Odstavec předpisu 104/2017 Sb.
Zákon Parlamentu České republiky č. 104/2017 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), a některé další zákony
Čl.III
Čl.III
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících
zákonů (zákon o kybernetické bezpečnosti), se mění takto:
1. V § 2 se na konci písmene f) slovo "a" zrušuje a za písmeno f) se vkládá
nové písmeno g), které zní:
"g) provozovatelem informačního nebo komunikačního systému orgán nebo osoba
zajišťující funkčnost technických a programových prostředků tvořících informační
nebo komunikační systém a".
Dosavadní písmeno g) se označuje jako písmeno h).
2. V § 3 písm. b) se za slovo "správcem" vkládají slova "nebo provozovatelem".
3. V § 3 písm. c) až e) se za slovo "správce" vkládají slova "a provozovatel".
4. Za § 6 se vkládá nový § 6a, který zní:
"§ 6a
(1) Správce informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému může pověřit provozováním informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému jiný orgán nebo osobu, pokud to jiný zákon nevylučuje.
(2) Provozovatel informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému předá na vyžádání správce tohoto systému bez zbytečného odkladu a v dohodnutém
formátu data, provozní údaje a informace, které má k dispozici v souvislosti s provozováním
tohoto systému. Ustanovení právního předpisu upravujícího práva k duševnímu vlastnictví
nejsou předáním dat, provozních údajů a informací dotčena.
(3) Pokud provozovatel informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému nebude tento systém nadále provozovat, předá správci tohoto systému data,
provozní údaje a informace, které má k dispozici v souvislosti s provozováním tohoto
systému a které jsou nezbytné pro případné další provozování tohoto informačního
systému nebo jeho jiné využití a bezpečně zlikviduje ve svém digitálním prostředí
jejich kopie.
(4) Provozovatel informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému má nárok na úhradu účelně vynaložených nákladů za předání dat, provozních
údajů a informací podle odstavců 2 a 3; náklady provozovateli uhradí správce takového
systému.".
5. V § 8 se za odstavec 3 vkládá nový odstavec 4, který zní:
"(4) Povinnost podle odstavce 1 je správcem informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury
nebo významného informačního systému splněna i tehdy, pokud byl kybernetický bezpečnostní
incident hlášen provozovatelem tohoto systému. Provozovatel informačního systému
kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury
nebo významného informačního systému informuje správce tohoto systému o hlášených
kybernetických bezpečnostních incidentech bez zbytečného odkladu.".
Dosavadní odstavec 4 se označuje jako odstavec 5.
6. Za § 15 se vkládá nový § 15a, který zní:
"§ 15a
(1) Úřad může v případě hrozícího kybernetického bezpečnostního incidentu
na návrh správce informačního systému, který marně vyzval provozovatele ke splnění
povinnosti předat správci data, provozní údaje a informace, které má k dispozici
v souvislosti s provozováním tohoto systému kritické informační infrastruktury, komunikačního
systému kritické informační infrastruktury nebo významného informačního systému,
rozhodnutím uložit provozovateli tohoto systému povinnost předat správci data, provozní
údaje a informace, které má k dispozici v souvislosti s provozováním tohoto systému;
návrh musí obsahovat odůvodnění požadavku s ohledem na hrozící kybernetický bezpečnostní
incident, podrobný popis předchozího jednání mezi provozovatelem a správcem tohoto
systému zejména s ohledem na nesplnění smluvní povinnosti provozovatele a možné následky,
pokud nedojde k předání požadovaných dat, provozních údajů a informací.
(2) Rozhodnutí o uložení povinnosti předat data, provozní údaje a informace
podle odstavce 1 je prvním úkonem v řízení, je vykonatelné dnem doručení rozhodnutí
a rozklad proti němu nemá odkladný účinek.
(3) Pro úhradu nákladů vynaložených provozovatelem informačního systému
kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury
nebo významného informačního systému na předání dat, provozních údajů a informací
podle odstavce 1 se ustanovení § 6a odst. 4 použije obdobně.".
7. V § 25 odst. 2 se za písmeno c) vkládají nová písmena d) až h), která
znějí:
"d) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,
e) nepředá data, provozní údaje a informace podle § 6a odst. 2,
f) nepředá data, provozní údaje a informace podle § 6a odst. 3,
g) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,
h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a
informací podle § 6a odst. 3,".
Dosavadní písmena d) a e) se označují jako písmena i) a j).
8. V § 25 odst. 3 písm. a) se částka "100 000 Kč" nahrazuje částkou "1
000 000 Kč" a text "a) až c) nebo e)" se nahrazuje textem "a) až d), f), g) nebo
j)".
9. V § 25 odst. 3 písm. b) se text "písm. d)" nahrazuje textem "písm. i)".
10. V § 25 se na konci odstavce 3 tečka nahrazuje čárkou a doplňuje se
písmeno c), které zní:
"c) 200 000 Kč, jde-li o správní delikt podle odstavce 2 písm. e) a h).".
11. V § 28 odst. 2 písm. b) se číslo "4" nahrazuje číslem "5".