Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
"[Klepněte sem a vložte římské číslo dle čísla na obálce
ROZDÍLOVÁ TABULKA NÁVRHU PRÁVNÍHO PŘEDPISU S PŘEDPISY EU
Návrh zákona o kybernetické bezpečnosti
Navrhovaný právní předpis
Odpovídající předpis EU
Ustanovení (část, §, odst., písm., apod.)
Obsah
Celex č.
Ustanovení (čl., odst., písm., bod, apod.)
Obsah
§ 1 odst. 1
(1)
Tento zákon upravuje práva a povinnosti osob, organizačních složek státu a dalších orgánů veřejné moci v oblasti zajišťování kybernetické bezpečnosti a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad“) a dalších orgánů veřejné moci.
32022L2555
Čl. 1 odst. 1
1. Touto směrnicí se stanoví opatření, jejichž účelem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem zlepšit fungování vnitřního trhu.
32022L2555
Čl. 1 odst. 2
2. Za tímto účelem tato směrnice stanoví:
a) povinnosti, jež vyžadují, aby členské státy přijaly národní strategie kybernetické bezpečnosti, určily nebo zřídily příslušné orgány, orgány pro řešení kybernetických krizí, jednotná kontaktní místa pro kybernetickou bezpečnost (dále jen „jednotná kontaktní místa“) a týmy pro reakce na počítačové bezpečnostní incidenty (dále jen „týmy CSIRT“);
b) opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti pro subjekty, jejichž druhy jsou uvedeny v příloze I nebo II, jakož i pro subjekty, jež jsou určeny jakožto kritické subjekty podle směrnice (EU) 2022/2022/2557;
c) pravidla a povinnosti týkající se sdílení informací o kybernetické bezpečnosti;
d) povinnosti členských států v oblasti dohledu a vymáhání.
§ 1 odst. 2
(2)
Tento zákon se vztahuje na osoby, které jsou usazeny na území České republiky. Tento zákon se dále vztahuje na osoby, které na území České republiky zajišťují sítě nebo poskytují služby elektronických komunikací podle jiného právního předpisu1), bez ohledu na místo jejich usazení.
1) Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů.
32022L2555
Čl. 26 odst. 1 písm. a)
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů:
a) poskytovatelé veřejných sítí elektronických komunikací nebo poskytovatelé veřejně dostupných služeb elektronických komunikací, u nichž se má za to, že podléhají pravomoci členského státu, v němž poskytují své služby;
§ 1 odst. 3
(3)
Tento zákon zapracovává příslušný předpis Evropské unie2), zároveň navazuje na přímo použitelné předpisy Evropské unie3).
2) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).
3) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).
Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU.
Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
Nařízení Evropského parlamentu a Rady (EU) 2023/588 ze dne 15. března 2023, kterým se zavádí Program Unie pro bezpečnou konektivitu na období 2023–2027.
32022L2555
Čl. 1 odst. 1
1. Touto směrnicí se stanoví opatření, jejichž účelem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem zlepšit fungování vnitřního trhu.
32022L2555
Čl. 41 odst. 1
1. Členské státy do 17. října 2024 přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Použijí tato opatření ode dne 18. října 2024.
32022L2555
Čl. 41 odst. 2
2. Opatření uvedená v odst. 1 přijatá členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový
odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.
§ 2 odst. 1 písm. c)
(1)
Pro účely tohoto zákona se rozumí
a)
aktivem fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě
32022L2555
Čl. 6 odst. 1
Pro účely této směrnice se rozumí:
1) „sítí a informačním systémem“:
a) síť elektronických komunikací ve smyslu čl. 2 bodu 1 směrnice (EU) 2018/1972;
b) zařízení nebo skupina vzájemně propojených nebo souvisejících zařízení, z nichž jedno nebo více provádí na základě programu automatické zpracování digitálních dat; nebo
c) digitální data, jež jsou prvky uvedenými v písmenech a) a b) uchovávána, zpracovávána, opětovně vyhledávána nebo předávána za účelem jejich provozu, použití, ochrany a údržby;
§ 2 odst. 2 písm. b)
(2)
Pro účely tohoto zákona se dále rozumí
b)
bezpečností informací zajištění důvěrnosti, integrity a dostupnosti informací a dat,
32022L2555
Čl. 6 odst. 2
Pro účely této směrnice se rozumí:
2) „bezpečností sítí a informačních systémů“ schopnost sítí a informačních systémů odolávat s určitou spolehlivostí veškerým událostem, které mohou narušit dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné;
32022L2555
Čl. 6 odst. 3
Pro účely této směrnice se rozumí:
3) „kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 2 bodu 1 nařízení (EU) 2019/881;
§ 2 odst. 2 písm. c)
(2)
Pro účely tohoto zákona se dále rozumí
c)
hrozbou jakákoliv potenciální okolnost, událost nebo jednání, které mohou být příčinou kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, a které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit aktiva, jejich uživatele nebo další osoby,
32022L2555
Čl. 6 odst. 10
Pro účely této směrnice se rozumí:
10) „kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881;
§ 2 odst. 2 písm. d)
(2)
Pro účely tohoto zákona se dále rozumí
d)
významnou hrozbou hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál závažně ovlivnit aktiva poskytovatele regulované služby nebo uživatele regulované služby natolik, že způsobí značnou újmu,
32022L2555
Čl. 6 odst. 11
Pro účely této směrnice se rozumí:
11) „významnou kybernetickou hrozbou“ kybernetická hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál vážně ovlivnit sítě a informační systémy určitého subjektu nebo uživatelů služeb takového subjektu tím, že způsobí značnou hmotnou nebo nehmotnou újmu;
§ 2 odst. 2 písm. e)
(2)
Pro účely tohoto zákona se dále rozumí
e)
kybernetickou bezpečnostní událostí událost, která může vyústit v kybernetický bezpečnostní incident,
32022L2555
Čl. 6 odst. 5
Pro účely této směrnice se rozumí:
5) „významnou událostí“ událost, která mohla narušit dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které nabízejí sítě a informační systémy nebo které jsou jejich prostřednictvím přístupné, ale plnému vzniku takové události bylo úspěšně zabráněno nebo taková událost nenastala;
§ 2 odst. 2 písm. f)
(2)
Pro účely tohoto zákona se dále rozumí
f)
kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v kybernetickém prostoru,
32022L2555
Čl. 6 odst. 6
Pro účely této směrnice se rozumí:
6) „incidentem“ událost narušující dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné;
32022L2555
Čl. 6 odst. 7
Pro účely této směrnice se rozumí:
7) „rozsáhlým kybernetickým bezpečnostním incidentem“ incident, který způsobí úroveň narušení, jež přesahuje schopnost členského státu na takový incident reagovat, nebo který má významný dopad na nejméně dva členské státy;
§ 2 odst. 2 písm. g)
(2)
Pro účely tohoto zákona se dále rozumí
g)
zvládáním kybernetického bezpečnostního incidentu úkony vedoucí k prevenci, detekci, analýze, omezení dopadů incidentu, reakci na incident a následné obnově, a
32022L2555
Čl. 6 odst. 8
Pro účely této směrnice se rozumí:
8) „řešením incidentu“ jakékoli akce a postupy, jejichž cílem je incidentu předejít, odhalit jej, analyzovat, zamezit jeho šíření nebo na něj reagovat a zotavit se z něj;
§ 2 odst. 2 písm. h)
(2)
Pro účely tohoto zákona se dále rozumí
h)
zranitelností slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito hrozbou.
32022L2555
Čl. 6 odst. 15
Pro účely této směrnice se rozumí:
15) „zranitelností“ slabá stránka, snížená odolnost nebo chyba produktů IKT nebo služeb IKT, která může být využita kybernetickou hrozbou;
§ 2 odst. 3 písm. a)
(3) Pro účely tohoto zákona se dále rozumí
a)
systémem překladu doménových jmen hierarchický distribuovaný systém překladu doménových jmen, který umožňuje identifikaci internetových služeb a zdrojů, a současně umožňuje, aby zařízení koncových uživatelů využívala služby směrování a připojení k internetu za účelem přístupu k těmto službám a zdrojům,
32022L2555
Čl. 6 odst. 19
Pro účely této směrnice se rozumí:
19) „systémem překladu jmen domén“ nebo „DNS“ hierarchický distribuovaný systém překladu jmen domén, který umožňuje identifikaci internetových služeb a zdrojů a současně umožňuje, aby zařízení koncových uživatelů využívala služby směrování a připojení k internetu za účelem přístupu k těmto službám a zdrojům;
§ 2 odst. 3 písm. b)
(3) Pro účely tohoto zákona se dále rozumí
b)
správou a provozem registru domény nejvyšší úrovně činnost spočívající ve správě konkrétní delegované domény nejvyšší úrovně, včetně registrace doménových jmen v rámci domény nejvyšší úrovně a technického provozu jmenných serverů, vedení databází zajišťujících správu a provoz domény nejvyšší úrovně a distribuci zónových souborů domény nejvyšší úrovně mezi jmennými servery, s výjimkou situací, kdy registr domény nejvyšší úrovně používá doménová jména nejvyšší úrovně pouze pro svou vlastní potřebu,
32022L2555
Čl. 6 odst. 21
Pro účely této směrnice se rozumí:
21) „registrem domén nejvyšší úrovně“ nebo „registrem TLD“ subjekt, kterému byla delegována konkrétní doména nejvyšší úrovně (TLD) a je odpovědný za správu domén nejvyšší úrovně, včetně registrace jmen domén v rámci domén nejvyšší úrovně a technického provozu domén nejvyšší úrovně, včetně provozu jejích jmenných serverů, vedení jejích databází a distribuce souborů zón domén nejvyšší úrovně mezi jmennými servery, bez ohledu na to, zda kteroukoli z těchto operací provádí subjekt sám nebo je zajišťována externě, avšak s výjimkou situací, kdy jsou jména domén nejvyšší úrovně používána registrem pouze pro vlastní potřebu;
§ 2 odst. 3 písm. c)
(3) Pro účely tohoto zákona se dále rozumí
c)
službou cloud computingu služba informační společnosti podle právního předpisu upravujícího služby informační společnosti, která umožňuje samoobslužnou správu a široký vzdálený přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů, včetně těch, které jsou rozmístěny na více místech,
32022L2555
Čl. 6 odst. 23
Pro účely této směrnice se rozumí:
23) „digitální službou“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice Evropského parlamentu a Rady (EU) 2015/1535 (30);
32022L2555
Čl. 6 odst. 30
Pro účely této směrnice se rozumí:
30) „službou cloud computingu“ digitální služba, která umožňuje samoobslužnou správu a široký vzdálený přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů, včetně těch, které jsou rozmístěny na více místech;
§ 2 odst. 3 písm. d)
(3) Pro účely tohoto zákona se dále rozumí
d)
službou datového centra služba, která zahrnuje prostory, včetně všech zařízení a infrastruktur pro distribuci energie a řízení prostředí, určené k centralizovanému umístění, propojení a provozu informačních technologií a síťových zařízení poskytujících služby zpracování dat,
32022L2555
Čl. 6 odst. 31
Pro účely této směrnice se rozumí:
31) „službou datového centra“ služba, která zahrnuje struktury nebo skupiny struktur určené k centralizovanému umístění, propojení a provozu IT a síťových zařízení poskytujících služby ukládání, zpracování a přepravy dat společně se všemi zařízeními a infrastrukturami pro distribuci energie a řízení prostředí;
§ 2 odst. 3 písm. e)
(3) Pro účely tohoto zákona se dále rozumí
e)
sítí pro doručování obsahu síť geograficky distribuovaných serverů sloužící k zajištění vysoké dostupnosti, přístupnosti nebo rychlého poskytování digitálního obsahu a služeb uživatelům internetu,
32022L2555
Čl. 6 odst. 32
Pro účely této směrnice se rozumí:
32) „sítí pro doručování obsahu“ síť geograficky distribuovaných serverů za účelem zajištění vysoké dostupnosti, přístupnosti nebo rychlého poskytování digitálního obsahu a služeb uživatelům internetu jménem poskytovatelů obsahu a služeb;
§ 2 odst. 3 písm. f)
(3) Pro účely tohoto zákona se dále rozumí
f)
platformou sociálních sítí platforma, která koncovým uživatelům umožňuje vzájemné propojení, sdílení, objevování a komunikaci napříč různými zařízeními, zejména prostřednictvím chatů, příspěvků, videí a doporučení,
32022L2555
Čl. 6 odst. 33
Pro účely této směrnice se rozumí:
33) „platformou sociálních sítí“ platforma, která koncovým uživatelům umožňuje vzájemné propojení, sdílení, objevování a komunikaci napříč různými zařízeními, zejména prostřednictvím chatů, příspěvků, videí a doporučení;
§ 2 odst. 3 písm. g)
(3) Pro účely tohoto zákona se dále rozumí
a)
řízenou službou služba související s instalací, správou, provozem nebo údržbou technických aktiv, a to prostřednictvím asistence nebo aktivní správy, které jsou prováděny v prostorách zákazníků nebo na dálku,
32022L2555
Čl. 6 odst. 39
Pro účely této směrnice se rozumí:
39) „poskytovatelem řízených služeb“ subjekt, který poskytuje služby související s instalací, správou, provozem nebo údržbou produktů IKT, sítí, infrastruktury, aplikací nebo jakýchkoli jiných sítí a informačních systémů, a to prostřednictvím asistence nebo aktivní správy, které jsou prováděny buď v prostorách zákazníků, nebo na dálku;
§ 2 odst. 3 písm. h)
(3) Pro účely tohoto zákona se dále rozumí
h)
řízenou bezpečnostní službou služba, která spočívá v činnostech souvisejících s řízením kybernetických bezpečnostních rizik nebo poskytováním asistence pro tyto činnosti, a
32022L2555
Čl. 6 odst. 40
Pro účely této směrnice se rozumí:
40) „poskytovatelem řízených bezpečnostních služeb“ poskytovatel řízených služeb, který provádí činnosti související s řízením kybernetických bezpečnostních rizik nebo poskytuje asistenci pro tyto činnosti;
§ 2 odst. 3 písm. i)
(3) Pro účely tohoto zákona se dále rozumí
i)
osobou poskytující služby registrace doménových jmen registrátor nebo osoba poskytující obdobné služby jménem registrátora.
32022L2555
Čl. 6 odst. 22
Pro účely této směrnice se rozumí:
22) „subjektem poskytujícím služby registrace jmen domén“ registrátor nebo zástupce jednající jménem registrátorů, jako je poskytovatel služeb ochrany soukromí nebo zprostředkovatel registračních služeb nebo přeprodeje;
§ 4 odst. 1 písm. a) bod 1
(1) Podmínky pro registraci regulované služby jsou splněny v případě, že
a)
jde o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:
1.
veřejná správa a výkon veřejné moci,
32022L2555
Čl. 2 odst. 5 písm. a)
5. Členské státy mohou stanovit, že se tato směrnice vztahuje na:
a) subjekty veřejné správy na místní úrovni;(…)
§ 4 odst. 1 písm. a) bod 1 až 11, 13 a 15 a písm. b)
(1) Podmínky pro registraci regulované služby jsou splněny v případě, že
a)
jde o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:
1.
veřejná správa a výkon veřejné moci,
2.
energetika,
3.
výrobní průmysl,
4.
potravinářský průmysl,
5.
chemický průmysl,
6.
vodní hospodářství,
7.
odpadové hospodářství,
8.
doprava,
9.
digitální infrastruktura a služby,
10.
finanční trh,
11.
zdravotnictví,
(…)
13.
poštovní a kurýrní služby,
(…)
15.
vesmírný průmysl a
b)
b)
poskytovatel služby je středním nebo velkým podnikem ve smyslu doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (dále jen „doporučení Komise 2003/361/ES“)6), nebo je významný pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice.
6) Sdělení Ministerstva průmyslu a obchodu č. 7/2023 o vyhlášení českého znění doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.
32022L2555
Čl. 2 odst. 1
1. Tato směrnice se vztahuje na veřejné a soukromé subjekty, jejichž druhy jsou uvedeny v příloze I nebo II a které jsou považovány podle článku 2 přílohy doporučení 2003/361/ES za střední podniky, nebo které překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku a které poskytují služby nebo vykonávají činnosti v rámci Unie. Ustanovení čl. 3 odst. 4 přílohy uvedeného doporučení se pro účely této směrnice nepoužije.
32022L2555
Čl. 2 odst. 2 písm. a) a f)
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
a) služby jsou poskytovány:
i) poskytovateli veřejné sítě elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací;
ii) poskytovateli služeb vytvářejících důvěru;
iii) registry domén nejvyšší úrovně a provozovateli DNS;
(…)
f) subjekt je subjektem veřejné správy:
i) ústřední vlády, jak je vymezena členským státem podle vnitrostátního práva; nebo
ii) na regionální úrovni, jak je vymezena členským státem podle vnitrostátního práva, a na základě posouzení rizik poskytuje služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti.
§ 4 odst. 1 písm. a) bod 12
(1) Podmínky pro registraci regulované služby jsou splněny v případě, že
a)
jde o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, v některém z těchto odvětví:
(…)
12.
věda, výzkum a vzdělávání,
(…)
32022L2555
Čl. 2 odst. 5 písm. a) a b)
5. Členské státy mohou stanovit, že se tato směrnice vztahuje na: a) subjekty veřejné správy na místní úrovni;
(…)
b) vzdělávací instituce, zejména pokud vykonávají kritické výzkumné činnosti.
§ 5 písm. a) bod 1
Podmínky pro registraci regulované služby jsou dále splněny v případě, že
a)
jde o službu podle § 4 odst. 1 písm. a) a
1.
její poskytovatel je jediným poskytovatelem této služby v České republice a tato služba je zásadní pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice,
32022L2555
Čl. 2 odst. 2 písm. b)
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
(…)
b) subjekt je v některém členském státě výhradním poskytovatelem služeb, jež mají zásadní význam pro zachování kritických společenských nebo hospodářských činností;
§ 5 písm. a) bod 2
Podmínky pro registraci regulované služby jsou dále splněny v případě, že
a)
jde o službu podle § 4 odst. 1 písm. a) a
2.
narušení této služby by mohlo mít významný dopad na bezpečnost České republiky, vnitřní pořádek nebo život a zdraví,
32022L2555
Čl. 2 odst. 2 písm. c)
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
(…)
c) narušení služby poskytované tímto subjektem by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;
§ 5 písm. a) bod 3
Podmínky pro registraci regulované služby jsou dále splněny v případě, že
a)
jde o službu podle § 4 odst. 1 písm. a) a
3.
narušení této služby by mohlo vyvolat významná systémová rizika, zejména v odvětvích, kde by takové narušení mohlo mít přeshraniční dopad, nebo
32022L2555
Čl. 2 odst. 2 písm. d)
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
(…)
d) narušení služby poskytované tímto subjektem by mohlo vyvolat významná systémová rizika, zejména pro ta odvětví, kde by takové narušení mohlo mít přeshraniční dopad;
§ 5 písm. a) bod 4
Podmínky pro registraci regulované služby jsou dále splněny v případě, že
a)
jde o službu podle § 4 odst. 1 písm. a) a
4.
její poskytovatel je kvůli svému specifickému významu na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví, ve kterém působí, nebo typ služby, kterou poskytuje anebo pro jiná vzájemně propojená odvětví v České republice,
32022L2555
Čl. 2 odst. 2 písm. e)
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
(…)
e) subjekt je kritický vzhledem ke svému specifickému významu na vnitrostátní nebo regionální úrovni pro konkrétní odvětví nebo druh služby nebo pro jiná vzájemně závislá odvětví v členském státě;
§ 5 odst. 1 písm. d)
Podmínky pro registraci regulované služby jsou dále splněny v případě, že
d)
jde o službu, jejíž poskytovatel je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu; v takovém případě je regulovanou službou služba odpovídající prvku kritické infrastruktury určenému u tohoto subjektu.
32022L2555
Čl. 2 odst. 3
3. Bez ohledu na jejich velikost se tato směrnice použije na subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557.
§ 6 odst. 1
(1) Poskytovatel služby splňující podmínky pro registraci regulované služby podle § 4 odst. 1 je pro účely vydání rozhodnutí o registraci regulované služby povinen ohlásit tuto službu Úřadu nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo.
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 3 odst. 4 věta první a poslední
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice. (…)
Členské státy mohou zřídit vnitrostátní mechanismy, jejichž pomocí by se subjekty mohly registrovat samy.
32022L2555
Čl. 27 odst. 2
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
32022L2555
Čl. 27 odst. 5
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.
§ 7 písm. a) až c)
Odchylně od pravidel doporučení Komise 2003/361/ES pro účely tohoto zákona platí, že
a)
čl. 3 odst. 4 doporučení Komise 2003/361/ES se neuplatní,
b)
za podnik se nepovažují organizační složky státu7), územní samosprávné celky a Česká národní banka,
c)
za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby,
7) § 3 zákona č. 219/2000 Sb., o majetku České republiky a jejím vystupování v právních vztazích, ve znění pozdějších předpisů.
32022L2555
Čl. 2 odst. 1 věta poslední
1. (…) Ustanovení čl. 3 odst. 4 přílohy uvedeného doporučení se pro účely této směrnice nepoužije.
§ 8 odst. 1
(1) V režimu vyšších povinností je poskytovatel regulované služby, který z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo jiného poskytovatele regulované služby nebo rizikovosti provozu, je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku. V režimu nižších povinností je poskytovatel regulované služby, který není v režimu vyšších povinností podle věty první.
32022L2555
Čl. 3 odst. 1
1. Pro účely této směrnice se za základní subjekty považují:
a) subjekty, jejichž druh je uveden v příloze I, které překračují stropy pro střední podniky stanovené v čl. 2 odst. 1 přílohy doporučení 2003/361/ES;
b) kvalifikovaní poskytovatelé služeb vytvářejících důvěru, registry domén nejvyšší úrovně a provozovatelé DNS bez ohledu na jejich velikost;
c) poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací, kteří jsou považováni za střední podniky podle článku 2 přílohy doporučení 2003/361/ES;
d) subjekty veřejné správy podle čl. 2 odst. 2 písm. f) bodu i);
e) jakékoli jiné subjekty druhu, který je uveden v příloze I nebo II, jež členský stát označí za základní subjekty podle čl. 2 odst. 2 písm. b) až e);
f) subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557, jež jsou uvedeny v čl. 2 odst. 3 této směrnice;
g) pokud tak členský stát stanoví, subjekty, které tento členský stát označil před 16. lednem 2023 za provozovatele základních služeb v souladu se směrnicí (EU) 2016/1148 nebo s vnitrostátním právem.
32022L2555
Čl. 3 odst. 2
2. Pro účely této směrnice se za důležité subjekty považují subjekty druhu uvedeného v příloze I nebo II, které nelze považovat za základní subjekty podle odstavce 1 tohoto článku. Patří k nim i subjekty, jež členské státy označily za důležité podle čl. 2 odst. 2 písm. b) až e).
§ 8 odst. 3
(3) Je-li regulovaná služba registrována rozhodnutím Úřadu na základě splnění podmínek pro registraci podle § 5, je její poskytovatel v režimu vyšších povinností.
32022L2555
Čl. 3 odst. 1 písm. e) a f)
1. Pro účely této směrnice se za základní subjekty považují:
(…)
e) jakékoli jiné subjekty druhu, který je uveden v příloze I nebo II, jež členský stát označí za základní subjekty podle čl. 2 odst. 2 písm. b) až e);
f) subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557, jež jsou uvedeny v čl. 2 odst. 3 této směrnice;
(…)
32022L2555
Čl. 3 odst. 2
2. Pro účely této směrnice se za důležité subjekty považují subjekty druhu uvedeného v příloze I nebo II, které nelze považovat za základní subjekty podle odstavce 1 tohoto článku. Patří k nim i subjekty, jež členské státy označily za důležité podle čl. 2 odst. 2 písm. b) až e).
§ 9 odst. 1
(1) Poskytovatel regulované služby je povinen hlásit Úřadu změny regulované služby, které mohou vést ke změně režimu jejího poskytovatele, nejpozději do 60 dnů ode dne, kdy ke změně regulované služby došlo.
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 3 odst. 4 věta druhá
Subjekty uvedené v odstavci 3 oznámí všechny změny údajů, které předložily podle prvního pododstavce tohoto odstavce, a to neprodleně, nejpozději však do dvou týdnů od data změny.
32022L2555
Čl. 27 odst. 3
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
§ 10 odst. 1
(1) Pokud služba již nesplňuje podmínky pro registraci regulované služby podle § 4 odst. 1 nebo § 5, Úřad rozhodne o zrušení registrace regulované služby.
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
§ 11 odst. 1
(1) Poskytovatel regulované služby nejpozději do 30 dnů ode dne doručení rozhodnutí o registraci regulované služby hlásí
a)
kontaktní údaje, kterými se rozumí identifikační údaje fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem, a
b)
doplňující údaje, kterými se rozumí informace o vlastnické struktuře poskytovatele regulované služby, technické údaje týkající se regulované služby a informace o jejím geografickém rozšíření a přeshraničním poskytování.
32022L2555
Čl. 3 odst. 4 věta první
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice.
32022L2555
Čl. 27 odst. 2
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
§ 11 odst. 2
(2) Poskytovatel regulované služby je povinen hlásit změny pouze těch údajů podle odstavce 1, které nejsou referenčními údaji vedenými v základních registrech, a to nejpozději do 14 dnů ode dne, kdy došlo k jejich změně.
32022L2555
Čl. 3 odst. 4 věta druhá
Subjekty uvedené v odstavci 3 oznámí všechny změny údajů, které předložily podle prvního pododstavce tohoto odstavce, a to neprodleně, nejpozději však do dvou týdnů od data změny.
§ 12 odst. 2
(2) Za účelem vymezení stanoveného rozsahu poskytovatel regulované služby
a)
určí všechna svá primární aktiva,
b)
posoudí, zda primární aktiva souvisí s poskytováním regulované služby, a
c)
u primárních aktiv podle písmene b) určí podpůrná aktiva.
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
§ 13 odst. 1
(1) Bezpečnostními opatřeními jsou organizační a technická opatření, jejichž účelem je zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv.
32022L2555
Čl. 21 odst. 2
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
b) řešení incidentů;
c) řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 13 odst. 2
(2) Poskytovatel regulované služby je povinen v rámci stanoveného rozsahu zavádět a provádět bezpečnostní opatření podle § 14 v míře nezbytné pro zajištění kybernetické bezpečnosti regulované služby.
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
§ 13 odst. 5
(5) V případě, že poskytovatel regulované služby zavádí nebo provádí bezpečnostní opatření prostřednictvím dodavatele, je povinen vybírat svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření a zahrnovat požadavky vyplývající z bezpečnostního opatření do smluv s dodavatelem.
32022L2555
Čl. 21 odst. 2 písm. d)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
(…)
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
(…)
§ 14 odst. 1 písm. a) bod 1
(1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
1.
systém řízení bezpečnosti informací,
32022L2555
Čl. 20 odst. 1
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických
bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné
orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
32022L2555
Čl. 21 odst. 2 písm. a)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
32022L2555
Čl. 21 odst. 2 písm. f)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik
§ 14 odst. 1 písm. a) bod 2
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
2.
požadavky na vrcholné vedení,
32022L2555
Čl. 20 odst. 1
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických
bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné
orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
32022L2555
Čl. 20 odst. 2
2. Členské státy zajistí, aby členové řídících orgánů základních a důležitých subjektů museli absolvovat školení, a vybízí
základní a důležité subjekty, aby pravidelně nabízely podobné školení svým zaměstnancům, aby tak získali dostatečné
znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik
a jejich dopad na služby poskytované subjektem.
32022L2555
Čl. 21 odst. 2 písm. b)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
b) řešení incidentů;
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
§ 14 odst. 1 písm. a) bod 3
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
3.
stanovení bezpečnostních rolí,
32022L2555
Čl. 21 odst. 2
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
b) řešení incidentů;
c) řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 14 odst. 1 písm. a) bod 4
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
4.
řízení bezpečnostní politiky a bezpečnostní dokumentace,
32022L2555
Čl. 21 odst. 2 písm. a)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
32022L2555
Čl. 21 odst. 2 písm. f)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik
32022L2555
Čl. 21 odst. 2 písm. h)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
§ 14 odst. 1 písm. a) bod 5
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
5.
řízení aktiv,
32022L2555
Čl. 21 odst. 2 písm. a)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
§ 14 odst. 1 písm. a) bod 6
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
6.
řízení rizik,
32022L2555
Čl. 21 odst. 2 písm. a)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
§ 14 odst. 1 písm. a) bod 7
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
7.
řízení dodavatelů,
32022L2555
Čl. 21 odst. 2 písm. d)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty
zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů
a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného
vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly
povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které
bylo provedeno v souladu s čl. 22 odst. 1.
§ 14 odst. 1 písm. a) bod 8
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
8.
bezpečnost lidských zdrojů,
32022L2555
Čl. 21 odst. 2 písm. g)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
§ 14 odst. 1 písm. a) bod 9
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
9.
řízení změn,
32022L2555
Čl. 21 odst. 2 písm. e)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
§ 14 odst. 1 písm. a) bod 10
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
10.
akvizice, vývoj a údržba,
32022L2555
Čl. 21 odst. 2 písm. e)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
32022L2555
Čl. 21 odst. 2 písm. h)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
32022L2555
Čl. 21 odst. 2 písm. j)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 14 odst. 1 písm. a) bod 11
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
11.
řízení přístupu,
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
§ 14 odst. 1 písm. a) bod 12
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
12.
zvládání kybernetických bezpečnostních událostí a incidentů,
32022L2555
Čl. 21 odst. 2 písm. b)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
b) řešení incidentů;
§ 14 odst. 1 písm. a) bod 13
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
13.
řízení kontinuity činností a
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
§ 14 odst. 1 písm. a) bod 14
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a)
organizačními opatřeními
14.
provádění auditu kybernetické bezpečnosti,
32022L2555
Čl. 21 odst. 2 písm. f)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
32022L2555
Čl. 21 odst. 4
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez
zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
§ 14 odst. 1 písm. b) bod 1
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
1.
fyzická bezpečnost,
32022L2555
Čl. 21 odst. 2
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
b) řešení incidentů;
c) řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 14 odst. 1 písm. b) bod 2
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
2.
bezpečnost komunikačních sítí,
32022L2555
Čl. 21 odst. 2 písm. h)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
§ 14 odst. 1 písm. b) bod 3
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
3.
správa a ověřování identit,
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
32022L2555
Čl. 21 odst. 2 písm. j)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 14 odst. 1 písm. b) bod 4
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
4.
řízení přístupových práv a oprávnění,
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
§ 14 odst. 1 písm. b) bod 5
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
5.
detekce kybernetických bezpečnostních událostí,
32022L2555
Čl. 21 odst. 2 písm. b)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
b) řešení incidentů;
§ 14 odst. 1 písm. b) bod 6
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
6.
zaznamenávání událostí,
32022L2555
Čl. 21 odst. 2 písm. b)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
b) řešení incidentů;
§ 14 odst. 1 písm. b) bod 7
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
7.
vyhodnocování kybernetických bezpečnostních událostí,
32022L2555
Čl. 21 odst. 2 písm. b)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
b) řešení incidentů;
32022L2555
Čl. 21 odst. 2 písm. f)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik
§ 14 odst. 1 písm. b) bod 8
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
8.
aplikační bezpečnost,
32022L2555
Čl. 21 odst. 2 písm. e)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
32022L2555
Čl. 21 odst. 2 písm. f)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik
§ 14 odst. 1 písm. b) bod 9
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
9.
kryptografické algoritmy,
32022L2555
Čl. 21 odst. 2 písm. h)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
32022L2555
Čl. 21 odst. 2 písm. j)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 14 odst. 1 písm. b) bod 10
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
10.
zajišťování dostupnosti regulované služby a
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
§ 14 odst. 1 písm. b) bod 11
1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
b)
technickými opatřeními
11.
zabezpečení průmyslových, řídících a obdobných specifických technických aktiv.
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
§ 14 odst. 2 písm. a)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
a)
systém zajišťování minimální kybernetické bezpečnosti,
32022L2555
Čl. 20 odst. 1
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických
bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné
orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
32022L2555
Čl. 21 odst. 2 písm. a)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
32022L2555
Čl. 21 odst. 2 písm. d)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
32022L2555
Čl. 21 odst. 2 písm. e)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
32022L2555
Čl. 21 odst. 2 písm. f)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
32022L2555
Čl. 21 odst. 2 písm. h)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
32022L2555
Čl. 21 odst. 2 písm. j)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty
zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů
a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného
vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly
povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které
bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 21 odst. 4
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez
zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
§ 14 odst. 2 písm. b)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
b)
požadavky na vrcholné vedení,
32022L2555
Čl. 20 odst. 1
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických
bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné
orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
32022L2555
Čl. 20 odst. 2
2. Členské státy zajistí, aby členové řídících orgánů základních a důležitých subjektů museli absolvovat školení, a vybízí
základní a důležité subjekty, aby pravidelně nabízely podobné školení svým zaměstnancům, aby tak získali dostatečné
znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik
a jejich dopad na služby poskytované subjektem.
§ 14 odst. 2 písm. c)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
c)
řízení aktiv,
32022L2555
Čl. 21 odst. 2 písm. a)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
§ 14 odst. 2 písm. d)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
d)
řízení rizik,
32022L2555
Čl. 21 odst. 2 písm. a)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
§ 14 odst. 2 písm. e)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
e)
bezpečnost lidských zdrojů,
32022L2555
Čl. 20 odst. 2
2. Členské státy zajistí, aby členové řídících orgánů základních a důležitých subjektů museli absolvovat školení, a vybízí
základní a důležité subjekty, aby pravidelně nabízely podobné školení svým zaměstnancům, aby tak získali dostatečné
znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik
a jejich dopad na služby poskytované subjektem.
32022L2555
Čl. 21 odst. 2 písm. g)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
§ 14 odst. 2 písm. f)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
f)
řízení kontinuity činností,
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
§ 14 odst. 2 písm. g)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
g)
řízení přístupu,
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
§ 14 odst. 2 písm. h)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
h)
řízení identit a jejich oprávnění,
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
32022L2555
Čl. 21 odst. 2 písm. i)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
32022L2555
Čl. 21 odst. 2 písm. j)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 14 odst. 2 písm. i)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
i)
detekce a zaznamenávání kybernetických bezpečnostních událostí,
32022L2555
Čl. 21 odst. 2 písm. b)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
b) řešení incidentů;
§ 14 odst. 2 písm. j)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
j)
řešení kybernetických bezpečnostních incidentů,
32022L2555
Čl. 21 odst. 2 písm. b)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
b) řešení incidentů;
§ 14 odst. 2 písm. k)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
k)
bezpečnost komunikačních sítí,
32022L2555
Čl. 21 odst. 2 písm. c)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
c) řízení kontinuity provozu, jako je například správa
zálohování a obnova provozu po havárii, a krizové řízení;
32022L2555
Čl. 21 odst. 2 písm. h)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
§ 14 odst. 2 písm. l)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
l)
aplikační bezpečnost a
32022L2555
Čl. 21 odst. 2 písm. e)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
§ 14 odst. 2 písm. m)
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
m)
kryptografické algoritmy.
32022L2555
Čl. 21 odst. 2 písm. h)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
32022L2555
Čl. 21 odst. 2 písm. j)
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
§ 15 odst. 1 a 2
(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen hlásit Úřadu postupem podle § 16 kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru a nelze u nich ve lhůtě podle § 16 odst. 1 vyloučit úmyslné zavinění.
(2) Poskytovatel regulované služby v režimu nižších povinností je povinen hlásit národnímu týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (dále jen „Národní CERT“) postupem podle § 16 kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru, mají významný dopad na poskytování regulované služby a nelze u nich ve lhůtě podle § 16 odst. 1 vyloučit úmyslné zavinění.
32022L2555
Čl. 23 odst. 1 věta první, pátá a poslední
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident).
Pokud dotčené subjekty oznámí příslušnému orgánu významný incident podle prvního pododstavce, členský stát zajistí, aby příslušný orgán toto oznámení po jeho obdržení předal týmu CSIRT.
V případě přeshraničního nebo meziodvětvového významného incidentu členské státy zajistí, aby jejich jednotná kontaktní místa včas obdržela příslušné informace v souladu s odstavcem 4.
§ 15 odst. 3 věta první
(3) Významný dopad na poskytování regulované služby má kybernetický bezpečnostní incident, který poskytovateli regulované služby způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty nebo způsobil nebo může způsobit jiným osobám značnou újmu.
32022L2555
Čl. 23 odst. 3
3. Incident se považuje za významný, jestliže:
a) dotčenému subjektu způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty;
b) způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.
§ 15 odst. 5
(5) Úřad dále přijímá dobrovolná hlášení kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí nebo hrozeb. Úřadu mohou být hlášeny také zranitelnosti.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 16 odst. 1
(1) Poskytovatel regulované služby bez zbytečného odkladu po zjištění kybernetického bezpečnostního incidentu, nejpozději však do 24 hodin předloží Úřadu nebo Národnímu CERT prvotní hlášení, v němž uvede své identifikační údaje, základní údaje o kybernetickém bezpečnostním incidentu, a dále zda se domnívá, že byl kybernetický bezpečnostní incident způsoben nezákonným zásahem nebo že by mohl mít přeshraniční dopad.
32022L2555
Čl. 23 odst. 4 písm. a)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
a) bez zbytečného odkladu, nejpozději však do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významný incident způsoben nezákonným nebo svévolným zásahem nebo že by mohl mít přeshraniční dopad;
32022L2555
Čl. 23 odst. 1 věta třetí
1. (…) Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. (…)
§ 16 odst. 2
(2) Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1, zda má tento kybernetický bezpečnostní incident významný dopad na kybernetický prostor státu. Významnost dopadu na kybernetický prostor státu je dána závažností dopadu na poskytování regulované služby, zasaženým odvětvím a aktuální situací v kybernetickém prostoru s potenciálním dopadem na bezpečnost České republiky.
32022L2555
Čl. 23 odst. 5 věta první
5. Tým CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu a pokud možno do 24 hodin po obdržení včasného varování podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvotních vyjádření k významnému incidentu, a na žádost subjektu pomoc či podporu při zavádění možných opatření ke zmírnění dopadů. (…)
§ 16 odst. 3 písm. a)
(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 15 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 poskytovatel regulované služby dále předloží
a)
bez zbytečného odkladu, nejpozději do 72 hodin po zjištění kybernetického bezpečnostního incidentu oznámení, v němž aktualizuje informace uvedené v odstavci 1, předloží prvotní posouzení kybernetického bezpečnostního incidentu a uvede dopad a indikátory kompromitace, pokud jsou k dispozici; poskytovatel regulovaných služeb vytvářejících důvěru podle přímo použitelného předpisu Evropské unie8) předloží toto oznámení do 24 hodin po zjištění kybernetického bezpečnostního incidentu,
8) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
32022L2555
Čl. 23 odst. 4 písm. b)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
b) bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a), předloží prvotní posouzení významného incidentu včetně jeho závažnosti a dopadu a – pokud jsou k dispozici – indikátory kompromitace;
32022L2555
Čl. 23 odst. 4 pododstavec druhý
Odchylně od prvního pododstavce písm. b) poskytovatel služby vytvářející důvěru oznámí týmu CSIRT nebo případně příslušnému orgánu významné incidenty, které mají dopad na jím poskytované služby, a to bez zbytečného odkladu, nejpozději však do 24 hodin od okamžiku, kdy se o významném incidentu dozvěděl.
§ 16 odst. 3 písm. b)
(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 15 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 poskytovatel regulované služby dále předloží
b)
na výzvu Úřadu nebo Národního CERT průběžnou zprávu o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu a
32022L2555
Čl. 23 odst. 4 písm. c)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
c) na žádost týmu CSIRT nebo případně příslušného orgánu průběžnou zprávu o podstatných aktualizacích stavu;
§ 16 odst. 3 písm. c)
(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 15 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 poskytovatel regulované služby dále předloží
c)
nejpozději do 30 dnů ode dne předložení oznámení podle písmene a) závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu; v případě, že po uplynutí uvedené lhůty kybernetický bezpečnostní incident stále trvá, předloží poskytovatel regulované služby bez zbytečného odkladu po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu, a poté nejpozději do 30 dnů ode dne, kdy došlo k vyřešení kybernetického bezpečnostního incidentu závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.
32022L2555
Čl. 23 odst. 4 písm. d) a e)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
d) nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
i) podrobný popis incidentu včetně jeho závažnosti a dopadu;
ii) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;
iii) učiněná a probíhající opatření ke zmírnění následků;
iv) případně přeshraniční dopad incidentu;
e) v případě, že v okamžiku, kdy by měla být předložena závěrečná zpráva podle písmene d), incident stále trvá, členské státy zajistí, aby dotčené subjekty v uvedené lhůtě předložily zprávu o pokroku a následně, nejpozději jeden měsíc po tom, co incident vyřešily, závěrečnou zprávu.
§ 16 odst. 4
(4) Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu Úřadu. Nelze-li využít Portálu Úřadu, poskytovatel regulované služby v režimu vyšších povinností zašle hlášení na adresu elektronické pošty Úřadu určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Úřadu, a poskytovatel regulované služby v režimu nižších povinností zašle hlášení na adresu elektronické pošty Národního CERT určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Národního CERT.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 17 odst. 1 až 4
(1) Úřad nebo Národní CERT poskytne bez zbytečného odkladu, nejpozději do 24 hodin od obdržení prvotního hlášení podle § 16, poskytovateli regulované služby své vyjádření ke kybernetickému bezpečnostnímu incidentu.
(2) Na žádost dotčeného poskytovatele regulované služby poskytne Úřad nebo Národní CERT metodickou podporu k provádění zmírňujících opatření, a případnou další technickou podporu ke zvládání hlášeného kybernetického bezpečnostního incidentu.
(3) Každý je povinen poskytnout na výzvu Úřadu nezbytné informace a součinnost při zvládání kybernetického bezpečnostního incidentu, pokud nelze sledovaného účelu dosáhnout jinak nebo by bylo jinak jeho dosažení podstatně ztížené. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
(4) Údaje o kybernetických bezpečnostních incidentech, událostech, hrozbách a zranitelnostech jsou vedeny v evidenci podle § 46.
32022L2555
Čl. 23 odst. 1 první pododstavec
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
32022L2555
Čl. 23 odst. 5
5. Tým CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu a pokud možno do 24 hodin po obdržení včasného varování podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvotních vyjádření k významnému incidentu, a na žádost subjektu pomoc či podporu při zavádění možných opatření ke zmírnění dopadů. Pokud tým CSIRT není prvotním příjemcem oznámení podle odstavce 1, pomoc či podporu poskytne příslušný orgán ve spolupráci s týmem CSIRT. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření, že má významný incident povahu trestného činu, tým CSIRT nebo příslušný orgán poskytne také pokyny, jak významný incident oznámit orgánům činným v trestním řízení.
32022L2555
Čl. 23 odst. 6 věta poslední
Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
32022L2555
Čl. 30 odst. 2 věta druhá
Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
§ 17 odst. 5
(5) Odstavce 1 a 2 se při zvládání kybernetických bezpečnostních incidentů nahlášených podle § 15 odst. 5 a kybernetických bezpečnostních incidentů oznámených jiným dozorovým orgánem v souvislosti s plněním povinností podle zvláštního odvětvového předpisu podle § 70 použijí obdobně.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 18
(1) Poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu doménových jmen, služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště 9), služby internetového vyhledávače podle přímo použitelného předpisu Evropské unie10), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, je ve vztahu k těmto regulovaným službám povinen v rámci stanoveného rozsahu zavádět a provádět vhodná a přiměřená bezpečnostní opatření zahrnující alespoň řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činnosti, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit, a to v míře a způsobem stanoveným prováděcím předpisem Evropské komise, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2022/2555 (dále jen „prováděcí předpis Komise“), pokud jde o technické a metodické požadavky opatření, která jsou uvedení poskytovatelé regulovaných služeb povinni přijímat; § 13 odst. 2 se ve vztahu k těmto regulovaným službám nepoužije.
(2) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), je ve vztahu k této regulované službě povinen v rámci stanoveného rozsahu hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem na poskytování regulované služby; § 15 odst. 1 a 2 se ve věci vymezení incidentů, které je potřeba hlásit, ve vztahu k této regulované službě nepoužijí. Způsob stanovení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví prováděcí předpis Komise. Ve věci způsobu hlášení kybernetických bezpečnostních incidentů se uplatní obecná úprava v § 15 a 16, pokud prováděcí předpis Komise nestanoví zvláštní postup.
(3) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), a který má umístěnu hlavní provozovnu v jiném členském státě Evropské unie nebo ve smluvním státě Dohody o Evropském hospodářském prostoru (dále jen „jiný členský stát“) nebo má v jiném členském státě ustanoveného zástupce, je povinen ve vztahu k této regulované službě plnit povinnosti stanovené tímto zákonem pouze v rozsahu odstavce 1. Povinnosti uložené rozhodnutím nebo opatřením obecné povahy Úřadu na základě tohoto zákona jsou pro poskytovatele regulované služby podle věty první závazné pouze v případě, že tak Úřad v rozhodnutí nebo opatření obecné povahy výslovně stanoví.
(4) Poskytovatel regulované služby uvedené v odstavci 1, který je v režimu vyšších povinností, je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro osoby zařazené do kategorie základních subjektů. Poskytovatel regulované služby uvedené v odstavci 1, který je v režimu nižších povinností, je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro osoby zařazené do kategorie důležitých subjektů.
8) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
9) Zákon č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů.
10) Čl. 2 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb.
32022L2555
Čl. 2 odst. 9
9. Odstavce 7 a 8 se nepoužijí, pokud subjekt jedná jako poskytovatel služeb vytvářejících důvěru.
32022L2555
Čl. 6 odst. 24
Pro účely této směrnice se rozumí:
24) „službou vytvářející důvěru“ služba vytvářející důvěru ve smyslu čl. 3 bodu 16 nařízení (EU) č. 910/2014;
32022L2555
Čl. 6 odst. 28
Pro účely této směrnice se rozumí:
28) „on-line tržištěm“ on-line tržiště ve smyslu čl. 2 písm. n) směrnice Evropského parlamentu a Rady 2005/29/ES (31);
32022L2555
Čl. 6 odst. 29
Pro účely této směrnice se rozumí:
29) „internetovým vyhledávačem“ internetový vyhledávač ve smyslu čl. 2 bodu 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 (32);
32022L2555
Čl. 21 odst. 5 věta první
5. Do 17. října 2024 přijme Komise prováděcí akty, kterými stanoví technické a metodické požadavky opatření uvedených v odstavci 2, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru. (…)
32022L2555
Čl. 23 odst. 11 druhý pododstavec
11. (…) Do 17. října 2024 přijme Komise, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, jakož i poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, prováděcí akty dále upřesňující případy, kdy se incident považuje za významný, jak je uvedeno v odstavci 3. Komise může takové prováděcí akty přijmout také ve vztahu k dalším základním a důležitým subjektům. (…)
§ 19 odst. 1
(1) Pokud to poskytovatel regulované služby považuje z důvodu zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv za vhodné, oznámí bez zbytečného odkladu uživatelům regulované služby kybernetický bezpečnostní incident s významným dopadem, který by mohl negativně ovlivnit poskytování této služby. Úřad může poskytovateli regulované služby, který je dotčen kybernetickým bezpečnostním incidentem s významným dopadem, uložit povinnost nebo zákaz informovat uživatele regulované služby o tomto incidentu. V rozhodnutí o uložení povinnosti nebo zákazu informovat podle předchozí věty stanoví Úřad rozsah informační povinnosti nebo rozsah zákazu.
32022L2555
Čl. 23 odst. 1 věta druhá
1. (…) V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. (…)
§ 19 odst. 2
(2) Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele regulované služby, který může být ovlivněn významnou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší. V případě, že je to možné a vhodné, informuje poskytovatel regulované služby uživatele také o této významné hrozbě.
32022L2555
Čl. 23 odst. 2
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné.
32022L2555
Čl. 32 odst. 1 a 4 písm. e)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
32022L2555
Čl. 33 odst. 1 a 4 písm. e)
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
§ 20 odst. 2
(2) Každý je povinen poskytovat Úřadu při zajišťování podkladů pro vydání protiopatření nezbytnou součinnost. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
32022L2555
Čl. 32 odst. 2 písm. e) a f) a odst. 4 písm. b)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
(…)
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti
předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
(…)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
32022L2555
Čl. 33 odst. 2 písm. e)
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti s důležitými subjekty pravomoc podrobit tyto subjekty alespoň:
e) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon jejich dohledových úkolů;
§ 21 odst. 1 a 2
(1) Úřad může po konzultaci s dotčeným poskytovatelem regulované služby z důvodu ochrany bezpečnosti České republiky, vnitřního pořádku, života a zdraví nebo majetkové hodnoty informovat veřejnost formou výstrahy o kybernetickém bezpečnostním incidentu nebo o porušování povinností stanovených tímto zákonem, nebo dotčenému poskytovateli regulované služby rozhodnutím uložit, aby tak učinil sám.
(2) Úřad o kybernetickém bezpečnostním incidentu nebo o porušování povinností stanovených tímto zákonem podle odstavce 1 informuje veřejnost prostřednictvím svých internetových stránek a poskytovatele regulovaných služeb informuje v případě, že je to vhodné, prostřednictvím Portálu Úřadu.
32022L2555
Čl. 23 odst. 7
7. Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.
32022L2555
Čl. 32 odst. 4 písm. a), b), e) a h)
Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
(…)
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
h) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
§ 22
(1) Úřad vydá varování, dozví-li se o závažné hrozbě nebo zranitelnosti v oblasti kybernetické bezpečnosti.
32022L2555
Čl. 11 odst. 3 písm. b)
3. Týmy CSIRT mají tyto úkoly:
(…)
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
(…)
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 32 odst. 4 písm. a)
Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
§ 23 odst. 1
(1) Úřad vydá rozhodnutí, ve kterém uloží poskytovateli regulované služby povinnost provést reaktivní protiopatření
a)
k řešení hrozícího nebo probíhajícího kybernetického bezpečnostního incidentu,
b)
k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, nebo
c)
za účelem zvýšení ochrany aktiv na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu.
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 32 odst. 4 písm. b)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
(…)
§ 23 odst. 6
(6) Nestanoví-li Úřad v reaktivním protiopatření jinak, je poskytovatel regulované služby povinen bez zbytečného odkladu, nejpozději ve lhůtě dané reaktivním protiopatřením, oznámit Úřadu provedení reaktivního protiopatření a jeho výsledek.
32022L2555
Čl. 32 odst. 4 písm. b)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
(…)
§ 34
(1) Osoba poskytující služby registrace doménových jmen hlásí bez zbytečného odkladu, nejpozději do 30 dnů ode dne, kdy začala poskytovat služby registrace doménových jmen, Úřadu následující údaje:
a)
název osoby,
b)
adresu hlavní provozovny a jejích dalších provozoven na území členských států Evropské unie nebo smluvních států Dohody o Evropském hospodářském prostoru, popřípadě zástupce osoby podle § 67,
c)
aktuální kontaktní údaje včetně adres elektronické pošty a telefonních čísel osoby, popřípadě jejího zástupce podle § 67,
d)
členské státy Evropské unie nebo smluvní státy Dohody o Evropském hospodářském prostoru, v nichž osoba poskytuje své služby, a
e)
rozsah veřejných IP adres osoby.
(2) V případě změn v údajích nahlášených podle odstavce 1 aktualizuje osoba poskytující služby registrace doménových jmen nahlášené údaje bez zbytečného odkladu, nejpozději do 90 dnů ode dne změny.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 27 odst. 2
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
32022L2555
Čl. 27 odst. 3
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
32022L2555
Čl. 27 odst. 4
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
§ 35 odst. 1
(1) Osoba spravující a provozující registr domény nejvyšší úrovně a osoba poskytující služby registrace doménových jmen shromažďují a uchovávají přesné a úplné údaje o registraci doménových jmen ve vyhrazené databázi v souladu s právními předpisy upravujícími ochranu osobních údajů a přímo použitelným předpisem Evropské unie11), pokud jde o údaje, které jsou osobními údaji.
11) Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 1
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti systému překladu jmen domén, požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén shromažďovaly a uchovávaly přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi, a to s náležitou péčí v souladu s právem Unie v oblasti ochrany údajů, pokud jde o data, jež jsou osobními údaji.
32022L2555
Čl. 28 odst. 6
6. Dodržování povinností stanovených v odstavcích 1 až 5 nesmí při shromažďování údajů o registraci jmen domén vést ke zdvojování. Členské státy požadují, aby za tímto účelem registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén vzájemně spolupracovaly.
§ 35 odst. 2
(2) Databáze podle odstavce 1 obsahuje informace nezbytné k identifikaci a kontaktování držitelů doménových jmen a kontaktních míst spravujících doménu nejvyšší úrovně, a to alespoň
a)
doménové jméno,
b)
datum registrace,
c)
jméno držitele doménového jména,
d)
adresu elektronické pošty držitele doménového jména,
e)
telefonní číslo držitele doménového jména,
f)
adresu elektronické pošty a telefonní číslo kontaktního místa spravujícího doménové jméno v případě, že se liší od držitele doménového jména.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 2
2. Členské státy pro účely odstavce 1 vyžadují, aby databáze údajů o registraci jmen domén obsahovala nezbytné informace umožňující identifikaci a kontaktování držitelů jmen domén a kontaktní místa spravující jména domén v registrech domén nejvyšší úrovně. Tyto informace zahrnují:
a) jméno domény;
b) datum registrace;
c) jméno žadatele o registraci, jeho kontaktní e-mailovou adresu a telefonní číslo;
d) kontaktní e-mailovou adresu a telefonní číslo kontaktního místa spravujícího jméno domény, pokud se liší od kontaktních údajů žadatele o registraci.
§ 35 odst. 3
(3) Osoba spravující a provozující registr domény nejvyšší úrovně a osoba poskytující služby registrace doménových jmen zavádí veřejně dostupné zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování totožnosti držitele doménového jména. Tyto zásady a postupy nesmí vést ke zdvojování shromažďovaných dat. Za tímto účelem osoba spravující a provozující registr domény nejvyšší úrovně a osoba poskytující služby registrace doménových jmen vzájemně spolupracují. Osoba spravující a provozující registr domény nejvyšší úrovně a osoba poskytující služby registrace doménových jmen uzavřou písemnou smlouvu o dodržování těchto zásad a postupů.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 3 a 6
3. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly zavedeny zásady a postupy, včetně postupů ověřování, zajišťující, aby databáze uvedené v odstavci 1 zahrnovaly přesné a úplné informace. Členské státy požadují, aby byly tyto zásady a postupy veřejně dostupné.
32022L2555
Čl. 28 odst. 6
6. Dodržování povinností stanovených v odstavcích 1 až 5 nesmí při shromažďování údajů o registraci jmen domén vést ke zdvojování. Členské státy požadují, aby za tímto účelem registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén vzájemně spolupracovaly.
§ 35 odst. 5
(5) Osoba spravující a provozující registr domény nejvyšší úrovně a osoba poskytující služby registrace doménových jmen bez zbytečného odkladu po registraci doménového jména zveřejní údaje o registraci, které nejsou osobními údaji držitele doménového jména.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 4
4. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén zveřejňovaly bez zbytečného odkladu po registraci jména domény údaje o registraci jména domény, které nejsou osobními údaji.
§ 35 odst. 6
(6) Osoba spravující a provozující registr domény nejvyšší úrovně a osoba poskytující služby registrace doménových jmen poskytují přístup ke konkrétním údajům o registraci doménového jména na základě zákonných a řádně odůvodněných žádostí oprávněných žadatelů o přístup v souladu s právním předpisem upravujícím ochranu osobních údajů a s přímo použitelným předpisem Evropské unie11), a to bez zbytečného odkladu, nejpozději do 72 hodin od obdržení žádosti o přístup. Zásady a postupy pro zveřejňování těchto údajů musejí být veřejně dostupné.
11) Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 28 odst. 5
5. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén poskytovaly přístup ke konkrétním údajům o registraci jmen domén na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právem Unie v oblasti ochrany údajů. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén reagovaly bez zbytečného odkladu, nejpozději však do 72 hodin od obdržení žádosti o přístup. Členské státy požadují, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.
§ 42 odst. 1
(1)
(1) Úřad je ústředním správním úřadem pro oblast kybernetické bezpečnosti
32022L2555
Čl. 8 odst. 1 až 5
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost a úkoly dohledu podle kapitoly VII (dále jen „příslušné orgány“).
2. Příslušné orgány podle odstavce 1 dohlížejí na provádění této směrnice na vnitrostátní úrovni.
3. Každý členský stát určí nebo zřídí jednotné kontaktní místo. Určí-li nebo zřídí-li členský stát pouze jeden příslušný orgán podle odstavce 1, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou spolupráci s jinými příslušnými orgány ve svém členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány a jednotná kontaktní místa disponovaly odpovídajícími zdroji pro účinné a účelné plnění svěřených úkolů, a tím pro naplnění cílů této směrnice.
§ 42 odst. 3 písm. t)
(3)
Úřad
t)
provádí kontrolu plnění povinností podle tohoto zákona a ukládá nápravná opatření,
32022L2555
Čl. 8 odst. 2
2. Příslušné orgány podle odstavce 1 dohlížejí na provádění této směrnice na vnitrostátní úrovni.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 31 odst. 2
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
32022L2555
Čl. 31 odst. 4
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 4
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) určit na stanovenou dobu pracovníka pro sledování s přesně vymezenými úkoly, který bude dohlížet na dodržování článků 21 a 23 ze strany dotčených subjektů;
h) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 1
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
§ 42 odst. 3 písm. u)
u) ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 31 odst. 2
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
32022L2555
Čl. 31 odst. 4
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 4 písm. i)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 1
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
§ 42 odst. 3 písm. v)
(3)
Úřad
v)
poskytuje nezbytnou součinnost na základě žádosti dozorového orgánu jiného členského státu Evropské unie,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 37
1. Pokud subjekt poskytuje služby ve více než jednom členském státě, nebo pokud poskytuje služby v jednom nebo více členských státech a jeho sítě a informační systémy se nacházejí v jednom či více jiných členských státech, příslušné orgány dotčených členských států podle potřeby spolupracují a jsou si navzájem nápomocny. Tato spolupráce spočívá alespoň v tomto:
a) příslušné orgány uplatňující opatření v oblasti dohledu nebo vymáhání v členském státě kontaktují prostřednictvím jednotného kontaktního místa příslušné orgány v ostatních dotčených členských státech, konzultují s nimi a informují je ohledně přijatých opatření v oblasti dohledu a vymáhání;
b) příslušný orgán může požádat jiný příslušný orgán, aby učinil opatření v oblasti dohledu nebo vymáhání;
c) po obdržení odůvodněné žádosti jiného příslušného orgánu poskytne příslušný orgán druhému příslušnému orgánu vzájemnou pomoc úměrnou vlastním zdrojům, aby bylo možné provést opatření v oblasti dohledu nebo vymáhání účinně, účelně a důsledně.
Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů. Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
2. Je-li to vhodné, mohou se příslušné orgány z různých členských států vzájemně dohodnout, že budou provádět společné činnosti v oblasti dohledu.
§ 42 odst. 3 písm. w)
(3)
Úřad
w)
vydává rozhodnutí o pozastavení platnosti evropského certifikátu kybernetické bezpečnosti nebo o povinnosti subjektu posuzování shody pozastavit platnost certifikátu nebo osvědčení podle § 57 a
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 32 odst. 5 písm. a)
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
a) dočasně pozastavit nebo v souladu s vnitrostátním právem požádat certifikační nebo povolovací orgán nebo soud o dočasné pozastavení certifikace nebo povolení týkající se části nebo všech příslušných služeb nebo činností poskytovaných základním subjektem;
§ 42 odst. 3 písm. x)
(3)
Úřad
x)
vydává rozhodnutí o zákazu výkonu funkce nebo o jeho skončení podle § 58.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 32 odst. 5 písm. b)
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
b) požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátním právem uložily dočasný zákaz výkonu řídicích funkcí v základním subjektu jakékoliv fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu.
§ 42 odst. 4 písm. a)
(4) Úřad dále
a)
provádí analýzu a monitoring hrozeb a rizik,
32022L2555
Čl. 11 odst. 3 písm. a)
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
§ 42 odst. 4 písm. b)
(4)
Úřad dále
b)
zpracuje nejméně každých 5 let a předloží vládě ke schválení národní strategii kybernetické bezpečnosti a akční plán k jejímu naplňování,
32022L2555
Čl. 6 odst. 4
Pro účely této směrnice se rozumí:
4) „národní strategií kybernetické bezpečnosti“ soudržný rámec členského státu vymezující strategické cíle a priority v oblasti kybernetické bezpečnosti a správy za účelem jejich dosažení v tomto členském státě;
32022L2555
Čl. 7 odst. 1
1. Každý členský stát přijme národní strategii kybernetické bezpečnosti, která stanovuje strategické cíle, zdroje potřebné k dosažení těchto cílů a příslušné politiky a regulační opatření s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti a udržovat ji. Národní strategie kybernetické bezpečnosti zahrnuje:
a) cíle a priority strategie kybernetické bezpečnosti členského státu týkající se zejména odvětví uvedených v přílohách I a II;
b) rámec správy k dosažení těchto cílů a priorit uvedených v tomto odstavci písm. a), včetně politik uvedených v odstavci 2;
c) rámec správy, který vyjasňuje úlohy a povinnosti příslušných zúčastněných stran na vnitrostátní úrovni, na němž se zakládá spolupráce a koordinace na vnitrostátní úrovni mezi příslušnými orgány, jednotnými kontaktními místy a týmy CSIRT podle této směrnice, jakož i koordinace a spolupráce mezi těmito subjekty a příslušnými orgány podle odvětvových právních aktů Unie;
d) mechanismus za účelem určení relevantních zařízení a hodnocení rizik v tomto členském státě;
e) určení opatření zajišťujících připravenost, schopnost reakce a obnovu při incidentech, včetně spolupráce veřejného a soukromého sektoru;
f) seznam různých orgánů a zúčastněných stran zapojených do provádění národní strategie kybernetické bezpečnosti;
g) rámec politiky pro lepší koordinaci mezi příslušnými orgány podle této směrnice a příslušnými orgány podle směrnice (EU) 2022/2557 pro účely sdílení informací o rizicích, kybernetických hrozbách a incidentech a o jiných než kybernetických rizicích, hrozbách a incidentech, případně pro výkon úkolů v oblasti dohledu;
h) plán, včetně nezbytných opatření, ke zlepšení obecné úrovně povědomí občanů o kybernetické bezpečnosti.
32022L2555
Čl. 7 odst. 2
2. V rámci národní strategie kybernetické bezpečnosti přijmou členské státy zejména politiky:
a) zaměřené na kybernetickou bezpečnost v dodavatelském řetězci pro produkty IKT a služby IKT využívané subjekty k poskytování služeb;
b) týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů IKT a služeb IKT při zadávání veřejných zakázek, a to i pokud jde o certifikaci kybernetické bezpečnosti, šifrování a využívání produktů kybernetické bezpečnosti s otevřeným zdrojovým kódem;
c) týkající se řešení zranitelností, včetně prosazování a usnadňování koordinovaného zveřejňovaní zranitelností podle čl. 12 odst. 1;
d) týkající se udržení celkové dostupnosti, integrity a důvěrnosti veřejného jádra otevřeného internetu, případně včetně kybernetické bezpečnosti podmořských komunikačních kabelů;
e) podporující vývoj a integraci příslušných pokročilých technologií zaměřených na zavádění nejmodernějších opatření k řízení kybernetických bezpečnostních rizik;
f) prosazující a rozvíjející vzdělávání a školení v oblasti kybernetické bezpečnosti, dovedností v této oblasti, zvyšování informovanosti a výzkumné a vývojové iniciativy, jakož i pokyny k osvědčeným postupům a kontrolám v oblasti kybernetické hygieny, jež jsou určeny občanům, zúčastněným stranám a subjektům;
g) na podporu akademických a výzkumných institucí při vývoji, zlepšování a prosazování zavádění nástrojů kybernetické bezpečnosti a zabezpečené síťové infrastruktury;
h) zahrnující příslušné postupy a vhodné nástroje pro sdílení informací na podporu dobrovolného sdílení informací týkajících se kybernetické bezpečnosti mezi subjekty v souladu s právem Unie;
i) pro posílení kybernetické odolnosti a základní kybernetické hygieny malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, poskytováním snadno dostupných pokynů a pomoci pro jejich specifické potřeby;
j) prosazující aktivní kybernetickou ochranu.
32022L2555
Čl. 7 odst. 4
4. Členské státy pravidelně a alespoň každých pět let posuzují své národní strategie kybernetické bezpečnosti podle klíčových ukazatelů výkonnosti a v případě potřeby je aktualizují. Při zpracování nebo aktualizaci národní strategie kybernetické bezpečnosti a klíčových ukazatelů výkonnosti pro posouzení strategie s cílem uvést je do souladu s požadavky a povinnostmi stanovenými v této směrnici poskytuje členským státům na jejich žádost součinnost agentura ENISA.
§ 42 odst. 4 písm. c) bod 1
(4)
Úřad dále
c)
v oblasti kybernetické bezpečnosti a v souvislosti s ní
1.
spolupracuje s těmi, kdo působí v této oblasti a v oblasti kybernetické obrany, zejména s veřejnoprávními korporacemi, výzkumnými a vývojovými pracovišti a s ostatními pracovišti typu CERT,
32022L2555
Čl. 8 odst. 4
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou spolupráci s jinými příslušnými orgány ve svém členském státě.
32022L2555
Čl. 23 odst. 10
10. Týmy CSIRT nebo případně příslušné orgány poskytnou příslušným orgánům podle směrnice (EU) 2022/2557 informace o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30 subjekty určenými jakožto kritické subjekty podle směrnice (EU) 2022/2557.
§ 42 odst. 4 písm. c) bod 2
(4)
Úřad dále
c)
v oblasti kybernetické bezpečnosti a v souvislosti s ní
2. zajišťuje mezinárodní spolupráci v souladu s právními předpisy upravujícími činnost ústředních správních úřadů,
32022L2555
Čl. 8 odst. 4
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou spolupráci s jinými příslušnými orgány ve svém členském státě.
32022L2555
Čl. 37 odst. 1
1. Pokud subjekt poskytuje služby ve více než jednom členském státě, nebo pokud poskytuje služby v jednom nebo více členských státech a jeho sítě a informační systémy se nacházejí v jednom či více jiných členských státech, příslušné orgány dotčených členských států podle potřeby spolupracují a jsou si navzájem nápomocny. Tato spolupráce spočívá alespoň v tomto:
a) příslušné orgány uplatňující opatření v oblasti dohledu nebo vymáhání v členském státě kontaktují prostřednictvím jednotného kontaktního místa příslušné orgány v ostatních dotčených členských státech, konzultují s nimi a informují je ohledně přijatých opatření v oblasti dohledu a vymáhání;
b) příslušný orgán může požádat jiný příslušný orgán, aby učinil opatření v oblasti dohledu nebo vymáhání;
c) po obdržení odůvodněné žádosti jiného příslušného orgánu poskytne příslušný orgán druhému příslušnému orgánu vzájemnou pomoc úměrnou vlastním zdrojům, aby bylo možné provést opatření v oblasti dohledu nebo vymáhání účinně, účelně a důsledně.
Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů. Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
§ 42 odst. 4 písm. e)
(4)
Úřad dále
e)
plní povinnosti vůči Evropské komisi, Agentuře Evropské unie pro kybernetickou bezpečnost, Agentuře Evropské unie pro Kosmický program, Skupině pro spolupráci, Síti Computer Security Incident Response Team (dále jen „Síť CSIRT“), Evropské síti styčných organizací pro řešení kybernetických krizí a dalším subjektům podle příslušného předpisu Evropské unie12)
12) Směrnice Evropského parlamentu a Rady (EU) 2022/2555.
32022L2555
Čl. 3 odst. 5
5. Příslušné orgány do 17. dubna 2025 a poté každé 2 roky oznámí:
a) Komisi a skupině pro spolupráci počet základních a důležitých subjektů uvedených na seznamu podle odstavce 3 v každém odvětví a pododvětví uvedeném v příloze I nebo II a
b) Komisi příslušné informace o počtu základních a důležitých subjektů, které jsou za takové označeny podle čl. 2 odst. 2 písm. b) až e), informace o odvětví a pododvětví uvedených v příloze I nebo II, do nichž subjekty patří, o druhu služeb, které poskytují, a o tom, podle kterého z ustanovení uvedených v čl. 2 odst. 2 písm. b) až e) byly označeny za základní či důležité.
32022L2555
Čl. 3 odst. 6
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
32022L2555
Čl. 6 odst. 7
Pro účely této směrnice se rozumí:
7) „rozsáhlým kybernetickým bezpečnostním incidentem“ incident, který způsobí úroveň narušení, jež přesahuje schopnost členského státu na takový incident reagovat, nebo který má významný dopad na nejméně dva členské státy;
32022L2555
Čl. 7 odst. 3
3. Členské státy oznámí své národní strategie kybernetické bezpečnosti Komisi do tří měsíců od jejich přijetí. Členské státy mohou z těchto oznámení vyloučit informace, které se týkají jejich národní bezpečnosti.
32022L2555
Čl. 8 odst. 6
6. Každý členský stát Komisi oznámí bez zbytečného odkladu, o jaký příslušný orgán určený podle odstavce 1 a jaké jednotné kontaktní místo určené podle odstavce 3 se jedná, oznámí úkoly těchto orgánů a jakékoli následné změny, které se jich týkají. Každý členský stát zveřejní, o jaký příslušný orgán se jedná. Komise zveřejní seznam jednotných kontaktních míst.
32022L2555
Čl. 9 odst. 5
5. Do tří měsíců od určení nebo zřízení orgánu pro řešení kybernetických krizí podle odstavce 1 oznámí každý členský stát Komisi, o jaký orgán se jedná, a veškeré následné změny, které se ho týkají. Členské státy předloží Komisi a Evropské síti styčných organizací pro řešení kybernetických krizí (dále jen „EU-CyCLONe“) příslušné informace o požadavcích stanovených v odstavci 4, totiž o svých národních plánech reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, do tří měsíců od přijetí těchto plánů. Členské státy mohou vyloučit informace, pokud je takové vyloučení nezbytné pro jejich národní bezpečnost.
32022L2555
Čl. 10 odst. 1
1. Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
32022L2555
Čl. 10 odst. 9
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
32022L2555
Čl. 14 odst. 3
3. Skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Činností skupiny pro spolupráci se jako pozorovatel účastní Evropská služba pro vnější činnost. Činností skupiny pro spolupráci se mohou v souladu s čl. 47 odst. 1 nařízení (EU) 2022/2554účastnit evropské orgány dohledu a příslušné orgány podle uvedeného nařízení.
V příslušném případě může skupina pro spolupráci přizvat ke spolupráci Evropský parlament a zástupce příslušných zúčastněných stran.
Sekretariát zajišťuje Komise.
32022L2555
Čl. 14 odst. 4
4. Skupina pro spolupráci má tyto úkoly:
a) poskytovat pokyny příslušným orgánům v souvislosti s prováděním této směrnice ve vnitrostátním právu a jejím uplatňováním;
b) poskytovat pokyny příslušným orgánům v souvislosti s vypracováváním a prováděním politik v oblasti koordinovaného zveřejňování zranitelností, jak je uvedeno v čl. 7 odst. 2 písm. c);
c) vyměňovat si osvědčené postupy a informace související s uplatňováním této směrnice, včetně informací souvisejících s kybernetickými hrozbami, incidenty, zranitelnostmi, významnými událostmi, iniciativami zaměřenými na zvyšování povědomí, školením, cvičeními a dovednostmi, budováním kapacit, normami a technickými specifikacemi, jakož i s určováním základních a důležitých subjektů podle čl. 2 odst. 2 písm. b) až e);
d) vyměňovat si doporučení a spolupracovat s Komisí na nových politických iniciativách v oblasti kybernetické bezpečnosti a na celkové soudržnosti odvětvových požadavků na kybernetickou bezpečnost;
e) vyměňovat si rady a spolupracovat s Komisí na návrzích aktů v přenesené pravomoci či prováděcích aktů přijímaných podle této směrnice;
f) vyměňovat si osvědčené postupy a informace s příslušnými orgány, institucemi a jinými subjekty Unie;
g) vyměňovat si názory na provádění odvětvových právních aktů Unie, které obsahují ustanovení o kybernetické bezpečnosti;
h) případně projednávat zprávy o vzájemném hodnocení uvedené v čl. 19 odst. 9 a vypracovávat závěry a doporučení;
i) provádět koordinované posouzení bezpečnostních rizik kritických dodavatelských řetězců v souladu s čl. 22 odst. 1;
j) projednávat případy vzájemné pomoci, včetně zkušeností a výsledků přeshraničních společných činností v oblasti dohledu uvedených v článku 37;
k) na žádost jednoho nebo více dotčených členských států projednávat konkrétní žádosti o vzájemnou pomoc podle článku 37;
l) poskytovat strategické pokyny síti CSIRT a EU-CyCLONe ke konkrétním nově vznikajícím problémům;
m) vyměňovat si názory na následná opatření po rozsáhlých kybernetických bezpečnostních incidentech a krizích na základě zkušeností získaných v rámci sítě CSIRT a EU-CyCLONe;
n) přispívat ke schopnostem v oblasti kybernetické bezpečnosti v celé Unii usnadňováním výměny úředníků členských států prostřednictvím programu budování kapacit zahrnujícího pracovníky z příslušných orgánů nebo týmů CSIRT;
o) pořádat pravidelná společná setkání s příslušnými soukromými zúčastněnými stranami z celé Unie za účelem projednávání činností vykonávaných skupinou pro spolupráci a shromažďování poznatků o nových výzvách v oblasti této politiky;
p) projednávat práci vykonávanou ve vztahu ke cvičením v oblasti kybernetické bezpečnosti, včetně práce prováděné agenturou ENISA;
q) stanovit metodiku a organizační aspekty vzájemných hodnocení uvedených v čl. 19 odst. 1 a vypracovat metodiku sebehodnocení pro členské státy v souladu s čl. 19 odst. 5 za pomoci Komise a agentury ENISA a ve spolupráci s Komisí a agenturou ENISA vypracovat kodexy chování, na nichž budou založeny pracovní metody určených odborníků na kybernetickou bezpečnost v souladu s čl. 19 odst. 6;
r) připravovat zprávy o zkušenostech získaných ze strategické úrovně a ze vzájemných hodnocení pro účely přezkumu uvedeného v článku 40;
s) pravidelně projednávat a provádět hodnocení aktuálního stavu kybernetických hrozeb nebo incidentů, například v souvislosti s ransomware.
32022L2555
Čl. 16 odst. 2
2. Síť EU-CyCLONe je tvořena zástupci orgánů členských států pro řešení kybernetických krizí a v případech, kdy potenciální nebo probíhající rozsáhlý kybernetický bezpečnostní incident má nebo pravděpodobně bude mít významný dopad na služby a činnosti spadající do oblasti působnosti této směrnice, jsou jejími členy také zástupci Komise. V jiných případech se činností sítě EU-CyCLONe Komise účastní jako pozorovatel.
32022L2555
Čl. 23 odst. 9
9. Jednotné kontaktní místo předkládá každé tři měsíce agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA přijmout technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny. Agentura ENISA informuje skupinu pro spolupráci a síť CSIRT o svých zjištěních v souvislosti s přijatými oznámeními každých šest měsíců.
32022L2555
Čl. 34 odst. 8
8. Neumožňuje-li právo členského státu uložení správních pokut, tento členský stát zajistí, že se tento článek uplatní tak, aby podnět k uložení pokuty dal příslušný orgán a aby pokuta byla uložena příslušnými vnitrostátními soudy, přičemž současně je třeba zajistit, aby tyto prostředky právní nápravy byly účinné a aby byl jejich účinek rovnocenný správním pokutám, jež ukládají příslušné orgány. Uložené pokuty musí být v každém případě účinné, přiměřené a odrazující. Členský stát oznámí Komisi do 17. října 2024 příslušná ustanovení právních předpisů, která přijme podle tohoto odstavce, a bez prodlení jakoukoli následnou novelu nebo změnu týkající se těchto ustanovení.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 42 odst. 4 písm. f)
(4)
Úřad dále
f)
je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie a zajišťuje vysílání zástupců do Skupiny pro spolupráci, Sítě CSIRT a Evropské sítě styčných organizací pro řešení kybernetických krizí,
32022L2555
Čl. 6 odst. 7
Pro účely této směrnice se rozumí:
7) „rozsáhlým kybernetickým bezpečnostním incidentem“ incident, který způsobí úroveň narušení, jež přesahuje schopnost členského státu na takový incident reagovat, nebo který má významný dopad na nejméně dva členské státy;
32022L2555
Čl. 8 odst. 1
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost a úkoly dohledu podle kapitoly VII (dále jen „příslušné orgány“).
32022L2555
Čl. 8 odst. 3
3. Každý členský stát určí nebo zřídí jednotné kontaktní místo. Určí-li nebo zřídí-li členský stát pouze jeden příslušný orgán podle odstavce 1, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.
32022L2555
Čl. 8 odst. 4
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou spolupráci s jinými příslušnými orgány ve svém členském státě.
32022L2555
Čl. 9 odst. 1 až 4
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí (dále jen „orgány pro řešení kybernetických krizí“). Členské státy zajistí, aby tyto orgány disponovaly odpovídajícími zdroji pro účinné a účelné plnění svěřených úkolů. Členské státy zajistí soudržnost se stávajícími rámci pro obecné vnitrostátní krizové řízení.
2. Pokud členský stát určí nebo zřídí více než jeden příslušný orgán pro řešení kybernetických krizí podle odstavce 1, jasně uvede, který z těchto orgánů bude působit jako koordinátor pro řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí.
3. Každý členský stát určí kapacity, prostředky a postupy, které mohou být nasazeny v případě krize pro účely této směrnice.
4. Každý členský stát přijme národní plán reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, v němž budou stanoveny cíle a ujednání řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí. V uvedeném plánu se stanoví zejména:
a) cíle vnitrostátních opatření a činností v oblasti připravenosti;
b) úkoly a odpovědnost orgánů pro řešení kybernetických krizí;
c) postupy řešení kybernetické krize, včetně jejich začlenění do obecných vnitrostátních rámců pro krizové řízení, a kanály pro výměnu informací;
d) vnitrostátní opatření v oblasti připravenosti včetně cvičení a školení;
e) příslušné veřejné a soukromé zúčastněné strany a zapojená infrastruktura;
f) vnitrostátní postupy a ujednání mezi příslušnými vnitrostátními orgány a subjekty, aby byla zajištěna účinná účast členského státu a podpora koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na úrovni Unie.
32022L2555
Čl. 25 odst. 2
2. Agentura ENISA ve spolupráci se členskými státy, a případně po konzultaci s příslušnými zúčastněnými stranami, vydá doporučení a pokyny týkající se technických oblastí, které by měly být zohledněny ve vztahu k odstavci 1, jakož i s ohledem na již existující normy, včetně národních norem, které by umožnily tyto oblasti pokrýt.
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 42 odst. 4 písm. g)
(4)
Úřad dále
g)
se podílí v případě potřeby na procesu vzájemného hodnocení a tvorby metodiky a organizačních aspektů vzájemného hodnocení vypracovaných Skupinou pro spolupráci,
32022L2555
Čl. 19
1. Skupina pro spolupráci do 17. ledna 2025 s pomocí Komise a agentury ENISA a případně sítě CSIRT vypracuje metodiku a organizační aspekty vzájemných hodnocení s cílem poučit se ze společných zkušeností, posílit vzájemnou důvěru, dosáhnout společné vysoké úrovně kybernetické bezpečnosti a posílit schopnosti a politické strategie členských států v oblasti kybernetické bezpečnosti, které jsou nezbytné pro provádění této směrnice. Účast na vzájemných hodnoceních je dobrovolná. Vzájemná hodnocení provádějí odborníci na kybernetickou bezpečnost. Odborníky na kybernetickou bezpečnost určí nejméně dva členské státy, které nejsou posuzovanými členskými státy.
Vzájemná hodnocení musí zahrnovat alespoň jeden z následujících aspektů:
a) úroveň provádění opatření k řízení kybernetických bezpečnostních rizik a plnění oznamovacích povinností stanovených v článcích 21 a 23;
b) úroveň kapacit, včetně dostupných finančních, technických a lidských zdrojů, a účinnost plnění úkolů příslušných orgánů;
c) provozní kapacity týmů CSIRT;
d) úroveň uskutečňování vzájemné pomoci podle článku 37;
e) úroveň provádění ujednání o sdílení informací o kybernetické bezpečnosti podle článku 29;
f) specifické otázky přeshraniční nebo meziodvětvové povahy.
2. Metodika uvedená v odstavci 1 zahrnuje objektivní, nediskriminační, korektní a transparentní kritéria, na jejichž základě členské státy určí odborníky na kybernetickou bezpečnost způsobilé provádět vzájemná hodnocení. Komise a agentura ENISA se budou vzájemných hodnocení účastnit jako pozorovatelé.
3. Pro účely vzájemného hodnocení mohou členské státy určit konkrétní otázky, jak je uvedeno v odst. 1 písm. f).
4. Před zahájením vzájemného hodnocení podle odstavce 1 oznámí členské státy zúčastněným členským státům jeho rozsah, včetně konkrétních otázek, jež byly ve smyslu odstavce 3 určeny.
5. Před zahájením vzájemného hodnocení mohou členské státy provést sebehodnocení posuzovaných aspektů, které poté poskytnou určeným odborníkům na kybernetickou bezpečnost. Metodiku sebehodnocení členských států stanoví skupina pro spolupráci za pomoci Komise a agentury ENISA.
6. Vzájemná hodnocení zahrnují osobní nebo virtuální návštěvy na místě i externí výměny informací. S ohledem na zásadu dobré spolupráce poskytnou členské státy podléhající vzájemnému hodnocení určeným odborníkům na kybernetickou bezpečnost informace potřebné k posouzení, aniž by tím bylo dotčeno právo členských států nebo Unie týkající se ochrany důvěrných či utajovaných informací nebo plnění základních funkcí státu, jako je národní bezpečnost. Skupina pro spolupráci ve spolupráci s Komisí a agenturou ENISA vypracuje vhodné kodexy chování, které budou tvořit základ pracovních metod určených odborníků na kybernetickou bezpečnost. Veškeré informace získané v rámci vzájemného hodnocení lze použít pouze pro tento účel. Odborníci na kybernetickou bezpečnost účastnící se vzájemného hodnocení nesmí sdělit žádné citlivé nebo důvěrné informace získané v průběhu tohoto vzájemného hodnocení žádným třetím stranám.
7. Tytéž aspekty, které již byly v členském státě předmětem vzájemného hodnocení, nepodléhají v tomto členském státě v průběhu dvou let po ukončení vzájemného hodnocení dalšímu posuzování, pokud o to členský stát nepožádá nebo pokud to není výsledkem dohody na základě návrhu skupiny pro spolupráci.
8. Členské státy zajistí, aby byly ostatní členské státy, skupina pro spolupráci, Komise a agentura ENISA před zahájením vzájemného hodnocení informovány o jakémkoli riziku střetu zájmů týkajícím se určených odborníků na kybernetickou bezpečnost. Členský stát podléhající vzájemnému hodnocení může vznést námitku vůči určení konkrétních odborníků na kybernetickou bezpečnost, a to na základě řádného odůvodnění, které sdělí členskému státu, který tyto odborníky určil.
9. Odborníci na kybernetickou bezpečnost účastnící se vzájemných hodnocení vypracují návrhy zpráv o zjištěních a závěrech těchto vzájemných hodnocení. Členské státy podléhající vzájemnému hodnocení mohou předložit připomínky k návrhům zpráv, které se jich týkají, a tyto připomínky se poté ke zprávám připojí. Zprávy obsahují doporučení, jejichž cílem je dosáhnout zlepšení v aspektech, jichž se vzájemné hodnocení týká. Zprávy se předloží skupině pro spolupráci a v příslušném případě síti CSIRT. Členský stát podléhající vzájemnému hodnocení se může rozhodnout svou zprávu nebo její upravenou verzi zveřejnit.
§ 42 odst. 4 písm. h)
(4)
Úřad dále
h)
vykonává působnost v oblasti veřejně regulované služby Evropského programu družicové navigace Galileo, zejména plní funkce příslušného orgánu veřejně regulované služby (PRS) podle příslušného předpisu Evropské unie13),
13) Čl. 5 rozhodnutí Evropského parlamentu a Rady (EU) 1104/2011.
32011D1104
Čl. 5 odst. 1 písm. a)
1. Příslušný orgán PRS je určen:
a) každým členským státem, který využívá PRS, a každým členským státem, na jehož území je usazen jakýkoli ze subjektů uvedených v čl. 7 odst. 1; v takových případech se příslušný orgán PRS zřídí na území dotčeného členského státu a tento stát o určení orgánu neprodleně uvědomí Komisi;
§ 42 odst. 4 písm. i)
(4)
Úřad dále
i)
vykonává působnost v oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb v rámci Kosmického programu Evropské unie, zejména plní funkce příslušného orgánu pro družicovou komunikaci v rámci státní správy (GOVSATCOM) podle přímo použitelného předpisu Evropské unie14),
14) Čl. 68 nařízení Evropského parlamentu a Rady č. 2021/696.
32021R0696
Čl. 34 odst. 6 písm. b)
6. Za účelem zajištění ochrany pozemní infrastruktury, jež tvoří nedílnou součást programu a je umístěn na jejich území, členské státy:
b) provádějí úkoly bezpečnostní akreditace uvedené v článku 42 tohoto nařízení.
§ 42 odst. 4 písm. j)
(4)
Úřad dále
j)
vykonává působnost v oblastech souvisejících s informační a kybernetickou bezpečností, bezpečnostní akreditací a bezpečností systémů a zavedených služeb v rámci Programu Evropské unie pro bezpečnou konektivitu, zejména plní funkce příslušného orgánu pro bezpečnou konektivitu podle přímo použitelného předpisu Evropské unie15).
15) Čl. 11 nařízení Evropského parlamentu a Rady č. 2023/588
32023R0588
Čl. 11
1. Členské státy, Rada, Komise a ESVČ jsou účastníky programu, pokud udělí oprávnění uživatelům služeb státní správy nebo poskytnou kapacity, prostory nebo zařízení.
2. Agentury a subjekty Unie se mohou stát účastníky programu pouze tehdy, je-li to nezbytné k vykonávání jejich úkolů, a v souladu s podrobnými pravidly stanovenými správní dohodou uzavřenou mezi dotčenou agenturou nebo subjektem a orgánem Unie, jenž nad nimi provádí dozor.
3. Třetí země a mezinárodní organizace se mohou stát účastníky programu v souladu s článkem 39.
4. Každý účastník programu určí jeden příslušný orgán pro bezpečnou konektivitu.
Má se za to, že účastníci programu vyhověli požadavku uvedenému v prvním pododstavci, pokud splňují obě tato kritéria:
a) jsou rovněž účastníky GOVSATCOM v souladu s článkem 68 nařízení (EU) 2021/696;
b) určili příslušný orgán v souladu s čl. 68 odst. 4 nařízení (EU) 2021/696.
5. Prioritizaci služeb státní správy mezi uživateli, které oprávnili jednotliví účastníci programu, určuje a provádí daný účastník programu.
6. Příslušný orgán pro bezpečnou konektivitu uvedený v odstavci 4 zajistí, aby:
a) používání služeb státní správy bylo v souladu s obecnými bezpečnostními požadavky uvedenými v čl. 30 odst. 3;
b) byla určena a spravována přístupová práva k službám státní správy;
c) uživatelská zařízení nezbytná k využívání služeb státní správy a související elektronická komunikační spojení a informace byly využívány a řízeny v souladu s obecnými bezpečnostními požadavky uvedenými v čl. 30 odst. 3;
d) bylo zřízeno ústřední kontaktní místo, které bude podle potřeby pomáhat při podávání zpráv o bezpečnostních rizicích a hrozbách, zejména pokud jde o detekci potenciálně škodlivého elektromagnetického rušení ovlivňujícího služby tohoto programu.
§ 44 odst. 4 písm. k)
(4)
Úřad dále
k)
je vnitrostátním orgánem certifikace kybernetické bezpečnosti podle přímo použitelného předpisu Evropské unie 16),
16) Čl. 58 nařízení Evropského parlamentu a Rady (EU) 2019/881.
32019R0881
čl. 58 odst. 1
1. Každý členský stát určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na svém území, nebo se souhlasem jiného členského státu určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti zřízených v tomto jiném členském státě, které budou v určujícím členském státě odpovídat za dozor.
§ 42 odst. 4 písm. l)
(4)
Úřad dále
l)
působí jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti pro Českou republiku podle přímo použitelného předpisu Evropské unie17),
17) Nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 6 odst. 1 a odst. 5
1. Do 29. prosince 2021 každý členský stát určí jeden subjekt, který splňuje kritéria stanovená v odstavci 5, aby působil jako národní koordinační centrum pro účely tohoto nařízení. Každý členský stát oznámí tento subjekt neprodleně správní radě. Tímto subjektem může být i subjekt, který je již v uvedeném členském státě zřízen. Lhůta uvedená v prvním pododstavci tohoto odstavce se prodlouží o dobu, v níž má Komise vydat stanovisko uvedené
v odstavci 2.
§ 42 odst. 4 písm. m)
(4)
Úřad dále
m)
zřizuje a podporuje platformy sloužící ke sdílení informací v oblasti kybernetické bezpečnosti a stanovuje pravidla jejich fungování a
32022L2555
Čl. 29 odst. 1
1. Členské státy zajistí, aby subjekty, na které se vztahuje oblast působnosti této směrnice, a případně jiné subjekty nespadající do oblasti působnosti této směrnice mohly mezi sebou dobrovolně sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, významných událostí, zranitelností, technik a postupů, indikátorů kompromitace, nepřátelských taktik, informací specifických pro daný subjekt a danou hrozbu, varování při ohrožení kybernetické bezpečnosti a doporučení týkající se konfigurace nástrojů kybernetické bezpečnosti, které slouží k odhalování kybernetických útoků, pokud toto sdílení informací:
a) má za cíl předcházet incidentům, odhalovat je, reagovat na ně, zotavovat se z nich nebo zmírňovat jejich dopad;
b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných schopností, nápravou zranitelností a zveřejňováním zranitelností, odhalováním hrozeb, technikami na zamezení šíření hrozeb a předcházení jim, strategií zmírňování nebo fází reakce a obnovy nebo podporou společného výzkumu kybernetických hrozeb ze strany subjektů veřejného a soukromého sektoru.
32022L2555
Čl. 29 odst. 2
2. Členské státy zajistí, aby k výměně informací docházelo v komunitách základních a důležitých subjektů a případně jejich dodavatelů nebo poskytovatelů služeb. Tato výměna bude probíhat prostřednictvím ujednání o sdílení informací o kybernetické bezpečnosti s ohledem na potenciálně citlivou povahu sdílených informací.
32022L2555
Čl. 29 odst. 3
3. Členské státy usnadní zavedení ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tohoto článku. Tato ujednání mohou upřesnit provozní prvky, včetně použití vyhrazených platforem IKT a nástrojů automatizace, obsah a podmínky ujednání o sdílení informací. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání, přičemž mohou stanovit podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 7 odst. 2 písm. h).
32022L2555
Čl. 29 odst. 4
4. Členské státy zajistí, aby základní a důležité subjekty oznámily příslušným orgánům, že se účastní ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2, a to od okamžiku uzavření takových ujednání, nebo v příslušných případech skutečnost, že od nich odstoupily, a to jakmile takové odstoupení nabude účinku.
§ 42 odst. 5 písm. a)
(5) Úřad dále
a)
koordinuje, analyzuje a preventivně působí ve vztahu k
1.
hrozbám v oblasti kybernetické bezpečnosti,
2.
zranitelnostem v oblasti kybernetické bezpečnosti, včetně vyhledávání zranitelností,
3.
kybernetickým bezpečnostním událostem a
4.
kybernetickým bezpečnostním incidentům, včetně podpory při jejich zvládání,
32022L2555
Čl. 11 odst. 3 písm. a) až d)
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti kybernetické bezpečnosti;
§ 42 odst. 5 písm. b)
(5) Úřad dále
b)
působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu vyšších povinností,
32022L2555
Čl. 11 odst. 3
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal, s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů.
Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
32022L2555
Čl. 30 odst. 1
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
§ 42 odst. 5 písm. c)
(5) Úřad dále
c)
testuje zavedení a odolnost zabezpečení aktiv, včetně provádění penetračních testů se souhlasem toho, kdo je testováním dotčen,
32022L2555
Čl. 11 odst. 3 písm. e)
3. Týmy CSIRT mají tyto úkoly:
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal, s cílem odhalit zranitelnosti s potenciálním významným dopadem;
§ 42 odst. 5 písm. d)
(5) Úřad dále
d)
je koordinátorem pro účely koordinovaného zveřejňování zranitelností,
32022L2555
Čl. 11 odst. 3 písm. g)
3. Týmy CSIRT mají tyto úkoly:
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1;
§ 42 odst. 5 písm. e)
(5) Úřad dále
e)
vede evidenci kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí, hrozeb a zranitelností,
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 42 odst. 5 písm. f)
(5) Úřad dále
f)
spolupracuje v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 10 odst. 3
3. Členské státy zajistí, aby měl každý tým CSIRT k dispozici přístup k odpovídající, bezpečné a odolné komunikační a informační infrastruktuře pro výměnu informací se základními a důležitými subjekty a dalšími příslušnými zúčastněnými stranami. Za tímto účelem členské státy zajistí, aby každý tým CSIRT přispíval k zavedení bezpečných nástrojů pro sdílení informací.
32022L2555
Čl. 10 odst. 6
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
32022L2555
Čl. 10 odst. 7
7. Týmy CSIRT mohou navázat spolupráci s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí. Členské státy v rámci takové spolupráce usnadňují účinnou, účelnou a bezpečnou výměnu informací s těmito národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, a to za použití příslušných protokolů pro sdílení informací, včetně TLP protokolu. Týmy CSIRT si mohou v souladu s právem Unie v oblasti ochrany údajů vyměňovat relevantní informace s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, včetně osobních údajů.
32022L2555
Čl. 10 odst. 8
8. Týmy CSIRT mohou spolupracovat s národními týmy pro reakci na počítačové bezpečnostní incidenty ze třetích zemí nebo s obdobnými subjekty ze třetích zemí, zejména za účelem poskytování pomoci v oblasti kybernetické bezpečnosti.
32022L2555
Čl. 11 odst. 3 pododstavec třetí
Týmy CSIRT se mohou zapojovat do mezinárodních sítí pro spolupráci.
32022L2555
Čl. 13 odst. 1
1. Pokud existují příslušné orgány, jednotné kontaktní místo a tým CSIRT téhož členského státu odděleně, při plnění povinností stanovených touto směrnicí vzájemně spolupracují.
§ 42 odst. 5 písm. g)
(5) Úřad dále
g)
poskytuje konzultace v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 11 odst. 3 písm. a) až c)
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
(…)
§ 42 odst. 5 písm. h)
(5) Úřad dále
h)
přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 11 odst. 3
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal, s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů.
Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
§ 42 odst. 5 písm. i)
(5) Úřad dále
i)
sdílí údaje a informace ze své činnosti a z evidencí vedených Úřadem, je-li to nezbytné pro zajišťování kybernetické bezpečnosti; pro takto sdílené údaje a informace stanoví závaznou úroveň ochrany,
32022L2555
Čl. 11 odst. 3 písm. b)
3. Týmy CSIRT mají tyto úkoly:
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
§ 42 odst. 5 písm. j)
(5) Úřad dále
j)
plní roli CSIRT týmu a zastupuje Českou republiku a podílí se na fungování relevantních mezinárodních uskupení a sdružení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
32022L2555
Čl. 10 odst. 1
1. Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
32022L2555
Čl. 10 odst. 6
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
32022L2555
Čl. 15 odst. 2
2. Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajišťuje sekretariát a aktivně podporuje spolupráci mezi týmy CSIRT.
32022L2555
Čl. 15 odst. 3
3. Síť CSIRT má tyto úkoly:
a) vyměňovat si informace o schopnostech týmů CSIRT;
b) usnadňovat sdílení, přenos a výměnu technologií a příslušných opatření, politik, nástrojů, procesů, osvědčených postupů a rámců mezi týmy CSIRT;
c) vyměňovat si příslušné informace o incidentech, významných událostech, kybernetických hrozbách, rizicích a zranitelnostech;
d) vyměňovat si informace, pokud jde o publikace a doporučení v oblasti kybernetické bezpečnosti;
e) zajišťovat interoperabilitu, pokud jde o specifikace a protokoly týkající se sdílení informací;
f) na žádost člena sítě CSIRT potenciálně zasaženého incidentem si vyměňovat a projednávat informace o tomto incidentu a souvisejících kybernetických hrozbách, rizicích a zranitelnostech;
g) na žádost člena sítě CSIRT projednat a pokud možno realizovat koordinovanou reakci na incident, který byl zjištěn v oblasti spadající do pravomoci tohoto členského státu;
h) poskytovat členským státům pomoc při řešení přeshraničních incidentů podle této směrnice;
i) spolupracovat a poskytovat pomoc týmům CSIRT, které byly určeny jakožto koordinátoři, podle čl. 12 odst. 1 a vyměňovat si s nimi osvědčené postupy v souvislosti s řízením koordinovaného zveřejňování zranitelností, které by mohly mít významný dopad na subjekty ve více než jednom členském státě;
j) projednávat a vymezovat další formy operativní spolupráce, a to mimo jiné ve vztahu k:
i) kategoriím kybernetických hrozeb a incidentů;
ii) včasným varováním;
iii) vzájemné pomoci;
iv) zásadám a ujednáním koordinace při reakci na přeshraniční rizika a incidenty;
v) příspěvku k národnímu plánu reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize uvedenému v čl. 9 odst. 4 na žádost členského státu;
k) informovat skupinu pro spolupráci o svých činnostech a o dalších formách operativní spolupráce projednávaných podle písmene j) a v případě potřeby žádat v tomto ohledu odpovídající pokyny;
l) vyhodnocovat cvičení v oblasti kybernetické bezpečnosti, včetně cvičení pořádaných agenturou ENISA;
m) na žádost jednotlivých týmů CSIRT jednat o jejich schopnostech a připravenosti;
n) spolupracovat a vyměňovat si informace s regionálními bezpečnostními operačními středisky a bezpečnostními operačními středisky na úrovni Unie za účelem zlepšení společného situačního povědomí u incidentů a kybernetických hrozeb v celé Unii;
o) případně projednávat zprávy o vzájemném hodnocení uvedené v čl. 19 odst. 9;
p) poskytovat pokyny s cílem usnadnit sbližování operativních postupů ve vztahu k uplatňování ustanovení tohoto článku o operativní spolupráci.
32022L2555
Čl. 15 odst. 4
4. Síť CSIRT do 17. ledna 2025 a poté každé dva roky pro účely přezkumu uvedeného v článku 40 posoudí pokrok dosažený s ohledem na operativní spolupráci a přijme zprávu. Ve zprávě se zejména uvedou závěry a doporučení vycházející z výsledků vzájemného hodnocení uvedeného v článku 19, provedeného ve vztahu k národním týmům CSIRT. Tato zpráva bude předložena skupině pro spolupráci.
32022L2555
Čl. 15 odst. 5
5. Síť CSIRT přijme svůj jednací řád.
32022L2555
Čl. 15 odst. 6
6. Síť CSIRT a síť EU-CyCLONe sjednají procesní pravidla, podle kterých spolupracují.
§ 42 odst. 5 písm. k)
(5) Úřad dále
k)
předává ve vhodných případech bez zbytečného odkladu informace o kybernetickém bezpečnostním incidentu s významným dopadem týkajícím se 2 nebo více členských států Evropské unie nebo smluvních států Dohody o Evropském hospodářském prostoru nahlášeném podle § 15 a 16 dotčeným členským státům Evropské unie nebo smluvním státům Dohody o Evropském hospodářském prostoru a Agentuře Evropské unie pro kybernetickou bezpečnost, přičemž zachovává důvěrnost poskytnutých informací, bezpečnost a obchodní zájmy ohlašovatele,
32022L2555
Čl. 23 odst. 6
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
§ 42 odst. 5 písm. l)
(5) Úřad dále
l)
spolupracuje na výzkumu a vývoji kybernetických bezpečnostních nástrojů a řešení a
32022L2555
Čl. 7 odst. 2 písm. e)
2. V rámci národní strategie kybernetické bezpečnosti přijmou členské státy zejména politiky:
e) podporující vývoj a integraci příslušných pokročilých technologií zaměřených na zavádění nejmodernějších opatření k řízení kybernetických bezpečnostních rizik;
§ 42 odst. 5 písm. m)
(5) Úřad dále
m)
upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.
32022L2555
Čl. 11 odst. 3 věta poslední
Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
§ 43 odst. 1 písm. a)
(1) Národní CERT
a)
zajišťuje v rozsahu tohoto zákona sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti a působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu nižších povinností,
32022L2555
Čl. 11 odst. 3
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal, s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů.
Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
32022L2555
Čl. 30 odst. 1
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, pokud jde o významné incidenty, kybernetické hrozby a významné události.
§ 43 odst. 1 písm. b)
(1) Národní CERT
b)
přijímá hlášení o kybernetických bezpečnostních incidentech, kybernetických bezpečnostních událostech, hrozbách a zranitelnostech v oblasti kybernetické bezpečnosti a tyto údaje zaznamenává, vyhodnocuje, uchovává a chrání,
32022L2555
Čl. 11 odst. 3 písm. a) a d)
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
(…)
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti kybernetické bezpečnosti;
(…)
32022L2555
Čl. 23 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
Pokud dotčené subjekty oznámí příslušnému orgánu významný incident podle prvního pododstavce, členský stát zajistí, aby příslušný orgán toto oznámení po jeho obdržení předal týmu CSIRT.
V případě přeshraničního nebo meziodvětvového významného incidentu členské státy zajistí, aby jejich jednotná kontaktní místa včas obdržela příslušné informace v souladu s odstavcem 4.
§ 43 odst. 1 písm. c)
(1) Národní CERT
c)
poskytuje poskytovatelům regulovaných služeb v režimu nižších povinností metodickou podporu, pomoc a součinnost při výskytu a zvládání kybernetického bezpečnostního incidentu s významným dopadem a při zveřejňování informací o zranitelnostech v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 11 odst. 3 písm. a) až c)
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
(…)
§ 43 odst. 1 písm. d)
(1) Národní CERT
d)
provádí vyhledávání a hodnocení zranitelností v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 11 odst. 3 písm. a)
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
§ 43 odst. 1 písm. e)
(1) Národní CERT
e)
předává Úřadu údaje o nahlášených hrozbách, kybernetických bezpečnostních událostech, kybernetických bezpečnostních incidentech podle § 15 a zranitelnostech v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 10 odst. 4
4. Týmy CSIRT spolupracují a v příslušných případech si vyměňují příslušné informace podle článku 29 s odvětvovými nebo meziodvětvovými komunitami základních a důležitých subjektů.
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 43 odst. 1 písm. f)
(1) Národní CERT
f)
informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování regulované služby v tomto jiném členském státu a zároveň o tom informuje Úřad, přičemž dbá na bezpečnost a jiné oprávněné zájmy ohlašovatele,
32022L2555
Čl. 23 odst. 8
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
§ 43 odst. 1 písm. g)
(1) Národní CERT
g)
přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti,
32022L2555
Čl. 11 odst. 3
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal, s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů.
Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
§ 43 odst. 1 písm. h)
(1) Národní CERT
h)
plní roli CSIRT týmu a podílí se na fungování mezinárodních uskupení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
32022L2555
Čl. 10 odst. 1
1. Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
32022L2555
Čl. 10 odst. 6
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
32022L2555
Čl. 15 odst. 2
2. Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajišťuje sekretariát a aktivně podporuje spolupráci mezi týmy CSIRT.
32022L2555
Čl. 15 odst. 3
3. Síť CSIRT má tyto úkoly:
a) vyměňovat si informace o schopnostech týmů CSIRT;
b) usnadňovat sdílení, přenos a výměnu technologií a příslušných opatření, politik, nástrojů, procesů, osvědčených postupů a rámců mezi týmy CSIRT;
c) vyměňovat si příslušné informace o incidentech, významných událostech, kybernetických hrozbách, rizicích a zranitelnostech;
d) vyměňovat si informace, pokud jde o publikace a doporučení v oblasti kybernetické bezpečnosti;
e) zajišťovat interoperabilitu, pokud jde o specifikace a protokoly týkající se sdílení informací;
f) na žádost člena sítě CSIRT potenciálně zasaženého incidentem si vyměňovat a projednávat informace o tomto incidentu a souvisejících kybernetických hrozbách, rizicích a zranitelnostech;
g) na žádost člena sítě CSIRT projednat a pokud možno realizovat koordinovanou reakci na incident, který byl zjištěn v oblasti spadající do pravomoci tohoto členského státu;
h) poskytovat členským státům pomoc při řešení přeshraničních incidentů podle této směrnice;
i) spolupracovat a poskytovat pomoc týmům CSIRT, které byly určeny jakožto koordinátoři, podle čl. 12 odst. 1 a vyměňovat si s nimi osvědčené postupy v souvislosti s řízením koordinovaného zveřejňování zranitelností, které by mohly mít významný dopad na subjekty ve více než jednom členském státě;
j) projednávat a vymezovat další formy operativní spolupráce, a to mimo jiné ve vztahu k:
i) kategoriím kybernetických hrozeb a incidentů;
ii) včasným varováním;
iii) vzájemné pomoci;
iv) zásadám a ujednáním koordinace při reakci na přeshraniční rizika a incidenty;
v) příspěvku k národnímu plánu reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize uvedenému v čl. 9 odst. 4 na žádost členského státu;
k) informovat skupinu pro spolupráci o svých činnostech a o dalších formách operativní spolupráce projednávaných podle písmene j) a v případě potřeby žádat v tomto ohledu odpovídající pokyny;
l) vyhodnocovat cvičení v oblasti kybernetické bezpečnosti, včetně cvičení pořádaných agenturou ENISA;
m) na žádost jednotlivých týmů CSIRT jednat o jejich schopnostech a připravenosti;
n) spolupracovat a vyměňovat si informace s regionálními bezpečnostními operačními středisky a bezpečnostními operačními středisky na úrovni Unie za účelem zlepšení společného situačního povědomí u incidentů a kybernetických hrozeb v celé Unii;
o) případně projednávat zprávy o vzájemném hodnocení uvedené v čl. 19 odst. 9;
p) poskytovat pokyny s cílem usnadnit sbližování operativních postupů ve vztahu k uplatňování ustanovení tohoto článku o operativní spolupráci.
32022L2555
Čl. 15 odst. 4
4. Síť CSIRT do 17. ledna 2025 a poté každé dva roky pro účely přezkumu uvedeného v článku 40 posoudí pokrok dosažený s ohledem na operativní spolupráci a přijme zprávu. Ve zprávě se zejména uvedou závěry a doporučení vycházející z výsledků vzájemného hodnocení uvedeného v článku 19, provedeného ve vztahu k národním týmům CSIRT. Tato zpráva bude předložena skupině pro spolupráci.
32022L2555
Čl. 15 odst. 5
5. Síť CSIRT přijme svůj jednací řád.
32022L2555
Čl. 15 odst. 6
6. Síť CSIRT a síť EU-CyCLONe sjednají procesní pravidla, podle kterých spolupracují.
§ 43 odst. 1 písm. i)
(1) Národní CERT
i)
se v případě potřeby podílí na procesu vzájemného hodnocení a
32022L2555
Čl. 10 odst. 5
5. Týmy CSIRT se účastní vzájemného hodnocení pořádaného v souladu s článkem 19.
§ 43 odst. 1 písm. j)
(1) Národní CERT
j)
upřednostňuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných zdrojích.
32022L2555
Čl. 11 odst. 3 pododstavec třetí
Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
§ 45 odst. 1
(1) Úřad je správcem a provozovatelem Portálu Úřadu. Portál Úřadu slouží k provádění činností podle tohoto zákona, kterými jsou výkon pravomocí Úřadu, sdílení informací, provádění digitálních úkonů a poskytování digitálních služeb podle právního předpisu upravujícího digitální služby.
32022L2555
Čl. 13 odst. 6
6. Členské státy zjednoduší poskytování informací technickými prostředky pro oznamování podle článků 23 a 30.
32022L2555
Čl. 29 odst. 1
1. Členské státy zajistí, aby subjekty, na které se vztahuje oblast působnosti této směrnice, a případně jiné subjekty nespadající do oblasti působnosti této směrnice mohly mezi sebou dobrovolně sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, významných událostí, zranitelností, technik a postupů, indikátorů kompromitace, nepřátelských taktik, informací specifických pro daný subjekt a danou hrozbu, varování při ohrožení kybernetické bezpečnosti a doporučení týkající se konfigurace nástrojů kybernetické bezpečnosti, které slouží k odhalování kybernetických útoků, pokud toto sdílení informací:
a) má za cíl předcházet incidentům, odhalovat je, reagovat na ně, zotavovat se z nich nebo zmírňovat jejich dopad;
b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných schopností, nápravou zranitelností a zveřejňováním zranitelností, odhalováním hrozeb, technikami na zamezení šíření hrozeb a předcházení jim, strategií zmírňování nebo fází reakce a obnovy nebo podporou společného výzkumu kybernetických hrozeb ze strany subjektů veřejného a soukromého sektoru.
32022L2555
Čl. 29 odst. 2
2. Členské státy zajistí, aby k výměně informací docházelo v komunitách základních a důležitých subjektů a případně jejich dodavatelů nebo poskytovatelů služeb. Tato výměna bude probíhat prostřednictvím ujednání o sdílení informací o kybernetické bezpečnosti s ohledem na potenciálně citlivou povahu sdílených informací.
32022L2555
Čl. 29 odst. 3
3. Členské státy usnadní zavedení ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tohoto článku. Tato ujednání mohou upřesnit provozní prvky, včetně použití vyhrazených platforem IKT a nástrojů automatizace, obsah a podmínky ujednání o sdílení informací. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání, přičemž mohou stanovit podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 7 odst. 2 písm. h).
32022L2555
Čl. 29 odst. 4
4. Členské státy zajistí, aby základní a důležité subjekty oznámily příslušným orgánům, že se účastní ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2, a to od okamžiku uzavření takových ujednání, nebo v příslušných případech skutečnost, že od nich odstoupily, a to jakmile takové odstoupení nabude účinku.
§ 45 odst. 2 věta první a druhá
(2) Úkony podle § 6 odst. 1, § 9 odst. 1, § 10 odst. 2, § 11, § 15 odst. 1 a 2, § 23 odst. 6, § 26 odst. 1 a § 31 odst. 1 písm. c) je nezbytné provádět výlučně elektronicky s využitím dálkového přístupu prostřednictvím formulářových podání. Jiným způsobem lze tyto úkony provést pouze tehdy, připouští-li to ustanovení tohoto zákona a není-li z důvodů nezávislých na vůli osoby provádějící úkon možné využít k provedení úkonu Portál Úřadu.
32022L2555
Čl. 13 odst. 6
6. Členské státy zjednoduší poskytování informací technickými prostředky pro oznamování podle článků 23 a 30.
§ 46 odst. 2
(2) Úřad poskytuje v odůvodněných případech údaje z evidencí orgánům veřejné moci na jejich žádost, je-li to nezbytné pro výkon jejich působnosti. Poskytnuté údaje je možné využít jen pro potřeby, které byly uvedeny v žádosti. Orgán veřejné moci vynaloží přiměřené úsilí k zajištění bezpečnosti informací takto poskytnutých údajů.
32022L2555
Čl. 13 odst. 4
4. S cílem zajistit účinné plnění úkolů a povinností příslušných orgánů, jednotných kontaktních míst a týmů CSIRT zajistí členské státy v co největší možné míře vhodnou spolupráci mezi těmito subjekty a donucovacími orgány, orgány pro ochranu osobních údajů, vnitrostátními orgány podle nařízení (ES) č. 300/2008 a (EU) 2018/1139, orgány dohledu podle nařízení (EU) č. 910/2014, příslušnými orgány podle nařízení (EU) 2022/2554, vnitrostátními regulačními orgány podle směrnice (EU) 2018/1972, příslušnými orgány podle směrnice (EU) 2022/2557, a příslušnými orgány podle dalších odvětvových právních aktů Unie v daném členském státě.
32022L2555
Čl. 13 odst. 5
5. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle směrnice (EU) 2022/2557spolupracovaly a pravidelně si vyměňovaly informace o určení kritických subjektů, o rizicích, kybernetických hrozbách a incidentech, jakož i o jiných než kybernetických rizicích, hrozbách a incidentech postihujících základní subjekty určené jakožto kritické podle směrnice (EU) 2022/2557, jakož i o opatřeních přijatých v reakci na tato rizika, hrozby a incidenty. Členské státy rovněž zajistí, aby si jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle nařízení (EU) č. 910/2014, nařízení (EU) 2022/2554a směrnice (EU) 2018/1972 pravidelně vyměňovaly relevantní informace, včetně informací o příslušných incidentech a kybernetických hrozbách.
32022L2555
Čl. 23 odst. 10
10. Týmy CSIRT nebo případně příslušné orgány poskytnou příslušným orgánům podle směrnice (EU) 2022/2557 informace o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30 subjekty určenými jakožto kritické subjekty podle směrnice (EU) 2022/2557.
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
32022L2555
Čl. 32 odst. 9
9. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice informovaly relevantní příslušné orgány ve stejném členském státě podle směrnice (EU) 2022/2557, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby subjekt určený jakožto kritický subjekt podle směrnice (EU) 2022/2557 dodržoval tuto směrnici. Příslušné orgány podle směrnice (EU) 2022/2557 mohou případně požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557.
32022L2555
Čl. 32 odst. 10
10. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby základní subjekt, který je označen jakožto kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici.
32022L2555
Čl. 33 odst. 6
6. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby důležitý subjekt, který je označen jakožto kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici.
§ 46 odst. 3
(3) Úřad může v odůvodněných případech poskytovat údaje z evidencí Národnímu CERT těm, kdo vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, a těm, kdo působí v oblasti kybernetické bezpečnosti, v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.
32022L2555
Čl. 23 odst. 8
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
§ 46 odst. 4
(4) Zaměstnanci Úřadu jsou vázáni povinností mlčenlivosti o údajích z evidencí podle odstavce 1 písm. c) až f). Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu. Ředitel Úřadu může osoby uvedené v tomto odstavci zprostit povinnosti mlčenlivosti, a to s uvedením rozsahu údajů a rozsahu zproštění.
32022L2555
Čl. 11 odst. 1 písm. d)
1. Týmy CSIRT splňují tyto požadavky:
(…)
d) týmy CSIRT zajišťují důvěrnost a důvěryhodnost svých činností;
(…)
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 47 odst. 1
(1) Stanoví-li přímo použitelný předpis Evropské unie přijatý na základě nařízení Evropského parlamentu a Rady (EU) 2019/881 (dále jen „akt o kybernetické bezpečnosti“) konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti rozhoduje o žádostech o autorizaci subjektu posuzování shody; to platí i pro řízení podle odstavce 3.
32019R0881
Čl. 58 odst. 7 písm. e)
7. Vnitrostátní orgány certifikace kybernetické bezpečnosti:
e) v příslušných případech autorizují subjekty posuzování shody podle čl. 60 odst. 3 a omezují, pozastavují nebo odebírají stávající autorizaci, pokud subjekty posuzování shody porušují požadavky tohoto nařízení;
§ 47 odst. 2
(2) Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie přijatým na základě aktu o kybernetické bezpečnosti.
32019R0881
Čl. 54 odst. 1 písm. f)
1. Evropský systém certifikace kybernetické bezpečnosti zahrnuje alespoň tyto prvky:
f) v příslušných případech konkrétní nebo dodatečné požadavky na subjekty posuzování shody, s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost;
§ 47 odst. 3
(3) Úřad rozhoduje o pozastavení, omezení nebo odebrání autorizace, pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti nebo přímo použitelného předpisu Evropské unie přijatého na základě aktu o kybernetické bezpečnosti.
32019R0881
Čl. 60 odst. 3
3. Stanoví-li evropské systémy certifikace kybernetické bezpečnosti konkrétní nebo dodatečné požadavky podle čl. 54 odst. 1 písm. f), jsou k vykonávání úkolů v rámci těchto systémů vnitrostátním orgánem certifikace kybernetické bezpečnosti autorizovány pouze ty subjekty posuzování shody, které uvedené požadavky splňují.
§ 47 odst. 4
(4) V rozhodnutí o pozastavení autorizace podle odstavce 3 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení autorizace. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nezjedná nápravu, rozhodne Úřad o omezení nebo odebrání autorizace.
32019R0881
Čl. 60 odst. 3
3. Stanoví-li evropské systémy certifikace kybernetické bezpečnosti konkrétní nebo dodatečné požadavky podle čl. 54 odst. 1 písm. f), jsou k vykonávání úkolů v rámci těchto systémů vnitrostátním orgánem certifikace kybernetické bezpečnosti autorizovány pouze ty subjekty posuzování shody, které uvedené požadavky splňují.
§ 48 odst. 1
(1) Úřad jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti posuzuje podle přímo použitelného předpisu Evropské unie18) způsobilost žadatele o registraci členství v Komunitě kompetencí pro kybernetickou bezpečnost19) (dále jen „komunita“).
18) Čl. 8 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2021/887.
19) Čl. 8 nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 48 odst. 2
(2) Členem komunity může být ten, kdo má
a)
základní způsobilost a
b)
zvláštní způsobilost.
32021R0887
Čl. 8 odst. 3 a 4
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 48 odst. 4
(4) Žadatel o registraci členství v komunitě je povinen v žádosti podle odstavce 3 uvést pravdivé a úplné údaje potřebné pro posouzení jeho základní a zvláštní způsobilosti Úřadem. Po dobu trvání členství v komunitě je člen komunity povinen nahlásit změnu těchto údajů nebo skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti, a to ve lhůtě 30 dnů ode dne, kdy tato změna nebo skutečnost nastala.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 49 odst. 1 písm. a)
(1) Základní způsobilost má ten, kdo
a)
má sídlo na území České republiky,
32021R0887
Čl. 8 odst. 3 věta první
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech.
§ 49 odst. 1 písm. b)
(1) Základní způsobilost má ten, kdo
b)
není zapsán na vnitrostátním sankčním seznamu20), nebo vůči němu Česká republika neuplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí,
20) Zákon č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon).
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 49 odst. 1 písm. c)
(1) Základní způsobilost má ten, kdo
c)
je bezúhonný; za bezúhonného se považuje ten, kdo nebyl pravomocně odsouzen pro trestný čin, jehož skutková podstata souvisí s jeho předmětem podnikání, nebo pro trestný čin hospodářský, trestný čin proti majetku, trestný čin obecně nebezpečný, trestný čin proti České republice, cizímu státu a mezinárodní organizaci, trestný čin proti pořádku ve věcech veřejných a trestný čin proti lidskosti, proti míru a válečný trestný čin, nehledí-li se na něj, jako by nebyl odsouzen; je-li žadatelem o registraci členství v komunitě nebo členem komunity právnická osoba, musí podmínku bezúhonnosti splňovat tato právnická osoba a zároveň každý člen jejího statutárního orgánu; je-li členem statutárního orgánu žadatele právnická osoba, musí podmínku bezúhonnosti splňovat
1.
tato právnická osoby,
2.
každý člen statutárního orgánu této právnické osoby,
3.
osoba zastupující tuto právnickou osobu ve statutárním orgánu žadatele o registraci členství v komunitě nebo člena komunity,
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 49 odst. 1 písm. e)
(1) Základní způsobilost má ten, kdo
e)
není v likvidaci21), není v úpadku, není proti němu vedené insolvenční řízení a není vůči němu nařízena nucená správa podle jiného právního předpisu22).
21) § 187 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
22) Například zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, zákon č. 363/1999 Sb., o pojišťovnictví a o změně některých souvisejících zákonů (zákon o pojišťovnictví), ve znění pozdějších předpisů.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 49 odst. 2 písm. a)
(2) Základní způsobilost nemá ten, kdo
a)
má skutečného majitele a nebylo možné zjistit údaje o jeho skutečném majiteli z úplného výpisu platných údajů a údajů, které byly vymazány bez náhrady nebo s nahrazením novými údaji, podle právního předpisu upravujícího evidenci skutečných majitelů ) (dále jen „skutečný majitel“) z evidence skutečných majitelů podle téhož právního předpisu (dále jen „evidence skutečných majitelů“), nebo
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 49 odst. 2 písm. b)
(2) Základní způsobilost nemá ten, kdo
b)
má skutečného majitele, který je zapsán na vnitrostátním sankčním seznamu20) nebo vůči němu Česká republika uplatňuje mezinárodní sankce podle přímo použitelného předpisu Evropské unie nebo podle právního předpisu upravujícího provádění mezinárodních sankcí.
20) Zákon č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon).
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 49 odst. 3
(3) Základní způsobilost dále nemá ten, pro využití jehož plnění byly podle § 29 odst. 1 Úřadem stanoveny podmínky v opatření obecné povahy, nebo bylo využití jeho plnění opatřením obecné povahy podle § 29 odst. 1 zakázáno.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 50
Zvláštní způsobilost má ten, kdo je způsobilý k členství v komunitě podle přímo použitelného předpisu Evropské unie24).
24) Čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 8 odst. 3
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
§ 51
(1) V případě, že má žadatel o registraci členství v komunitě základní a zvláštní způsobilost k členství v komunitě podle § 49 a 50, Úřad postoupí žádost žadatele registrujícímu orgánu podle přímo použitelného předpisu Evropské unie17) (dále jen „registrující orgán“).
(2) Úřad zahájí řízení o nezpůsobilosti žadatele k registraci členství v komunitě, pokud žadatel o registraci členství v komunitě nesplňuje podmínky základní a zvláštní způsobilosti podle § 49 a 50.
(3) Úřad o nezpůsobilosti žadatele o registraci členství v komunitě vydá rozhodnutí. Pokud se prokáže, že žadatel má základní a zvláštní způsobilost k členství v komunitě podle § 49 a 50, Úřad řízení o jeho nezpůsobilosti zastaví.
(4) Po právní moci rozhodnutí o nezpůsobilosti žadatele k registraci členství v komunitě vydaného v řízení podle odstavce 2 Úřad postoupí registrujícímu orgánu žádost žadatele o registraci členství v komunitě a současně vyrozumí registrující orgán o nezpůsobilosti žadatele k registraci členství v komunitě.
17) Nařízení Evropského parlamentu a Rady (EU) 2021/887.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 52
(1) Úřad průběžně posuzuje splnění podmínek základní a zvláštní způsobilosti člena komunity podle § 49 a 50 po celou dobu trvání jeho členství v komunitě.
(2) V případě, že člen komunity nesplňuje podmínky základní a zvláštní způsobilosti podle § 49 a 50, zahájí Úřad řízení o jeho nezpůsobilosti k trvání členství v komunitě.
(3) Úřad o nezpůsobilosti člena komunity k trvání členství v komunitě vydá rozhodnutí. Pokud se prokáže, že člen komunity nadále má základní a zvláštní způsobilosti podle § 49 a 50, Úřad řízení zastaví.
(4) Po právní moci rozhodnutí o nezpůsobilosti člena komunity k trvání členství v komunitě vydaného v řízení podle odstavce 2 Úřad vyrozumí registrující orgán o jeho nezpůsobilosti k trvání členství v komunitě.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 54 odst. 1
(1) Úřad spolupracuje při uplatňování tohoto zákona s příslušnými orgány jiných členských států, zejména může poskytovat a žádat součinnost ve formě
a)
sdílení informací,
b)
provedení kontroly nebo jiných úkonů vůči poskytovateli regulované služby, nebo
c)
koordinace při kontrolách poskytovatelů regulovaných služeb poskytujících regulované služby i v jiných členských státech, včetně možnosti přizvání zástupců příslušných orgánů jiného členského státu k účasti na kontrole.
32022L2555
Čl. 26 odst. 5
5. Členské státy, které obdržely žádost o vzájemnou pomoc týkající se subjektu podle odst. 1 písm. b), mohou v mezích této žádosti přijmout ohledně dotčeného subjektu, který poskytuje služby nebo má síť nebo informační systém na jejich území, odpovídající opatření v oblasti dohledu a vymáhání.
32022L2555
Čl. 32 odst. 9
9. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice informovaly relevantní příslušné orgány ve stejném členském státě podle směrnice (EU) 2022/2557, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby subjekt určený jakožto kritický subjekt podle směrnice (EU) 2022/2557 dodržoval tuto směrnici. Příslušné orgány podle směrnice (EU) 2022/2557 mohou případně požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557.
32022L2555
Čl. 37
1. Pokud subjekt poskytuje služby ve více než jednom členském státě, nebo pokud poskytuje služby v jednom nebo více členských státech a jeho sítě a informační systémy se nacházejí v jednom či více jiných členských státech, příslušné orgány dotčených členských států podle potřeby spolupracují a jsou si navzájem nápomocny. Tato spolupráce spočívá alespoň v tomto:
a) příslušné orgány uplatňující opatření v oblasti dohledu nebo vymáhání v členském státě kontaktují prostřednictvím jednotného kontaktního místa příslušné orgány v ostatních dotčených členských státech, konzultují s nimi a informují je ohledně přijatých opatření v oblasti dohledu a vymáhání;
b) příslušný orgán může požádat jiný příslušný orgán, aby učinil opatření v oblasti dohledu nebo vymáhání;
c) po obdržení odůvodněné žádosti jiného příslušného orgánu poskytne příslušný orgán druhému příslušnému orgánu vzájemnou pomoc úměrnou vlastním zdrojům, aby bylo možné provést opatření v oblasti dohledu nebo vymáhání účinně, účelně a důsledně.
Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů. Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
2. Je-li to vhodné, mohou se příslušné orgány z různých členských států vzájemně dohodnout, že budou provádět společné činnosti v oblasti dohledu.
§ 54 odst. 2
(2) Úřad žádost o součinnost odmítne,
a)
není-li příslušný nebo nemá-li pravomoc provést požadovaný úkon,
b)
je-li žádost o součinnost s ohledem na kapacity Úřadu zjevně nepřiměřená, nebo
c)
týká-li se žádost informací nebo zahrnuje-li činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy České republiky v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
32022L2555
Čl. 37 odst. 1 druhý pododstavec
1. (…) Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů. Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
§ 54 odst. 3
(3) Poskytuje-li poskytovatel regulované služby, který má umístěnu hlavní provozovnu v jiném členském státě, v rámci České republiky službu uvedenou v § 18 odst. 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), Úřad může vůči této osobě ve vztahu k poskytování uvedené regulované služby provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
8) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
32022L2555
Čl. 26 odst. 1 písm. b)
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů:
(…)
b) provozovatelé DNS, registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, u nichž se má za to, že podléhají pravomoci členského státu, ve kterém mají hlavní provozovnu v Unii podle odstavce 2;
(…)
§ 54 odst. 4
(4) Nachází-li se v rámci České republiky aktiva sloužící k poskytování některé z regulovaných služeb uvedených v § 18 odst. 1 s výjimkou regulované služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), ale poskytovatel regulované služby má umístěnu svou hlavní provozovnu v jiném členském státě, Úřad může ve vztahu k těmto aktivům sloužícím k poskytování uvedených regulovaných služeb provést kontrolu nebo jiný úkon pouze na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
8) Čl. 3 bod 16 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
32022L2555
Čl. 26 odst. 5
5. Členské státy, které obdržely žádost o vzájemnou pomoc týkající se subjektu podle odst. 1 písm. b), mohou v mezích této žádosti přijmout ohledně dotčeného subjektu, který poskytuje služby nebo má síť nebo informační systém na jejich území, odpovídající opatření v oblasti dohledu a vymáhání.
§ 54 odst. 5
(5) Umístěním hlavní provozovny se rozumí místo ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru, kde osoba poskytující služby uvedené v odstavci 3 převážně přijímá rozhodnutí související s řízením rizik v oblasti kybernetické bezpečnosti, zejména sídlo společnosti. Nelze-li takové místo určit podle věty první, nebo nejsou-li taková rozhodnutí přijímána ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru, má se za to, že je hlavní provozovna umístěna v členském státu, kde se provádějí faktické úkony vedoucí k zajištění kybernetické bezpečnosti. Nelze-li takové místo určit podle věty první a druhé, má se za to, že je hlavní provozovna umístěna ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru, kde má osoba provozovnu s nejvyšším počtem zaměstnanců.
32022L2555
Čl. 26 odst. 2
2. Pro účely této směrnice se má za to, že hlavní provozovna subjektu podle odst. 1 písm. b) v Unii je umístěna v členském státě, v němž jsou převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. Nelze-li takový členský stát určit, nebo nejsou-li tato rozhodnutí přijímána v Unii, má se za to, že hlavní provozovna je v členském státě, v němž daný subjekt provádí činnosti k zajištění kybernetické bezpečnosti. Nelze-li takový členský stát určit, má se za to, že dotčený subjekt má hlavní provozovnu v členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.
§ 54 odst. 6
(6) Odstavce 3 a 4 se použijí i vůči osobě poskytující službu registrace doménových jmen v rámci České republiky.
32022L2555
Čl. 26 odst. 1 písm. b)
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů:
(…)
b) provozovatelé DNS, registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, u nichž se má za to, že podléhají pravomoci členského státu, ve kterém mají hlavní provozovnu v Unii podle odstavce 2;
(…)
§ 55
Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak jsou plněny povinnosti stanovené tímto zákonem nebo na jeho základě a přímo použitelnými předpisy Evropské unie v oblasti kybernetické bezpečnosti.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 31 odst. 4
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
§ 56 odst. 1
(1) Zjistí-li Úřad, že poskytovatel regulované služby nebo jiná osoba neplní povinnosti stanovené tímto zákonem nebo na základě tohoto zákona, může jim uložit, aby zjištěné nedostatky ve stanovené lhůtě odstranili, popřípadě určit jakým způsobem. Úřad může v rozhodnutí uložit povinnost oznámit Úřadu provedení nápravného opatření a jeho výsledek ve stanovené lhůtě.
32022L2555
Čl. 21 odst. 4
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez
zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 31 odst. 4
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 4 písm. c), d) a f)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
(…)
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
(…)
32022L2555
Čl. 33 odst. 4 písm. b), c) a d)
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
(…)
b) přijmout závazné pokyny nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily chování, které porušuje tuto směrnici, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené lhůtě;
(…)
§ 57 odst. 1
(1) Úřad může v případě nesplnění povinnosti odstranit zjištěné nedostatky uložené rozhodnutím Úřadu podle § 56 odst. 1 poskytovateli regulované služby v režimu vyšších povinností, který je držitelem evropského certifikátu kybernetické bezpečnosti podle aktu o kybernetické bezpečnosti nebo jiného certifikátu nebo osvědčení souvisejícího se zajištěním kybernetické bezpečnosti regulované služby, pozastavit tomuto poskytovateli regulované služby platnost evropského certifikátu kybernetické bezpečnosti vydaného Úřadem nebo uložit subjektu posuzování shody povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení, a to až do doby odstranění zjištěných nedostatků, nejméně na 6 měsíců.
32022L2555
Čl. 32 odst. 5 písm. a)
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
a) vydat varování o porušení této směrnice dotčenými subjekty;
32022L2555
Čl. 32 odst. 5 pododstavec druhý
Dočasná pozastavení nebo zákazy uložené podle tohoto odstavce se použijí pouze do okamžiku, než dotčený subjekt přijme opatření nezbytná k nápravě nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato opatření v oblasti vymáhání uplatněna. Uložení takových dočasných pozastavení nebo zákazů podléhá náležitým procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně práva na účinnou právní ochranu a na spravedlivý proces, presumpce neviny a práva na obhajobu.
§ 58 odst. 1
(1) Úřad může členovi statutárního orgánu, který v přímé souvislosti s plněním rozhodnutí Úřadu podle § 56 odst. 1, kterým byla poskytovateli regulované služby v režimu vyšších povinností uložena povinnost odstranit zjištěné nedostatky, opakovaně nebo závažně porušil své povinnosti při výkonu funkce, v důsledku čehož bylo zmařeno řádné splnění rozhodnutí Úřadu, zakázat až do doby odstranění zjištěných nedostatků, nejméně po dobu 6 měsíců, výkon této funkce.
32022L2555
Čl. 32 odst. 5 písm. b)
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
(…)
b) požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátním právem uložily dočasný zákaz výkonu řídicích funkcí v základním subjektu jakékoliv fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu.
32022L2555
Čl. 32 odst. 5 pododstavec druhý
Dočasná pozastavení nebo zákazy uložené podle tohoto odstavce se použijí pouze do okamžiku, než dotčený subjekt přijme opatření nezbytná k nápravě nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato opatření v oblasti vymáhání uplatněna. Uložení takových dočasných pozastavení nebo zákazů podléhá náležitým procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně práva na účinnou právní ochranu a na spravedlivý proces, presumpce neviny a práva na obhajobu.
§ 59 odst. 1 písm. a)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
a)
neohlásí změnu regulované služby podle § 9 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. b)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
b)
neohlásí kontaktní nebo doplňující údaje nebo jejich změnu podle § 11,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. c)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
c)
neurčí za účelem vymezení stanoveného rozsahu všechna primární aktiva podle § 12 odst. 2 písm. a) nebo podpůrná aktiva podle § 12 odst. 2 písm. c), nebo jejich určení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. d)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
d)
neposoudí za účelem vymezení stanoveného rozsahu, zda primární aktiva určená podle § 12 odst. 2 písm. a) souvisí s poskytováním regulované služby nebo toto posouzení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. e)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
e)
neeviduje aktiva podle § 12 odst. 3,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. f)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
f)
nezavede nebo neprovede bezpečnostní opatření podle § 13 odst. 2 nebo § 18 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. g)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
g)
nevybírá svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo nezahrnuje požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem v rozporu s § 13 odst. 5,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. h)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
h)
nepředloží prvotní hlášení o incidentu podle § 16 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 16 odst. 3 nebo nenahlásí kybernetický bezpečnostní incident podle § 18 odst. 2,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. i)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
i)
neposkytne informace nebo součinnost při zvládání incidentu podle § 17 odst. 3,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. j)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
j)
nesplní povinnost nebo zákaz informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovené rozhodnutím podle § 19 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. k)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
k)
neinformuje uživatele regulované služby o významné hrozbě nebo krocích, které může uživatel služby učinit v reakci na ni, podle § 19 odst. 2,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. l)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
l)
nesplní povinnost uloženou rozhodnutím o výstraze podle § 21 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. m)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
m)
nesplní reaktivní protiopatření uložené podle § 23 odst. 1 nebo § 23 odst. 4,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. n)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
n)
neoznámí provedení reaktivního protiopatření nebo jeho výsledek podle § 23 odst. 6, nebo
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 1 písm. o)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
o)
nesplní povinnost uloženou nápravným opatřením podle § 56 odst. 1.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. a)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
a)
neohlásí změnu regulované služby podle § 9 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. b)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
b)
neohlásí kontaktní nebo doplňující údaje nebo jejich změnu podle § 11,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. c)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
c)
neurčí za účelem vymezení stanoveného rozsahu všechna primární aktiva podle § 12 odst. 2 písm. a) nebo podpůrná aktiva podle § 12 odst. 2 písm. c), nebo jejich určení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. d)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
d)
neposoudí za účelem vymezení stanoveného rozsahu, zda primární aktiva určená podle § 12 odst. 2 písm. a) souvisí s poskytováním regulované služby, nebo toto posouzení pravidelně nepřezkoumá nebo neaktualizuje podle § 12 odst. 5,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. e)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
e)
neeviduje aktiva podle § 12 odst. 3,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. f)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
f)
nezavede nebo neprovede bezpečnostní opatření podle § 13 odst. 2 nebo § 18 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. g)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
g)
nevybírá svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo nezahrnuje požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem v rozporu s § 13 odst. 5,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. h)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
h)
nepředloží prvotní hlášení o incidentu podle § 16 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 16 odst. 3 nebo nenahlásí kybernetický bezpečnostní incident podle § 18 odst. 2,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. i)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
i)
neposkytne informace nebo součinnost při zvládání incidentu podle § 17 odst. 3,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. j)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
j)
nesplní povinnost nebo zákaz informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovený rozhodnutím podle § 19 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. k)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
k)
neinformuje uživatele regulované služby o významné hrozbě nebo krocích, které může uživatel služby učinit v reakci na ni, podle § 19 odst. 2,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. l)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
l)
nesplní povinnost uloženou rozhodnutím o výstraze podle § 21 odst. 1,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. m)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
m)
nesplní reaktivní protiopatření uložené podle § 23 odst. 1 nebo § 23 odst. 4,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 2 písm. o)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
o)
nesplní povinnost uloženou nápravným opatřením podle § 56 odst. 1.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 4 písm. a)
(4) Za přestupek lze uložit pokutu do
a)
250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem podle čl. 101 a 102 Smlouvy o fungování Evropské unie, jehož je obviněný součástí, za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 1 písm. a), c) až m) a o), nebo odstavce 3 písm. a), b), f) nebo g),
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
§ 59 odst. 4 písm. b)
(4) Za přestupek lze uložit pokutu do
b)
175 000 000 Kč nebo až do výše 1,4 % čistého celosvětového ročního obratu dosaženého podnikem podle čl. 101 a 102 Smlouvy o fungování Evropské unie, jehož je obviněný součástí, za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 písm. a), c) až m) nebo o),
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 59 odst. 4 písm. c)
(4) Za přestupek lze uložit pokutu do
c)
100 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. b) nebo odstavce 3 písm. c), d) nebo h),
32022L2555
Čl. 34 odst. 1
1. Členské státy zajistí, aby správní pokuty ukládané základním a důležitým subjektům podle tohoto článku za porušení této směrnice byly účinné, přiměřené a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 59 odst. 4 písm. d)
(4) Za přestupek lze uložit pokutu do
d)
50 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. n), odstavce 2 písm. b), nebo odstavce 3 písm. e), nebo
32022L2555
Čl. 34 odst. 1
1. Členské státy zajistí, aby správní pokuty ukládané základním a důležitým subjektům podle tohoto článku za porušení této směrnice byly účinné, přiměřené a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. g)
(1) Přestupku se dopustí ten, kdo
g)
nesplní povinnost uloženou nápravným opatřením podle § 56 odst. 1,
32022L2555
Čl. 34 odst. 1
1. Členské státy zajistí, aby správní pokuty ukládané základním a důležitým subjektům podle tohoto článku za porušení této směrnice byly účinné, přiměřené a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 34 odst. 2
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 1 písm. h)
(1) Přestupku se dopustí ten, kdo
h)
v rozporu s rozhodnutím o zákazu výkonu funkce podle § 58 tuto funkci dále vykonává,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 2
(2) Fyzická osoba se dopustí přestupku tím, že poruší povinnost mlčenlivosti podle § 46 odst. 4.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 3 písm. a)
(3) Osoba poskytující služby registrace doménových jmen se dopustí přestupku tím, že
a)
neohlásí Úřadu údaje podle § 34 odst. 1 nebo jejich změnu podle § 34 odst. 2,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 3 písm. b)
(3) Osoba poskytující služby registrace doménových jmen se dopustí přestupku tím, že
b)
neshromažďuje nebo neuchovává přesné a úplné údaje o registraci doménových jmen ve vyhrazené databázi podle § 35 odst. 1 v souladu s požadavky stanovenými v 35 odst. 2,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 3 písm. c)
(3) Osoba poskytující služby registrace doménových jmen se dopustí přestupku tím, že
c)
nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování, podle § 35 odst. 3,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 3 písm. d)
(3) Osoba poskytující služby registrace doménových jmen se dopustí přestupku tím, že
d)
nezveřejní bez zbytečného odkladu po registraci doménového jména údaje o registraci, které nejsou osobními údaji držitele doménového jména, podle § 35 odst. 5, nebo
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 3 písm. e)
(3) Osoba poskytující služby registrace doménových jmen se dopustí přestupku tím, že
e)
neposkytne přístup ke konkrétním údajům o registraci doménového jména podle § 35 odst. 6.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 4 písm. a)
(4) Osoba spravující a provozující registr domény nejvyšší úrovně se dopustí přestupku tím, že
a)
neshromažďuje nebo neuchovává přesné a úplné údaje o registraci doménových jmen ve vyhrazené databázi podle § 35 odst. 1 v souladu s požadavky stanovenými v § 35 odst. 2,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 4 písm. b)
(4) Osoba spravující a provozující registr domény nejvyšší úrovně se dopustí přestupku tím, že
b)
nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování podle § 35 odst. 3,
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 4 písm. c)
(4) Osoba spravující a provozující registr domény nejvyšší úrovně se dopustí přestupku tím, že
c)
nezveřejní bez zbytečného odkladu po registraci doménového jména údaje o registraci, které nejsou osobními údaji držitele doménového jména, podle § 35 odst. 5, nebo
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 4 písm. d)
(4) Osoba spravující a provozující registr domény nejvyšší úrovně se dopustí přestupku tím, že
d)
neposkytne přístup ke konkrétním údajům o registraci doménového jména podle § 35 odst. 6.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 5
(5) Žadatel o registraci členství v komunitě se dopustí přestupku tím, že v žádosti o registraci podle § 48 odst. 4 uvede nepravdivé nebo zkreslené údaje nebo zamlčí údaje, které mohou být podstatné pro posouzení jeho základní a zvláštní způsobilosti Úřadem.
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 60 odst. 6
(6) Člen komunity se dopustí přestupku tím, že v době trvání členství v komunitě podle § 48 odst. 4 neuvede změnu údajů potřebných pro posouzení jeho základní a zvláštní způsobilosti Úřadem nebo neuvede další skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti.
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 60 odst. 7 písm. c)
(7) Za přestupek lze uložit pokutu do
c)
50 000 000 Kč, jde-li o přestupek podle (…) odstavce 3 nebo odstavce 4,
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 7 písm. d)
(7) Za přestupek lze uložit pokutu do
d)
20 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. h),
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60 odst. 7 písm. e)
(7) Za přestupek lze uložit pokutu do
e)
2 000 000 Kč, jde-li o přestupek podle odstavce 5 nebo 6, nebo
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 60 odst. 7 písm. f)
(7) Za přestupek lze uložit pokutu do
f)
50 000 Kč, jde-li o přestupek podle odstavce 2.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 61 odst. 1 písm. a)
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a)
zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 1 písm. b)
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
b)
padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 1 písm. c)
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
c)
provede činnost posouzení shody podle aktu o kybernetické bezpečnosti na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti,
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 1 písm. d)
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
d)
vydá jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, který nesplňuje kritéria obsažená v přímo použitelném předpise Evropské unie přijatém na základě aktu o kybernetické bezpečnosti,
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 1 písm. e)
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
e)
provede bez autorizace činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie přijatém na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody,
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 1 písm. f)
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
f)
vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti nebo mimo rozsah této akreditace, nebo
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 1 písm. g)
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
g)
nesplní jako subjekt posuzování shody Úřadem uloženou povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení podle § 57 odst. 1.
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 2
(2) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 3 písm. a)
(3) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
a)
vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti,
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 3 písm. b)
(3) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
b)
neuchovává dokumenty nebo informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti,
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 3 písm. c)
(3) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
c)
nepředloží vyhotovení EU prohlášení o shodě Úřadu nebo agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti, nebo
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 3 písm. d)
(3) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
d)
neposkytne informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti.
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 4 písm. a)
(4) Za přestupek lze uložit pokutu do
a)
50 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a) až e),
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 4 písm. b)
(4) Za přestupek lze uložit pokutu do
b)
20 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. f) nebo g) nebo odstavce 3 písm. a), nebo
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 61 odst. 4 písm. c)
(4) Za přestupek lze uložit pokutu do
c)
2 000 000 Kč, jde-li o přestupek podle odstavce 2 nebo odstavce 3 písm. b) až d).
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 62 odst. 1
(1) Přestupky podle tohoto zákona projednává Úřad.
32022L2555
Čl. 31 odst. 1
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
32022L2555
Čl. 31 odst. 4
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 4 písm. i)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
(…)
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 4 písm. h)
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
(…)
h) vedle kteréhokoli z opatření uvedených v písmenech a) až g) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
§ 63 odst. 1
(1) Úřad může podle § 62 správního řádu uložit pořádkovou pokutu až do výše 100 000 Kč. Pořádkovou pokutu lze uložit i opakovaně. Celková výše opakovaně ukládaných pokut nesmí přesáhnout 10 000 000 Kč nebo 1 % z čistého obratu dosaženého právnickou nebo podnikající fyzickou osobou za poslední ukončené účetní období podle toho, která z daných částek je vyšší.
32022L2555
Čl. 32 odst. 1
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 33 odst. 1
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 63 odst. 2
(2) Úřad může za účelem vymáhání splnění povinnosti uložené rozhodnutím Úřadu ukládat donucovací pokuty až do výše 10 000 000 Kč nebo 1 % z čistého obratu dosaženého právnickou nebo podnikající fyzickou osobou za poslední ukončené účetní období podle toho, která z daných částek je vyšší.
32022L2555
Čl. 34 odst. 6
6. Členské státy mohou stanovit pravomoc ukládat penále s cílem přimět základní nebo důležitý subjekt, aby přestal porušovat tuto směrnici podle předchozího rozhodnutí příslušného orgánu.
§ 63 odst. 3
(3) Za přestupek, kterého se poskytovatel regulované služby dopustí tím, že jako kontrolovaná osoba nesplní některou z povinností podle § 10 odst. 2 zákona o kontrole, lze uložit pokutu do výše 10 000 000 Kč.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 64 odst. 1 věta první až čtvrtá
(1) Orgány veřejné moci jsou povinny bez zbytečného odkladu poskytnout Úřadu součinnost potřebnou k výkonu jeho působnosti podle tohoto zákona. Orgány veřejné moci a Úřad při výkonu působnosti podle tohoto zákona vzájemně spolupracují, jsou oprávněny si vyžadovat stanoviska k připravovaným rozhodnutím vydávaným v mezích jejich působnosti a usilují při tom o dosažení shody těchto stanovisek. Orgány veřejné moci a Úřad dále v rozsahu, který je nezbytný pro výkon působnosti orgánů veřejné moci a Úřadu, sdílí informace o hrozbách, zranitelnostech a incidentech a o opatřeních přijatých v reakci na tyto hrozby, zranitelnosti a incidenty. Ustanovení § 46 odst. 2 a 3 tím nejsou dotčena.
32022L2555
Čl. 13 odst. 4
4. S cílem zajistit účinné plnění úkolů a povinností příslušných orgánů, jednotných kontaktních míst a týmů CSIRT zajistí členské státy v co největší možné míře vhodnou spolupráci mezi těmito subjekty a donucovacími orgány, orgány pro ochranu osobních údajů, vnitrostátními orgány podle nařízení (ES) č. 300/2008 a (EU) 2018/1139, orgány dohledu podle nařízení (EU) č. 910/2014, příslušnými orgány podle nařízení (EU) 2022/2554, vnitrostátními regulačními orgány podle směrnice (EU) 2018/1972, příslušnými orgány podle směrnice (EU) 2022/2557, a příslušnými orgány podle dalších odvětvových právních aktů Unie v daném členském státě.
32022L2555
Čl. 13 odst. 5
5. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle směrnice (EU) 2022/2557spolupracovaly a pravidelně si vyměňovaly informace o určení kritických subjektů, o rizicích, kybernetických hrozbách a incidentech, jakož i o jiných než kybernetických rizicích, hrozbách a incidentech postihujících základní subjekty určené jakožto kritické podle směrnice (EU) 2022/2557, jakož i o opatřeních přijatých v reakci na tato rizika, hrozby a incidenty. Členské státy rovněž zajistí, aby si jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle nařízení (EU) č. 910/2014, nařízení (EU) 2022/2554a směrnice (EU) 2018/1972 pravidelně vyměňovaly relevantní informace, včetně informací o příslušných incidentech a kybernetických hrozbách.
32022L2555
Čl. 23 odst. 6
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
32022L2555
Čl. 23 odst. 8
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
32022L2555
Čl. 23 odst. 10
10. Týmy CSIRT nebo případně příslušné orgány poskytnou příslušným orgánům podle směrnice (EU) 2022/2557 informace o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30 subjekty určenými jakožto kritické subjekty podle směrnice (EU) 2022/2557.
32022L2555
Čl. 30 odst. 2
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
32022L2555
Čl. 32 odst. 9
9. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice informovaly relevantní příslušné orgány ve stejném členském státě podle směrnice (EU) 2022/2557, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby subjekt určený jakožto kritický subjekt podle směrnice (EU) 2022/2557 dodržoval tuto směrnici. Příslušné orgány podle směrnice (EU) 2022/2557 mohou případně požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557.
32022L2555
Čl. 32 odst. 10
10. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby základní subjekt, který je označen jakožto kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici.
32022L2555
Čl. 33 odst. 6
6. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby důležitý subjekt, který je označen jakožto kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici.
§ 64 odst. 5
(5) Úřad a Úřad pro ochranu osobních údajů jsou vzájemně oprávněny požadovat informace a vyžadovat spolupráci za účelem zamezení dvojího trestání porušení téže povinnosti uložené jak tímto zákonem, tak právními předpisy upravujícími ochranu osobních údajů. Ukládání jiných sankcí podle tohoto zákona tím není dotčeno.
32022L2555
Čl. 31 odst. 3
3. Při řešení incidentů, v jejichž důsledku došlo k porušení zabezpečení osobních údajů, příslušné orgány úzce spolupracují s dozorovými úřady podle nařízení (EU) 2016/679, aniž jsou dotčeny pravomoci a úkoly dozorových úřadů podle uvedeného nařízení.
32022L2555
Čl. 35
1. Pokud příslušné orgány v průběhu dohledu nebo vymáhání zjistí, že porušení povinností stanovených v článcích 21 a 23 této směrnice základním nebo důležitým subjektem může obnášet porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 nařízení (EU) 2016/679, které má být oznámeno podle článku 33 uvedeného nařízení, uvědomí bez zbytečného odkladu dozorové úřady podle článku 55 nebo 56 uvedeného nařízení.
2. Pokud dozorové úřady podle článku 55 nebo 56 nařízení (EU) 2016/679 uloží správní pokutu podle čl. 58 odst. 2 písm. i) uvedeného nařízení, příslušné orgány nesmí uložit správní pokutu podle článku 34 této směrnice za porušení uvedené v odstavci 1 tohoto článku za stejné porušení, za něž byla uložena správní pokuta podle čl. 58 odst. 2 písm. i) nařízení (EU) 2016/679. Příslušné orgány však mohou uložit opatření v oblasti vymáhání stanovené v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g) této směrnice.
3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, informuje příslušný orgán dozorový úřad se sídlem ve stejném členském státě o možném porušení zabezpečení údajů podle odstavce 1.
§ 65 odst. 1 písm. a)
(1) Úřad za účelem plnění informační povinnosti
a)
každé 2 roky informuje Evropskou komisi a Skupinu pro spolupráci o počtech poskytovatelů regulovaných služeb splňujících podmínky pro registraci regulované služby podle § 4 odst. 1 v jednotlivých odvětvích,
32022L2555
Čl. 3 odst. 5
5. Příslušné orgány do 17. dubna 2025 a poté každé 2 roky oznámí:
a) Komisi a skupině pro spolupráci počet základních a důležitých subjektů uvedených na seznamu podle odstavce 3 v každém odvětví a pododvětví uvedeném v příloze I nebo II a
b) Komisi příslušné informace o počtu základních a důležitých subjektů, které jsou za takové označeny podle čl. 2 odst. 2 písm. b) až e), informace o odvětví a pododvětví uvedených v příloze I nebo II, do nichž subjekty patří, o druhu služeb, které poskytují, a o tom, podle kterého z ustanovení uvedených v čl. 2 odst. 2 písm. b) až e) byly označeny za základní či důležité.
32022L2555
Čl. 3 odst. 6
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
§ 65 odst. 1 písm. b)
(1) Úřad za účelem plnění informační povinnosti
b)
každé 2 roky informuje Evropskou komisi o počtech poskytovatelů regulovaných služeb splňujících podmínky pro registraci regulované služby podle § 5 odst. 1 v jednotlivých odvětvích, službách, které poskytují, a podmínkách, pro která byly stanoveny,
32022L2555
Čl. 3 odst. 6
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
§ 65 odst. 1 písm. c)
(1) Úřad za účelem plnění informační povinnosti
c)
každé 3 měsíce předkládá Agentuře Evropské unie pro kybernetickou bezpečnost souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o kybernetických bezpečnostních incidentech, hrozbách a významných kybernetických bezpečnostních událostech oznámených podle § 15,
32022L2555
Čl. 23 odst. 9
9. Jednotné kontaktní místo předkládá každé tři měsíce agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA přijmout technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny. Agentura ENISA informuje skupinu pro spolupráci a síť CSIRT o svých zjištěních v souvislosti s přijatými oznámeními každých šest měsíců.
§ 65 odst. 1 písm. d)
(1) Úřad za účelem plnění informační povinnosti
d)
poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost identifikační údaje o osobách poskytujících služby registrace doménových jmen a poskytovatelích regulovaných služeb uvedených v § 54 odst. 3, kteří mají hlavní provozovnu na území České republiky nebo kteří mají na území České republiky ustanoveného svého zástupce,
32022L2555
Čl. 27
1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho 1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.
§ 65 odst. 1 písm. e)
(1) Úřad za účelem plnění informační povinnosti
e)
poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost informace ke koordinovanému zveřejňování zranitelností,
32022L2555
Čl. 12 odst. 2
2. Agentura ENISA po konzultaci se skupinou pro spolupráci vytvoří a spravuje Evropskou databázi zranitelností. Za tímto účelem agentura ENISA zřídí a spravuje informační systémy, politiky a postupy a přijme technická a organizační opatření nezbytná k zajištění bezpečnosti a integrity Evropské databáze zranitelností s cílem zejména umožnit subjektům bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, a jejich dodavatelům sítí a informačních systémů dobrovolně oznamovat a registrovat veřejně známé zranitelnosti v produktech IKT nebo službách IKT. Přístup k informacím o zranitelnostech uvedeným v Evropské databázi zranitelností je poskytnut všem zúčastněným stranám. V této databázi jsou uvedeny:
a) informace popisující zranitelnost;
b) zasažené produkty IKT nebo služby IKT, závažnost této zranitelnosti z hlediska okolností, za nichž může být využita;
c) dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny poskytnuté příslušnými orgány nebo týmy CSIRT a určené uživatelům zranitelných produktů IKT a služeb IKT ohledně toho, jak mohou být rizika vyplývající ze zveřejněných zranitelností zmírněna.
§ 65 odst. 1 písm. f)
(1) Úřad za účelem plnění informační povinnosti
f)
informuje Evropskou komisi o přijetí národní strategie kybernetické bezpečnosti a v rozsahu, ve kterém nebudou ohroženy bezpečnostní zájmy České republiky, o obsahu strategie,
32022L2555
Čl. 7 odst. 3
3. Členské státy oznámí své národní strategie kybernetické bezpečnosti Komisi do tří měsíců od jejich přijetí. Členské státy mohou z těchto oznámení vyloučit informace, které se týkají jejich národní bezpečnosti.
§ 65 odst. 1 písm. g)
(1) Úřad za účelem plnění informační povinnosti
g)
poskytuje Evropské komisi identifikační údaje orgánu odpovědného za dozor v oblasti kybernetické bezpečnosti, jednotného kontaktního místa pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie, orgánu pro řešení kybernetických krizí, týmu CSIRT a koordinátora určeného pro účely koordinovaného zveřejňování zranitelností a
32022L2555
Čl. 8 odst. 6
6. Každý členský stát Komisi oznámí bez zbytečného odkladu, o jaký příslušný orgán určený podle odstavce 1 a jaké jednotné kontaktní místo určené podle odstavce 3 se jedná, oznámí úkoly těchto orgánů a jakékoli následné změny, které se jich týkají. Každý členský stát zveřejní, o jaký příslušný orgán se jedná. Komise zveřejní seznam jednotných kontaktních míst.
32022L2555
Čl. 9 odst. 5
5. Do tří měsíců od určení nebo zřízení orgánu pro řešení kybernetických krizí podle odstavce 1 oznámí každý členský stát Komisi, o jaký orgán se jedná, a veškeré následné změny, které se ho týkají. Členské státy předloží Komisi a Evropské síti styčných organizací pro řešení kybernetických krizí (dále jen „EU-CyCLONe“) příslušné informace o požadavcích stanovených v odstavci 4, totiž o svých národních plánech reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, do tří měsíců od přijetí těchto plánů. Členské státy mohou vyloučit informace, pokud je takové vyloučení nezbytné pro jejich národní bezpečnost.
32022L2555
Čl. 10 odst. 9
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
§ 65 odst. 1 písm. h)
(1) Úřad za účelem plnění informační povinnosti
h)
poskytuje Evropské komisi a Agentuře Evropské unie pro kybernetickou bezpečnost další informace a nezbytnou součinnost.
32022L2555
Čl. 3 odst. 6
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
32022L2555
Čl. 9 odst. 5
5. Do tří měsíců od určení nebo zřízení orgánu pro řešení kybernetických krizí podle odstavce 1 oznámí každý členský stát Komisi, o jaký orgán se jedná, a veškeré následné změny, které se ho týkají. Členské státy předloží Komisi a Evropské síti styčných organizací pro řešení kybernetických krizí (dále jen „EU-CyCLONe“) příslušné informace o požadavcích stanovených v odstavci 4, totiž o svých národních plánech reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, do tří měsíců od přijetí těchto plánů. Členské státy mohou vyloučit informace, pokud je takové vyloučení nezbytné pro jejich národní bezpečnost.
32022L2555
Čl. 23 odst. 6
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
32022L2555
Čl. 27 odst. 4
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
§ 65 odst. 2
(2) Úřad za účelem plnění informační povinnosti podle odstavce 1 neposkytuje informace, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států Evropské unie nebo smluvních států Dohody o Evropském hospodářském prostoru v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany. Informace, které jsou důvěrné podle unijních nebo vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Evropskou komisí a jinými příslušnými orgány Evropské unie pouze v nezbytném rozsahu s ohledem na účel této výměny. Při výměně informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy toho, jehož se výměna informací týká.
32022L2555
Čl. 2 odst. 11
11. Povinnosti stanovené v této směrnici nezahrnují poskytování informací, jejichž zpřístupnění by bylo v rozporu se zásadními zájmy členských států v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
32022L2555
Čl. 2 odst. 13
13. Aniž je dotčen článek 346 Smlouvy o fungování EU, informace, které jsou důvěrné podle unijních či vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Komisí a jinými příslušnými orgány v souladu s touto směrnicí pouze v případě, že je tato výměna nutná pro účely této směrnice. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy dotčených subjektů.
§ 67 odst. 1
(1) Osoba poskytující služby registrace doménových jmen a poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu doménových jmen, služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště9), služby internetového vyhledávače podle přímo použitelného předpisu Evropské unie10), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, který poskytuje tuto službu v České republice, nemá umístěnu hlavní provozovnu ve členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru a neustanovil si svého zástupce v jiném členském státě, je povinen ustanovit si svého zástupce v České republice. Zástupcem je osoba usazená v České republice, které osoba poskytující služby registrace doménových jmen nebo poskytovatel některé z uvedených regulovaných služeb udělili zmocnění zastupovat je ve vztahu k povinnostem podle tohoto zákona.
9) Zákon č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů.
10) Čl. 2 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb.
32022L2555
Čl. 6 odst. 34
Pro účely této směrnice se rozumí:
34) „zástupcem“ fyzická či právnická osoba usazená v Unii, výslovně pověřená, aby jednala jménem provozovatele DNS, registru domén nejvyšší úrovně, subjektu poskytujícího služby registrace jmen domén, poskytovatele služby cloud computingu, poskytovatele služeb datového centra, poskytovatele sítě pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, nebo poskytovatele on-line tržiště, internetového vyhledávače nebo služeb platforem sociálních sítí, který není usazen v Unii, přičemž vnitrostátní příslušný orgán nebo tým CSIRT může se zástupcem jednat namísto subjektu, pokud jde o povinnosti tohoto subjektu vyplývající z této směrnice;
32022L2555
Čl. 26 odst. 3
3. Jestliže subjekt uvedený v odst. 1 písm. b) není v Unii usazen, ale nabízí v Unii služby, určí svého zástupce v Unii. Tento zástupce musí být usazen v jednom z členských států, v němž jsou služby nabízeny. Má se za to, že tento subjekt podléhá pravomoci členského státu místa usazení zástupce. Neexistuje-li zástupce v Unii určený podle tohoto odstavce, může právní kroky proti subjektu za porušení této směrnice podniknout kterýkoli členský stát, v němž tento subjekt poskytuje služby.
§ 67 odst. 2
(2) V případě, že osoba poskytující služby registrace doménových jmen nebo poskytovatel některé z regulovaných služeb uvedených v odstavci 1 mají hlavní provozovnu mimo členský stát Evropské unie nebo smluvní stát Dohody o Evropském hospodářském prostoru a ustanovili si svého zástupce v České republice, platí, že jsou usazeni v České republice a vztahují se na ně povinnosti podle tohoto zákona. To platí i v případě, že osoba poskytující služby registrace doménových jmen nebo poskytovatel některé z regulovaných služeb podle odstavce 1 mají hlavní provozovnu mimo členský stát Evropské unie nebo smluvní stát Dohody o Evropském hospodářském prostoru a neustanovili si svého zástupce v žádném členském státě Evropské unie nebo smluvním státě Dohody o Evropském hospodářském prostoru.
32022L2555
Čl. 6 odst. 34
Pro účely této směrnice se rozumí:
34) „zástupcem“ fyzická či právnická osoba usazená v Unii, výslovně pověřená, aby jednala jménem provozovatele DNS, registru domén nejvyšší úrovně, subjektu poskytujícího služby registrace jmen domén, poskytovatele služby cloud computingu, poskytovatele služeb datového centra, poskytovatele sítě pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, nebo poskytovatele on-line tržiště, internetového vyhledávače nebo služeb platforem sociálních sítí, který není usazen v Unii, přičemž vnitrostátní příslušný orgán nebo tým CSIRT může se zástupcem jednat namísto subjektu, pokud jde o povinnosti tohoto subjektu vyplývající z této směrnice;
32022L2555
Čl. 26 odst. 3
3. Jestliže subjekt uvedený v odst. 1 písm. b) není v Unii usazen, ale nabízí v Unii služby, určí svého zástupce v Unii. Tento zástupce musí být usazen v jednom z členských států, v němž jsou služby nabízeny. Má se za to, že tento subjekt podléhá pravomoci členského státu místa usazení zástupce. Neexistuje-li zástupce v Unii určený podle tohoto odstavce, může právní kroky proti subjektu za porušení této směrnice podniknout kterýkoli členský stát, v němž tento subjekt poskytuje služby.
§ 67 odst. 3
(3) Ustanovením zástupce není dotčena odpovědnost osoby poskytující služby registrace doménových jmen nebo poskytovatele regulované služby podle odstavce 1 za dodržování tohoto zákona.
32022L2555
Čl. 26 odst. 4
4. Tím, že subjekt uvedený v odst. 1 písm. b) určí svého zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti subjektu samotnému.
§ 69
(1) Zpravodajské služby27) nejsou poskytovateli regulované služby.
(2) Zpravodajské služby
a)
hlásí kontaktní údaje a jejich změny Úřadu,
b)
přiměřeně zavádí bezpečnostní opatření podle § 13 a 14 odst. 1 tohoto zákona a
c)
přiměřeně zohlední varování podle § 22, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3) Ustanovení § 17 odst. 3, § 39 a § 55 až 63 se na zpravodajské služby nepoužijí.
(4) Ustanovení § 28 odst. 2 a § 64 odst. 1 se v případě zpravodajských služeb použije, pokud plnění těchto povinností nebrání zvláštní právní předpis28) nebo zákonná nebo státem uznaná povinnost mlčenlivosti. Předávání informací zpravodajskými službami se vždy řídí zákonem o zpravodajských službách.29) Vojenské zpravodajství může informace předávat také způsobem stanoveným v zákoně o Vojenském zpravodajství.30)
27) § 3 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
28) Například zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
29) § 8 odst. 3 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
30) § 16b odst. 1 nebo § 16f odst. 2 zákona č. 289/2005, o Vojenském zpravodajství, ve znění pozdějších předpisů.
32022L2555
Čl. 2 odst. 7
7. Tato směrnice se nevztahuje na subjekty veřejné správy, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů.
§ 70
(1) Pokud přímo použitelný předpis Evropské unie nebo jiný právní předpis, který zapracovává příslušný předpis Evropské unie, stanoví povinnosti v oblasti zavádění a provádění bezpečnostních opatření nebo hlášení kybernetických bezpečnostních incidentů a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavádět a provádět bezpečnostní opatření a hlásit kybernetické bezpečnostní incidenty se neuplatní, a to včetně ustanovení o dozoru nad dodržováním uvedených povinností.
(2) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se považují taková ustanovení přímo použitelného předpisu Evropské unie nebo jiného právního předpisu, který zapracovává příslušný předpis Evropské unie, která
a)
ve vztahu k povinnosti zavádět a provádět bezpečnostní opatření odpovídají alespoň požadavkům stanoveným v § 13 a 14, nebo
b)
ve vztahu k povinnosti hlásit kybernetické bezpečnostní incidenty odpovídají alespoň požadavkům stanoveným § 15 a 16.
(3) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně podle odstavce 1 se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný předpis Evropské unie sám stanoví.
32022L2555
Čl. 2 odst. 10
10. Tato směrnice se nevztahuje na subjekty, které členské státy vyňaly z oblasti působnosti nařízení (EU) 2022/2554 v souladu s čl. 2 odst. 4 uvedeného nařízení.
32022L2555
Čl. 4
1. Pokud ustanovení odvětvových právních aktů Unie vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik nebo aby oznamovaly významné incidenty, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání v kapitole VII, se na takové subjekty nepoužijí. Pokud se odvětvové právní akty Unie nevztahují na všechny subjekty v konkrétním odvětví, jež náleží do oblasti působnosti této směrnice, použijí se nadále na subjekty, na něž se uvedené odvětvové právní akty Unie nevztahují, příslušná ustanovení této směrnice.
2. Účinek požadavků uvedených v odstavci 1 tohoto článku se považuje za rovnocenný účinku povinností stanovených v této směrnici, pokud:
a) účinek opatření k řízení kybernetických bezpečnostních rizik je přinejmenším rovnocenný účinku opatření stanovených v čl. 21 odst. 1 a 2; nebo
b) odvětvový právní akt Unie stanoví okamžitý, případně automatický a přímý přístup k oznámením o incidentech, která podle této směrnice vydávají týmy CSIRT, příslušné orgány nebo jednotná kontaktní místa, a účinky požadavků na oznamování významných incidentů jsou přinejmenším rovnocenné účinkům požadavků stanovených v čl. 23 odst. 1 až 6 této směrnice.
3. Komise poskytne do 17. července 2023 pokyny objasňující uplatňování odstavců 1 a 2. Komise provádí pravidelný přezkum těchto pokynů. Při přípravě těchto pokynů zohlední Komise veškeré postřehy skupiny pro spolupráci a agentury ENISA.
§ 73
Tento zákon nabývá účinnosti dnem 18. října 2024.
32022L2555
Čl. 41 odst. 1
1. Členské státy do 17. října 2024 přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Použijí tato opatření ode dne 18. října 2024.
Číslo předpisu EU (kód celex)
Název předpisu EU
32022L2555
Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)
32019R0881
Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“)
32011D1104
Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
32021R0887
Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.
32021R0696
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU.
32023R0588
Nařízení Evropského parlamentu a Rady (EU) 2023/588 ze dne 15. března 2023, kterým se zavádí Program Unie pro bezpečnou konektivitu na období 2023–2027
Stránka 2 (celkem 2)