(1) | Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací se dopustí přestupku tím, že a) | nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13, | b) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | c) | neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo | d) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(2) | Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že a) | nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, | b) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3, | c) | nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13, | d) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | e) | neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo | f) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(3) | Správce informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že a) | v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, | b) | v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, | c) | jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, | d) | neinformuje provozovatele systému podle § 4a odst. 1, | e) | neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2, | f) | nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, | g) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, | h) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, | i) | nesplní povinnost uloženou Úřadem podle § 13 nebo 14, | j) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | k) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | l) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(4) | Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že a) | v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, | b) | v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, | c) | jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, | d) | neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2, | e) | nepředá data, provozní údaje a informace podle § 6a odst. 2, | f) | nepředá data, provozní údaje a informace podle § 6a odst. 3, | g) | nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3, | h) | neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3, | i) | nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, | j) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, | k) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, | l) | nesplní povinnost uloženou Úřadem podle § 13 nebo 14, | m) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | n) | nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1, | o) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | p) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(5) | Správce významného informačního systému se dopustí přestupku tím, že a) | v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, | b) | v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, | c) | jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, | d) | neinformuje provozovatele systému podle § 4a odst. 1, | e) | nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, | f) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, | g) | nesplní povinnost uloženou Úřadem podle § 13 nebo 14, | h) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | i) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | j) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(6) | Provozovatel významného informačního systému se dopustí přestupku tím, že a) | v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, | b) | v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, | c) | jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, | d) | nepředá data, provozní údaje a informace podle § 6a odst. 2, | e) | nepředá data, provozní údaje a informace podle § 6a odst. 3, | f) | nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3, | g) | neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3, | h) | nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, | i) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, | j) | nesplní povinnost uloženou Úřadem podle § 13 nebo 14, | k) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | l) | nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1, | m) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | n) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(7) | Správce informačního systému základní služby se dopustí přestupku tím, že a) | v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci, | b) | v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, | c) | jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, | d) | nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, | e) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, | f) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, | g) | nesplní povinnost uloženou Úřadem podle § 13 nebo 14, | h) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | i) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | j) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(8) | Provozovatel informačního systému základní služby se dopustí přestupku tím, že a) | v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci, | b) | v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, | c) | jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, | d) | nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, | e) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, | f) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, | g) | nesplní povinnost uloženou Úřadem podle § 13 nebo 14, | h) | bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, | i) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | j) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(9) | Provozovatel základní služby se dopustí přestupku tím, že a) | jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, | b) | neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3, | c) | nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1, 4 nebo 8, | d) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, | e) | neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo | f) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(10) | Poskytovatel digitální služby se dopustí přestupku tím, že a) | neustaví svého zástupce podle § 3a odst. 1, | b) | v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření, | c) | neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3, | d) | nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, | e) | neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo | f) | nesplní některou z povinností uloženou nápravným opatřením podle § 24. |
|
(11) | Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že a) | vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti, | b) | neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti, | c) | nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti, nebo | d) | neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti. |
|
(12) | Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech. |
(13) | Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že a) | zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti, | b) | padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti, | c) | provede činnost posouzení shody podle aktu o kybernetické bezpečnosti na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti, | d) | jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti, | e) | provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo | f) | vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti nebo mimo rozsah této akreditace. |
|
(14) | Za přestupek lze uložit pokutu do a) | 5 000 000 Kč, jde-li o přestupek podle odstavce 3 písm. a), odstavce 4 písm. a), odstavce 5 písm. a), odstavce 6 písm. a), odstavce 7 písm. a), odstavce 8 písm. a), odstavce 10 písm. b) anebo odstavce 12 nebo 13, | b) | 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a), b) nebo d), odstavce 2 písm. a) až d) nebo písm. f), odstavce 3 písm. b) až j) nebo písm. l), odstavce 4 písm. b) až n) nebo písm. p), odstavce 5 písm. b) až h) nebo písm. j), odstavce 6 písm. b) až l) nebo písm. n), odstavce 7 písm. b) až h) nebo písm. j), odstavce 8 písm. b) až h) nebo písm. j), odstavce 9 písm. a) až d) nebo písm. f), odstavce 10 písm. a), c), d) nebo f) nebo odstavce 11, | c) | 10 000 Kč, jde-li o přestupek podle odstavce 1 písm. c), odstavce 2 písm. e), odstavce 3 písm. k), odstavce 4 písm. o), odstavce 5 písm. i), odstavce 6 písm. m), odstavce 7 písm. i), odstavce 8 písm. i), odstavce 9 písm. e) nebo odstavce 10 písm. e). |
|