Zákon č. 181/2014 Sb.
Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
Platný
Účinnost od 01.01.2015
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
§ 3a
HLAVA II
§ 4
§ 4a
§ 5
§ 6
§ 6a
§ 7
§ 8
§ 9
§ 10
§ 10a
§ 11
§ 12
§ 13
§ 14
§ 15
§ 15a
§ 16
§ 17
§ 18
§ 19
§ 20
HLAVA III
§ 21
HLAVA IV
§ 21a
§ 22
§ 22a
§ 22b
§ 22c
HLAVA V
§ 23
§ 24
§ 24a
§ 24b
§ 24c
§ 25
§ 26
§ 27
HLAVA VI
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
ČÁST TŘETÍ
§ 35
ČÁST PÁTÁ
§ 37
ČÁST ŠESTÁ
§ 38
Zobrazeno prvních 200 z celkem 575 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
181
ZÁKON
ze dne 23. července 2014
o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
Parlament se usnesl na tomto zákoně České republiky:
KYBERNETICKÁ BEZPEČNOST
ZÁKLADNÍ USTANOVENÍ
Předmět úpravy
(1) Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti.
(3) Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi.
Vymezení pojmů
V tomto zákoně se rozumí
a) kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací1),
b) kritickou informační infrastrukturou prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy2) v oblasti kybernetické bezpečnosti,
c) bezpečností informací zajištění důvěrnosti, integrity a dostupnosti informací a dat,
d) významným informačním systémem informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci,
e) správcem informačního systému orgán nebo osoba, které určují účel zpracování informací a podmínky provozování informačního systému,
f) správcem komunikačního systému orgán nebo osoba, které určují účel komunikačního systému a podmínky jeho provozování,
g) provozovatelem informačního nebo komunikačního systému orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém
h) významnou sítí síť elektronických komunikací1) zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře ,
i) základní službou služba, jejíž poskytování je závislé na sítích elektronických komunikací7) nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví
1. energetika,
2. doprava,
3. bankovnictví,
4. infrastruktura finančních trhů,
5. zdravotnictví,
6. vodní hospodářství,
7. digitální infrastruktura,
8. chemický průmysl,
j) informačním systémem základní služby informační systém, na jehož fungování je závislé poskytování základní služby ,
k) provozovatelem základní služby orgán nebo osoba, která poskytuje základní službu a která je určena Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „Úřad“) podle § 22a; pro účely plnění informační povinnosti podle příslušného předpisu Evropské unie8) se za provozovatele základní služby považují též orgány a osoby uvedené v § 3 písm. c) a d),
l) digitální službou služba informační společnosti podle zákona upravujícího některé služby informační společnosti9), která spočívá v provozování
1. on-line tržiště, které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem10) kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
2. internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem, nebo
3. cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet, a
m) příslušným orgánem orgán vykonávající působnost v oblasti kybernetické bezpečnosti.
Orgány a osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti, jsou
a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací1), pokud není orgánem nebo osobou podle písmene b),
b) orgán nebo osoba zajišťující významnou síť , pokud nejsou správcem nebo provozovatelem komunikačního systému podle písmene d),
c) správce a provozovatel informačního systému kritické informační infrastruktury ,
d) správce a provozovatel komunikačního systému kritické informační infrastruktury ,
e) správce a provozovatel významného informačního systému ,
f) správce a provozovatel informačního systému základní služby , pokud nejsou správcem nebo provozovatelem podle písmene c) nebo d),
g) provozovatel základní služby , pokud není správcem nebo provozovatelem podle písmene f), a
h) poskytovatel digitální služby .
Zástupce poskytovatele digitálních služeb
(1) Poskytovatel digitální služby , který poskytuje tuto službu v České republice, nemá sídlo v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie (dále jen „jiný členský stát“), je povinen ustavit si svého zástupce v České republice. Zástupcem poskytovatele digitální služby je osoba, která je usazená v České republice a která je poskytovatelem digitální služby na základě plné moci zmocněná jej zastupovat ve vztahu k povinnostem podle tohoto zákona.
(2) V případě, že poskytovatel digitální služby má sídlo mimo Evropskou unii a ustavil si svého zástupce v České republice, má se za to, že je usazen v České republice a vztahují se na něj povinnosti podle tohoto zákona.
(3) V případě, že je poskytovatel digitální služby usazen v České republice nebo zde má ustaveného zástupce, ale jím využívané sítě elektronických komunikací a informační systémy se nacházejí v jiném členském státu, Úřad při výkonu státní správy spolupracuje s příslušným orgánem dotčeného členského státu.
SYSTÉM ZAJIŠTĚNÍ KYBERNETICKÉ BEZPEČNOSTI
Bezpečnostní opatření
(1) Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací1) v kybernetickém prostoru .
(2) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury , informačního systému základní služby a významného informačního systému a vést o nich bezpečnostní dokumentaci.
(3) Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací , zvládání kybernetických bezpečnostních incidentů , řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy.
(4) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
(5) Orgány veřejné moci jsou povinny před uzavřením smlouvy s poskytovatelem služeb cloud computingu zařadit poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému podle prováděcího právního předpisu a zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase.
(6) Poskytovatel služby cloud computingu a orgán veřejné moci si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel a realizaci bezpečnostní politiky odběratele.
(7) Zohlednění požadavků vyplývajících z bezpečnostní politiky, bezpečnostních pravidel, bezpečnostních opatření a dalších podmínek sjednaných ve smlouvě podle odstavce 5, které jsou nezbytné pro splnění povinností podle tohoto zákona, nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
(1) Orgány a osoby, které se staly správci informačních nebo komunikačních systémů kritické informační infrastruktury nebo správci významných informačních systémů , a nejsou provozovateli tohoto systému, jsou povinny neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem nebo osobou podle § 3 písm. c), d) nebo e).
(2) Orgány a osoby, které se staly správci nebo provozovateli informačních nebo komunikačních systémů kritické informační infrastruktury , jsou povinny neprodleně a prokazatelně informovat subjekt zajišťující síť elektronických komunikací, ke které je jejich předmětný informační nebo komunikační systém kritické informační infrastruktury připojen, o této skutečnosti a o tom, že se tento subjekt stal orgánem nebo osobou podle § 3 písm. b).
(3) Orgány a osoby, které byly podle § 22a určené provozovateli základní služby a nejsou zároveň správci nebo provozovateli svých informačních systémů základní služby , jsou povinny správce nebo provozovatele tohoto informačního systému základní služby neprodleně a prokazatelně informovat o svém určení a o tom, že se dotčený správce nebo provozovatel stal orgánem nebo osobou podle § 3 písm. f).
(1) Bezpečnostními opatřeními jsou
a) organizační opatření a
b) technická opatření .
(2) Organizačními opatřeními jsou
a) systém řízení bezpečnosti informací ,
b) řízení rizik,
c) bezpečnostní politika,
d) organizační bezpečnost,
e) stanovení bezpečnostních požadavků pro dodavatele,
f) řízení aktiv,
g) bezpečnost lidských zdrojů,
h) řízení provozu a komunikací,
i) řízení přístupu osob,
j) akvizice, vývoj a údržba,
k) zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů ,
l) řízení kontinuity činností a
m) kontrola a audit.
(3) Technickými opatřeními jsou
a) fyzická bezpečnost,
b) nástroj pro ochranu integrity komunikačních sítí,
c) nástroj pro ověřování identity uživatelů,
d) nástroj pro řízení přístupových oprávnění,
e) nástroj pro ochranu před škodlivým kódem,
f) nástroj pro zaznamenávání činnosti informačního nebo komunikačního systému, jeho uživatelů a administrátorů,
g) nástroj pro detekci kybernetických bezpečnostních událostí ,
h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí ,
i) aplikační bezpečnost,
j) kryptografické prostředky,
k) nástroj pro zajišťování úrovně dostupnosti informací a
l) bezpečnost průmyslových a řídících systémů.
Prováděcí právní předpis stanoví
a) obsah bezpečnostních opatření ,
b) obsah a strukturu bezpečnostní dokumentace,
c) rozsah bezpečnostních opatření pro orgány a osoby uvedené v § 3 písm. c) až f),
d) významné informační systémy a jejich určující kritéria,
e) obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu, včetně bezpečnostních úrovní pro využívání cloud computingu orgány veřejné moci.
(1) Správce informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému může pověřit provozováním informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému jiný orgán nebo osobu, pokud to jiný zákon nevylučuje.
(2) Provozovatel informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému předá na vyžádání správce tohoto systému bez zbytečného odkladu a v dohodnutém formátu data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému. Ustanovení právního předpisu upravujícího práva k duševnímu vlastnictví nejsou předáním dat, provozních údajů a informací dotčena.
(3) Pokud provozovatel informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému nebude tento systém nadále provozovat, předá správci tohoto systému data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému a které jsou nezbytné pro případné další provozování tohoto informačního systému nebo jeho jiné využití a bezpečně zlikviduje ve svém digitálním prostředí jejich kopie. Způsob likvidace dat, provozních údajů, informací a jejich kopií stanoví prováděcí právní předpis.
(4) Provozovatel informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému má nárok na úhradu účelně vynaložených nákladů za předání dat, provozních údajů a informací podle odstavců 2 a 3; náklady provozovateli uhradí správce takového systému.
Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident
(1) Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1).
(2) Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1) v důsledku kybernetické bezpečnostní události .
(3) Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny detekovat kybernetické bezpečnostní události v jejich významné síti , informačním systému kritické informační infrastruktury , komunikačním systému kritické informační infrastruktury , informačním systému základní služby nebo významném informačním systému .
Hlášení kybernetického bezpečnostního incidentu
(1) Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti , informačním systému kritické informační infrastruktury , komunikačním systému kritické informační infrastruktury , informačním systému základní služby nebo významném informačním systému , a to bezodkladně po jejich detekci; tím není dotčena informační povinnost podle jiného právního předpisu3) nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů 11). V případě, že kybernetický bezpečnostní incident má významný dopad na kontinuitu poskytování základní služby , oznámí to provozovatel základní služby Úřadu.
(2) Poskytovatel digitální služby je povinen bez zbytečného odkladu hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb, pokud má přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu.
(3) Orgány a osoby uvedené v § 3 písm. b) a h) hlásí kybernetické bezpečnostní incidenty provozovateli národního CERT.
(4) Orgány a osoby uvedené v § 3 písm. c) až g) hlásí kybernetické bezpečnostní incidenty Úřadu.
(5) Povinnost podle odstavce 1 je správcem informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému splněna i tehdy, pokud byl kybernetický bezpečnostní incident hlášen provozovatelem tohoto systému. Provozovatel informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému informuje správce tohoto systému o hlášených kybernetických bezpečnostních incidentech bez zbytečného odkladu.
(6) Orgány a osoby neuvedené v § 3 mohou hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT, nebo Úřadu.
(7) Prováděcí právní předpis stanoví
a) typy, kategorie a hodnocení významnosti dopadu kybernetického bezpečnostního incidentu a
b) náležitosti a způsob hlášení kybernetického bezpečnostního incidentu .
(8) Pokud má kybernetický bezpečnostní incident , který postihnul poskytovatele digitální služby , významný dopad na kontinuitu poskytování základní služby , je její provozovatel povinen tuto skutečnost Úřadu nahlásit.
Evidence
(1) Úřad vede evidenci kybernetických bezpečnostních incidentů (dále jen „evidence incidentů“), která obsahuje
a) hlášení kybernetického bezpečnostního incidentu ,
b) identifikační údaje systému, ve kterém se kybernetický bezpečnostní incident vyskytl,
c) údaje o zdroji kybernetického bezpečnostního incidentu a
d) postup při řešení kybernetického bezpečnostního incidentu a jeho výsledek.
(2) Součástí evidence incidentů jsou údaje podle § 20 písm. f) až h) a l).
(3) Úřad poskytuje údaje z evidence incidentů orgánům veřejné moci pro výkon jejich působnosti.
(4) Úřad může poskytovat údaje z evidence incidentů provozovateli národního CERT, orgánům vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným osobám působícím v oblasti kybernetické bezpečnosti v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru .
(1) Zaměstnanci České republiky zařazení k výkonu práce v Úřadu, kteří se podílejí na řešení kybernetického bezpečnostního incidentu , jsou vázáni povinností mlčenlivosti o údajích z evidence incidentů. Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu.
(2) Ředitel Úřadu může osoby podle odstavce 1 zprostit povinnosti mlčenlivosti o údajích z evidence incidentů, s uvedením rozsahu údajů a rozsahu zproštění.
Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují.
Opatření
(1) Opatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí elektronických komunikací1) před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu .
(2) Opatřeními jsou
a) varování,
b) reaktivní opatření a
c) ochranné opatření .
(3) Reaktivní opatření jsou povinny provádět
a) orgány a osoby uvedené v § 3 písm. a) a b) za stavu kybernetického nebezpečí nebo za nouzového stavu4) vyhlášeného na základě žádosti podle § 21 odst. 6 a
b) orgány a osoby uvedené v § 3 písm. c) až f).
(4) Ochranné opatření jsou povinny provádět orgány a osoby uvedené v § 3 písm. c) až f).
Varování
(1) Úřad vydá varování, dozví-li se zejména z vlastní činnosti nebo z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti.
(2) Varování Úřad zveřejní na svých internetových stránkách a oznámí je orgánům a osobám uvedeným v § 3, jejichž kontaktní údaje jsou vedeny v evidenci podle § 16 odst. 4.
(3) Úřad je z důvodu ochrany vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn po konzultaci s orgánem nebo osobou uvedenými v § 3 písm. c), d), f), g) nebo h), které jsou dotčeny kybernetickým bezpečnostním incidentem , veřejnost o tomto incidentu informovat nebo dotčenému orgánu nebo osobě uložit, aby tak učinil sám.
Reaktivní a ochranné opatření
(1) Úřad vydá rozhodnutí, ve kterém uloží provést reaktivní opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací1) před kybernetickým bezpečnostním incidentem , které je prvním úkonem ve věci. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 3 dnů ode dne jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu.
(2) Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.
(3) Má-li se reaktivní opatření k řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací1) před kybernetickým bezpečnostním incidentem týkat blíže neurčeného okruhu orgánů nebo osob, vydá je Úřad formou opatření obecné povahy.
(4) Orgány a osoby uvedené v § 3 písm. a) až f) jsou povinny bez zbytečného odkladu oznámit Úřadu provedení reaktivního opatření a jeho výsledek. Náležitosti oznámení stanoví prováděcí právní předpis.
Úřad za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu jako ochranné opatření vydá opatření obecné povahy, ve kterém orgánům a osobám uvedeným v § 3 písm. c) až f) stanoví způsob zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a přiměřenou lhůtu k jeho provedení.
(1) Opatření obecné povahy podle § 13 nebo 14 nabývá účinnosti okamžikem jeho vyvěšení na úřední desce Úřadu; ustanovení § 172 správního řádu se nepoužije. O vydání opatření obecné povahy Úřad rovněž vyrozumí orgány a osoby uvedené v § 3, jejichž kontaktní údaje jsou vedeny v evidenci podle § 16 odst. 4.
(1) Úřad může v případě hrozícího kybernetického bezpečnostního incidentu na návrh správce informačního systému , který marně vyzval provozovatele ke splnění povinnosti předat správci data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému , rozhodnutím uložit provozovateli tohoto systému povinnost předat správci data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému; návrh musí obsahovat odůvodnění požadavku s ohledem na hrozící kybernetický bezpečnostní incident , podrobný popis předchozího jednání mezi provozovatelem a správcem tohoto systému zejména s ohledem na nesplnění smluvní povinnosti provozovatele a možné následky, pokud nedojde k předání požadovaných dat, provozních údajů a informací.
(2) Rozhodnutí o uložení povinnosti předat data, provozní údaje a informace podle odstavce 1 je prvním úkonem v řízení, je vykonatelné dnem doručení rozhodnutí a rozklad proti němu nemá odkladný účinek.
(3) Pro úhradu nákladů vynaložených provozovatelem informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému na předání dat, provozních údajů a informací podle odstavce 1 se ustanovení § 6a odst. 4 použije obdobně.
Kontaktní údaje
(1) Kontaktními údaji jsou
a) u právnické osoby obchodní firma nebo název, adresa sídla, identifikační číslo osoby nebo obdobné číslo přidělované v zahraničí,
b) u podnikající fyzické osoby obchodní firma nebo jméno včetně odlišujícího dodatku nebo dalšího označení, adresa sídla a identifikační číslo osoby,
c) u orgánu veřejné moci jeho název, adresa sídla, identifikační číslo osoby, bylo-li přiděleno, a identifikátor orgánu veřejné moci, pokud mu není přiděleno identifikační číslo osoby,
a údaje o fyzické osobě, která je za orgán nebo osobu uvedené v § 3 oprávněna jednat ve věcech upravených tímto zákonem, a to jméno, příjmení, telefonní číslo a adresa elektronické pošty.
(2) Kontaktní údaje a jejich změny oznamují
b) orgány a osoby uvedené v § 3 písm. c) až g) Úřadu.
(3) Orgány a osoby uvedené v § 3 písm. c) až g) oznamují změny pouze těch údajů podle odstavce 1, které nejsou referenčními údaji vedenými v základních registrech, a to neprodleně.
(4) Úřad vede evidenci kontaktních údajů, která obsahuje údaje uvedené v odstavci 1.
(5) Úřad je za stavu kybernetického nebezpečí oprávněn vyžadovat kontaktní údaje shromážděné provozovatelem národního CERT podle odstavce 2 písm. a).
(6) Úřad je dále oprávněn si pro účely kontroly vyžádat od provozovatele národního CERT kontaktní údaje orgánů a osob uvedených v § 3 písm. h).
(7) Vzor oznámení kontaktních údajů a jeho formu stanoví prováděcí právní předpis.
Národní CERT
(1) Národní CERT zajišťuje v rozsahu stanoveném tímto zákonem sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti.
(2) Provozovatel národního CERT
a) přijímá oznámení kontaktních údajů od orgánů a osob uvedených v § 3 písm. a), b) a h) a tyto údaje eviduje a uchovává,
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
§ 3a
HLAVA II
§ 4
§ 4a
§ 5
§ 6
§ 6a
§ 7
§ 8
§ 9
§ 10
§ 10a
§ 11
§ 12
§ 13
§ 14
§ 15
§ 15a
§ 16
§ 17
§ 18
§ 19
§ 20
HLAVA III
§ 21
HLAVA IV
§ 21a
§ 22
§ 22a
§ 22b
§ 22c
HLAVA V
§ 23
§ 24
§ 24a
§ 24b
§ 24c
§ 25
§ 26
§ 27
HLAVA VI
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
ČÁST TŘETÍ
§ 35
ČÁST PÁTÁ
§ 37
ČÁST ŠESTÁ
§ 38
Přihlaste se pro poznámky, oblíbené a upozornění
Informace o předpisu
| Citace | Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) |
|---|---|
| Typ předpisu | - |
| Autor | - |
| Sbírka | Sbírka zákonů |
| Datum vyhlášení | 29.08.2014 |
|---|---|
| Účinnost od | 01.01.2015 |
| Účinnost do | - |
| Stav | Platný |
Znění předpisu má informativní charakter.
Komentáře 0