Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSFKU7S najdete zde
"[Klepněte sem a vložte římské číslo dle čísla na obálce
VII.
ROZDÍLOVÁ TABULKA NÁVRHU PRÁVNÍHO PŘEDPISU S PŘEDPISY EU
Návrh zákona o kybernetické bezpečnosti
Ustanovení
Obsah
CELEX č.
Ustanovení
Obsah
§ 1 odst. 1
(1) Tento zákon upravuje práva a povinnosti orgánů a osob a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad“) a dalších orgánů veřejné moci v oblasti kybernetické bezpečnosti.
32022L2555
Čl. 1 odst. 2
2. Za tímto účelem tato směrnice stanoví:
a) povinnosti, jež vyžadují, aby členské státy přijaly národní strategie kybernetické bezpečnosti, určily nebo zřídily příslušné orgány, orgány pro řešení kybernetických krizí, jednotná kontaktní místa pro kybernetickou bezpečnost (dále jen „jednotná kontaktní místa“) a týmy pro reakce na počítačové bezpečnostní incidenty (dále jen „týmy CSIRT“);
b) opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti pro subjekty, jejichž druhy jsou uvedeny v příloze I nebo II, jakož i pro subjekty, jež jsou určeny jakožto kritické subjekty podle směrnice (EU) 2022/ 2022/2557;
c) pravidla a povinnosti týkající se sdílení informací o kybernetické bezpečnosti;
d) povinnosti členských států v oblasti dohledu a vymáhání.
§ 1 odst. 2
(2) Tento zákon zapracovává příslušný předpis Evropské unie1), zároveň navazuje na přímo použitelné předpisy Evropské unie2) a upravuje zajišťování kybernetické bezpečnosti v České republice.
_____
1) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).
2) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).
Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU.
Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
32022L2555
Čl. 41 odst. 1 a 2
1. Členské státy do 17. října 2024 přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Použijí tato opatření ode dne 18. října 2024.
2. Opatření uvedená v odst. 1 přijatá členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový
odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.
32019R0881
Čl. 60
1. Toto nařízení vstupuje v platnost
dvacátým dnem po vyhlášení v Úředním
věstníku Evropské unie.
2. Články 58, 60, 61, 63, 64 a 65 se použijí
od 28. června 2021.
32011D1104
Čl. 16
1. Toto rozhodnutí vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie.
2. Členské státy použijí článek 5 nejpozději 6. listopadu 2013.
32021R0887
Čl. 48
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 20. května 2021.
32021R0696
Čl. 111
Toto nařízení vstupuje v platnost dnem vyhlášení v Úředním věstníku Evropské unie.
Použije se ode dne 1. ledna 2021.
§ 2 odst. 2 písm. c)
(2) Pro účely tohoto zákona se dále rozumí
c) kybernetickou hrozbou jakákoliv potenciální okolnost, událost nebo jednání, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit aktiva, jejich uživatele nebo další osoby, a tím způsobit kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident,
32022L2555
Čl. 6 odst. 10
Pro účely této směrnice se rozumí:
10. „kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881;
§ 2 odst. 2 písm. d)
d) významnou kybernetickou hrozbou kybernetická hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál závažně ovlivnit aktiva poskytovatele regulované služby nebo uživatelů regulovaných služeb natolik, že způsobí značnou majetkovou nebo nemajetkovou újmu,
32022L2555
Čl. 6 odst. 11
Pro účely této směrnice se rozumí:
11. „významnou kybernetickou hrozbou“ kybernetická hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál vážně ovlivnit sítě a informační systémy určitého subjektu nebo uživatelů služeb takového subjektu tím, že způsobí značnou hmotnou nebo nehmotnou újmu.
§ 2 odst. 2 písm. g)
g) zvládáním kybernetického bezpečnostního incidentu úkony vedoucí k zajištění prevence, detekce, analýzy, omezení dopadů incidentu, reakce na incident a následného zotavení,
32022L2555
Čl. 6 odst. 8
8. „řešením incidentu“ jakékoli akce a postupy, jejichž cílem je incidentu předejít, odhalit jej, analyzovat, zamezit jeho šíření nebo na něj reagovat a zotavit se z něj;
§ 4 odst. 2
(2) Prováděcí právní předpis stanoví kritéria pro identifikaci regulované služby v těchto odvětvích
a) veřejná správa,
b) energetika,
c) výrobní průmysl,
d) potravinářský průmysl,
e) chemický průmysl,
f) vodní hospodářství,
g) odpadové hospodářství,
h) doprava,
i) digitální infrastruktura a služby,
j) finanční trh,
k) zdravotnictví,
l) věda, výzkum a vzdělávání,
m) poštovní a kurýrní služby,
n) vojenský průmysl,
o) vesmírný průmysl.
32022L2555
Čl. 2 odst. 1
1. Tato směrnice se vztahuje na veřejné a soukromé subjekty, jejichž druhy jsou uvedeny v příloze I nebo II a které jsou považovány podle článku 2 přílohy doporučení 2003/361/ES za střední podniky, nebo které překračují stropy pro střední
podniky stanovené v odstavci 1 uvedeného článku a které poskytují služby nebo vykonávají činnosti v rámci Unie. Ustanovení čl. 3 odst. 4 přílohy uvedeného doporučení se pro účely této směrnice nepoužije
32022L2555
Čl. 2 odst. 2
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
a) služby jsou poskytovány:
i) poskytovateli veřejné sítě elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací;
ii) poskytovateli služeb vytvářejících důvěru;
iii) registry domén nejvyšší úrovně a provozovateli DNS;
b) subjekt je v některém členském státě výhradním poskytovatelem služeb, jež mají zásadní význam pro zachování
kritických společenských nebo hospodářských činností;
c) narušení služby poskytované tímto subjektem by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost
nebo ochranu zdraví;
d) narušení služby poskytované tímto subjektem by mohlo vyvolat významná systémová rizika, zejména pro ta odvětví,
kde by takové narušení mohlo mít přeshraniční dopad;
e) subjekt je kritický vzhledem ke svému specifickému významu na vnitrostátní nebo regionální úrovni pro konkrétní
odvětví nebo druh služby nebo pro jiná vzájemně závislá odvětví v členském státě;
f) subjekt je subjektem veřejné správy:
i) ústřední vlády, jak je vymezena členským státem podle vnitrostátního práva; nebo
ii) na regionální úrovni, jak je vymezena členským státem podle vnitrostátního práva, a na základě posouzení rizik poskytuje služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti.
32022L2555
Čl. 2 odst. 5 písm. a) a b)
5. Členské státy mohou stanovit, že se tato směrnice vztahuje na: a) subjekty veřejné správy na místní úrovni;
b) vzdělávací instituce, zejména pokud vykonávají kritické výzkumné činnosti.
§ 5 písm. a) bod 1
Regulovanou službou je dále služba stanovená u orgánu nebo osoby rozhodnutím Úřadu v případě, že
a) jde o službu uvedenou v prováděcím právním předpise stanovujícím kritéria pro identifikaci regulovaných služeb a
1. orgán nebo osoba je jediným poskytovatelem této služby v České republice a tato služba je zásadní pro zachování nezbytných společenských nebo ekonomických činností ve státě,
32022L2555
Čl. 2 odst. 2 písm. b)
2. Bez ohledu na jejich velikost se tato směrnice vztahuje také na subjekty, jejichž druh je uveden v příloze I nebo II, pro něž platí, že:
(…)
b) subjekt je v některém členském státě výhradním poskytovatelem služeb, jež mají zásadní význam pro zachování kritických společenských nebo hospodářských činností;
§ 5 písm. a) bod 2
Regulovanou službou je dále služba stanovená u orgánu nebo osoby rozhodnutím Úřadu v případě, že
a) jde o službu uvedenou v prováděcím právním předpise stanovujícím kritéria pro identifikaci regulovaných služeb a
2. narušení této služby by mohlo mít významný dopad na veřejnou bezpečnost nebo veřejné zdraví,
32022L2555
Čl. 2 odst. 2 písm. c)
c) narušení služby poskytované tímto subjektem by mohlo mít významný dopad na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;
§ 5 písm. a) bod 3
Regulovanou službou je dále služba stanovená u orgánu nebo osoby rozhodnutím Úřadu v případě, že
a) jde o službu uvedenou v prováděcím právním předpise stanovujícím kritéria pro identifikaci regulovaných služeb a
3. narušení této služby by mohlo vyvolat významná systémová rizika, zejména v odvětvích, kde by takové narušení mohlo mít přeshraniční dopad, nebo
32022L2555
Čl. 2 odst. 2 písm. d)
d) narušení služby poskytované tímto subjektem by mohlo vyvolat významná systémová rizika, zejména pro ta odvětví, kde by takové narušení mohlo mít přeshraniční dopad;
§ 5 písm. a) bod 4
Regulovanou službou je dále služba stanovená u orgánu nebo osoby rozhodnutím Úřadu v případě, že
a) jde o službu uvedenou v prováděcím právním předpise stanovujícím kritéria pro identifikaci regulovaných služeb a
4. orgán nebo osoba je kvůli svému specifickému významu na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví nebo typ služby nebo pro jiná vzájemně propojená odvětví v České republice,
32022L2555
Čl. 2 odst. 2 písm. e)
e) subjekt je kritický vzhledem ke svému specifickému významu na vnitrostátní nebo regionální úrovni pro konkrétní odvětví nebo druh služby nebo pro jiná vzájemně závislá odvětví v členském státě;
§ 5 písm. b)
Regulovanou službou je dále služba stanovená u orgánu nebo osoby rozhodnutím Úřadu v případě, že
b) její narušení může způsobit závažný zásah do života postihující více než 125 000 osob, a to prostřednictvím ohrožení života, zdraví, majetkové hodnoty, vnitřního či veřejného pořádku, bezpečnosti nebo životního prostředí,
32022L2555
Čl. 2 odst. 6
6. Touto směrnicí není dotčena odpovědnost členských států za ochranu národní bezpečnosti ani jejich pravomoc chránit jiné základní funkce státu, včetně zajišťování územní celistvosti státu a zachování veřejného pořádku
§ 5 písm. d)
Regulovanou službou je dále služba stanovená u orgánu nebo osoby rozhodnutím Úřadu v případě, že
d) orgán nebo osoba je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a krizovou infrastrukturu; v takovém případě je regulovanou službou služba odpovídající prvku kritické infrastruktury určenému u tohoto subjektu.
32022L2555
Čl. 2 odst. 3
3. Bez ohledu na jejich velikost se tato směrnice použije na subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557.
§ 6
(1) Režim poskytovatele regulované služby stanovuje míru povinností uložených poskytovateli regulované služby podle tohoto zákona.
(2) Režim poskytovatele regulované služby je
a) režim vyšších povinností, nebo
b) režim nižších povinností.
(3) Režim poskytovatele regulované služby je stanoven prováděcím právním předpisem. Je-li orgán nebo osoba poskytující regulovanou službu určen rozhodnutím Úřadu podle § 5, je vždy poskytovatelem regulované služby v režimu vyšších povinností.
32022L2555
Čl. 3
1. Pro účely této směrnice se za základní subjekty považují:
a) subjekty, jejichž druh je uveden v příloze I, které překračují stropy pro střední podniky stanovené v čl. 2 odst. 1 přílohy doporučení 2003/361/ES;
b) kvalifikovaní poskytovatelé služeb vytvářejících důvěru, registry domén nejvyšší úrovně a provozovatelé DNS bez ohledu na jejich velikost;
c) poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací,
kteří jsou považováni za střední podniky podle článku 2 přílohy doporučení 2003/361/ES;
d) subjekty veřejné správy podle čl. 2 odst. 2 písm. f) bodu i);
e) jakékoli jiné subjekty druhu, který je uveden v příloze I nebo II, jež členský stát označí za základní subjekty podle čl. 2 odst. 2 písm. b) až e);
f) subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557, jež jsou uvedeny v čl. 2 odst. 3 této směrnice;
g) pokud tak členský stát stanoví, subjekty, které tento členský stát označil před 16. lednem 2023 za provozovatele základních služeb v souladu se směrnicí (EU) 2016/1148 nebo s vnitrostátním právem.
2. Pro účely této směrnice se za důležité subjekty považují subjekty druhu uvedeného v příloze I nebo II, které nelze považovat za základní subjekty podle odstavce 1 tohoto článku. Patří k nim i subjekty, jež členské státy označily za důležité podle čl. 2 odst. 2 písm. b) až e).
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném
odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice. Subjekty uvedené v odstavci 3 oznámí všechny změny údajů, které předložily podle prvního pododstavce tohoto odstavce,
a to neprodleně, nejpozději však do dvou týdnů od data změny. Komise za pomoci Agentury Evropské unie pro kybernetickou bezpečnost (dále jen „ENISA“) bez zbytečného odkladu
poskytne pokyny a šablony týkající se povinností stanovených v tomto odstavci.
Členské státy mohou zřídit vnitrostátní mechanismy, jejichž pomocí by se subjekty mohly registrovat samy.
5. Příslušné orgány do 17. dubna 2025 a poté každé 2 roky oznámí:
a) Komisi a skupině pro spolupráci počet základních a důležitých subjektů uvedených na seznamu podle odstavce 3 v každém odvětví a pododvětví uvedeném v příloze I nebo II a
b) Komisi příslušné informace o počtu základních a důležitých subjektů, které jsou za takové označeny podle čl. 2 odst. 2 písm. b) až e), informace o odvětví a pododvětví uvedených v příloze I nebo II, do nichž subjekty patří, o druhu služeb,
které poskytují, a o tom, podle kterého z ustanovení uvedených v čl. 2 odst. 2 písm. b) až e) byly označeny za základní či důležité.
6. Do 17. dubna 2025 a na žádost Komise mohou členské státy oznámit Komisi názvy základních a důležitých subjektů uvedených v odst. 5 písm. b).
§ 7
(1) Každý poskytovatel regulované služby má pro všechny poskytované regulované služby stanoven jen jeden režim poskytovatele regulované služby.
(2) Platí, že poskytovatel regulované služby, kterému je stanoven režim vyšších povinností pro alespoň jednu jím poskytovanou regulovanou službu, má stanoven režim vyšších povinností a plní povinnosti plynoucí z tohoto zákona v režimu vyšších povinností vůči všem regulovaným službám, které poskytuje.
32022L2555
Čl. 3 odst. 1 a 2
1. Pro účely této směrnice se za základní subjekty považují:
a) subjekty, jejichž druh je uveden v příloze I, které překračují stropy pro střední podniky stanovené v čl. 2 odst. 1 přílohy doporučení 2003/361/ES;
b) kvalifikovaní poskytovatelé služeb vytvářejících důvěru, registry domén nejvyšší úrovně a provozovatelé DNS bez ohledu na jejich velikost; c) poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací, kteří jsou považováni za střední podniky podle článku 2 přílohy doporučení 2003/361/ES;
d) subjekty veřejné správy podle čl. 2 odst. 2 písm. f) bodu i);
e) jakékoli jiné subjekty druhu, který je uveden v příloze I nebo II, jež členský stát označí za základní subjekty podle čl. 2 odst. 2 písm. b) až e);
f) subjekty určené jakožto kritické subjekty podle směrnice (EU) 2022/2557, jež jsou uvedeny v čl. 2 odst. 3 této směrnice;
g) pokud tak členský stát stanoví, subjekty, které tento členský stát označil před 16. lednem 2023 za provozovatele základních služeb v souladu se směrnicí (EU) 2016/1148 nebo s vnitrostátním právem.
2. Pro účely této směrnice se za důležité subjekty považují subjekty druhu uvedeného v příloze I nebo II, které nelze považovat za základní subjekty podle odstavce 1 tohoto článku. Patří k nim i subjekty, jež členské státy označily za důležité podle čl. 2 odst. 2 písm. b) až e).
§ 8
(1) Poskytovatel regulované služby je povinen nahlásit Úřadu naplnění kritérií pro identifikaci regulované služby, a to vyplněním registračních údajů podle § 12 odst. 2 písm. a)
(2) Registraci podle odstavce 1 je poskytovatel regulované služby povinen provést nejpozději do 30 dnů ode dne, kdy zjistí, že došlo k naplnění kritérií pro identifikaci regulované služby, nejpozději však do 90 dnů ode dne, kdy k naplnění kritérií pro identifikaci regulované služby došlo.
(3) Úřad provede registraci poskytovatele regulované služby v případě, kdy se dozví o naplnění kritérií pro identifikaci regulované služby podle prováděcího právního předpisu a poskytovatel regulované služby neprovede registraci podle odstavce 1 ve lhůtě podle odstavce 2.
(4) Úřad dále provede registraci poskytovatele regulované služby nebo regulované služby na základě rozhodnutí Úřadu o určení regulované služby podle § 5. V případě, že v důsledku rozhodnutí podle předchozí věty dojde ke změně režimu poskytovatele regulované služby z režimu vyšších povinností na režim nižších povinností, nové lhůty pro zahájení plnění povinností podle § 12 odst. 3, § 14 odst. 3 a § 16 odst. 4 neplynou.
32022L2555
Čl. 3 odst. 4
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném
odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice.
§ 9
(1) Poskytovatel regulované služby je povinen v případě naplnění kritérií pro identifikaci každé další regulované služby provést změnu registrace poskytovatele regulované služby a postupovat obdobně podle § 8 odst. 1 a 2.
(2) Poskytovatel regulované služby je povinen v případě, že v rámci naplnění kritérií pro identifikaci regulované služby dojde ke změně režimu poskytovatele regulované služby, provést změnu registrace poskytovatele regulované služby a postupovat obdobně podle § 8 odst. 1 a 2. Při změně režimu poskytovatele regulované služby z režimu vyšších povinností na režim nižších povinností nové lhůty pro zahájení plnění povinností podle § 12 odst. 3, § 14 odst. 3 a § 16 odst. 4 neplynou.
32022L2555
Čl. 3 odst. 4
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném
odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice.
§ 10
(1) Úřad bezodkladně zapíše poskytovatele regulované služby a regulovanou službu do evidence poskytovatelů regulovaných služeb na základě registrace poskytovatele regulované služby či změny registrace poskytovatele regulované služby podle § 8 a § 9. O této skutečnosti Úřad poskytovatele regulované služby písemně vyrozumí.
(2) Poskytovatel regulované služby zapsaný v evidenci poskytovatelů regulovaných služeb je povinen plnit všechny povinnosti plynoucí mu ze zákona vůči zapsaným regulovaným službám od okamžiku doručení vyrozumění o zápisu do evidence poskytovatelů regulovaných služeb až do okamžiku doručení vyrozumění o výmazu z evidence poskytovatelů regulovaných služeb podle § 11.
32022L2555
čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují
§ 12
(1) Poskytovatel regulované služby hlásí registrační, kontaktní a další doplňující údaje a jejich změny Úřadu. Poskytovatel regulované služby odpovídá za správnost a úplnost nahlášených údajů.
(2) Hlášenými údaji jsou
a) registrační údaje, kterými se rozumí informace spojené s identifikací poskytovatele regulované služby a jím poskytované regulované služby,
b) kontaktní údaje, kterými se rozumí informace spojené s identifikací fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem, a
c) doplňující údaje, kterými jsou další informace potřebné pro výkon činnosti Úřadu podle tohoto zákona.
(3) Poskytovatel regulované služby je povinen nahlásit údaje podle odstavce 2 písm. b) a c) pro každou regulovanou službu nejpozději do 30 dnů ode dne doručení písemného vyrozumění o jejím zápisu do evidence poskytovatelů regulovaných služeb podle § 10 odst. 1.
(4) Poskytovatel regulované služby je povinen hlásit změny pouze těch údajů podle odstavce 2, které nejsou referenčními údaji vedenými v základních registrech, a to nejpozději do 15 dnů od jejich změny.
(5) Poskytovatel regulované služby je povinen zajistit dostatečnou zastupitelnost fyzických osob, které jsou oprávněny jednat za poskytovatele regulované služby ve věcech upravených tímto zákonem.
(6) Obsahové náležitosti, formát a způsob provedení hlášení registračních, kontaktních a doplňujících údajů stanoví prováděcí právní předpis.
32022L2555
Čl. 3 odst. 4
4. Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném
odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel;
c) případně příslušná odvětví a pododvětví podle přílohy I nebo II; a
d) případně seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice.
32022L2555
Čl. 5
Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie
§ 13
(1) Poskytovatel regulované služby
a) identifikuje všechna primární aktiva v rámci celé organizace,
b) určí, která primární aktiva identifikovaná podle písm. a) souvisejí s poskytováním regulované služby,
c) u primárních aktiv určených podle písm. b) identifikuje a určí související organizační části organizace a podpůrná aktiva.
(2) Organizační části a aktiva identifikovaná podle odstavce 1 písm. b) a c) tvoří rozsah řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“).
(3) O provedení identifikace a určení organizačních částí a aktiv podle odstavce 1 vede poskytovatel regulované služby dokumentovaný záznam, a to včetně evidence primárních aktiv, která byla ze stanoveného rozsahu vyjmuta, a odůvodnění jejich vyjmutí.
(4) Do doby splnění povinnosti podle odstavce 1 a 3 se má za to, že stanovený rozsah je tvořen regulovanou službou poskytovatele regulované služby a podpůrnými aktivy jsou všechna podpůrná aktiva organizace a další podpůrná aktiva související s poskytováním regulované služby.
(5) Má se za to, že aktiva, která ještě nebyla identifikována a určena podle odstavce 1 nebo zahrnuta do stanoveného rozsahu podle odstavce 4, jsou součástí stanoveného rozsahu, dokud tyto změny nejsou zahrnuty v procesu identifikace a určování organizačních částí a aktiv tvořících rozsah řízení kybernetické bezpečnosti podle odstavce 1 a není o nich veden dokumentovaný záznam podle odstavce 3.
32022L2555
Čl. 1 odst. 1
1. Touto směrnicí se stanoví opatření, jejichž účelem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem zlepšit fungování vnitřního trhu.
32022L2555
Čl. 5
Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby. S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
§ 14 odst. 1, 2 a 4
(1) Bezpečnostními opatřeními se rozumí úkony, jejichž cílem je zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv. Bezpečnostními opatřeními jsou organizační a technická opatření.
32022L2555
Čl. 1 odst. 1
1. Touto směrnicí se stanoví opatření, jejichž účelem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem zlepšit fungování vnitřního trhu.
(2) Poskytovatel regulované služby je povinen v rámci stanoveného rozsahu zavést a provádět bezpečnostní opatření podle § 15 alespoň v míře a způsobem stanoveným prováděcím právním předpisem.
(4) Prováděcí právní předpis stanoví bezpečnostní opatření odpovídající režimu poskytovatele regulované služby.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
32022L2555
Čl. 20 odst. 1 a 2
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
2. Členské státy zajistí, aby členové řídících orgánů základních a důležitých subjektů museli absolvovat školení, a vybízí základní a důležité subjekty, aby pravidelně nabízely podobné školení svým zaměstnancům, aby tak získali dostatečné znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik a jejich dopad na služby poskytované subjektem
32022L2555
Čl. 21
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační
opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz
nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění
musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající
existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu
rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
b) řešení incidentů;
c) řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho
přímými dodavateli nebo poskytovateli služeb;
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení,
zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty
zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů
a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného
vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly
povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které
bylo provedeno v souladu s čl. 22 odst. 1.
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez
zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
5. Do 17. října 2024 přijme Komise prováděcí akty, kterými stanoví technické a metodické požadavky opatření
uvedených v odstavci 2, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud
computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených
služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb
platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru.
Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvové požadavky, pokud jde
o opatření uvedená v odstavci 2, přičemž tyto požadavky se týkají jiných základních a důležitých subjektů než těch, které
jsou uvedeny v prvním pododstavci tohoto odstavce.
Při přípravě prováděcích aktů uvedených v prvním a druhém pododstavci tohoto odstavce se Komise pokud možno řídí
evropskými a mezinárodními normami, jakož i příslušnými technickými specifikacemi. Komise si v souladu s čl. 14
odst. 4 písm. e) poskytuje se skupinou pro spolupráci a agenturou ENISA vzájemné poradenství a spolupracuje s nimi,
pokud jde o návrhy prováděcích aktů.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 39 odst. 2
32022L2555
Čl. 24
1. K prokázání splnění zvláštních požadavků článku 21 mohou členské státy požadovat, aby základní a důležité subjekty používaly určité produkty IKT, služby IKT a procesy IKT vypracované základním nebo důležitým subjektem nebo získané od třetích stran a certifikované podle evropských systémů certifikace kybernetické bezpečnosti přijatých podle
článku 49 nařízení (EU) 2019/881. Členské státy kromě toho podporují základní a důležité subjekty, aby využívaly kvalifikované služby vytvářející důvěru.
2. Komisi je v souladu s článkem 38 za účelem doplnění této směrnice svěřena pravomoc přijímat akty v přenesené pravomoci, upřesňující, které kategorie základních a důležitých subjektů budou povinny používat určité certifikované produkty IKT, služby IKT nebo procesy IKT nebo si obstarat certifikát podle evropského systému certifikace kybernetické bezpečnosti přijatého podle článku 49 nařízení (EU) 2019/881. Tyto akty v přenesené pravomoci se přijímají, pokud se zjistí nedostatečná úroveň kybernetické bezpečnosti, a je v nich stanoveno prováděcí období.
Před přijetím těchto aktů v přenesené pravomoci provede Komise posouzení dopadů a povede konzultace v souladu s článkem 56 nařízení (EU)
3. Komise může po konzultaci se skupinou pro spolupráci a Evropskou skupinou pro certifikaci kybernetické
bezpečnosti požádat agenturu ENISA, aby v případech, kdy není k dispozici žádný vhodný evropský systém certifikace
kybernetické bezpečnosti pro účely odstavce 2, vypracovala návrh systému podle čl. 48 odst. 2 nařízení (EU) 2019/881.
32022L2555
Čl. 25 odst. 1
1. Členské státy za účelem harmonizovaného provádění čl. 21 odst. 1 a 2 podporují používání evropských a mezinárodních norem a technických specifikací upravujících bezpečnost sítí a informačních systémů, aniž by přitom vyžadovaly používání konkrétního druhu technologie nebo diskriminujícím způsobem prosazovaly jeho používání.
§ 15
(1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a) organizačními opatřeními
1. systém řízení bezpečnosti informací,
2. povinnosti vrcholného vedení,
3.bezpečnostní role,
4. řízení bezpečnostní politiky a bezpečnostní dokumentace,
5.řízení aktiv,
6. řízení rizik,
7. řízení dodavatelů,
8. bezpečnost lidských zdrojů,
9. řízení změn,
10. akvizice, vývoj a údržba,
11. řízení přístupu,
12. zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
13. řízení kontinuity činností a
14. audit kybernetické bezpečnosti.
b) technickými opatřeními
1. fyzická bezpečnost,
2. bezpečnost komunikačních sítí,
3. správa a ověřování identit,
4. řízení přístupových oprávnění,
5. detekce kybernetických bezpečnostních událostí,
6. zaznamenávání bezpečnostních a relevantních provozních událostí,
7. vyhodnocování kybernetických bezpečnostních událostí,
8. aplikační bezpečnost,
9. kryptografické algoritmy,
10. zajišťování dostupnosti regulované služby a
11. zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv.
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou bezpečnostními opatřeními
a) zajišťování minimální úrovně kybernetické bezpečnosti,
b) povinnosti vrcholného vedení,
c) řízení rizik,
d) bezpečnost lidských zdrojů,
e) řízení kontinuity činností,
f) řízení přístupu,
g) řízení identit a jejich oprávnění,
h) detekce a zaznamenávání kybernetických bezpečnostních událostí,
i) řešení kybernetických bezpečnostních incidentů,
j) bezpečnost komunikačních sítí,
k) aplikační bezpečnost,
l) kryptografické algoritmy.
32022L2555
Čl. 1 odst. 1
1. Touto směrnicí se stanoví opatření, jejichž účelem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem zlepšit fungování vnitřního trhu.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
32022L2555
Čl. 20 odst. 1 a 2
1. Členské státy zajistí, aby řídící orgány základních a důležitých subjektů schválily opatření k řízení kybernetických bezpečnostních rizik přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely nad jeho uplatňováním a mohly nést odpovědnost, poruší-li subjekty uvedený článek.
Uplatňováním tohoto odstavce není dotčeno vnitrostátní právo, pokud jde o pravidla odpovědnosti vztahující se na veřejné orgány, odpovědnost úředníků veřejné správy a odpovědnost volených veřejných činitelů nebo jmenovaných úředníků.
2. Členské státy zajistí, aby členové řídících orgánů základních a důležitých subjektů museli absolvovat školení, a vybízí základní a důležité subjekty, aby pravidelně nabízely podobné školení svým zaměstnancům, aby tak získali dostatečné znalosti a dovednosti, aby mohli identifikovat rizika a posoudit postupy řízení kybernetických bezpečnostních rizik a jejich dopad na služby poskytované subjektem
32022L2555
Čl. 21
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační
opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz
nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění
musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající
existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu
rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
2. Opatření uvedená v odstavci 1 jsou založena na přístupu zohledňujícím všechny druhy rizik, jehož cílem je chránit
sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a zahrnují alespoň:
a) politiku analýzy rizik a politiku bezpečnosti informačních systémů;
b) řešení incidentů;
c) řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
d) bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho
přímými dodavateli nebo poskytovateli služeb;
e) zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
f) politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
g) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
h) politiky a postupy týkající se používání kryptografie a případně šifrování;
i) bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
j) v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení,
zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty
zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů
a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného
vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly
povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které
bylo provedeno v souladu s čl. 22 odst. 1.
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez
zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
5. Do 17. října 2024 přijme Komise prováděcí akty, kterými stanoví technické a metodické požadavky opatření
uvedených v odstavci 2, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud
computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených
služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb
platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru.
Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvové požadavky, pokud jde
o opatření uvedená v odstavci 2, přičemž tyto požadavky se týkají jiných základních a důležitých subjektů než těch, které
jsou uvedeny v prvním pododstavci tohoto odstavce.
Při přípravě prováděcích aktů uvedených v prvním a druhém pododstavci tohoto odstavce se Komise pokud možno řídí
evropskými a mezinárodními normami, jakož i příslušnými technickými specifikacemi. Komise si v souladu s čl. 14
odst. 4 písm. e) poskytuje se skupinou pro spolupráci a agenturou ENISA vzájemné poradenství a spolupracuje s nimi,
pokud jde o návrhy prováděcích aktů.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 39 odst. 2
32022L2555
Čl. 25 odst. 1
1. Členské státy za účelem harmonizovaného provádění čl. 21 odst. 1 a 2 podporují používání evropských a mezinárodních norem a technických specifikací upravujících bezpečnost sítí a informačních systémů, aniž by přitom vyžadovaly používání konkrétního druhu technologie nebo diskriminujícím způsobem prosazovaly jeho používání.
§ 16 odst. 1 a 2
(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen v rámci stanoveného rozsahu hlásit Úřadu všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru.
(2) Poskytovatel regulované služby v režimu nižších povinností je povinen v rámci stanoveného rozsahu hlásit Národnímu CERT všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a mají významný dopad na poskytování regulované služby.
32022L2555
Čl. 23 odst. 1 a 3
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
3. Incident se považuje za významný, jestliže: a) dotčenému subjektu způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty; b) způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 16 odst. 3
(3) Způsob stanovení významného dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby poskytovatelem regulované služby v režimu nižších povinností stanoví prováděcí právní předpis.
32022L2555
Čl. 23 odst. 3
3. Incident se považuje za významný, jestliže:
a) dotčenému subjektu způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty;
b) způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.
§ 16 odst. 5
(5) Orgán nebo osoba může prostřednictvím internetových stránek Úřadu dobrovolně hlásit kybernetické bezpečnostní incidenty, především ty, u kterých lze dovodit úmyslné zavinění, stejně tak jako hlásit kybernetické bezpečnostní události nebo kybernetické hrozby. Prostřednictvím internetových stránek Úřadu mohou být anonymně hlášeny také zranitelnosti, zejména pro účely zajištění koordinovaného zveřejňování zranitelností ze strany Vládního CERT. Tím není dotčena povinnost poskytovatele regulované služby podle odstavce 1 a 2.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice,
pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými
oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení neučinil.
§ 16 odst. 6
(6) Tímto ustanovením není dotčena informační povinnost podle jiného právního předpisu nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů.
32022L2555
Čl. 2 odst. 12
12. Touto směrnicí není dotčeno nařízení (EU) 2016/679 a nejsou jí dotčeny směrnice Evropského parlamentu a Rady 2002/58/ES, 2011/93/EU (27) a 2013/40/EU (28) ani směrnice (EU) 2022/2557
§ 17 odst. 1
(1) Poskytovatel regulované služby bez zbytečného odkladu po zjištění kybernetického bezpečnostního incidentu, nejpozději však do 24 hodin předloží Úřadu nebo Národnímu CERT prvotní hlášení, v němž uvede, zda se domnívá, že byl kybernetický bezpečnostní incident způsoben nezákonným nebo svévolným zásahem nebo že by mohl mít přeshraniční dopad.
32022L2555
Čl. 23 odst. 4 písm. a)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo
případně příslušnému orgánu:
a) bez zbytečného odkladu, nejpozději však do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významný incident způsoben nezákonným nebo svévolným zásahem nebo
že by mohl mít přeshraniční dopad
§ 17 odst. 2
(2) Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1 na základě obsahu hlášení a dalších relevantních informací, zda má kybernetický bezpečnostní incident u poskytovatele regulované služby v režimu vyšších povinností významný dopad na kybernetický prostor státu. Významnost dopadu na kybernetický prostor státu je dána významem dopadu na poskytování regulované služby, odvětvím, ve kterém se kybernetický bezpečnostní incident vyskytl, a aktuální situací v kybernetickém prostoru České republiky.
32022L2555
Čl. 23 odst. 5
5. Tým CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu a pokud možno do 24 hodin po obdržení
včasného varování podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvotních vyjádření k významnému
incidentu, a na žádost subjektu pomoc či podporu při zavádění možných opatření ke zmírnění dopadů. Pokud tým CSIRT
není prvotním příjemcem oznámení podle odstavce 1, pomoc či podporu poskytne příslušný orgán ve spolupráci s týmem
CSIRT. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření,
že má významný incident povahu trestného činu, tým CSIRT nebo příslušný orgán poskytne také pokyny, jak významný
incident oznámit orgánům činným v trestním řízení
§ 17 odst. 3 písm. a)
(3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 16 odst. 2 nebo na kybernetický prostor státu podle odstavce 2, předloží poskytovatel regulované služby nad rámec prvotního hlášení podle odstavce 1 Úřadu nebo Národnímu CERT
a) bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění kybernetického bezpečnostního incidentu oznámení, v němž aktualizuje informace uvedené v odstavci 1 předloží prvotní posouzení kybernetického bezpečnostního incidentu a uvede dopad a indikátory kompromitace, pokud jsou k dispozici; poskytovatel služeb vytvářejících důvěru) předloží oznámení podle tohoto písmene do 24 hodin od okamžiku, kdy se o tomto kybernetickém bezpečnostním incidentu dozvěděl,
32022L2555
Čl. 23 odst. 4 písm. b)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
b) bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a), předloží prvotní posouzení významného incidentu včetně jeho závažnosti a dopadu a – pokud jsou k dispozici – indikátory kompromitace;
§ 17 odst. 3 písm. b)
b) na žádost Úřadu nebo Národního CERT průběžnou zprávu o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu, a
32022L2555
Čl. 23 odst. 4 písm. c)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
c) na žádost týmu CSIRT nebo případně příslušného orgánu průběžnou zprávu o podstatných aktualizacích stavu;
§ 17 odst. 3 písm. c)
c) nejpozději do 30 dnů od předložení oznámení podle písmene a) závěrečnou zprávu; v případě, že po uplynutí uvedené lhůty kybernetický bezpečnostní incident stále trvá, předloží poskytovatel regulované služby bez zbytečného odkladu po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a poté nejpozději do 30 dnů od vyřešení kybernetického bezpečnostního incidentu závěrečnou zprávu.
32022L2555
Čl. 23 odst. 4 písm. d) a e)
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo případně příslušnému orgánu:
d) nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
i) podrobný popis incidentu včetně jeho závažnosti a dopadu;
ii) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;
iii) učiněná a probíhající opatření ke zmírnění následků;
iv) případně přeshraniční dopad incidentu;
e) v případě, že v okamžiku, kdy by měla být předložena závěrečná zpráva podle písmene d), incident stále trvá, členské
státy zajistí, aby dotčené subjekty v uvedené lhůtě předložily zprávu o pokroku a následně, nejpozději jeden měsíc po
tom, co incident vyřešily, závěrečnou zprávu.
§ 17 odst. 4
(4) Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu NÚKIB. Nelze‑li využít Portálu NÚKIB, zašle poskytovatel regulované služby v režimu vyšších povinností hlášení na adresu elektronické pošty Úřadu určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Úřadu. Poskytovatel regulované služby v režimu nižších povinností zašle v takovém případě hlášení na adresu elektronické pošty Národního CERT určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do jeho datové schránky.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně
předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice,
pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem
stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými
oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace
o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl
oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné
oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení
neučinil
§ 17 odst. 5
(5) Obsahové náležitosti, formát a způsob hlášení kybernetického bezpečnostního incident a náležitosti průběžné zprávy o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a závěrečné zprávy stanoví prováděcí právní předpis.
32022L2555
Čl. 23 odst. 11
11. Komise může přijmout prováděcí akty dále upřesňující druh informací, formát a postup oznámení předkládaných podle odstavce 1 tohoto článku a podle článku 30 a informací poskytnutých podle odstavce 2 tohoto článku.
§ 18 odst. 1 až 4
(1) Úřad nebo Národní CERT poskytne bez zbytečného odkladu, nejpozději do 24 hodin od obdržení prvotního hlášení podle § 17, poskytovateli regulované služby své vyjádření ke kybernetickému bezpečnostnímu incidentu.
(2) Na žádost dotčeného poskytovatele regulované služby poskytne Úřad nebo Národní CERT metodickou podporu k provádění možných zmírňujících opatření, a případnou další technickou podporu ke zvládání hlášeného kybernetického bezpečnostního incidentu s významným dopadem na poskytovatele regulované služby nebo na kybernetický prostor státu.
(3) Každý je povinen poskytnout na výzvu Úřadu nezbytné informace a další nezbytnou součinnost při zvládání kybernetického bezpečnostního incidentu, pokud nelze sledovaného účelu dosáhnout jinak nebo by bylo jinak jeho dosažení podstatně ztížené. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
(4) Údaje o kybernetických bezpečnostních incidentech, událostech, kybernetických hrozbách a zranitelnostech jsou vedeny v evidenci podle § 45.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
32022L2555
Čl. 23 odst. 5
Tým CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu a pokud možno do 24 hodin po obdržení včasného varování podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvotních vyjádření k významnému incidentu, a na žádost subjektu pomoc či podporu při zavádění možných opatření ke zmírnění dopadů. Pokud tým CSIRT není prvotním příjemcem oznámení podle odstavce 1, pomoc či podporu poskytne příslušný orgán ve spolupráci s týmem CSIRT. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření, že má významný incident povahu trestného činu, tým CSIRT nebo příslušný orgán poskytne také pokyny, jak významný incident oznámit orgánům činným v trestním řízení.
Čl. 18 odst. 5
(5) Odstavce 1 až 4 se při zvládání kybernetických bezpečnostních incidentů nahlášených dobrovolně podle § 16 odst. 5 použijí obdobně.
32022L2555
Čl. 30
1. Členské státy zajistí, aby vedle oznamovací povinnosti stanovené v článku 23 mohla být oznámení dobrovolně
předkládána týmům CSIRT nebo případně příslušným orgánům ze strany:
a) základních a důležitých subjektů, pokud jde o incidenty, kybernetické hrozby a významné události;
b) subjektů, které nejsou uvedeny v písmeni a), bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice,
pokud jde o významné incidenty, kybernetické hrozby a významné události.
2. Při zpracování oznámení uvedených v odstavci 1 tohoto článku postupují členské státy v souladu s postupem
stanoveným v článku 23. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými
oznámeními.
V případě potřeby poskytnou týmy CSIRT a případně příslušné orgány jednotným kontaktním místům informace
o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl
oznamující subjekt. Aniž je dotčena prevence, vyšetřování, odhalování a stíhání trestných činů, nesmí dobrovolné
oznámení vést k tomu, že oznamujícímu subjektu budou uloženy další povinnosti, které by neměl, kdyby toto oznámení.neučinil.
§ 19 odst. 1
(1) Pokud to poskytovatel regulované služby považuje za vhodné, oznámí bez zbytečného odkladu uživatelům regulované služby kybernetický bezpečnostní incident s významným dopadem, který by mohl negativně ovlivnit poskytování této služby. Úřad je oprávněn uložit poskytovateli regulované služby, který je dotčen kybernetickým bezpečnostním incidentem s významným dopadem, povinnost informovat uživatele regulované služby o tomto incidentu. V rozhodnutí o uložení této povinnosti stanoví Úřad rozsah informační povinnosti.
32022L2555
Čl. 23 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti
§ 19 odst. 2
(2) Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele regulované služby, který může být ovlivněn významnou kybernetickou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší. V případě, že je to možné a vhodné, informuje poskytovatel regulované služby uživatele také o této významné kybernetické hrozbě.
32022L2555
Čl. 23 odst. 2
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné.
32022L2555
Čl. 32 odst. 1 a odst. 4 písm. e)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
32022L2555
Čl. 33 odst. 1 a odst. 4 písm. e)
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
§ 20
(1) Protiopatřeními se rozumí úkony, jichž je potřeba k ochraně aktiv před kybernetickou hrozbou nebo zranitelností v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem, anebo k řešení již nastalého kybernetického bezpečnostního incidentu.
(2) Protiopatřeními jsou
a) výstraha,
b) varování a
c) reaktivní protiopatření.
(3) Nestanoví-li Úřad v protiopatření jinak, je poskytovatel regulované služby povinen bez zbytečného odkladu, nejpozději však ve lhůtě dané protiopatřením oznámit Úřadu provedení protiopatření a jeho výsledek. Obsahové náležitosti, formát a způsob oznámení stanoví prováděcí právní předpis. Každý je povinen poskytovat Úřadu při zajišťování podkladů pro vydání protiopatření nezbytnou součinnost. Požadovaná součinnost nemusí být poskytnuta, brání-li v tom zákonná nebo státem uznaná povinnost mlčenlivosti nebo plnění jiné zákonné povinnosti.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 21
(1) Úřad je po konzultaci s dotčeným poskytovatelem regulované služby z důvodu ochrany vnitřního či veřejného pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn veřejnost informovat o kybernetickém bezpečnostním incidentu či o porušování povinností daných tímto zákonem, nebo dotčenému poskytovateli regulované služby rozhodnutím uložit, aby tak učinil sám.
(2) Úřad veřejnost o skutečnostech podle odstavce 1 informuje prostřednictvím svých internetových stránek.
(3) Rozhodnutí Úřadu podle odstavce 1 může být prvním úkonem v řízení a rozklad proti němu nemá odkladný účinek.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
32022L2555
Čl. 23 odst. 7
Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.
32022L2555
Čl. 32 odst. 4 písm. a)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
§ 22
(1) Úřad vydá varování, dozví-li se o závažné kybernetické hrozbě nebo zranitelnosti v oblasti kybernetické bezpečnosti.
(2) Poskytovatel regulované služby v režimu vyšších povinností zohlední varování v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3) Varování Úřad oznámí dotčeným poskytovatelům regulované služby a zveřejní jej na úřední desce Úřadu. Úřad varování nezveřejní, pokud by jeho zveřejnění mohlo ohrozit zajišťování kybernetické bezpečnosti, účinnost protiopatření vydaného podle tohoto zákona, jiné oprávněné zájmy státu nebo by na jeho základě bylo možné identifikovat orgán nebo osobu, která kybernetickou hrozbu, zranitelnost nebo s tím související kybernetický bezpečnostní incident ohlásila.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
§ 23
(1) Úřad vydá rozhodnutí, ve kterém uloží poskytovateli regulované služby povinnost provést reaktivní protiopatření
a) k řešení hrozícího či probíhajícího kybernetického bezpečnostního incidentu,
b) k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, nebo
c) za účelem zvýšení ochrany aktiv na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu.
(2) Reaktivní protiopatření je povinen provádět poskytovatel regulované služby v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3) Rozhodnutí o povinnosti provést reaktivní protiopatření může být prvním úkonem v řízení. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 72 hodin od jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.
(4) Má-li se protiopatření podle odstavce 1 týkat blíže neurčeného okruhu orgánů nebo osob, vydá jej Úřad formou opatření obecné povahy.
(5) Opatření obecné povahy podle odstavce 4 nabývá účinnosti okamžikem jeho vyvěšení na úřední desce Úřadu; ustanovení § 172 správního řádu se nepoužije. O vydání opatření obecné povahy Úřad rovněž vyrozumí poskytovatele regulované služby, kteří jsou jím dotčeni.
(6) Dotčený poskytovatel regulované služby či kdokoliv, kdo prokáže, že jeho práva, povinnosti nebo zájmy mohou být opatřením obecné povahy přímo dotčeny, může k opatření obecné povahy vydanému podle odstavce 4 uplatnit připomínky ve lhůtě 30 dnů ode dne jeho vyvěšení na úřední desce Úřadu. Úřad může na základě uplatněných připomínek opatření obecné povahy změnit nebo zrušit.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 32 odst. 4 písm. b)
Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
§ 24
(1) Poskytovatel regulované služby je povinen zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro svůj stanovený rozsah.
(2) Tam, kde je to možné, je poskytovatel regulované služby povinen zohlednit požadavky vyplývající z bezpečnostních opatření ve smlouvách se svými dodavateli.
(3) Zohlednění požadavků vyplývajících z bezpečnostních opatření při výběru dodavatele v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 25
(1) Úřad může v případě hrozícího kybernetického bezpečnostního incidentu na podnět poskytovatele regulované služby v režimu vyšších povinností, který marně vyzval významného dodavatele ke splnění smluvního závazku předat informace a data, rozhodnutím uložit významnému dodavateli povinnost předat poskytovateli regulované služby v režimu vyšších povinností informace a data související s provozem aktiv sloužících k poskytování regulované služby. Pokud významný dodavatel informacemi nebo daty souvisejícími s provozem aktiv sloužících k poskytování regulované služby nedisponuje nebo vzhledem ke skutkovým okolnostem není účelné po něm požadovat jejich opatření a vydání, může Úřad povinnost podle předchozí věty uložit i jinému orgánu nebo osobě, která požadovanými informacemi a daty disponuje. Úřad může v rozhodnutí určit formát, rozsah, způsob a lhůtu předání a stanovit povinnost po provedení předání tyto informace a data a jejich kopie bezpečně zlikvidovat.
(2) Podnět musí obsahovat odůvodnění požadavku s ohledem na hrozící kybernetický bezpečnostní incident, podrobný popis předchozího jednání mezi významným dodavatelem a poskytovatelem regulované služby v režimu vyšších povinností zejména s ohledem na nesplnění smluvního závazku významného dodavatele a možné následky, pokud nedojde k předání požadovaných informací a dat.
(3) Rozhodnutí o uložení povinnosti předat informace a data podle odstavce 1 může být prvním úkonem v řízení. Rozklad proti rozhodnutí podle věty první nemá odkladný účinek.
(4) Jednání o úhradě vynaložených nákladů na předání informací a dat nesmí být překážkou řádného splnění povinnosti předat informace a data.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 26
Strategicky významná služba je stanovena kritérii pro identifikaci strategicky významné služby ve vymezených odvětvích nebo kritérii pro určení strategicky významné služby.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 27
(1) Prováděcí právní předpis stanoví kritéria pro identifikaci strategicky významné služby v odvětvích
a) veřejná správa,
b) energetika,
c) doprava a
d) digitální infrastruktura a služby.
(2) Strategicky významnou službou je dále regulovaná služba stanovená u poskytovatele regulované služby v režimu vyšších povinností rozhodnutím Úřadu v případě, že by narušení bezpečnosti informací regulované služby mohlo způsobit závažný dopad na bezpečnost České republiky nebo vnitřní či veřejný pořádek.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 28
(1) Úřad shromažďuje a vyhodnocuje informace a data spojená s orgánem či osobou, která se týkají možné hrozby pro bezpečnost České republiky, vnitřní či veřejný pořádek nebo naplnění kritérií rizikovosti dodavatele.
(2) Činnosti podle odstavce 1 prioritizuje Úřad podle přístupu založeného na rizicích a dostupných kapacitách.
(3) Pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce se rozumí
a) kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle prováděcího právního předpisu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní vysoká nebo kritická; kritickou částí stanoveného rozsahu jsou vždy alespoň aktiva stanoveného rozsahu strategicky významné služby, která zajišťují nepominutelné funkce stanoveného rozsahu stanovené prováděcím právním předpisem,
b) bezpečnostně významnou dodávkou plnění směřující do kritické části stanoveného rozsahu spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu
1. technického prostředku nebo vybavení s výpočetní kapacitou,
2. programového prostředku nebo vybavení, nebo
3. informační či komunikační služby,
c) dodavatelem bezpečnostně významné dodávky ten, kdo poskytovateli strategicky významné služby poskytne přímo či jako poddodavatel bezpečnostně významnou dodávku.
(4) Nepominutelné funkce stanoveného rozsahu a kritéria rizikovosti dodavatele a způsob jejich vyhodnocení stanoví prováděcí právní předpis.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 29
(1) Ministerstvo průmyslu a obchodu, Ministerstvo zahraničních věcí a Ministerstvo vnitra za účelem výkonu činnosti podle § 28 odst. 1 poskytnou Úřadu na jeho žádost bez zbytečného odkladu, nejpozději však do 30 dnů stanovisko o naplnění kritéria rizikovosti dodavatele konkrétním orgánem či osobou, informace nebo jinou součinnost.
(2) Nejvyšší státní zastupitelství, Policie České republiky, Úřad pro ochranu hospodářské soutěže, Finanční analytický úřad a zpravodajské služby České republiky za účelem výkonu činnosti podle § 28 odst. 1 poskytnou Úřadu na jeho žádost bez zbytečného odkladu, nejpozději však do 30 dnů požadované informace nebo jinou součinnost.
(3) Nezíská-li Úřad z vlastní činnosti nebo postupem podle odstavce 1 a 2 informace potřebné pro výkon činnosti podle § 28 odst. 1, poskytnou na základě žádosti Úřadu tyto informace nebo jinou součinnost orgány a osoby neuvedené v odstavci 1 a 2.
(4) Poskytnutí informací podle tohoto ustanovení není porušením mlčenlivosti podle jiného právního předpisu. Tím není dotčena povinnost mlčenlivosti advokáta podle právního předpisu upravujícího výkon advokacie.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 30
(1) Úřad vydá opatření obecné povahy, kterým stanoví podmínky nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, zjistí-li na základě vyhodnocení kritérií rizikovosti dodavatele možné významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku. Lhůtu pro zohlednění podmínek nebo zákazu obsaženého v opatření obecné povahy stanoví Úřad s přihlédnutím k jejich dopadům na poskytovatele strategicky významné služby.
(2) Návrh opatření obecné povahy podle odstavce 1 Úřad po projednání s ostatními orgány uvedenými v § 29 odstavci 1 a 2 a Ministerstvem financí předloží Bezpečnostní radě státu
a) pro informaci, jestliže lhůta pro zohlednění podmínek nebo zákazu obsaženého v opatření obecné povahy pro stávající či minulá plnění dodavatele bezpečnostně významné dodávky
1. je stanovena podle doby odpisování podle právního předpisu upravujícího zdanění příjmu4, jestliže ji tento právní předpis ve vztahu k dotčené bezpečnostně významné dodávce stanoví, nebo
2. je alespoň 5 let, nebo
b) k projednání, jestliže lhůta pro zohlednění podmínek nebo zákazu obsaženého v opatření obecné povahy pro stávající či minulá plnění dodavatele bezpečnostně významné dodávky
1. není stanovena podle doby odpisování podle právního předpisu upravujícího zdanění příjmu , jestliže ji tento právní předpis ve vztahu k dotčené bezpečnostně významné dodávce stanoví, nebo
2. je kratší než 5 let.
(3) Po informování členů Bezpečnostní rady státu podle odstavce 2 písmene a) nebo po projednání podle odstavce 2 písm. b) Úřad doručí návrh opatření obecné povahy veřejnou vyhláškou a vyzve dodavatele, vůči jehož plnění opatření obecné povahy míří, a další dotčené osoby, aby k návrhu opatření obecné povahy podávali připomínky. Lhůta pro podání připomínek činí 30 dnů, nestanoví-li Úřad jinak. Ustanovení § 172 odst. 1 a 5, § 173 odst. 1 věty první, část věty za středníkem, a § 173 odst. 1 věty druhé správního řádu se pro postup podle tohoto ustanovení nepoužijí.
(4) Úřad přezkoumá alespoň jednou za tři roky trvání skutečností, na jejichž základě bylo vydáno opatření obecné povahy podle odstavce 1. Zjistí-li Úřad, že tyto skutečnosti pominuly, zruší opatření obecné povahy podle odstavce 1 postupem podle odstavce 1 a 2 obdobně.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 31
(1) Úřad může, pokud to povaha daného ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku připouští, povolit výjimku z podmínek či zákazu stanovených opatřením obecné povahy podle § 30, jestliže by plnění opatření obecné povahy poskytovatelem strategicky významné služby mohlo podstatným způsobem ohrozit poskytování strategicky významné služby.
(2) Řízení o povolení výjimky podle odstavce 1 lze zahájit na žádost poskytovatele strategicky významné služby nebo z moci úřední. Žadatel je povinen v rámci žádosti připojit důkazy prokazující skutečnosti, kterých se dovolává.
(3) Úřad v rozhodnutí o povolení výjimky stanoví podmínky jejího uplatnění. V případě závažného porušení podmínek pro uplatnění výjimky nebo v případě pominutí důvodu, pro který byla povolena, Úřad výjimku rozhodnutím zruší.
(4) Úřad výjimku nepovolí, pokud by to zcela zmařilo účel opatření obecné povahy podle § 30.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 32
(1) Poskytovatel strategicky významné služby je povinen
a) zjišťovat s vynaložením přiměřeného úsilí informace o dodavatelích bezpečnostně významných dodávek a evidovat tyto informace alespoň v rozsahu identifikace všech bezpečnostně významných dodávek a dodavatelů bezpečnostně významných dodávek, kteří je poskytují, a
b) hlásit Úřadu informace podle písmena a) a jejich změny do 10 dnů od jejich zjištění; obsahové náležitosti, formát a způsob hlášení stanoví prováděcí právní předpis.
(2) Poskytovatel strategicky významné služby začne plnit povinnost hlásit informace podle odstavce 1 pro každou strategicky významnou službu nejpozději do 1 roku ode dne doručení písemného vyrozumění o jejím zápisu do evidence poskytovatelů regulovaných služeb podle § 10 odst. 1.
(3) Informace ohlášené Úřadu podle odstavce 1 písm. b) a odstavce 2 a informace zjištěné postupem podle § 28 a § 29 jsou součástí evidence dodavatelů bezpečnostně významných dodávek.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 33
Poskytovatel strategicky významné služby v postavení zadavatele podle právního předpisu upravujícího zadávání veřejných zakázek může závazek ze smlouvy na veřejnou zakázku vypovědět bez zbytečného odkladu poté, co zjistí, že v jeho plnění nelze pokračovat, aniž by nebylo porušeno opatření obecné povahy podle § 30.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 34
(1) Poskytovatel strategicky významné služby je povinen zajistit dostupnost strategicky významné služby v rozsahu kritické části stanoveného rozsahu ve stanoveném čase a kvalitě z území České republiky.
(2) Poskytovatel strategicky významné služby je povinen testovat schopnost zajištění poskytování strategicky významné služby v rozsahu kritické části stanoveného rozsahu z území České republiky nejméně jednou za dva roky.
(3) Poskytovatel strategicky významné služby začne plnit povinnosti uvedené v odst. 1 a 2 pro každou strategicky významnou službu nejpozději do jednoho roku ode dne doručení vyrozumění o zápisu strategicky významné služby do evidence poskytovatelů regulovaných služeb nebo od doručení rozhodnutí o určení strategicky významné služby podle § 27 odst. 2.
(4) Stanovený čas a kvalitu služby stanoví poskytovatel regulované služby v závislosti na cílech řízení kontinuity činností podle prováděcího právní předpisu.
(5) Pro potřeby tohoto ustanovení je kritická část stanoveného rozsahu vymezena v § 28 odst. 3 písm. a).
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 35
(1) Subjekt poskytující služby registrace jmen domén hlásí Úřadu bez zbytečného odkladu, nejpozději však do 30 dnů ode dne, kdy začal poskytovat službu registrace jmen domén, způsobem stanoveným prováděcím právním předpisem
a) název subjektu,
b) adresu hlavní provozovny a jeho dalších provozoven na území členských států Evropské unie, případně zástupce subjektu podle § 67,
c) aktuální kontaktní údaje včetně e-mailových adres a telefonních čísel subjektu, případně jeho zástupce podle § 67,
d) členské státy Evropské unie, v nichž subjekt poskytuje své služby a
e) rozsah veřejných IP adres subjektu.
(2) V případě změn v údajích nahlášených podle odstavce 1 aktualizuje subjekt poskytující služby registrace jmen domén nahlášené údaje bez zbytečného odkladu, nejpozději však do 90 dnů ode dne změny.
32022L2555
Čl. 2 odst. 4
4. Bez ohledu na jejich velikost se tato směrnice použije na subjekty poskytující služby registrace jmen domén.
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 6 odst. 21 a 22
20) „provozovatelem služeb systému překladu jmen domén (DNS)“ nebo „provozovatelem DNS“ subjekt, který poskytuje:
a) veřejně dostupné rekurzívní služby pro překlad jmen domén koncovým uživatelům internetu; nebo
b) autoritativní služby pro překlad jmen domén pro použití třetí stranou, s výjimkou kořenových jmenných serverů;
21) „registrem domén nejvyšší úrovně“ nebo „registrem TLD“ subjekt, kterému byla delegována konkrétní doména nejvyšší
úrovně (TLD) a je odpovědný za správu domén nejvyšší úrovně, včetně registrace jmen domén v rámci domén nejvyšší
úrovně a technického provozu domén nejvyšší úrovně, včetně provozu jejích jmenných serverů, vedení jejích databází
a distribuce souborů zón domén nejvyšší úrovně mezi jmennými servery, bez ohledu na to, zda kteroukoli z těchto
operací provádí subjekt sám nebo je zajišťována externě, avšak s výjimkou situací, kdy jsou jména domén nejvyšší
úrovně používána registrem pouze pro vlastní potřebu
§ 36 odst. 1
(1) Subjekt spravující a provozující registr internetových domén nejvyšší úrovně a subjekt poskytující služby registrace jmen domén shromažďují a uchovávají přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi v souladu s právními předpisy upravujícími ochranu osobních údajů, pokud jde o údaje, které jsou osobními údaji.
32022L2555
Čl. 28 odst. 1
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti systému překladu jmen domén, požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén shromažďovaly a uchovávaly přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi, a to s náležitou péčí v souladu s právem Unie v oblasti ochrany údajů, pokud jde o data, jež jsou osobními údaji.
§ 36 odst. 2
(2) Databáze podle odstavce 1 obsahuje informace nezbytné k identifikaci a kontaktování držitelů jmen domén a kontaktních míst spravujících domény nejvyšší úrovně, a to zejména
a) jméno domény,
b) datum registrace,
c) jméno žadatele o registraci,
d) e-mailovou adresu žadatele o registraci,
e) telefonní číslo žadatele o registraci,
f) e-mailovou adresu a telefonní číslo kontaktního místa spravujícího jméno domény v případě, že se liší od žadatele o registraci.
32022L2555
Čl. 28 odst. 2
2. Členské státy pro účely odstavce 1 vyžadují, aby databáze údajů o registraci jmen domén obsahovala nezbytné
informace umožňující identifikaci a kontaktování držitelů jmen domén a kontaktní místa spravující jména domén
v registrech domén nejvyšší úrovně. Tyto informace zahrnují:
a) jméno domény;
b) datum registrace;
c) jméno žadatele o registraci, jeho kontaktní e-mailovou adresu a telefonní číslo;
d) kontaktní e-mailovou adresu a telefonní číslo kontaktního místa spravujícího jméno domény, pokud se liší od
kontaktních údajů žadatele o registraci.
§ 36 odst. 3
(3) Subjekt spravující a provozující registr internetových domén nejvyšší úrovně a subjekt poskytující služby registrace jmen domén zavádí zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování. Tyto zásady a postupy jsou veřejně dostupné.
32022L2555
Čl. 28 odst. 3
Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly zavedeny zásady a postupy, včetně postupů ověřování, zajišťující, aby databáze uvedené v odstavci 1 zahrnovaly přesné a úplné informace. Členské státy požadují, aby byly tyto zásady a postupy veřejně dostupné.
§ 36 odst. 4
(4) Subjekt spravující a provozující registr internetových domén nejvyšší úrovně a subjekt poskytující služby registrace jmen domén bez zbytečného odkladu po registraci jména domény uveřejní její registrační údaje, které nejsou osobními údaji.
32022L2555
Čl. 28 odst. 4
Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén zveřejňovaly bez zbytečného odkladu po registraci jména domény údaje o registraci jména domény, které nejsou osobními údaji.
§ 36 odst. 5
(5) Subjekt spravující a provozující registr internetových domén nejvyšší úrovně a subjekt poskytující služby registrace jmen domén poskytují přístup ke konkrétním údajům o registraci jména domény na základě zákonných a řádně odůvodněných žádostí oprávněných žadatelů o přístup v souladu s právními předpisy Evropské unie upravujícími ochranu osobních údajů, a to bez zbytečného odkladu, nejpozději do 72 hodin od žádosti o přístup. Zásady a postupy pro zveřejňování těchto údajů jsou veřejně dostupné.
32022L2555
Čl. 28 odst. 5
Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén poskytovaly přístup ke konkrétním údajům o registraci jmen domén na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právem Unie v oblasti ochrany údajů. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén reagovaly bez zbytečného odkladu, nejpozději však do 72 hodin od obdržení žádosti o přístup. Členské státy požadují, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.
§ 41 odst. 1
Úřad je ústředním správním úřadem pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Úřad se svou činností podílí na posilování bezpečnosti a odolnosti České republiky v kybernetickém prostoru. Sídlem Úřadu je Brno. Příjmy a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu.
32022L2555
Čl. 8 odst. 1 až 5
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost
a úkoly dohledu podle kapitoly VII (dále jen „příslušné orgány“).
2. Příslušné orgány podle odstavce 1 dohlížejí na provádění této směrnice na vnitrostátní úrovni.
3. Každý členský stát určí nebo zřídí jednotné kontaktní místo. Určí-li nebo zřídí-li členský stát pouze jeden příslušný
orgán podle odstavce 1, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského
státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou
spolupráci s jinými příslušnými orgány ve svém členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány a jednotná kontaktní místa disponovaly odpovídajícími zdroji pro
účinné a účelné plnění svěřených úkolů, a tím pro naplnění cílů této směrnice.
§ 41 odst. 3 písm. h)
(3) Úřad
h) spravuje a provozuje Portál NÚKIB,
32022L2555
Čl. 29 odst. 3
3. Členské státy usnadní zavedení ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tohoto článku. Tato ujednání mohou upřesnit provozní prvky, včetně použití vyhrazených platforem IKT a nástrojů automatizace, obsah a podmínky ujednání o sdílení informací. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání, přičemž mohou stanovit podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 7 odst. 2 písm. h).
§ 41 odst. 3 písm. v) až z)
(3) Úřad
v) provádí kontrolu plnění povinností podle tohoto zákona a ukládá nápravná opatření,
w) ukládá správní sankce za nedodržení povinností stanovených tímto zákonem a zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti,
x) provádí kontrolu plnění povinností podle tohoto zákona a poskytuje jinou nezbytnou součinnost na základě žádosti dozorového orgánu jiného členského státu,
y) vydává rozhodnutí o pozastavení platnosti evropského certifikátu kybernetické bezpečnosti nebo o povinnosti subjektu posuzování shody pozastavit platnost certifikátu nebo osvědčení podle § 60, a
z) podává soudu návrh na pozastavení výkonu řídicí funkce podle § 61 a vydává osvědčení podle téhož ustanovení.
32022L2555
Čl. 31 odst. 1, 2 a 4
2. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při
výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné
správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními
právními a institucionálními rámci
§ 41 odst. 4 písm. b)
(4) Úřad dále
b) zpracovává a vládě předkládá ke schválení národní strategii kybernetické bezpečnosti a akční plán k jejímu naplňování a tuto strategii aktualizuje nejméně každých 5 let,
32022L2555
Čl. 6 odst. 4
4) „národní strategií kybernetické bezpečnosti“ soudržný rámec členského státu vymezující strategické cíle a priority v oblasti kybernetické bezpečnosti a správy za účelem jejich dosažení v tomto členském státě;
32022L2555
Čl. 7 odst. 1, 2 a 4
1. Každý členský stát přijme národní strategii kybernetické bezpečnosti, která stanovuje strategické cíle, zdroje potřebné k dosažení těchto cílů a příslušné politiky a regulační opatření s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti
a udržovat ji. Národní strategie kybernetické bezpečnosti zahrnuje:
a) cíle a priority strategie kybernetické bezpečnosti členského státu týkající se zejména odvětví uvedených v přílohách I a II;
b) rámec správy k dosažení těchto cílů a priorit uvedených v tomto odstavci písm. a), včetně politik uvedených v odstavci 2;
c) rámec správy, který vyjasňuje úlohy a povinnosti příslušných zúčastněných stran na vnitrostátní úrovni, na němž se zakládá spolupráce a koordinace na vnitrostátní úrovni mezi příslušnými orgány, jednotnými kontaktními místy a týmy CSIRT podle této směrnice, jakož i koordinace a spolupráce mezi těmito subjekty a příslušnými orgány podle odvětvových právních aktů Unie;
d) mechanismus za účelem určení relevantních zařízení a hodnocení rizik v tomto členském státě;
e) určení opatření zajišťujících připravenost, schopnost reakce a obnovu při incidentech, včetně spolupráce veřejného a soukromého sektoru;
f) seznam různých orgánů a zúčastněných stran zapojených do provádění národní strategie kybernetické bezpečnosti;
g) rámec politiky pro lepší koordinaci mezi příslušnými orgány podle této směrnice a příslušnými orgány podle směrnice
(EU) 2022/2557 pro účely sdílení informací o rizicích, kybernetických hrozbách a incidentech a o jiných než kybernetických rizicích, hrozbách a incidentech, případně pro výkon úkolů v oblasti dohledu;
h) plán, včetně nezbytných opatření, ke zlepšení obecné úrovně povědomí občanů o kybernetické bezpečnosti.
2. V rámci národní strategie kybernetické bezpečnosti přijmou členské státy zejména politiky:
a) zaměřené na kybernetickou bezpečnost v dodavatelském řetězci pro produkty IKT a služby IKT využívané subjekty k poskytování služeb;
b) týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů IKT a služeb IKT při zadávání veřejných zakázek, a to i pokud jde o certifikaci kybernetické bezpečnosti, šifrování a využívání produktů kybernetické bezpečnosti s otevřeným zdrojovým kódem;
c) týkající se řešení zranitelností, včetně prosazování a usnadňování koordinovaného zveřejňovaní zranitelností podle čl. 12 odst. 1;
d) týkající se udržení celkové dostupnosti, integrity a důvěrnosti veřejného jádra otevřeného internetu, případně včetně kybernetické bezpečnosti podmořských komunikačních kabelů;
e) podporující vývoj a integraci příslušných pokročilých technologií zaměřených na zavádění nejmodernějších opatření
k řízení kybernetických bezpečnostních rizik;
f) prosazující a rozvíjející vzdělávání a školení v oblasti kybernetické bezpečnosti, dovedností v této oblasti, zvyšování informovanosti a výzkumné a vývojové iniciativy, jakož i pokyny k osvědčeným postupům a kontrolám v oblasti kybernetické hygieny, jež jsou určeny občanům, zúčastněným stranám a subjektům;
g) na podporu akademických a výzkumných institucí při vývoji, zlepšování a prosazování zavádění nástrojů kybernetické
bezpečnosti a zabezpečené síťové infrastruktury;
h) zahrnující příslušné postupy a vhodné nástroje pro sdílení informací na podporu dobrovolného sdílení informací
týkajících se kybernetické bezpečnosti mezi subjekty v souladu s právem Unie;
i) pro posílení kybernetické odolnosti a základní kybernetické hygieny malých a středních podniků, zejména těch, které
nespadají do oblasti působnosti této směrnice, poskytováním snadno dostupných pokynů a pomoci pro jejich specifické potřeby;
j) prosazující aktivní kybernetickou ochranu.
3. Členské státy oznámí své národní strategie kybernetické bezpečnosti Komisi do tří měsíců od jejich přijetí. Členské státy mohou z těchto oznámení vyloučit informace, které se týkají jejich národní bezpečnosti.
4. Členské státy pravidelně a alespoň každých pět let posuzují své národní strategie kybernetické bezpečnosti podle klíčových ukazatelů výkonnosti a v případě potřeby je aktualizují. Při zpracování nebo aktualizaci národní strategie kybernetické bezpečnosti a klíčových ukazatelů výkonnosti pro posouzení strategie s cílem uvést je do souladu
s požadavky a povinnostmi stanovenými v této směrnici poskytuje členským státům na jejich žádost součinnost agentura ENISA.
§ 41 odst. 4 písm. f)
(4) Úřad dále
f) plní povinnosti vůči Evropské komisi, Agentuře Evropské unie pro kybernetickou bezpečnost, Skupině pro spolupráci, Síti CSIRT, Evropské síti styčných organizací pro řešení kybernetických krizí a dalším subjektům podle příslušného předpisu Evropské unie,
32022L2555
Čl. 14 odst. 5
5. Členské státy zajistí, aby jejich zástupci ve skupině pro spolupráci účinně, účelně a spolehlivě spolupracovali.
32022L2555
Čl. 15 odst. 2
2. Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajišťuje sekretariát a aktivně podporuje spolupráci mezi týmy CSIRT.
32022L2555
Čl. 16 odst. 2
2. Síť EU-CyCLONe je tvořena zástupci orgánů členských států pro řešení kybernetických krizí a v případech, kdy potenciální nebo probíhající rozsáhlý kybernetický bezpečnostní incident má nebo pravděpodobně bude mít významný
dopad na služby a činnosti spadající do oblasti působnosti této směrnice, jsou jejími členy také zástupci Komise. V jiných případech se činností sítě EU-CyCLONe Komise účastní jako pozorovatel. Agentura ENISA zajišťuje sekretariát pro síť EU-CyCLONe, podporuje bezpečnou výměnu informací a poskytuje nezbytné
nástroje na podporu spolupráce mezi členskými státy zajištěním bezpečné výměny informací.
Tam, kde je to vhodné, může síť EU-CyCLONe přizvat zástupce příslušných zúčastněných stran, aby se podíleli na činnosti jako pozorovatelé.
§ 41 odst. 4 písm. g)
(4) Úřad dále
g) je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie a je příslušným orgánem v České republice podle příslušného předpisu Evropské unie,
32022L2555
Čl. 8 odst. 1 až 5
Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost a úkoly dohledu podle kapitoly VII (dále jen „příslušné orgány“).
2. Příslušné orgány podle odstavce 1 dohlížejí na provádění této směrnice na vnitrostátní úrovni.
3. Každý členský stát určí nebo zřídí jednotné kontaktní místo. Určí-li nebo zřídí-li členský stát pouze jeden příslušný orgán podle odstavce 1, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.
4. Každé jednotné kontaktní místo plní styčnou funkci s cílem zajistit přeshraniční spolupráci orgánů svého členského státu s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA, a také meziodvětvovou spolupráci s jinými příslušnými orgány ve svém členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány a jednotná kontaktní místa disponovaly odpovídajícími zdroji pro
účinné a účelné plnění svěřených úkolů, a tím pro naplnění cílů této směrnice.
32022L2555
Čl. 9 odst. 1, 3 a 4
1. Každý členský stát určí nebo zřídí jeden nebo více příslušných orgánů odpovědných za řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí (dále jen „orgány pro řešení kybernetických krizí“). Členské státy zajistí,
aby tyto orgány disponovaly odpovídajícími zdroji pro účinné a účelné plnění svěřených úkolů. Členské státy zajistí soudržnost se stávajícími rámci pro obecné vnitrostátní krizové řízení.
3. Každý členský stát určí kapacity, prostředky a postupy, které mohou být nasazeny v případě krize pro účely této směrnice.
4. Každý členský stát přijme národní plán reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, v němž budou stanoveny cíle a ujednání řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí. V uvedeném plánu se stanoví zejména:
a) cíle vnitrostátních opatření a činností v oblasti připravenosti;
b) úkoly a odpovědnost orgánů pro řešení kybernetických krizí;
c) postupy řešení kybernetické krize, včetně jejich začlenění do obecných vnitrostátních rámců pro krizové řízení, a kanály
pro výměnu informací;
d) vnitrostátní opatření v oblasti připravenosti včetně cvičení a školení;
e) příslušné veřejné a soukromé zúčastněné strany a zapojená infrastruktura;
f) vnitrostátní postupy a ujednání mezi příslušnými vnitrostátními orgány a subjekty, aby byla zajištěna účinná účast členského státu a podpora koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na
úrovni Unie.
§ 41 odst. 4 písm. h)
(4) Úřad dále
h) v případě potřeby se podílí na procesu vzájemného hodnocení podle příslušného předpisu Evropské unie,
32022L2555
Čl. 19
Skupina pro spolupráci do 17. ledna 2025 s pomocí Komise a agentury ENISA a případně sítě CSIRT vypracuje metodiku a organizační aspekty vzájemných hodnocení s cílem poučit se ze společných zkušeností, posílit vzájemnou
důvěru, dosáhnout společné vysoké úrovně kybernetické bezpečnosti a posílit schopnosti a politické strategie členských států v oblasti kybernetické bezpečnosti, které jsou nezbytné pro provádění této směrnice. Účast na vzájemných
hodnoceních je dobrovolná. Vzájemná hodnocení provádějí odborníci na kybernetickou bezpečnost. Odborníky na kybernetickou bezpečnost určí nejméně dva členské státy, které nejsou posuzovanými členskými státy.
Vzájemná hodnocení musí zahrnovat alespoň jeden z následujících aspektů:
a) úroveň provádění opatření k řízení kybernetických bezpečnostních rizik a plnění oznamovacích povinností
stanovených v článcích 21 a 23;
b) úroveň kapacit, včetně dostupných finančních, technických a lidských zdrojů, a účinnost plnění úkolů příslušných
orgánů;
c) provozní kapacity týmů CSIRT;
d) úroveň uskutečňování vzájemné pomoci podle článku 37;
e) úroveň provádění ujednání o sdílení informací o kybernetické bezpečnosti podle článku 29;
f) specifické otázky přeshraniční nebo meziodvětvové povahy.
2. Metodika uvedená v odstavci 1 zahrnuje objektivní, nediskriminační, korektní a transparentní kritéria, na jejichž
základě členské státy určí odborníky na kybernetickou bezpečnost způsobilé provádět vzájemná hodnocení. Komise
a agentura ENISA se budou vzájemných hodnocení účastnit jako pozorovatelé.
3. Pro účely vzájemného hodnocení mohou členské státy určit konkrétní otázky, jak je uvedeno v odst. 1 písm. f).
4. Před zahájením vzájemného hodnocení podle odstavce 1 oznámí členské státy zúčastněným členským státům jeho
rozsah, včetně konkrétních otázek, jež byly ve smyslu odstavce 3 určeny.
5. Před zahájením vzájemného hodnocení mohou členské státy provést sebehodnocení posuzovaných aspektů, které
poté poskytnou určeným odborníkům na kybernetickou bezpečnost. Metodiku sebehodnocení členských států stanoví
skupina pro spolupráci za pomoci Komise a agentury ENISA.
6. Vzájemná hodnocení zahrnují osobní nebo virtuální návštěvy na místě i externí výměny informací. S ohledem na
zásadu dobré spolupráce poskytnou členské státy podléhající vzájemnému hodnocení určeným odborníkům na
kybernetickou bezpečnost informace potřebné k posouzení, aniž by tím bylo dotčeno právo členských států nebo Unie
týkající se ochrany důvěrných či utajovaných informací nebo plnění základních funkcí státu, jako je národní bezpečnost.
Skupina pro spolupráci ve spolupráci s Komisí a agenturou ENISA vypracuje vhodné kodexy chování, které budou tvořit
základ pracovních metod určených odborníků na kybernetickou bezpečnost. Veškeré informace získané v rámci
vzájemného hodnocení lze použít pouze pro tento účel. Odborníci na kybernetickou bezpečnost účastnící se vzájemného
hodnocení nesmí sdělit žádné citlivé nebo důvěrné informace získané v průběhu tohoto vzájemného hodnocení žádným
třetím stranám.
7. Tytéž aspekty, které již byly v členském státě předmětem vzájemného hodnocení, nepodléhají v tomto členském státě
v průběhu dvou let po ukončení vzájemného hodnocení dalšímu posuzování, pokud o to členský stát nepožádá nebo
pokud to není výsledkem dohody na základě návrhu skupiny pro spolupráci.
8. Členské státy zajistí, aby byly ostatní členské státy, skupina pro spolupráci, Komise a agentura ENISA před zahájením
vzájemného hodnocení informovány o jakémkoli riziku střetu zájmů týkajícím se určených odborníků na kybernetickou
bezpečnost. Členský stát podléhající vzájemnému hodnocení může vznést námitku vůči určení konkrétních odborníků na
kybernetickou bezpečnost, a to na základě řádného odůvodnění, které sdělí členskému státu, který tyto odborníky určil.
9. Odborníci na kybernetickou bezpečnost účastnící se vzájemných hodnocení vypracují návrhy zpráv o zjištěních
a závěrech těchto vzájemných hodnocení. Členské státy podléhající vzájemnému hodnocení mohou předložit připomínky
k návrhům zpráv, které se jich týkají, a tyto připomínky se poté ke zprávám připojí. Zprávy obsahují doporučení, jejichž
cílem je dosáhnout zlepšení v aspektech, jichž se vzájemné hodnocení týká. Zprávy se předloží skupině pro spolupráci
a v příslušném případě síti CSIRT. Členský stát podléhající vzájemnému hodnocení se může rozhodnout svou zprávu nebo
její upravenou verzi zveřejnit.
§ 41 odst. 4 písm. i)
(4) Úřad dále
i) vykonává působnost v oblasti veřejné regulované služby Evropského programu družicové navigace Galileo, zejména plní funkce příslušného orgánu PRS podle čl. 5 rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU,
32011D1104
Čl. 5 odst. 1 písm. a)
1. Příslušný orgán PRS je určen:
a) každým členským státem, který využívá PRS, a každým členským státem, na jehož území je usazen jakýkoli ze subjektů uvedených v čl. 7 odst. 1; v takových případech se příslušný orgán PRS zřídí na území dotčeného členského státu a tento stát o určení orgánu neprodleně uvědomí Komisi;
§ 41 odst. 4 písm. j)
(4) Úřad dále
j) vykonává působnost v dílčích oblastech souvisejících s bezpečností v rámci Kosmického programu Unie podle nařízení Evropského parlamentu a Rady č. 2021/696,
32021R0696
Čl. 34 odst. 6 písm. b)
6. Za účelem zajištění ochrany pozemní infrastruktury, jež tvoří nedílnou součást programu a je umístěn na jejich území, členské státy:
b) provádějí úkoly bezpečnostní akreditace uvedené v článku 42 tohoto nařízení.
§ 41 odst. 4 písm. k)
(4) Úřad dále
k) je vnitrostátním orgánem certifikace kybernetické bezpečnosti podle čl. 58 aktu o kybernetické bezpečnosti,
32019R0881
Čl. 51 odst. 1
Každý členský stát určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na svém území, nebo se souhlasem jiného členského státu určí jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti zřízených v tomto jiném členském státě, které budou v určujícím členském státě odpovídat za dozor.
§ 41 odst. 4 písm. l)
(4) Úřad dále
l) působí jako Národní koordinační centrum výzkumu a vývoje v oblasti v oblasti kybernetické bezpečnosti pro Českou republiku podle přímo použitelného předpisu Evropské unie4)
-----------------------------------
4) Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021.
32021R0887
Čl. 6 odst. 1
1. Do 29. prosince 2021 každý členský stát určí jeden subjekt, který splňuje kritéria stanovená v odstavci 5, aby působil jako národní koordinační centrum pro účely tohoto nařízení. Každý členský stát oznámí tento subjekt neprodleně správní radě. Tímto subjektem může být i subjekt, který je již v uvedeném členském státě zřízen. Lhůta uvedená v prvním pododstavci tohoto odstavce se prodlouží o dobu, v níž má Komise vydat stanovisko uvedené
v odstavci 2
§ 41 odst. 4 písm. m)
(4) Úřad dále
m) zřizuje a podporuje platformy sloužící ke sdílení informací v oblasti kybernetické bezpečnosti a stanovuje pravidla jejich fungování,
32022L2555
Čl. 29
Členské státy zajistí, aby subjekty, na které se vztahuje oblast působnosti této směrnice, a případně jiné subjekty nespadající do oblasti působnosti této směrnice mohly mezi sebou dobrovolně sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, významných událostí, zranitelností, technik a postupů, indikátorů kompromitace, nepřátelských taktik, informací specifických pro daný subjekt a danou hrozbu, varování při ohrožení kybernetické bezpečnosti a doporučení týkající se konfigurace nástrojů kybernetické bezpečnosti, které slouží
k odhalování kybernetických útoků, pokud toto sdílení informací:
a) má za cíl předcházet incidentům, odhalovat je, reagovat na ně, zotavovat se z nich nebo zmírňovat jejich dopad;
b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách,
omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných schopností, nápravou zranitelností a zveřejňováním zranitelností, odhalováním hrozeb, technikami na zamezení šíření hrozeb a předcházení jim, strategií zmírňování nebo fází reakce a obnovy nebo podporou společného výzkumu kybernetických hrozeb ze strany subjektů veřejného a soukromého sektoru.
2. Členské státy zajistí, aby k výměně informací docházelo v komunitách základních a důležitých subjektů a případně jejich dodavatelů nebo poskytovatelů služeb. Tato výměna bude probíhat prostřednictvím ujednání o sdílení informací o kybernetické bezpečnosti s ohledem na potenciálně citlivou povahu sdílených informací.
3. Členské státy usnadní zavedení ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tohoto článku. Tato ujednání mohou upřesnit provozní prvky, včetně použití vyhrazených platforem IKT a nástrojů automatizace, obsah a podmínky ujednání o sdílení informací. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání, přičemž mohou stanovit podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 7 odst. 2 písm. h).
4. Členské státy zajistí, aby základní a důležité subjekty oznámily příslušným orgánům, že se účastní ujednání o sdílení
informací o kybernetické bezpečnosti podle odstavce 2, a to od okamžiku uzavření takových ujednání, nebo v příslušných
případech skutečnost, že od nich odstoupily, a to jakmile takové odstoupení nabude účinku.
5. Agentura ENISA podporuje vznik ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2 výměnou
osvědčených postupů a poskytováním pokynů
§ 41 odst. 5
(5) Vládní CERT jako součást Úřadu
a) zajišťuje řešení, koordinaci, analýzu a preventivní působení vůči
1. hrozbám v oblasti kybernetické bezpečnosti,
2. zranitelnostem v oblasti kybernetické bezpečnosti, včetně vyhledávání zranitelností,
3. kybernetickým bezpečnostním událostem a
4. kybernetickým bezpečnostním incidentům, včetně jejich zvládání,
b) působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu vyšších povinností,
c) testuje zavedení a odolnost zabezpečení aktiv, včetně provádění penetračního testování se souhlasem dotčených orgánů či osob,
d) je koordinátorem pro účely koordinovaného zveřejňování zranitelností,
e) vede evidenci kybernetických bezpečnostních incidentů, událostí, kybernetických hrozeb a zranitelností,
f) spolupracuje s orgány a osobami působícími v oblasti kybernetické bezpečnosti,
g) poskytuje orgánům a osobám konzultace v oblasti kybernetické bezpečnosti,
h) přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti od orgánů a osob,
i) může s orgány a osobami sdílet údaje a informace ze své činnosti a z evidencí vedených Úřadem, je-li to nezbytné pro zajišťování kybernetické bezpečnosti; pokud Vládní CERT stanoví úroveň ochrany takto sdílených informací, orgány a osoby mají povinnost tuto úroveň ochrany dodržovat,
j) plní roli CSIRT týmu podle příslušného předpisu Evropské unie a zastupuje Českou republiku a podílí se na fungování relevantních mezinárodních uskupení a sdružení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT,
k) ve vhodných případech předává bez zbytečného odkladu informace o kybernetickém bezpečnostním incidentu s významným dopadem týkajícím se dvou nebo více členských států nahlášeném podle § 17 dotčeným členským státům a Agentuře Evropské unie pro kybernetickou bezpečnost, přičemž zachovává důvěrnost poskytnutých informací, bezpečnost a obchodní zájmy ohlašovatele subjektu,
l) se podílí na výzkumu a vývoji kybernetických bezpečnostních nástrojů a řešení,
32022L2555
Čl. 10
Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví
a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
2. Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3.
3. Členské státy zajistí, aby měl každý tým CSIRT k dispozici přístup k odpovídající, bezpečné a odolné komunikační a informační infrastruktuře pro výměnu informací se základními a důležitými subjekty a dalšími příslušnými zúčastněnými stranami. Za tímto účelem členské státy zajistí, aby každý tým CSIRT přispíval k zavedení bezpečných
nástrojů pro sdílení informací.
4. Týmy CSIRT spolupracují a v příslušných případech si vyměňují příslušné informace podle článku 29 s odvětvovými nebo meziodvětvovými komunitami základních a důležitých subjektů.
5. Týmy CSIRT se účastní vzájemného hodnocení pořádaného v souladu s článkem 19.
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
7. Týmy CSIRT mohou navázat spolupráci s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí. Členské státy v rámci takové spolupráce usnadňují účinnou, účelnou a bezpečnou výměnu informací s těmito národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, a to za použití příslušných protokolů pro sdílení informací, včetně TLP protokolu. Týmy CSIRT si mohou v souladu s právem Unie v oblasti ochrany údajů vyměňovat relevantní informace s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, včetně osobních údajů.
8. Týmy CSIRT mohou spolupracovat s národními týmy pro reakci na počítačové bezpečnostní incidenty ze třetích zemí nebo s obdobnými subjekty ze třetích zemí, zejména za účelem poskytování pomoci v oblasti kybernetické bezpečnosti.
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto
článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
10. Členské státy si mohou při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.
32022L2555
Čl. 11
Týmy CSIRT splňují tyto požadavky:
a) týmy CSIRT zajišťují vysokou úroveň dostupnosti svých komunikačních kanálů tím, že předchází kritickým místům
selhání a disponují několika způsoby, jimiž mohou kontaktovat ostatní a jimiž lze kontaktovat je, a to kdykoli; jednoznačně vymezí komunikační kanály a oznámí je spolupracujícím partnerům a subjektům spadajícím do jejich působnosti;
b) pracoviště týmů CSIRT a jejich podpůrné informační systémy se nacházejí na zabezpečeném místě;
c) týmy CSIRT jsou vybaveny vhodným systémem řízení a směrování požadavků, zejména pro usnadnění jejich účinného
a účelného předávání;
d) týmy CSIRT zajišťují důvěrnost a důvěryhodnost svých činností;
e) týmy CSIRT jsou náležitě personálně obsazeny tak, aby jejich služby byly kdykoli k dispozici, a zajistí odpovídající
vyškolení svých pracovníků;
f) týmy CSIRT jsou vybaveny redundantními systémy a záložním pracovním prostorem pro zajištění kontinuity svých
služeb;
Týmy CSIRT se mohou zapojovat do mezinárodních sítí pro spolupráci.
2. Členské státy zajistí, aby jejich týmy CSIRT společně měly technické dovednosti potřebné k plnění úkolů uvedených
v odstavci 3. Členské státy zajistí, aby byly jejich týmům CSIRT přiděleny dostatečné zdroje s cílem zajistit odpovídající personální obsazení, které jim umožní rozvoj jejich technických kapacit.
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti
kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal,
s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na
jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12
odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů. Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
4. Týmy CSIRT navážou spolupráci s příslušnými zúčastněnými stranami v soukromém sektoru za účelem plnění cílů této směrnice.
5. V zájmu usnadnění spolupráce uvedené v odstavci 4 prosazují týmy CSIRT přijetí a používání společných či
standardních postupů, klasifikačních schémat a taxonomií v oblasti:
a) postupů řešení incidentů;
b) krizového řízení a
c) koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1.
32022L2555
Čl. 12 odst. 1
Každý členský stát určí jeden ze svých týmů CSIRT jakožto koordinátora za účelem koordinovaného zveřejňování zranitelností. Tým CSIRT určený jakožto koordinátor vystupuje jako důvěryhodný zprostředkovatel, který v případě potřeby a na žádost kterékoli strany usnadňuje interakci mezi fyzickou nebo právnickou osobou oznamující zranitelnost a výrobcem nebo poskytovatelem případných zranitelných produktů IKT nebo služeb IKT. Mezi úkoly týmu CSIRT, který byl určen jakožto koordinátor, náleží:
a) identifikace a kontaktování dotčených subjektů;
b) pomoc fyzickým nebo právnickým osobám oznamujícím zranitelnost; a
c) jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů.
Členské státy zajistí, aby fyzické nebo právnické osoby mohly týmu CSIRT, který byl určen jakožto koordinátor, oznámit zranitelnost na požádání anonymně. Tým CSIRT, který byl určen jakožto koordinátor, zajistí, aby byla s ohledem na oznámenou zranitelnost provedena s náležitou péčí následná opatření, a zajistí anonymitu fyzické nebo právnické osoby oznamující zranitelnost. Pokud by oznámená zranitelnost mohla mít významný dopad na subjekty ve více než jednom členském státě, spolupracují týmy CSIRT, které byly určeny jakožto koordinátoři, z každého dotčeného členského státu v případě potřeby s ostatními týmy CSIRT, které byly určeny jakožto koordinátoři, v rámci sítě CSIRT
32022L2555
Čl. 13 odst. 2 až 5
2. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, obdržely oznámení o významných incidentech podle článku 23 a o incidentech, kybernetických hrozbách a významných událostech podle článku 30.
3. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, informovaly jejich jednotná kontaktní místa o oznámeních o incidentech, kybernetických hrozbách a významných událostech, která byla podána podle této směrnice.
4. S cílem zajistit účinné plnění úkolů a povinností příslušných orgánů, jednotných kontaktních míst a týmů CSIRT zajistí členské státy v co největší možné míře vhodnou spolupráci mezi těmito subjekty a donucovacími orgány, orgány
pro ochranu osobních údajů, vnitrostátními orgány podle nařízení (ES) č. 300/2008 a (EU) 2018/1139, orgány dohledu podle nařízení (EU) č. 910/2014, příslušnými orgány podle nařízení (EU) 2022/2554, vnitrostátními regulačními orgány podle směrnice (EU) 2018/1972, příslušnými orgány podle směrnice (EU) 2022/2557, a příslušnými orgány podle dalších odvětvových právních aktů Unie v daném členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle směrnice (EU) 2022/2557spolupracovaly a pravidelně si vyměňovaly informace o určení kritických subjektů, o rizicích, kybernetických
hrozbách a incidentech, jakož i o jiných než kybernetických rizicích, hrozbách a incidentech postihujících základní subjekty určené jakožto kritické podle směrnice (EU) 2022/2557, jakož i o opatřeních přijatých v reakci na tato rizika, hrozby a incidenty. Členské státy rovněž zajistí, aby si jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle nařízení (EU) č. 910/2014, nařízení (EU) 2022/2554a směrnice (EU) 2018/1972 pravidelně vyměňovaly relevantní informace, včetně informací o příslušných incidentech a kybernetických hrozbách.
6. Členské státy zjednoduší poskytování informací technickými prostředky pro oznamování podle článků 23 a 30.
32022L2555
Čl. 15 odst. 2
Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajišťuje sekretariát a aktivně podporuje spolupráci mezi týmy CSIRT.
§ 42 odst. 3
(3) Provozovatel Národního CERT vykonává činnost Národního CERT, který
a) zajišťuje v rozsahu podle tohoto zákona sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti a působí jako kontaktní místo pro poskytovatele regulovaných služeb v režimu nižších povinností,
b) přijímá hlášení o kybernetických bezpečnostních incidentech, kybernetických bezpečnostních událostech, kybernetických hrozbách a zranitelnostech v oblasti kybernetické bezpečnosti a tyto údaje vyhodnocuje, zaznamenává, uchovává a chrání,
c) poskytovatelům regulovaných služeb v režimu nižších povinností poskytuje metodickou podporu, pomoc a součinnost při výskytu a zvládání kybernetického bezpečnostního incidentu s významným dopadem a při zveřejňování informací o zranitelnostech v oblasti kybernetické bezpečnosti,
d) provádí vyhledávání a hodnocení zranitelností v oblasti kybernetické bezpečnosti,
e) předává Úřadu údaje o nahlášených kybernetických hrozbách, kybernetických bezpečnostních událostech, kybernetických bezpečnostních incidentech podle § 16 a zranitelnostech v oblasti kybernetické bezpečnosti,
f) informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování regulované služby v tomto členském státě a zároveň o tom informuje Úřad, přičemž zachovává bezpečnost a soukromoprávní zájmy ohlašovatele,
g) přijímá a vyhodnocuje podněty v oblasti kybernetické bezpečnosti od orgánů a osob,
h) plní roli CSIRT týmu podle příslušného předpisu Evropské unie a podílí se na fungování mezinárodních uskupení v oblasti kybernetické bezpečnosti, včetně Sítě CSIRT a
i) se v případě potřeby podílí na procesu vzájemného hodnocení podle příslušného předpisu Evropské unie,
j) prioritizuje poskytování svých služeb a výkon svých činností podle přístupu založeného na rizicích a dostupných kapacitách.
32022L2555
Čl. 10
Každý členský stát určí nebo zřídí jeden nebo více týmů CSIRT. Týmy CSIRT mohou být určeny nebo zřízeny v rámci příslušného orgánu. Týmy CSIRT splňují požadavky uvedené v čl. 11 odst. 1, pokrývají alespoň odvětví, pododvětví
a druhy subjektů uvedené v přílohách I a II a jsou odpovědné za řešení incidentů podle řádně vymezeného postupu.
2. Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 11 odst. 3.
3. Členské státy zajistí, aby měl každý tým CSIRT k dispozici přístup k odpovídající, bezpečné a odolné komunikační a informační infrastruktuře pro výměnu informací se základními a důležitými subjekty a dalšími příslušnými zúčastněnými stranami. Za tímto účelem členské státy zajistí, aby každý tým CSIRT přispíval k zavedení bezpečných
nástrojů pro sdílení informací.
4. Týmy CSIRT spolupracují a v příslušných případech si vyměňují příslušné informace podle článku 29 s odvětvovými nebo meziodvětvovými komunitami základních a důležitých subjektů.
5. Týmy CSIRT se účastní vzájemného hodnocení pořádaného v souladu s článkem 19.
6. Členské státy zajistí, aby jejich týmy CSIRT v rámci sítě CSIRT účinně, účelně a spolehlivě spolupracovaly.
7. Týmy CSIRT mohou navázat spolupráci s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí. Členské státy v rámci takové spolupráce usnadňují účinnou, účelnou a bezpečnou výměnu informací s těmito národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, a to za použití příslušných protokolů pro sdílení informací, včetně TLP protokolu. Týmy CSIRT si mohou v souladu s právem Unie v oblasti ochrany údajů vyměňovat relevantní informace s národními týmy pro reakce na počítačové bezpečnostní incidenty ze třetích zemí, včetně osobních údajů.
8. Týmy CSIRT mohou spolupracovat s národními týmy pro reakci na počítačové bezpečnostní incidenty ze třetích zemí nebo s obdobnými subjekty ze třetích zemí, zejména za účelem poskytování pomoci v oblasti kybernetické bezpečnosti.
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto
článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají.
10. Členské státy si mohou při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.
32022L2555
Čl. 11
Týmy CSIRT splňují tyto požadavky:
a) týmy CSIRT zajišťují vysokou úroveň dostupnosti svých komunikačních kanálů tím, že předchází kritickým místům
selhání a disponují několika způsoby, jimiž mohou kontaktovat ostatní a jimiž lze kontaktovat je, a to kdykoli; jednoznačně vymezí komunikační kanály a oznámí je spolupracujícím partnerům a subjektům spadajícím do jejich působnosti;
b) pracoviště týmů CSIRT a jejich podpůrné informační systémy se nacházejí na zabezpečeném místě;
c) týmy CSIRT jsou vybaveny vhodným systémem řízení a směrování požadavků, zejména pro usnadnění jejich účinného
a účelného předávání;
d) týmy CSIRT zajišťují důvěrnost a důvěryhodnost svých činností;
e) týmy CSIRT jsou náležitě personálně obsazeny tak, aby jejich služby byly kdykoli k dispozici, a zajistí odpovídající
vyškolení svých pracovníků;
f) týmy CSIRT jsou vybaveny redundantními systémy a záložním pracovním prostorem pro zajištění kontinuity svých
služeb;
Týmy CSIRT se mohou zapojovat do mezinárodních sítí pro spolupráci.
2. Členské státy zajistí, aby jejich týmy CSIRT společně měly technické dovednosti potřebné k plnění úkolů uvedených
v odstavci 3. Členské státy zajistí, aby byly jejich týmům CSIRT přiděleny dostatečné zdroje s cílem zajistit odpovídající personální obsazení, které jim umožní rozvoj jejich technických kapacit.
3. Týmy CSIRT mají tyto úkoly:
a) monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase;
b) poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;
c) reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům;
d) shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti
kybernetické bezpečnosti;
e) provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal,
s cílem odhalit zranitelnosti s potenciálním významným dopadem;
f) podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na
jejich žádost;
g) v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12
odst. 1;
h) podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3.
Týmy CSIRT mohou provádět proaktivní a neintruzivní skenování veřejně přístupných sítí a informačních systémů základních a důležitých subjektů. Toto skenování se provádí s cílem odhalit zranitelné nebo nezabezpečeně konfigurované sítě a informační systémy a informovat dotčené subjekty. Toto skenování nesmí mít negativní dopad na fungování služeb subjektů. Při plnění úkolů uvedených v prvním pododstavci mohou týmy CSIRT některé úkoly upřednostnit na základě přístupu založeného na posouzení rizik.
4. Týmy CSIRT navážou spolupráci s příslušnými zúčastněnými stranami v soukromém sektoru za účelem plnění cílů této směrnice.
5. V zájmu usnadnění spolupráce uvedené v odstavci 4 prosazují týmy CSIRT přijetí a používání společných či
standardních postupů, klasifikačních schémat a taxonomií v oblasti:
a) postupů řešení incidentů;
b) krizového řízení a
c) koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1.
32022L2555
Čl. 13 odst. 2 až 5
2. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, obdržely oznámení o významných incidentech podle článku 23 a o incidentech, kybernetických hrozbách a významných událostech podle článku 30.
3. Členské státy zajistí, aby jejich týmy CSIRT, nebo ve vhodných případech jejich příslušné orgány, informovaly jejich jednotná kontaktní místa o oznámeních o incidentech, kybernetických hrozbách a významných událostech, která byla podána podle této směrnice.
4. S cílem zajistit účinné plnění úkolů a povinností příslušných orgánů, jednotných kontaktních míst a týmů CSIRT zajistí členské státy v co největší možné míře vhodnou spolupráci mezi těmito subjekty a donucovacími orgány, orgány
pro ochranu osobních údajů, vnitrostátními orgány podle nařízení (ES) č. 300/2008 a (EU) 2018/1139, orgány dohledu podle nařízení (EU) č. 910/2014, příslušnými orgány podle nařízení (EU) 2022/2554, vnitrostátními regulačními orgány podle směrnice (EU) 2018/1972, příslušnými orgány podle směrnice (EU) 2022/2557, a příslušnými orgány podle dalších odvětvových právních aktů Unie v daném členském státě.
5. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle směrnice (EU) 2022/2557spolupracovaly a pravidelně si vyměňovaly informace o určení kritických subjektů, o rizicích, kybernetických
hrozbách a incidentech, jakož i o jiných než kybernetických rizicích, hrozbách a incidentech postihujících základní subjekty určené jakožto kritické podle směrnice (EU) 2022/2557, jakož i o opatřeních přijatých v reakci na tato rizika, hrozby a incidenty. Členské státy rovněž zajistí, aby si jejich příslušné orgány podle této směrnice a jejich příslušné orgány podle nařízení (EU) č. 910/2014, nařízení (EU) 2022/2554a směrnice (EU) 2018/1972 pravidelně vyměňovaly relevantní informace, včetně informací o příslušných incidentech a kybernetických hrozbách.
6. Členské státy zjednoduší poskytování informací technickými prostředky pro oznamování podle článků 23 a 30.
32022L2555
Čl. 15 odst. 2
Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10 a zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU). Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajišťuje sekretariát a aktivně podporuje spolupráci mezi týmy CSIRT.
32022L2555
Čl. 19
Skupina pro spolupráci do 17. ledna 2025 s pomocí Komise a agentury ENISA a případně sítě CSIRT vypracuje metodiku a organizační aspekty vzájemných hodnocení s cílem poučit se ze společných zkušeností, posílit vzájemnou
důvěru, dosáhnout společné vysoké úrovně kybernetické bezpečnosti a posílit schopnosti a politické strategie členských států v oblasti kybernetické bezpečnosti, které jsou nezbytné pro provádění této směrnice. Účast na vzájemných
hodnoceních je dobrovolná. Vzájemná hodnocení provádějí odborníci na kybernetickou bezpečnost. Odborníky na kybernetickou bezpečnost určí nejméně dva členské státy, které nejsou posuzovanými členskými státy.
Vzájemná hodnocení musí zahrnovat alespoň jeden z následujících aspektů:
a) úroveň provádění opatření k řízení kybernetických bezpečnostních rizik a plnění oznamovacích povinností
stanovených v článcích 21 a 23;
b) úroveň kapacit, včetně dostupných finančních, technických a lidských zdrojů, a účinnost plnění úkolů příslušných
orgánů;
c) provozní kapacity týmů CSIRT;
d) úroveň uskutečňování vzájemné pomoci podle článku 37;
e) úroveň provádění ujednání o sdílení informací o kybernetické bezpečnosti podle článku 29;
f) specifické otázky přeshraniční nebo meziodvětvové povahy.
2. Metodika uvedená v odstavci 1 zahrnuje objektivní, nediskriminační, korektní a transparentní kritéria, na jejichž
základě členské státy určí odborníky na kybernetickou bezpečnost způsobilé provádět vzájemná hodnocení. Komise
a agentura ENISA se budou vzájemných hodnocení účastnit jako pozorovatelé.
3. Pro účely vzájemného hodnocení mohou členské státy určit konkrétní otázky, jak je uvedeno v odst. 1 písm. f).
4. Před zahájením vzájemného hodnocení podle odstavce 1 oznámí členské státy zúčastněným členským státům jeho
rozsah, včetně konkrétních otázek, jež byly ve smyslu odstavce 3 určeny.
5. Před zahájením vzájemného hodnocení mohou členské státy provést sebehodnocení posuzovaných aspektů, které
poté poskytnou určeným odborníkům na kybernetickou bezpečnost. Metodiku sebehodnocení členských států stanoví
skupina pro spolupráci za pomoci Komise a agentury ENISA.
6. Vzájemná hodnocení zahrnují osobní nebo virtuální návštěvy na místě i externí výměny informací. S ohledem na
zásadu dobré spolupráce poskytnou členské státy podléhající vzájemnému hodnocení určeným odborníkům na
kybernetickou bezpečnost informace potřebné k posouzení, aniž by tím bylo dotčeno právo členských států nebo Unie
týkající se ochrany důvěrných či utajovaných informací nebo plnění základních funkcí státu, jako je národní bezpečnost.
Skupina pro spolupráci ve spolupráci s Komisí a agenturou ENISA vypracuje vhodné kodexy chování, které budou tvořit
základ pracovních metod určených odborníků na kybernetickou bezpečnost. Veškeré informace získané v rámci
vzájemného hodnocení lze použít pouze pro tento účel. Odborníci na kybernetickou bezpečnost účastnící se vzájemného
hodnocení nesmí sdělit žádné citlivé nebo důvěrné informace získané v průběhu tohoto vzájemného hodnocení žádným
třetím stranám.
7. Tytéž aspekty, které již byly v členském státě předmětem vzájemného hodnocení, nepodléhají v tomto členském státě
v průběhu dvou let po ukončení vzájemného hodnocení dalšímu posuzování, pokud o to členský stát nepožádá nebo
pokud to není výsledkem dohody na základě návrhu skupiny pro spolupráci.
8. Členské státy zajistí, aby byly ostatní členské státy, skupina pro spolupráci, Komise a agentura ENISA před zahájením
vzájemného hodnocení informovány o jakémkoli riziku střetu zájmů týkajícím se určených odborníků na kybernetickou
bezpečnost. Členský stát podléhající vzájemnému hodnocení může vznést námitku vůči určení konkrétních odborníků na
kybernetickou bezpečnost, a to na základě řádného odůvodnění, které sdělí členskému státu, který tyto odborníky určil.
9. Odborníci na kybernetickou bezpečnost účastnící se vzájemných hodnocení vypracují návrhy zpráv o zjištěních
a závěrech těchto vzájemných hodnocení. Členské státy podléhající vzájemnému hodnocení mohou předložit připomínky
k návrhům zpráv, které se jich týkají, a tyto připomínky se poté ke zprávám připojí. Zprávy obsahují doporučení, jejichž
cílem je dosáhnout zlepšení v aspektech, jichž se vzájemné hodnocení týká. Zprávy se předloží skupině pro spolupráci
a v příslušném případě síti CSIRT. Členský stát podléhající vzájemnému hodnocení se může rozhodnout svou zprávu nebo
její upravenou verzi zveřejnit.
§ 44
(1) Úřad je správcem a provozovatelem Portálu NÚKIB, který slouží k výkonu pravomocí Úřadu, sdílení informací, provádění digitálních úkonů a poskytování digitálních služeb podle tohoto zákona.
(2) Úkony podle § 8 odst. 1, § 9 odst. 1, § 12 odst. 1, § 16 odst. 1 a 2, § 20 odst. 3, § 32 odst. 1 písm. b) a § 57 odst. 1 je poskytovatel regulované služby povinen provádět výlučně elektronicky s využitím dálkového přístupu prostřednictvím formulářových podání. Jiným způsobem lze tyto úkony provést pouze, připouští-li to odpovídající ustanovení tohoto zákona a není-li z objektivních příčin možné využít k provedení úkonu Portál NÚKIB. Úkon, který nebude proveden tímto způsobem, ve formátu a struktuře stanovené prováděcím právním předpisem, je neúčinný.
(3) Technické a organizační podmínky používání Portálu NÚKIB, obsahové náležitosti, formát, strukturu a způsob provedení úkonů podle odstavce 2 stanoví prováděcí právní předpis.
32022L2555
Čl. 13 odst. 6
6. Členské státy zjednoduší poskytování informací technickými prostředky pro oznamování podle článků 23 a 30.
32022L2555
Čl. 29 odst. 3
3. Členské státy usnadní zavedení ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tohoto článku. Tato ujednání mohou upřesnit provozní prvky, včetně použití vyhrazených platforem IKT a nástrojů automatizace, obsah a podmínky ujednání o sdílení informací. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání, přičemž mohou stanovit podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 7 odst. 2 písm. h).
§ 46 odst. 1
(1) Stanoví-li přímo použitelný předpis Evropské unie vydaný na základě aktu o kybernetické bezpečnosti konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti rozhoduje o žádostech o autorizaci subjektu posuzování shody, a pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti nebo přímo použitelného předpisu Evropské unie vydaného na základě aktu o kybernetické bezpečnosti, o pozastavení vykonatelnosti, o změně nebo o zrušení rozhodnutí o autorizaci.
32019R0881
Čl. 58 odst. 7 písm. e)
7. Vnitrostátní orgány certifikace kybernetické bezpečnosti:
e) v příslušných případech autorizují subjekty posuzování shody podle čl. 60 odst. 3 a omezují, pozastavují nebo odebírají stávající autorizaci, pokud subjekty posuzování shody porušují požadavky tohoto nařízení;
§ 46 odst. 2
(2) Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti.
32019R0881
Čl. 54 odst. 1 písm. f)
1. Evropský systém certifikace kybernetické bezpečnosti zahrnuje alespoň tyto prvky:
f) v příslušných případech konkrétní nebo dodatečné požadavky na subjekty posuzování shody, s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost;
§ 46 odst. 3
(3) V rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci podle odstavce 1 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nezjedná nápravu, rozhodne Úřad o změně či zrušení rozhodnutí o autorizaci.
32019R0881
Čl. 60 odst. 3
3. Stanoví-li evropské systémy certifikace kybernetické bezpečnosti konkrétní nebo dodatečné požadavky podle čl. 54 odst. 1 písm. f), jsou k vykonávání úkolů v rámci těchto systémů vnitrostátním orgánem certifikace kybernetické bezpečnosti autorizovány pouze ty subjekty posuzování shody, které uvedené požadavky splňují.
§ 47 odst. 1
(1) Úřad jako Národní koordinační centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti posuzuje podle přímo použitelného předpisu Evropské unie 6) způsobilost žadatele o registraci členství v Komunitě kompetencí pro kybernetickou bezpečnost 7) (dále jen „Komunita“).
6) Čl. 8 odst. 4 Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021.
7) Čl. 8 Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 47 odst. 2 písm. a)
(2) Registrovaným členem Komunity může být pouze žadatel o registraci členství v Komunitě (dále jen „žadatel“), který Úřadu prokáže
a) základní způsobilost žadatele a
32021R0887
Čl. 8 odst. 3
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto
oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 47 odst. 2 písm. b)
(2) Registrovaným členem Komunity může být pouze žadatel o registraci členství v Komunitě (dále jen „žadatel“), který Úřadu prokáže
b) zvláštní způsobilost žadatele.
32021R0887
Čl. 8 odst. 3
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto
oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
§ 48 odst. 1 písm. a)
(1) Žadatel má základní způsobilost, pokud
a) má sídlo nebo místo podnikání na území České republiky,
32021R0887
Čl. 8 odst. 3
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto
oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
§ 48 odst. 1 písm. b)
(1) Žadatel má základní způsobilost, pokud
b) není zapsaný na vnitrostátním sankčním seznamu8),
8) Zákon č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon).
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 48 odst. 1 písm. c) až g)
(1) Žadatel má základní způsobilost, pokud
c) nebyl v posledních 5 letech před podáním žádosti pravomocně odsouzen pro trestný čin, jehož skutková podstata souvisí s předmětem podnikání žadatele, nebo pro trestný čin hospodářský, trestný čin proti majetku, trestný čin obecně nebezpečný, trestný čin proti České republice, cizímu státu a mezinárodní organizaci, trestný čin proti pořádku ve věcech veřejných; k zahlazeným odsouzením se nepřihlíží,
d) nemá v České republice v evidenci daní zachycen splatný daňový nedoplatek,
e) nemá v České republice splatný nedoplatek na pojistném nebo na penále na veřejné zdravotní pojištění,
f) nemá v České republice splatný nedoplatek na pojistném nebo na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti,
g) není v likvidaci9), nebylo proti němu vydáno rozhodnutí o úpadku10), nebyla vůči němu nařízena nucená správa podle jiného právního předpisu11).
9) § 187 občanského zákoníku.
10) § 136 zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů.
11) Například zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, zákon č. 363/1999 Sb., o pojišťovnictví a o změně některých souvisejících zákonů.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 48 odst. 3, 4 a 6
(3) U žadatele, je-li právnickou osobou, Úřad zjistí údaje o jeho skutečném majiteli podle zákona upravujícího evidenci skutečných majitelů 12) (dále jen „skutečný majitel“) z evidence skutečných majitelů podle téhož zákona (dále jen „evidence skutečných majitelů“).
(4) Žadatel není způsobilý, pokud
a) je právnickou osobou, která má skutečného majitele, pokud nebylo podle odstavce 3 možné zjistit údaje o jeho skutečném majiteli z evidence skutečných majitelů,
b) skutečným majitelem je osoba usazená mimo území členských států Evropské unie a členských států Evropského sdružení volného obchodu, nebo
c) skutečným majitelem je osoba uvedená na vnitrostátním sankčním seznamu8).
(6) Žadatel není způsobilý, pokud Úřad vydal opatření obecné povahy podle § 30 odst. 1, ve kterém stanovil podmínky pro využití plnění žadatele nebo zakázal využití plnění žadatele jako dodavatele bezpečnostně významné dodávky.
8) Zákon č. 1/2023 Sb., o omezujících opatřeních proti některým závažným jednáním uplatňovaných v mezinárodních vztazích (sankční zákon).
12) Zákon č. 37/2021 Sb., o evidenci skutečných majitelů.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 49
Zvláštní způsobilost má žadatel, který prokáže, že je způsobilý k registraci podle přímo použitelného předpisu Evropské unie13).
13) Čl. 8 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021.
32021R0887
Čl. 8 odst. 3
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto
oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
§ 50
(1) V případě, že žadatel splní podmínky podle § 47 odst. 2, Úřad postoupí žádost žadatele registrujícímu orgánu podle přímo použitelného předpisu Evropské unie14) (dále jen „registrující orgán“).
(2) V případě pochybností, zda žadatel splňuje podmínky podle § 47 odst. 2, zahájí Úřad řízení o nezpůsobilosti žadatele k registraci členství v Komunitě.
(3) Po právní moci rozhodnutí o nezpůsobilosti žadatele k registraci členství v Komunitě vydaného v řízení podle odstavce 2 Úřad postoupí registrujícímu orgánu žádost žadatele a současně vyrozumí registrující orgán o nezpůsobilosti žadatele k registraci členství v Komunitě.
14) Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 51
(1) Úřad průběžně posuzuje plnění požadavků podle § 47 odst. 2 po celou dobu trvání členství žadatele v Komunitě, jehož žádosti o registraci v Komunitě bylo registrujícím orgánem vyhověno.
(2) V případě, že žadatel, který je registrovaný jako člen Komunity, nesplňuje podmínky podle § 47 odst. 2, zahájí Úřad řízení o nezpůsobilosti žadatele k členství v Komunitě.
(3) Po právní moci rozhodnutí o nezpůsobilosti žadatele k členství v Komunitě vydaného v řízení podle odstavce 2 Úřad vyrozumí registrující orgán o nezpůsobilosti žadatele k členství v Komunitě.
32021R0887
Čl. 8 odst. 4
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
§ 53
(1) Úřad a provozovatel Národního CERT zpracovávají osobní údaje, jsou-li nezbytné pro výkon jejich působnosti. Tyto údaje Úřad a provozovatel Národního CERT předávají orgánům veřejné moci nebo osobám, je-li to nezbytné pro plnění jejich úkolů a nedojde-li tím k porušení povinnosti mlčenlivosti podle tohoto zákona.
(2) Úřad a provozovatel Národního CERT při zpracování osobních údajů, na které se vztahuje přímo použitelný předpis Evropské unie upravující ochranu osobních údajů,
a) nemusí omezit zpracování osobních údajů v případě, že subjekt údajů popírá jejich přesnost nebo vznesl námitku proti tomuto zpracování a
b) mohou v rámci výkonu své působnosti využít osobní údaje i pro jiné účely, než pro které byly shromážděny.
(3) Pokud Úřad nebo provozovatel Národního CERT v rámci činnosti, na kterou se vztahuje přímo použitelný předpis Evropské unie upravující ochranu osobních údajů, při řešení kybernetického bezpečnostního incidentu nebo kybernetické bezpečnostní události, při prevenci kybernetických hrozeb nebo rizik anebo při výkonu kontroly obdrží osobní údaje, které zpracovávají pouze za účelem plnění povinností podle tohoto zákona, po dobu plnění těchto povinností dále nemusí
a) poskytovat subjektu údajů informace o opravách nebo výmazech osobních údajů nebo omezení jejich zpracování,
b) zajistit přístup subjektu údajů k osobním údajům, nebo
c) opravit či doplnit osobní údaje na žádost subjektu údajů.
32022L2555
Čl. 2 odst. 14
14. Subjekty, příslušné orgány, jednotná kontaktní místa a týmy CSIRT zpracovávají osobní údaje pouze v rozsahu nezbytném pro účely této směrnice a v souladu s nařízením (EU) 2016/679 a takové zpracování se opírá o článek 6 uvedeného nařízení.
§ 54 odst. 1
(1) Úřad spolupracuje při uplatňování tohoto zákona s příslušnými orgány jiných členských států Evropské unie (dále jen „jiný členský stát“), zejména může poskytovat a žádat o součinnost ve formě
a) sdílení informací,
b) provedení kontroly nebo jiných úkonů vůči poskytovateli regulované služby, nebo
c) koordinace při kontrolách poskytovatelů regulovaných služeb poskytujících regulované služby ve více členských státech, včetně možnosti přizvání zástupců příslušných orgánů jiného členského státu k účasti na kontrole.
32022L2555
Čl. 26 odst. 5
5. Členské státy, které obdržely žádost o vzájemnou pomoc týkající se subjektu podle odst. 1 písm. b), mohou v mezích této žádosti přijmout ohledně dotčeného subjektu, který poskytuje služby nebo má síť nebo informační systém na jejich území, odpovídající opatření v oblasti dohledu a vymáhání.
32022L2555
Čl. 37 odst. 1 a 2
1. Pokud subjekt poskytuje služby ve více než jednom členském státě, nebo pokud poskytuje služby v jednom nebo více členských státech a jeho sítě a informační systémy se nacházejí v jednom či více jiných členských státech, příslušné orgány
dotčených členských států podle potřeby spolupracují a jsou si navzájem nápomocny. Tato spolupráce spočívá alespoň v tomto:
a) příslušné orgány uplatňující opatření v oblasti dohledu nebo vymáhání v členském státě kontaktují prostřednictvím
jednotného kontaktního místa příslušné orgány v ostatních dotčených členských státech, konzultují s nimi a informují
je ohledně přijatých opatření v oblasti dohledu a vymáhání;
b) příslušný orgán může požádat jiný příslušný orgán, aby učinil opatření v oblasti dohledu nebo vymáhání;
c) po obdržení odůvodněné žádosti jiného příslušného orgánu poskytne příslušný orgán druhému příslušnému orgánu
vzájemnou pomoc úměrnou vlastním zdrojům, aby bylo možné provést opatření v oblasti dohledu nebo vymáhání účinně, účelně a důsledně.
Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů.
Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného
orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
2. Je-li to vhodné, mohou se příslušné orgány z různých členských států vzájemně dohodnout, že budou provádět společné činnosti v oblasti dohledu
§ 54 odst. 2
(2) Úřad může žádost o součinnost odmítnout pouze
a) není-li příslušný nebo nemá-li pravomoc provést požadovaný úkon,
b) je-li žádost o součinnost s ohledem na kapacity Úřadu zjevně nepřiměřená, nebo
c) týká-li se žádost informací nebo zahrnuje-li činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy České republiky v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
32022L2555
Čl. 37 odst. 1
Vzájemná pomoc uvedená v prvním pododstavci písm. c) může zahrnovat žádosti o informace a opatření v oblasti dohledu, včetně žádostí o provedení kontrol na místě nebo externího dohledu, případně cílených bezpečnostních auditů. Příslušný orgán, kterému je určena žádost o pomoc, nemůže tuto žádost odmítnout, ledaže se prokáže, že tento orgán není příslušný k poskytnutí požadované pomoci nebo požadovaná pomoc není úměrná úkolům dohledu příslušného orgánu nebo že se žádost týká informací nebo zahrnuje činnosti, které by v případě zveřejnění nebo provedení byly v rozporu se zásadními zájmy v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany daného členského státu. Před zamítnutím takové žádosti konzultuje příslušný orgán ostatní dotčené příslušné orgány a na žádost jednoho z dotčených členských států také Komisi a agenturu ENISA.
§ 54 odst. 3
(3) Poskytuje-li poskytovatel regulované služby, který má sídlo v jiném členském státě Evropské unie, v rámci České republiky službu
a) překladu jmen domén (DNS),
b) správy a provozu registru internetových domén nejvyšší úrovně,
c) cloud computingu,
d) datového centra,
e) sítě pro doručování obsahu (CDN),
f) on-line tržiště,
g) internetového vyhledávače,
h) platformy sociální sítě,
i) řízené služby (MSP), nebo
j) řízené bezpečnostní služby (MSSP),
je Úřad oprávněn vůči této osobě provést kontrolu nebo jiný úkon na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
32022L2555
Čl. 26 odst. 1 písm. b)
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů
b) provozovatelé DNS, registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, u nichž se má za to, že podléhají pravomoci členského státu, ve kterém mají hlavní provozovnu v Unii podle odstavce 2;
32022L2555
Čl. 26 odst. 2
2. Pro účely této směrnice se má za to, že hlavní provozovna subjektu podle odst. 1 písm. b) v Unii je umístěna v členském státě, v němž jsou převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. Nelze-li takový členský stát určit, nebo nejsou-li tato rozhodnutí přijímána v Unii, má se za to, že hlavní provozovna je v členském státě, v němž daný subjekt provádí činnosti k zajištění kybernetické bezpečnosti. Nelze-li takový členský stát určit, má se za to, že dotčený subjekt má hlavní provozovnu v členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.
§ 54 odst. 4
(4) Nachází-li se v rámci České republiky aktiva sloužící k poskytování některé ze služeb uvedených v odstavci 3, ale poskytovatel regulované služby má umístěnu svou hlavní provozovnu v jiném členském státě, je Úřad oprávněn ve vztahu k těmto aktivům sloužícím k poskytování těchto služeb provést kontrolu nebo jiný úkon na základě a v rozsahu žádosti o součinnost ze strany jiného členského státu, v němž má poskytovatel regulované služby umístěnu svou hlavní provozovnu.
32022L2555
Čl. 26 odst. 5
Členské státy, které obdržely žádost o vzájemnou pomoc týkající se subjektu podle odst. 1 písm. b), mohou v mezích této žádosti přijmout ohledně dotčeného subjektu, který poskytuje služby nebo má síť nebo informační systém na jejich území, odpovídající opatření v oblasti dohledu a vymáhání.
§ 54 odst. 5
(5) Umístěním hlavní provozovny se rozumí místo v Evropské unii, kde osoba poskytující služby uvedené v odstavci 3 převážně přijímá rozhodnutí související s řízením rizik v oblasti kybernetické bezpečnosti. Nelze-li takové místo určit podle věty první, nebo nejsou-li taková rozhodnutí přijímána v Evropské unii, má se za to, že je hlavní provozovna umístěna v členském státě Evropské unie, kde se provádějí faktické úkony vedoucí k zajištění kybernetické bezpečnosti. Nelze-li takové místo určit podle věty první a druhé, má se za to, že je hlavní provozovna umístěna v členském státě Evropské unie, kde má osoba provozovnu s nejvyšším počtem zaměstnanců.
32022L2555
Čl. 26 odst. 2
2. Pro účely této směrnice se má za to, že hlavní provozovna subjektu podle odst. 1 písm. b) v Unii je umístěna v členském státě, v němž jsou převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. Nelze-li takový členský stát určit, nebo nejsou-li tato rozhodnutí přijímána v Unii, má se za to, že hlavní provozovna je v členském státě, v němž daný subjekt provádí činnosti k zajištění kybernetické bezpečnosti. Nelze-li takový členský stát určit, má se za to, že dotčený subjekt má hlavní provozovnu v členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.
§ 54 odst. 6
(6) Ustanovení odstavce 3 se uplatní i vůči subjektu poskytujícímu službu registrace doménových jmen v rámci České republiky.
32022L2555
Čl. 26 odst. 1 písm. b)
1. Má se za to, že subjekty spadající do oblasti působnosti této směrnice podléhají pravomoci členského státu, v němž jsou usazeny, s výjimkou těchto případů
b) provozovatelé DNS, registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, u nichž se má za to, že podléhají pravomoci členského státu, ve kterém mají hlavní provozovnu v Unii podle odstavce 2;
32022L2555
Čl. 26 odst. 2
2. Pro účely této směrnice se má za to, že hlavní provozovna subjektu podle odst. 1 písm. b) v Unii je umístěna v členském státě, v němž jsou převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. Nelze-li takový členský stát určit, nebo nejsou-li tato rozhodnutí přijímána v Unii, má se za to, že hlavní provozovna je v členském státě, v němž daný subjekt provádí činnosti k zajištění kybernetické bezpečnosti. Nelze-li takový členský stát určit, má se za to, že dotčený subjekt má hlavní provozovnu v členském státě, v němž má provozovnu s nejvyšším počtem zaměstnanců v Unii.
§ 56 odst. 1
(1) Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak orgány a osoby plní povinnosti stanovené tímto zákonem, rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle tohoto zákona, a dodržují prováděcí právní předpisy v oblasti kybernetické bezpečnosti.
32022L2555
Čl. 31 odst. 1 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci
§ 56 odst. 2
(2) Při výkonu kontroly se postupuje podle kontrolního řádu.
32022L2555
Čl. 31 odst. 2
2. Členské státy mohou svým příslušným orgánům umožnit, aby v rámci dohledu vymezily priority u svých činností. Toto vymezení priorit vychází z přístupu založeného na posouzení rizik. Za tímto účelem mohou příslušné orgány při výkonu svých dohledových úkolů stanovených v článcích 32 a 33 stanovit metodiky dohledu, které umožní stanovit
priority těchto úkolů na základě přístupu vyplývajícího z posouzení rizik.
32022L2555
Čl. 32 odst. 1, 2, 3, 7, 8
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti
s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti se základními subjekty pravomoc podrobit tyto subjekty alespoň:
a) kontrolám na místě i externímu dohledu, včetně namátkových kontrol, které provádí vyškolení odborníci;
b) pravidelným a cíleným bezpečnostním auditům, které provádí nezávislý subjekt nebo příslušný orgán;
c) auditům ad hoc, a to i v případech odůvodněných významným incidentem nebo porušením této směrnice ze strany
základního subjektu;
d) bezpečnostním prověrkám na základě objektivních, nediskriminačních, korektních a transparentních kritérií posouzení rizik, které se v případě potřeby provedou ve spolupráci s dotčeným subjektem;
e) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti
předkládat informace příslušným orgánům podle článku 27;
f) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon dohledových úkolů;
g) požadavkům na doložení provádění zásad kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů
provedených kvalifikovaným auditorem a příslušné podpůrné doklady.
Cílené bezpečnostní audity uvedené v prvním pododstavci písm. b) jsou založeny na posouzení rizik, jež provede příslušný orgán nebo auditovaný subjekt, nebo na jiných dostupných informacích týkajících se rizik.
Výsledky cíleného bezpečnostního auditu se zpřístupní příslušnému orgánu. Náklady na takový cílený bezpečnostní audit provedený nezávislým subjektem hradí auditovaný subjekt, s výjimkou řádně odůvodněných případů, kdy příslušný orgán
rozhodne jinak.
3. Při výkonu svých pravomocí podle odst. 2 písm. e), f) či g) uvedou příslušné orgány účel žádosti a upřesní informace, které jsou požadovány.
7. Při přijímání opatření v oblasti vymáhání podle odstavce 4 nebo 5 dodržují příslušné orgány práva na obhajobu a zohlední okolnosti každého jednotlivého případu a v úvahu vezmou alespoň:
a) závažnost porušení a významnost porušených ustanovení, přičemž následující porušení se vždy považují za závažná:
i) opakovaná porušení;
ii) neoznámení nebo nezajištění nápravy významných incidentů;
iii) nenapravení nedostatků podle závazných pokynů příslušných orgánů;
iv) maření auditů nebo sledovací činnosti nařízené příslušným orgánem po zjištění porušení;
v) poskytnutí nepravdivých nebo hrubě nepřesných informací v souvislosti s opatřeními pro řízení rizik v oblasti kybernetické bezpečnosti nebo oznamovacími povinnostmi stanovenými v článcích 21 a 23;
b) dobu trvání porušení;
c) veškerá relevantní porušení, kterých se dotčený subjekt dopustil v minulosti;
d) způsobenou hmotnou nebo nehmotnou újmu, včetně jakékoli finanční nebo ekonomické ztráty, účinků na jiné služby a počtu postižených uživatelů;
e) jakýkoli úmysl nebo nedbalost pachatele porušení;
f) jakákoli opatření přijatá subjektem za účelem zamezení nebo zmírnění hmotné nebo nehmotné újmy;
g) jakékoli dodržování schválených kodexů chování nebo schválených certifikačních mechanismů;
h) úroveň spolupráce odpovědné fyzické nebo právnické osoby s příslušnými orgány.
8. Příslušné orgány svá opatření v oblasti vymáhání podrobně odůvodní. Příslušné orgány před přijetím těchto opatření oznámí dotčeným subjektům svá předběžná zjištění. Rovněž těmto subjektům poskytnou přiměřenou dobu na předložení
připomínek, s výjimkou řádně odůvodněných případů, kdy by to bránilo přijetí okamžitých opatření k předcházení incidentům nebo reakci na ně.
32022L2555
Čl. 33 odst. 1, 2, 3, 5
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
2. Členské státy zajistí, aby příslušné orgány měly při výkonu svých dohledových úkolů v souvislosti s důležitými subjekty pravomoc podrobit tyto subjekty alespoň:
a) kontrolám na místě i externímu dohledu ex post, které provádí vyškolení odborníci;
b) cíleným bezpečnostním auditům, které provádí nezávislý subjekt nebo příslušný orgán;
c) bezpečnostním prověrkám na základě objektivních, nediskriminačních, korektních a transparentních kritérií posouzení rizik, které se v případě potřeby provedou ve spolupráci s dotčeným subjektem;
d) požadavkům na informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik ex post
přijatých dotčeným subjektem, včetně zadokumentovaných zásad kybernetické bezpečnosti, jakož i dodržování povinnosti předkládat informace příslušným orgánům podle článku 28;
e) požadavkům na přístup k údajům, dokumentům a informacím potřebným pro výkon jejich dohledových úkolů;
f) požadavkům na doložení provádění zásad kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů provedených kvalifikovaným auditorem a příslušné podpůrné doklady.
Cílené bezpečnostní audity uvedené v prvním pododstavci písm. b) jsou založeny na posouzení rizik, jež provede příslušný orgán nebo auditovaný subjekt, nebo na jiných dostupných informacích týkajících se rizik.
Výsledky cíleného bezpečnostního auditu se zpřístupní příslušnému orgánu. Náklady na takový cílený bezpečnostní audit provedený nezávislým subjektem hradí auditovaný subjekt, s výjimkou řádně odůvodněných případů, kdy příslušný orgán
rozhodne jinak.
3. Při výkonu svých pravomocí podle odst. 2 písm. d), e) nebo f) uvedou příslušné orgány účel žádosti a upřesní informace, které jsou požadovány.
5. Ustanovení čl. 32 odst. 6, 7 a 8 se obdobně použijí na opatření v oblasti dohledu a vymáhání stanovená v tomto článku pro důležité subjekty.
§ 57 odst. 1
(1) Zjistí-li Úřad při kontrole nedostatky, může rozhodnutím uložit kontrolovanému orgánu nebo osobě, aby je ve stanovené lhůtě odstranila, popřípadě určit jakým způsobem. Úřad může v rozhodnutí uložit orgánu nebo osobě povinnost oznámit Úřadu provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Náležitosti a způsob hlášení stanoví prováděcí právní předpis.
32022L2555
Čl. 31 odst. 1 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 1, 4 písm. a), b), c), d), f), g), h), 7 a 8
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice dotčenými subjekty;
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě,
lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty
napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu
s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené
lhůtě;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) určit na stanovenou dobu pracovníka pro sledování s přesně vymezenými úkoly, který bude dohlížet na dodržování
článků 21 a 23 ze strany dotčených subjektů;
h) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
32022L2555
Čl. 33 odst. 1, 4 písm. a) b), c), d), f) a g) a 5
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
a) vydat varování o porušení této směrnice ze strany dotčených subjektů;
b) přijmout závazné pokyny nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily chování, které porušuje tuto směrnici, a takového chování se znovu nedopouštěly;
d) nařídit dotčeným subjektům, aby zajistily, že jejich opatření k řízení kybernetických bezpečnostních rizik jsou v souladu s článkem 21, nebo aby plnily oznamovací povinnosti stanovené v článku 23, a to určeným způsobem a ve stanovené
lhůtě;
f) nařídit dotčeným subjektům, aby v přiměřené lhůtě provedly doporučení vydaná v důsledku bezpečnostního auditu;
g) nařídit dotčeným subjektům, aby určeným způsobem zveřejnily aspekty týkající se porušení této směrnice;
5. Ustanovení čl. 32 odst. 6, 7 a 8 se obdobně použijí na opatření v oblasti dohledu a vymáhání stanovená v tomto článku pro důležité subjekty.
§ 58 odst. 1 písm. a) a b)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
a) neprovede registraci nebo změnu registrace poskytovatele regulované služby podle § 8 odst. 1 a 2 nebo § 9 odst. 1 nebo 2,
b) nenahlásí registrační, kontaktní údaje nebo další údaje nebo jejich změnu Úřadu podle § 12 odst. 1 a 4,
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 27
1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného
rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 58 odst. 1 písm. d) až g)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva podle § 13 odst. 1 písm. a),
e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c),
f) nevede dokumentovaný záznam o identifikaci a určení organizačních částí a aktiv podle § 13 odst. 3,
g) v rozporu s § 14 nezavede nebo neprovádí bezpečnostní opatření,
32022L2555
Čl. 21 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační
opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby.
S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
§ 58 odst. 1 písm. h) až j)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
h) neohlásí kybernetický bezpečnostní incident podle § 16 odst. 1 nebo nepředloží prvotní hlášení o incidentu podle § 17 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 17 odst. 3,
i) neposkytne informace nebo součinnost při zvládání incidentu podle § 18 odst. 3,
j) neplní povinnost informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovenou rozhodnutím Úřadu podle § 19 odst. 1,
32022L2555
Čl. 23 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
§ 58 odst. 1 písm. k)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
k) neplní povinnost informovat uživatele regulované služby o významné kybernetické hrozbě a krocích, které může uživatel služby učinit v reakci na ni podle § 19 odst. 2,
32022L2555
Čl. 23 odst. 2
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné
32022L2555
Čl. 32 odst. 4 písm. e)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
e) nařídit dotčeným subjektům, aby informovaly fyzické nebo právnické osoby, v souvislosti s nimiž poskytují služby nebo vykonávají činnosti, které jsou potenciálně postiženy významnou kybernetickou hrozbou, o povaze této hrozby, jakož i o všech možných ochranných nebo nápravných opatřeních, jež by mohly tyto fyzické nebo právnické osoby učinit v reakci na tuto hrozbu;
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 58 odst. 1 písm. m)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
m) neplní povinnost uloženou Úřadem rozhodnutím o výstraze podle § 21,
32022L2555
Čl. 23 odst. 7
7. Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
§ 58 odst. 1 písm. n)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
n) neplní povinnost uloženou rozhodnutím o vydání reaktivního protiopatření nebo opatřením obecné povahy vydaným Úřadem podle § 23,
32022L2555
Čl. 32 odst. 4 písm. b) a c)
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
b) přijmout závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě,
lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby dotčené subjekty
napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily porušování této směrnice, a takového chování se znovu nedopouštěly;
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 58 odst. 1 písm. o)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
o) nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem v rozporu s § 24 odst. 1 nebo 2, nebo
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
§ 58 odst. 1 písm. p)
(1) Poskytovatel regulované služby v režimu vyšších povinností se dopustí přestupku tím, že
p) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 57.
32022L2555
Čl. 21 odst. 4
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
32022L2555
Čl. 34 odst. 4
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. a) a b)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
a) neprovede registraci nebo změnu registrace poskytovatele regulované služby podle § 8 odst. 1 a 2 nebo § 9 odst. 1 nebo 2,
b) nenahlásí registrační, kontaktní údaje nebo další údaje nebo jejich změnu Úřadu podle § 12 odst. 1 a 4,
32022L2555
Čl. 3 odst. 3
3. Členské státy stanoví do 17. dubna 2025 seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Členské státy tento seznam pravidelně, a to alespoň každé dva roky, přezkoumávají a v případě potřeby jej aktualizují.
32022L2555
Čl. 27
1. Agentura ENISA vytvoří a vede registr provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí na základě informací obdržených od jednotných kontaktních míst podle odstavce 4. Agentura ENISA na žádost umožní přístup do uvedeného
rejstříku příslušným orgánům, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.
2. Členské státy vyžadují, aby subjekty uvedené v odstavci 1 do 17. ledna 2025 předložily příslušným orgánům tyto informace:
a) název subjektu;
b) příslušné odvětví, pododvětví a druh subjektu, jak je v příslušných případech uvedeno v příloze I nebo II;
c) adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektu, a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby a
f) IP adresy subjektu.
3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 oznámily příslušnému orgánu všechny změny informací, které předložily podle odstavce 2, a to bezodkladně, nejpozději však do tří měsíců od data změny.
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v odstavcích 2 a 3 tohoto článku předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 58 odst. 2 písm. d) až g)
(2) Poskytovatel regulované služby v režimu nižších povinností se dopustí přestupku tím, že
d) při stanovení rozsahu řízení kybernetické bezpečnosti neidentifikuje všechna primární aktiva podle § 13 odst. 1 písm. a),
e) při stanovení rozsahu řízení kybernetické bezpečnosti neurčí všechna primární aktiva související s poskytováním regulované služby podle § 13 odst. 1 písm. b) nebo organizační části a podpůrná aktiva podle § 13 odst. 1 písm. c),
f) nevede dokumentovaný záznam o identifikaci a určení organizačních částí a aktiv podle § 13 odst. 3,
g) v rozporu s § 14 nezavede nebo neprovádí bezpečnostní opatření,
32022L2555
Čl. 21 odst. 1
Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby. S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. h)
h) neohlásí kybernetický bezpečnostní incident podle § 16 odst. 2 nebo nepředloží prvotní hlášení o incidentu podle § 17 odst. 1 nebo nedoplní některý z údajů o incidentu podle § 17 odst. 3,
32022L2555
Čl. 23 odst. 1
1. Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. i)
i) neposkytne informace nebo součinnost při zvládání incidentu podle § 18 odst. 3,
32022L2555
Čl. 23
Členské státy zajistí, aby základní a důležité subjekty oznamovaly bez zbytečného odkladu svému týmu CSIRT nebo případně svému příslušnému orgánu v souladu s odstavcem 4 každý incident, který má významný dopad na poskytování jejich služeb, jak je uvedeno v odstavci 3 (významný incident). V příslušných případech dotčené subjekty oznámí bez
zbytečného odkladu příjemci svých služeb významné incidenty, které by mohly negativně ovlivnit poskytování těchto služeb. Každý členský stát zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT nebo
případně příslušnému orgánu umožní posoudit případný přeshraniční dopad daného incidentu. Pouhé oznámení nepředstavuje pro oznamující subjekt vyšší míru právní odpovědnosti.
Pokud dotčené subjekty oznámí příslušnému orgánu významný incident podle prvního pododstavce, členský stát zajistí,
aby příslušný orgán toto oznámení po jeho obdržení předal týmu CSIRT.
V případě přeshraničního nebo meziodvětvového významného incidentu členské státy zajistí, aby jejich jednotná kontaktní
místa včas obdržela příslušné informace v souladu s odstavcem 4.
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých
služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež
příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné.
3. Incident se považuje za významný, jestliže:
a) dotčenému subjektu způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty;
b) způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.
4. Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT nebo
případně příslušnému orgánu:
a) bez zbytečného odkladu, nejpozději však do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významný incident způsoben nezákonným nebo svévolným zásahem nebo
že by mohl mít přeshraniční dopad;
b) bez zbytečného odkladu, nejpozději však do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a), předloží prvotní posouzení významného incidentu včetně jeho závažnosti a dopadu a – pokud jsou k dispozici – indikátory kompromitace;
c) na žádost týmu CSIRT nebo případně příslušného orgánu průběžnou zprávu o podstatných aktualizacích stavu;
d) nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
i) podrobný popis incidentu včetně jeho závažnosti a dopadu;
ii) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;
iii) učiněná a probíhající opatření ke zmírnění následků;
iv) případně přeshraniční dopad incidentu;
e) v případě, že v okamžiku, kdy by měla být předložena závěrečná zpráva podle písmene d), incident stále trvá, členské
státy zajistí, aby dotčené subjekty v uvedené lhůtě předložily zprávu o pokroku a následně, nejpozději jeden měsíc po tom, co incident vyřešily, závěrečnou zprávu.
Odchylně od prvního pododstavce písm. b) poskytovatel služby vytvářející důvěru oznámí týmu CSIRT nebo případně
příslušnému orgánu významné incidenty, které mají dopad na jím poskytované služby, a to bez zbytečného odkladu,
nejpozději však do 24 hodin od okamžiku, kdy se o významném incidentu dozvěděl.
5. Tým CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu a pokud možno do 24 hodin po obdržení včasného varování podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvotních vyjádření k významnému
incidentu, a na žádost subjektu pomoc či podporu při zavádění možných opatření ke zmírnění dopadů. Pokud tým CSIRT není prvotním příjemcem oznámení podle odstavce 1, pomoc či podporu poskytne příslušný orgán ve spolupráci s týmem
CSIRT. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření, že má významný incident povahu trestného činu, tým CSIRT nebo příslušný orgán poskytne také pokyny, jak významný incident oznámit orgánům činným v trestním řízení.
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým
CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené
členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT,
příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost
a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
7. Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný
incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého
členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených
členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby
tak učinil daný subjekt.
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle
odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
9. Jednotné kontaktní místo předkládá každé tři měsíce agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná
a agregovaná data o významných incidentech, incidentech, kybernetických hrozbách a významných událostech
oznámených podle odstavce 1 tohoto článku a podle článku 30. V zájmu větší srovnatelnosti poskytovaných informací
může agentura ENISA přijmout technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny.
Agentura ENISA informuje skupinu pro spolupráci a síť CSIRT o svých zjištěních v souvislosti s přijatými oznámeními
každých šest měsíců.
10. Týmy CSIRT nebo případně příslušné orgány poskytnou příslušným orgánům podle směrnice (EU) 2022/2557 informace o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30 subjekty určenými jakožto kritické subjekty podle směrnice (EU) 2022/2557.
11. Komise může přijmout prováděcí akty dále upřesňující druh informací, formát a postup oznámení předkládaných
podle odstavce 1 tohoto článku a podle článku 30 a informací poskytnutých podle odstavce 2 tohoto článku.
Do 17. října 2024 přijme Komise, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb
cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele
řízených služeb, poskytovatele řízených bezpečnostních služeb, jakož i poskytovatele on-line tržišť, internetových
vyhledávačů a služeb platforem sociálních sítí, prováděcí akty dále upřesňující případy, kdy se incident považuje za
významný, jak je uvedeno v odstavci 3. Komise může takové prováděcí akty přijmout také ve vztahu k dalším základním
a důležitým subjektům.
Komise si v souladu s čl. 14 odst. 4 písm. e) poskytuje se skupinou pro spolupráci vzájemné poradenství a spolupracuje s ní,
pokud jde o návrhy prováděcích aktů uvedených v prvním a druhém pododstavci tohoto odstavce.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 39 odst. 2.
32022L2555
Čl. 34. odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. j)
j) neplní povinnost informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem stanovenou rozhodnutím Úřadu podle § 19 odst. 1,
32022L2555
Čl. 21 odst. 1
Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby. S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. k)
k) neplní povinnost informovat uživatele regulované služby o významné kybernetické hrozbě a krocích, které může uživatel služby učinit v reakci na ni podle § 19 odst. 2,
32022L2555
Čl. 23 odst. 2
2. Členské státy příslušně zajistí, aby základní a důležité subjekty informovaly bez zbytečného odkladu příjemce svých služeb, kteří mohou být ovlivněni významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou v reakci na danou hrozbu učinit. Subjekty příjemce příslušně uvědomí také o významné kybernetické hrozbě samotné.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. m)
m) neplní povinnost uloženou Úřadem rozhodnutím o výstraze podle § 21,
32022L2555
Čl. 23 odst. 7
Pokud je nezbytné informovat veřejnost, aby se významnému incidentu zabránilo nebo aby se probíhající významný incident vyřešil, nebo pokud je zveřejnění významného incidentu jinak ve veřejném zájmu, může tým CSIRT některého členského státu nebo případně jeho příslušný orgán, případně týmy CSIRT nebo příslušné orgány jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o významném incidentu nebo požadovat, aby tak učinil daný subjekt.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. n)
n) neplní povinnost uloženou rozhodnutím o vydání reaktivního protiopatření nebo opatřením obecné povahy vydaným Úřadem podle § 23,
32022L2555
Čl. 33 odst. 4 písm. b) a c)
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
b) přijmout závazné pokyny nebo příkaz požadující, aby dotčené subjekty napravily zjištěné nedostatky nebo porušení této směrnice;
c) nařídit dotčeným subjektům, aby ukončily chování, které porušuje tuto směrnici, a takového chování se znovu nedopouštěly.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 58 odst. 2 písm. o)
o) nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem v rozporu s § 24 odst. 1 nebo 2, nebo
32022L2555
Čl. 21 odst. 3
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) tohoto článku subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování vhodných opatření podle uvedeného písmene subjekty měly povinnost zohlednit výsledky koordinovaného posouzení bezpečnostních rizik kritických dodavatelských řetězců, které bylo provedeno v souladu s čl. 22 odst. 1.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 2 písm. p)
p) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 57.
32022L2555
Čl. 21 odst. 4
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 3
(3) Poskytovatel strategicky významné služby se dopustí přestupku tím, že
a) poruší podmínku nebo zákaz uložený Úřadem v opatření obecné povahy podle § 30,
b) nevynaloží přiměřené úsilí k zjištění informace o dodavateli bezpečnostně významné dodávky podle § 32 odst. 1 písm. a),
c) neeviduje informace o dodavateli bezpečnostně významné dodávky podle § 32 odst. 1 písm. a),
d) neohlásí Úřadu informace o dodavateli bezpečnostně významné dodávky nebo jejich změnu podle § 32 odst. 1 písm. b),
e) nezajišťuje dostupnost strategicky významné služby z území České republiky ve stanoveném čase a kvalitě podle § 34 odst. 1, nebo
f) netestuje schopnost zajištění poskytování strategicky významné služby podle § 34 odst. 2.
32022L2555
Čl. 5
5. Tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.
§ 58 odst. 4 a 5
(4) Subjekt poskytující služby registrace jmen domén se dopustí přestupku tím, že
a) nenahlásí Úřadu údaje podle § 35 odst.1 nebo jejich změnu podle § 35 odst. 2,
b) neshromažďuje nebo neuchovává přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi podle § 36 odst. 1 v souladu s požadavky § 36 odst. 2,
c) nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování podle § 36 odst. 3,
d) bez zbytečného odkladu po registraci jména domény neuveřejní její registrační údaje, které nejsou osobními údaji, podle § 36 odst. 4, nebo
e) neposkytne přístup ke konkrétním údajům o registraci jména domény podle § 36 odst. 5.
(5) Subjekt spravující a provozující registr internetových domén nejvyšší úrovně se dopustí přestupku tím, že
a) neshromažďuje nebo neuchovává přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi podle § 36 odst. 1 v souladu s požadavky § 36 odst. 2,
b) nezavede nebo nezveřejní zásady a postupy zajišťující přesnost a úplnost informací vedených v databázi, včetně postupů ověřování podle § 36 odst. 3,
c) bez zbytečného odkladu po registraci jména domény neuveřejní její registrační údaje, které nejsou osobními údaji, podle § 36 odst. 4, nebo
d) neposkytne přístup ke konkrétním údajům o registraci jména domény podle § 36 odst. 5.
32022L2555
Čl. 28
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti systému překladu jmen domén, požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén shromažďovaly a uchovávaly přesné a úplné
údaje o registraci jmen domén ve vyhrazené databázi, a to s náležitou péčí v souladu s právem Unie v oblasti ochrany údajů, pokud jde o data, jež jsou osobními údaji.
2. Členské státy pro účely odstavce 1 vyžadují, aby databáze údajů o registraci jmen domén obsahovala nezbytné informace umožňující identifikaci a kontaktování držitelů jmen domén a kontaktní místa spravující jména domén v registrech domén nejvyšší úrovně. Tyto informace zahrnují:
a) jméno domény;
b) datum registrace;
c) jméno žadatele o registraci, jeho kontaktní e-mailovou adresu a telefonní číslo;
d) kontaktní e-mailovou adresu a telefonní číslo kontaktního místa spravujícího jméno domény, pokud se liší od kontaktních údajů žadatele o registraci.
3. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly zavedeny zásady a postupy, včetně postupů ověřování, zajišťující, aby databáze uvedené v odstavci 1 zahrnovaly přesné
a úplné informace. Členské státy požadují, aby byly tyto zásady a postupy veřejně dostupné.
4. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén zveřejňovaly bez zbytečného odkladu po registraci jména domény údaje o registraci jména domény, které nejsou osobními údaji.
5. Členské státy požadují, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén
poskytovaly přístup ke konkrétním údajům o registraci jmen domén na oprávněnou a řádně odůvodněnou žádost
oprávněných žadatelů o přístup, a to v souladu s právem Unie v oblasti ochrany údajů. Členské státy požadují, aby registry
domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén reagovaly bez zbytečného odkladu, nejpozději však do 72 hodin od obdržení žádosti o přístup. Členské státy požadují, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.
6. Dodržování povinností stanovených v odstavcích 1 až 5 nesmí při shromažďování údajů o registraci jmen domén vést ke zdvojování. Členské státy požadují, aby za tímto účelem registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén vzájemně spolupracovaly.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 58 odst. 6 písm. d)
(6) Orgán nebo osoba se dopustí přestupku tím, že
d) neplní některou z povinností uloženou rozhodnutím o uložení nápravného opatření podle § 57, nebo
32022L2555
Čl. 21 odst. 1 a 4
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby. S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že neodpovídá požadavkům stanoveným v odstavci 2, přijal bez zbytečného odkladu všechna nezbytná, vhodná a přiměřená nápravná opatření.
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 10 a 11
(10) Žadatel se dopustí přestupku tím, že v žádosti o registraci podle § 47 odst. 4 uvede nepravdivé nebo hrubě zkreslené údaje nebo podstatné údaje zamlčí.
(11) Žadatel se dopustí přestupku tím, že v době trvání členství v Komunitě podle § 47 neuvede změnu údajů potřebných pro posouzení jeho základní a zvláštní způsobilosti Úřadem, jejich změnu zamlčí nebo neuvede další skutečnosti rozhodné pro posouzení jeho základní a zvláštní způsobilosti, nebo tyto skutečnosti zamlčí.
32021R0887
Čl. 7 odst. 1 písm. i)
1. Národní koordinační centra mají tyto úkoly:
i) posuzovat žádosti subjektů usazených ve stejném členském státě jako národní koordinační centrum, které se chtějí stát součástí Komunity;
32021R0887
Čl. 8 odst. 3 a 4
3. Registrovanými členy Komunity se stávají pouze subjekty usazené v členských státech. Tyto subjekty musí prokázat, že mohou přispívat k plnění poslání a mají odborné znalosti v oblasti kybernetické bezpečnosti v alespoň jedné z těchto
oblastí:
a) akademická oblast, výzkum nebo inovace;
b) průmyslový vývoj nebo vývoj produktů;
c) odborná příprava a vzdělávání;
d) bezpečnost informací nebo reakce na incidenty;
e) etika;
f) formální a technická normalizace a specifikace.
4. Kompetenční centrum zaregistruje jako členy Komunity subjekty na jejich žádost po posouzení národním koordinačním centrem členského státu, v němž jsou tyto subjekty usazeny, potvrzujícím, že tyto subjekty splňují kritéria
stanovená v odstavci 3 tohoto článku. V tomto posouzení se rovněž zohlední jakékoliv příslušné vnitrostátní posouzení, jež z bezpečnostních důvodů provedly příslušné vnitrostátní orgány. Tato registrace je časově neomezená, ale může být
Kompetenčním centrem kdykoli zrušena, pokud se příslušné národní koordinační centrum domnívá, že dotčený subjekt již nesplňuje kritéria stanovená v odstavci 3 tohoto článku, nebo pokud se na něj vztahuje článek 136 finančního nařízení, nebo existují opodstatněné bezpečnostní důvody. Je-li členství v Komunitě zrušeno z bezpečnostních důvodů, musí být rozhodnutí o zrušení členství přiměřené a odůvodněné. Národní koordinační centra usilují o dosažení vyváženého zastoupení zúčastněných stran v Komunitě a aktivně povzbuzují k účasti zejména malé a střední podniky.
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 58 odst. 12 až 14
(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.
(13) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti15),
b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti,
c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti, nebo
d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti.
(14) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti,
d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti,
e) provede bez autorizace činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody,
f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti nebo mimo rozsah této akreditace, nebo
g) jako subjekt posuzování shody nesplní Úřadem uloženou povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení podle § 60 odst. 1.
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 58 odst. 15 písm. a) a b)
(15) Za přestupek lze uložit pokutu do
a) 250 000 000 Kč nebo do výše 2 % čistého celosvětového ročního obratu dosaženého právnickou osobou nebo, pokud je obviněný součástí konsolidačního celku, dosaženého konsolidačním celkem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 1 písm. a), písm. d) až k) a písm. m) až p), odstavce 3 písm. a), e) a f), odstavce 6 písm. b) a odstavce 8 písm. a) a b).
b) 175 000 000 Kč nebo do výše 1,4 % čistého celosvětového ročního obratu dosaženého právnickou osobou nebo, pokud je obviněný součástí konsolidačního celku, dosaženého konsolidačním celkem za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 písm. a), písm. d) až k) a písm. m) až p) a odstavce 8 písm. d).
32022L2555
Čl. 34 odst. 5
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
§ 58 odst. 15 písm. d) a f)
(15) Za přestupek lze uložit pokutu do
d) 50 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. c) a l), odstavce 2 písm. b), odstavce 3 písm. d), odstavce 4 písm. a) až e), odstavce 5 písm. a) až d), odstavce 6 písm. a) a c) až e), odstavce 7 a odstavce 13 písm. a),
f) 20 000 000 Kč, jde-li o přestupek podle odstavce 13 písm. b) až d) a odstavce 14 písm. a) až c) a písm. e) až g),
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
§ 58 odst. 15 písm. g)
15) Za přestupek lze uložit pokutu do
g) 2 000 000 Kč, jde-li o přestupek podle odstavců 10, 11 a 12 a odstavce 14 písm. d),
32019R0881
Čl. 65
Členské státy stanoví pravidla pro sankce za porušení této hlavy a evropských systémů certifikace kybernetické bezpečnosti a přijmou veškerá nezbytná opatření pro zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy neprodleně uvědomí o těchto pravidlech a o těchto opatřeních Komisi a informují ji o veškerých jejich pozdějších změnách.
32021R0887
Čl. 29 odst. 1
1. Kompetenční centrum přijímá vhodná opatření k zajištění toho, aby při provádění akcí financovaných podle tohoto nařízení byly finanční zájmy Unie chráněny použitím preventivních opatření proti podvodům, korupci a jinému protiprávnímu jednání, pravidelnými a účinnými kontrolami, a jsou-li zjištěny nesrovnalosti, zpětným získáním neoprávněně vyplacených částek a v příslušných případech účinnými, přiměřenými a odrazujícími správními sankcemi.
§ 59 odst. 1
(1) Přestupky podle tohoto zákona projednává a pokuty vybírá Úřad.
32022L2555
Čl. 31 odst. 1 a 4
1. Členské státy zajistí, aby jejich příslušné orgány účinně dohlížely na dodržování této směrnice a přijímaly opatření nezbytná k zajištění jejího dodržování.
4. Aniž jsou dotčeny vnitrostátní právní a institucionální rámce, členské státy zajistí, aby příslušné orgány měly při dohledu nad dodržováním této směrnice ze strany subjektů veřejné správy a při ukládání opatření v oblasti vymáhání za porušení této směrnice odpovídající pravomoci k provedení takových úkolů a měly přitom ve vztahu k subjektům veřejné správy, nad nimiž dohled provádějí, funkční nezávislost. Členské státy mohou rozhodnout o uložení vhodných, přiměřených a účinných opatření v oblasti dohledu a vymáhání ve vztahu k těmto subjektům v souladu s vnitrostátními právními a institucionálními rámci.
32022L2555
Čl. 32 odst. 1 a 4 písm. i)
1. Členské státy zajistí, aby byla opatření v oblasti dohledu nebo vymáhání uložená základním subjektům v souvislosti s povinnostmi stanovenými v této směrnici účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby jejich příslušné orgány měly při výkonu svých pravomocí v oblasti vymáhání v souvislosti se základními subjekty pravomoc alespoň:
i) vedle kteréhokoli z opatření uvedených v písmenech a) až h) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 33 odst. 1 a odst. 4 písm. h)
1. Jsou-li členským státům předloženy důkazy, indicie nebo informace, které naznačují, že důležitý subjekt údajně nedodržuje tuto směrnici, zejména její články 21 a 23, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
4. Členské státy zajistí, aby příslušné orgány měly při výkonu svých vymáhacích pravomocí v souvislosti s důležitými subjekty pravomoc alespoň:
h) vedle kteréhokoli z opatření uvedených v písmenech a) až g) tohoto odstavce uložit správní pokutu podle článku 34 nebo navrhnout příslušným orgánům nebo soudům v souladu s vnitrostátním právem její uložení.
32022L2555
Čl. 34
1. Členské státy zajistí, aby správní pokuty ukládané základním a důležitým subjektům podle tohoto článku za porušení této směrnice byly účinné, přiměřené a odrazující, přičemž zohlední okolnosti každého jednotlivého případu.
2. Správní pokuty se ukládají spolu s kterýmkoli z opatření uvedených v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g).
3. Při rozhodování o uložení správní pokuty a při rozhodování o její výši se v každém jednotlivém případě náležitě přihlédne alespoň k prvkům uvedeným v čl. 32 odst. 7.
4. Členské státy zajistí, aby v případě, že základní subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo maximálně na alespoň 2 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří základní subjekt, podle toho, co je vyšší.
5. Členské státy zajistí, aby v případě, že důležité subjekty poruší článek 21 nebo 23, byly uvedeným subjektům v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 7 000 000 EUR nebo maximálně na alespoň 1,4 % celkového celosvětového ročního obratu v předchozím rozpočtovém roce u podniku, ke kterému patří důležitý subjekt, podle toho, co je vyšší.
6. Členské státy mohou stanovit pravomoc ukládat penále s cílem přimět základní nebo důležitý subjekt, aby přestal porušovat tuto směrnici podle předchozího rozhodnutí příslušného orgánu.
7. Aniž jsou dotčeny pravomoci příslušných orgánů podle článků 32 a 33, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty subjektům veřejné správy.
8. Neumožňuje-li právo členského státu uložení správních pokut, tento členský stát zajistí, že se tento článek uplatní tak, aby podnět k uložení pokuty dal příslušný orgán a aby pokuta byla uložena příslušnými vnitrostátními soudy, přičemž
současně je třeba zajistit, aby tyto prostředky právní nápravy byly účinné a aby byl jejich účinek rovnocenný správním pokutám, jež ukládají příslušné orgány. Uložené pokuty musí být v každém případě účinné, přiměřené a odrazující.
Členský stát oznámí Komisi do 17. října 2024 příslušná ustanovení právních předpisů, která přijme podle tohoto odstavce, a bez prodlení jakoukoli následnou novelu nebo změnu týkající se těchto ustanovení.
32022L2555
Čl. 36
Členské státy stanoví sankce za porušení vnitrostátních opatření přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy tyto sankce a opatření oznámí Komisi nejpozději do 17. ledna 2025 a neprodleně jí oznámí všechny jejich následné změny.
§ 60
(1) Úřad může v případě nesplnění povinnosti odstranit nedostatky zjištěné při kontrole uložené rozhodnutím Úřadu poskytovateli regulované služby v režimu vyšších povinností, který je držitelem evropského certifikátu kybernetické bezpečnosti podle aktu o kybernetické bezpečnosti nebo jiného certifikátu nebo osvědčení souvisejícího se zajištěním kybernetické bezpečnosti regulované služby, pozastavit tomuto poskytovateli regulované služby platnost evropského certifikátu kybernetické bezpečnosti vydaného Úřadem nebo uložit subjektu posuzování shody povinnost pozastavit platnost jím vydaného certifikátu nebo osvědčení, a to až do doby odstranění nedostatků zjištěných při kontrole, nejméně však na 6 měsíců.
(2) Rozhodnutí Úřadu podle odstavce 1 může být prvním úkonem v řízení a rozklad proti němu nemá odkladný účinek.
(3) Účastníkem řízení o vydání rozhodnutí podle odstavce 1 je vždy poskytovatel regulované služby v režimu vyšších povinností, o platnosti jehož certifikátu je rozhodováno.
(4) Informaci o pozastavení platnosti certifikátu nebo osvědčení Úřad zveřejní na svých internetových stránkách.
(5) Úřad provede, nejdříve však po uplynutí lhůty podle odstavce 1, kontrolu splnění povinnosti odstranit nedostatky zjištěné při kontrole a v případě, že zjistí, že nedostatky byly odstraněny, Úřad o tomto vydá osvědčení, které je podkladem pro obnovení platnosti certifikátu nebo osvědčení.
32022L2555
Čl. 32 odst. 5,7 a 8
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
a) dočasně pozastavit nebo v souladu s vnitrostátním právem požádat certifikační nebo povolovací orgán nebo soud
o dočasné pozastavení certifikace nebo povolení týkající se části nebo všech příslušných služeb nebo činností poskytovaných základním subjektem;
b) požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátním právem uložily dočasný zákaz výkonu řídicích
funkcí v základním subjektu jakékoliv fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni
výkonného ředitele nebo zákonného zástupce v tomto subjektu.
Dočasná pozastavení nebo zákazy uložené podle tohoto odstavce se použijí pouze do okamžiku, než dotčený subjekt
přijme opatření nezbytná k nápravě nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato opatření
v oblasti vymáhání uplatněna. Uložení takových dočasných pozastavení nebo zákazů podléhá náležitým procesním
zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně práva na účinnou právní ochranu a na spravedlivý proces, presumpce neviny a práva na obhajobu. Opatření v oblasti vymáhání stanovená v tomto odstavci se nevztahují na subjekty veřejné správy, na něž se vztahuje tato směrnice.
6. Členské státy zajistí, aby každá fyzická osoba jednající za základní subjekt nebo jednající jako právní zástupce základního subjektu na základě oprávnění jej zastupovat, oprávnění přijímat rozhodnutí jeho jménem nebo oprávnění vykonávat nad ním kontrolu měla pravomoc zajistit dodržování této směrnice. Členské státy zajistí, aby byla stanovena
odpovědnost těchto fyzických osob za porušení jejich povinností spočívajících v zajištění dodržování této směrnice.
Pokud jde o subjekty veřejné správy, není tímto odstavcem dotčeno vnitrostátní právo o odpovědnosti úředníků veřejné
správy a volených veřejných činitelů nebo jmenovaných úředníků.
7. Při přijímání opatření v oblasti vymáhání podle odstavce 4 nebo 5 dodržují příslušné orgány práva na obhajobu a zohlední okolnosti každého jednotlivého případu a v úvahu vezmou alespoň:
a) závažnost porušení a významnost porušených ustanovení, přičemž následující porušení se vždy považují za závažná:
i) opakovaná porušení;
ii) neoznámení nebo nezajištění nápravy významných incidentů;
iii) nenapravení nedostatků podle závazných pokynů příslušných orgánů;
iv) maření auditů nebo sledovací činnosti nařízené příslušným orgánem po zjištění porušení;
v) poskytnutí nepravdivých nebo hrubě nepřesných informací v souvislosti s opatřeními pro řízení rizik v oblasti
kybernetické bezpečnosti nebo oznamovacími povinnostmi stanovenými v článcích 21 a 23;
b) dobu trvání porušení;
c) veškerá relevantní porušení, kterých se dotčený subjekt dopustil v minulosti;
d) způsobenou hmotnou nebo nehmotnou újmu, včetně jakékoli finanční nebo ekonomické ztráty, účinků na jiné služby
a počtu postižených uživatelů;
e) jakýkoli úmysl nebo nedbalost pachatele porušení;
f) jakákoli opatření přijatá subjektem za účelem zamezení nebo zmírnění hmotné nebo nehmotné újmy;
g) jakékoli dodržování schválených kodexů chování nebo schválených certifikačních mechanismů;
h) úroveň spolupráce odpovědné fyzické nebo právnické osoby s příslušnými orgány.
8. Příslušné orgány svá opatření v oblasti vymáhání podrobně odůvodní. Příslušné orgány před přijetím těchto opatření oznámí dotčeným subjektům svá předběžná zjištění. Rovněž těmto subjektům poskytnou přiměřenou dobu na předložení
připomínek, s výjimkou řádně odůvodněných případů, kdy by to bránilo přijetí okamžitých opatření k předcházení incidentům nebo reakci na ně
§ 61
(1) Soud může na návrh Úřadu rozhodnout, že člen statutárního orgánu právnické osoby, vedoucí odštěpného závodu, prokurista nebo podnikající fyzická osoba, která v přímé souvislosti s plněním rozhodnutí Úřadu, kterým byla poskytovateli regulované služby v režimu vyšších povinností uložena povinnost odstranit nedostatky zjištěné při kontrole, opakovaně nebo závažně porušila své povinnosti při výkonu své řídicí funkce, v důsledku čehož bylo zmařeno řádné splnění rozhodnutí Úřadu, nesmí až do doby odstranění nedostatků zjištěných při kontrole, nejméně však po dobu 6 měsíců vykonávat tuto řídicí funkci.
(2) Návrh lze podat pouze vůči osobě vykonávající řídicí funkci u poskytovatele regulované služby v režimu vyšších povinností a pouze ve vztahu k řídicí funkci, která není veřejnou funkcí vymezenou funkčním nebo časovým obdobím a obsazovanou na základě přímé nebo nepřímé volby nebo jmenováním podle zvláštních právních předpisů.
(3) Ustanovení zákona o obchodních korporacích upravující vyloučení člena statutárního orgánu z výkonu funkce se v částech právních účinků pravomocného rozhodnutí o vyloučení člena statutárního orgánu, informování rejstříkového soudu a odpovědnosti za porušení dočasného zákazu výkonu funkce použijí obdobně.
(4) Informaci o pravomocném rozhodnutí o pozastavení výkonu řídicí funkce Úřad zveřejní na svých internetových stránkách.
(5) Úřad, nejdříve však po uplynutí lhůty podle odstavce 1, provede kontrolu splnění povinnosti odstranit nedostatky zjištěné při kontrole a v případě, že zjistí, že nedostatky byly odstraněny, Úřad o tomto vydá osvědčení, které je podkladem pro výmaz údaje o pozastavení řídicí funkce z obchodního rejstříku podle zákona o veřejných rejstřících právnických a fyzických osob.
32022L2555
Čl. 32 odst. 5, 6, 7 a 8
5. Pokud jsou opatření v oblasti vymáhání přijatá podle odst. 4 písm. a) až d) a f) neúčinná, členské státy zajistí, aby jejich příslušné orgány měly pravomoc stanovit lhůtu, v níž bude základní subjekt vyzván k přijetí nezbytných opatření
k nápravě nedostatků nebo splnění požadavků těchto orgánů. Pokud požadovaná opatření nebudou přijata ve stanovené lhůtě, členské státy zajistí, aby jejich příslušné orgány měly pravomoc:
a) dočasně pozastavit nebo v souladu s vnitrostátním právem požádat certifikační nebo povolovací orgán nebo soud o dočasné pozastavení certifikace nebo povolení týkající se části nebo všech příslušných služeb nebo činností
poskytovaných základním subjektem;
b) požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátním právem uložily dočasný zákaz výkonu řídicích funkcí v základním subjektu jakékoliv fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu. Dočasná pozastavení nebo zákazy uložené podle tohoto odstavce se použijí pouze do okamžiku, než dotčený subjekt přijme opatření nezbytná k nápravě nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato opatření v oblasti vymáhání uplatněna. Uložení takových dočasných pozastavení nebo zákazů podléhá náležitým procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně práva na účinnou právní ochranu a na spravedlivý proces, presumpce neviny a práva na obhajobu. Opatření v oblasti vymáhání stanovená v tomto odstavci se nevztahují na subjekty veřejné správy, na něž se vztahuje tato směrnice.
6. Členské státy zajistí, aby každá fyzická osoba jednající za základní subjekt nebo jednající jako právní zástupce základního subjektu na základě oprávnění jej zastupovat, oprávnění přijímat rozhodnutí jeho jménem nebo oprávnění
vykonávat nad ním kontrolu měla pravomoc zajistit dodržování této směrnice. Členské státy zajistí, aby byla stanovena odpovědnost těchto fyzických osob za porušení jejich povinností spočívajících v zajištění dodržování této směrnice.Pokud jde o subjekty veřejné správy, není tímto odstavcem dotčeno vnitrostátní právo o odpovědnosti úředníků veřejné správy a volených veřejných činitelů nebo jmenovaných úředníků.
7. Při přijímání opatření v oblasti vymáhání podle odstavce 4 nebo 5 dodržují příslušné orgány práva na obhajobu a zohlední okolnosti každého jednotlivého případu a v úvahu vezmou alespoň:
a) závažnost porušení a významnost porušených ustanovení, přičemž následující porušení se vždy považují za závažná:
i) opakovaná porušení;
ii) neoznámení nebo nezajištění nápravy významných incidentů;
iii) nenapravení nedostatků podle závazných pokynů příslušných orgánů;
iv) maření auditů nebo sledovací činnosti nařízené příslušným orgánem po zjištění porušení;
v) poskytnutí nepravdivých nebo hrubě nepřesných informací v souvislosti s opatřeními pro řízení rizik v oblasti kybernetické bezpečnosti nebo oznamovacími povinnostmi stanovenými v článcích 21 a 23;
b) dobu trvání porušení;
c) veškerá relevantní porušení, kterých se dotčený subjekt dopustil v minulosti;
d) způsobenou hmotnou nebo nehmotnou újmu, včetně jakékoli finanční nebo ekonomické ztráty, účinků na jiné služby a počtu postižených uživatelů;
e) jakýkoli úmysl nebo nedbalost pachatele porušení;
f) jakákoli opatření přijatá subjektem za účelem zamezení nebo zmírnění hmotné nebo nehmotné újmy;
g) jakékoli dodržování schválených kodexů chování nebo schválených certifikačních mechanismů;
h) úroveň spolupráce odpovědné fyzické nebo právnické osoby s příslušnými orgány.
8. Příslušné orgány svá opatření v oblasti vymáhání podrobně odůvodní. Příslušné orgány před přijetím těchto opatření oznámí dotčeným subjektům svá předběžná zjištění. Rovněž těmto subjektům poskytnou přiměřenou dobu na předložení
připomínek, s výjimkou řádně odůvodněných případů, kdy by to bránilo přijetí okamžitých opatření k předcházení incidentům nebo reakci na ně.
§ 63 odst. 1
(1) Orgány veřejné moci jsou povinny bez zbytečného odkladu, a nestanoví-li zvláštní předpis jinak, i bez úplaty poskytnout Úřadu podněty, informace a jiné formy součinnosti potřebné k výkonu pravomocí a za účelem splnění povinností Úřadu, které jsou stanoveny tímto zákonem. Orgány veřejné moci a Úřad při výkonu pravomocí svěřených Úřadu tímto zákonem vzájemně spolupracují, jsou oprávněny vyžadovat stanoviska k připravovaným rozhodnutím vydávaným v mezích jejich působnosti a usilují při tom o dosažení shody těchto stanovisek. Orgány veřejné moci a Úřad dále v rozsahu, který je nezbytný pro plnění úkolů orgánů veřejné moci a Úřadu, sdílí informace o kybernetických hrozbách, zranitelnostech a incidentech a o opatřeních přijatých v reakci na tyto hrozby, zranitelnosti a incidenty. Ustanovení § 45 odst. 2 a 3 tím nejsou dotčena.
32022L2555
Čl. 23 odst. 6, 8 a 10
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.
8. Na žádost týmu CSIRT nebo příslušného orgánu postoupí jednotné kontaktní místo oznámení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.
9. Jednotné kontaktní místo předkládá každé tři měsíce agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA přijmout technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny. Agentura ENISA informuje skupinu pro spolupráci a síť CSIRT o svých zjištěních v souvislosti s přijatými oznámeními každých šest měsíců
32022L2555
Čl. 32 odst. 9 a 10
9. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice informovaly relevantní příslušné orgány ve stejném členském státě podle směrnice (EU) 2022/2557, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené
na zajištění toho, aby subjekt určený jakožto kritický subjekt podle směrnice (EU) 2022/2557 dodržoval tuto směrnici. Příslušné orgány podle směrnice (EU) 2022/2557 mohou případně požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557.
10. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné
orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby základní subjekt, který je označen jakožto
kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici.
32022L2555
Čl. 33 odst. 6
6. Členské státy zajistí, aby jejich příslušné orgány podle této směrnice spolupracovaly s relevantními příslušnými orgány dotčeného členského státu podle nařízení (EU) 2022/2554. Členské státy zejména zajistí, aby jejich příslušné orgány podle této směrnice informovaly fórum dohledu zřízené podle čl. 32 odst. 1 nařízení (EU) 2022/2554, když plní své pravomoci v oblasti dohledu a vymáhání zaměřené na zajištění toho, aby důležitý subjekt, který je označen jakožto kritický poskytovatel služeb IKT z řad třetích stran podle článku 31 nařízení (EU) 2022/2554, dodržoval tuto směrnici
§ 63 odst. 5
(5) Úřad a Úřad pro ochranu osobních údajů jsou vzájemně oprávněny požadovat informace a vyžadovat spolupráci za účelem zamezení dvojího trestání porušení téže povinnosti uložené jak tímto zákonem, tak právními předpisy upravujícími ochranu osobních údajů. Ukládání jiných sankcí podle tohoto zákona tím není dotčeno.
32022L2555
Čl. 31 odst. 3
3. Při řešení incidentů, v jejichž důsledku došlo k porušení zabezpečení osobních údajů, příslušné orgány úzce spolupracují s dozorovými úřady podle nařízení (EU) 2016/679, aniž jsou dotčeny pravomoci a úkoly dozorových úřadů podle uvedeného nařízení
32022L2555
Čl. 35
1. Pokud příslušné orgány v průběhu dohledu nebo vymáhání zjistí, že porušení povinností stanovených v článcích 21 a 23 této směrnice základním nebo důležitým subjektem může obnášet porušení zabezpečení osobních údajů ve smyslu
čl. 4 odst. 12 nařízení (EU) 2016/679, které má být oznámeno podle článku 33 uvedeného nařízení, uvědomí bez zbytečného odkladu dozorové úřady podle článku 55 nebo 56 uvedeného nařízení.
2. Pokud dozorové úřady podle článku 55 nebo 56 nařízení (EU) 2016/679 uloží správní pokutu podle čl. 58 odst. 2 písm. i) uvedeného nařízení, příslušné orgány nesmí uložit správní pokutu podle článku 34 této směrnice za porušení uvedené v odstavci 1 tohoto článku za stejné porušení, za něž byla uložena správní pokuta podle čl. 58 odst. 2 písm. i) nařízení (EU) 2016/679. Příslušné orgány však mohou uložit opatření v oblasti vymáhání stanovené v čl. 32 odst. 4 písm. a) až h), čl. 32 odst. 5 a čl. 33 odst. 4 písm. a) až g) této směrnice.
3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, informuje příslušný orgán dozorový úřad se sídlem ve stejném členském státě o možném porušení zabezpečení údajů
podle odstavce 1.
§ 64 písm. a)
Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie 19)
a) každé 2 roky informuje Evropskou komisi a Skupinu pro spolupráci o počtech poskytovatelů regulovaných služeb naplňujících kritéria pro identifikaci regulované služby v jednotlivých odvětvích,
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 3 odst. 5 písm. a)
5. Příslušné orgány do 17. dubna 2025 a poté každé 2 roky oznámí:
a) Komisi a skupině pro spolupráci počet základních a důležitých subjektů uvedených na seznamu podle odstavce 3 v každém odvětví a pododvětví uvedeném v příloze I nebo II a
§ 64 písm. b)
b) každé 2 roky informuje Evropskou komisi o počtech poskytovatelů regulovaných služeb naplňujících kritéria pro určení regulované služby v jednotlivých odvětvích, službách, které poskytují, a kritériích, pro která byli určeni,
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 3 odst. 5 písm. b)
5. Příslušné orgány do 17. dubna 2025 a poté každé 2 roky oznámí:
b) Komisi příslušné informace o počtu základních a důležitých subjektů, které jsou za takové označeny podle čl. 2 odst. 2 písm. b) až e), informace o odvětví a pododvětví uvedených v příloze I nebo II, do nichž subjekty patří, o druhu služeb, které poskytují, a o tom, podle kterého z ustanovení uvedených v čl. 2 odst. 2 písm. b) až e) byly označeny za základní či důležité.
§ 64 písm. c)
Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie 19)
c) každé 3 měsíce předkládá Agentuře Evropské unie pro kybernetickou bezpečnost souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o kybernetických bezpečnostních incidentech, kybernetických hrozbách a významných kybernetických bezpečnostních událostech oznámených podle § 16,
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 23 odst. 9
9. Jednotné kontaktní místo předkládá každé tři měsíce agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o významných incidentech, incidentech, kybernetických hrozbách a významných událostech oznámených podle odstavce 1 tohoto článku a podle článku 30. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA přijmout technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny. Agentura ENISA informuje skupinu pro spolupráci a síť CSIRT o svých zjištěních v souvislosti s přijatými oznámeními každých šest měsíců.
§ 64 písm. d)
Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie 19)
d) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost identifikační údaje o subjektech poskytujících služby registrace jmen domén a poskytovatelích regulovaných služeb uvedených v § 54 odst. 3, kteří mají hlavní provozovnu na území České republiky nebo kteří mají na území České republiky ustaveného svého zástupce,
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 27 odst. 4
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
§ 64 písm. e)
Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie 19)
e) poskytuje Agentuře Evropské unie pro kybernetickou bezpečnost informace ke koordinovanému zveřejňování zranitelností,
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 12 odst. 2
2. Agentura ENISA po konzultaci se skupinou pro spolupráci vytvoří a spravuje Evropskou databázi zranitelností. Za tímto účelem agentura ENISA zřídí a spravuje informační systémy, politiky a postupy a přijme technická a organizační
opatření nezbytná k zajištění bezpečnosti a integrity Evropské databáze zranitelností s cílem zejména umožnit subjektům bez ohledu na to, zda se na ně vztahuje oblast působnosti této směrnice, a jejich dodavatelům sítí a informačních systémů
dobrovolně oznamovat a registrovat veřejně známé zranitelnosti v produktech IKT nebo službách IKT. Přístup k informacím o zranitelnostech uvedeným v Evropské databázi zranitelností je poskytnut všem zúčastněným stranám.
V této databázi jsou uvedeny:
a) informace popisující zranitelnost;
b) zasažené produkty IKT nebo služby IKT, závažnost této zranitelnosti z hlediska okolností, za nichž může být využita;
c) dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny poskytnuté příslušnými orgány nebo týmy CSIRT a určené uživatelům zranitelných produktů IKT a služeb IKT ohledně toho, jak mohou být rizika vyplývající ze
zveřejněných zranitelností zmírněna.
§ 64 písm. f)
Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie 19)
f) informuje Evropskou komisi o přijetí národní strategie kybernetické bezpečnosti a v rozsahu, ve kterém nebudou ohroženy bezpečnostní zájmy České republiky, o obsahu strategie,
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 7 odst. 3
3. Členské státy oznámí své národní strategie kybernetické bezpečnosti Komisi do tří měsíců od jejich přijetí. Členské státy mohou z těchto oznámení vyloučit informace, které se týkají jejich národní bezpečnosti
§ 64 písm. g)
Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie 19)
g) sdělí Evropské komisi identifikační údaje orgánu odpovědného za dozor v oblasti kybernetické bezpečnosti, jednotného kontaktního místa pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie, orgánu pro řešení kybernetických krizí, týmu CSIRT a koordinátora určeného pro účely koordinovaného zveřejňování zranitelností,
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 8 odst. 6
6. Každý členský stát Komisi oznámí bez zbytečného odkladu, o jaký příslušný orgán určený podle odstavce 1 a jaké jednotné kontaktní místo určené podle odstavce 3 se jedná, oznámí úkoly těchto orgánů a jakékoli následné změny, které se jich týkají. Každý členský stát zveřejní, o jaký příslušný orgán se jedná. Komise zveřejní seznam jednotných kontaktních míst.
32022L2555
Čl. 9 odst. 5
5. Do tří měsíců od určení nebo zřízení orgánu pro řešení kybernetických krizí podle odstavce 1 oznámí každý členský stát Komisi, o jaký orgán se jedná, a veškeré následné změny, které se ho týkají. Členské státy předloží Komisi a Evropské síti styčných organizací pro řešení kybernetických krizí (dále jen „EU-CyCLONe“) příslušné informace o požadavcích stanovených v odstavci 4, totiž o svých národních plánech reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, do tří měsíců od přijetí těchto plánů. Členské státy mohou vyloučit informace, pokud je takové vyloučení nezbytné pro jejich národní bezpečnost.
32022L2555
Čl. 10 odst. 9
9. Každý členský stát oznámí Komisi bez zbytečného odkladu identifikační údaje týmu CSIRT podle odstavce 1 tohoto článku a informuje ji o týmu CSIRT, který byl určen koordinátorem podle čl. 12 odst. 1, o úkolech, jimiž byly pověřeny v souvislosti se základními a důležitými subjekty a o jakýchkoli následných změnách, které se jich týkají
§ 64 písm. h)
Úřad za účelem plnění informační povinnosti podle příslušného předpisu Evropské unie 19)
h) poskytuje Evropské komisi a Agentuře Evropské unie pro kybernetickou bezpečnost další informace a nezbytnou součinnost.
19) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022.
32022L2555
Čl. 23 odst. 6
6. Tam, kde je to vhodné, a zejména pokud se významný incident týká dvou nebo více členských států, informuje tým CSIRT, příslušný orgán nebo jednotné kontaktní místo o významném incidentu bez zbytečného odkladu ostatní dotčené členské státy a agenturu ENISA. Takové informace zahrnují druh informací obdržených podle odstavce 4. Tým CSIRT, příslušný orgán nebo jednotné kontaktní místo přitom v souladu s unijním vnitrostátním právem zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací
32022L2555
Čl. 27 odst. 4
4. Po obdržení informací podle odstavců 2 a 3, s výjimkou informací podle odst. 2 písm. f), jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
§ 67 odst. 1 a 2
(1) Subjekt poskytující služby registrace jmen domén a poskytovatel regulované služby, který je poskytovatelem služby systému překladu jmen domén (DNS), poskytovatelem správy a provozu registru internetových domén nejvyšší úrovně, poskytovatelem služby cloud computingu, poskytovatelem služby datového centra, poskytovatelem služby sítě pro doručování obsahu (CDN), poskytovatelem služby on-line tržiště, poskytovatelem služby internetového vyhledávače, poskytovatelem služby platformy sociální sítě, poskytovatelem řízené služby (MSP) nebo poskytovatelem řízené bezpečnostní služby (MSSP), který poskytuje tuto službu v České republice, nemá umístěnu hlavní provozovnu v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie, je povinen ustavit si svého zástupce v České republice. Zástupcem je osoba usazená v České republice, které poskytovatel některé z uvedených regulovaných služeb udělil zmocnění zastupovat jej ve vztahu k povinnostem podle tohoto zákona. Ustavením zástupce není dotčena odpovědnost poskytovatele regulované služby nebo subjektu poskytující služby registrace jmen domén za dodržování tohoto zákona.
(2) V případě, že subjekt poskytující služby registrace jmen domén nebo poskytovatel některé z regulovaných služeb uvedených v odstavci 1 má hlavní provozovnu mimo Evropskou unii a ustavil si svého zástupce v České republice, platí, že je usazen v České republice a vztahují se na něj povinnosti podle tohoto zákona. To platí i v případě, že poskytovatel některé z uvedených regulovaných služeb má hlavní provozovnu mimo Evropskou unii a neustavil si svého zástupce v žádném členském státě Evropské unie.
32022L2555
Čl. 6 odst. 34
34. „zástupcem“ fyzická či právnická osoba usazená v Unii, výslovně pověřená, aby jednala jménem provozovatele DNS, registru domén nejvyšší úrovně, subjektu poskytujícího služby registrace jmen domén, poskytovatele služby cloud computingu, poskytovatele služeb datového centra, poskytovatele sítě pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, nebo poskytovatele on-line tržiště, internetového vyhledávače nebo služeb platforem sociálních sítí, který není usazen v Unii, přičemž vnitrostátní příslušný orgán nebo tým CSIRT může se zástupcem jednat namísto subjektu, pokud jde o povinnosti tohoto subjektu vyplývající z této směrnice;
32022L2555
Čl. 26 odst. 3
3. Jestliže subjekt uvedený v odst. 1 písm. b) není v Unii usazen, ale nabízí v Unii služby, určí svého zástupce v Unii. Tento zástupce musí být usazen v jednom z členských států, v němž jsou služby nabízeny. Má se za to, že tento subjekt podléhá pravomoci členského státu místa usazení zástupce. Neexistuje-li zástupce v Unii určený podle tohoto odstavce, může právní kroky proti subjektu za porušení této směrnice podniknout kterýkoli členský stát, v němž tento subjekt poskytuje služby.
§ 67 odst. 3
(3) Ustanovením zástupce není dotčena odpovědnost poskytovatele regulované služby nebo subjektu poskytujícího služby registrace jmen domén za dodržování tohoto zákona.
32022L2555
Čl. 26 odst. 4
4. Tím, že subjekt uvedený v odst. 1 písm. b) určí svého zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti subjektu samotnému.
§ 69
(1) V případě zpravodajských služeb21) se tento zákon použije pouze v rozsahu ustanovení
a) části první v rozsahu hlavy první, ustanovení § 8, § 9, § 10, § 11, § 12 s výjimkou údajů podle odst. 2 písm. c), § 13, § 14, § 15, § 22 a § 24 odst. 2 a hlavy čtvrté, a
b) části druhé v rozsahu § 65 odst. 1, 3 a 4.
(2) Tam, kde je pro plnění povinnosti podle předchozího odstavce nutné stanovit režim poskytovatele regulované služby, platí, že zpravodajská služba vystupuje jako poskytovatel regulované služby v režimu vyšších povinností.
(3) Ustanovení § 29 odst. 2 a § 63 se použije, pokud plnění těchto povinností nebrání zvláštní předpis22) nebo zákonná nebo státem uznaná povinnost mlčenlivosti.
21) § 3 zákona č. 153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů.
22) Například zákon č. 153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů.
32022L2555
Čl. 2 odst. 6 a 7
6. Touto směrnicí není dotčena odpovědnost členských států za ochranu národní bezpečnosti ani jejich pravomoc chránit jiné základní funkce státu, včetně zajišťování územní celistvosti státu a zachování veřejného pořádku.
7. Tato směrnice se nevztahuje na subjekty veřejné správy, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů.
§ 73
Tento zákon nabývá účinnosti dnem 18. října 2024.
32022L2555
Čl. 41 odst. 1
1. Členské státy do 17. října 2024 přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Použijí tato opatření ode dne 18. října 2024.
Číslo předpisu EU (kód CELEX)
Název předpisu EU
32022L2555
Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)
32019R0881
Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“)
32011D1104
Rozhodnutí Evropského parlamentu a Rady č. 1104/2011/EU ze dne 25. října 2011 o podmínkách přístupu k veřejné regulované službě nabízené globálním družicovým navigačním systémem vytvořeným na základě programu Galileo.
32021R0887
Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center.
32021R0696
Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU.
Stránka 2 (celkem 2)