinovanou reakci na incident, který byl zjištěn v oblasti spadající do pravomoci tohoto členského státu;
h) poskytovat členským státům pomoc při řešení přeshraničních incidentů podle této směrnice;
i) spolupracovat a poskytovat pomoc týmům CSIRT, které byly určeny jakožto koordinátoři, podle čl. 12 odst. 1 a vyměňovat si s nimi osvědčené postupy v souvislosti s řízením koordinovaného zveřejňování zranitelností, které by mohly mít významný dopad na subjekty ve více než jednom členském státě;
j) projednávat a vymezovat další formy operativní spolupráce, a to mimo jiné ve vztahu k:
i) kategoriím kybernetických hrozeb a incidentů;
ii) včasným varováním;
iii) vzájemné pomoci;
iv) zásadám a ujednáním koordinace při reakci na přeshraniční rizika a incidenty;
v) příspěvku k národnímu plánu reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize uvedenému v čl. 9 odst. 4 na žádost členského státu;
k) informovat skupinu pro spolupráci o svých činnostech a o dalších formách operativní spolupráce projednávaných podle písmene j) a v případě potřeby žádat v tomto ohledu odpovídající pokyny;
l) vyhodnocovat cvičení v oblasti kybernetické bezpečnosti, včetně cvičení pořádaných agenturou ENISA;
m) na žádost jednotlivých týmů CSIRT jednat o jejich schopnostech a připravenosti;
n) spolupracovat a vyměňovat si informace s regionálními bezpečnostními operačními středisky a bezpečnostními operačními středisky na úrovni Unie za účelem zlepšení společného situačního povědomí u incidentů a kybernetických hrozeb v celé Unii;
o) případně projednávat zprávy o vzájemném hodnocení uvedené v čl. 19 odst. 9;
p) poskytovat pokyny s cílem usnadnit sbližování operativních postupů ve vztahu k uplatňování ustanovení tohoto článku o operativní spolupráci.
4. Síť CSIRT do 17. ledna 2025 a poté každé dva roky pro účely přezkumu uvedeného v článku 40 posoudí pokrok dosažený s ohledem na operativní spolupráci a přijme zprávu. Ve zprávě se zejména uvedou závěry a doporučení vycházející z výsledků vzájemného hodnocení uvedeného v článku 19, provedeného ve vztahu k národním týmům CSIRT. Tato zpráva bude předložena skupině pro spolupráci.
5. Síť CSIRT přijme svůj jednací řád.
6. Síť CSIRT a síť EU-CyCLONe sjednají procesní pravidla, podle kterých spolupracují.
§ 45 odst. 1
(1)
Národní CERT
a)
zajišťuje v rozsahu tohoto zákona sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti a působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu nižších povinností,
b)
přijímá hlášení o kybernetických bezpečnostních incidentech, kybernetických bezpečnostních událostech, hrozbách a zranitelnostech v oblasti kybernetické bezpečnosti a tyto údaje zaznamenává, vyhodnocuje, uchovává a chrání,
c)
poskytovatelům regulovaných služeb v režimu nižších povinností poskytuje metodickou podporu, pomoc a součinnost při výskytu a zvládání kybernetického bezpečnostního incidentu s významným dopadem a při zveřejňování informací o zranitelnostech v oblasti kybernetické bezpečnosti,
d)
provádí vyhledávání a hodnocení zranitelností v oblasti kybernetické bezpečnosti,
e)
předává Úřadu údaje o nahlášených hrozbách, kybernetických bezpečnostních událostech, kybernetických bezpečnostních incidentech podle § 16 a zranitelnostech v oblasti kybernetické bezpečnosti,
f)
informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování regulované služby v tomto členském státě a zároveň o tom informuje Úřad, přičemž dbá na bezpečnost a jiné oprávněné zájmy ohlašovatele,
g)
od orgánů a osob přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,
h)
plní roli CSIRT týmu podle příslušného předpisu Evropské unie25) a podílí se na fungování mezinárodních uskupení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
i)
se v případě potřeby podílí na procesu vzájemného hodnocení podle příslušného předpisu Evropské unie16) a
j)
upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.
25) Čl. 10 směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 10
1. Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
2. Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3.
3. Členské státy zajistí, aby měl každý tým CSIRT k dispozici přístup k odpovídající, bezpečné a odolné komunikační a informační infrastruktuře pro výměnu informací se základními a důležitými subjekty a dalšími příslušnými zúčastněnými stranami. Za tímto účelem členské státy zajistí, aby každý tým CSIRT přispíval k zavedení bezpečných nástrojů pro sdílení informací.
4. Týmy CSIRT spolupracují a v příslušných případech si vyměňují příslušné informace podle článku 29 s odvětvovými nebo meziodvětvovými komunitami základních a důležitých subjektů.
5. Týmy CSIRT se účastní vzájemného hodnocení pořádaného v souladu s článkem 19.
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
7. Týmy CSIRT mohou navázat spolupráci s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí. Členské státy v rámci takové spolupráce usnadňují účinnou, účelnou a bezpečnou výměnu informací s těmito národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, a to za použití příslušných protokolů pro sdílení informací, včetně TLP protokolu. Týmy CSIRT si mohou v souladu s právem Unie v oblasti ochrany údajů vyměňovat relevantní informace s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, včetně osobních údajů.
8. Týmy CSIRT mohou spolupracovat s národními týmy pro reakci na počítačové bezpečnostní incidenty ze třetích zemí nebo s obdobnými subjekty ze třetích zemí, zejména za účelem poskytování pomoci v oblasti kybernetické bezpečnosti.
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
10. Členské státy si mohou při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.
32022L2555
Čl. 11
Týmy CSIRT splňují tyto požadavky:
a) týmy CSIRT zajišťují vysokou úroveň dostupnosti svých komunikačních kanálů tím, že předchází kritickým místům
selhání a disponují několika způsoby, jimiž mohou kontaktovat ostatní a jimiž lze kontaktovat je, a to kdykoli; jednoznačně vymezí komunikační kanály a oznámí je spolupracujícím partnerům a subjektům spadajícím do jejich působnosti;
b) pracoviště týmů CSIRT a jejich podpůrné informační systémy se nacházejí na zabezpečeném místě;
c) týmy CSIRT jsou vybaveny vhodným systémem řízení a směrování požadavků, zejména pro usnadnění jejich účinného
a účelného předávání;
d) týmy CSIRT zajišťují důvěrnost a důvěryhodnost svých činností;
e) týmy CSIRT jsou náležitě personálně obsazeny tak, aby jejich služby byly kdykoli k dispozici, a zajistí odpovídající
vyškolení svých pracovníků;
f) týmy CSIRT jsou vybaveny redundantními systémy a záložním pracovním prostorem pro zajištění kontinuity svých
služeb;
Týmy CSIRT se mohou zapojovat do mezinárodních sítí pro spolupráci.
2. Členské státy zajistí, aby jejich týmy CSIRT společně měly technické dovednosti potřebné k plnění úkolů uvedených
v odstavci 3. Členské státy zajistí, aby byly jejich týmům CSIRT přiděleny dostatečné zdroje s cílem zajistit odpovídající personální obsazení, které jim umožní rozvoj jejich technických kapacit.
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti
kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal,
s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na
jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12
odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů. Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
4. Týmy CSIRT navážou spolupráci s příslušnými zúčastněnými stranami v soukromém sektoru za účelem plnění cílů této směrnice.
5. V zájmu usnadnění spolupráce uvedené v odstavci 4 prosazují týmy CSIRT přijetí a používání společných či
standardních postupů, klasifikačních schémat a taxonomií v oblasti:
a) postupů řešení incidentů;
b) krizového řízení a
c) koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1.
32022L2555
Čl. 13 odst. 2 až 5
2. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, obdržely oznámení o významných incidentech podle článku 23 a o incidentech, kybernetických hrozbách a významných událostech podle článku 30.
3. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, informovaly jejich jednotná kontaktní místa o oznámeních o incidentech, kybernetických hrozbách a významných událostech, která byla podána podle této směrnice.
4. S cílem zajistit účinné plnění úkolů a povinností příslušných orgánů, jednotných kontaktních míst a týmů CSIRT zajistí členské státy v co největší možné míře vhodnou spolupráci mezi těmito subjekty a donucovacími orgány, orgány pro ochranu osobních údajů, vnitrostátními orgány podle nařízení (ES) č. 300/2008 a (EU) 2018/1139, orgány dohledu podle nařízení (EU) č. 910/2014, příslušnými orgány podle nařízení (EU) 2022/2554, vnitrostátními regulačními orgány podle směrnice (EU) 2018/1972, příslušnými orgány podle směrnice (EU) 2022/2557, a příslušnými orgány podle dalších odvětvových právních aktů Unie v daném členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle směrnice (EU) 2022/2557spolupracovaly a pravidelně si vyměňovaly informace o určení kritických subjektů, o rizicích, kybernetických hrozbách a incidentech, jakož i o jiných než kybernetických rizicích, hrozbách a incidentech postihujících základní subjekty určené jakožto kritické podle směrnice (EU) 2022/2557, jakož i o opatřeních přijatých v reakci na tato rizika, hrozby a incidenty. Členské státy rovněž zajistí, aby si jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle nařízení (EU) č. 910/2014, nařízení (EU) 2022/2554a směrnice (EU) 2018/1972 pravidelně vyměňovaly relevantní informace, včetně informací o příslušných incidentech a kybernetických hrozbách.
§ 45 odst. 1 písm. a)
(1)
Národní CERT
a)
zajišťuje v rozsahu tohoto zákona sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti a působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu nižších povinností,
32022L2555
Čl. 30 odst. 1
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
§ 45 odst. 1 písm. e)
(1)
Národní CERT
e)
předává Úřadu údaje o nahlášených hrozbách, kybernetických bezpečnostních událostech, kybernetických bezpečnostních incidentech podle § 16 a zranitelnostech v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 45 odst. 1 písm. f)
(1)
Národní CERT
f)
informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování regulované služby v tomto členském státě a zároveň o tom informuje Úřad, přičemž dbá na bezpečnost a jiné oprávněné zájmy ohlašovatele,
32022L2555
Čl. 23 odst. 8
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
§ 47 odst. 1
(1)
Úřad je správcem a provozovatelem Portálu Úřadu, který slouží k výkonu pravomocí Úřadu, sdílení informací, provádění digitálních úkonů a poskytování digitálních služeb podle tohoto zákona.
32022L2555
Čl. 13 odst. 6
6. Členské státy zjednoduší poskytování informací technickými prostředky pro oznamování podle článků 23 a 30.
32022L2555
Čl. 29 odst. 1 až 4
1. Členské státy zajistí, aby subjekty, na které se vztahuje oblast působnosti této směrnice, a případně jiné subjekty nespadající do oblasti působnosti této směrnice mohly mezi sebou dobrovolně sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, významných událostí, zranitelností, technik a postupů, indikátorů kompromitace, nepřátelských taktik, informací specifických pro daný subjekt a danou hrozbu, varování při ohrožení kybernetické bezpečnosti a doporučení týkající se konfigurace nástrojů kybernetické bezpečnosti, které slouží k odhalování kybernetických útoků, pokud toto sdílení informací:
a) má za cíl předcházet incidentům, odhalovat je, reagovat na ně, zotavovat se z nich nebo zmírňovat jejich dopad;
b)
zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných schopností, nápravou zranitelností a zveřejňováním zranitelností, odhalováním hrozeb, technikami na zamezení šíření hrozeb a předcházení jim, strategií zmírňování nebo fází reakce a obnovy nebo podporou společného výzkumu kybernetických hrozeb ze strany subjektů veřejného a soukromého sektoru.
2. Členské státy zajistí, aby k výměně informací docházelo v komunitách základních a důležitých subjektů a případně jejich dodavatelů nebo poskytovatelů služeb. Tato výměna bude probíhat prostřednictvím ujednání o sdílení informací o kybernetické bezpečnosti s ohledem na potenciálně citlivou povahu sdílených informací.
3. Členské státy usnadní zavedení ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tohoto článku. Tato ujednání mohou upřesnit provozní prvky, včetně použití vyhrazených platforem IKT a nástrojů automatizace, obsah a podmínky ujednání o sdílení informací. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání, přičemž mohou stanovit podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 7 odst. 2 písm. h).
4. Členské státy zajistí, aby základní a důležité subjekty oznámily příslušným orgánům, že se účastní ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2, a to od okamžiku uzavření takových ujednání, nebo v příslušných případech skutečnost, že od nich odstoupily, a to jakmile takové odstoupení nabude účinku.
§ 47 odst. 2
(2)
Úkony podle § 8 odst. 1, 9 odst. 1, 11 odst. 2, 12 odst. 1, 16 odst. 1 a 2, 21 odst. 3, 33 odst. 1 písm. b) a 59 odst. 1 je poskytovatel regulované služby povinen provádět výlučně elektronicky s využitím dálkového přístupu prostřednictvím formulářových podání. Jiným způsobem lze tyto úkony provést pouze tehdy, připouští-li to odpovídající ustanovení tohoto zákona a není-li z objektivních příčin možné využít k provedení úkonu Portál Úřadu.
32022L2555
Čl. 13 odst. 6
6. Členské státy zjednoduší poskytování informací technickými prostředky pro oznamování podle článků 23 a 30.
§ 48 odst. 2 až 4
(2)
Úřad poskytuje v odůvodněných případech údaje z evidencí orgánům veřejné moci na jejich žádost, je-li to nezbytné pro výkon jejich působnosti. Poskytnuté údaje je možné využít jen pro potřeby, které byly uvedeny v žádosti. Orgán veřejné moci vynaloží přiměřené úsilí k zajištění bezpečnosti informací takto poskytnutých údajů.
(3)
Úřad může v odůvodněných případech poskytovat údaje z evidencí Národnímu CERT, orgánům nebo osobám vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným orgánům nebo osobám působícím v oblasti kybernetické bezpečnosti v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.
(4)
Zaměstnanci Úřadu jsou vázáni povinností mlčenlivosti o údajích z evidencí podle odstavce 1 písm. b) až e). Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu. Ředitel Úřadu může osoby uvedené v tomto odstavci zprostit povinnosti mlčenlivosti, a to s uvedením rozsahu údajů a rozsahu zproštění.
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 48 odst.3
(3)
Úřad může v odůvodněných případech poskytovat údaje z evidencí Národnímu CERT, orgánům nebo osobám vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným orgánům nebo osobám působícím v oblasti kybernetické bezpečnosti v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.
32022L2555
Čl. 23 odst. 8
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
§ 49 odst. 1
(1)
Stanoví-li přímo použitelný předpis Evropské unie přijatý na základě nařízení Evropského parlamentu a Rady (EU) 2019/881 (dále jen „akt o kybernetické bezpečnosti“) konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti rozhoduje o žádostech o autorizaci subjektu posuzování shody, a pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti nebo přímo použitelného předpisu Evropské unie přijatého na základě aktu o kybernetické bezpečnosti, o pozastavení vykonatelnosti, o změně nebo o zrušení rozhodnutí o autorizaci.
32019R0881
Čl. 58 odst. 7 písm. e)
7. Vnitrostátní orgány certifikace kybernetické bezpečnosti:
e) v příslušných případech autorizují subjekty posuzování shody podle čl. 60 odst. 3 a omezují, pozastavují nebo odebírají stávající autorizaci, pokud subjekty posuzování shody porušují požadavky tohoto nařízení;
§ 49 odst. 2
(2)
Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie přijatým na základě aktu o kybernetické bezpečnosti.
32019R0881
Čl. 54 odst. 1 písm. f)
1. Evropský systém certifikace kybernetické bezpečnosti zahrnuje alespoň tyto prvky:
f) v příslušných případech konkrétní nebo dodatečné požadavky na subjekty posuzování shody, s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost;
§ 49 odst. 3
(3)
V rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci podle odstavce 1 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nápravu nezjedná, rozhodne Úřad o změně či zrušení rozhodnutí o autorizaci.
32019R0881
Čl. 60 odst. 3
3. Stanoví-li evropské systémy certifikace kybernetické bezpečnosti konkrétní nebo dodatečné požadavky podle čl. 54 odst. 1 písm. f), jsou k vykonávání úkolů v rámci těchto systémů vnitrostátním orgánem certifikace kybernetické bezpečnosti autorizovány pouze ty subjekty posuzování shody, které uvedené požadavky splňují.
§ 50 odst. 1 a 4
(1) Úřad jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti posuzuje podle přímo použitelného předpisu Evropské unie26) způsobilost žadatele o registraci členství v Komunitě kompetencí pro kybernetickou bezpečnost27) (dále jen „Komunita“).
(…)
(4) Žadatel o registraci členství v Komunitě je povinen v žádosti podle odstavce 3 uvést pravdivé a úplné údaje potřebné pro posouzení jeho základní a zvláštní způsobilosti Úřadem. Po dobu trvání členství v Komunitě je člen Komunity povinen nahlásit změnu těchto údajů nebo skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti, a to ve lhůtě 30 dnů ode dne, kdy tato změna nebo skutečnost nastala.
26) Čl. 8 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2021/887.
27) Čl. 8 nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 50 odst. 2
(2) Členem Komunity může být ten, kdo Úřadu prokáže, že splňuje:
a)
základní způsobilosti a
b)
zvláštní způsobilost.
32021R0887
Čl. 8 odst. 3 a 4
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 51 odst. 1 písm. a)
(1) Člen Komunity má základní způsobilost k členství v Komunitě, pokud
a)
má sídlo na území České republiky,
32021R0887
Čl. 8 odst. 3
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
§ 51 odst. 1 písm. b), c) a e), odst. 4, 5, 6 a 8
(1) Člen Komunity má základní způsobilost k členství v Komunitě, pokud
b)
není zapsán na vnitrostátním sankčním seznamu 28), nebo vůči němu Česká republika neuplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí,
c) je bezúhonný; za bezúhonného se považuje člen Komunity, který nebyl v posledních 5 letech před podáním žádosti o registraci členství v Komunitě ani v průběhu trvání členství v Komunitě pravomocně odsouzen pro trestný čin, jehož skutková podstata souvisí s předmětem podnikání žadatele, nebo pro trestný čin hospodářský, trestný čin proti majetku, trestný čin obecně nebezpečný, trestný čin proti České republice, cizímu státu a mezinárodní organizaci, trestný čin proti pořádku ve věcech veřejných a trestný čin proti lidskosti, proti míru a válečný trestný čin, nehledí-li se na žadatele, jako by nebyl odsouzen,
e) není v likvidaci29), není v úpadku, není proti němu vedené insolvenční řízení a není vůči němu nařízena nucená správa podle jiného právního předpisu30).
(4) U člena Komunity, je-li právnickou osobou, Úřad zjistí údaje o jeho skutečném majiteli podle právního předpisu upravujícího evidenci skutečných majitelů31) (dále jen „skutečný majitel“) z evidence skutečných majitelů podle téhož právního předpisu (dále jen „evidence skutečných majitelů“).
(5) Člen Komunity dále není způsobilý k členství v Komunitě, pokud
a)
je právnickou osobou, která má skutečného majitele, pokud nebylo podle odstavce 4 možné zjistit údaje o jeho skutečném majiteli z evidence skutečných majitelů, nebo
b)
skutečný majitel je zapsán na vnitrostátním sankčním seznamu28) nebo vůči němu Česká republika uplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí.
(6) V případě, že skutečným majitelem člena Komunity je osoba usazená na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, předloží člen Komunity výpis ze zahraniční evidence obdobné evidenci skutečných majitelů, který nesmí být starší než 30 dnů.
(8) Člen Komunity není k členství v Komunitě způsobilý, pokud Úřad vydal opatření obecné povahy podle § 31 odst. 1, ve kterém stanovil podmínky pro využití plnění člena Komunity, nebo zakázal využití plnění člena Komunity jako dodavatele bezpečnostně významné dodávky.
28) Zákon č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon).
29) § 187 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
30) Například zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, zákon č. 363/1999 Sb., o pojišťovnictví a o změně některých souvisejících zákonů (zákon o pojišťovnictví), ve znění pozdějších předpisů.
31) Zákon č. 37/2021 Sb., o evidenci skutečných majitelů, ve znění pozdějšího předpisu.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 52
Zvláštní způsobilost má člen Komunity, který je způsobilý k členství v Komunitě podle přímo použitelného předpisu Evropské unie32).
32) Čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 8 odst. 3
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
§ 53
(1) V případě, že žadatel o registraci členství v Komunitě naplní základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, Úřad postoupí žádost žadatele registrujícímu orgánu podle přímo použitelného předpisu Evropské unie24) (dále jen „registrující orgán“).
(2) V případě pochybností, zda žadatel o registraci členství v Komunitě naplňuje základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, zahájí Úřad řízení o nezpůsobilosti žadatele k registraci členství v Komunitě.
(3) Úřad o nezpůsobilosti žadatele o registraci členství v Komunitě vydá rozhodnutí. Pokud se prokáže, že žadatel naplňuje základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, Úřad řízení o jeho nezpůsobilosti zastaví.
(4) Po právní moci rozhodnutí o nezpůsobilosti žadatele k registraci členství v Komunitě vydaného v řízení podle odstavce 2 Úřad postoupí registrujícímu orgánu žádost žadatele o registraci členství v Komunitě a současně vyrozumí registrující orgán o nezpůsobilosti žadatele k registraci členství v Komunitě.
24) Nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 54
(1) Úřad průběžně posuzuje naplnění základní a zvláštní způsobilosti k členství v Komunitě podle § 51 a 52 po celou dobu trvání členství člena Komunity.
(2) V případě, že člen Komunity nadále nenaplňuje základní a zvláštní způsobilost k členství v Komunitě podle § 51 a 52, zahájí Úřad řízení o jeho nezpůsobilosti k členství v Komunitě.
(3) Úřad o nezpůsobilosti člena Komunity k dalšímu trvání členství v Komunitě vydá rozhodnutí. Pokud se prokáže, že člen Komunity nadále naplňuje základní a zvláštní způsobilosti k členství v Komunitě podle § 51 a 52, Úřad řízení o jeho nezpůsobilosti zastaví.
(4) Po právní moci rozhodnutí o nezpůsobilosti člena Komunity k dalšímu trvání členství v Komunitě vydaného v řízení podle odstavce 2 Úřad vyrozumí registrující orgán o jeho nezpůsobilosti k členství v Komunitě.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 56
(1)
Úřad a provozovatel Národního CERT při zpracování osobních údajů, na které se vztahuje přímo použitelný předpis Evropské unie13),
a)
nemusí omezit zpracování osobních údajů v případě, že subjekt údajů popírá jejich přesnost nebo vznesl námitku proti tomuto zpracování a
b)
mohou v rámci výkonu své působnosti využít osobní údaje i pro jiné účely, než pro které byly shromážděny.
(2)
Pokud Úřad nebo provozovatel Národního CERT v rámci činnosti, na kterou se vztahuje přímo použitelný předpis Evropské unie13), při řešení kybernetického bezpečnostního incidentu nebo kybernetické bezpečnostní události, při prevenci hrozeb nebo rizik anebo při výkonu kontroly obdrží osobní údaje, které zpracovávají pouze za účelem plnění povinností podle tohoto zákona, po dobu plnění těchto povinností dále nemusí
a)
poskytovat subjektu údajů informace o opravách nebo výmazech osobních údajů nebo omezení jejich zpracování,
b)
zajistit přístup subjektu údajů k osobním údajům, nebo
c)
opravit či doplnit osobní údaje na žádost subjektu údajů.
13) Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
32022L2555
Čl. 2 odst. 14
14. Subjekty, příslušné orgány, jednotná kontaktní místa a týmy CSIRT zpracovávají osobní údaje pouze v rozsahu nezbytném pro účely této směrnice a v souladu s nařízením (EU) 2016/679 a takové zpracování se opírá o článek 6 uvedeného nařízení.
Zpracování osobních údajů podle této směrnice poskytovateli veřejných sítí elektronických komunikací nebo poskytovateli veřejně dostupných služeb elektronických komunikací se provádí v souladu s právem Unie v oblasti ochrany údajů a právem Unie v oblasti ochrany soukromí, zejména v souladu se směrnicí 2002/58/ES.
§ 57 odst. 1
(1)
Úřad spolupracuje při uplatňování tohoto zákona s příslušnými orgány jiných členských států Evropské unie, zejména může poskytovat a žádat součinnost ve formě
a)
sdílení informací,
b)
provedení kontroly nebo jiných úkonů vůči poskytovateli regulované služby, nebo
c)
koordinace při kontrolách poskytovatelů regulovaných služeb poskytujících regulované služby ve více členských státech Evropské unie, včetně možnosti přizvání zástupců příslušných orgánů jiného členského státu Evropské unie k účasti na kontrole.
32022L2555
Čl. 26 odst. 5
5. Členské státy, které obdržely žádost o vzájemnou pomoc týkající se subjektu podle odst. 1 písm. b), mohou v mezích této žádosti přijmout ohledně dotčeného subjektu, který poskytuje služby nebo má síť nebo informační systém na jejich území, odpovídající opatření v oblasti dohledu a vymáhání.
32022L2555
Čl. 32 odst. 9
9. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice informovaly relevantní příslušné orgány ve stejném členském státě podle směrnice (EU) 2022/2557, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby subjekt určený jakožto kritický subjekt podle směrnice (EU) 2022/2557 dodržoval tuto směrnici. Příslušné orgány podle směrnice (EU) 2022/2557 mohou případně požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557.
32022L2555
Čl. 37
1. Pokud subjekt poskytuje služby ve více než jednom členském státě, nebo pokud poskytuje služby v jednom nebo více členských státech a jeho sítě a informační systémy se nacházejí v jednom či více jiných členských státech, příslušné orgány dotčených členských států podle potřeby spolupracují a jsou si navzájem nápomocny. Tato spolupráce spočívá alespoň v tomto:
a) příslušné orgány uplatňující opatření v oblasti dohledu nebo vymáhání v členském státě kontaktují prostřednictvím jednotného kontaktního místa příslušné orgány v ostatních dotčených členských státech, konzultují s nimi a informují je ohledně přijatých opatření v oblasti dohledu a vymáhání;
b) příslušný orgán může požádat jiný příslušný orgán, aby učinil opatření v oblasti dohledu nebo vymáhání;
c) po obdržení odůvodněné žádosti jiného příslušného orgánu poskytne příslušný orgán druhému příslušnému orgánu vzájemnou pomoc úměrnou vlastním zdrojům, aby bylo možné provést opatření v oblasti dohledu nebo vymáhání účinně, účelně a důsledně.
Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů. Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
2. Je-li to vhodné, mohou se příslušné orgány z různých členských států vzájemně dohodnout, že budou provádět společné činnosti v oblasti dohledu.
§ 57 odst. 2
(2)
Úřad může žádost o součinnost odmítnout pouze
a)
není-li příslušný nebo nemá-li pravomoc provést požadovaný úkon,
b)
je-li žádost o součinnost s ohledem na kapacity Úřadu zjevně nepřiměřená, nebo
c)
týká-li se žádost informací nebo zahrnuje-li činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy České republiky v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
32022L2555
Čl. 37 odst. 1
1. Pokud subjekt poskytuje služby ve více než jednom členském státě, nebo pokud poskytuje služby v jednom nebo více členských státech a jeho sítě a informační systémy se nacházejí v jednom či více jiných členských státech, příslušné orgány dotčených členských států podle potřeby spolupracují a jsou si navzájem nápomocny. Tato spolupráce spočívá alespoň v tomto:
a) příslušné orgány uplatňující opatření v oblasti dohledu nebo vymáhání v členském státě kontaktují prostřednictvím jednotného kontaktního místa příslušné orgány v ostatních dotčených členských státech, konzultují s nimi a informují je ohledně přijatých opatření v oblasti dohledu a vymáhání;
b) příslušný orgán může požádat jiný příslušný orgán, aby učinil opatření v oblasti dohledu nebo vymáhání;
c) po obdržení odůvodněné žádosti jiného příslušného orgánu poskytne příslušný orgán druhému příslušnému orgánu vzájemnou pomoc úměrnou vlastním zdrojům, aby bylo možné provést opatření v oblasti dohledu nebo vymáhání účinně, účelně a důsledně.
Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů. Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
§ 57 odst. 3
(3) Poskytuje-li poskytovatel regulované služby, který má umístěnu hlavní provozovnu v jiném členském státě Evropské unie, v rámci České republiky službu uvedenou v § 19 odst. 1 s výjimkou služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie10) je Úřad oprávněn vůči této osobě ve vztahu k poskytování uvedené regulované služby provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu Evropské unie, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
10) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
32022L2555
Čl. 26 odst. 1 písm. b) a 2
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů:
a) poskytovatelé veřejných sítí elektronických komunikací nebo poskytovatelé veřejně dostupných služeb elektronických komunikací, u nichž se má za to, že podléhají pravomoci členského státu, v němž poskytují své služby;
b) provozovatelé DNS, registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, u nichž se má za to, že podléhají pravomoci členského státu, ve kterém mají hlavní provozovnu v Unii podle odstavce 2;
c) subjekty veřejné správy, u nichž se má za to, že podléhají pravomoci členského státu, který je zřídil.
2. Pro účely této směrnice se má za to, že hlavní provozovna subjektu podle odst. 1 písm. b) v Unii je umístěna v členském státě, v němž jsou převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. Nelze-li takový členský stát určit, nebo nejsou-li tato rozhodnutí přijímána v Unii, má se za to, že hlavní provozovna je v členském státě, v němž daný subjekt provádí činnosti k zajištění kybernetické bezpečnosti. Nelze-li takový členský stát určit, má se za to, že dotčený subjekt má hlavní provozovnu v členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.
§ 57 odst. 4
(4) Nachází-li se v rámci České republiky aktiva sloužící k poskytování některé z regulovaných služeb uvedených v § 19 odst. 1 s výjimkou regulované služby vytvářející důvěru ve smyslu přímo použitelné právního předpisu Evropské unie10), ale poskytovatel regulované služby má umístěnu svou hlavní provozovnu v jiném členském státě Evropské unie, je Úřad oprávněn ve vztahu k těmto aktivům sloužícím k poskytování uvedených regulovaných služeb provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu Evropské unie, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
10) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
32022L2555
Čl. 26 odst. 5
5. Členské státy, které obdržely žádost o vzájemnou pomoc týkající se subjektu podle odst. 1 písm. b), mohou v mezích této žádosti přijmout ohledně dotčeného subjektu, který poskytuje služby nebo má síť nebo informační systém na jejich území, odpovídající opatření v oblasti dohledu a vymáhání.
§ 57 odst. 5
(5)
Umístěním hlavní provozovny se rozumí místo v Evropské unii, kde osoba poskytující služby uvedené v odstavci 3 převážně přijímá rozhodnutí související s řízením rizik v oblasti kybernetické bezpečnosti, zejména sídlo společnosti. Nelze-li takové místo určit podle věty první, nebo nejsou-li taková rozhodnutí přijímána v Evropské unii, má se za to, že je hlavní provozovna umístěna v členském státě Evropské unie, kde se provádějí faktické úkony vedoucí k zajištění kybernetické bezpečnosti. Nelze-li takové místo určit podle věty první a druhé, má se za to, že je hlavní provozovna umístěna v členském státě Evropské unie, kde má osoba provozovnu s nejvyšším počtem zaměstnanců.
32022L2555
Čl. 26 odst. 2
2. Pro účely této směrnice se má za to, že hlavní provozovna subjektu podle odst. 1 písm. b) v Unii je umístěna v členském státě, v němž jsou převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. Nelze-li takový členský stát určit, nebo nejsou-li tato rozhodnutí přijímána v Unii, má se za to, že hlavní provozovna je v členském státě, v němž daný subjekt provádí činnosti k zajištění kybernetické bezpečnosti. Nelze-li takový členský stát určit, má se za to, že dotčený subjekt má hlavní provozovnu v členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.
§ 57 odst. 6
(6)
Ustanovení odstavce 3 se uplatní i vůči subjektu poskytujícímu službu registrace jmen domén v rámci České republiky.
32022L2555
Čl. 26 odst. 1 písm. b) a odst. 2
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů:
a) poskytovatelé veřejných sítí elektronických komunikací nebo poskytovatelé veřejně dostupných služeb elektronických komunikací, u nichž se má za to, že podléhají pravomoci členského státu, v němž poskytují své služby;
b) provozovatelé DNS, registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, u nichž se má za to, že podléhají pravomoci členského státu, ve kterém mají hlavní provozovnu v Unii podle odstavce 2;
c) subjekty veřejné správy, u nichž se má za to, že podléhají pravomoci členského státu, který je zřídil.
2. Pro účely této směrnice se má za to, že hlavní provozovna subjektu podle odst. 1 písm. b) v Unii je umístěna v členském státě, v němž jsou převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. Nelze-li takový členský stát určit, nebo nejsou-li tato rozhodnutí přijímána v Unii, má se za to, že hlavní provozovna je v členském státě, v němž daný subjekt provádí činnosti k zajištění kybernetické bezpečnosti. Nelze-li takový členský stát určit, má se za to, že dotčený subjekt má hlavní provozovnu v členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.
§ 58 odst. 1
(1)
Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak orgány a osoby plní povinnosti stanovené tímto zákonem, rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle tohoto zákona, a dodržují vyhlášky Úřadu.
32022L2555
Čl. 31 odst. 1 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 1 a 2 písm. a), e) a f)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
a) kontrolám na místě i externímu dohledu, včetně namátkových kontrol, které provádí vyškolení odborníci;
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
32022L2555
Čl. 33 odst. 2
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti s důležitými subjekty pravomoc podrobit tyto subjekty alespoň:
a) kontrolám na místě i externímu dohledu ex post, které provádí vyškolení odborníci;
b) cíleným bezpečnostním auditům, které provádí nezávislý subjekt nebo příslušný orgán;
c) bezpečnostním prověrkám na základě objektivních, nediskriminačních, korektních a transparentních kritérií posouzení rizik, které se v případě potřeby provedou ve spolupráci s dotčeným subjektem;
d) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik ex post přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti předkládat informace příslušným orgánům podle článku 28;
e) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon jejich dohledových úkolů;
f) požadavkům na doložení provádění zásad kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů provedených kvalifikovaným auditorem a příslušné podpůrné doklady.
Cílené bezpečnostní audity uvedené v prvním pododstavci písm. b) jsou založeny na posouzení rizik, jež provede příslušný orgán nebo auditovaný subjekt, nebo na jiných dostupných informacích týkajících se rizik.
Výsledky cíleného bezpečnostního auditu se zpřístupní příslušnému orgánu. Náklady na takový cílený bezpečnostní audit provedený nezávislým subjektem hradí auditovaný subjekt, s výjimkou řádně odůvodněných případů, kdy příslušný orgán rozhodne jinak.
§ 58 odst. 2
(2)
Při výkonu kontroly se postupuje podle kontrolního řádu.
32022L2555
Čl. 31 odst. 2
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
32022L2555
Čl. 32 odst. 1, 2, 3, 7 a 8
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
a) kontrolám na místě i externímu dohledu, včetně namátkových kontrol, které provádí vyškolení odborníci;
b) pravidelným a cíleným bezpečnostním auditům, které provádí nezávislý subjekt nebo příslušný orgán;
c) auditům ad hoc, a to i v případech odůvodněných významným incidentem nebo porušením této směrnice ze strany základního subjektu;
d) bezpečnostním prověrkám na základě objektivních, nediskriminačních, korektních a transparentních kritérií posouzení rizik, které se v případě potřeby provedou ve spolupráci s dotčeným subjektem;
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
g) požadavkům na doložení provádění zásad kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů provedených kvalifikovaným auditorem a příslušné podpůrné doklady.
Cílené bezpečnostní audity uvedené v prvním pododstavci písm. b) jsou založeny na posouzení rizik, jež provede příslušný orgán nebo auditovaný subjekt, nebo na jiných dostupných informacích týkajících se rizik.
Výsledky cíleného bezpečnostního auditu se zpřístupní příslušnému orgánu. Náklady na takový cílený bezpečnostní audit provedený nezávislým subjektem hradí auditovaný subjekt, s výjimkou řádně odůvodněných případů, kdy příslušný orgán rozhodne jinak.
3. Při výkonu svých pravomocí podle odst. 2 písm. e), f) či g) uvedou příslušné orgány účel žádosti a upřesní informace, které jsou požadovány.
7. Při přijímání opatření v oblasti vymáhání podle odstavce 4 nebo 5 dodržují příslušné orgány práva na obhajobu a zohlední okolnosti každého jednotlivého případu a v úvahu vezmou alespoň:
a) závažnost porušení a významnost porušených ustanovení, přičemž následující porušení se vždy považují za závažná:
i) opakovaná porušení;
ii) neoznámení nebo nezajištění nápravy významných incidentů;
iii) nenapravení nedostatků podle závazných pokynů příslušných orgánů;
iv) maření auditů nebo sledovací činnosti nařízené příslušným orgánem po zjištění porušení;
v) poskytnutí nepravdivých nebo hrubě nepřesných informací v souvislosti s opatřeními pro řízení rizik v oblasti kybernetické bezpečnosti nebo oznamovacími povinnostmi stanovenými v článcích 21 a 23;
b) dobu trvání porušení;
c) veškerá relevantní porušení, kterých se dotčený subjekt dopustil v minulosti;
d) způsobenou hmotnou nebo nehmotnou újmu, včetně jakékoli finanční nebo ekonomické ztráty, účinků na jiné služby a počtu postižených uživatelů;
e) jakýkoli úmysl nebo nedbalost pachatele porušení;
f) jakákoli opatření přijatá subjektem za účelem zamezení nebo zmírnění hmotné nebo nehmotné újmy;
g) jakékoli dodržování schválených kodexů chování nebo schválených certifikačních mechanismů;
h) úroveň spolupráce odpovědné fyzické nebo právnické osoby s příslušnými orgány.
8. Příslušné orgány svá opatření v oblasti vymáhání podrobně odůvodní. Příslušné orgány před přijetím těchto opatření oznámí dotčeným subjektům svá předběžná zjištění. Rovněž těmto subjektům poskytnou přiměřenou dobu na předložení připomínek, s výjimkou řádně odůvodněných případů, kdy by to bránilo přijetí okamžitých opatření k předcházení incidentům nebo reakci na ně.
32022L2555
Čl. 33 odst. 1, 2, 3 a 5
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti s důležitými subjekty pravomoc podrobit tyto subjekty alespoň:
a) kontrolám na místě i externímu dohledu ex post, které provádí vyškolení odborníci;
b) cíleným bezpečnostním auditům, které provádí nezávislý subjekt nebo příslušný orgán;
c) bezpečnostním prověrkám na základě objektivních, nediskriminačních, korektních a transparentních kritérií posouzení rizik, které se v případě potřeby provedou ve spolupráci s dotčeným subjektem;
d) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik ex post přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti předkládat informace příslušným orgánům podle článku 28;
e) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon jejich dohledových úkolů;
f) požadavkům na doložení provádění zásad kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů provedených kvalifikovaným auditorem a příslušné podpůrné doklady.
Cílené bezpečnostní audity uvedené v prvním pododstavci písm. b) jsou založeny na posouzení rizik, jež provede příslušný orgán nebo auditovaný subjekt, nebo na jiných dostupných informacích týkajících se rizik.
Výsledky cíleného bezpečnostního auditu se zpřístupní příslušnému orgánu. Náklady na takový cílený bezpečnostní audit provedený nezávislým subjektem hradí auditovaný subjekt, s výjimkou řádně odůvodněných případů, kdy příslušný orgán rozhodne jinak.
3. Při výkonu svých pravomocí podle odst. 2 písm. d), e) nebo f) uvedou příslušné orgány účel žádosti a upřesní informace, které jsou požadovány.
5. Ustanovení čl. 32 odst. 6, 7 a 8 se obdobně použijí na opatření v oblasti dohledu a vymáhání stanovená v tomto článku pro důležité subjekty.
§ 59 odst. 1
(1) Zjistí-li Úřad, že orgán nebo osoba neplní povinnosti stanovené tímto zákonem nebo na základě tohoto zákona, může uložit orgánu nebo osobě, aby zjištěné nedostatky ve stanovené lhůtě odstranila, popřípadě určit jakým způsobem. Úřad může v rozhodnutí uložit orgánu nebo osobě povinnost oznámit Úřadu provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Náležitosti a způsob hlášení stanoví Úřad vyhláškou.
32022L2555
Čl. 31 odst. 1 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 1, 2 písm. a), e) a f), 4 písm. a), b), c), d), f), g), h), 7 a 8
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
a) kontrolám na místě i externímu dohledu, včetně namátkových kontrol, které provádí vyškolení odborníci;
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) určit na stanovenou dobu pracovníka pro sledování s přesně vymezenými úkoly, který bude dohlížet na dodržování článků 21 a 23 ze strany dotčených subjektů;
7. Při přijímání opatření v oblasti vymáhání podle odstavce 4 nebo 5 dodržují příslušné orgány práva na obhajobu a zohlední okolnosti každého jednotlivého případu a v úvahu vezmou alespoň:
a) závažnost porušení a významnost porušených ustanovení, přičemž následující porušení se vždy považují za závažná:
i) opakovaná porušení;
ii) neoznámení nebo nezajištění nápravy významných incidentů;
iii) nenapravení nedostatků podle závazných pokynů příslušných orgánů;
iv) maření auditů nebo sledovací činnosti nařízené příslušným orgánem po zjištění porušení;
v) poskytnutí nepravdivých nebo hrubě nepřesných informací v souvislosti s opatřeními pro řízení rizik v oblasti kybernetické bezpečnosti nebo oznamovacími povinnostmi stanovenými v článcích 21 a 23;
b) dobu trvání porušení;
c) veškerá relevantní porušení, kterých se dotčený subjekt dopustil v minulosti;
d) způsobenou hmotnou nebo nehmotnou újmu, včetně jakékoli finanční nebo ekonomické ztráty, účinků na jiné služby a počtu postižených uživatelů;
e) jakýkoli úmysl nebo nedbalost pachatele porušení;
f) jakákoli opatření přijatá subjektem za účelem zamezení nebo zmírnění hmotné nebo nehmotné újmy;
g) jakékoli dodržování schválených kodexů chování nebo schválených certifikačních mechanismů;
h) úroveň spolupráce odpovědné fyzické nebo právnické osoby s příslušnými orgány.
8. Příslušné orgány svá opatření v oblasti vymáhání podrobně odůvodní. Příslušné orgány před přijetím těchto opatření oznámí dotčeným subjektům svá předběžná zjištění. Rovněž těmto subjektům poskytnou přiměřenou dobu na předložení připomínek, s výjimkou řádně odůvodněných případů, kdy by to bránilo přijetí okamžitých opatření k předcházení incidentům nebo reakci na ně.
32022L2555
Čl. 33 odst. 1, 4 písm. a) b), c), d), f) a g) a 5
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice ze strany dotčených subjektů;
b) přijmout závazné pokyny nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily chování, které porušuje tuto směrnici, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
5. Ustanovení čl. 32 odst. 6, 7 a 8 se obdobně použijí na opatření v oblasti dohledu a vymáhání stanovená v tomto článku pro důležité subjekty.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
§ 60 odst. 1 písm. a) a b)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
a) neprovede registraci nebo změnu registrace poskytovatele regulované služby podle § 8 odst. 1 a 2 nebo § 9 odst. 1,
b) nenahlásí registrační a kontaktní údaje nebo další údaje nebo jejich změnu Úřadu podle § 12 odst. 1 a 4,
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 27
1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. d) až g)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva podle § 13 odst. 1 písm. a), nebo jejich identifikaci pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c), nebo jejich určení pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
f) nevede dokumentovaný záznam o identifikaci a určení organizačních částí a aktiv podle § 13 odst. 3,
g) v rozporu s § 14 odst. 2 nebo 3 nebo § 19 odst. 1 nezavede nebo neprovádí bezpečnostní opatření,
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. h) až j)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
h) neohlásí kybernetický bezpečnostní incident podle § 16 odst. 1 nebo 19 odst. 2 nebo nepředloží prvotní hlášení o incidentu podle § 17 odst. 1 anebo nedoplní některý z údajů o incidentu podle § 17 odst. 3,
i) neposkytne informace nebo součinnost při zvládání incidentu podle § 18 odst. 3,
j) neplní povinnost informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovenou rozhodnutím Úřadu podle § 20 odst. 1,
32022L2555
Čl. 23 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
Pokud dotčené subjekty oznámí příslušnému orgánu významný incident podle prvního pododstavce, členský stát zajistí, aby příslušný orgán toto oznámení po jeho obdržení předal týmu CSIRT.
V případě přeshraničního nebo meziodvětvového významného incidentu členské státy zajistí, aby jejich jednotná kontaktní místa včas obdržela příslušné informace v souladu s odstavcem 4.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. k)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
k) neplní povinnost informovat uživatele regulované služby o významné hrozbě a krocích, které může uživatel služby učinit v reakci na ni podle § 20 odst. 2,
32022L2555
Čl. 23 odst. 2
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 32 odst. 2 písm. e)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti předkládat informace příslušným orgánům podle článku 27;
32022L2555
Čl. 32 odst. 4 písm. e)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. l)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
l) neoznámí provedení protiopatření uložené Úřadem a jeho výsledek podle § 21 odst. 3,
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 32 odst. 4 písm. b)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. m)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
m) v rozporu s § 22 odst. 1 neplní povinnost uloženou Úřadem rozhodnutím o výstraze,
32022L2555
Čl. 23 odst. 7
7. Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. n)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
n) v rozporu s § 24 odst. 1 nebo 2 neplní povinnost uloženou rozhodnutím o vydání reaktivního protiopatření nebo opatřením obecné povahy vydaným Úřadem podle § 24,
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 32 odst. 4 písm. b)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. o)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
o) nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem v rozporu s § 25 odst. 1 nebo 2, nebo
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. p)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
p) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 59 odst. 1.
32022L2555
Čl. 21 odst. 4
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. a) a b)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
a) neprovede registraci nebo změnu registrace poskytovatele regulované služby podle § 8 odst. 1 a 2 nebo § 9 odst. 1 nebo 2,
b) nenahlásí registrační, kontaktní údaje nebo další údaje nebo jejich změnu Úřadu podle § 12 odst. 1 a 4,
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 27
1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. d) až g)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva podle § 13 odst. 1 písm. a), nebo jejich identifikaci pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c), nebo jejich určení pravidelně nepřezkoumává nebo neaktualizuje podle § 13 odst. 6,
f) nevede dokumentovaný záznam o identifikaci a určení organizačních částí a aktiv podle § 13 odst. 3,
g) v rozporu s § 14 odst. 2 nebo 3 nebo § 19 odst. 1 nezavede nebo neprovádí bezpečnostní opatření,
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. h) a i)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
h) neohlásí kybernetický bezpečnostní incident podle § 16 odst. 2 nebo 19 odst. 2 nebo nepředloží prvotní hlášení o incidentu podle § 17 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 17 odst. 3,
i) neposkytne informace nebo součinnost při zvládání incidentu podle § 18 odst. 3,
32022L2555
Čl. 23 odst. 4
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
a) bez zbytečného odkladu, nejpozději však do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významný incident způsoben nezákonným nebo svévolným zásahem nebo že by mohl mít přeshraniční dopad;
b) bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a), předloží prvotní posouzení významného incidentu včetně jeho závažnosti a dopadu a – pokud jsou k dispozici – indikátory kompromitace;
c) na žádost týmu CSIRT nebo případně příslušného orgánu průběžnou zprávu o podstatných aktualizacích stavu;
d) nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
i) podrobný popis incidentu včetně jeho závažnosti a dopadu;
ii) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;
iii) učiněná a probíhající opatření ke zmírnění následků;
iv) případně přeshraniční dopad incidentu;
e) v případě, že v okamžiku, kdy by měla být předložena závěrečná zpráva podle písmene d), incident stále trvá, členské státy zajistí, aby dotčené subjekty v uvedené lhůtě předložily zprávu o pokroku a následně, nejpozději jeden měsíc po tom, co incident vyřešily, závěrečnou zprávu.
Odchylně od prvního pododstavce písm. b) poskytovatel služby vytvářející důvěru oznámí týmu CSIRT nebo případně příslušnému orgánu významné incidenty, které mají dopad na jím poskytované služby, a to bez zbytečného odkladu, nejpozději však do 24 hodin od okamžiku, kdy se o významném incidentu dozvěděl.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. j)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
j) neplní povinnost informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovenou rozhodnutím Úřadu podle § 20 odst. 1,
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. k)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
k) neplní povinnost informovat uživatele regulované služby o významné hrozbě a krocích, které může uživatel služby učinit v reakci na ni podle § 20 odst. 2,
32022L2555
Čl. 23 odst. 2
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. m)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
m) v rozporu s § 22 odst. 1 neplní povinnost uloženou Úřadem rozhodnutím o výstraze,
32022L2555
Čl. 23 odst. 7
7. Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. n)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
n) v rozporu s § 24 odst. 1 nebo 2 neplní povinnost uloženou rozhodnutím o vydání reaktivního protiopatření nebo opatřením obecné povahy vydaným Úřadem podle § 24,
32022L2555
Čl. 33 odst. 4 písm. b) a c)
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
b) přijmout závazné pokyny nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily chování, které porušuje tuto směrnici, a takového chování se znovu nedopouštěly;
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. o)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
o) nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem v rozporu s § 25 odst. 1 nebo 2, nebo
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2 písm. p)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
p) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 59 odst. 1.
32022L2555
Čl. 21 odst. 4
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 4 a 5
(4) Subjekt poskytující služby registrace jmen domén se dopustí přestupku tím, že
a) nenahlásí Úřadu údaje podle § 36 odst. 1 nebo jejich změnu podle § 36 odst. 2,
b) neshromažďuje nebo neuchovává přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi podle § 37 odst. 1 v souladu s požadavky § 37 odst. 2,
c) nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování podle § 37 odst. 3,
d) bez zbytečného odkladu po registraci jména domény neuveřejní její registrační údaje, které nejsou osobními údaji, podle § 37 odst. 5, nebo
e) neposkytne přístup ke konkrétním údajům o registraci jména domény podle § 37 odst. 6.
(5) Subjekt spravující a provozující registr domény nejvyšší úrovně se dopustí přestupku tím, že
a) neshromažďuje nebo neuchovává přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi podle § 37 odst. 1 v souladu s požadavky § 37 odst. 2,
b) nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování podle § 37 odst. 3,
c) bez zbytečného odkladu po registraci jména domény neuveřejní její registrační údaje, které nejsou osobními údaji, podle § 37 odst. 5, nebo
d) neposkytne přístup ke konkrétním údajům o registraci jména domény podle § 37 odst. 6.
32022L2555
Čl. 28
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti systému překladu jmen domén, požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén shromažďovaly a uchovávaly přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi, a to s náležitou péčí v souladu s právem Unie v oblasti ochrany údajů, pokud jde o data, jež jsou osobními údaji.
2. Členské státy pro účely odstavce 1 vyžadují, aby databáze údajů o registraci jmen domén obsahovala nezbytné informace umožňující identifikaci a kontaktování držitelů jmen domén a kontaktní místa spravující jména domén v registrech domén nejvyšší úrovně. Tyto informace zahrnují:
a) jméno domény;
b) datum registrace;
c) jméno žadatele o registraci, jeho kontaktní e-mailovou adresu a telefonní číslo;
d) kontaktní e-mailovou adresu a telefonní číslo kontaktního místa spravujícího jméno domény, pokud se liší od kontaktních údajů žadatele o registraci.
3. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly zavedeny zásady a postupy, včetně postupů ověřování, zajišťující, aby databáze uvedené v odstavci 1 zahrnovaly přesné a úplné informace. Členské státy požadují, aby byly tyto zásady a postupy veřejně dostupné.
4. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén zveřejňovaly bez zbytečného odkladu po registraci jména domény údaje o registraci jména domény, které nejsou osobními údaji.
5. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén poskytovaly přístup ke konkrétním údajům o registraci jmen domén na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právem Unie v oblasti ochrany údajů. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén reagovaly bez zbytečného odkladu, nejpozději však do 72 hodin od obdržení žádosti o přístup. Členské státy požadují, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.
6. Dodržování povinností stanovených v odstavcích 1 až 5 nesmí při shromažďování údajů o registraci jmen domén vést ke zdvojování. Členské státy požadují, aby za tímto účelem registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén vzájemně spolupracovaly.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 6 písm. a)
(6) Orgán nebo osoba se dopustí přestupku tím, že
a) neposkytne součinnost při zajišťování podkladů pro vydání protiopatření podle § 21 odst. 3,
32022L2555
Čl. 32 odst. 2 písm. f)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
32022L2555
Čl. 33 odst. 2 písm. e)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti s důležitými subjekty pravomoc podrobit tyto subjekty alespoň:
e) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon jejich dohledových úkolů;
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 7 písm. b)
(7) Orgán nebo osoba, které nejsou poskytovatelem regulované služby, se dopustí přestupku tím, že
b) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 59 odst. 1.
32022L2555
Čl. 21 odst. 1 a 4
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 10 a 11
(10) Žadatel o registraci členství v Komunitě se dopustí přestupku tím, že v žádosti o registraci podle § 50 odst. 4 uvede nepravdivé nebo zkreslené údaje nebo podstatné údaje do žádosti neuvede.
(11) Člen Komunity se dopustí přestupku tím, že v době trvání členství v Komunitě podle § 50 odst. 4 neuvede změnu údajů potřebných pro posouzení jeho základní a zvláštní způsobilosti Úřadem nebo neuvede další skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 3 a 4
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 60 odst. 12 až 14
(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.
(13) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
a)
vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti,
b)
neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti,
c)
nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti, nebo
d)
neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti.
(14) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a)
zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
b)
padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
c)
provede činnost posouzení shody podle aktu o kybernetické bezpečnosti na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti,
d)
jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie přijatém na základě aktu o kybernetické bezpečnosti,
e)
provede bez autorizace činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie přijatém na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody,
f)
vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti nebo mimo rozsah této akreditace, nebo
g)
jako subjekt posuzování shody nesplní Úřadem uloženou povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení podle § 62 odst. 1.
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 60 odst. 15 písm. a)
(15) Za přestupek lze uložit pokutu do výše
a) 250 000 000 Kč nebo jedná-li se o podnik podle čl. 101 a 102 Smlouvy o fungování Evropské unie, až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 1 písm. a), d) až k) a m) až p), odstavce 3 písm. a), e) a f), odstavce 6 písm. b) nebo odstavce 8 písm. b),
32022L2555
Čl. 32 odst. 1 a 4 písm. i)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
§ 60 odst. 15 písm. b)
(15) Za přestupek lze uložit pokutu do výše
b) 175 000 000 Kč nebo jedná-li se o podnik podle čl. 101 a 102 Smlouvy o fungování Evropské unie, až do výše 1,4 % čistého celosvětového ročního obratu dosaženého podnikem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 písm. a), d) až k) a m) až p) nebo odstavce 8 písm. c), d) a g),
32022L2555
Čl. 32 odst. 1 a 4 písm. i)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
§ 60 odst. 15 písm. c)
(15) Za přestupek lze uložit pokutu do výše
32022L2555
Čl. 32 odst. 1 a 4 písm. i)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
c) 100 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. b), odstavce 3 písm. b) a c) nebo odstavce 8 písm. a) a f),
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
§ 60 odst. 15 písm. d)
(15) Za přestupek lze uložit pokutu do výše
d) 50 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. c) a l), odstavce 2 písm. b), odstavce 3 písm. d), odstavce 4 písm. a) až e), odstavce 5 písm. a) až d), odstavce 6 písm. a), c) a d), odstavce 7 písm. a) a b), odstavce 8 písm. e) nebo odstavce 13 písm. a),
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
32022L2555
Čl. 32 odst. 1 a 4 písm. i)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 1 a 4 písm. h)
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
(…)
h) vedle kteréhokoli z opatření uvedených v písmenech a) až g) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
§ 60 odst. 15 písm. f)
(15) Za přestupek lze uložit pokutu do výše
f) 20 000 000 Kč, jde-li o přestupek podle odstavce 13 písm. b) až d) nebo odstavce 14 písm. a) až c) a e) až g),
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 60 odst. 15 písm. g)
(15) Za přestupek lze uložit pokutu do výše
g) 2 000 000 Kč, jde-li o přestupek podle odstavců 10, 11 a 12 nebo odstavce 14 písm. d), nebo
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 61 odst. 1
(1) Přestupky podle tohoto zákona projednává Úřad.
32022L2555
Čl. 31 odst. 1 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 1 a 4 písm. i)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 1 a odst. 4 písm. h)
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
(…)
h) vedle kteréhokoli z opatření uvedených v písmenech a) až g) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 62
(1) Úřad může v případě nesplnění povinnosti odstranit zjištěné nedostatky uložené rozhodnutím Úřadu podle § 59 odst. 1 poskytovateli regulované služby v režimu vyšších povinností, který je držitelem evropského certifikátu kybernetické bezpečnosti podle aktu o kybernetické bezpečnosti nebo jiného certifikátu nebo osvědčení souvisejícího se zajištěním kybernetické bezpečnosti regulované služby, pozastavit tomuto poskytovateli regulované služby platnost evropského certifikátu kybernetické bezpečnosti vydaného Úřadem nebo uložit subjektu posuzování shody povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení, a to až do doby odstranění zjištěných nedostatků , nejméně však na 6 měsíců.
(2) Rozhodnutí Úřadu podle odstavce 1 může být prvním úkonem v řízení a rozklad proti němu nemá odkladný účinek.
(3) Účastníkem řízení o vydání rozhodnutí podle odstavce 1 je vždy poskytovatel regulované služby v režimu vyšších povinností, o platnosti jehož certifikátu je rozhodováno.
(4) Informaci o pozastavení platnosti certifikátu nebo osvědčení Úřad zveřejní na svých internetových stránkách.
(5) Úřad provede, nejdříve však po uplynutí lhůty podle odstavce 1, kontrolu splnění povinnosti odstranit zjištěné nedostatky a v případě, že zjistí, že nedostatky byly odstraněny, Úřad o tomto vydá osvědčení, které je podkladem pro obnovení platnosti certifikátu nebo osvědčení.
(6) Využitím postupu podle odstavce 1 není dotčeno ukládání pokut za přestupky podle § 60.
32022L2555
Čl. 32 odst. 1, 4, 5, 7 a 8
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) určit na stanovenou dobu pracovníka pro sledování s přesně vymezenými úkoly, který bude dohlížet na dodržování článků 21 a 23 ze strany dotčených subjektů;
h) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
a) dočasně pozastavit nebo v souladu s vnitrostátním právem požádat certifikační nebo povolovací orgán nebo soud o dočasné pozastavení certifikace nebo povolení týkající se části nebo všech příslušných služeb nebo činností poskytovaných základním subjektem;
b) požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátním právem uložily dočasný zákaz výkonu řídicích funkcí v základním subjektu jakékoliv fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu.
Dočasná pozastavení nebo zákazy uložené podle tohoto odstavce se použijí pouze do okamžiku, než dotčený subjekt přijme opatření nezbytná k nápravě nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato opatření v oblasti vymáhání uplatněna. Uložení takových dočasných pozastavení nebo zákazů podléhá náležitým procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně práva na účinnou právní ochranu a na spravedlivý proces, presumpce neviny a práva na obhajobu.
Opatření v oblasti vymáhání stanovená v tomto odstavci se nevztahují na subjekty veřejné správy, na něž se vztahuje tato směrnice.
7. Při přijímání opatření v oblasti vymáhání podle odstavce 4 nebo 5 dodržují příslušné orgány práva na obhajobu a zohlední okolnosti každého jednotlivého případu a v úvahu vezmou alespoň:
a) závažnost porušení a významnost porušených ustanovení, přičemž následující porušení se vždy považují za závažná:
i) opakovaná porušení;
ii) neoznámení nebo nezajištění nápravy významných incidentů;
iii) nenapravení nedostatků podle závazných pokynů příslušných orgánů;
iv) maření auditů nebo sledovací činnosti nařízené příslušným orgánem po zjištění porušení;
v) poskytnutí nepravdivých nebo hrubě nepřesných informací v souvislosti s opatřeními pro řízení rizik v oblasti kybernetické bezpečnosti nebo oznamovacími povinnostmi stanovenými v článcích 21 a 23;
b) dobu trvání porušení;
c) veškerá relevantní porušení, kterých se dotčený subjekt dopustil v minulosti;
d) způsobenou hmotnou nebo nehmotnou újmu, včetně jakékoli finanční nebo ekonomické ztráty, účinků na jiné služby a počtu postižených uživatelů;
e) jakýkoli úmysl nebo nedbalost pachatele porušení;
f) jakákoli opatření přijatá subjektem za účelem zamezení nebo zmírnění hmotné nebo nehmotné újmy;
g) jakékoli dodržování schválených kodexů chování nebo schválených certifikačních mechanismů;
h) úroveň spolupráce odpovědné fyzické nebo právnické osoby s příslušnými orgány.
8. Příslušné orgány svá opatření v oblasti vymáhání podrobně odůvodní. Příslušné orgány před přijetím těchto opatření oznámí dotčeným subjektům svá předběžná zjištění. Rovněž těmto subjektům poskytnou přiměřenou dobu na předložení připomínek, s výjimkou řádně odůvodněných případů, kdy by to bránilo přijetí okamžitých opatření k předcházení incidentům nebo reakci na ně.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 63
(1) Soud může na návrh Úřadu rozhodnout, že člen statutárního orgánu právnické osoby, vedoucí odštěpného závodu, prokurista nebo podnikající fyzická osoba, která v přímé souvislosti s plněním rozhodnutí Úřadu podle § 59 odst. 1, kterým byla poskytovateli regulované služby v režimu vyšších povinností uložena povinnost odstranit zjištěné nedostatky, opakovaně nebo závažně porušila své povinnosti při výkonu své řídící funkce, v důsledku čehož bylo zmařeno řádné splnění rozhodnutí Úřadu, nesmí až do doby odstranění zjištěných nedostatků , nejméně však po dobu 6 měsíců tuto řídicí funkci vykonávat.
(2) Návrh lze podat pouze vůči osobě vykonávající řídící funkci u poskytovatele regulované služby v režimu vyšších povinností a pouze ve vztahu k řídící funkci, která není veřejnou funkcí vymezenou funkčním nebo časovým obdobím a obsazovanou na základě přímé nebo nepřímé volby anebo jmenováním podle zvláštních právních předpisů.
(3) Ustanovení zákona o obchodních korporacích upravující vyloučení člena statutárního orgánu z výkonu funkce v částech právních účinků pravomocného rozhodnutí o vyloučení člena statutárního orgánu, informování rejstříkového soudu a odpovědnosti za porušení dočasného zákazu výkonu funkce a ustanovení zákona o zvláštních řízeních soudních v částech vedení řízení o vyloučení z výkonu funkce podle zákona o obchodních korporacích se použijí obdobně.
(4) Informaci o pravomocném rozhodnutí o pozastavení výkonu řídící funkce Úřad zveřejní na svých internetových stránkách.
(5) Úřad, nejdříve však po uplynutí lhůty podle odstavce 1, provede kontrolu splnění povinnosti odstranit zjištěné nedostatky a v případě, že zjistí, že nedostatky odstraněny byly, vydá o tom osvědčení, které je podkladem pro výmaz údaje o pozastavení řídicí funkce z obchodního rejstříku podle zákona o veřejných rejstřících právnických a fyzických osob.
32022L2555
Čl. 32 odst. 1, 4, 5, 6, 7 a 8
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) určit na stanovenou dobu pracovníka pro sledování s přesně vymezenými úkoly, který bude dohlížet na dodržování článků 21 a 23 ze strany dotčených subjektů;
h) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
a) dočasně pozastavit nebo v souladu s vnitrostátním právem požádat certifikační nebo povolovací orgán nebo soud o dočasné pozastavení certifikace nebo povolení týkající se části nebo všech příslušných služeb nebo činností poskytovaných základním subjektem;
b) požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátním právem uložily dočasný zákaz výkonu řídicích funkcí v základním subjektu jakékoliv fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu.
Dočasná pozastavení nebo zákazy uložené podle tohoto odstavce se použijí pouze do okamžiku, než dotčený subjekt přijme opatření nezbytná k nápravě nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato opatření v oblasti vymáhání uplatněna. Uložení takových dočasných pozastavení nebo zákazů podléhá náležitým procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně práva na účinnou právní ochranu a na spravedlivý proces, presumpce neviny a práva na obhajobu.
Opatření v oblasti vymáhání stanovená v tomto odstavci se nevztahují na subjekty veřejné správy, na něž se vztahuje tato směrnice.
6. Členské státy zajistí, aby každá fyzická osoba jednající za základní subjekt nebo jednající jako právní zástupce základního subjektu na základě oprávnění jej zastupovat, oprávnění přijímat rozhodnutí jeho jménem nebo oprávnění vykonávat nad ním kontrolu měla pravomoc zajistit dodržování této směrnice. Členské státy zajistí, aby byla stanovena odpovědnost těchto fyzických osob za porušení jejich povinností spočívajících v zajištění dodržování této směrnice.
Pokud jde o subjekty veřejné správy, není tímto odstavcem dotčeno vnitrostátní právo o odpovědnosti úředníků veřejné správy a volených veřejných činitelů nebo jmenovaných úředníků.
7. Při přijímání opatření v oblasti vymáhání podle odstavce 4 nebo 5 dodržují příslušné orgány práva na obhajobu a zohlední okolnosti každého jednotlivého případu a v úvahu vezmou alespoň:
a) závažnost porušení a významnost porušených ustanovení, přičemž následující porušení se vždy považují za závažná:
i) opakovaná porušení;
ii) neoznámení nebo nezajištění nápravy významných incidentů;
iii) nenapravení nedostatků podle závazných pokynů příslušných orgánů;
iv) maření auditů nebo sledovací činnosti nařízené příslušným orgánem po zjištění porušení;
v) poskytnutí nepravdivých nebo hrubě nepřesných informací v souvislosti s opatřeními pro řízení rizik v oblasti kybernetické bezpečnosti nebo oznamovacími povinnostmi stanovenými v článcích 21 a 23;
b) dobu trvání porušení;
c) veškerá relevantní porušení, kterých se dotčený subjekt dopustil v minulosti;
d) způsobenou hmotnou nebo nehmotnou újmu, včetně jakékoli finanční nebo ekonomické ztráty, účinků na jiné služby a počtu postižených uživatelů;
e) jakýkoli úmysl nebo nedbalost pachatele porušení;
f) jakákoli opatření přijatá subjektem za účelem zamezení nebo zmírnění hmotné nebo nehmotné újmy;
g) jakékoli dodržování schválených kodexů chování nebo schválených certifikačních mechanismů;
h) úroveň spolupráce odpovědné fyzické nebo právnické osoby s příslušnými orgány.
8. Příslušné orgány svá opatření v oblasti vymáhání podrobně odůvodní. Příslušné orgány před přijetím těchto opatření oznámí dotčeným subjektům svá předběžná zjištění. Rovněž těmto subjektům poskytnou přiměřenou dobu na předložení připomínek, s výjimkou řádně odůvodněných případů, kdy by to bránilo přijetí okamžitých opatření k předcházení incidentům nebo reakci na ně.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 64
(1) Úřad může uložit pořádkovou pokutu až do výše 100 000 Kč. Pořádkovou pokutu lze uložit i opakovaně. Celková výše opakovaně ukládaných pokut nesmí přesáhnout 10 000 000 Kč nebo 1 % z čistého obratu dosaženého právnickou nebo podnikající fyzickou osobou za poslední ukončené účetní období podle toho, která z daných částek je vyšší.
(2) Úřad může za účelem vymáhání splnění povinnosti uložené rozhodnutím Úřadu ukládat donucovací pokuty až do výše 10 000 000 Kč nebo 1 % z čistého obratu dosaženého právnickou nebo podnikající fyzickou osobou za poslední ukončené účetní období podle toho, která z daných částek je vyšší.
(3) Za přestupek, kterého se poskytovatel regulované služby dopustí tím, že jako kontrolovaná osoba nesplní některou z povinností podle kontrolního řádu34), lze uložit pokutu do 10 000 000 Kč.
34) § 10 odst. 2 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 34 odst. 6
6. Členské státy mohou stanovit pravomoc ukládat penále s cílem přimět základní nebo důležitý subjekt, aby přestal porušovat tuto směrnici podle předchozího rozhodnutí příslušného orgánu.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 65 odst. 1
(1) Orgány veřejné moci jsou povinny bez zbytečného odkladu, a nestanoví-li jiný právní předpis jinak, i bez úplaty poskytnout Úřadu podněty, informace a jiné formy součinnosti potřebné k výkonu pravomocí a za účelem splnění povinností Úřadu, které jsou stanoveny tímto zákonem. Orgány veřejné moci a Úřad při výkonu pravomocí svěřených Úřadu tímto zákonem vzájemně spolupracují, jsou oprávněny vyžadovat stanoviska k připravovaným rozhodnutím vydávaným v mezích jejich působnosti a usilují při tom o dosažení shody těchto stanovisek. Orgány veřejné moci a Úřad dále v rozsahu, který je nezbytný pro plnění úkolů orgánů veřejné moci a Úřadu, sdílí informace o hrozbách, zranitelnostech a incidentech a o opatřeních přijatých v reakci na tyto hrozby, zranitelnosti a incidenty. Ustanovení § 48 odst. 2 a 3 tím nejsou dotčena. Plnění těchto povinností mohou orgány činné v trestním řízení v nezbytně nutném rozsahu omezit nebo na nezbytně nutnou dobu odložit, pokud by poskytnutím součinnosti došlo k ohrožení či zmaření účelu trestního řízení.
32022L2555
Čl. 23 odst. 6, 8 a 10
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
10. Týmy CSIRT nebo případně příslušné orgány poskytnou příslušným orgánům podle směrnice (EU) 2022/2557 informace o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30 subjekty určenými jakožto kritické subjekty podle směrnice (EU) 2022/2557.
32022L2555
Čl. 32 odst. 9 a 10
9. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice informovaly relevantní příslušné orgány ve stejném členském státě podle směrnice (EU) 2022/2557, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby subjekt určený jakožto kritický subjekt podle směrnice (EU) 2022/2557 dodržoval tuto směrnici. Příslušné orgány podle směrnice (EU) 2022/2557 mohou případně požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557.
10. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby základní subjekt, který je označen jakožto kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici.
32022L2555
Čl. 33 odst. 6
6. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby důležitý subjekt, který je označen jakožto kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici.
§ 65 odst. 5
(5) Úřad a Úřad pro ochranu osobních údajů jsou vzájemně oprávněny požadovat informace a vyžadovat spolupráci za účelem zamezení dvojího trestání porušení téže povinnosti uložené jak tímto zákonem, tak právními předpisy upravujícími ochranu osobních údajů. Ukládání jiných sankcí podle tohoto zákona tím není dotčeno.
32022L2555
Čl. 31 odst. 3
3. Při řešení incidentů, v jejichž důsledku došlo k porušení zabezpečení osobních údajů, příslušné orgány úzce spolupracují s dozorovými úřady podle nařízení (EU) 2016/679, aniž jsou dotčeny pravomoci a úkoly dozorových úřadů podle uvedeného nařízení.
32022L2555
Čl. 35
1. Pokud příslušné orgány v průběhu dohledu nebo vymáhání zjistí, že porušení povinností stanovených v článcích 21 a 23 této směrnice základním nebo důležitým subjektem může obnášet porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 nařízení (EU) 2016/679, které má být oznámeno podle článku 33 uvedeného nařízení, uvědomí bez zbytečného odkladu dozorové úřady podle článku 55 nebo 56 uvedeného nařízení.
2. Pokud dozorové úřady podle článku 55 nebo 56 nařízení (EU) 2016/679 uloží správní pokutu podle čl. 58 odst. 2 písm. i) uvedeného nařízení, příslušné orgány nesmí uložit správní pokutu podle článku 34 této směrnice za porušení uvedené v odstavci 1 tohoto článku za stejné porušení, za něž byla uložena správní pokuta podle čl. 58 odst. 2 písm. i) nařízení (EU) 2016/679. Příslušné orgány však mohou uložit opatření v oblasti vymáhání stanovené v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g) této směrnice.
3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, informuje příslušný orgán dozorový úřad se sídlem ve stejném členském státě o možném porušení zabezpečení údajů podle odstavce 1.
§ 66 odst. 1 písm. a)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
a) každé 2 roky informuje Evropskou komisi a Skupinu pro spolupráci o počtech poskytovatelů regulovaných služeb naplňujících kritéria pro identifikaci regulované služby v jednotlivých odvětvích,
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 3 odst. 5
5. Příslušné orgány do 17. dubna 2025 a poté každé 2 roky oznámí:
a) Komisi a skupině pro spolupráci počet základních a důležitých subjektů uvedených na seznamu podle odstavce 3 v každém odvětví a pododvětví uvedeném v příloze I nebo II a
b) Komisi příslušné informace o počtu základních a důležitých subjektů, které jsou za takové označeny podle čl. 2 odst. 2 písm. b) až e), informace o odvětví a pododvětví uvedených v příloze I nebo II, do nichž subjekty patří, o druhu služeb, které poskytují, a o tom, podle kterého z ustanovení uvedených v čl. 2 odst. 2 písm. b) až e) byly označeny za základní či důležité.
32022L2555
Čl. 3 odst. 6
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
§ 66 odst. 1 písm. b)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
b) každé 2 roky informuje Evropskou komisi o počtech poskytovatelů regulovaných služeb naplňujících kritéria pro určení regulované služby v jednotlivých odvětvích, službách, které poskytují, a kritériích, pro která byli určeni,
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 3 odst. 6
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
§ 66 odst. 1 písm. c)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
c) každé 3 měsíce předkládá Agentuře Evropské unie pro kybernetickou bezpečnost souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o kybernetických bezpečnostních incidentech, hrozbách a významných kybernetických bezpečnostních událostech oznámených podle § 16,
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 23 odst. 9
9. Jednotné kontaktní místo předkládá každé tři měsíce agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA přijmout technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny. Agentura ENISA informuje skupinu pro spolupráci a síť CSIRT o svých zjištěních v souvislosti s přijatými oznámeními každých šest měsíců.
§ 66 odst. 1 písm. d)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
d) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost identifikační údaje o subjektech poskytujících služby registrace jmen domén a poskytovatelích regulovaných služeb uvedených v § 57 odst. 3, kteří mají hlavní provozovnu na území České republiky nebo kteří mají na území České republiky ustaveného svého zástupce,
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 27
1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho 1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.
§ 66 odst. 1 písm. e)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
e) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost informace ke koordinovanému zveřejňování zranitelností,
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 12 odst. 2
2. Agentura ENISA po konzultaci se skupinou pro spolupráci vytvoří a spravuje Evropskou databázi zranitelností. Za tímto účelem agentura ENISA zřídí a spravuje informační systémy, politiky a postupy a přijme technická a organizační opatření nezbytná k zajištění bezpečnosti a integrity Evropské databáze zranitelností s cílem zejména umožnit subjektům bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, a jejich dodavatelům sítí a informačních systémů dobrovolně oznamovat a registrovat veřejně známé zranitelnosti v produktech IKT nebo službách IKT. Přístup k informacím o zranitelnostech uvedeným v Evropské databázi zranitelností je poskytnut všem zúčastněným stranám. V této databázi jsou uvedeny:
a) informace popisující zranitelnost;
b) zasažené produkty IKT nebo služby IKT, závažnost této zranitelnosti z hlediska okolností, za nichž může být využita;
c) dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny poskytnuté příslušnými orgány nebo týmy CSIRT a určené uživatelům zranitelných produktů IKT a služeb IKT ohledně toho, jak mohou být rizika vyplývající ze zveřejněných zranitelností zmírněna.
§ 66 odst. 1 písm. f)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
f) informuje Evropskou komisi o přijetí národní strategie kybernetické bezpečnosti a v rozsahu, ve kterém nebudou ohroženy bezpečnostní zájmy České republiky, o obsahu strategie,
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 7 odst. 3
3. Členské státy oznámí své národní strategie kybernetické bezpečnosti Komisi do tří měsíců od jejich přijetí. Členské státy mohou z těchto oznámení vyloučit informace, které se týkají jejich národní bezpečnosti.
§ 66 odst. 1 písm. g)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
g) poskytuje Evropské komisi identifikační údaje orgánu odpovědného za dozor v oblasti kybernetické bezpečnosti, jednotného kontaktního místa pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie, orgánu pro řešení kybernetických krizí, týmu CSIRT a koordinátora určeného pro účely koordinovaného zveřejňování zranitelností,
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 8 odst. 6
6. Každý členský stát Komisi oznámí bez zbytečného odkladu, o jaký příslušný orgán určený podle odstavce 1 a jaké jednotné kontaktní místo určené podle odstavce 3 se jedná, oznámí úkoly těchto orgánů a jakékoli následné změny, které se jich týkají. Každý členský stát zveřejní, o jaký příslušný orgán se jedná. Komise zveřejní seznam jednotných kontaktních míst.
32022L2555
Čl. 9 odst. 5
5. Do tří měsíců od určení nebo zřízení orgánu pro řešení kybernetických krizí podle odstavce 1 oznámí každý členský stát Komisi, o jaký orgán se jedná, a veškeré následné změny, které se ho týkají. Členské státy předloží Komisi a Evropské síti styčných organizací pro řešení kybernetických krizí (dále jen „EU-CyCLONe“) příslušné informace o požadavcích stanovených v odstavci 4, totiž o svých národních plánech reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, do tří měsíců od přijetí těchto plánů. Členské státy mohou vyloučit informace, pokud je takové vyloučení nezbytné pro jejich národní bezpečnost.
32022L2555
Čl. 10 odst. 9
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
§ 66 odst. 1 písm. h)
(1) Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie17)
h) poskytuje Evropské komisi a Agentuře Evropské unie pro kybernetickou bezpečnost další informace a nezbytnou součinnost.
32022L2555
Čl. 3 odst. 6
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
32022L2555
Čl. 9 odst. 5
5. Do tří měsíců od určení nebo zřízení orgánu pro řešení kybernetických krizí podle odstavce 1 oznámí každý členský stát Komisi, o jaký orgán se jedná, a veškeré následné změny, které se ho týkají. Členské státy předloží Komisi a Evropské síti styčných organizací pro řešení kybernetických krizí (dále jen „EU-CyCLONe“) příslušné informace o požadavcích stanovených v odstavci 4, totiž o svých národních plánech reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, do tří měsíců od přijetí těchto plánů. Členské státy mohou vyloučit informace, pokud je takové vyloučení nezbytné pro jejich národní bezpečnost.
32022L2555
Čl. 23 odst. 6
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
32022L2555
Čl. 27 odst. 4
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
§ 66 odst. 2
(2) Úřad za účelem plnění informační povinnosti podle odstavce 1 neposkytuje informace, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států Evropské unie v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany. Aniž je dotčen čl. 346 Smlouvy u fungování Evropské unie, informace, které jsou důvěrné podle unijních či vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Evropskou komisí a jinými příslušnými orgány Evropské unie v souladu s příslušným předpisem Evropské unie17) pouze v případě, že je tato výměna nutná pro jeho účely. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy dotčených orgánů a osob.
17) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 2 odst. 11 a 13
11. Povinnosti stanovené v této směrnici nezahrnují poskytování informací, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
13. Aniž je dotčen článek 346 Smlouvy o fungování EU, informace, které jsou důvěrné podle unijních či vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Komisí a jinými příslušnými orgány v souladu s touto směrnicí pouze v případě, že je tato výměna nutná pro účely této směrnice. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy dotčených subjektů.
§ 68 odst. 1
(1) Subjekt poskytující služby registrace jmen domén a poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu jmen domén, služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště11), služby internetového vyhledávače ve smyslu přímo použitelného právního předpisu Evropské unie12), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, který poskytuje tuto službu v České republice, nemá umístěnu hlavní provozovnu v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie, je povinen ustavit si svého zástupce v České republice. Zástupcem je osoba usazená v České republice, které subjekt poskytující služby registrace jmen domén nebo poskytovatel některé z uvedených regulovaných služeb udělil zmocnění zastupovat jej ve vztahu k povinnostem podle tohoto zákona.
11) On-line tržiště ve smyslu zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů.
12) Čl. 2 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb.
32022L2555
Čl. 6 odst. 34
Pro účely této směrnice se rozumí:
34) „zástupcem“ fyzická či právnická osoba usazená v Unii, výslovně pověřená, aby jednala jménem provozovatele DNS, registru domén nejvyšší úrovně, subjektu poskytujícího služby registrace jmen domén, poskytovatele služby cloud computingu, poskytovatele služeb datového centra, poskytovatele sítě pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, nebo poskytovatele on-line tržiště, internetového vyhledávače nebo služeb platforem sociálních sítí, který není usazen v Unii, přičemž vnitrostátní příslušný orgán nebo tým CSIRT může se zástupcem jednat namísto subjektu, pokud jde o povinnosti tohoto subjektu vyplývající z této směrnice;
§ 68 odst. 2
(2)
V případě, že subjekt poskytující služby registrace jmen domén nebo poskytovatel některé z regulovaných služeb uvedených v odstavci 1 má hlavní provozovnu mimo Evropskou unii a ustavil si svého zástupce v České republice, platí, že je usazen v České republice a vztahují se na něj povinnosti podle tohoto zákona. To platí i v případě, že poskytovatel některé z uvedených regulovaných služeb má hlavní provozovnu mimo Evropskou unii a neustavil si svého zástupce v žádném členském státě Evropské unie.
32022L2555
Čl. 6 odst. 34
Pro účely této směrnice se rozumí:
34) „zástupcem“ fyzická či právnická osoba usazená v Unii, výslovně pověřená, aby jednala jménem provozovatele DNS, registru domén nejvyšší úrovně, subjektu poskytujícího služby registrace jmen domén, poskytovatele služby cloud computingu, poskytovatele služeb datového centra, poskytovatele sítě pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, nebo poskytovatele on-line tržiště, internetového vyhledávače nebo služeb platforem sociálních sítí, který není usazen v Unii, přičemž vnitrostátní příslušný orgán nebo tým CSIRT může se zástupcem jednat namísto subjektu, pokud jde o povinnosti tohoto subjektu vyplývající z této směrnice;
32022L2555
Čl. 26 odst. 3
3. Jestliže subjekt uvedený v odst. 1 písm. b) není v Unii usazen, ale nabízí v Unii služby, určí svého zástupce v Unii. Tento zástupce musí být usazen v jednom z členských států, v němž jsou služby nabízeny. Má se za to, že tento subjekt podléhá pravomoci členského státu místa usazení zástupce. Neexistuje-li zástupce v Unii určený podle tohoto odstavce, může právní kroky proti subjektu za porušení této směrnice podniknout kterýkoli členský stát, v němž tento subjekt poskytuje služby.
§ 68 odst. 3
(3) Ustanovením zástupce není dotčena odpovědnost poskytovatele regulované služby nebo subjektu poskytujícího služby registrace jmen domén za dodržování tohoto zákona.
32022L2555
Čl. 26 odst. 4
4. Tím, že subjekt uvedený v odst. 1 písm. b) určí svého zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti subjektu samotnému.
§ 70
(1) Zpravodajské služby36) nejsou poskytovateli regulované služby.
(2) Zpravodajské služby
a) hlásí registrační a kontaktní údaje a jejich změny Úřadu, přičemž zajistí také dostatečnou zastupitelnost fyzických osob, které jsou oprávněny jednat za zpravodajskou službu podle tohoto zákona,
b) přiměřeně zavádí bezpečnostní opatření podle § 14 a 15 odst. 1 tohoto zákona,
c) přiměřeně zohlední varování podle § 23, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3) Ustanovení § 18 odst. 3, 41 a hlavy VI tohoto zákona se na zpravodajské služby nepoužije.
(4) Ustanovení § 30 odst. 2 a 65 odst. 1 se v případě zpravodajských služeb použije, pokud plnění těchto povinností nebrání zvláštní právní předpis37) nebo zákonná nebo státem uznaná povinnost mlčenlivosti. Předávání informací zpravodajskými službami se vždy řídí zákonem o zpravodajských službách.38) Vojenské zpravodajství může informace předávat také způsobem stanoveným v zákoně o Vojenském zpravodajství.39)
36) § 3 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
37) Například zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
38) § 8 odst. 3 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
39) § 16b odst. 1 nebo § 16f odst. 2 zákona č. 289/2005, o Vojenském zpravodajství, ve znění pozdějších předpisů.
32022L2555
Čl. 2 odst. 7
7. Tato směrnice se nevztahuje na subjekty veřejné správy, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů.
§ 71
(1) Pokud přímo použitelný předpis Evropské unie nebo jiný právní předpis, který zapracovává příslušný předpis Evropské unie, stanoví orgánům nebo osobám povinnosti v oblasti zavádění a provádění bezpečnostních opatření nebo hlášení kybernetických bezpečnostních incidentů a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti, které jsou těmto orgánům nebo osobám stanoveny podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavést a provádět bezpečnostní opatření a hlásit kybernetické bezpečnostní incidenty se vůči těmto orgánům a osobám neuplatní, a to včetně ustanovení o dozoru nad dodržováním uvedených povinností.
(2) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se považují taková ustanovení přímo použitelného předpisu Evropské unie nebo jiného právního předpisu, který zapracovává příslušný předpis Evropské unie, která
a) ve vztahu k povinnosti zavést a provádět bezpečnostní opatření odpovídají alespoň požadavkům stanoveným v § 14 a 15, nebo
b) ve vztahu k povinnosti hlásit kybernetické bezpečnostní incidenty odpovídají alespoň požadavkům stanoveným § 16 a 17.
(3) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný právní předpis Evropské unie sám stanoví.
32022L2555
Čl. 2 odst. 10
10. Tato směrnice se nevztahuje na subjekty, které členské státy vyňaly z oblasti působnosti nařízení (EU) 2022/2554 v souladu s čl. 2 odst. 4 uvedeného nařízení.
32022L2555
Čl. 4
1. Pokud ustanovení odvětvových právních aktů Unie vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik nebo aby oznamovaly významné incidenty, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání v kapitole VII, se na takové subjekty nepoužijí. Pokud se odvětvové právní akty Unie nevztahují na všechny subjekty v konkrétním odvětví, jež náleží do oblasti působnosti této směrnice, použijí se nadále na subjekty, na něž se uvedené odvětvové právní akty Unie nevztahují, příslušná ustanovení této směrnice.
2. Účinek požadavků uvedených v odstavci 1 tohoto článku se považuje za rovnocenný účinku povinností stanovených v této směrnici, pokud:
a) účinek opatření k řízení kybernetických bezpečnostních rizik je přinejmenším rovnocenný účinku opatření stanovených v čl. 21 odst. 1 a 2; nebo
b) odvětvový právní akt Unie stanoví okamžitý, případně automatický a přímý přístup k oznámením o incidentech, která podle této směrnice vydávají týmy CSIRT, příslušné orgány nebo jednotná kontaktní místa, a účinky požadavků na oznamování významných incidentů jsou přinejmenším rovnocenné účinkům požadavků stanovených v čl. 23 odst. 1 až 6 této směrnice.
3. Komise poskytne do 17. července 2023 pokyny objasňující uplatňování odstavců 1 a 2. Komise provádí pravidelný přezkum těchto pokynů. Při přípravě těchto pokynů zohlední Komise veškeré postřehy skupiny pro spolupráci a agentury ENISA.
§ 74
Tento zákon nabývá účinnosti dnem 18. října 2024.
32022L2555
Čl. 41 odst. 1
1. Členské státy do 17. října 2024 přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Použijí tato opatření ode dne 18. října 2024.
Číslo předpisu EU (kód celex)
Název předpisu EU
32022L2555
Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)
32019R0881
Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“)
32011D1104
Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
32021R0887
Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.
32021R0696
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU.
32023R0588
Nařízení Evropského parlamentu a Rady (EU) 2023/588 ze dne 15. března 2023, kterým se zavádí Program Unie pro bezpečnou konektivitu na období 2023–2027
Stránka 2 (celkem 2)