Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSG44YX najdete zde
VI.
PLATNÉ ZNĚNÍ DOTČENÝCH USTANOVENÍ ZÁKONŮ PODLE NÁVRHU ZÁKONA, KTERÝM SE MĚNÍ NĚKTERÉ ZÁKONY V SOUVISLOSTI S PŘIJETÍM ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI, S VYZNAČENÍM NAVRHOVANÝCH ZMĚN A DOPLNĚNÍ
Platné znění dotčeného ustanovení zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 153/2010 Sb., zákona č. 468/2011 Sb. a zákona č. 374/2021 Sb., s vyznačením navrhovaných změn a doplnění
§ 98
Bezpečnost a integrita veřejných komunikačních sítí a služeb elektronických komunikací
(1) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna zajišťovat bezpečnost a integritu své sítě a bezpečnost služeb, které poskytuje. Za tím účelem je tato osoba zejména povinna přijmout technicko-organizační pravidla vytvořená v souladu se síťovými plány podle odstavce 2. S ohledem na technické možnosti tato pravidla zajistí takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika s cílem předejít nebo minimalizovat dopad bezpečnostních incidentů na uživatele a na sítě a služby. Bezpečností sítě a služby se rozumí jejich schopnost odolávat s dostatečnou spolehlivostí veškerým zásahům, které narušují dostupnost, hodnověrnost, integritu nebo důvěrnost této sítě a služby, uchovávaných, předávaných nebo zpracovávaných dat nebo souvisejících služeb, které tato síť nebo služba elektronických komunikací nabízí nebo které jsou jejich prostřednictvím přístupné. Bezpečnostním incidentem se rozumí událost, která má skutečný nepříznivý dopad na bezpečnost sítí nebo služeb elektronických komunikací.
(2) Pro zajištění bezpečnosti a integrity veřejných komunikačních sítí Úřad vydává síťové plány (§ 62), ve kterých vymezí základní vlastnosti těchto sítí a jejich rozhraní, které jsou nezbytné pro vzájemné propojování veřejných komunikačních sítí, pro přístup k nim, pro připojování neveřejných komunikačních sítí a zajištění bezpečnosti a kontinuity dodávek služeb, které jsou prostřednictvím veřejných komunikačních služeb poskytovány.
(3) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací může v případech, kdy hrozí nebo dojde k závažnému narušení bezpečnosti sítě a služby a integrity jeho sítě z důvodů poškození nebo zničení elektronického komunikačního zařízení, zejména vlivem velkých provozních havárií nebo živelních pohrom, přerušit poskytování služby nebo odepřít přístup ke službě. Přerušení nebo odepření musí být omezeno pouze na dobu nezbytně nutnou, a je-li to technicky možné, musí být zachován přístup k tísňovým číslům.
(4) O závažném narušení bezpečnosti sítě a služby a ztrátě integrity sítě, rozsahu a důvodech přerušení poskytování služby nebo odepření přístupu k ní, přijatých opatřeních a o předpokládaném termínu odstranění příčiny podle odstavce 3 je osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací povinen bezodkladně informovat Úřad, subjekty provozující centra tísňové komunikace a vhodným způsobem i uživatele. Kritéria určení závažného narušení bezpečnosti sítě a služby a ztrátu integrity sítě a rozsah a formu předávání informací stanoví Úřad prováděcím právním předpisem. Úřad může v případě, že je zveřejnění těchto informací ve veřejném zájmu, informovat o tom vhodným způsobem veřejnost nebo povinnost zveřejnění těchto informací uložit osobě zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací. Je-li to vhodné, informuje Úřad také příslušné orgány v jiných členských státech a Evropskou agenturu pro bezpečnost sítí a informací (ENISA).
(5) Úřad předkládá každoročně Komisi a Evropské agentuře pro bezpečnost sítí a informací (ENISA) souhrnnou zprávu za předchozí kalendářní rok, která informuje o oznámeních a opatřeních přijatých podle odstavců 3 a 4, a to v rozsahu a formátu stanoveném Komisí.
(6) Osobě zajišťující veřejnou komunikační síť nebo poskytujícímu veřejně dostupnou službu elektronických komunikací může Úřad uložit povinnost provést bezpečnostní audit. Tento audit musí být proveden kvalifikovaným nezávislým subjektem a na náklady podnikatele. Podnikatel zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je dále povinen na žádost Úřadu předložit mu informace potřebné k posouzení bezpečnosti a integrity sítí a bezpečnosti služeb, bezpečnostní audit a jeho výsledky, včetně podkladů k bezpečnostní politice.
(7) V případě, že Úřad identifikoval významnou hrozbu pro bezpečnost a integritu veřejné komunikační sítě nebo služby elektronických komunikací, rozhodne o povinnosti dotčené osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací provést opatření, včetně lhůt k jejich provedení, k řešení bezpečnostního incidentu, anebo k zabránění jeho vzniku. Toto rozhodnutí je prvním úkonem ve věci. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 3 dnů ode dne jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí nemá odkladný účinek. O výsledku přijatých opatření dotčená osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací informuje bez zbytečného odkladu Úřad.
(8) Má-li se opatření k řešení hrozby pro bezpečnost a integritu veřejné komunikační sítě nebo služby elektronických komunikací týkat blíže neurčeného okruhu osob zajišťujících veřejnou komunikační síť nebo poskytujících veřejně dostupnou službu elektronických komunikací, vydá je Úřad formou opatření obecné povahy.
(9) Odstavce 1 až 8 se nepoužijí v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací v rozsahu, ve kterém se na něj vztahují povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost.
Platné znění dotčených ustanovení zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 195/2017 Sb., zákona č. 205/2017 Sb., zákona č. 251/2017 Sb., zákona č. 99/2019 Sb., zákona č. 12/2020 Sb., zákona č. 261/2021 Sb. a zákona č. 471/2022 Sb., s vyznačením navrhovaných změn a doplnění
§ 2
Vymezení pojmů
(1) Pro účely tohoto zákona se rozumí
a) informační činností získávání a poskytování informací, reprezentace informací daty, shromažďování, vyhodnocování a ukládání dat na nosiče a uchovávání, vyhledávání, úprava nebo pozměňování dat, jejich předávání, šíření, zpřístupňování, výměna, třídění nebo kombinování, blokování a likvidace dat ukládaných na nosičích. Informační činnost je prováděna správci, provozovateli a uživateli informačních systémů veřejné správy prostřednictvím technických a programových prostředků,
b) informačním systémem veřejné správy funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost pro účely výkonu veřejné správy nebo plnění jiných funkcí státu anebo dalších veřejnoprávních korporací. Každý informační systém veřejné správy zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále technické a programové prostředky, případně jiné nástroje umožňující výkon informačních činností,
c) správcem informačního systému veřejné správy osoba nebo její součást, která poskytuje služby informačního systému veřejné správy a za informační systém veřejné správy odpovídá,
d) provozovatelem informačního systému veřejné správy osoba nebo její součást, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém veřejné správy. Provozováním informačního systému veřejné správy může správce pověřit jiné osoby nebo jejich součásti, pokud to jiný zákon nevylučuje,
e) uživatelem informačního systému veřejné správy osoba nebo její součást, která do informačního systému veřejné správy zapisuje data nebo data, případně i provozní údaje obsažené v informačním systému veřejné správy, využívá, uživatelem informačního systému veřejné správy je i správce nebo provozovatel informačního systému veřejné správy, pokud informační systém veřejné správy užívá při výkonu veřejné správy v oblasti, pro kterou informační systém veřejné správy poskytuje službu informačního systému veřejné správy,
f) vytvářením informačních systémů veřejné správy proces zavádění informačních systémů veřejné správy, včetně jeho právního, organizačního, znalostního a technického zajištění,
g) rozvojem informačních systémů veřejné správy proces zlepšování vlastností informačních systémů veřejné správy nebo zlepšování služeb informačních systémů veřejné správy, včetně jeho právního, organizačního, znalostního a technického zajištění; rozvojem je i modernizace technických nebo programových prostředků anebo jiných nástrojů umožňujících výkon informační činnosti nebo částečná anebo úplná náhrada technických nebo programových prostředků anebo jiných nástrojů umožňujících výkon informační činnosti za účelem zlepšení vlastností informačních systémů veřejné správy nebo zlepšení služeb informačních systémů veřejné správy,
h) službou informačního systému veřejné správy činnost informačního systému veřejné správy uspokojující dané požadavky oprávněné osoby nebo její součásti spojená s funkcí informačního systému veřejné správy,
i) referenčním, sdíleným a bezpečným rozhraním informačních systémů veřejné správy (dále jen "referenční rozhraní") souhrn právních, technických, organizačních a jiných opatření vytvářejících jednotné integrační prostředí informačních systémů veřejné správy, které poskytuje kvalitní soustavu společných služeb informačních systémů veřejné správy, včetně služeb výměny oprávněně vyžadovaných informací mezi jednotlivými informačními systémy, a to i se systémy mimo Českou republiku,
j) atestacemi stanovení shody dlouhodobého řízení informačních systémů veřejné správy s výjimkou provozních informačních systémů uvedených v § 1 odst. 4 písm. a) až d) s požadavky tohoto zákona a prováděcích právních předpisů k tomuto zákonu,
k) produktem souhrnný název pro technické a programové prostředky, dokumentaci informačních systémů veřejné správy nebo služby informačního systému veřejné správy nebo jejich kombinaci,
l) atestem doklad osvědčující kladný výsledek atestace,
m) atestačním střediskem právnická nebo fyzická osoba, kteří jsou podnikateli, provádějící atestace,
n) dálkovým přístupem přístup prostřednictvím sítě nebo služby elektronických komunikací (například s využitím internetu),
o) sdílením dat umožnění přístupu k daným datům prostřednictvím referenčního rozhraní, případně i mimo referenční rozhraní více osobám nebo jejich součástem současně,
p) vazbou mezi informačními systémy veřejné správy vzájemné nebo jednostranné poskytování služeb informačních systémů veřejné správy, například sdílení dat,
q) provozním informačním systémem informační systém veřejné správy zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu,
r) atestačními podmínkami obchodní podmínky vydané atestačním střediskem, obsahující zejména vymezení předmětu atestace a postupy atestačního střediska při provádění atestací schválené Digitální a informační agenturou (dále jen „Agentura“),
s) akreditací postup, na jehož základě se vydává osvědčení o tom, že právnické nebo fyzické osoby, které jsou podnikateli, splňují ve vymezeném rozsahu technické, organizační, ekonomické a personální předpoklady k provádění atestací,
t) provozní dokumentací dokumentace informačního systému veřejné správy nebo centrálního místa služeb komunikační infrastruktury veřejné správy (dále jen „centrální místo služeb“), která popisuje funkční a technické vlastnosti informačního systému veřejné správy nebo centrálního místa služeb a blíže rozpracovává oprávnění a povinnosti jeho správce, provozovatele a uživatele,
u) přístupem se zaručenou identitou přístup do informačního systému veřejné správy nebo elektronické aplikace s využitím prostředku pro elektronickou identifikaci, při jehož vydání nebo v souvislosti s ním anebo v souvislosti s umožněním jeho využití byla totožnost osoby ověřena státním orgánem, orgánem územního samosprávného celku nebo orgánem veřejné moci, který není státním orgánem ani orgánem územního samosprávného celku, (dále jen „veřejný orgán“) nebo který byl vydán v rámci kvalifikovaného systému elektronické identifikace,
v) určeným informačním systémem informační systém veřejné správy, který
1. využívá služby referenčního rozhraní nebo poskytuje služby referenčnímu rozhraní,
2. má vazby na informační systém veřejné správy podle bodu 1, nebo
3. je určený k poskytování služby informačního systému veřejné správy fyzickým nebo právnickým osobám s předpokládaným počtem uživatelů, kteří využívají přístup se zaručenou identitou, alespoň 5000 ročně.
(2) Pro účely tohoto zákona se dále rozumí
a) bezpečnostní úrovní cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost informačního systému veřejné správy bezpečnostní úroveň podle prováděcího právního předpisu upravujícího stanovení bezpečnostní úrovně informačního systému veřejné správy,
b) cloud computingem způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy,
c) poptávkou cloud computingu právní jednání orgánu veřejné správy,
1. jehož předmětem je projev vůle využít cloud computing poskytovaný osobou nebo její součástí, které jsou odlišné od tohoto orgánu veřejné správy, pro potřebu tohoto nebo jiného orgánu veřejné správy a mimo rámec vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek,
2. který obsahuje charakteristiku poptávaného cloud computingu a
3. který předchází právnímu jednání tohoto nebo jiného orgánu veřejné správy podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek,
d) nabídkou cloud computingu právní jednání poskytovatele cloud computingu,
1. jehož předmětem je projev vůle poskytnout cloud computing orgánu veřejné správy mimo rámec vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek,
2. který obsahuje charakteristiku nabízeného cloud computingu a
3. který předchází právnímu jednání tohoto poskytovatele cloud computingu podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek,
e) státní právnickou osobou státní fond a právnická osoba zřízená nebo založená státem, pokud byla zřízena nebo založena za zvláštním účelem spočívajícím v uspokojování potřeb obecného zájmu, které nemají průmyslovou nebo obchodní povahu, a je financována převážně státem nebo podléhá řídícímu dohledu státu anebo je v jejím správním, řídícím nebo dozorčím orgánu více než polovina členů jmenována státem,
f) architektonickou změnou technické zhodnocení informačního systému veřejné správy spočívající ve změně jeho vnitřní struktury, části informačního systému veřejné správy nebo jejích vlastností, vazby na jiný informační systém veřejné správy nebo vazby mezi částmi téhož informačního systému veřejné správy.,
g) bezpečnostními pravidly pro orgány veřejné správy využívající služby poskytovatelů cloud computingu (dále jen „bezpečnostní pravidla“) pravidla zajišťující bezpečnost informací při využívání služeb cloud computingu orgány veřejné správy k zajištění provozu informačního systému veřejné správy nebo jeho části a stanovená prováděcím právním předpisem.
§ 4
Agentura
(1) Agentura ve spolupráci s orgány veřejné správy
a) vyhledává, zpracovává, ukládá a vytváří nové informace, které jsou znalostní základnou pro kvalitní vytváření a rozvoj informačních systémů veřejné správy,
b) se vyjadřuje k návrhům dokumentací programů obsahujících pořízení nebo architektonické změny určených informačních systémů vypracovaných podle zvláštního právního předpisu7a); Agentura přitom přihlíží zejména k oprávněným zájmům předkladatele dokumentace programu, architektuře určených informačních systémů, technickému, ekonomickému a projektovému hledisku, práci s daty, uživatelskému zážitku a k potřebám zajištění řádného výkonu veřejné správy,
c) zajišťuje tvorbu metodických pokynů pro výkon odborných činností spojených s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy,
d) koordinuje a vytváří podmínky pro činnost veřejné správy prostřednictvím veřejně přístupných informačních systémů veřejné správy, včetně dálkového přístupu,
e) koordinuje a vytváří podmínky pro činnost kontaktních míst veřejné správy.
(2) Agentura
a) kontroluje u orgánů veřejné správy dodržování povinností stanovených tímto zákonem s výjimkou povinností stanovených v § 6n písm. b) až f) a § 6l odst. 3,
b) se vyjadřuje k investičním záměrům akcí pořízení nebo architektonických změn určených informačních systémů; Agentura přitom přihlíží zejména k oprávněným zájmům předkladatele investičního záměru akce, architektuře určených informačních systémů, technickému, ekonomickému a projektovému hledisku, práci s daty, uživatelskému zážitku a k potřebám zajištění řádného výkonu veřejné správy,
c) vykonává působnost stanovenou tímto zákonem v oblasti akreditace a atestací,
d) stanoví a spravuje referenční rozhraní a stanoví a ve Věstníku Agentury zveřejní pravidla užívání referenčního rozhraní,
e) ukládá správní tresty za přestupky podle § 7,
f) ukládá opatření směřující k nápravě nedostatků,
g) vyjadřuje se k projektům určených informačních systémů nebo jejich architektonických změn, jde-li o určené informační systémy spravované státními orgány nebo státními právnickými osobami anebo určené informační systémy spravované orgány územních samosprávných celků, které slouží k výkonu přenesené působnosti,
h) posuzuje, zda informační systémy veřejné správy splňují požadavky kladené na ně právními předpisy upravujícími informační nebo komunikační technologie, informační koncepcí orgánu veřejné správy a provozní dokumentací, a jde-li o informační systémy veřejné správy spravované orgány veřejné správy, pro něž jsou závazná usnesení vlády, rovněž informační koncepcí České republiky a jinými usneseními vlády týkajícími se informačních nebo komunikačních technologií,
i) vydává Věstník Agentury, v němž uveřejňuje metodické pokyny [odstavec 1 písm. f)], seznam atestačních středisek, udělení osvědčení o akreditaci a udělení atestů a další dokumenty vztahující se k informačním systémům veřejné správy; vydávání Věstníku Agentury zabezpečuje Agentura prostřednictvím portálu veřejné správy,
j) konzultuje návrhy metodických pokynů zejména s dotčenými osobami nebo jejich součástmi formou veřejné konzultace, jejímž cílem je získání stanovisek a připomínek dotčených osob nebo jejich součástí k předmětnému návrhu, a za tímto účelem zřídí a spravuje informační systém, kde způsobem umožňujícím dálkový přístup uveřejňuje návrhy metodických pokynů, umožňuje předkládání připomínek a uveřejňuje výsledek konzultace,
k) kontroluje výkon působnosti kontaktních míst veřejné správy.
§ 5a
Dlouhodobé řízení informačních systémů veřejné správy
(1) Rada vlády pro informační společnost vytváří a předkládá vládě ke schválení informační koncepci České republiky. Informační koncepce České republiky stanoví cíle České republiky v oblasti informačních systémů veřejné správy a obecné principy pořizování, architektonických změn, vytváření, správy, provozování, užívání a rozvoje informačních systémů veřejné správy v České republice na období 5 let.
(2) Orgány veřejné správy vytvářejí a vydávají informační koncepci orgánu veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgánu veřejné správy orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, architektonických změn, vytváření, správy, provozování, užívání a rozvoje svých informačních systémů veřejné správy. Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy a pravidla pro strukturování dat v informačních systémech veřejné správy stanoví prováděcí právní předpis. V případě orgánů téhož územního samosprávného celku se vytváří jedna informační koncepce pro všechny orgány územního samosprávného celku. Orgány veřejné správy předkládají informační koncepci orgánu veřejné správy do 3 měsíců ode dne jejího vydání nebo aktualizace Agentuře. Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanoví prováděcí právní předpis.
(3) Na základě vydané informační koncepce orgánu veřejné správy orgány veřejné správy vytvářejí a vydávají provozní dokumentaci k jednotlivým informačním systémům veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. Strukturu a náležitosti provozní dokumentace stanoví prováděcí právní předpis.
(4) Orgány veřejné správy si zajistí atestaci dlouhodobého řízení informačních systémů veřejné správy s výjimkou provozních informačních systémů uvedených v § 1 odst. 4 písm. a) až d) a prokáží splnění povinností podle odstavců 2 a 3 atestem dlouhodobého řízení informačních systémů veřejné správy. Rozsah provozní dokumentace předkládané při atestaci stanoví prováděcí právní předpis. Povinnost podle věty první se nevztahuje na obce, které vykonávají přenesenou působnost pouze v základním rozsahu9a).
§ 5b
(1) Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy.
(2) Orgány veřejné správy při využívání cloud computingu postupují podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost.
Správci informačních systémů veřejné správy, kteří nejsou poskytovatelem regulované služby podle zákona upravujícího kybernetickou bezpečnost, jsou povinni na jimi spravované informační systémy veřejné správy přiměřeně zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle zákona upravujícího kybernetickou bezpečnost[footnoteRef:1]8). [1: 8) § 6, §14 a § 15 zákona č. ... Sb., o kybernetické bezpečnosti. ]
§ 6i
Působnost v oblasti využívání cloud computingu orgány veřejné správy
(1) Vláda
a) pověřuje osobu nebo jiné právní uspořádání, které jsou zřízené nebo založené státem a které splňují požadavky podle § 6m odst. 1, poskytováním cloud computingu orgánům veřejné správy (dále jen „poskytovatel státního cloud computingu“),
b) schvaluje plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let.
(2) Agentura
a) koordinuje využívání cloud computingu orgány veřejné správy,
b) vydává metodické pokyny pro využívání cloud computingu orgány veřejné správy,
c) zpracovává plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let a předkládá ho vládě,
d) navrhuje opatření k zajištění dlouhodobě udržitelného financování využívání cloud computingu orgány veřejné správy,
e) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n písm. a) a kvalitu tohoto cloud computingu,
f) spravuje informační systém cloud computingu pro orgány veřejné správy (dále jen „informační systém cloud computingu“),
g) vede katalog cloud computingu pro orgány veřejné správy (dále jen „katalog cloud computingu“),
h) vykonává působnost správního orgánu příslušného k uplatňování, regulaci a kontrole cen podle právního předpisu upravujícího ceny v případě cen za poskytování cloud computingu orgánům veřejné správy.
(3) Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n, v případě, že je využíván k provozování informačního systému veřejné správy, který je informačním nebo komunikačním systémem kritické informační infrastruktury, významným informačním systémem nebo informačním systémem základní služby podle právního předpisu upravujícího kybernetickou bezpečnost.
(3) Národní úřad pro kybernetickou a informační bezpečnost
a) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n písm. b) až f),
b) kontroluje zařazení informačního systému veřejné správy do bezpečnostní úrovně podle § 6l odst. 3,
c) kontroluje zajištění dodržování bezpečnostních pravidel orgánem veřejné správy při využívání služby cloud computingu podle § 6l odst. 3.
(4) Orgán veřejné správy poskytne na žádost Agentury podklady pro zpracování plánu zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy.
§ 6l
Základní pravidla využívání cloud computingu orgánem veřejné správy
(1) Orgán veřejné správy může využívat pouze cloud computing, který splňuje požadavky podle § 6n a je poskytovaný
a) poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu na základě nabídky cloud computingu tohoto poskytovatele zapsané v okamžiku jejího přijetí orgánem veřejné správy v katalogu cloud computingu,
b) v rámci vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo
c) v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek.
(2) Přestane-li cloud computing využívaný orgánem veřejné správy splňovat podmínky podle odstavce 1, orgán veřejné správy ukončí jeho využívání nejpozději do 12 měsíců ode dne, kdy se o této skutečnosti dozvěděl.
(3) Orgán veřejné správy využívá cloud computing poskytovaný poskytovatelem cloud computingu na základě písemné smlouvy o poskytování cloud computingu orgánu veřejné správy. Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu a zajišťovat, že budou dodržována bezpečnostní pravidla stanovená prováděcím právním předpisem.
(4) Odstavce 1 až 3 se nepoužijí v případě cloud computingu, který slouží výlučně
a) ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů,
b) ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace,
c) k aktualizaci nebo opravě programového prostředku, nebo
d) ke shromažďování nebo výměně provozních údajů,
e) ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.
(5) Je-li poskytování cloud computingu poskytovatelem státního cloud computingu závislé na využití cloud computingu jiného poskytovatele cloud computingu, použijí se na toto využití ustanovení tohoto zákona o využívání cloud computingu orgány veřejné správy.
§ 6n
Požadavky na cloud computing využívaný orgánem veřejné správy
Orgán veřejné správy může využívat a poskytovatel cloud computingu může orgánu veřejné správy nebo poskytovateli státního cloud computingu poskytovat pouze cloud computing,
a) který umožňuje splnění požadavků kladených na informační systém veřejné správy informační koncepcí České republiky,
b) který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,
c) který umožňuje orgánu veřejné správy postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost zajistit dodržování bezpečnostních pravidel stanovených prováděcím právním předpisem,
d) jehož bezpečnostní úroveň je stejná nebo vyšší než bezpečnostní úroveň informačního systému veřejné správy nebo jeho části, k zajištění jehož provozu je využíván,
e) který v případě, že je jeho poskytování závislé na jiném cloud computingu, je poskytovaný s využitím cloud computingu splňujícího požadavky podle písmen b) až d) a poskytovaného poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c),
f) u něhož v případě, že je jeho poskytování závislé na více poskytovatelích cloud computingu, je každý poskytovatel cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c).
§ 6q
(1) Agentura rozhodne o zápisu poskytovatele cloud computingu do katalogu cloud computingu na základě jeho žádosti, splňuje-li poskytovatel cloud computingu požadavky podle § 6m odst. 1. O žádosti rozhodne Agentura do 45 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.
(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu poskytovatele cloud computingu do katalogu cloud computingu. O zápisu do katalogu cloud computingu Agentura vyrozumí poskytovatele cloud computingu, který o zápis požádal.
(3) Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu.
(4) Poskytovatel cloud computingu uvede v žádosti
a) údaje o sobě v rozsahu údajů, které se o poskytovateli cloud computingu vedou v katalogu cloud computingu,
b) adresu svého sídla, má-li jej mimo území České republiky.
(5) Poskytovatel cloud computingu k žádosti připojí
a) doklad vydaný orgánem státu, v němž má sídlo, obsahující identifikační údaje osob, které jsou jeho skutečným majitelem; část věty před středníkem se nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky,
b) doklad o svých zkušenostech s poskytováním cloud computingu za posledních 5 let,
c) doklad o tom, že splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona,
d) doklad o své bezúhonnosti, nelze-li bezúhonnost potvrdit postupem podle § 12 zákona o Rejstříku trestů; ustanovení právního předpisu upravujícího elektronickou identifikaci o dokladech prokazujících bezúhonnost kvalifikovaného správce kvalifikovaného systému elektronické identifikace se použijí obdobně,
e) doklad vydaný orgánem státu, v němž má sídlo, a doklad vydaný orgánem státu, na jehož území předpokládá dlouhodobé uložení informací orgánu veřejné správy, že nemá evidován nedoplatek vůči žádnému z orgánů těchto států; část věty před středníkem se ve vztahu k dokladu vydanému orgánem státu, v němž má poskytovatel cloud computingu sídlo, nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky.
(6) Nevydává-li orgán státu doklad podle odstavce 5 písm. a) nebo e), poskytovatel cloud computingu jej může nahradit čestným prohlášením.
§ 6t
(1) Agentura rozhodne o zápisu nabídky cloud computingu zařazeného do jiné než nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele státního cloud computingu nebo poskytovatele cloud computingu zapsaného v katalogu cloud computingu, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a), b), d) a f) a požadavek podle § 6n písm. e), pokud jde o požadavky podle § 6n písm. b) a d) a požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. Agentura rozhodne o zápisu nabídky cloud computingu zařazeného do nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele podle věty první, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a) a f) a požadavek podle § 6n písm. e), pokud jde o požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. O žádosti podle vět první a druhé rozhodne Agentura do 30 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.
(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu nabídky cloud computingu do katalogu cloud computingu. Agentura o zápisu do katalogu cloud computingu vyrozumí poskytovatele cloud computingu, který o zápis požádal.
(3) Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu.
(4) Poskytovatel cloud computingu může v žádosti uvést pouze jednu nabídku jednoho cloud computingu nebo jednu nabídku více cloud computingů zařazených do stejné bezpečnostní úrovně.
(5) Poskytovatel cloud computingu uvede v žádosti
a) údaje o nabídce cloud computingu v rozsahu údajů, které se o nabídce cloud computingu vedou v katalogu cloud computingu,
b) údaj, zda je poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu, identifikaci tohoto cloud computingu a jeho poskytovatele a popis využití jiného cloud computingu, včetně rozsahu využití,
c) údaj, zda je poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, identifikaci těchto poskytovatelů cloud computingu a popis jejich zapojení do poskytování nabízeného cloud computingu, včetně rozsahu zapojení.
(6) Poskytovatel cloud computingu k žádosti připojí
a) seznam svých dodavatelů, u kterých předpokládá zpracovávání informací orgánu veřejné správy,
b) doklad o tom, že nabízený cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona,
c) dokumentaci nabízeného cloud computingu,
d) zprávu o provedení penetračního testu nabízeného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona,
e) plán zajištění kontinuity provozu nabízeného cloud computingu a plán na obnovu poskytování nabízeného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
f) doklad o zhodnocení zdrojů rizik nabízeného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost,
g) podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací nabízeným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona.
(7) Je-li poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu a není-li jiný cloud computing ke dni podání žádosti předmětem nabídky cloud computingu zapsané v katalogu cloud computingu, poskytovatel cloud computingu k žádosti dále připojí
a) smlouvu s poskytovatelem cloud computingu, který poskytuje cloud computing, na jehož využití je závislé poskytování nabízeného cloud computingu, (dále jen „podpůrný cloud computing“),
b) seznam dodavatelů poskytovatele podpůrného cloud computingu, u kterých poskytovatel podpůrného cloud computingu předpokládá zpracovávání informací orgánu veřejné správy,
c) doklad o tom, že podpůrný cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona,
d) dokumentaci podpůrného cloud computingu,
e) zprávu o provedení penetračního testu podpůrného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona,
f) plán zajištění kontinuity provozu podpůrného cloud comutingu a plán na obnovu poskytování podpůrného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
g) doklad o zhodnocení zdrojů rizik podpůrného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona,
h) podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona.
(8) Je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, poskytovatel cloud computingu k žádosti dále připojí
a) smlouvu o poskytování nabízeného cloud computingu s těmito poskytovateli cloud computingu,
b) seznam dodavatelů těchto poskytovatelů cloud computingu, u kterých tito poskytovatelé cloud computingu předpokládají zpracovávání informací orgánu veřejné správy.
§ 7
Přestupky právnických a podnikajících fyzických osob a orgánů veřejné správy
(1) Akreditující osobě, která
a) neprovádí akreditaci podle akreditačních pravidel, s nimiž Agentura vyslovila souhlas [§ 6 odst. 4 písm. a)],
b) vydá osvědčení o akreditaci, aniž by splňovala personální požadavky [§ 6 odst. 4 písm. d)],
c) neohlásí bezodkladně Agentuře, že nemá po dobu delší než 3 měsíce zajištěné zdroje potřebné pro výkon svých činností [§ 6 odst. 4 písm. f)],
d) nepostupuje při provádění akreditace nestranně [§ 6 odst. 4 písm. e)], nebo
e) nesplní ve stanovené lhůtě povinnost předání informací Agentuře (§ 6a odst. 3),
lze uložit pokutu do 100 000 Kč.
(2) Atestační středisko se dopustí přestupku tím, že
a) neprovádí atestaci podle postupů atestačního střediska schválených Agenturou (§ 6b odst. 3),
b) vyhodnotilo způsob dlouhodobého řízení informačních systémů veřejné správy v rozporu s osvědčením o akreditaci (§ 6a) nebo tímto zákonem,
c) vydá atest na dlouhodobé řízení informačních systémů veřejné správy, na jejichž vývoji, přípravě, výrobě nebo na obchodu se jakkoliv podílelo samo nebo s ním ekonomicky nebo personálně spojená osoba (§ 6d odst. 2),
d) nesplní ve stanovené lhůtě povinnost vydání protokolu o provedené zkoušce (§ 6d odst. 4),
e) nesplní ve stanovené lhůtě povinnost předání informací Agentuře (§ 6d odst. 7), nebo
f) nesplní ve stanovené lhůtě povinnost zveřejnění atestačních podmínek (§ 6e odst. 1).
(3) Právnická nebo podnikající fyzická osoba se jako provozovatel informačního systému veřejné správy dopustí přestupku tím, že
a) nepředá data a provozní údaje na vyžádání správce informačního systému veřejné správy podle § 9e odst. 1, nebo
b) v rozporu s § 9e odst. 2 nebo 3
1. nepředá data a provozní údaje po ukončení provozování informačního systému veřejné správy,
2. nezlikviduje kopie dat a provozních údajů, nebo
3. neumožní správci informačního systému veřejné správy dohled nad průběhem likvidace kopií dat a provozních údajů.
(4) Poskytovatel cloud computingu se dopustí přestupku tím, že poskytuje cloud computing, který nesplňuje požadavky na cloud computing využívaný orgánem veřejné správy podle § 6n.
(5) Orgán veřejné správy se dopustí přestupku tím, že
a) využívá cloud computing v rozporu s § 6l odst. 1,
b) nesplní ve stanovené lhůtě povinnost ukončit využívání cloud computingu (§ 6l odst. 2),
c) nesplní povinnost zařadit informační systém nebo jeho část do bezpečnostní úrovně (§ 6l odst. 3), nebo
d) nezajišťuje dodržování bezpečnostních pravidel (§ 6l odst. 3).
(46) Za přestupek lze uložit pokutu do
a) 10000000 Kč, jde-li o přestupek podle odstavce 4 nebo odstavce 5,
ab) 1000000 Kč, jde-li o přestupek podle odstavce 2 písm. a) až c) nebo odstavce 3 písm. b) bodu 1 nebo 2,
bc) 200000 Kč, jde-li o přestupek podle odstavce 3 písm. a) nebo písm. b) bodu 3,
cd) 100000 Kč, jde-li o přestupek podle odstavce 2 písm. d) až f).
§ 9e
(1) Provozovatel informačního systému veřejné správy předá bezodkladně na vyžádání správce informačního systému veřejné správy data a provozní údaje týkající se provozovaného informačního systému veřejné správy.
(2) Provozovatel informačního systému veřejné správy předá bezodkladně po ukončení provozování informačního systému veřejné správy data a provozní údaje týkající se provozovaného informačního systému veřejné správy správci informačního systému veřejné správy a kopie těchto dat a provozních údajů zlikviduje.
(3) Provozovatel informačního systému veřejné správy postupuje při likvidaci kopií dat a provozních údajů týkajících se provozovaného informačního systému veřejné správy podle pravidel stanovených právním předpisem upravujícím kybernetickou bezpečnost pro likvidaci dat, provozních údajů, informací a jejich kopií správci a provozovateli významného informačního systému. Provozovatel informačního systému veřejné správy umožní správci informačního systému veřejné správy dohled nad průběhem likvidace kopií dat a provozních údajů, nevylučuje-li to způsob provozování informačního systému veřejné správy.
(4) Provozovatel informačního systému veřejné správy má právo na úhradu účelně vynaložených nákladů za předání dat a provozních údajů podle odstavců 1 a 2.
(5) Ustanovení právního předpisu upravujícího práva k duševnímu vlastnictví nejsou předáním dat a provozních údajů podle odstavců 1 a 2 dotčena.
§ 12
(1) Agentura stanoví vyhláškou
a) požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů veřejné správy podle § 5 odst. 2 písm. j), hodnocení ekonomické výhodnosti provozu informačního systému veřejné správy podle § 5 odst. 2 písm. k) a hodnocení ekonomické výhodnosti využití poptávaného cloud computingu podle § 6o odst. 4 a postup při jejich provádění,
b) požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, podle § 5a odst. 2,
c) požadavky na strukturu a náležitosti provozní dokumentace podle § 5a odst. 3 a na rozsah provozní dokumentace předkládané při atestaci podle § 5a odst. 4,
d) postupy atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy podle § 6d odst. 1 písm. b),
e) údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy podle § 6k odst. 2,
f) požadavky na náležitosti smlouvy o poskytování cloud computingu orgánu veřejné správy podle § 6l odst. 3,
g) požadavky na náležitosti dokladu o zkušenostech poskytovatele cloud computingu s poskytováním cloud computingu podle § 6q odst. 5 písm. b),
h) požadavky na strukturu a náležitosti dokumentace nabízeného cloud computingu podle § 6t odst. 6 písm. c) a dokumentace podpůrného cloud computingu podle § 6t odst. 7 písm. d),
i) seznam obecních úřadů, úřadů městských částí nebo městských obvodů územně členěných statutárních měst a úřadů městských částí hlavního města Prahy podle § 8a odst. 2 písm. d),
j) náležitosti a vzor formuláře žádosti o vyjádření podle § 5 odst. 2 písm. b) a f) a žádosti o posouzení podle § 5 odst. 2 písm. c).
(2) Národní úřad pro kybernetickou a informační bezpečnost stanoví vyhláškou
a) požadavky na zajištění základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) a § 6n písm. b),
b) seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c), doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2,
c) požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) a intervaly pro její předkládání,
d) požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii podle § 6t odst. 6 písm. e) a § 6t odst. 7 písm. f),
e) požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g),
f) požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. g) a § 6t odst. 7 písm. h).,
g) bezpečnostní úrovně informačních systémů veřejné správy,
h) obsah a rozsah bezpečnostních pravidel pro orgány veřejné správy využívající služeb cloud computingu podle § 6l odst. 3.
(3) Agentura a Ministerstvo vnitra stanoví vyhláškou požadavky na strukturu a náležitosti záznamů o poskytnutí a využití údajů a o přístupu do informačního systému veřejné správy podle § 5e.
Platné znění dotčených ustanovení zákona č. 159/2006 Sb., o střetu zájmů, ve znění zákona č. 216/2008 Sb., zákona č. 158/2009 Sb., zákona č. 350/2009 Sb., zákona č. 131/2015 Sb., zákona č. 190/2016 Sb., zákona č. 302/2016 Sb., zákona č. 14/2017 Sb., zákona č. 183/2017 Sb. a zákona č. 180/2022 Sb., s vyznačením navrhovaných změn a doplnění
§ 2
Veřejný funkcionář
(1) Pro účely tohoto zákona se veřejným funkcionářem rozumí
a) poslanec Poslanecké sněmovny Parlamentu České republiky (dále jen "poslanec"),
b) senátor Senátu Parlamentu České republiky (dále jen "senátor"),
c) člen vlády nebo vedoucí jiného ústředního správního úřadu, v jehož čele není člen vlády1),
d) náměstek člena vlády nebo náměstek ministra vnitra pro státní službu,
e) vedoucí Kanceláře Poslanecké sněmovny, vedoucí Kanceláře Senátu nebo vedoucí Kanceláře prezidenta republiky,
f) inspektor Úřadu pro ochranu osobních údajů,
g) předseda Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví,
h) člen Rady Českého telekomunikačního úřadu,
i) člen Rady Energetického regulačního úřadu,
j) člen bankovní rady České národní banky,
k) prezident, viceprezident a člen Nejvyššího kontrolního úřadu,
l) předseda nebo člen Úřadu pro dohled nad hospodařením politických stran a politických hnutí,
m) veřejný ochránce práv a jeho zástupce,
n) člen Rady pro rozhlasové a televizní vysílání,
o) člen zastupitelstva kraje nebo člen Zastupitelstva hlavního města Prahy, který je pro výkon funkce dlouhodobě uvolněn nebo který před svým zvolením do funkce člena zastupitelstva nebyl v pracovním poměru, ale vykonává funkce ve stejném rozsahu jako člen zastupitelstva, který je pro výkon funkce dlouhodobě uvolněn,
p) člen zastupitelstva obce, městské části nebo městského obvodu územně členěného statutárního města nebo městské části hlavního města Prahy, který je pro výkon funkce dlouhodobě uvolněn nebo který před svým zvolením do funkce člena zastupitelstva nebyl v pracovním poměru, ale vykonává funkce ve stejném rozsahu jako člen zastupitelstva, který je pro výkon funkce dlouhodobě uvolněn, nebo
q) starosta obce, městské části nebo městského obvodu územně členěného statutárního města nebo městské části hlavního města Prahy, místostarosta obce s pověřeným obecním úřadem, obce s rozšířenou působností, městské části nebo městského obvodu územně členěného statutárního města, zástupce starosty městské části hlavního města Prahy nebo členové rady obce s rozšířenou působností, městské části nebo městského obvodu územně členěného statutárního města, městské části hlavního města Prahy, kraje nebo hlavního města Prahy, kteří nejsou pro výkon funkce dlouhodobě uvolněni.
(2) Pokud nejde o veřejného funkcionáře podle odstavce 1, rozumí se pro účely tohoto zákona veřejným funkcionářem také
a) ředitel bezpečnostního sboru a vedoucí příslušník bezpečnostního sboru 1. a 2. řídicí úrovně podle zvláštního právního předpisu3a) v bezpečnostním sboru, s výjimkou příslušníků zpravodajských služeb3b),
b) člen statutárního orgánu, člen řídicího, dozorčího nebo kontrolního orgánu právnické osoby zřízené zákonem, státní příspěvkové organizace, příspěvkové organizace územního samosprávného celku, s výjimkou právnických osob vykonávajících činnost školy nebo školského zařízení a s výjimkou členů správních rad veřejných vysokých škol a statutárního orgánu nebo členů statutárního orgánu, členů řídicího, dozorčího nebo kontrolního orgánu samosprávných stavovských organizací zřízených zákonem,
c) vedoucí zaměstnanec 2. až 4. stupně řízení podle zvláštního právního předpisu3c) právnické osoby zřízené zákonem, státní příspěvkové organizace, příspěvkové organizace územního samosprávného celku, s výjimkou právnických osob vykonávajících činnost školy nebo školského zařízení,
d) vedoucí organizační složky státu, vedoucí zaměstnanec 2. až 4. stupně řízení podle zvláštního právního předpisu3c) v organizační složce státu, s výjimkou zpravodajské služby3b) a Národního úřadu pro kybernetickou a informační bezpečnost, nebo představený podle zákona o státní službě, nejde-li o vedoucího oddělení nebo o příslušníka zpravodajské služby3b),
e) vedoucí úředník územního samosprávného celku podílející se na výkonu správních činností zařazený do obecního úřadu, do úřadu městského obvodu nebo úřadu městské části územně členěného statutárního města, do krajského úřadu, do Magistrátu hlavního města Prahy nebo úřadu městské části hlavního města Prahy,
f) soudce,
g) státní zástupce,
h) voják z povolání ve vojenské hodnosti podplukovník a vyšší vojenské hodnosti11), s výjimkou příslušníků zpravodajských služeb3b), nebo
i) ředitel veřejné výzkumné instituce podle zákona o veřejných výzkumných institucích.
(3) Povinnosti podle tohoto zákona se na osobu uvedenou v odstavci 2, která podává oznámení podle § 9 až 11 a § 12 odst. 4 evidenčnímu orgánu, vztahují pouze tehdy, jestliže v rámci výkonu své činnosti
a) je oprávněna nakládat s finančními prostředky orgánu veřejné správy jako příkazce operace ve smyslu zákona o finanční kontrole, pokud hodnota finanční operace přesáhne 250000 Kč,
b) bezprostředně se podílí na rozhodování při zadávání veřejné zakázky nebo na rozhodování při výkonu práv a povinností zadavatele při realizaci zadávané veřejné zakázky,
c) rozhoduje ve správním řízení, s výjimkou příkazu na místě, nebo
d) se podílí na vedení trestního stíhání.
(4) Povinnosti podle tohoto zákona se nevztahují na osobu uvedenou v odstavci 2 písm. a) nebo h), pokud je její příslušnost k bezpečnostnímu sboru nebo jeho určenému útvaru utajovanou informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti12) nebo pokud se na ni vztahují zvláštní postupy k utajení a zajištění bezpečnosti13).
Platné znění dotčeného ustanovení zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), s vyznačením navrhovaných změn a doplnění
§ 7
Bez povolení podle § 14 odst. 1 nebo podmínečného povolení podle § 15 odst. 3 nesmí být uskutečněna zahraniční investice do
a) cílové osoby, která provádí výrobu, výzkum, vývoj, inovace[footnoteRef:2]2) nebo zajišťování životního cyklu vojenského materiálu podle právního předpisu upravujícího zahraniční obchod s vojenským materiálem[footnoteRef:3]3), nebo do cílové věci, jejímž prostřednictvím se uvedené činnosti provádí, [2: 2) Zákon č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu a vývoje), ve znění pozdějších předpisů.
] [3: 3) Zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem, ve znění pozdějších předpisů.
Vyhláška č. 210/2012 Sb., o provedení některých ustanovení zákona č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem, ve znění pozdějších předpisů.
]
b) cílové osoby, která provozuje prvek kritické infrastruktury určený příslušným ústředním správním úřadem[footnoteRef:4]4), [4: 4) Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů.
]
c) cílové osoby, která je správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní poskytovatelem strategicky významné služby[footnoteRef:5]5), nebo [5: 5) § 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů. Zákon č. … Sb., o kybernetické bezpečnosti.
]
d) cílové osoby, která vyvíjí nebo vyrábí zboží uvedené v příloze IV nařízení Rady (ES) 428/2009, kterým se zavádí režim Společenství pro kontrolu vývozu, přepravy, zprostředkování a tranzitu zboží dvojího užití, v platném znění, nebo do cílové věci, jejímž prostřednictvím se takové zboží vyvíjí nebo vyrábí.
Platné znění dotčených ustanovení zákona č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění zákona č. 517/2002 Sb., zákona č. 225/2003 Sb., zákona č. 501/2004 Sb., zákona č. 95/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 264/2006 Sb., zákona č. 110/2007 Sb., zákona č. 41/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 153/2010 Sb., zákona č. 329/2011 Sb., zákona č. 89/2012 Sb., zákona č. 221/2012 Sb., zákona č. 212/2013 Sb., zákona č. 258/2014 Sb., zákona č. 319/2015 Sb., zákona č. 378/2015 Sb., zákona č. 250/2016 Sb., zákona č. 183/2017 Sb., zákona č. 202/2019 Sb., zákona č. 164/2020 Sb. a zákona č. 374/2021 Sb., s vyznačením navrhovaných změn a doplnění
§ 33
Povinnosti držitele poštovní licence
(1) Držitel poštovní licence je povinen
a) plnit poštovní povinnost způsobem, který je v souladu s potřebami veřejnosti a se základními kvalitativními požadavky, včetně soustavného poskytování informací o základních službách a způsobu jejich užití,
b) nabízet poštovní služby, na něž se vztahuje poštovní povinnost, podle poštovních podmínek.
(2) Držitel poštovní licence nemusí dočasně plnit povinnosti podle odstavce 1 písm. a), jestliže tomu brání překážky, jež sám nevyvolal a jejichž vzniku nemohl ani při řádné péči zabránit, zejména nezaviněné technické problémy, důsledky přírodních událostí, nedostatek potřebné součinnosti jiných osob nebo důsledky krizové situace. Držitel poštovní licence je však povinen počínat si tak, aby plnění povinností bylo omezeno co nejméně a aby překážky byly co nejdříve odstraněny.
(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Povinnost podle věty první se neuplatní v rozsahu, ve kterém se na držitele poštovní licence vztahují povinnosti podle právního předpisu upravujícího kybernetickou bezpečnost.
(34) Držitel poštovní licence nemusí poskytnout poštovní službu, na niž se vztahuje poštovní povinnost, pokud by její poskytnutí bylo v důsledku toho, že některý z požadavků podle § 6 odst. 2 písm. b) až e) nebyl splněn, neúměrně komplikované, anebo by bylo pro něho spojeno s rizikem jiných vážných následků.
(45) Držitel poštovní licence je povinen
a) zajistit, aby nedocházelo k neodůvodněnému zvýhodňování nebo znevýhodňování zájemců o základní služby, které jsou obsaženy v jeho poštovní licenci,
b) vhodně poskytovat informace o základních službách, které jsou obsaženy v jeho poštovní licenci, a způsobu jejich užití,
c) zajistit rychlé a účinné projednávání námitek uživatelů základních služeb, které jsou obsaženy v jeho poštovní licenci; informace o počtu námitek a způsobu jejich vyřízení se uveřejňují podle písmene e),
d) dodržovat technické normy pro poštovní odvětví závazné podle předpisů Evropské unie a vhodně poskytovat informace o těchto normách a provádět nezávislá měření přepravních dob poštovních zásilek a výsledky uveřejňovat podle písmene e),
e) každoročně uveřejňovat a současně Úřadu předkládat úplné a pravdivé informace o výsledcích poskytování a zajišťování základních služeb, které jsou obsaženy v jeho poštovní licenci, a vyhodnocení plnění parametrů kvality podle stavu k 31. prosinci kalendářního roku, a to nejpozději do 31. března následujícího kalendářního roku; obsah, formu a způsob uveřejnění informací stanoví prováděcí právní předpis.
(56) Držitel poštovní licence má povinnost poskytovat základní služby, které jsou obsaženy v jeho poštovní licenci, za nákladově orientované ceny s výjimkou podle odstavce 6, § 3 odst. 1 písm. f) a § 34a. Nákladově orientovanou cenou se rozumí cena, která zahrnuje efektivně a účelně vynaložené náklady a přiměřený zisk a která se stanovuje tak, aby zajistila návratnost investic v přiměřeném časovém období a zohlednila příslušná rizika.
(67) Držitel poštovní licence může sjednat ceny, které zahrnují nižší míru zisku, než je přiměřený zisk odpovídající nákladově orientovaným cenám základních služeb podle odstavce 5; nevzniká mu však právo na úhradu čistých nákladů stanovených podle § 34b z rozdílu mezi uplatňovaným a přiměřeným ziskem.
(78) Držitel poštovní licence je povinen sjednat ceny základních služeb, které jsou obsaženy v jeho poštovní licenci, transparentně a nediskriminačně. Pokud za určitých podmínek sjedná cenu některé z těchto základních služeb specificky, je povinen za srovnatelných podmínek nabídnout každému takto sjednanou cenu.
(89) Držitel poštovní licence je povinen písemně Úřadu oznámit
a) zvýšení cen základních služeb, které jsou obsaženy v jeho poštovní licenci,
b) veškeré změny technické, organizační nebo právní povahy vztahující se k tomuto držiteli poštovní licence, jež mohou zásadním způsobem ovlivnit poskytování a zajišťování základních služeb, které jsou obsaženy v jeho poštovní licenci.
(910) Oznámení podle odstavce 8 písm. a) je držitel poštovní licence povinen učinit alespoň 90 dnů přede dnem, od kterého hodlá zvýšit ceny základních služeb, a oznámení podle odstavce 8 písm. b) alespoň 30 dnů přede dnem rozhodné události.
§ 36b
Spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost
Úřad a Národní úřad pro kybernetickou a informační bezpečnost si vzájemně poskytují podněty, informace a jiné formy součinnosti potřebné k plnění úkolů, které jim stanoví právní předpisy. Při předávání informací je příjemce povinen zajistit stejnou úroveň důvěrnosti jako předávající.
§ 37a
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a) poruší některou z povinností podle § 16 odst. 1,
b) zjišťuje obsah poštovní zásilky v rozporu s § 16 odst. 5,
c) podniká v oblasti poštovních služeb v rozporu s obecnými podmínkami podnikání uvedenými v § 17,
d) podniká v oblasti poštovních služeb bez oprávnění podle § 18 odst. 1,
e) nesplní povinnost podle § 18 odst. 5 nebo 6, nebo
f) provozuje službu dodání peněžní částky poštovním poukazem bez poštovní licence v rozporu s § 20.
(2) Provozovatel se dopustí přestupku tím, že
a) nezpřístupní poštovní podmínky podle § 4 odst. 1,
b) neuzavře poštovní smlouvu podle § 4 odst. 2,
c) neuveřejní informaci o změně poštovních podmínek podle § 6 odst. 3,
d) zachází s poštovní zásilkou nebo poukázanou peněžní částkou v rozporu s § 7 odst. 1,
e) otevře nebo prohlíží poštovní zásilku v rozporu § 8 odst. 1, 2 a 4,
f) neinformuje o otevření poštovní zásilky při dodání adresáta, popřípadě odesílatele při vrácení poštovní zásilky podle § 8 odst. 3,
g) prodá poštovní zásilku v rozporu s § 9 odst. 1 a 2,
h) nevydá čistý výtěžek podle § 9 odst. 3,
i) zničí poštovní zásilku v rozporu s § 10,
j) nevyplatí poukázanou peněžní částku v rozporu § 11,
k) v rozporu s § 16 odst. 7 nevydá poštovní zásilku nebo neumožní jiná opatření dotýkající se poštovní zásilky,
l) nesplní povinnost podle § 18 odst. 4,
m) neplní informační povinnost podle § 32a,
n) neplní povinnost podle § 34 odst. 12, nebo
o) v rozporu s § 6 odst. 2 neuvede v poštovních podmínkách veškeré požadované informace nebo je uvede nesrozumitelným, neúplným nebo obtížně přístupným způsobem.
(3) Držitel poštovní licence se dopustí přestupku tím, že
a) neplní poštovní povinnost způsobem podle § 33 odst. 1 písm. a) nebo podle rozhodnutí o udělení poštovní licence,
b) nabízí poštovní služby v rozporu s § 33 odst. 1 písm. b),
c) nesplní informační povinnost podle § 33 odst. 3,
cd) poruší některou z povinností podle § 33 odst. 45,
de) poruší některou z povinností podle § 33 odst. 5, 7, 8 nebo 96, 8, 9 nebo 10,
ef) neplní některou z povinností podle § 33a,
fg) poruší některou z povinností podle § 34 odst. 1, 2, 3, 9 nebo 10, nebo
gh) nabízí základní služby, které jsou obsaženy v jeho poštovní licenci, v rozporu s rozhodnutím o ceně podle § 34a odst. 2.
…..
(6) Za přestupek lze uložit pokutu do
a) 10 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. c), d) nebo f), nebo podle odstavce 3 písm. e)f),
b) 2 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a) nebo b), nebo podle odstavce 2 písm. e) nebo k), nebo podle odstavce 3 písm. a), c), d), f) nebo g)e), g) nebo h),
c) 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. e), nebo podle odstavce 2 písm. b), d), h), j), l), m) nebo o), nebo podle odstavce 3 písm. b), nebo podle odstavců 4 a 5, nebo
d) 500 000 Kč, jde-li o přestupek podle odstavce 2 písm. a), c), f), g), i) nebo n).
§ 41
Zmocňovací ustanovení
(1) Úřad vydá vyhlášku k provedení § 3 odst. 3, § 18 odst. 1, § 33 odst. 4odst. 5 písm. e), § 33a odst. 2 a § 34b odst. 7.
(2) Vláda vydá nařízení k provedení § 3 odst. 2 písm. a).
(3) Ministerstvo průmyslu a obchodu vydá vyhlášku k provedení § 37 odst. 2 písm. a).
Stránka 2 (celkem 2)