Váš nákupní košík:  prázdný Přihlášení obchod@sagit.cz

Navigace:  Úvod  »  Zákony  »  Sbírka zákonů a mezinárodních smluv

Sbírka zákonů a mezinárodních smluv


205

ZÁKON

ze dne 7. června 2017,

kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony

Parlament se usnesl na tomto zákoně České republiky:

ČÁST PRVNÍ
Změna zákona o kybernetické bezpečnosti

Čl. I

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č.  104/2017 Sb., se mění takto:

1. V § 1 se za odstavec 1 vkládá nový odstavec 2, který včetně poznámky pod čarou č. 6 zní:

„(2) Tento zákon zapracovává příslušné předpisy Evropské unie6) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.


6) Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.“.

Dosavadní odstavec 2 se označuje jako odstavec 3.

2. V § 2 se na konci textu písmene c) doplňují slova „a dat“.

3. V § 2 písm. d) se za slova „informační infrastrukturou“ vkládají slova „ani informačním systémem základní služby“.

4. V § 2 se na konci písmene g) slovo „a“ zrušuje.

5. V § 2 se na konci písmene h) tečka nahrazuje čárkou a doplňují se písmena i) až m), která včetně poznámek pod čarou č. 7 až 10 znějí:

„i)   základní službou služba, jejíž poskytování je závislé na sítích elektronických komunikací7) nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví

1. 

energetika,
2.  doprava,
3.  bankovnictví,
4.  infrastruktura finančních trhů,
5.  zdravotnictví,
6.  vodní hospodářství,
7.  digitální infrastruktura,
8.  chemický průmysl,

j)   informačním systémem základní služby informační systém, na jehož fungování je závislé poskytování základní služby,
k)   provozovatelem základní služby orgán nebo osoba, která poskytuje základní službu a která je určena Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „Úřad“) podle § 22a; pro účely plnění informační povinnosti podle příslušného předpisu Evropské unie8) se za provozovatele základní služby považují též orgány a osoby uvedené v § 3 písm. c) a d),
l)   digitální službou služba informační společnosti podle zákona upravujícího některé služby informační společnosti9), která spočívá v provozování

1. 

on-line tržiště, které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem10) kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
2.  internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem, nebo
3.  cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet, a
m)   příslušným orgánem orgán vykonávající působnost v oblasti kybernetické bezpečnosti.


7) § 2 písm. h) zákona č. 127/2005 Sb., ve znění pozdějších předpisů.
8) Čl. 5 odst. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148.
9) § 2 písm. a) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).
10) § 2 odst. 1 písm. a) a b) zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů.
§ 419 a 420 zákona č. 89/2012 Sb., občanský zákoník.“.

6. V § 3 se na konci písmene d) slovo „a“ nahrazuje čárkou.

7. V § 3 se na konci písmene e) tečka nahrazuje čárkou a doplňují se písmena f) až h), která znějí:

„f)   správce a provozovatel informačního systému základní služby, pokud nejsou správcem nebo provozovatelem podle písmene c) nebo d),
g)   provozovatel základní služby, pokud není správcem nebo provozovatelem podle písmene f), a
h)   poskytovatel digitální služby.“.

8. Za § 3 se vkládá nový § 3a, který včetně nadpisu zní:

„§ 3a
Zástupce poskytovatele digitálních služeb

(1) Poskytovatel digitální služby, který poskytuje tuto službu v České republice, nemá sídlo v Evropské unii a neustavil si svého zástupce v jiném členském státě Evropské unie (dále jen „jiný členský stát“), je povinen ustavit si svého zástupce v České republice. Zástupcem poskytovatele digitální služby je osoba, která je usazená v České republice a která je poskytovatelem digitální služby na základě plné moci zmocněná jej zastupovat ve vztahu k povinnostem podle tohoto zákona.

(2) V případě, že poskytovatel digitální služby má sídlo mimo Evropskou unii a ustavil si svého zástupce v České republice, má se za to, že je usazen v České republice a vztahují se na něj povinnosti podle tohoto zákona.

(3) V případě, že je poskytovatel digitální služby usazen v České republice nebo zde má ustaveného zástupce, ale jím využívané sítě elektronických komunikací a informační systémy se nacházejí v jiném členském státu, Úřad při výkonu státní správy spolupracuje s příslušným orgánem dotčeného členského státu.“.

9. § 4 zní:

„§ 4

(1) Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací1) v kybernetickém prostoru.

(2) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, informačního systému základní služby a významného informačního systému a vést o nich bezpečnostní dokumentaci.

(3) Poskytovatel digitální služby je povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy.

(4) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.

(5) Orgány a osoby uvedené v § 3 písm. c) až g), které jsou orgány veřejné moci, jsou povinny si ve smlouvě s poskytovatelem služeb cloud computingu zejména zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem, a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase. Dalšími nezbytnými náležitostmi smlouvy jsou

a)   zakotvení povinnosti poskytovatele služeb respektovat bezpečnostní politiku odběratele služeb,
b)   stanovení úrovně poskytovaných služeb,
c)   systém schvalování subdodavatelů služby cloud computingu,
d)   podmínky ukončení smluvního vztahu z pohledu bezpečnosti,
e)   řízení kontinuity činností v souvislosti s poskytovanou službou cloud computingu,
f)   určení vlastníka uchovávaných dat,
g)   dohoda o důvěrnosti smluvního vztahu,
h)   stanovení úrovně ochrany dat z pohledu důvěrnosti, dostupnosti a integrity,
i)   pravidla zákaznického auditu,
j)   stanovení povinnosti poskytovatele služeb informovat odběratele o kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy.

(6) Poskytovatel služby cloud computingu a orgány a osoby uvedené v § 3 písm. c) až g), které jsou orgány veřejné moci, si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel.

(7) Zohlednění požadavků vyplývajících z bezpečnostních pravidel, bezpečnostních opatření a dalších podmínek sjednaných ve smlouvě podle odstavce 5, které jsou nezbytné pro splnění povinností podle tohoto zákona, nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.“.

10. Za § 4 se vkládá nový § 4a, který zní:

„§ 4a

(1) Orgány a osoby, které se staly správci informačních nebo komunikačních systémů kritické informační infrastruktury nebo správci významných informačních systémů, a nejsou provozovateli tohoto systému, jsou povinny neprodleně a prokazatelně informovat provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem nebo osobou podle § 3 písm. c), d) nebo e).

(2) Orgány a osoby, které se staly správci nebo provozovateli informačních nebo komunikačních systémů kritické informační infrastruktury, jsou povinny neprodleně a prokazatelně informovat subjekt zajišťující síť elektronických komunikací, ke které je jejich předmětný informační nebo komunikační systém kritické informační infrastruktury připojen, o této skutečnosti a o tom, že se tento subjekt stal orgánem nebo osobou podle § 3 písm. b).

(3) Orgány a osoby, které byly podle § 22a určené provozovateli základní služby a nejsou zároveň správci nebo provozovateli svých informačních systémů základní služby, jsou povinny správce nebo provozovatele tohoto informačního systému základní služby neprodleně a prokazatelně informovat o svém určení a o tom, že se dotčený správce nebo provozovatel stal orgánem nebo osobou podle § 3 písm. f).“.

11. § 6 zní:

„§ 6

Prováděcí právní předpis stanoví

a)   obsah bezpečnostních opatření,
b)   obsah a strukturu bezpečnostní dokumentace,
c)   rozsah bezpečnostních opatření pro orgány a osoby uvedené v § 3 písm. c) až f),
d)   významné informační systémy a jejich určující kritéria,
e)   obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu.“.

12. V § 6a se na konci odstavce 3 doplňuje věta „Způsob likvidace dat, provozních údajů, informací a jejich kopií stanoví prováděcí právní předpis.“.

13. V § 7 odst. 3 se slova „§ 3 písm. b) až e)“ nahrazují slovy „§ 3 písm. b) až f)“ a za slova „komunikačním systému kritické informační infrastruktury“ se vkládají slova „ , informačním systému základní služby“.

14. V § 8 odstavec 1 včetně poznámky pod čarou č. 11 zní:

„(1) Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury, informačním systému základní služby nebo významném informačním systému, a to bezodkladně po jejich detekci; tím není dotčena informační povinnost podle jiného právního předpisu3) nebo přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů11). V případě, že kybernetický bezpečnostní incident má významný dopad na kontinuitu poskytování základní služby, oznámí to provozovatel základní služby Úřadu.


11) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).“.

15. V § 8 se za odstavec 1 vkládá nový odstavec 2, který zní:

„(2) Poskytovatel digitální služby je povinen bez zbytečného odkladu hlásit kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb, pokud má přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu.“.

Dosavadní odstavce 2 až 5 se označují jako odstavce 3 až 6.

16. V § 8 odst. 3 se text „§ 3 písm. b)“ nahrazuje slovy „§ 3 písm. b) a h)“.

17. V § 8 odst. 4 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až g)“ a slova „Národnímu bezpečnostnímu úřadu (dále jen „Úřad“)“ se nahrazují slovem „Úřadu“.

18. V § 8 se za odstavec 5 vkládá nový odstavec 6, který zní:

„(6) Orgány a osoby neuvedené v § 3 mohou hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT, nebo Úřadu.“.

Dosavadní odstavec 6 se označuje jako odstavec 7.

19. V § 8 odst. 7 písmeno a) zní:

„a)   typy, kategorie a hodnocení významnosti dopadu kybernetického bezpečnostního incidentu a“.

20. V § 8 se doplňuje odstavec 8, který zní:

„(8) Pokud má kybernetický bezpečnostní incident, který postihnul poskytovatele digitální služby, významný dopad na kontinuitu poskytování základní služby, je její provozovatel povinen tuto skutečnost Úřadu nahlásit.“.

21. V § 9 se na konci textu odstavce 2 doplňují slova „a l)“.

22. Za § 10 se vkládá nový § 10a, který zní:

„§ 10a

Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují.“.

23. V § 11 odst. 3 písm. b) a v § 11 odst. 4 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až f)“.

24. V § 12 se doplňuje odstavec 3, který zní:

„(3) Úřad je z důvodu ochrany vnitřního pořádku a bezpečnosti, ochrany života a zdraví osob nebo ochrany ekonomiky státu oprávněn po konzultaci s orgánem nebo osobou uvedenými v § 3 písm. c), d), f), g) nebo h), které jsou dotčeny kybernetickým bezpečnostním incidentem, veřejnost o tomto incidentu informovat nebo dotčenému orgánu nebo osobě uložit, aby tak učinil sám.“.

25. V § 13 odst. 4 se za text „§ 3“ vkládají slova „písm. a) až f)“.

26. § 14 zní:

„§ 14

Úřad za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu jako ochranné opatření vydá opatření obecné povahy, ve kterém orgánům a osobám uvedeným v § 3 písm. c) až f) stanoví způsob zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací1) a přiměřenou lhůtu k jeho provedení.“.

27. V § 16 odst. 2 písm. a) se slova „§ 3 písm. a) a b)“ nahrazují slovy „§ 3 písm. a), b) a h)“.

28. V § 16 odst. 2 písm. b) a v § 16 odst. 3 se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až g)“.

29. V § 16 se za odstavec 5 vkládá nový odstavec 6, který zní:

„(6) Úřad je dále oprávněn si pro účely kontroly vyžádat od provozovatele národního CERT kontaktní údaje orgánů a osob uvedených v § 3 písm. h).“.

Dosavadní odstavec 6 se označuje jako odstavec 7.

30. V § 17 odst. 2 písm. a), d) a e) se slova „§ 3 písm. a) a b)“ nahrazují slovy „§ 3 písm. a), b) a h)“.

31. V § 17 odst. 2 písm. b) a c) se text „§ 3 písm. b)“ nahrazuje slovy „§ 3 písm. b) a h)“.

32. V § 17 odst. 2 písm. g) se za slovo „incidentech“ vkládají slova „ohlášených podle § 8 odst. 3,“ a slova „kybernetického bezpečnostního incidentu a“ se nahrazují čárkou.

33. V § 17 odst. 2 písmeno h) zní:

„h)   předává Úřadu na vyžádání údaje podle § 16 odst. 5 a 6,“.

34. V § 17 se na konci odstavce 2 doplňují písmena i) až l), která včetně poznámky pod čarou č. 12 znějí:

„i)   plní roli týmu CSIRT podle příslušného předpisu Evropské unie12),
j)   informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování základní nebo digitální služby v tomto členském státě a zároveň o tom informuje Úřad, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele,
k)   spolupracuje s týmy CSIRT jiných členských států a
l)   přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob neuvedených v § 3, a pokud to jeho kapacity umožňují, zpracovává je a poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost.


12) Čl. 9 směrnice Evropského parlamentu a Rady (EU) 2016/1148.“.

35. V § 18 odst. 5 se slova „podle § 17 odst. 2 písm. a), b), c), e), g) a h)“ nahrazují slovy „podle § 17 odst. 2 písm. a) až c), e) a g) až l)“.

36. V § 18 se na konci odstavce 5 doplňuje věta „Provozovatel národního CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v § 17 odst. 2 nezbytné náklady.“.

37. V § 20 písm. a), b), d) a e) se slova „§ 3 písm. c) až e)“ nahrazují slovy „§ 3 písm. c) až g)“.

38. V § 20 písm. c) se slova „infrastruktury, z“ nahrazují slovy „infrastruktury, informačního systému základní služby,“.

39. V § 20 se na konci písmene i) slovo „a“ nahrazuje čárkou.

40. V § 20 se na konci písmene j) tečka nahrazuje čárkou a doplňují se písmena k) až n), která znějí:

„k)   informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu, který má významný dopad na kontinuitu poskytování základních služeb v tomto členském státě nebo se dotýká poskytování digitálních služeb v tomto členském státě, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele,
l)   přijímá hlášení o kybernetickém bezpečnostním incidentu od orgánů a osob neuvedených v § 3; vládní CERT hlášení zpracovává, a pokud to jeho kapacity umožňují a jedná se o kybernetický bezpečnostní incident s významným dopadem, poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost,
m)   plní roli týmu CSIRT podle příslušného předpisu Evropské unie12) a
n)   spolupracuje s týmy CSIRT jiných členských států.“.

41. V § 21 odst. 1 se slova „bezpečnost a integrita služeb nebo sítí elektronických komunikací1)“ nahrazují slovy „bezpečnost služeb elektronických komunikací anebo bezpečnost a integrita sítí elektronických komunikací1)“.

42. Na začátku hlavy IV se vkládá nový § 21a, který včetně skupinového nadpisu zní:

„Úřad
§ 21a

(1) Zřizuje se Úřad se sídlem v Brně jako ústřední správní úřad pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Příjmy a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu.

(2) V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává.

(3) Ředitel Úřadu je odpovědný předsedovi vlády nebo pověřenému členovi vlády.“.

43. § 22 včetně poznámek pod čarou č. 13 a 14 zní:

„§ 22

Úřad

a)   stanoví bezpečnostní opatření,
b)   vydává opatření,
c)   plní stanovené úkoly ve vybraných oblastech ochrany utajovaných informací,
d)   vede evidence podle tohoto zákona a podle zákona o ochraně utajovaných informací,
e)   ukládá správní tresty za nedodržení povinností stanovených tímto zákonem a zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti,
f)   působí jako koordinační orgán ve stavu kybernetického nebezpečí,
g)   spolupracuje s orgány a osobami, které působí v oblasti kybernetické bezpečnosti a kybernetické obrany, zejména s veřejnoprávními korporacemi, výzkumnými a vývojovými pracovišti a s ostatními pracovišti typu CERT, a s orgány a osobami, které působí ve vybraných oblastech ochrany utajovaných informací,
h)   zajišťuje mezinárodní spolupráci v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací,
i)   sjednává a uzavírá smlouvy o mezinárodní spolupráci v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací,
j)   zajišťuje prevenci, vzdělávání a metodickou podporu v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací,
k)   zajišťuje výzkum a vývoj v oblasti kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací,
l)   uzavírá veřejnoprávní smlouvu s provozovatelem národního CERT,
m)   zasílá podle krizového zákona Ministerstvu vnitra návrh prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, jejichž provozovatelem je organizační složka státu,
n)   určuje podle krizového zákona prvky kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, pokud nejde o prvky uvedené v písmeni m),
o)   ověřuje každé 2 roky aktuálnost určení prvků kritické infrastruktury podle písmen m) a n),
p)   určuje provozovatele základní služby a informační systém základní služby,
q)   zpracovává a vládě ke schválení předkládá národní strategii kybernetické bezpečnosti13) a akční plán k jejímu naplňování a tuto strategii aktualizuje nejméně každých 5 let,
r)   je jednotným kontaktním místem pro zajištění přeshraniční spolupráce v oblasti kybernetické bezpečnosti v rámci Evropské unie,
s)   je příslušným orgánem v České republice a plní informační povinnosti vůči Evropské komisi a skupině pro spolupráci podle příslušného předpisu Evropské unie14),
t)   informuje veřejnost o kybernetickém bezpečnostním incidentu podle § 12 odst. 3,
u)   provádí analýzu a monitoring kybernetických hrozeb a rizik,
v)   vykonává působnost v oblasti veřejné regulované služby Evropského programu družicové navigace Galileo,
w)   vydává Věstník Úřadu, který zveřejňuje na svých internetových stránkách,
x)   plní další úkoly v oblasti kybernetické bezpečnosti stanovené tímto zákonem a ve vybraných oblastech ochrany utajovaných informací podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti.


13) Čl. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148.
14) Například čl. 5 odst. 3, čl. 7 odst. 3 a čl. 8 směrnice Evropského parlamentu a Rady (EU) 2016/1148.“.

44. Za § 22 se vkládají nové § 22a a 22b, které včetně nadpisu znějí:

„§ 22a
Určení provozovatele základní služby a informačního systému základní služby

(1) Úřad rozhodnutím určí provozovatele základní služby a informační systém základní služby, pokud naplní odvětvová a dopadová kritéria, která zohledňují významnost

a)   služeb poskytovaných v jednotlivých odvětvích uvedených v § 2 písm. i) a
b)   dopad kybernetického bezpečnostního incidentu zejména na

1. 

rozsah a kvalitu poskytování základní služby uživatelům, kteří jsou na ní závislí,
2.  ekonomické a společenské činnosti a veřejnou bezpečnost,
3.  vzájemnou závislost odvětví uvedených v § 2 písm. i).

Dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností stanoví prováděcí právní předpis.

(2) V případě, že Úřad zjistí, že orgán nebo osoba, které hodlá určit podle odstavce 1 jako provozovatele základní služby, poskytují danou službu i v jiném členském státě, provede před rozhodnutím ve věci konzultaci s příslušným orgánem dotčeného členského státu.

(3) Proti rozhodnutí Úřadu o určení provozovatele základní služby a informačního systému základní služby není rozklad přípustný.

(4) Úřad ověřuje nejméně každé 2 roky ode dne vydání rozhodnutí o určení provozovatele základní služby, zda jsou splněny podmínky pro určení provozovatele základní služby a informačního systému základní služby.

§ 22b

(1) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru obyvatel referenční údaje, kterými jsou

a)   příjmení,
b)   jméno, popřípadě jména,
c)   adresa místa pobytu,
d)   datum, místo a okres narození; u subjektu údajů, který se narodil v cizině, datum, místo a stát, kde se narodil,
e)   datum, místo a okres úmrtí; jde-li o úmrtí subjektu údajů mimo území České republiky, datum úmrtí, místo a stát, na jehož území k úmrtí došlo,
f)   státní občanství, popřípadě více státních občanství,
g)   záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna.

(2) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z agendového informačního systému evidence obyvatel o státních občanech České republiky údaje, kterými jsou

a)   jméno, popřípadě jména, příjmení, včetně předchozích příjmení, rodné příjmení,
b)   rodné číslo, pokud není přiděleno, datum narození,
c)   adresa místa trvalého pobytu, včetně předchozích adres místa trvalého pobytu, popřípadě adresa, na kterou mají být doručovány písemnosti podle jiného právního předpisu,
d)   omezení svéprávnosti, jméno, popřípadě jména, příjmení a rodné číslo opatrovníka; nebylo-li opatrovníkovi rodné číslo přiděleno, datum, místo a okres narození; je-li opatrovníkem ustanoven orgán místní správy, název a adresa sídla,
e)   datum, místo a okres úmrtí; jde-li o úmrtí občana mimo území České republiky, datum úmrtí, místo a stát, na jehož území k úmrtí došlo,
f)   den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti, popřípadě jako den, který občan prohlášený za mrtvého nepřežil.

Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z agendového informačního systému evidence obyvatel, pouze pokud jsou ve tvaru předcházejícím současný stav.

(3) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z informačního systému cizinců o cizincích údaje, kterými jsou

a)   jméno, popřípadě jména, příjmení, rodné příjmení,
b)   datum narození,
c)   rodné číslo,
d)   státní občanství, popřípadě více státních občanství,
e)   druh a adresa místa pobytu,
f)   číslo a platnost oprávnění k pobytu,
g)   omezení svéprávnosti,
h)   datum, místo a okres úmrtí; jde-li o úmrtí mimo území České republiky, stát, na jehož území k úmrtí došlo, popřípadě datum úmrtí,
i)   den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti, popřípadě jako den, který cizinec prohlášený za mrtvého nepřežil.

Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav.

(4) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona z registru rodných čísel o fyzických osobách, kterým bylo přiděleno rodné číslo, avšak nejsou vedeny v agendovém informačním systému evidence obyvatel, údaje, kterými jsou

a)   jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b)   rodné číslo,
c)   v případě změny rodného čísla původní rodné číslo,
d)   den, měsíc a rok narození,
e)   místo a okres narození; u fyzické osoby narozené v cizině stát, na jehož území se narodila.

(5) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje, kterými jsou

a)   obchodní firma nebo název právnické osoby nebo jméno, popřípadě jména, a příjmení podnikající fyzické osoby,
b)   datum vzniku nebo datum zápisu do evidence podle zvláštních právních předpisů,
c)   datum zániku nebo datum výmazu z evidence podle zvláštních právních předpisů,
d)   právní forma,
e)   záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna,
f)   statutární orgán vyjádřený referenční vazbou na registr obyvatel anebo na registr osob nebo údajem o jménu, popřípadě jménech, příjmení a bydlišti u zahraniční fyzické osoby,
g)   právní stav,
h)   adresa sídla právnické osoby nebo adresa místa podnikání fyzické osoby ve formě referenční vazby (kódu adresního místa) na referenční údaj o adrese v registru územní identifikace.

(6) K údajům podle odstavců 2 až 5 vedeným v agendových informačních systémech jsou Úřadu poskytovány i jejich předchozí změny.

(7) Z poskytovaných údajů lze v konkrétním případě použít vždy jen takové údaje, které jsou nezbytné ke splnění daného úkolu.“.

45. § 23 včetně nadpisu zní:

„§ 23
Kontrola

(1) Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak orgány a osoby uvedené v § 3 písm. a) až g) plní povinnosti stanovené tímto zákonem a rozhodnutími a opatřeními obecné povahy vydanými Úřadem podle tohoto zákona, a dodržují prováděcí právní předpisy v oblasti kybernetické bezpečnosti. Je-li důvodné podezření, že poskytovatel digitální služby neplní povinnosti stanovené tímto zákonem, provede u něj Úřad kontrolu.

(2) Při výkonu kontroly se postupuje přiměřeně podle kontrolního řádu.

(3) Kontrolu vykonávají pověření zaměstnanci Úřadu.“.

46. V § 24 odst. 2 se za slova „komunikační systém kritické informační infrastruktury“ vkládají slova „ , informační systém základní služby“.

47. Za § 24 se vkládají nové § 24a až 24c, které včetně nadpisu a poznámky pod čarou č. 15 znějí:

„Kontrola činnosti Úřadu
§ 24a

(1) Kontrolu činnosti Úřadu vykonává Poslanecká sněmovna, která k tomuto účelu zřizuje zvláštní kontrolní orgán (dále jen „kontrolní orgán“).

(2) Kontrolní orgán se skládá ze 7 členů. Členem kontrolního orgánu může být pouze poslanec Poslanecké sněmovny.

(3) Pokud tento zákon nestanoví jinak, vztahuje se na jednání kontrolního orgánu a na práva a povinnosti jeho členů přiměřeně jiný právní předpis15).

(4) Členové kontrolního orgánu mohou vstupovat v doprovodu ředitele Úřadu nebo jím pověřeného zaměstnance do objektů Úřadu.

(5) Ředitel Úřadu předkládá kontrolnímu orgánu

a)   zprávu o činnosti Úřadu,
b)   návrh rozpočtu Úřadu,
c)   podklady potřebné ke kontrole plnění rozpočtu Úřadu,
d)   vnitřní předpisy Úřadu,
e)   na vyžádání zprávu o jednotlivých kybernetických bezpečnostních incidentech z kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby.

§ 24b

(1) Má-li kontrolní orgán za to, že činnost Úřadu nezákonně omezuje nebo poškozuje práva a svobody občanů nebo že rozhodovací činnost Úřadu v rámci správního řízení je stižena vadami, je oprávněn požadovat od ředitele Úřadu potřebné vysvětlení.

(2) Každé porušení zákona zaměstnancem Úřadu při plnění povinností podle tohoto zákona a ve vybraných oblastech podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, které kontrolní orgán zjistí při své činnosti, je povinen oznámit řediteli Úřadu a předsedovi vlády.

§ 24c

Povinnost zachovávat mlčenlivost uložená členům kontrolního orgánu podle zákona se nevztahuje na případy, kdy kontrolní orgán podává oznámení podle § 24b odst. 2.


15) Zákon č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, ve znění pozdějších předpisů.“.

48. V § 25 odst. 1 úvodní části ustanovení se slova „Právnická osoba nebo podnikající fyzická osoba uvedené v § 3 písm. a) nebo b)“ nahrazují slovy „Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací nebo orgán nebo osoba zajišťující významnou síť“.

49. V § 25 odst. 2 úvodní části ustanovení se slova „Právnická osoba nebo podnikající fyzická osoba uvedené v § 3 písm. c) až e)“ nahrazují slovy „Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury nebo správce nebo provozovatel významného informačního systému“.

50. V § 25 odst. 2 písm. b) se číslo „3“ nahrazuje číslem „4“.

51. V § 25 se za odstavec 2 vkládají nové odstavce 3 až 11, které znějí:

„(3) Správce informačního nebo komunikačního systému kritické informační infrastruktury nebo významného informačního systému se dopustí přestupku tím, že neinformuje provozovatele systému podle § 4a odst. 1.

(4) Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2.

(5) Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že

a)   nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,
b)   nepředá data, provozní údaje a informace podle § 6a odst. 2,
c)   nepředá data, provozní údaje a informace podle § 6a odst. 3,
d)   nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3, nebo
e)   neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3.

(6) Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3.

(7) Správce a provozovatel informačního systému základní služby se dopustí přestupku tím, že

a)   v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,
b)   neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
c)   nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
d)   nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
e)   neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
f)   nesplní některou z povinností uloženou nápravným opatřením podle § 24.

(8) Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury, správce nebo provozovatel významného informačního systému, správce nebo provozovatel informačního systému základní služby a provozovatel základní služby, kteří jsou orgánem veřejné moci, se dopustí přestupku tím, že uzavřou smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 5.

(9) Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3.

(10) Provozovatel základní služby se dopustí přestupku tím, že

a)   neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3,
b)   nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1 a 4,
c)   nenahlásí významný dopad na kontinuitu poskytování základní služby způsobený kybernetickým bezpečnostním incidentem podle § 8 odst. 8,
d)   nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, nebo
e)   neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b).

(11) Poskytovatel digitální služby se dopustí přestupku tím, že

a)   neustaví svého zástupce podle § 3a odst. 1,
b)   v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření,
c)   neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3,
d)   nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, nebo
e)   neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a).“.

Dosavadní odstavec 3 se označuje jako odstavec 12.

52. V § 25 odstavec 12 zní:

„(12) Za přestupek lze uložit pokutu do

a)   5 000 000 Kč, jde-li o přestupek podle odstavce 2 písm. a), odstavce 7 písm. a) nebo odstavce 11 písm. b),
b)   1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a) nebo b), odstavce 2 písm. b), c) nebo e), odstavce 3, odstavce 4, odstavce 5 písm. a), c) nebo d), odstavce 6, odstavce 7 písm. b) až d) nebo f), odstavce 8, odstavce 9, odstavce 10 písm. a) až d) nebo odstavce 11 písm. a), c) nebo d),
c)   200 000 Kč, jde-li o přestupek podle odstavce 5 písm. b) nebo e),
d)   10 000 Kč, jde-li o přestupek podle odstavce 2 písm. d), odstavce 7 písm. e), odstavce 10 písm. e) nebo odstavce 11 písm. e).“.

53. V § 26 odst. 2 se slova „se uloží pokuta“ nahrazují slovy „lze uložit pokutu“.

54. V § 28 odst. 2 písmena a) a b) znějí:

„a)   obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních opatření podle § 6 písm. a) až c) a obsah a rozsah bezpečnostních pravidel podle § 6 písm. e),
b)   typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 7,“.

55. V § 28 odst. 2 se na konci písmene c) slovo „a“ nahrazuje čárkou.

56. V § 28 odst. 2 písm. d) se text „odst. 6.“ nahrazuje textem „odst. 7,“ a na konci odstavce 2 se doplňují písmena e) a f), která znějí:

„e)   dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1,
f)   způsob likvidace dat, provozních údajů, informací a jejich kopií.“.

57. V § 30 písm. b) a v § 31 písm. b) se číslo „3“ nahrazuje číslem „4“.

58. V § 33 odst. 2 se za slovo „republiky“ vkládají slova „a Generální inspekce bezpečnostních sborů“.

59. V § 33 se doplňují odstavce 3 a 4, které včetně poznámky pod čarou č. 16 znějí:

„(3) Tento zákon se vztahuje pouze na poskytovatele digitální služby, který je právnickou osobou a není mikropodnikem nebo malým podnikem16).

(4) Tento zákon se nevztahuje na poskytovatele digitální služby, který má sídlo v jiném členském státě.


16) Příloha doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.“.

60. Části druhá a čtvrtá se včetně nadpisů zrušují.

Čl. II
Přechodná ustanovení

1. Úřad určí provozovatele základní služby a informační systém základní služby podle § 22a odst. 1 zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, do 9. listopadu 2018.

2. Orgány a osoby uvedené v § 3 písm. f) zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona,

a)   oznámí Úřadu do 30 dnů ode dne, kdy byly informovány podle § 4a odst. 3 zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, kontaktní údaje podle § 16 odst. 1 zákona č. 181/2014 Sb., ve znění účinném ke dni nabytí účinnosti tohoto zákona, a
b)   začnou nejpozději do 1 roku ode dne, kdy byly informovány podle § 4a odst. 3 zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, plnit ostatní povinnosti podle zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona.

3. Poskytovatel digitální služby

a)   oznámí Úřadu nejpozději do 30 dnů ode dne nabytí účinnosti tohoto zákona kontaktní údaje podle § 16 odst. 1 zákona č. 181/2014 Sb., ve znění účinném ke dni nabytí účinnosti tohoto zákona, a
b)   začne nejpozději do 1 roku ode dne nabytí účinnosti tohoto zákona plnit ostatní povinnosti podle zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona.

4. Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny, v případě, že podmínky jejich smluvního vztahu uzavřeného s dodavatelem pro jejich informační nebo komunikační systém nesplňují požadavky podle zákona č.  181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, a jeho prováděcích právních předpisů, uvést smluvní vztah do souladu s těmito požadavky do 1 roku ode dne nabytí účinnosti tohoto zákona.

5. Řízení o správních deliktech a přestupcích podle zákona č. 181/2014 Sb., zahájená a nedokončená přede dnem nabytí účinnosti tohoto zákona dokončí Národní úřad pro kybernetickou a informační bezpečnost. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost ke dni nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se nedokončených řízení a o předání sepíše s Národním úřadem pro kybernetickou a informační bezpečnost protokol.

6. Výkon práv a povinností ze smlouvy uzavřené podle § 19 odst. 1 zákona č. 181/2014 Sb., přechází ke dni nabytí účinnosti tohoto zákona z Národního bezpečnostního úřadu na Národní úřad pro kybernetickou a informační bezpečnost.

7. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost do 6 měsíců ode dne nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se výkonu působnosti, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost.

8. Výkon práv a povinností vyplývajících z pracovněprávních vztahů zaměstnanců Národního bezpečnostního úřadu, kteří zajišťovali činnost Národního bezpečnostního úřadu podle zákona č. 181/2014 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která dnem nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, přechází dnem nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.

9. Příslušnost k hospodaření s majetkem státu užívaným Národním bezpečnostním úřadem přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost, pokud byl tento majetek využíván k zajišťování činnosti Národního bezpečnostního úřadu podle zákona č. 181/2014  Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.

10. Rozpočtované prostředky kapitoly 308 – Národní bezpečnostní úřad podle zákona č. 457/2016 Sb., o státním rozpočtu České republiky na rok 2017, včetně nároků nespotřebovaných výdajů za předcházející léta, které souvisí s výkonem působnosti Národního bezpečnostního úřadu, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, se přesouvají ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.

ČÁST DRUHÁ
Změna zákona o svobodném přístupu k informacím

Čl. III

V § 11 odst. 4 zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění zákona č. 159/2000 Sb., zákona č. 61/2006 Sb., zákona č. 254/2008 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 123/2010 Sb., zákona č. 181/2014 Sb., zákona č. 301/2016 Sb. a zákona č. 368/2016 Sb., se písmeno f) zrušuje.

Dosavadní písmeno g) se označuje jako písmeno f).

ČÁST TŘETÍ
Změna zákona o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky

Čl. IV

V § 2 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění zákona č. 60/1988 Sb., zákona č. 288/1990 Sb., zákona č. 575/1990 Sb., zákona č. 173/1991 Sb., zákona č.  359/1992 Sb., zákona č. 474/1992 Sb., zákona č. 21/1993 Sb., zákona č. 47/1994 Sb., zákona č. 89/1995 Sb., zákona č. 272/1996 Sb., zákona č. 15/1998 Sb., zákona č.  148/1998 Sb., zákona č. 365/2000 Sb., zákona č. 458/2000 Sb., zákona č. 219/2002  Sb., zákona č. 517/2002 Sb., zákona č. 95/2005 Sb., zákona č. 57/2006 Sb., zákona č. 250/2014 Sb. a zákona č. 319/2016 Sb., se na konci bodu 15 tečka nahrazuje čárkou a doplňuje se bod 16, který zní:

„16. Národní úřad pro kybernetickou a informační bezpečnost.“.

ČÁST ČTVRTÁ
Změna zákona, kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích

Čl. V

V § 1 odst. 2 zákona č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění zákona č. 250/2014 Sb., se za slova „Národním bezpečnostním úřadu“ vkládají slova „ , Národním úřadu pro kybernetickou a informační bezpečnost“.

ČÁST PÁTÁ
Změna zákona o státní službě

Čl. VI

V § 2 odst. 2 zákona č. 234/2014 Sb., o státní službě, ve znění zákona č. 131/2015 Sb., zákona č. 137/2016 Sb., zákona č. 190/2016 Sb., zákona č. 195/2016 Sb., zákona č. 302/2016 Sb., zákona č. 319/2016 Sb. a zákona č. 66/2017 Sb., se za slova „Vojenském zpravodajství“ vkládají slova „ , Národním úřadu pro kybernetickou a informační bezpečnost“.

ČÁST ŠESTÁ
Změna zákona o informačních systémech veřejné správy

Čl. VII

Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006  Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009  Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016  Sb. a zákona č. 104/2017 Sb., se mění takto:

1. V § 1 se na konci odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno d), které zní:

„d)   Národním úřadem pro kybernetickou a informační bezpečnost.“.

2. V § 12 odst. 3 se slova „Národní bezpečnostní úřad“ nahrazují slovy „Národní úřad pro kybernetickou a informační bezpečnost“.

ČÁST SEDMÁ
Změna zákona o inspekci práce

Čl. VIII

V § 6 odst. 2 zákona č. 251/2005 Sb., o inspekci práce, ve znění zákona č. 264/2006 Sb., zákona č. 362/2007 Sb., zákona č. 341/2011  Sb., zákona č. 350/2011 Sb., zákona č. 365/2011 Sb., zákona č. 367/2011 Sb., zákona č. 64/2014 Sb. a zákona č. 88/2016 Sb., se za slova „Úřadu pro zahraniční styky a informace“ vkládají slova „ , Národního úřadu pro kybernetickou a informační bezpečnost“.

ČÁST OSMÁ
Změna krizového zákona

Čl. IX

V § 33 odst. 4 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákona č. 430/2010 Sb. a zákona č. 64/2014 Sb., se za slova „zpravodajských služeb“ vkládají slova „ , Národního úřadu pro kybernetickou a informační bezpečnost“ a za slova „zpravodajská služba“ se vkládají slova „ , Národní úřad pro kybernetickou a informační bezpečnost“.

ČÁST DEVÁTÁ
Změna stavebního zákona

Čl. X

V § 16 odst. 2 zákona č. 183/2006 Sb., o územním plánování a stavebním řádu (stavební zákon), ve znění zákona č. 350/2012 Sb. a zákona č. 264/2016 Sb., se na konci textu písmene a) doplňují slova „ , a u staveb sloužících k plnění úkolů Národního úřadu pro kybernetickou a informační bezpečnost“.

ČÁST DESÁTÁ
Změna zákona o archivnictví a spisové službě a o změně některých zákonů

Čl. XI

V § 53 odst. 1 zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 190/2009 Sb. a zákona č. 167/2012 Sb., se za slova „Národní bezpečnostní úřad“ vkládají slova „ , Národní úřad pro kybernetickou a informační bezpečnost“.

ČÁST JEDENÁCTÁ
Změna zákona o Policii České republiky

Čl. XII

V § 78 odst. 1 zákona č. 273/2008 Sb., o Policii České republiky, ve znění zákona č. 105/2013 Sb., zákona č. 273/2013 Sb. a zákona č. 303/2013 Sb., se za slova „Národnímu bezpečnostnímu úřadu“ vkládají slova „ , Národnímu úřadu pro kybernetickou a informační bezpečnost“.

ČÁST DVANÁCTÁ
Změna zákona o zaměstnanosti

Čl. XIII

V § 138 zákona č. 435/2004 Sb., o zaměstnanosti, ve znění zákona č. 382/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č.  136/2014 Sb. a zákona č. 250/2014 Sb., se za slova „Národního bezpečnostního úřadu“ vkládají slova „ , Národního úřadu pro kybernetickou a informační bezpečnost“.

ČÁST TŘINÁCTÁ
Změna zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti

Čl. XIV

Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 119/2007 Sb., zákona č. 177/2007  Sb., zákona č. 296/2007 Sb., zákona č. 32/2008 Sb., zákona č. 124/2008 Sb., zákona č. 126/2008 Sb., zákona č. 250/2008 Sb., zákona č. 41/2009 Sb., zákona č. 227/2009  Sb., zákona č. 281/2009 Sb., zákona č. 255/2011 Sb., zákona č. 420/2011 Sb., zákona č. 458/2011 Sb., zákona č. 167/2012 Sb., zákona č. 303/2013 Sb., zákona č. 181/2014  Sb., zákona č. 250/2014 Sb., zákona č. 204/2015 Sb., zákona č. 375/2015 Sb., zákona č. 135/2016 Sb. a zákona č. 298/2016 Sb., se mění takto:

1. Na začátku hlavy VI se vkládá nový § 33a, který zní:

„§ 33a

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.“.

2. V § 34 odst. 2, § 35 odst. 2, § 37 odst. 2 a 4, § 45 odst. 2, § 46 odst. 17, § 69 odst. 1 písm. e), g) a i) a § 153 odst. 1 písm. s), t) a v) se slovo „Úřadem“ nahrazuje slovy „Národním úřadem pro kybernetickou a informační bezpečnost“.

3. V § 34 odst. 5, § 43 odst. 2, § 43a odst. 2, § 45 odst. 5, § 46 odst. 17, § 48 odst. 5, § 49 odst. 6, § 50 odst. 5, § 51 odst. 5 a § 67 odst. 1 písm. d) se slovo „Úřadu“ nahrazuje slovy „Národnímu úřadu pro kybernetickou a informační bezpečnost“.

4. V § 35 odst. 2, § 39 odst. 1 a 2, § 42 odst. 2, § 45 odst. 6, § 46 odst. 5 písm. d) a odst. 18, § 48 odst. 1 a 2, odst. 4 písm. d) a odst. 6, § 49 odst. 1 a 3 a odst. 5 písm. b), § 50 odst. 1, 2, odst. 4 písm. d) a odst. 6, § 51 odst. 1 a 2 a odst. 4 písm. d) a § 148 odst. 1 písm. j) se slovo „Úřadu“ nahrazuje slovy „Národního úřadu pro kybernetickou a informační bezpečnost“.

 5. Na začátku hlavy VIII se vkládá nový § 36a, který zní:

„§ 36a

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.“.

 6. V § 37a odst. 3, § 39 odst. 1 až 3, § 42 odst. 3 a 4, § 43a odst. 1, § 45 odst. 3 a 4, § 48 odst. 3, odst. 5 a 6, § 49 odst. 2, 4, 6, 7 a 9, § 50 odst. 3, 5 a 6, § 51 odst. 3 a 5 a § 69 odst. 1 písm. f) a h) se slovo „Úřad“ nahrazuje slovy „Národní úřad pro kybernetickou a informační bezpečnost“.

 7. V § 38 odst. 1 písm. c) se za slovo „výroba“ vkládají slova „nebo servis“.

 8. Na začátku hlavy IX se vkládá nový § 45a, který zní:

„§ 45a

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.“.

 9. V § 46 odst. 1 a 2 a v § 52 odst. 5 a 6 se za slovo „Úřad“ vkládají slova „nebo Národní úřad pro kybernetickou a informační bezpečnost“.

10. V § 46 odst. 10 a § 52 odst. 4 písm. d) se za slovo „Úřadem“ vkládají slova „nebo Národním úřadem pro kybernetickou a informační bezpečnost“.

11. V § 46 odstavce 11 a 12 znějí:

„(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.

(12) Jestliže platnost certifikátu zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu zanikla podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.“.

12. V § 46 se na konci odstavce 14 doplňuje věta „K vydávání posudku podle věty první může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění činnosti.“.

13. V § 46 odstavec 15 zní:

„(15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými službami.“.

14. V § 46 odst. 16 se slova „ve Věstníku Úřadu“ nahrazují slovy „a Národní úřad pro kybernetickou a informační bezpečnost v příslušném věstníku“.

15. V § 50 odst. 4 se na konci písmene c) slovo „nebo“ zrušuje.

16. V § 50 odst. 4 se na konci písmene d) tečka nahrazuje textem „ , nebo“ a doplňuje se písmeno e), které zní:

„e)   oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu, o zrušení kryptografického pracoviště.“.

17. V § 52 odst. 1 a odst. 3 písm. b) se za slova „a § 46 odst.“ vkládá text „14 a“.

18. V § 52 odst. 4 písm. f) se slova „§ 46 odst. 15“ nahrazují slovy „§ 46 odst. 14“.

19. § 53 včetně nadpisu zní:

„§ 53
Zmocňovací ustanovení

Prováděcí právní předpis stanoví

a)   náležitosti žádosti o certifikaci technického prostředku, dokumentaci nezbytnou k provedení certifikace technického prostředku, pravidla pro stanovení doby platnosti certifikátu technického prostředku, pravidla a způsob používání technického prostředku po uplynutí doby platnosti jeho certifikátu a vzor certifikátu technického prostředku,
b)   náležitosti žádosti a opakované žádosti o certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínící komory, a dokumentaci nezbytnou k provedení certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory,
c)   způsob a podmínky provádění certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory a jejich opakování a obsah certifikační zprávy podle § 46 odst. 13,
d)   vzory certifikátu informačního systému, certifikátu kryptografického prostředku, certifikátu kryptografického pracoviště a certifikátu stínící komory,
e)   náležitosti žádosti o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním a způsob hodnocení jejich způsobilosti a
f)   náležitosti žádosti orgánu státu nebo podnikatele o uzavření smlouvy podle § 52.“.

20. V § 65 odst. 3 se slovo „státní“ zrušuje.

21. V § 69 odst. 1 písm. j) se slova „evidenci kryptografického materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického prostředku, evidenci kurýrů kryptografického materiálu“ zrušují.

22. V § 69 odst. 1 se na konci písmene s) tečka nahrazuje čárkou a doplňuje se písmeno t), které zní:

„t)   vést evidenci kryptografického materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického prostředku a evidenci kurýrů kryptografického materiálu.“.

23. V § 75a odst. 2 písm. b), § 143 odst. 2 a § 144 odst. 1 se slova „podle zákona upravujícího státní kontrolu45)“ nahrazují slovy „podle kontrolního řádu“.

Poznámka pod čarou č. 45 se zrušuje, a to včetně odkazu na poznámku pod čarou.

24. § 137 včetně nadpisu zní:

„§ 137
Úřad

Úřad

a)   rozhoduje o žádosti fyzické osoby, žádosti podnikatele a žádosti o doklad a o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele a dokladu, s výjimkou případů stanovených tímto zákonem [§ 140 odst. 1 písm. a) a § 141 odst. 1], a vydává osvědčení fyzické osoby podle § 56a,
b)   vykonává kontrolu v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti (§ 143) a metodickou činnost, s výjimkou případů stanovených tímto zákonem (§ 143 odst. 5),
c)   plní úkoly v oblasti ochrany utajovaných informací v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána,
d)   vede ústřední registr a schvaluje zřízení registrů v orgánech státu a u podnikatelů,
e)   ve stanovených případech povoluje poskytování utajovaných informací v mezinárodním styku,
f)   ke kurýrní přepravě utajovaných informací stupně utajení Přísně tajné, Tajné nebo Důvěrné poskytovaných v rámci mezinárodního styku, s výjimkou utajované informace poskytované podle § 78 odst. 1, vydává na základě písemné žádosti odpovědné osoby nebo bezpečnostního ředitele kurýrní listy a v odůvodněných případech zajišťuje jejich přepravu,
g)   provádí certifikace technického prostředku,
h)   vydává bezpečnostní standardy,
i)   ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,
j)   rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací a bezpečnostní způsobilosti stanovené tímto zákonem a
k)   vydává Věstník Úřadu, který zveřejňuje na svých internetových stránkách.“.

25. Za § 137 se vkládá nový § 137a, který včetně nadpisu zní:

„§ 137a
Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost v oblasti působnosti svěřené mu tímto zákonem

a)   zajišťuje zkoušky zvláštní odborné způsobilosti a vydává osvědčení o zvláštní odborné způsobilosti,
b)   plní úkoly v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, ve vybraných oblastech ochrany utajovaných informací,
c)   vykonává metodickou činnost,
d)   zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí,
e)   provádí certifikace informačního systému, kryptografického prostředku, kryptografického pracoviště a stínící komory a schvaluje projekt bezpečnosti komunikačního systému,
f)   zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků,
g)   vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany,
h)   zjišťuje kompromitující vyzařování tam, kde se vyskytují nebo budou vyskytovat utajované informace,
i)   zjišťuje v součinnosti se zpravodajskými službami a policií, zda v jednací oblasti nedochází nedovoleným použitím technických prostředků určených k získávání informací k ohrožení nebo únikům utajovaných informací,
j)   vydává bezpečnostní standardy,
k)   ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,
l)   rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací stanovené tímto zákonem.“.

26. V § 138 odst. 1 písm. b) se slova „evidenci pracovníků kryptografické ochrany, kurýrů kryptografického materiálu a evidenci fyzických osob, které jsou držiteli osvědčení o zvláštní odborné způsobilosti,“ zrušují.

27. V § 138 odst. 1 se písmeno c) zrušuje.

Dosavadní písmena d) až m) se označují jako písmena c) až l).

28. V § 138 odst. 1 písm. h) se slova „informačních systémů, kryptografických prostředků, kryptografického pracoviště, stínících komor, k provádění školení zvláštní odborné způsobilosti pracovníků kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího vyzařování tam, kde se utajované informace budou vyskytovat, a provádět výrobu kryptografických prostředků,“ zrušují.

29. V § 138 se doplňuje odstavec 3, který zní:

„(3) Národní úřad pro kybernetickou a informační bezpečnost je při plnění úkolů podle tohoto zákona oprávněn k činnostem podle odstavce 1 písm. a), c), g) a i), a dále je oprávněn

a)   vést evidenci fyzických osob, které jsou držiteli osvědčení o zvláštní odborné způsobilosti, evidenci porušení ochrany utajovaných informací a evidenci pracovníků kryptografické ochrany a kurýrů kryptografického materiálu,
b)   uzavírat smlouvu s orgánem státu nebo podnikatelem k provádění dílčích úloh při certifikaci informačních systémů, kryptografických prostředků, kryptografického pracoviště, stínících komor, k provádění školení zvláštní odborné způsobilosti pracovníků kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího vyzařování tam, kde se utajované informace budou vyskytovat, a provádět výrobu kryptografických prostředků a
c)   vést certifikační spis informačního systému, kryptografického prostředku, kryptografického pracoviště a stínící komory, vést seznam kontrolovaných kryptografických položek a vést dokumentaci pro provádění činností podle § 45.“.

30. V § 138a se na konci odstavce 1 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:

„g)   záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna.“.

31. V § 138a se za odstavec 4 vkládá nový odstavec 5, který zní:

„(5) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje, kterými jsou

a)   obchodní firma nebo název právnické osoby nebo jméno, popřípadě jména, a příjmení podnikající fyzické osoby,
b)   datum vzniku nebo datum zápisu do evidence podle zvláštních právních předpisů,
c)   datum zániku nebo datum výmazu z evidence podle zvláštních právních předpisů,
d)   právní forma,
e)   záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna,
f)   statutární orgán vyjádřený referenční vazbou na registr obyvatel anebo na registr osob nebo údajem o jménu, popřípadě jménech, příjmení a bydlišti u zahraniční fyzické osoby,
g)   právní stav,
h)   adresa sídla právnické osoby nebo adresa místa podnikání fyzické osoby ve formě referenční vazby (kódu adresního místa) na referenční údaj o adrese v registru územní identifikace.“.

Dosavadní odstavce 5 a 6 se označují jako odstavce 6 a 7.

32. V § 138a odst. 6 se slova „odstavců 2 až 4“ nahrazují slovy „odstavců 2 až 5“.

33. V § 138a se doplňuje odstavec 8, který zní:

„(8) Národnímu úřadu pro kybernetickou a informační bezpečnost jsou poskytovány pro výkon jeho působnosti podle tohoto zákona údaje podle odstavce 1, odstavce 2 písm. a), c), d), f), m) a n), odstavce 3 písm. a), b), e) až g), j), k) a r) až t), odstavce 4 písm. a), b), d) a e) a odstavce 5.“.

34. Za § 138a se vkládá nový § 138b, který včetně nadpisu zní:

„§ 138b
Spolupráce Úřadu a Národního úřadu pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost předá bez zbytečného odkladu Úřadu oznámení, které obdržel podle § 34 odst. 5, § 43 odst. 2 nebo § 69 odst. 1 písm. f) a h).“.

35. Nadpis části šesté zní: „KONTROLA“.

36. V § 143 odstavec 1 zní:

„(1) Úřad v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti kontroluje, jak orgány státu, právnické osoby, podnikající fyzické osoby a fyzické osoby (dále jen „kontrolované osoby“) dodržují právní předpisy v této oblasti.“.

37. V § 143 odst. 2 až 4 se slova „státního dozoru“ nahrazují slovem „kontroly“.

38. V § 143 odst. 5 se slova „Státnímu dozoru“ nahrazují slovem „Kontrole“.

39. V § 143 se doplňuje odstavec 6, který zní:

„(6) V případě kontroly, která zasahuje do oblasti působnosti ochrany utajovaných informací, jejíž státní správu podle tohoto zákona vykonává Národní úřad pro kybernetickou a informační bezpečnost, bude ke kontrole přizván jeho zástupce.“.

40. V § 145 odst. 5 se na konci písmene e) čárka nahrazuje tečkou a písmeno f) se zrušuje.

41. V § 146 odst. 1 se slova „nebo v rámci správního řízení o vydání opatření podle zákona o kybernetické bezpečnosti“ zrušují.

42. V § 146 odst. 2 se slova „nebo podle zákona o kybernetické bezpečnosti“ zrušují.

43. V § 153 odst. 1 se na konci písmene dd) slovo „nebo“ zrušuje.

44. V § 153 odst. 1 se na konci písmene ee) tečka nahrazuje slovem „ , nebo“ a doplňuje se písmeno ff), které zní:

„ff)   nevede některou z evidencí stanovených v § 69 odst. 1 písm. t).“.

45. V § 153 odst. 2 písm. b) se slova „n) nebo o)“ nahrazují slovy „n), o) nebo ff)“.

46. Na konci textu § 156 se doplňují slova „ , s výjimkou přestupků podle § 148 odst. 1 písm. f) až h) a j), § 149 odst. 1 písm. g) až k), § 153 odst. 1 písm. b), s) až z) a ff) a § 154 odst. 1 písm. e), které projednává a za něž pokuty vybírá Národní úřad pro kybernetickou a informační bezpečnost“.

47. § 158 včetně nadpisu zní:

„§ 158
Zmocňovací ustanovení

Úřad vydá vyhlášku k provedení § 7 odst. 3, § 9 odst. 8, § 15a odst. 7, § 23 odst. 2, § 33, § 53 písm. a) a f), § 64, § 75a odst. 4, § 79 odst. 8, § 85 odst. 5 a § 135. Národní úřad pro kybernetickou a informační bezpečnost vydá vyhlášku k provedení § 34 odst. 6, § 35 odst. 6, § 36 odst. 4, § 44 a § 53 písm. b) až f).“.

Čl. XV
Přechodná ustanovení

1. Řízení podle § 42 odst. 3 a hlavy IX zákona č. 412/2005 Sb., zahájená a nedokončená přede dnem nabytí účinnosti tohoto zákona, s výjimkou řízení o certifikaci technického prostředku, dokončí Národní úřad pro kybernetickou a informační bezpečnost.

2. Řízení o správních deliktech a přestupcích uvedených v § 148 odst. 1 písm. f) až h) a j), § 149 odst. 1 písm. g) až k), § 153 odst. 1 písm. b), s) až z) a ff) a § 154 odst. 1 písm. e) zákona č. 412/2005 Sb., zahájená a nedokončená přede dnem nabytí účinnosti tohoto zákona dokončí Národní úřad pro kybernetickou a informační bezpečnost.

3. Výkon práv a povinností ze smluv uzavřených Národním bezpečnostním úřadem podle § 52 zákona č. 412/2005 Sb., s výjimkou smluv uzavřených podle § 46 odst. 15 zákona č. 412/2005 Sb., k zajištění vydání posudku vlastností technického prostředku podle § 46 odst. 14 zákona č. 412/2005 Sb., přechází ke dni nabytí účinnosti tohoto zákona z Národního bezpečnostního úřadu na Národní úřad pro kybernetickou a informační bezpečnost.

4. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost ke dni nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se nedokončených řízení podle bodů 1 a 2 a o předání sepíše s Národním úřadem pro kybernetickou a informační bezpečnost protokol.

5. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační bezpečnost do 6 měsíců ode dne nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající se výkonu působnosti, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost.

6. Výkon práv a povinností vyplývajících z pracovněprávních vztahů zaměstnanců Národního bezpečnostního úřadu, kteří zajišťovali činnost Národního bezpečnostního úřadu podle zákona č. 412/2005 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která dnem nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, přechází dnem nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.

7. Příslušnost k hospodaření s majetkem státu užívaným Národním bezpečnostním úřadem přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost, pokud byl tento majetek využíván k zajišťování činnosti Národního bezpečnostního úřadu podle zákona č. 412/2005  Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.

8. Rozpočtované prostředky kapitoly 308 – Národní bezpečnostní úřad podle zákona č. 457/2016 Sb., o státním rozpočtu České republiky na rok 2017, včetně nároků nespotřebovaných výdajů za předcházející léta, které souvisí s výkonem působnosti Národního bezpečnostního úřadu, která ke dni nabytí účinnosti tohoto zákona přechází na Národní úřad pro kybernetickou a informační bezpečnost, se přesouvají ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.

9. Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínící komory vydaný Národním bezpečnostním úřadem podle zákona č. 412/2005 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona se považuje za certifikát vydaný Národním úřadem pro kybernetickou a informační bezpečnost.

ČÁST ČTRNÁCTÁ
Účinnost

Čl. XVI

Tento zákon nabývá účinnosti prvním dnem prvního kalendářního měsíce následujícího po dni jeho vyhlášení.

v z. Vondráček v. r.
Zeman v. r.
Sobotka v. r.

Nabídka k tématu

ÚZ č. 1582 - Pracovněprávní předpisy, Zaměstnanost, Odškodňování a náhrady, Odbory, Inspekce práce

ÚZ č. 1582 - Pracovněprávní předpisy, Zaměstnanost, Odškodňování a náhrady, Odbory, Inspekce práce

Sagit, a. s.

Publikace obsahuje aktuální soubor 42 předpisů, které jsou rozděleny do těchto kapitol: prováděcí předpisy k zákoníku práce (překážky v práci, pracovní doba, dovolená, odškodňování pracovních úrazů a nemocí z ... pokračování

Cena: 189 KčKOUPIT

ÚZ č. 1431 - Koronavirus - speciální vydání

ÚZ č. 1431 - Koronavirus - speciální vydání

Sagit, a. s.

Od března 2020 byla přijata řada předpisů ke zmírnění dopadů vládních koronavirových opatření. Soubor těchto předpisů jsme vydali v červnu 2020 s tím, že se jedná o jednorázovou publikaci ÚZ; bohužel epidemie trvá a nové předpisy přibývají; dochází také k novelizaci stávajících ... pokračování

Cena: 145 KčKOUPIT

Nelegální a nucená práce se zaměřením na její výkon cizinci pocházejícími ze třetích zemí

Nelegální a nucená práce se zaměřením na její výkon cizinci pocházejícími ze třetích zemí

Štěpán Pastorek - Wolters Kluwer ČR, a.s.

Publikace zpracovává téma nelegální a nucené práce se zaměřením na její výkon cizinci pocházejícími ze zemí mimo Evropskou unii. Vedle výkladu klíčových pojmů pro danou oblast v ní čtenáři najdou pojednání o ... pokračování

Cena: 529 KčKOUPIT

Personalistka,  7. vydání

Personalistka, 7. vydání

Alena Chládková, Petr Bukovjan - Wolters Kluwer ČR, a.s.

Praktický průvodce vedením personální agendy podle zákoníku práce a dalších právních předpisů. Zapracovány jsou změny účinné k 1. 1. 2024 a 1. 7. 2024. Autoři se netradičním, ale zároveň přehledným způsobem zaměřují na nejdůležitější otázky praxe týkající se všech ... pokračování

Cena: 1 095 KčKOUPIT

Abeceda personalisty 2024

Abeceda personalisty 2024

JUDr. Dominik Brůha, Ph.D., JUDr. Petr Bukovjan, Mgr. Dana Roučková, Mgr. Zdeněk Schmied, - Anag, spol. s r. o.

Tato unikátní průřezová příručka je určena všem uživatelům, kteří se v praxi zabývají personalistikou, tedy nejen personalistům, ale např. i manažerům, podnikovým právníkům, vedoucím zaměstnancům na všech stupních řízení, účetním, asistentům, odborovým funkcionářům či majitelům ... pokračování

Cena: 769 KčKOUPIT

ÚZ č. 1557 - Cizinci, Azyl

ÚZ č. 1557 - Cizinci, Azyl

Sagit, a. s.

Od července 2023 se zásadně změnily dva základní zákony, a to zákon o pobytu cizinců na území ČR (245 změn a doplnění) a zákon o azylu (188 změn a doplnění). Nově byl do publikace zařazen zákon o státním občanství ČR a vybraná ustanovení k zaměstnávání cizinců. Publikace obsahuje ... pokračování

Cena: 249 KčKOUPIT

Whistleblowing - závěry a perspektivy

Whistleblowing - závěry a perspektivy

Jan Pichrt, Jakub Morávek a kolektiv - Wolters Kluwer ČR, a.s.

Kniha je výstupem tříletého výzkumného projektu „Ochrana oznamovatelů (whistleblowing)“, realizovaného na Právnické fakultě Univerzity Karlovy. V době vydání této monografie byla Česká republika ve zpoždění s transpozicí směrnice Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. ... pokračování

Cena: 295 KčKOUPIT

Diskriminace na pracovišti

Diskriminace na pracovišti

Jakub Tomšej - GRADA Publishing, a. s.

Publikace čtenářsky atraktivním způsobem shrnuje právní úpravu týkající se zákazu diskriminace na pracovišti. Čtivě a srozumitelně shrnuje základní informace o aktuální legislativě, včetně odkazů na nejnovější změny i soudní rozhodnutí, poskytuje odpovědi na často kladené otázky a ... pokračování

Cena: 99 KčKOUPIT

Zaměstnávání cizinců na území České republiky, 2. vydání

Zaměstnávání cizinců na území České republiky, 2. vydání

Mgr. Matěj Daněk, Mgr. Magdaléna Vyškovská, Ing. Jaroslava Fojtíková, Ph.D. - Anag, spol. s r. o.

Druhé vydání této publikace komplexně popisuje právní úpravu zaměstnávání cizinců v ČR, a to především s ohledem na administrativní překážky výkonu jejich práce a pobytu na území ČR, včetně daňových otázek a problematiky odvodů na sociální zabezpečení a zdravotní ... pokračování

Cena: 399 KčKOUPIT

ÚZ č. 1614 - Protikorupční předpisy

ÚZ č. 1614 - Protikorupční předpisy

Sagit, a. s.

Aktualizované vydání publikace obsahuje soubor předpisů, které zvyšují transparentnost a brání korupčnímu jednání veřejných i firemních činitelů. Publikace obsahuje úplná znění těchto zákonů: o svobodném přístupu k informacím, o střetu zájmů, o registru smluv, o evidenci skutečných ... pokračování

Cena: 119 KčKOUPIT

Právní akty

Sbírka zákonů
a mezinárodních smluv

číslo   /
  /

Sbírka mezinárodních smluv
(do 31. 12. 2023)

číslo   /
  /

Finanční zpravodaj

číslo   /
  /

Provozovatel

Nakladatelství Sagit, a. s.
Horní 457/1, 700 30 Ostrava-Hrabůvka
Společnost je zapsaná v obchodním
rejstříku vedeném KS v Ostravě,
oddíl B, vložka 3086.
IČ: 277 76 981
DIČ: CZ27776981

Telefony


Zásilkový obchod: 558 944 614
Předplatné ÚZ: 558 944 615
Software: 558 944 629
Knihkupci: 558 944 621
Inzerce: 558 944 634

E-maily


Zásilkový obchod: obchod@sagit.cz
Předplatné ÚZ: predplatne@sagit.cz
Software: software@sagit.cz
Knihkupci: knihkupci@sagit.cz
Inzerce: inzerce@sagit.cz

© 1996–2024 Nakladatelství Sagit, a. s. Všechna práva vyhrazena.