226

ZÁKON
ze dne 20. července 2022,
kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů






      Parlament se usnesl na tomto zákoně České republiky:

Čl. I

      Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 205/2017 Sb., zákona č. 35/2018 Sb., zákona č. 111/2019 Sb., zákona č. 12/2020 Sb. a zákona č. 261/2021 Sb., se mění takto:

      1.  V § 1 odstavec 2 včetně poznámek pod čarou č. 6 a 17 zní:

      ˙(2)  Tento zákon zapracovává příslušný předpis Evropské unie⁶), zároveň navazuje na přímo po-užitelný předpis Evropské unie¹⁷) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.

––––––––––––––––––––

⁶)

Směrnice Evropského parlamentu a Rady (EU) 2016/ /1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.

¹⁷)

Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA (˙Agentuře Evropské unie pro kybernetickou bezpečnost˙), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/ /2013 (˙akt o kybernetické bezpečnosti˙).˙.

      2.  V § 22 se na konci písmene x) tečka nahrazuje čárkou a doplňuje se písmeno y), které zní:

˙y)

je orgánem certifikace kybernetické bezpečnos-ti podle čl. 58 aktu o kybernetické bezpečnosti¹⁷).˙.

      3.  Za § 22a se vkládá nový § 22b, který včetně nadpisu zní:

˙§ 22b

Autorizace subjektů posuzování shody podle aktu o kybernetické bezpečnosti

      (1)  Stanoví-li přímo použitelný předpis Evropské unie vydaný na základě aktu o kybernetické bezpečnosti konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti¹⁷) rozhoduje o žádostech o autorizaci subjektu posuzování shody, a pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti¹⁷) nebo přímo použitelného předpisu Evropské unie vydaného na základě aktu o kybernetické bezpečnosti, o pozastavení vykonatel-nosti, o změně nebo o zrušení rozhodnutí o autorizaci.

      (2)  Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti.

      (3)  V rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci podle odstavce 1 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. Jestliže autorizovaný subjekt posuzování shody ve sta- novené lhůtě nezjedná nápravu, rozhodne Úřad o změně či zrušení rozhodnutí o autorizaci.

      (4)  Úřad rozhodne v řízení o žádosti o autorizaci podle odstavce 1 nejdéle do 120 dnů od zahájení řízení, v mimořádných případech do 180 dnů.˙.

      4.  V § 25 se za odstavec 10 vkládají nové odstavce 11 až 13, které znějí:

      ˙(11)  Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že

a)

vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti¹⁷),

b)

neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti¹⁷),

c)

nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti¹⁷), nebo

d)

neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti¹⁷).

      (12)  Držitel evropského certifikátu kybernetic-ké bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.

      (13)  Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že

a)

zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti¹⁷),

b)

padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti¹⁷),

c)

provede činnost posouzení shody podle aktu o kybernetické bezpečnosti¹⁷) na úroveň záruky ˙vysoká˙, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti¹⁷),

d)

jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti¹⁷) vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti,

e)

provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo

f)

vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti¹⁷) nebo mimo rozsah této akreditace.˙.

Dosavadní odstavec 11 se označuje jako odstavec 14.

      5.  V § 25 odst. 14 písm. a) se slovo ˙nebo˙ nahrazuje čárkou a na konci textu písmene se doplňují slova ˙anebo odstavce 12 nebo 13˙.

      6.  V § 25 odst. 14 písm. b) se slova ˙písm. f) nebo˙ nahrazují textem ˙písm. f),˙ a na konci textu písmene se doplňují slova ˙nebo odstavce 11˙.

Čl. II

Účinnost

      Tento zákon nabývá účinnosti dnem následujícím po dni jeho vyhlášení.




Pekarová Adamová v. r.


Zeman v. r.


Fiala v. r.