ZÁKON ze dne 7. června 2017, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony
Celé znění předpisu ve formátu PDF ke stažení ZDE
ZÁKON
ze dne 7. června 2017,
kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., se mění takto:
1. V § 1 se za odstavec 1 vkládá nový odstavec 2, který včetně poznámky pod čarou č. 6 zní:
˙(2) Tento zákon zapracovává příslušné předpisy Evropské unie6) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.
––––––––––––––––––––
- 6)
- Směrnice Evropského
parlamentu a Rady (EU) 2016/ /1148 ze dne 6. července 2016 o opatřeních k
zajištění vysoké společné úrovně bezpečnosti sítí a informačních
systémů v Unii.˙.
Dosavadní odstavec 2 se označuje jako odstavec 3.
2. V § 2 se na konci textu písmene c) doplňují slova ˙a dat˙.
3. V § 2 písm. d) se za slova ˙informační infrastrukturou˙ vkládají slova ˙ani informačním systémem základní služby˙.
4. V § 2 se na konci písmene g) slovo ˙a˙ zrušuje.
5. V § 2 se na konci písmene h) tečka nahrazuje čárkou a doplňují se písmena i) až m), která včetně poznámek pod čarou č. 7 až 10 znějí:
- ˙i)
- základní službou služba, jejíž poskytování je závislé na sítích elektronických komunikací7)
nebo informačních systémech a jejíž narušení by mohlo mít významný
dopad na zabezpečení společenských nebo ekonomických činností v některém
z těchto odvětví
1. energetika,
2. doprava,
3. bankovnictví,
4. infrastruktura finančních trhů,
5. zdravotnictví,
6. vodní hospodářství,
7. digitální infrastruktura,
8. chemický průmysl,
- j)
- informačním systémem základní služby informační systém, na jehož fungování je závislé poskytování základní služby,
- k)
- provozovatelem základní služby orgán nebo osoba,
která poskytuje základní službu a která je určena Národním úřadem pro
kybernetickou a informační bezpečnost (dále jen ˙Úřad˙) podle § 22a; pro
účely plnění informační povinnosti podle příslušného předpisu Evropské
unie8) se za provozovatele základní služby považují též orgány a osoby uvedené v § 3 písm. c) a d),
- l)
- digitální službou služba informační společnosti podle zákona upravujícího některé služby informační společnosti9), která spočívá v provozování
1. on-line tržiště, které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem10) kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
2. internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem, nebo
3. cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet, a
m)- příslušným orgánem orgán vykonávající působnost v oblasti kybernetické bezpečnosti.
––––––––––––––––––––
- 7)
- § 2 písm. h) zákona č. 127/2005 Sb., ve znění pozdějších předpisů.
- 8)
- Čl. 5 odst. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148.
- 9)
- § 2 písm. a) zákona č. 480/2004 Sb., o
některých službách informační společnosti a o změně některých zákonů
(zákon o některých službách informační společnosti).
- 10)
- § 2 odst. 1 písm. a) a b) zákona č.
634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů. §
419 a 420 zákona č. 89/2012 Sb., občanský zákoník.˙.
6. V § 3 se na konci písmene d) slovo ˙a˙ nahrazuje čárkou.
7. V § 3 se na konci písmene e) tečka nahrazuje čárkou a doplňují se písmena f) až h), která znějí:
- ˙f)
- správce a provozovatel informačního systému základní služby, pokud nejsou správcem nebo provozovatelem podle písmene c) nebo d),
- g)
- provozovatel základní služby, pokud není správcem nebo provozovatelem podle písme-ne f), a
- h)
- poskytovatel digitální služby.˙.
8. Za § 3 se vkládá nový § 3a, který včetně nadpisu zní:
(1) Poskytovatel digitální služby, který poskytuje tuto službu v České republice, nemá sídlo v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie (dále jen ˙jiný členský stát˙), je povinen ustavit si svého zástupce v České republice. Zástupcem poskytovatele digitální služby je osoba, která je usazená v České republice a která je poskytovatelem digitální služby na základě plné moci zmocněná jej zastupovat ve vztahu k povin-nostem podle tohoto zákona.
(2) V případě, že poskytovatel digitální služby má sídlo mimo Evropskou unii a ustavil si svého zástupce v České republice, má se za to, že je usazen v České republice a vztahují se na něj povinnosti podle tohoto zákona.
(3) V případě, že je poskytovatel digitální služby usazen v České republice nebo zde má ustaveného zástupce, ale jím využívané sítě elektronických komunikací a informační systémy se nacházejí v jiném členském státu, Úřad při výkonu státní správy spolupracuje s příslušným orgánem dotčeného členského státu.˙.
9. § 4 zní:
(1) Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací1) v kybernetickém prostoru.
(2) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, informačního systému základní služby a významného informačního systému a vést o nich bezpečnostní dokumentaci.
(3) Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, tes-tování a soulad s mezinárodními předpisy.
(4) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
(5) Orgány a osoby uvedené v § 3 písm. c) až g), které jsou orgány veřejné moci, jsou povinny si ve smlouvě s poskytovatelem služeb cloud computingu zejména zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem, a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase. Dalšími nezbytnými náležitostmi smlouvy jsou
- a)
- zakotvení povinnosti poskytovatele služeb respektovat bezpečnostní politiku odběratele služeb,
- b)
- stanovení úrovně poskytovaných služeb,
- c)
- systém schvalování subdodavatelů služby cloud computingu,
- d)
- podmínky ukončení smluvního vztahu z pohledu bezpečnosti,
- e)
- řízení kontinuity činností v souvislosti s poskytovanou službou cloud computingu,
- f)
- určení vlastníka uchovávaných dat,
- g)
- dohoda o důvěrnosti smluvního vztahu,
- h)
- stanovení úrovně ochrany dat z pohledu důvěrnosti, dostupnosti a integrity,
- i)
- pravidla zákaznického auditu,
- j)
- stanovení povinnosti poskytovatele služeb
informovat odběratele o kybernetických bezpečnostních incidentech
souvisejících s plněním smlouvy.
(6) Poskytovatel služby cloud computingu a orgány a osoby uvedené v § 3 písm. c) až g), které jsou orgány veřejné moci, si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel.
(7) Zohlednění požadavků vyplývajících z bezpečnostních pravidel, bezpečnostních opatření a dalších podmínek sjednaných ve smlouvě podle odstavce 5, které jsou nezbytné pro splnění povinností podle tohoto zákona, nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.˙.
10. Za § 4 se vkládá nový § 4a, který
zní:
(1) Orgány a osoby, které se staly správci informačních nebo komunikačních systémů kritické informační infrastruktury nebo správci významných informačních systémů, a nejsou provozovateli tohoto systému, jsou povinny neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem nebo osobou podle § 3 písm. c), d) nebo e).
(2) Orgány a osoby, které se staly správci ne- bo provozovateli informačních nebo komunikačních systémů kritické informační infrastruktury, jsou povinny neprodleně a prokazatelně informovat subjekt zajišťující síť elektronických komunikací, ke které je jejich předmětný informační nebo komunikační systém kritické informační infrastruktury připojen, o této skutečnosti a o tom, že se tento subjekt stal orgánem nebo osobou podle § 3 písm. b).
(3) Orgány a osoby, které byly podle § 22a určené provozovateli základní služby a nejsou zároveň správci nebo provozovateli svých informačních systémů základní služby, jsou povinny správce nebo provozovatele tohoto informačního systému základní služby neprodleně a prokazatelně informovat o svém určení a o tom, že se dotčený správce nebo provozovatel stal orgánem nebo osobou podle § 3 písm. f).˙.
11. § 6 zní:
Prováděcí právní předpis stanoví
- a)
- obsah bezpečnostních opatření,
- b)
- obsah a strukturu bezpečnostní dokumentace,
- c)
- rozsah bezpečnostních opatření pro orgány a osoby uvedené v § 3 písm. c) až f),
- d)
- významné informační systémy a jejich určující kritéria,
- e)
- obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu.˙.
12. V § 6a se na konci odstavce 3 doplňuje věta ˙Způsob likvidace dat, provozních údajů, informací a jejich kopií stanoví prováděcí právní předpis.˙.
13. V § 7 odst. 3 se slova ˙§ 3 písm. b) až e)˙ nahrazují slovy ˙§ 3 písm. b) až f)˙ a za slova ˙komunikačním systému kritické informační infrastruktury˙ se vkládají slova ˙ , informačním systému základní služby˙.
14. V § 8 odstavec 1 včetně poznámky pod čarou č. 11 zní:
˙(1) Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury, informačním systému základní služby nebo významném informačním systému, a to bezodkladně po jejich detekci; tím není dotčena informační povinnost podle jiného právního předpisu3) nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů11). V případě, že kybernetický bezpečnostní incident má významný dopad na kontinuitu poskytování základní služby, oznámí to provozovatel základní služby Úřadu.
––––––––––––––––––––
- 11)
- Nařízení Evropského
parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o
ochraně osobních údajů).˙.
15. V § 8 se za odstavec 1 vkládá nový odstavec 2, který zní:
˙(2) Poskytovatel digitální služby je povinen bez zbytečného odkladu hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb, pokud má přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu.˙.
Dosavadní odstavce 2 až 5 se označují jako odstavce 3 až 6.
16. V § 8 odst. 3 se text ˙§ 3 písm. b)˙ nahrazuje slovy ˙§ 3 písm. b) a h)˙.
17. V § 8 odst. 4 se slova ˙§ 3 písm. c) až e)˙ nahrazují slovy ˙§ 3 písm. c) až g)˙ a slova ˙Národnímu bezpečnostnímu úřadu (dále jen ˙Úřad˙)˙ se nahrazují slovem ˙Úřadu˙.
18. V § 8 se za odstavec 5 vkládá nový odstavec 6, který zní:
˙(6) Orgány a osoby neuvedené v § 3 mohou hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT, nebo Úřadu.˙.
Dosavadní odstavec 6 se označuje jako odstavec 7.
19. V § 8 odst. 7 písmeno a) zní:
- ˙a)
- typy, kategorie a hodnocení významnosti dopadu kybernetického bezpečnostního incidentu a˙.
20. V § 8 se doplňuje odstavec 8, který zní:
˙(8) Pokud má kybernetický bezpečnostní incident, který postihnul poskytovatele digitální služby, významný dopad na kontinuitu poskytování základní služby, je její provozovatel povinen tuto skutečnost Úřadu nahlásit.˙.
21. V § 9 se na konci textu odstavce 2 doplňují slova ˙a l)˙.
22. Za § 10 se vkládá nový § 10a, který zní:
Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují.˙.
23. V § 11 odst. 3 písm. b) a v § 11 odst. 4 se slova ˙§ 3 písm. c) až e)˙ nahrazují slovy ˙§ 3 písm. c) až f)˙.
24. V § 12 se doplňuje odstavec 3, který zní:
˙(3) Úřad je z důvodu ochrany vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn po kon-zultaci s orgánem nebo osobou uvedenými v § 3 písm. c), d), f), g) nebo h), které jsou dotčeny kybernetickým bezpečnostním incidentem, veřejnost o tomto incidentu informovat nebo dotčenému orgánu nebo osobě uložit, aby tak učinil sám.˙.
25. V § 13 odst. 4 se za text ˙§ 3˙ vkládají slova ˙písm. a) až f)˙.
26. § 14 zní:
Úřad za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a na základě analýzy již vyřešeného kyber-netického bezpečnostního incidentu jako ochranné opatření vydá opatření obecné povahy, ve kterém orgánům a osobám uvedeným v § 3 písm. c) až f) stanoví způsob zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a přiměřenou lhůtu k jeho provedení.˙.
27. V § 16 odst. 2 písm. a) se slova ˙§ 3 písm. a) a b)˙ nahrazují slovy ˙§ 3 písm. a), b) a h)˙.
28. V § 16 odst. 2 písm. b) a v § 16 odst. 3 se slova ˙§ 3 písm. c) až e)˙ nahrazují slovy ˙§ 3 písm. c) až g)˙.
29. V § 16 se za odstavec 5 vkládá nový odstavec 6, který zní:
˙(6) Úřad je dále oprávněn si pro účely kontroly vyžádat od provozovatele národního CERT kontaktní údaje orgánů a osob uvedených v § 3 písm. h).˙.
Dosavadní odstavec 6 se označuje jako odstavec 7.
30. V § 17 odst. 2 písm. a), d) a e) se slova ˙§ 3 písm. a) a b)˙ nahrazují slovy ˙§ 3 písm. a), b) a h)˙.
31. V § 17 odst. 2 písm. b) a c) se text ˙§ 3 písm. b)˙ nahrazuje slovy ˙§ 3 písm. b) a h)˙.
32. V § 17 odst. 2 písm. g) se za slovo ˙incidentech˙ vkládají slova ˙ohlášených podle § 8 odst. 3,˙ a slova ˙kybernetického bezpečnostního incidentu a˙ se nahrazují čárkou.
33. V § 17 odst. 2 písmeno h) zní:
- ˙h)
- předává Úřadu na vyžádání údaje podle § 16 odst. 5 a 6,˙.
34. V § 17 se na konci odstavce 2 doplňují písmena i) až l), která včetně poznámky pod čarou č. 12 znějí:
- ˙i)
- plní roli týmu CSIRT podle příslušného předpisu Evropské unie12),
- j)
- informuje bez uvedení identifikačních údajů
ohlašovatele příslušný orgán jiného členského státu o kybernetickém
bezpečnostním incidentu s významným dopadem na kontinuitu poskytování
základní nebo digitální služby v tomto členském státě a zároveň o tom
informuje Úřad, přičemž zachovává bezpečnost a obchodní zájmy
ohlašovatele,
- k)
- spolupracuje s týmy CSIRT jiných členských států a
- l)
- přijímá hlášení o kybernetických bezpečnostních
incidentech od orgánů a osob neuvedených v § 3, a pokud to jeho kapacity
umožňují, zpracovává je a poskytuje orgánům nebo osobám dotčeným
kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a
součinnost.
––––––––––––––––––––
- 12)
- Čl. 9 směrnice Evropského parlamentu a Rady (EU) 2016/1148.˙.
35. V § 18 odst. 5 se slova ˙podle § 17 odst. 2 písm. a), b), c), e), g) a h)˙ nahrazují slovy ˙podle § 17 odst. 2 písm. a) až c), e) a g) až l)˙.
36. V § 18 se na konci odstavce 5 doplňuje věta ˙Provozovatel národního CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v § 17 odst. 2 nezbytné náklady.˙.
37. V § 20 písm. a), b), d) a e) se slova ˙§ 3 písm. c) až e)˙ nahrazují slovy ˙§ 3 písm. c) až g)˙.
38. V § 20 písm. c) se slova ˙infrastruktury, z˙ nahrazují slovy ˙infrastruktury, informačního systému základní služby,˙.
39. V § 20 se na konci písmene i) slovo ˙a˙ nahrazuje čárkou.
40. V § 20 se na konci písmene j) tečka nahrazuje čárkou a doplňují se písmena k) až n), která znějí:
- ˙k)
- informuje bez uvedení
identifikačních údajů ohlašovatele příslušný orgán jiného členského
státu o kybernetickém bezpečnostním incidentu, který má významný dopad
na kontinuitu poskytování základních služeb v tomto členském státě nebo
se dotýká poskytování digitálních služeb v tomto členském státě, přičemž
zachovává bezpečnost a obchodní zájmy ohlašovatele,
- l)
- přijímá hlášení o kybernetickém bezpečnostním
incidentu od orgánů a osob neuvedených v § 3; vládní CERT hlášení
zpracovává, a pokud to jeho kapacity umožňují a jedná se o kybernetický
bezpečnostní incident s významným dopadem, poskytuje orgánům nebo osobám
dotčeným kybernetickým bezpečnostním incidentem metodickou podporu,
pomoc a součinnost,
- m)
- plní roli týmu CSIRT podle příslušného předpisu Evropské unie12) a
- n)
- spolupracuje s týmy CSIRT jiných členských států.˙.
41. V § 21 odst. 1 se slova ˙bezpečnost a integrita služeb nebo sítí elektronických komunikací1)˙ nahrazují slovy ˙bezpečnost služeb elektronických komunikací anebo bezpečnost a integrita sítí elektronických komunikací1)˙.
42. Na začátku hlavy IV se vkládá nový § 21a, který včetně skupinového nadpisu zní:
(1) Zřizuje se Úřad se sídlem v Brně jako ústřední správní úřad pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Příjmy a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu.
(2) V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává.
(3) Ředitel Úřadu je odpovědný předsedovi vlády nebo pověřenému členovi vlády.˙.
43. § 22 včetně poznámek pod čarou č. 13 a 14 zní:
Úřad
- a)
- stanoví bezpečnostní opatření,
- b)
- vydává opatření,
- c)
- plní stanovené úkoly ve vybraných oblastech ochrany utajovaných informací,
- d)
- vede evidence podle tohoto zákona a podle zákona o ochraně utajovaných informací,
- e)
- ukládá správní tresty za nedodržení povinností
stanovených tímto zákonem a zákonem o ochraně utajovaných informací a o
bezpečnostní způsobilosti,
- f)
- působí jako koordinační orgán ve stavu kybernetického nebezpečí,
- g)
- spolupracuje s orgány a osobami, které působí v
oblasti kybernetické bezpečnosti a kybernetické obrany, zejména s
veřejnoprávními korporacemi, výzkumnými a vývojovými pracovišti a s
ostatními pracovišti typu CERT, a s orgány a osobami, které působí ve
vybraných oblastech ochrany utajovaných informací,
- h)
- zajišťuje mezinárodní spolupráci v oblasti kybernetické bezpečnosti a ve vybraných oblas-tech ochrany utajovaných informací,
- i)
- sjednává a uzavírá smlouvy o mezinárodní spolupráci
v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany
utajovaných informací,
- j)
- zajišťuje prevenci, vzdělávání a metodickou podporu
v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany
utajovaných informací,
- k)
- zajišťuje výzkum a vývoj v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací,
- l)
- uzavírá veřejnoprávní smlouvu s provozovatelem národního CERT,
- m)
- zasílá podle krizového zákona Ministerstvu vnitra
návrh prvků kritické infrastruktury v odvětví komunikační a informační
systémy v oblasti kybernetické bezpečnosti, jejichž provozovatelem je
organizační složka státu,
- n)
- určuje podle krizového zákona prvky kritické
infrastruktury v odvětví komunikační a informační systémy v oblasti
kybernetické bezpečnosti, pokud nejde o prvky uvedené v písme-ni m),
- o)
- ověřuje každé 2 roky aktuálnost určení prvků kritické infrastruktury podle písmen m) a n),
- p)
- určuje provozovatele základní služby a informační systém základní služby,
- q)
- zpracovává a vládě ke schválení předkládá národní strategii kybernetické bezpečnosti13) a akční plán k jejímu naplňování a tuto strategii aktualizuje nejméně každých 5 let,
- r)
- je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie,
- s)
- je příslušným orgánem v České republice a plní
informační povinnosti vůči Evropské komisi a skupině pro spolupráci
podle příslušného předpisu Evropské unie14),
- t)
- informuje veřejnost o kybernetickém bezpečnostním incidentu podle § 12 odst. 3,
- u)
- provádí analýzu a monitoring kybernetických hrozeb a rizik,
- v)
- vykonává působnost v oblasti veřejné regulované služby Evropského programu družicové navigace Galileo,
- w)
- vydává Věstník Úřadu, který zveřejňuje na svých internetových stránkách,
- x)
- plní další úkoly v oblasti kybernetické bez-
pečnosti stanovené tímto zákonem a ve vybraných oblastech ochrany
utajovaných informací podle zákona o ochraně utajovaných informací a
o bezpečnostní způsobilosti.
––––––––––––––––––––
- 13)
- Čl. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148.
- 14)
- Například čl. 5 odst. 3, čl. 7 odst. 3 a čl. 8 směrnice Evropského parlamentu a Rady (EU) 2016/1148.˙.
44. Za § 22 se vkládají nové § 22a a 22b, které včetně nadpisu znějí:
(1) Úřad rozhodnutím určí provozovatele základní služby a informační systém základní služby, pokud naplní odvětvová a dopadová kritéria, která zohledňují významnost
- a)
- služeb poskytovaných v jednotlivých odvětvích uvedených v § 2 písm. i) a
- b)
- dopad kybernetického bezpečnostního incidentu zejména na
1. rozsah a kvalitu poskytování základní služby uživatelům, kteří jsou na ní závislí,
2. ekonomické a společenské činnosti a veřejnou bezpečnost,
3. vzájemnou závislost odvětví uvedených v § 2 písm. i).
Dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností stanoví prováděcí právní předpis.
(2) V případě, že Úřad zjistí, že orgán nebo osoba, které hodlá určit podle odstavce 1 jako provozovatele základní služby, poskytují danou službu i v jiném členském státě, provede před rozhodnutím ve věci konzultaci s příslušným orgánem dotčeného členského státu.
(3) Proti rozhodnutí Úřadu o určení provozovatele základní služby a informačního systému základní služby není rozklad přípustný.
(4) Úřad ověřuje nejméně každé 2 roky ode dne vydání rozhodnutí o určení provozovatele základní služby, zda jsou splněny podmínky pro určení provozovatele základní služby a informačního systému základní služby.
(1) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru obyvatel referenční údaje, kterými jsou
- a)
- příjmení,
- b)
- jméno, popřípadě jména,
- c)
- adresa místa pobytu,
- d)
- datum, místo a okres narození; u subjektu údajů, který se narodil v cizině, datum, místo a stát, kde se narodil,
- e)
- datum, místo a okres úmrtí; jde-li o úmrtí subjektu
údajů mimo území České republiky, datum úmrtí, místo a stát, na jehož
území k úmrtí došlo,
- f)
- státní občanství, popřípadě více státních občanství,
- g)
- záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna.
(2) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z agendového informačního systému evidence obyvatel o státních občanech České republiky údaje, kterými jsou
- a)
- jméno, popřípadě jména, příjmení, včetně předchozích příjmení, rodné příjmení,
- b)
- rodné číslo, pokud není přiděleno, datum narození,
- c)
- adresa místa trvalého pobytu, včetně předchozích
adres místa trvalého pobytu, popřípadě adresa, na kterou mají být
doručovány písemnosti podle jiného právního předpisu,
- d)
- omezení svéprávnosti, jméno, popřípadě jména,
příjmení a rodné číslo opatrovníka; nebylo-li opatrovníkovi rodné číslo
přiděleno, datum, místo a okres narození; je-li opatrovníkem ustanoven
orgán místní správy, název a adresa sídla,
- e)
- datum, místo a okres úmrtí; jde-li o úmrtí občana
mimo území České republiky, datum úmrtí, místo a stát, na jehož území k
úmrtí došlo,
- f)
- den, který byl v rozhodnutí soudu o prohlášení za
mrtvého uveden jako den smrti, popřípadě jako den, který občan
prohlášený za mrtvého nepřežil.
Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z agendového informačního systému evidence obyvatel, pouze pokud jsou ve tvaru předcházejícím současný stav.
(3) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z informačního systému cizinců o cizincích údaje, kterými jsou
- a)
- jméno, popřípadě jména, příjmení, rodné příjmení,
- b)
- datum narození,
- c)
- rodné číslo,
- d)
- státní občanství, popřípadě více státních občanství,
- e)
- druh a adresa místa pobytu,
- f)
- číslo a platnost oprávnění k pobytu,
- g)
- omezení svéprávnosti,
- h)
- datum, místo a okres úmrtí; jde-li o úmrtí mimo
území České republiky, stát, na jehož území k úmrtí došlo, popřípadě
datum úmrtí,
- i)
- den, který byl v rozhodnutí soudu o prohlášení za
mrtvého uveden jako den smrti, popřípadě jako den, který cizinec
prohlášený za mrtvého nepřežil.
Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav.
(4) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z registru rodných čísel o fyzických osobách, kterým bylo přiděleno rodné číslo, avšak nejsou vedeny v agendovém informačním systému evidence obyvatel, údaje, kterými jsou
- a)
- jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
- b)
- rodné číslo,
- c)
- v případě změny rodného čísla původní rodné číslo,
- d)
- den, měsíc a rok narození,
- e)
- místo a okres narození; u fyzické osoby narozené v cizině stát, na jehož území se narodila.
(5) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje, kterými jsou
- a)
- obchodní firma nebo název právnické osoby nebo jméno, popřípadě jména, a příjmení podnikající fyzické osoby,
- b)
- datum vzniku nebo datum zápisu do evidence podle zvláštních právních předpisů,
- c)
- datum zániku nebo datum výmazu z evidence podle zvláštních právních předpisů,
- d)
- právní forma,
- e)
- záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna,
- f)
- statutární orgán vyjádřený referenční vazbou na
registr obyvatel anebo na registr osob nebo údajem o jménu, popřípadě
jménech, příjmení a bydlišti u zahraniční fyzické osoby,
- g)
- právní stav,
- h)
- adresa sídla právnické osoby nebo adresa místa
podnikání fyzické osoby ve formě referenční vazby (kódu adresního místa)
na referenční údaj o adrese v registru územní identifikace.
(6) K údajům podle odstavců 2 až 5 vedeným v agendových informačních systémech jsou Úřadu poskytovány i jejich předchozí změny.
(7) Z poskytovaných údajů lze v konkrétním případě použít vždy jen takové údaje, které jsou nezbytné ke splnění daného úkolu.˙.
45. § 23 včetně nadpisu zní:
(1) Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjiš-ťuje, jak orgány a osoby uvedené v § 3 písm. a) až g) plní povinnosti stanovené tímto zákonem a rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle tohoto zákona, a dodržují prováděcí právní předpisy v oblasti kybernetické bezpečnosti. Je-li důvodné podezření, že poskytovatel digitální služby neplní povinnosti stanovené tímto zákonem, provede u něj Úřad kontrolu.
(2) Při výkonu kontroly se postupuje přiměřeně podle kontrolního řádu.
(3) Kontrolu vykonávají pověření zaměstnanci Úřadu.˙.
46. V § 24 odst. 2 se za slova ˙komunikační systém kritické informační infrastruktury˙ vkládají slova ˙ , informační systém základní služby˙.
47. Za § 24 se vkládají nové § 24a až 24c, které včetně nadpisu a poznámky pod čarou č. 15 znějí:
(1) Kontrolu činnosti Úřadu vykonává Poslanecká sněmovna, která k tomuto účelu zřizuje zvláštní kontrolní orgán (dále jen ˙kontrolní orgán˙).
(2) Kontrolní orgán se skládá ze 7 členů. Členem kontrolního orgánu může být pouze poslanec Poslanecké sněmovny.
(3) Pokud tento zákon nestanoví jinak, vztahuje se na jednání kontrolního orgánu a na práva a povinnosti jeho členů přiměřeně jiný právní předpis15).
(4) Členové kontrolního orgánu mohou vstupovat v doprovodu ředitele Úřadu nebo jím pověřeného zaměstnance do objektů Úřadu.
(5) Ředitel Úřadu předkládá kontrolnímu orgánu
- a)
- zprávu o činnosti Úřadu,
- b)
- návrh rozpočtu Úřadu,
- c)
- podklady potřebné ke kontrole plnění rozpočtu Úřadu,
- d)
- vnitřní předpisy Úřadu,
- e)
- na vyžádání zprávu o jednotlivých kybernetických
bezpečnostních incidentech z kritické informační infrastruktury,
významných informačních systémů a informačních systémů základní služby.
(1) Má-li kontrolní orgán za to, že činnost Úřadu nezákonně omezuje nebo poškozuje práva a svobody občanů nebo že rozhodovací činnost Úřadu v rámci správního řízení je stižena vadami, je oprávněn požadovat od ředitele Úřadu potřebné vysvětlení.
(2) Každé porušení zákona zaměstnancem Úřadu při plnění povinností podle tohoto zákona a ve vybraných oblastech podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, které kontrolní orgán zjistí při své činnosti, je povinen oznámit řediteli Úřadu a předsedovi vlády.
Povinnost zachovávat mlčenlivost uložená členům kontrolního orgánu podle zákona se nevztahuje na případy, kdy kontrolní orgán podává oznámení podle § 24b odst. 2.
––––––––––––––––––––
- 15)
- Zákon č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, ve znění pozdějších předpisů.˙.
48. V § 25 odst. 1 úvodní části ustanovení se slova ˙Právnická osoba nebo podnikající fyzická osoba uvedené v § 3 písm. a) nebo b)˙ nahrazují slovy ˙Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací nebo orgán nebo osoba zajišťující významnou síť˙.
49. V § 25 odst. 2 úvodní části ustanovení se slova ˙Právnická osoba nebo podnikající fyzická osoba uvedené v § 3 písm. c) až e)˙ nahrazují slovy ˙Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury nebo správce nebo provozovatel významného informačního systému˙.
50. V § 25 odst. 2 písm. b) se číslo ˙3˙ nahrazuje číslem ˙4˙.
51. V § 25 se za odstavec 2 vkládají nové odstavce 3 až 11, které znějí:
˙(3) Správce informačního nebo komunikačního systému kritické informační infrastruktury nebo významného informačního systému se dopustí přestupku tím, že neinformuje provozovatele systému podle § 4a odst. 1.
(4) Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2.
(5) Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že
- a)
- nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,
- b)
- nepředá data, provozní údaje a informace podle § 6a odst. 2,
- c)
- nepředá data, provozní údaje a informace podle § 6a odst. 3,
- d)
- nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3, nebo
- e)
- neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3.
(6) Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3.
(7) Správce a provozovatel informačního systému základní služby se dopustí přestupku tím, že
- a)
- v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,
- b)
- neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
- c)
- nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
- d)
- nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
- e)
- neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
- f)
- nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(8) Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury, správce nebo provozovatel významného informačního systému, správce nebo provozovatel informačního systému základní služby a provozovatel základní služby, kteří jsou orgánem veřejné moci, se dopustí přestupku tím, že uzavřou smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 5.
(9) Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3.
(10) Provozovatel základní služby se dopustí přestupku tím, že
- a)
- neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3,
- b)
- nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1 a 4,
- c)
- nenahlásí významný dopad na kontinuitu poskytování
základní služby způsobený kybernetickým bezpečnostním incidentem podle §
8 odst. 8,
- d)
- nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, nebo
- e)
- neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b).
(11) Poskytovatel digitální služby se dopustí přestupku tím, že
- a)
- neustaví svého zástupce podle § 3a odst. 1,
- b)
- v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření,
- c)
- neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3,
- d)
- nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, nebo
- e)
- neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a).˙.
Dosavadní odstavec 3 se označuje jako odstavec 12.
52. V § 25 odstavec 12 zní:
˙(12) Za přestupek lze uložit pokutu do
- a)
- 5 000 000 Kč, jde-li o přestupek podle odstavce 2 písm. a), odstavce 7 písm. a) nebo odstavce 11 písm. b),
- b)
- 1 000 000 Kč, jde-li o přestupek podle odstavce 1
písm. a) nebo b), odstavce 2 písm. b), c) nebo e), odstavce 3,
odstavce 4, odstavce 5 písm. a), c) nebo d), odstavce 6, odstavce 7
písm. b) až d) nebo f), odstavce 8, odstavce 9, odstavce 10 písm. a) až
d) nebo odstavce 11 písm. a), c) nebo d),
- c)
- 200 000 Kč, jde-li o přestupek podle odstavce 5 písm. b) nebo e),
- d)
- 10 000 Kč, jde-li o přestupek podle odstavce 2
písm. d), odstavce 7 písm. e), odstavce 10 písm. e) nebo
odstavce 11 písm. e).˙.
53. V § 26 odst. 2 se slova ˙se uloží pokuta˙ nahrazují slovy ˙lze uložit pokutu˙.
54. V § 28 odst. 2 písmena a) a b) znějí:
- ˙a)
- obsah a strukturu bezpečnostní
dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních
opatření podle § 6 písm. a) až c) a obsah a rozsah bezpečnostních
pravidel podle § 6 písm. e),
- b)
- typy, kategorie a hodnocení významnosti
kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení
kybernetického bezpečnostního incidentu podle § 8 odst. 7,˙.
55. V § 28 odst. 2 se na konci písmene c) slo- vo ˙a˙ nahrazuje čárkou.
56. V § 28 odst. 2 písm. d) se text ˙odst. 6.˙ nahrazuje textem ˙odst. 7,˙ a na konci odstavce 2 se doplňují písmena e) a f), která znějí:
- ˙e)
- dopadová a odvětvová kritéria pro
určení provozovatele základní služby a vymezení významnosti dopadu
narušení základní služby na zabezpečení společenských nebo ekonomických
činností podle § 22a odst. 1,
- f)
- způsob likvidace dat, provozních údajů, informací a jejich kopií.˙.
57. V § 30 písm. b) a v § 31 písm. b) se číslo ˙3˙ nahrazuje číslem ˙4˙.
58. V § 33 odst. 2 se za slovo ˙republiky˙ vkládají slova ˙a Generální inspekce bezpečnostních sborů˙.
59. V § 33 se doplňují odstavce 3 a 4, které včetně poznámky pod čarou č. 16 znějí:
˙(3) Tento zákon se vztahuje pouze na poskytovatele digitální služby, který je právnickou osobou a není mikropodnikem nebo malým podnikem16).
(4) Tento zákon se nevztahuje na poskytovatele digitální služby, který má sídlo v jiném členském státě.
––––––––––––––––––––
- 16)
- Příloha doporučení Komise 2003/361/ES ze dne 6. květ-na 2003 o definici mikropodniků a malých a středních podniků.˙.
60. Části druhá a čtvrtá se včetně nadpisů zrušují.
1. Úřad určí provozovatele základní služby a informační systém základní služby podle § 22a odst. 1 zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, do 9. listopadu 2018.
2. Orgány a osoby uvedené v § 3 písm. f) zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona,
- a)
- oznámí Úřadu do 30 dnů ode dne,
kdy byly informovány podle § 4a odst. 3 zákona č. 181/2014 Sb., ve znění
účinném ode dne nabytí účinnosti tohoto zákona, kontaktní údaje podle §
16 odst. 1 zákona č. 181/2014 Sb., ve znění účinném ke dni nabytí
účinnosti tohoto záko-na, a
- b)
- začnou nejpozději do 1 roku ode dne, kdy byly
informovány podle § 4a odst. 3 zákona č. 181/2014 Sb., ve znění účinném
ode dne nabytí účinnosti tohoto zákona, plnit ostatní povinnosti podle
zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto
zákona.
3. Poskytovatel digitální služby
- a)
- oznámí Úřadu nejpozději do 30 dnů
ode dne nabytí účinnosti tohoto zákona kontaktní údaje podle § 16
odst. 1 zákona č. 181/2014 Sb., ve znění účinném ke dni nabytí účinnosti
tohoto zákona, a
- b)
- začne nejpozději do 1 roku ode dne nabytí účinnosti
tohoto zákona plnit ostatní povinnosti podle zákona č. 181/2014 Sb., ve
znění účinném ode dne nabytí účinnosti tohoto zákona.
4. Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny, v případě, že podmínky jejich smluvního vztahu uzavřeného s dodavatelem pro jejich informační nebo komunikační systém nesplňují požadavky podle zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, a jeho prováděcích právních předpisů, uvést smluvní vztah do souladu s těmito požadavky do 1 roku ode dne nabytí účinnosti tohoto zákona.
5. Řízení o správních deliktech a přestupcích podle zákona č. 181/2014 Sb., zahájená a nedokončená přede dnem nabytí účinnosti tohoto zákona dokončí Národní úřad pro kybernetickou a informační bezpečnost. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost ke dni nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se nedokončených řízení a o předání sepíše s Národním úřadem pro kybernetickou a informační bezpečnost protokol.
6. Výkon práv a povinností ze smlouvy uzavřené podle § 19 odst. 1 zákona č. 181/2014 Sb., přechází ke dni nabytí účinnosti tohoto zákona z Národního bezpečnostního úřadu na Národní úřad pro kybernetickou a informační bezpečnost.
7. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost do 6 měsíců ode dne nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se výkonu působnosti, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost.
8. Výkon práv a povinností vyplývajících z pracovněprávních vztahů zaměstnanců Národního bezpečnostního úřadu, kteří zajišťovali činnost Národního bezpečnostního úřadu podle zákona č. 181/2014 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která dnem nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, přechází dnem nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
9. Příslušnost k hospodaření s majetkem státu užívaným Národním bezpečnostním úřadem přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost, pokud byl tento majetek využíván k zajišťování činnosti Národního bezpečnostního úřadu podle zákona č. 181/2014 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
10. Rozpočtované prostředky kapitoly 308 ˙ Ná-rodní bezpečnostní úřad podle zákona č. 457/2016 Sb., o státním rozpočtu České republiky na rok 2017, včetně nároků nespotřebovaných výdajů za předcházející léta, které souvisí s výkonem působnosti Národního bezpečnostního úřadu, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, se přesouvají ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
V § 11 odst. 4 zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění zákona č. 159/2000 Sb., zákona č. 61/2006 Sb., zákona č. 254/2008 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 123/2010 Sb., zákona č. 181/2014 Sb., zákona č. 301/2016 Sb. a zákona č. 368/2016 Sb., se písme-no f) zrušuje.
Dosavadní písmeno g) se označuje jako písmeno f).
ČÁST TŘETÍ
V § 2 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění zákona č. 60/1988 Sb., zákona č. 288/1990 Sb., zákona č. 575/1990 Sb., zákona č. 173/1991 Sb., zákona č. 359/1992 Sb., zákona č. 474/1992 Sb., zákona č. 21/1993 Sb., zákona č. 47/1994 Sb., zákona č. 89/1995 Sb., zákona č. 272/1996 Sb., zákona č. 15/1998 Sb., zákona č. 148/1998 Sb., zákona č. 365/2000 Sb., zákona č. 458/2000 Sb., zákona č. 219/2002 Sb., zákona č. 517/2002 Sb., zákona č. 95/2005 Sb., zákona č. 57/2006 Sb., zákona č. 250/2014 Sb. a zákona č. 319/2016 Sb., se na konci bodu 15 tečka nahrazuje čárkou a doplňuje se bod 16, který zní:
˙16. Národní úřad pro kybernetickou a informační bezpečnost.˙.
ČÁST ČTVRTÁ
V § 1 odst. 2 zákona č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění zákona č. 250/2014 Sb., se za slova ˙Národním bezpečnostním úřadu˙ vkládají slova ˙ , Národním úřadu pro kybernetickou a informační bezpečnost˙.
ČÁST PÁTÁ
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb. a zákona č. 104/2017 Sb., se mění takto:
1. V § 1 se na konci odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno d), které zní:
- ˙d)
- Národním úřadem pro kybernetickou a informační bezpečnost.˙.
2. V § 12 odst. 3 se slova ˙Národní bezpečnostní úřad˙ nahrazují slovy ˙Národní úřad pro kybernetickou a informační bezpečnost˙.
ČÁST SEDMÁ
V § 6 odst. 2 zákona č. 251/2005 Sb., o inspekci práce, ve znění zákona č. 264/2006 Sb., zákona č. 362/2007 Sb., zákona č. 341/2011 Sb., zákona č. 350/2011 Sb., zákona č. 365/2011 Sb., zákona č. 367/2011 Sb., zákona č. 64/2014 Sb. a zákona č. 88/2016 Sb., se za slova ˙Úřadu pro zahraniční styky a informace˙ vkládají slova ˙ , Národního úřadu pro kybernetickou a informační bezpečnost˙.
ČÁST OSMÁ
V § 33 odst. 4 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákona č. 430/2010 Sb. a zákona č. 64/2014 Sb., se za slova ˙zpravodajských služeb˙ vkládají slova ˙ , Národní-ho úřadu pro kybernetickou a informační bezpečnost˙ a za slova ˙zpravodajská služba˙ se vkládají slova ˙ , Národní úřad pro kybernetickou a informační bezpečnost˙.
V § 16 odst. 2 zákona č. 183/2006 Sb., o územním plánování a stavebním řádu (stavební zákon), ve znění zákona č. 350/2012 Sb. a zákona č. 264/2016 Sb., se na konci textu písmene a) doplňují slova ˙ , a u staveb sloužících k plnění úkolů Národního úřadu pro kybernetickou a informační bezpečnost˙.
ČÁST DESÁTÁ
V § 53 odst. 1 zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 190/2009 Sb. a zákona č. 167/2012 Sb., se za slova ˙Národní bezpečnostní úřad˙ vkládají slova ˙ , Národní úřad pro kybernetickou a informační bezpečnost˙.
ČÁST JEDENÁCTÁ
V § 78 odst. 1 zákona č. 273/2008 Sb., o Policii České republiky, ve znění zákona č. 105/2013 Sb., zákona č. 273/2013 Sb. a zákona č. 303/2013 Sb., se za slova ˙Národnímu bezpečnostnímu úřadu˙ vkládají slova ˙ , Národnímu úřadu pro kybernetickou a informační bezpečnost˙.
ČÁST DVANÁCTÁ
V § 138 zákona č. 435/2004 Sb., o zaměstnanosti, ve znění zákona č. 382/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 136/2014 Sb. a zákona č. 250/2014 Sb., se za slova ˙Národního bezpečnostního úřadu˙ vkládají slova ˙ , Národního úřadu pro kybernetickou a informační bezpečnost˙.
ČÁST TŘINÁCTÁ
Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 119/2007 Sb., zákona č. 177/2007 Sb., zákona č. 296/2007 Sb., zákona č. 32/2008 Sb., zákona č. 124/2008 Sb., zákona č. 126/2008 Sb., zákona č. 250/2008 Sb., zákona č. 41/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 255/2011 Sb., zákona č. 420/2011 Sb., zákona č. 458/2011 Sb., zákona č. 167/2012 Sb., zákona č. 303/2013 Sb., zákona č. 181/2014 Sb., zákona č. 250/2014 Sb., zákona č. 204/2015 Sb., zákona č. 375/2015 Sb., zákona č. 135/2016 Sb. a zákona č. 298/2016 Sb., se mění takto:
1. Na začátku hlavy VI se vkládá nový § 33a, který zní:
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.˙.
2. V § 34 odst. 2, § 35 odst. 2, § 37 odst. 2 a 4, § 45 odst. 2, § 46 odst. 17, § 69 odst. 1 písm. e), g) a i) a § 153 odst. 1 písm. s), t) a v) se slovo ˙Úřadem˙ nahrazuje slovy ˙Národním úřadem pro kybernetickou a informační bezpečnost˙.
3. V § 34 odst. 5, § 43 odst. 2, § 43a odst. 2, § 45 odst. 5, § 46 odst. 17, § 48 odst. 5, § 49 odst. 6, § 50 odst. 5, § 51 odst. 5 a § 67 odst. 1 písm. d) se slovo ˙Úřadu˙ nahrazuje slovy ˙Národnímu úřadu pro kybernetickou a informační bezpečnost˙.
4. V § 35 odst. 2, § 39 odst. 1 a 2, § 42 odst. 2, § 45 odst. 6, § 46 odst. 5 písm. d) a odst. 18, § 48 odst. 1 a 2, odst. 4 písm. d) a odst. 6, § 49 odst. 1 a 3 a odst. 5 písm. b), § 50 odst. 1, 2, odst. 4 písm. d) a odst. 6, § 51 odst. 1 a 2 a odst. 4 písm. d) a § 148 odst. 1 písm. j) se slovo ˙Úřadu˙ nahrazuje slovy ˙Národního úřadu pro kybernetickou a informační bezpečnost˙.
5. Na začátku hlavy VIII se vkládá nový § 36a, který zní:
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.˙.
6. V § 37a odst. 3, § 39 odst. 1 až 3, § 42 odst. 3 a 4, § 43a odst. 1, § 45 odst. 3 a 4, § 48 odst. 3, odst. 5 a 6, § 49 odst. 2, 4, 6, 7 a 9, § 50 odst. 3, 5 a 6, § 51 odst. 3 a 5 a § 69 odst. 1 písm. f) a h) se slovo ˙Úřad˙ nahrazuje slovy ˙Národní úřad pro kybernetickou a informační bezpečnost˙.
7. V § 38 odst. 1 písm. c) se za slovo ˙výroba˙ vkládají slova ˙nebo servis˙.
8. Na začátku hlavy IX se vkládá nový § 45a, který zní:
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.˙.
9. V § 46 odst. 1 a 2 a v § 52 odst. 5 a 6 se za slovo ˙Úřad˙ vkládají slova ˙nebo Národní úřad pro kybernetickou a informační bezpečnost˙.
10. V § 46 odst. 10 a § 52 odst. 4 písm. d) se za slovo ˙Úřadem˙ vkládají slova ˙nebo Národním úřadem pro kybernetickou a informační bezpečnost˙.
11. V § 46 odstavce 11 a 12 znějí:
˙(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.
(12) Jestliže platnost certifikátu zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu zanikla podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.˙.
12. V § 46 se na konci odstavce 14 doplňuje věta ˙K vydávání posudku podle věty první může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění činnosti.˙.
13. V § 46 odstavec 15 zní:
˙(15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými službami.˙.
14. V § 46 odst. 16 se slova ˙ve Věstníku Úřadu˙ nahrazují slovy ˙a Národní úřad pro kybernetickou a informační bezpečnost v příslušném věstníku˙.
15. V § 50 odst. 4 se na konci písmene c) slovo ˙nebo˙ zrušuje.
16. V § 50 odst. 4 se na konci písmene d) tečka nahrazuje textem ˙ , nebo˙ a doplňuje se písmeno e), které zní:
- ˙e)
- oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu, o zrušení kryptografického pracoviště.˙.
17. V § 52 odst. 1 a odst. 3 písm. b) se za slova ˙a § 46 odst.˙ vkládá text ˙14 a˙.
18. V § 52 odst. 4 písm. f) se slova ˙§ 46 odst. 15˙ nahrazují slovy ˙§ 46 odst. 14˙.
19. § 53 včetně nadpisu zní:
Prováděcí právní předpis stanoví
- a)
- náležitosti žádosti o certifikaci
technického prostředku, dokumentaci nezbytnou k provedení certifikace
technického prostředku, pravidla pro stanovení doby platnosti
certifikátu technického prostředku, pravidla a způsob používání
technického prostředku po uplynutí doby platnosti jeho certifikátu a
vzor certifikátu technického prostředku,
- b)
- náležitosti žádosti a opakované žádosti o
certifikaci informačního systému, certifikaci kryptografického
prostředku, certifikaci kryptografického pracoviště a certifikaci
stínící komory, a dokumentaci nezbytnou k provedení certifikace
informačního systému, certifikace kryptografického prostředku,
certifikace kryptografického pracoviště a certifikace stínící komory,
- c)
- způsob a podmínky provádění certifikace
informačního systému, certifikace kryptografického prostředku,
certifikace kryptografického pracoviště a certifikace stínící komory a
jejich opakování a obsah certifikační zprávy podle § 46 odst. 13,
- d)
- vzory certifikátu informačního systému, certifikátu
kryptografického prostředku, certifikátu kryptografického pracoviště a
certifikátu stínící komory,
- e)
- náležitosti žádosti o ověření způsobilosti
elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu
k ochraně před únikem utajované informace kompromitujícím vyzařováním a
způsob hodnocení jejich způsobilosti a
- f)
- náležitosti žádosti orgánu státu nebo podnikatele o uzavření smlouvy podle § 52.˙.
20. V § 65 odst. 3 se slovo ˙státní˙ zrušuje.
21. V § 69 odst. 1 písm. j) se slova ˙evidenci kryptografického materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického prostředku, evidenci kurýrů kryptografického materiálu˙ zrušují.
22. V § 69 odst. 1 se na konci písmene s) tečka nahrazuje čárkou a doplňuje se písmeno t), které zní:
- ˙t)
- vést evidenci kryptografického
materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní
obsluhy kryptografického prostředku a evidenci kurýrů kryptografického
materiálu.˙.
23. V § 75a odst. 2 písm. b), § 143 odst. 2 a § 144 odst. 1 se slova ˙podle zákona upravujícího státní kontrolu45)˙ nahrazují slovy ˙podle kontrolního řádu˙.
Poznámka pod čarou č. 45 se zrušuje, a to včetně odkazu na poznámku pod
čarou.
24. § 137 včetně nadpisu zní:
Úřad
- a)
- rozhoduje o žádosti fyzické osoby,
žádosti podnikatele a žádosti o doklad a o zrušení platnosti osvědčení
fyzické osoby, osvědčení podnikatele a dokladu, s výjimkou případů
stanovených tímto zákonem [§ 140 odst. 1 písm. a) a § 141 odst. 1], a
vydává osvědčení fyzické osoby podle § 56a,
- b)
- vykonává kontrolu v oblasti ochrany utajovaných
informací a bezpečnostní způsobilosti (§ 143) a metodickou
činnost, s výjimkou případů stanovených tímto zákonem (§ 143 odst. 5),
- c)
- plní úkoly v oblasti ochrany utajovaných informací v
souladu se závazky vyplývajícími z členství České republiky v Evropské
unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž
je Česká republika vázána,
- d)
- vede ústřední registr a schvaluje zřízení registrů v orgánech státu a u podnikatelů,
- e)
- ve stanovených případech povoluje poskytování utajovaných informací v mezinárodním styku,
- f)
- ke kurýrní přepravě utajovaných informací stupně
utajení Přísně tajné, Tajné nebo Důvěrné poskytovaných v rámci
mezinárodního styku, s výjimkou utajované informace poskytované podle §
78 odst. 1, vydává na základě písemné žádosti odpovědné osoby nebo
bezpečnostního ředitele kurýrní listy a v odůvodněných případech
zajišťuje jejich přepravu,
- g)
- provádí certifikace technického prostředku,
- h)
- vydává bezpečnostní standardy,
- i)
- ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,
- j)
- rozhoduje v dalších věcech a plní další úkoly
na úseku ochrany utajovaných informací a bezpečnostní způsobilosti
stanovené tímto zákonem a
- k)
- vydává Věstník Úřadu, který zveřejňuje na svých internetových stránkách.˙.
25. Za § 137 se vkládá nový § 137a, který včetně nadpisu
zní:
Národní úřad pro kybernetickou a informační bezpečnost v oblasti působnosti svěřené mu tímto zákonem
- a)
- zajišťuje zkoušky zvláštní odborné způsobilosti a vydává osvědčení o zvláštní odborné způsobilosti,
- b)
- plní úkoly v souladu se závazky vyplývajícími z
členství České republiky v Evropské unii, Organizaci Severoatlantické
smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, ve
vybraných oblastech ochrany utajovaných informací,
- c)
- vykonává metodickou činnost,
- d)
- zajišťuje činnost Národního střediska komunikační
bezpečnosti, Národního střediska pro distribuci kryptografického
materiálu, Národního střediska pro měření kompromitujícího vyzařování a
Národního střediska pro bezpečnost informačních systémů, které jsou jeho
součástí,
- e)
- provádí certifikace informačního systému,
kryptografického prostředku, kryptografického pracoviště a stínící
komory a schvaluje projekt bezpečnosti komunikačního systému,
- f)
- zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků,
- g)
- vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany,
- h)
- zjišťuje kompromitující vyzařování tam, kde se vyskytují nebo budou vyskytovat utajované informace,
- i)
- zjišťuje v součinnosti se zpravodajskými službami a
policií, zda v jednací oblasti nedochází nedovoleným použitím
technických prostředků určených k získávání informací k ohrožení nebo
únikům utajovaných informací,
- j)
- vydává bezpečnostní standardy,
- k)
- ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,
- l)
- rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací stanovené tímto zákonem.˙.
26. V § 138 odst. 1 písm. b) se slova ˙evidenci pracovníků kryptografické ochrany, kurýrů kryptografického materiálu a evidenci fyzických osob, které jsou držiteli osvědčení o zvláštní odborné způsobilosti,˙ zrušují.
27. V § 138 odst. 1 se písmeno c) zrušuje.
Dosavadní písmena d) až m) se označují jako písmena c) až l).
28. V § 138 odst. 1 písm. h) se slova ˙informačních systémů, kryptografických prostředků, kryptografického pracoviště, stínících komor, k provádění školení zvláštní odborné způsobilosti pracovníků kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího vyzařování tam, kde se utajované informace budou vyskytovat, a provádět výrobu kryptografických prostředků,˙ zrušují.
29. V § 138 se doplňuje odstavec 3, který zní:
˙(3) Národní úřad pro kybernetickou a informační bezpečnost je při plnění úkolů podle tohoto zákona oprávněn k činnostem podle odstavce 1 písm. a), c), g) a i), a dále je oprávněn
- a)
- vést evidenci fyzických osob,
které jsou držiteli osvědčení o zvláštní odborné způsobilosti, evidenci
porušení ochrany utajovaných informací a evidenci pracovníků
kryptografické ochrany a kurýrů kryptografického materiálu,
- b)
- uzavírat smlouvu s orgánem státu nebo podnikatelem k
provádění dílčích úloh při certifikaci informačních systémů,
kryptografických prostředků, kryptografického pracoviště, stínících
komor, k provádění školení zvláštní odborné způsobilosti pracovníků
kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího
vyzařování tam, kde se utajované informace budou vyskytovat, a provádět
výrobu kryptografických prostředků a
- c)
- vést certifikační spis informačního systému,
kryptografického prostředku, kryptografického pracoviště a stínící
komory, vést seznam kontrolovaných kryptografických položek a vést
dokumentaci pro provádění činností podle § 45.˙.
30. V § 138a se na konci odstavce 1 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:
- ˙g)
- záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna.˙.
31. V § 138a se za odstavec 4 vkládá nový odstavec 5, který zní:
˙(5) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje, kterými jsou
- a)
- obchodní firma nebo název právnické osoby nebo jméno, popřípadě jména, a příjmení podnikající fyzické osoby,
- b)
- datum vzniku nebo datum zápisu do evidence podle zvláštních právních předpisů,
- c)
- datum zániku nebo datum výmazu z evidence podle zvláštních právních předpisů,
- d)
- právní forma,
- e)
- záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna,
- f)
- statutární orgán vyjádřený referenční vazbou na
registr obyvatel anebo na registr osob nebo údajem o jménu, popřípadě
jménech, příjmení a bydlišti u zahraniční fyzické osoby,
- g)
- právní stav,
- h)
- adresa sídla právnické osoby nebo adresa místa
podnikání fyzické osoby ve formě referenční vazby (kódu adresního místa)
na referenční údaj o adrese v registru územní identifikace.˙.
Dosavadní odstavce 5 a 6 se označují jako odstav-ce 6 a 7.
32. V § 138a odst. 6 se slova ˙odstavců 2 až 4˙ nahrazují slovy ˙odstavců 2 až 5˙.
33. V § 138a se doplňuje odstavec 8, který zní:
˙(8) Národnímu úřadu pro kybernetickou a informační bezpečnost jsou poskytovány pro výkon jeho působnosti podle tohoto zákona údaje podle odstavce 1, odstavce 2 písm. a), c), d), f), m) a n), odstavce 3 písm. a), b), e) až g), j), k) a r) až t), odstavce 4 písm. a), b), d) a e) a odstavce 5.˙.
34. Za § 138a se vkládá nový § 138b, který včetně nadpisu zní:
Národní úřad pro kybernetickou a informační bezpečnost předá bez zbytečného odkladu Úřadu oznámení, které obdržel podle § 34 odst. 5, § 43 odst. 2 nebo § 69 odst. 1 písm. f) a h).˙.
35. Nadpis části šesté zní:
36. V § 143 odstavec 1 zní:
˙(1) Úřad v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti kontroluje, jak orgány státu, právnické osoby, podnikající fyzické osoby a fyzické osoby (dále jen ˙kontrolované osoby˙) dodržují právní předpisy v této oblasti.˙.
37. V § 143 odst. 2 až 4 se slova ˙státního dozoru˙ nahrazují slovem ˙kontroly˙.
38. V § 143 odst. 5 se slova ˙Státnímu dozoru˙ nahrazují slovem ˙Kontrole˙.
39. V § 143 se doplňuje odstavec 6, který zní:
˙(6) V případě kontroly, která zasahuje do oblasti působnosti ochrany utajovaných informací, jejíž státní správu podle tohoto zákona vykonává Národní úřad pro kybernetickou a informační bezpečnost, bude ke kontrole přizván jeho zástupce.˙.
40. V § 145 odst. 5 se na konci písmene e) čárka nahrazuje tečkou a písmeno f) se zrušuje.
41. V § 146 odst. 1 se slova ˙nebo v rámci správního řízení o vydání opatření podle zákona o kybernetické bezpečnosti˙ zrušují.
42. V § 146 odst. 2 se slova ˙nebo podle zákona o kybernetické bezpečnosti˙ zrušují.
43. V § 153 odst. 1 se na konci písmene dd) slovo ˙nebo˙ zrušuje.
44. V § 153 odst. 1 se na konci písmene ee) tečka nahrazuje slovem ˙ , nebo˙ a doplňuje se písmeno ff), které zní:
- ˙ff)
- nevede některou z evidencí stanovených v § 69 odst. 1 písm. t).˙.
45. V § 153 odst. 2 písm. b) se slova ˙n) nebo o)˙ nahrazují slovy ˙n), o) nebo ff)˙.
46. Na konci textu § 156 se doplňují slova ˙ , s výjimkou přestupků podle § 148 odst. 1 písm. f) až h) a j), § 149 odst. 1 písm. g) až k), § 153 odst. 1 písm. b), s) až z) a ff) a § 154 odst. 1 písm. e), které projednává a za něž pokuty vybírá Národní úřad pro kybernetickou a informační bezpečnost˙.
47. § 158 včetně nadpisu zní:
Úřad vydá vyhlášku k provedení § 7 odst. 3, § 9 odst. 8, § 15a odst. 7, § 23 odst. 2, § 33, § 53 písm. a) a f), § 64, § 75a odst. 4, § 79 odst. 8, § 85 odst. 5 a § 135. Národní úřad pro kybernetickou a informační bezpečnost vydá vyhlášku k provedení § 34 odst. 6, § 35 odst. 6, § 36 odst. 4, § 44 a § 53 písm. b) až
f).˙.
1. Řízení podle § 42 odst. 3 a hlavy IX zákona č. 412/2005 Sb., zahájená a nedokončená přede dnem nabytí účinnosti tohoto zákona, s výjimkou řízení o certifikaci technického prostředku, dokončí Národní úřad pro kybernetickou a informační bezpečnost.
2. Řízení o správních deliktech a přestupcích uvedených v § 148 odst. 1 písm. f) až h) a j), § 149 odst. 1 písm. g) až k), § 153 odst. 1 písm. b), s) až z) a ff) a § 154 odst. 1 písm. e) zákona č. 412/2005 Sb., zahájená a nedokončená přede dnem nabytí účinnosti tohoto zákona dokončí Národní úřad pro kybernetickou a informační bezpečnost.
3. Výkon práv a povinností ze smluv uzavřených Národním bezpečnostním úřadem podle § 52 zákona č. 412/2005 Sb., s výjimkou smluv uzavřených podle § 46 odst. 15 zákona č. 412/2005 Sb., k zajištění vydání posudku vlastností technického prostředku podle § 46 odst. 14 zákona č. 412/2005 Sb., přechází ke dni nabytí účinnosti tohoto zákona z Národního bezpečnostního úřadu na Národní úřad pro kybernetickou a informační bezpečnost.
4. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost ke dni nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se nedokončených řízení podle bodů 1 a 2 a o předání sepíše s Národním úřadem pro kybernetickou a informační bezpečnost protokol.
5. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost do 6 měsíců ode dne nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se výkonu působnosti, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost.
6. Výkon práv a povinností vyplývajících z pracovněprávních vztahů zaměstnanců Národního bezpečnostního úřadu, kteří zajišťovali činnost Národního bezpečnostního úřadu podle zákona č. 412/2005 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která dnem nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, přechází dnem nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
7. Příslušnost k hospodaření s majetkem státu užívaným Národním bezpečnostním úřadem přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost, pokud byl tento majetek využíván k zajišťování činnosti Národního bezpečnostního úřadu podle zákona č. 412/2005 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
8. Rozpočtované prostředky kapitoly 308 ˙ Ná-rodní bezpečnostní úřad podle zákona č. 457/2016 Sb., o státním rozpočtu České republiky na rok 2017, včetně nároků nespotřebovaných výdajů za předcházející léta, které souvisí s výkonem působnosti Národního bezpečnostního úřadu, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, se přesouvají ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
9. Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínící komory vydaný Národním bezpečnostním úřadem podle zákona č. 412/2005 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona se považuje za certifikát vydaný Národním úřadem pro kybernetickou a informační bezpečnost.
ÚČINNOST
Tento zákon nabývá účinnosti prvním dnem prvního kalendářního měsíce následujícího po dni jeho vyhlášení.