Elektronická knihovna legislativního procesu - textová podoba dokumentu

                III.
Vládní návrh
ZÁKON
ze dne dd.mm.rrrr,
kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
Změna zákona o elektronických komunikacích
Čl. I
V § 98 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 153/2010 Sb., zákona č. 468/2011 Sb. a zákona č. 374/2021 Sb., se za odstavec 8 vkládá nový odstavec 9, který zní: „(9) Odstavce 1 až 8 se nepoužijí v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací v rozsahu, ve kterém se na něj vztahují povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost.“
CELEX 32022L2555
ČÁST DRUHÁ
Změna zákona o informačních systémech veřejné správy
Čl. II
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 195/2017 Sb., zákona č. 205/2017 Sb., zákona č. 251/2017 Sb., zákona č. 99/2019 Sb., zákona č. 12/2020 Sb.,  zákona č. 261/2021 Sb. a zákona č. 471/2022 Sb., se mění takto:
1. V § 2 odst. 2 písm. a) se slova „cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost“ nahrazují slovy „informačního systému veřejné správy bezpečnostní úroveň podle prováděcího právního předpisu upravujícího stanovení bezpečnostní úrovně informačního systému veřejné správy“.
2. V § 2 odst. 2 se na konci písmene f) tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:
„g) bezpečnostními pravidly pro orgány veřejné správy využívající služby poskytovatelů cloud computingu (dále jen „bezpečnostní pravidla“) pravidla zajišťující bezpečnost informací při využívání služeb cloud computingu orgány veřejné správy k zajištění provozu informačního systému veřejné správy nebo jeho části a stanovená prováděcím právním předpisem.“.
3. V § 4 odst. 2 se na konci textu písmene a) doplňují slova „s výjimkou povinností stanovených v § 6n písm. b) až f) a § 6l odst. 3“.
4. V § 5a odst. 2 se věta druhá nahrazuje větou „Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy a pravidla pro strukturování dat v informačních systémech veřejné správy stanoví prováděcí právní předpis.“.
5. § 5b včetně poznámky pod čarou č. 18 zní: 
㤠5b
Správci informačních systémů veřejné správy, kteří nejsou poskytovatelem regulované služby podle zákona upravujícího kybernetickou bezpečnost, jsou povinni na jimi spravované informační systémy veřejné správy přiměřeně zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle zákona upravujícího kybernetickou bezpečnost18).
______________
18) § 6, § 14 a § 15 zákona č. ... Sb., o kybernetické bezpečnosti.“.
CELEX 32022L2555
6. V § 6i odst. 2 písm. e) se za text „§ 6n“ vkládá text „písm. a)“.
7. V § 6i odstavec 3 zní:
„(3) Národní úřad pro kybernetickou a informační bezpečnost
a) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n písm. b) až f),
b) kontroluje zařazení informačního systému veřejné správy do bezpečnostní úrovně podle § 6l odst. 3,
c) kontroluje zajištění dodržování bezpečnostních pravidel orgánem veřejné správy při využívání služby cloud computingu podle § 6l odst. 3.“.
8. V § 6l se na konci odstavce 3 doplňuje věta „Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu a zajišťovat, že budou dodržována bezpečnostní pravidla stanovená prováděcím právním předpisem.“.
9. V § 6n písm. c) se slova „postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost“ nahrazují slovy „zajistit dodržování bezpečnostních pravidel stanovených prováděcím právním předpisem“.
10. V § 6q odst. 5 písm. c), § 6t odst. 6 písm. b), d), e), f) a g) a odst. 7 písm. c), e), f), g) a h) se slova „upravujícím kybernetickou bezpečnost“ nahrazují slovy „vydaným podle § 12 odst. 2 tohoto zákona“.
11. V nadpisu § 7 se na konci textu doplňují slova „a orgánů veřejné správy“.
12. V § 7 se za odstavec 3 vkládají nové odstavce 4 a 5, které znějí:
„(4) Poskytovatel cloud computingu se dopustí přestupku tím, že poskytuje cloud computing, který nesplňuje požadavky na cloud computing využívaný orgánem veřejné správy podle § 6n.
(5) Orgán veřejné správy se dopustí přestupku tím, že
a) využívá cloud computing v rozporu s § 6l odst. 1,
b) nesplní ve stanovené lhůtě povinnost ukončit využívání cloud computingu (§ 6l odst. 2),
c) nesplní povinnost zařadit informační systém nebo jeho část do bezpečnostní úrovně (§ 6l odst. 3), nebo
d) nezajišťuje dodržování bezpečnostních pravidel (§ 6l odst. 3).“.
Dosavadní odstavec 4 se označuje jako odstavec 6.
13. V § 7 odst. 6 se vkládá nové písmeno a), které zní:
„a) 10000000 Kč, jde-li o přestupek podle odstavce 4 nebo odstavce 5,“.
Dosavadní písmena a) až c) se označují jako písmena b) až d).
14. V § 9e odst. 3 se slova „správci a provozovateli významného informačního systému“ zrušují.
15. V § 12 odst. 1 písm. b) se slova „bezpečnostních úrovní a“ zrušují.
16. V § 12 odst. 2 se na konci písmene f) tečka nahrazuje čárkou a vkládají se nová písmena g) a h), která znějí:
„g) bezpečnostní úrovně informačních systémů veřejné správy,
h) obsah a rozsah bezpečnostních pravidel pro orgány veřejné správy využívající služeb cloud computingu podle § 6l odst. 3.“.

ČÁST TŘETÍ
Změna zákona o střetu zájmů
Čl. III
V § 2 odst. 2 písm. d) zákona č. 159/2006 Sb., o střetu zájmů, ve znění zákona č. 216/2008 Sb., zákona č. 158/2009 Sb., zákona č. 350/2009 Sb., zákona č. 131/2015 Sb., zákona č. 190/2016 Sb., zákona č. 302/2016 Sb., zákona č. 14/2017 Sb., zákona č. 183/2017 Sb. a zákona č. 180/2022 Sb., se za slova „s výjimkou zpravodajské služby“ vkládají slova „a Národního úřadu pro kybernetickou a informační bezpečnost“.
ČÁST ČTVRTÁ
Změna zákona o prověřování zahraničních investic
Čl. IV
V § 7 písm. c) zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), se slova „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby5)“ nahrazují slovy „poskytovatelem strategicky významné služby5)“.
Poznámka pod čarou č. 5 zní: „5) Zákon č. ... Sb., o kybernetické bezpečnosti.“.
ČÁST PÁTÁ
Změna zákona o poštovních službách
Čl. V
Zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění zákona č. 517/2002 Sb., zákona č. 225/2003 Sb., zákona č. 501/2004 Sb., zákona č. 95/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 264/2006 Sb., zákona č. 110/2007 Sb., zákona č. 41/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 153/2010 Sb., zákona č. 329/2011 Sb., zákona č. 89/2012 Sb., zákona č. 221/2012 Sb., zákona č. 212/2013 Sb., zákona č. 258/2014 Sb., zákona č. 319/2015 Sb., zákona č. 378/2015 Sb., zákona č. 250/2016 Sb., zákona č. 183/2017 Sb., zákona č. 202/2019 Sb., zákona č. 164/2020 Sb. a zákona č. 374/2021 Sb. se mění takto:
1. V § 33 se za odstavec 2 vkládá nový odstavce 3, který zní: 
„(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Povinnost podle věty první se neuplatní v rozsahu, ve kterém se na držitele poštovní licence vztahují povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost.“.
CELEX 32022L2555
Dosavadní odstavce 3 až 9 se označují jako odstavce 4 až 10.
2. Za § 36a se vkládá nový § 36b, který včetně nadpisu zní:
㤠36b
Spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost

Úřad a Národní úřad pro kybernetickou a informační bezpečnost si vzájemně poskytují podněty, informace a jiné formy součinnosti potřebné k plnění úkolů, které jim stanoví právní předpisy. Při předávání informací je příjemce povinen zajistit stejnou úroveň důvěrnosti jako předávající.“.

3. V § 37a odst. 3 se za písmeno b) vkládá nové písmeno c), které zní:
„c) nesplní informační povinnost podle § 33 odst. 3,“.
Dosavadní písmena c) až g) se označují jako písmena d) až h).
4. V § 37a odst. 3 písm. d) se text „4“ nahrazuje textem „5“.
5. V § 37a odst. 3 písm. e) se text „5, 7, 8 nebo 9“ nahrazuje textem „6, 8, 9 nebo 10“.
6. V § 37a odst. 6 písmeno a) se text „e)“ nahrazuje textem „f)“.
7. V § 37a odst. 6 písmeno b) se text „f) nebo g)“ nahrazuje textem „e), g) nebo h)“.
8. V § 41 odst. 1 se text „odst. 4“ nahrazuje textem „odst. 5“.
ČÁST ŠESTÁ
Účinnost
Čl. VI
Tento zákon nabývá účinnosti dnem 18. října 2024.


V Praze dne dd.mm.rrrr

Předseda vlády
1