205/2017 Sb.
ZÁKON
ze dne 7. června 2017,
kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně
souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017
Sb., a některé další zákony
Změna: 283/2021 Sb.
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
Změna zákona o kybernetické bezpečnosti
Čl.I
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících
zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., se mění
takto:
1. V § 1 se za odstavec 1 vkládá nový odstavec 2, který včetně poznámky
pod čarou č. 6 zní:
"(2) Tento zákon zapracovává příslušné předpisy Evropské unie6) a upravuje
zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.
6) Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července
2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních
systémů v Unii.".
Dosavadní odstavec 2 se označuje jako odstavec 3.
2. V § 2 se na konci textu písmene c) doplňují slova "a dat".
3. V § 2 písm. d) se za slova "informační infrastrukturou" vkládají slova
"ani informačním systémem základní služby".
4. V § 2 se na konci písmene g) slovo "a" zrušuje.
5. V § 2 se na konci písmene h) tečka nahrazuje čárkou a doplňují se písmena
i) až m), která včetně poznámek pod čarou č. 7 až 10 znějí:
"i) základní službou služba, jejíž poskytování je závislé na sítích elektronických
komunikací7) nebo informačních systémech a jejíž narušení by mohlo mít významný dopad
na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví
1. energetika,
2. doprava,
3. bankovnictví,
4. infrastruktura finančních trhů,
5. zdravotnictví,
6.
vodní hospodářství,
7. digitální infrastruktura,
8. chemický průmysl,
j) informačním systémem základní služby informační systém, na jehož fungování
je závislé poskytování základní služby,
k) provozovatelem základní služby orgán nebo osoba, která poskytuje základní
službu a která je určena Národním úřadem pro kybernetickou a informační bezpečnost
(dále jen "Úřad") podle § 22a; pro účely plnění informační povinnosti podle příslušného
předpisu Evropské unie8) se za provozovatele základní služby považují též orgány
a osoby uvedené v § 3 písm. c) a d),
l) digitální službou služba informační společnosti podle zákona upravujícího
některé služby informační společnosti9), která spočívá v provozování
1. on-line tržiště,
které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem10)
kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové
stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který
využívá službu poskytovanou on-line tržištěm,
2. internetového vyhledávače, který
umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na
základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo
jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související
s požadovaným obsahem, nebo
3. cloud computingu, který umožňuje přístup k rozšířitelnému
a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet, a
m) příslušným orgánem orgán vykonávající působnost v oblasti kybernetické
bezpečnosti.
7) § 2 písm. h) zákona č. 127/2005 Sb., ve znění pozdějších předpisů.
8) Čl. 5 odst. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148.
9) § 2 písm. a) zákona č. 480/2004 Sb., o některých službách informační
společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).
10) § 2 odst. 1 písm. a) a b) zákona č. 634/1992 Sb., o ochraně spotřebitele,
ve znění pozdějších předpisů.
§ 419 a 420 zákona č. 89/2012 Sb., občanský zákoník.".
6. V § 3 se na konci písmene d) slovo "a" nahrazuje čárkou.
7. V § 3 se na konci písmene e) tečka nahrazuje čárkou a doplňují se písmena
f) až h), která znějí:
"f) správce a provozovatel informačního systému základní služby, pokud
nejsou správcem nebo provozovatelem podle písmene c) nebo d),
g) provozovatel základní služby, pokud není správcem nebo provozovatelem
podle písmene f), a
h) poskytovatel digitální služby.".
8. Za § 3 se vkládá nový § 3a, který včetně nadpisu zní:
"§ 3a
Zástupce poskytovatele digitálních služeb
(1) Poskytovatel digitální služby, který poskytuje tuto službu v České
republice, nemá sídlo v Evropské unii a neustavil si svého zástupce v jiném členském
státě Evropské unie (dále jen "jiný členský stát"), je povinen ustavit si svého zástupce
v České republice. Zástupcem poskytovatele digitální služby je osoba, která je usazená
v České republice a která je poskytovatelem digitální služby na základě plné moci
zmocněná jej zastupovat ve vztahu k povinnostem podle tohoto zákona.
(2) V případě, že poskytovatel digitální služby má sídlo mimo Evropskou
unii a ustavil si svého zástupce v České republice, má se za to, že je usazen v České
republice a vztahují se na něj povinnosti podle tohoto zákona.
(3) V případě, že je poskytovatel digitální služby usazen v České republice
nebo zde má ustaveného zástupce, ale jím využívané sítě elektronických komunikací
a informační systémy se nacházejí v jiném členském státu, Úřad při výkonu státní
správy spolupracuje s příslušným orgánem dotčeného členského státu.".
9. § 4 zní:
"§ 4
(1) Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je
zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti
služeb a sítí elektronických komunikací1) v kybernetickém prostoru.
(2) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zavést a
provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti
informačního systému kritické informační infrastruktury, komunikačního systému kritické
informační infrastruktury, informačního systému základní služby a významného informačního
systému a vést o nich bezpečnostní dokumentaci.
(3) Poskytovatel digitální služby je povinen zavést a provádět vhodná
a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační
systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní
opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních
incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s
mezinárodními předpisy.
(4) Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny zohlednit
požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich
informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s
dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření
podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze
považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské
soutěži.
(5) Orgány a osoby uvedené v § 3 písm. c) až g), které jsou orgány
veřejné moci, jsou povinny si ve smlouvě s poskytovatelem služeb cloud computingu
zejména zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb
cloud computingu stanovená Úřadem, a že budou mít na základě své žádosti bez zbytečného
odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu
uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase. Dalšími
nezbytnými náležitostmi smlouvy jsou
a) zakotvení povinnosti poskytovatele služeb respektovat bezpečnostní
politiku odběratele služeb,
b) stanovení úrovně poskytovaných služeb,
c) systém schvalování subdodavatelů služby cloud computingu,
d) podmínky ukončení smluvního vztahu z pohledu bezpečnosti,
e) řízení kontinuity činností v souvislosti s poskytovanou službou
cloud computingu,
f) určení vlastníka uchovávaných dat,
g) dohoda o důvěrnosti smluvního vztahu,
h) stanovení úrovně ochrany dat z pohledu důvěrnosti, dostupnosti
a integrity,
i) pravidla zákaznického auditu,
j) stanovení povinnosti poskytovatele služeb informovat odběratele
o kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy.
(6) Poskytovatel služby cloud computingu a orgány a osoby uvedené v §
3 písm. c) až g), které jsou orgány veřejné moci, si ve smlouvě dále dohodnou způsob
a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel.
(7) Zohlednění požadavků vyplývajících z bezpečnostních pravidel, bezpečnostních
opatření a dalších podmínek sjednaných ve smlouvě podle odstavce 5, které jsou nezbytné
pro splnění povinností podle tohoto zákona, nelze považovat za nezákonné omezení
hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.".
10. Za § 4 se vkládá nový § 4a, který zní:
"§ 4a
(1) Orgány a osoby, které se staly správci informačních nebo komunikačních
systémů kritické informační infrastruktury nebo správci významných informačních systémů,
a nejsou provozovateli tohoto systému, jsou povinny neprodleně a prokazatelně informovat
provozovatele systému o této skutečnosti a o tom, že se tento provozovatel stal orgánem
nebo osobou podle § 3 písm. c), d) nebo e).
(2) Orgány a osoby, které se staly správci nebo provozovateli informačních
nebo komunikačních systémů kritické informační infrastruktury, jsou povinny neprodleně
a prokazatelně informovat subjekt zajišťující síť elektronických komunikací, ke které
je jejich předmětný informační nebo komunikační systém kritické informační infrastruktury
připojen, o této skutečnosti a o tom, že se tento subjekt stal orgánem nebo osobou
podle § 3 písm. b).
(3) Orgány a osoby, které byly podle § 22a určené provozovateli základní
služby a nejsou zároveň správci nebo provozovateli svých informačních systémů základní
služby, jsou povinny správce nebo provozovatele tohoto informačního systému základní
služby neprodleně a prokazatelně informovat o svém určení a o tom, že se dotčený
správce nebo provozovatel stal orgánem nebo osobou podle § 3 písm. f).".
11. § 6 zní:
"§ 6
Prováděcí právní předpis stanoví
a) obsah bezpečnostních opatření,
b) obsah a strukturu bezpečnostní dokumentace,
c) rozsah bezpečnostních opatření pro orgány a osoby uvedené v §
3 písm. c) až f),
d) významné informační systémy a jejich určující kritéria,
e) obsah a rozsah bezpečnostních pravidel pro orgány veřejné moci
využívající služby poskytovatelů cloud computingu.".
12. V § 6a se na konci odstavce 3 doplňuje věta "Způsob likvidace dat,
provozních údajů, informací a jejich kopií stanoví prováděcí právní předpis.".
13. V § 7 odst. 3 se slova "§ 3 písm. b) až e)" nahrazují slovy "§ 3 písm.
b) až f)" a za slova "komunikačním systému kritické informační infrastruktury" se
vkládají slova " , informačním systému základní služby".
14. V § 8 odstavec 1 včetně poznámky pod čarou č. 11 zní:
"(1) Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny hlásit kybernetické
bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační
infrastruktury, komunikačním systému kritické informační infrastruktury, informačním
systému základní služby nebo významném informačním systému, a to bezodkladně po jejich
detekci; tím není dotčena informační povinnost podle jiného právního předpisu3) nebo
přímo použitelného předpisu Evropské unie upravujícího ochranu osobních údajů11).
V případě, že kybernetický bezpečnostní incident má významný dopad na kontinuitu
poskytování základní služby, oznámí to provozovatel základní služby Úřadu.
11) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna
2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních
údajů).".
15. V § 8 se za odstavec 1 vkládá nový odstavec 2, který zní:
"(2) Poskytovatel digitální služby je povinen bez zbytečného odkladu hlásit
kybernetický bezpečnostní incident s významným dopadem na poskytování jeho služeb,
pokud má přístup k informacím nezbytným pro posouzení významnosti tohoto dopadu.".
Dosavadní odstavce 2 až 5 se označují jako odstavce 3 až 6.
16. V § 8 odst. 3 se text "§ 3 písm. b)" nahrazuje slovy "§ 3 písm. b)
a h)".
17. V § 8 odst. 4 se slova "§ 3 písm. c) až e)" nahrazují slovy "§ 3 písm.
c) až g)" a slova "Národnímu bezpečnostnímu úřadu (dále jen "Úřad")" se nahrazují
slovem "Úřadu".
18. V § 8 se za odstavec 5 vkládá nový odstavec 6, který zní:
"(6) Orgány a osoby neuvedené v § 3 mohou hlásit kybernetické bezpečnostní
incidenty provozovateli národního CERT, nebo Úřadu.".
Dosavadní odstavec 6 se označuje jako odstavec 7.
19. V § 8 odst. 7 písmeno a) zní:
"a) typy, kategorie a hodnocení významnosti dopadu kybernetického bezpečnostního
incidentu a".
20. V § 8 se doplňuje odstavec 8, který zní:
"(8) Pokud má kybernetický bezpečnostní incident, který postihnul poskytovatele
digitální služby, významný dopad na kontinuitu poskytování základní služby, je její
provozovatel povinen tuto skutečnost Úřadu nahlásit.".
21. V § 9 se na konci textu odstavce 2 doplňují slova "a l)".
22. Za § 10 se vkládá nový § 10a, který zní:
"§ 10a
Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické
bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace,
které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán
nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů
upravujících svobodný přístup k informacím neposkytují.".
23. V § 11 odst. 3 písm. b) a v § 11 odst. 4 se slova "§ 3 písm. c) až
e)" nahrazují slovy "§ 3 písm. c) až f)".
24. V § 12 se doplňuje odstavec 3, který zní:
"(3) Úřad je z důvodu ochrany vnitřního pořádku a bezpečnosti, ochrany
života a zdraví osob nebo ochrany ekonomiky státu oprávněn po konzultaci s orgánem
nebo osobou uvedenými v § 3 písm. c), d), f), g) nebo h), které jsou dotčeny kybernetickým
bezpečnostním incidentem, veřejnost o tomto incidentu informovat nebo dotčenému orgánu
nebo osobě uložit, aby tak učinil sám.".
25. V § 13 odst. 4 se za text "§ 3" vkládají slova "písm. a) až f)".
26. § 14 zní:
"§ 14
Úřad za účelem zvýšení ochrany informačních systémů nebo služeb a sítí
elektronických komunikací1) a na základě analýzy již vyřešeného kybernetického bezpečnostního
incidentu jako ochranné opatření vydá opatření obecné povahy, ve kterém orgánům a
osobám uvedeným v § 3 písm. c) až f) stanoví způsob zvýšení ochrany informačních
systémů nebo služeb a sítí elektronických komunikací1) a přiměřenou lhůtu k jeho
provedení.".
27. V § 16 odst. 2 písm. a) se slova "§ 3 písm. a) a b)" nahrazují slovy
"§ 3 písm. a), b) a h)".
28. V § 16 odst. 2 písm. b) a v § 16 odst. 3 se slova "§ 3 písm. c) až
e)" nahrazují slovy "§ 3 písm. c) až g)".
29. V § 16 se za odstavec 5 vkládá nový odstavec 6, který zní:
"(6) Úřad je dále oprávněn si pro účely kontroly vyžádat od provozovatele
národního CERT kontaktní údaje orgánů a osob uvedených v § 3 písm. h).".
Dosavadní odstavec 6 se označuje jako odstavec 7.
30. V § 17 odst. 2 písm. a), d) a e) se slova "§ 3 písm. a) a b)" nahrazují
slovy "§ 3 písm. a), b) a h)".
31. V § 17 odst. 2 písm. b) a c) se text "§ 3 písm. b)" nahrazuje slovy
"§ 3 písm. b) a h)".
32. V § 17 odst. 2 písm. g) se za slovo "incidentech" vkládají slova "ohlášených
podle § 8 odst. 3," a slova "kybernetického bezpečnostního incidentu a" se nahrazují
čárkou.
33. V § 17 odst. 2 písmeno h) zní:
"h) předává Úřadu na vyžádání údaje podle § 16 odst. 5 a 6,".
34. V § 17 se na konci odstavce 2 doplňují písmena i) až l), která včetně
poznámky pod čarou č. 12 znějí:
"i) plní roli týmu CSIRT podle příslušného předpisu Evropské unie12),
j) informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán
jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem
na kontinuitu poskytování základní nebo digitální služby v tomto členském státě a
zároveň o tom informuje Úřad, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele,
k) spolupracuje s týmy CSIRT jiných členských států a
l) přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů
a osob neuvedených v § 3, a pokud to jeho kapacity umožňují, zpracovává je a poskytuje
orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu,
pomoc a součinnost.
12) Čl. 9 směrnice Evropského parlamentu a Rady (EU) 2016/1148.".
35. V § 18 odst. 5 se slova "podle § 17 odst. 2 písm. a), b), c), e), g)
a h)" nahrazují slovy "podle § 17 odst. 2 písm. a) až c), e) a g) až l)".
36. V § 18 se na konci odstavce 5 doplňuje věta "Provozovatel národního
CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v § 17 odst.
2 nezbytné náklady.".
37. V § 20 písm. a), b), d) a e) se slova "§ 3 písm. c) až e)" nahrazují
slovy "§ 3 písm. c) až g)".
38. V § 20 písm. c) se slova "infrastruktury, z" nahrazují slovy "infrastruktury,
informačního systému základní služby,".
39. V § 20 se na konci písmene i) slovo "a" nahrazuje čárkou.
40. V § 20 se na konci písmene j) tečka nahrazuje čárkou a doplňují se
písmena k) až n), která znějí:
"k) informuje bez uvedení identifikačních údajů ohlašovatele příslušný
orgán jiného členského státu o kybernetickém bezpečnostním incidentu, který má významný
dopad na kontinuitu poskytování základních služeb v tomto členském státě nebo se
dotýká poskytování digitálních služeb v tomto členském státě, přičemž zachovává bezpečnost
a obchodní zájmy ohlašovatele,
l) přijímá hlášení o kybernetickém bezpečnostním incidentu od orgánů a
osob neuvedených v § 3; vládní CERT hlášení zpracovává, a pokud to jeho kapacity
umožňují a jedná se o kybernetický bezpečnostní incident s významným dopadem, poskytuje
orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu,
pomoc a součinnost,
m) plní roli týmu CSIRT podle příslušného předpisu Evropské unie12) a
n) spolupracuje s týmy CSIRT jiných členských států.".
41. V § 21 odst. 1 se slova "bezpečnost a integrita služeb nebo sítí elektronických
komunikací1)" nahrazují slovy "bezpečnost služeb elektronických komunikací anebo
bezpečnost a integrita sítí elektronických komunikací1)".
42. Na začátku hlavy IV se vkládá nový § 21a, který včetně skupinového
nadpisu zní:
"Úřad
§ 21a
(1) Zřizuje se Úřad se sídlem v Brně jako ústřední správní úřad pro
oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací
podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Příjmy
a výdaje Úřadu tvoří samostatnou kapitolu státního rozpočtu.
(2) V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru
Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává.
(3) Ředitel Úřadu je odpovědný předsedovi vlády nebo pověřenému členovi
vlády.".
43. § 22 včetně poznámek pod čarou č. 13 a 14 zní:
"§ 22
Úřad
a) stanoví bezpečnostní opatření,
b) vydává opatření,
c) plní stanovené úkoly ve vybraných oblastech ochrany utajovaných
informací,
d) vede evidence podle tohoto zákona a podle zákona o ochraně utajovaných
informací,
e) ukládá správní tresty za nedodržení povinností stanovených tímto
zákonem a zákonem o ochraně utajovaných informací a o bezpečnostní způsobilosti,
f) působí jako koordinační orgán ve stavu kybernetického nebezpečí,
g) spolupracuje s orgány a osobami, které působí v oblasti kybernetické
bezpečnosti a kybernetické obrany, zejména s veřejnoprávními korporacemi, výzkumnými
a vývojovými pracovišti a s ostatními pracovišti typu CERT, a s orgány a osobami,
které působí ve vybraných oblastech ochrany utajovaných informací,
h) zajišťuje mezinárodní spolupráci v oblasti kybernetické bezpečnosti
a ve vybraných oblastech ochrany utajovaných informací,
i) sjednává a uzavírá smlouvy o mezinárodní spolupráci v oblasti
kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací,
j) zajišťuje prevenci, vzdělávání a metodickou podporu v oblasti
kybernetické bezpečnosti a ve vybraných oblastech ochrany utajovaných informací,
k) zajišťuje výzkum a vývoj v oblasti kybernetické bezpečnosti a
ve vybraných oblastech ochrany utajovaných informací,
l) uzavírá veřejnoprávní smlouvu s provozovatelem národního CERT,
m) zasílá podle krizového zákona Ministerstvu vnitra návrh prvků
kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické
bezpečnosti, jejichž provozovatelem je organizační složka státu,
n) určuje podle krizového zákona prvky kritické infrastruktury v
odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, pokud
nejde o prvky uvedené v písmeni m),
o) ověřuje každé 2 roky aktuálnost určení prvků kritické infrastruktury
podle písmen m) a n),
p) určuje provozovatele základní služby a informační systém základní
služby,
q) zpracovává a vládě ke schválení předkládá národní strategii kybernetické
bezpečnosti13) a akční plán k jejímu naplňování a tuto strategii aktualizuje nejméně
každých 5 let,
r) je jednotným kontaktním místem pro zajištění přeshraniční spolupráce
v oblasti kybernetické bezpečnosti v rámci Evropské unie,
s) je příslušným orgánem v České republice a plní informační povinnosti
vůči Evropské komisi a skupině pro spolupráci podle příslušného předpisu Evropské
unie14),
t) informuje veřejnost o kybernetickém bezpečnostním incidentu podle
§ 12 odst. 3,
u) provádí analýzu a monitoring kybernetických hrozeb a rizik,
v) vykonává působnost v oblasti veřejné regulované služby Evropského
programu družicové navigace Galileo,
w) vydává Věstník Úřadu, který zveřejňuje na svých internetových
stránkách,
x) plní další úkoly v oblasti kybernetické bezpečnosti stanovené
tímto zákonem a ve vybraných oblastech ochrany utajovaných informací podle zákona
o ochraně utajovaných informací a o bezpečnostní způsobilosti.
13) Čl. 7 směrnice Evropského parlamentu a Rady (EU) 2016/1148.
14) Například čl. 5 odst. 3, čl. 7 odst. 3 a čl. 8 směrnice Evropského
parlamentu a Rady (EU) 2016/1148.".
44. Za § 22 se vkládají nové § 22a a 22b, které včetně nadpisu znějí:
"§ 22a
Určení provozovatele základní služby a informačního systému základní
služby
(1) Úřad rozhodnutím určí provozovatele základní služby a informační
systém základní služby, pokud naplní odvětvová a dopadová kritéria, která zohledňují
významnost
a) služeb poskytovaných v jednotlivých odvětvích uvedených v § 2
písm. i) a
b) dopad kybernetického bezpečnostního incidentu zejména na
1.
rozsah a kvalitu poskytování základní služby uživatelům, kteří jsou na ní závislí,
2.
ekonomické a společenské činnosti a veřejnou bezpečnost,
3. vzájemnou závislost odvětví
uvedených v § 2 písm. i).
Dopadová a odvětvová kritéria pro určení provozovatele základní služby
a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských
nebo ekonomických činností stanoví prováděcí právní předpis.
(2) V případě, že Úřad zjistí, že orgán nebo osoba, které hodlá určit
podle odstavce 1 jako provozovatele základní služby, poskytují danou službu i v jiném
členském státě, provede před rozhodnutím ve věci konzultaci s příslušným orgánem
dotčeného členského státu.
(3) Proti rozhodnutí Úřadu o určení provozovatele základní služby a informačního
systému základní služby není rozklad přípustný.
(4) Úřad ověřuje nejméně každé 2 roky ode dne vydání rozhodnutí o určení
provozovatele základní služby, zda jsou splněny podmínky pro určení provozovatele
základní služby a informačního systému základní služby.
§ 22b
(1) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona
ze základního registru obyvatel referenční údaje, kterými jsou
a) příjmení,
b) jméno, popřípadě jména,
c) adresa místa pobytu,
d) datum, místo a okres narození; u subjektu údajů, který se narodil
v cizině, datum, místo a stát, kde se narodil,
e) datum, místo a okres úmrtí; jde-li o úmrtí subjektu údajů mimo
území České republiky, datum úmrtí, místo a stát, na jehož území k úmrtí došlo,
f) státní občanství, popřípadě více státních občanství,
g) záznam o zřízení datové schránky a identifikátor datové schránky,
je-li tato datová schránka zpřístupněna.
(2) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona
z agendového informačního systému evidence obyvatel o státních občanech České republiky
údaje, kterými jsou
a) jméno, popřípadě jména, příjmení, včetně předchozích příjmení,
rodné příjmení,
b) rodné číslo, pokud není přiděleno, datum narození,
c) adresa místa trvalého pobytu, včetně předchozích adres místa trvalého
pobytu, popřípadě adresa, na kterou mají být doručovány písemnosti podle jiného právního
předpisu,
d) omezení svéprávnosti, jméno, popřípadě jména, příjmení a rodné
číslo opatrovníka; nebylo-li opatrovníkovi rodné číslo přiděleno, datum, místo a
okres narození; je-li opatrovníkem ustanoven orgán místní správy, název a adresa
sídla,
e) datum, místo a okres úmrtí; jde-li o úmrtí občana mimo území České
republiky, datum úmrtí, místo a stát, na jehož území k úmrtí došlo,
f) den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden
jako den smrti, popřípadě jako den, který občan prohlášený za mrtvého nepřežil.
Údaje, které jsou vedeny jako referenční údaje v základním registru
obyvatel, se využijí z agendového informačního systému evidence obyvatel, pouze pokud
jsou ve tvaru předcházejícím současný stav.
(3) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona
z informačního systému cizinců o cizincích údaje, kterými jsou
a) jméno, popřípadě jména, příjmení, rodné příjmení,
b) datum narození,
c) rodné číslo,
d) státní občanství, popřípadě více státních občanství,
e) druh a adresa místa pobytu,
f) číslo a platnost oprávnění k pobytu,
g) omezení svéprávnosti,
h) datum, místo a okres úmrtí; jde-li o úmrtí mimo území České republiky,
stát, na jehož území k úmrtí došlo, popřípadě datum úmrtí,
i) den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden
jako den smrti, popřípadě jako den, který cizinec prohlášený za mrtvého nepřežil.
Údaje, které jsou vedeny jako referenční údaje v základním registru
obyvatel, se využijí z informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím
současný stav.
(4) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona
z registru rodných čísel o fyzických osobách, kterým bylo přiděleno rodné číslo,
avšak nejsou vedeny v agendovém informačním systému evidence obyvatel, údaje, kterými
jsou
a) jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b) rodné číslo,
c) v případě změny rodného čísla původní rodné číslo,
d) den, měsíc a rok narození,
e) místo a okres narození; u fyzické osoby narozené v cizině stát,
na jehož území se narodila.
(5) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona
ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné
moci údaje, kterými jsou
a) obchodní firma nebo název právnické osoby nebo jméno, popřípadě
jména, a příjmení podnikající fyzické osoby,
b) datum vzniku nebo datum zápisu do evidence podle zvláštních právních
předpisů,
c) datum zániku nebo datum výmazu z evidence podle zvláštních právních
předpisů,
d) právní forma,
e) záznam o zřízení datové schránky a identifikátor datové schránky,
je-li tato datová schránka zpřístupněna,
f) statutární orgán vyjádřený referenční vazbou na registr obyvatel
anebo na registr osob nebo údajem o jménu, popřípadě jménech, příjmení a bydlišti
u zahraniční fyzické osoby,
g) právní stav,
h) adresa sídla právnické osoby nebo adresa místa podnikání fyzické
osoby ve formě referenční vazby (kódu adresního místa) na referenční údaj o adrese
v registru územní identifikace.
(6) K údajům podle odstavců 2 až 5 vedeným v agendových informačních
systémech jsou Úřadu poskytovány i jejich předchozí změny.
(7) Z poskytovaných údajů lze v konkrétním případě použít vždy jen takové
údaje, které jsou nezbytné ke splnění daného úkolu.".
45. § 23 včetně nadpisu zní:
"§ 23
Kontrola
(1) Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu
kontroly Úřad zjišťuje, jak orgány a osoby uvedené v § 3 písm. a) až g) plní povinnosti
stanovené tímto zákonem a rozhodnutími a opatřeními obecné povahy vydanými Úřadem
podle tohoto zákona, a dodržují prováděcí právní předpisy v oblasti kybernetické
bezpečnosti. Je-li důvodné podezření, že poskytovatel digitální služby neplní povinnosti
stanovené tímto zákonem, provede u něj Úřad kontrolu.
(2) Při výkonu kontroly se postupuje přiměřeně podle kontrolního řádu.
(3) Kontrolu vykonávají pověření zaměstnanci Úřadu.".
46. V § 24 odst. 2 se za slova "komunikační systém kritické informační
infrastruktury" vkládají slova " , informační systém základní služby".
47. Za § 24 se vkládají nové § 24a až 24c, které včetně nadpisu a poznámky
pod čarou č. 15 znějí:
"Kontrola činnosti Úřadu
§ 24a
(1) Kontrolu činnosti Úřadu vykonává Poslanecká sněmovna, která k tomuto
účelu zřizuje zvláštní kontrolní orgán (dále jen "kontrolní orgán").
(2) Kontrolní orgán se skládá ze 7 členů. Členem kontrolního orgánu
může být pouze poslanec Poslanecké sněmovny.
(3) Pokud tento zákon nestanoví jinak, vztahuje se na jednání kontrolního
orgánu a na práva a povinnosti jeho členů přiměřeně jiný právní předpis15).
(4) Členové kontrolního orgánu mohou vstupovat v doprovodu ředitele
Úřadu nebo jím pověřeného zaměstnance do objektů Úřadu.
(5) Ředitel Úřadu předkládá kontrolnímu orgánu
a) zprávu o činnosti Úřadu,
b) návrh rozpočtu Úřadu,
c) podklady potřebné ke kontrole plnění rozpočtu Úřadu,
d) vnitřní předpisy Úřadu,
e) na vyžádání zprávu o jednotlivých kybernetických bezpečnostních
incidentech z kritické informační infrastruktury, významných informačních systémů
a informačních systémů základní služby.
§ 24b
(1) Má-li kontrolní orgán za to, že činnost Úřadu nezákonně omezuje
nebo poškozuje práva a svobody občanů nebo že rozhodovací činnost Úřadu v rámci správního
řízení je stižena vadami, je oprávněn požadovat od ředitele Úřadu potřebné vysvětlení.
(2) Každé porušení zákona zaměstnancem Úřadu při plnění povinností
podle tohoto zákona a ve vybraných oblastech podle zákona o ochraně utajovaných informací
a o bezpečnostní způsobilosti, které kontrolní orgán zjistí při své činnosti, je
povinen oznámit řediteli Úřadu a předsedovi vlády.
15) Zákon č. 90/1995 Sb., o jednacím řádu Poslanecké sněmovny, ve znění
pozdějších předpisů.".
48. V § 25 odst. 1 úvodní části ustanovení se slova "Právnická osoba nebo
podnikající fyzická osoba uvedené v § 3 písm. a) nebo b)" nahrazují slovy "Poskytovatel
služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací
nebo orgán nebo osoba zajišťující významnou síť".
49. V § 25 odst. 2 úvodní části ustanovení se slova "Právnická osoba nebo
podnikající fyzická osoba uvedené v § 3 písm. c) až e)" nahrazují slovy "Správce
nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury
nebo správce nebo provozovatel významného informačního systému".
50. V § 25 odst. 2 písm. b) se číslo "3" nahrazuje číslem "4".
51. V § 25 se za odstavec 2 vkládají nové odstavce 3 až 11, které znějí:
"(3) Správce informačního nebo komunikačního systému kritické informační
infrastruktury nebo významného informačního systému se dopustí přestupku tím, že
neinformuje provozovatele systému podle § 4a odst. 1.
(4) Správce nebo provozovatel informačního nebo komunikačního systému kritické
informační infrastruktury se dopustí přestupku tím, že neinformuje subjekt zajišťující
síť elektronických komunikací podle § 4a odst. 2.
(5) Provozovatel informačního nebo komunikačního systému kritické informační
infrastruktury se dopustí přestupku tím, že
a) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst.
1,
b) nepředá data, provozní údaje a informace podle § 6a odst. 2,
c) nepředá data, provozní údaje a informace podle § 6a odst. 3,
d) nezničí kopie dat, provozních údajů a informací podle § 6a odst.
3, nebo
e) neumožní správci dohled nad průběhem zničení dat, provozních údajů
a informací podle § 6a odst. 3.
(6) Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím,
že neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3.
(7) Správce a provozovatel informačního systému základní služby se
dopustí přestupku tím, že
a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření
nebo nevede bezpečnostní dokumentaci,
b) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a
4,
c) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12
odst. 3,
d) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst.
2 písm. b), nebo
f) nesplní některou z povinností uloženou nápravným opatřením podle
§ 24.
(8) Správce nebo provozovatel informačního nebo komunikačního systému kritické
informační infrastruktury, správce nebo provozovatel významného informačního systému,
správce nebo provozovatel informačního systému základní služby a provozovatel základní
služby, kteří jsou orgánem veřejné moci, se dopustí přestupku tím, že uzavřou smlouvu
s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 5.
(9) Správce nebo provozovatel informačního nebo komunikačního systému kritické
informační infrastruktury se dopustí přestupku tím, že nesplní povinnost informovat
veřejnost uloženou Úřadem podle § 12 odst. 3.
(10) Provozovatel základní služby se dopustí přestupku tím, že
a) neinformuje správce nebo provozovatele informačního systému základní
služby podle § 4a odst. 3,
b) nenahlásí významný dopad na kontinuitu poskytování základní služby
podle § 8 odst. 1 a 4,
c) nenahlásí významný dopad na kontinuitu poskytování základní služby
způsobený kybernetickým bezpečnostním incidentem podle § 8 odst. 8,
d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12
odst. 3, nebo
e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst.
2 písm. b).
(11) Poskytovatel digitální služby se dopustí přestupku tím, že
a) neustaví svého zástupce podle § 3a odst. 1,
b) v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření,
c) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a
3,
d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12
odst. 3, nebo
e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm.
a).".
Dosavadní odstavec 3 se označuje jako odstavec 12.
52. V § 25 odstavec 12 zní:
"(12) Za přestupek lze uložit pokutu do
a) 5 000 000 Kč, jde-li o přestupek podle odstavce 2 písm. a), odstavce
7 písm. a) nebo odstavce 11 písm. b),
b) 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a) nebo
b), odstavce 2 písm. b), c) nebo e), odstavce 3, odstavce 4, odstavce 5 písm. a),
c) nebo d), odstavce 6, odstavce 7 písm. b) až d) nebo f), odstavce 8, odstavce 9,
odstavce 10 písm. a) až d) nebo odstavce 11 písm. a), c) nebo d),
c) 200 000 Kč, jde-li o přestupek podle odstavce 5 písm. b) nebo e),
d) 10 000 Kč, jde-li o přestupek podle odstavce 2 písm. d), odstavce
7 písm. e), odstavce 10 písm. e) nebo odstavce 11 písm. e).".
53. V § 26 odst. 2 se slova "se uloží pokuta" nahrazují slovy "lze uložit
pokutu".
54. V § 28 odst. 2 písmena a) a b) znějí:
"a) obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření
a rozsah bezpečnostních opatření podle § 6 písm. a) až c) a obsah a rozsah bezpečnostních
pravidel podle § 6 písm. e),
b) typy, kategorie a hodnocení významnosti kybernetických bezpečnostních
incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu
podle § 8 odst. 7,".
55. V § 28 odst. 2 se na konci písmene c) slovo "a" nahrazuje čárkou.
56. V § 28 odst. 2 písm. d) se text "odst. 6." nahrazuje textem "odst.
7," a na konci odstavce 2 se doplňují písmena e) a f), která znějí:
"e) dopadová a odvětvová kritéria pro určení provozovatele základní služby
a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských
nebo ekonomických činností podle § 22a odst. 1,
f) způsob likvidace dat, provozních údajů, informací a jejich kopií.".
57. V § 30 písm. b) a v § 31 písm. b) se číslo "3" nahrazuje číslem "4".
58. V § 33 odst. 2 se za slovo "republiky" vkládají slova "a Generální
inspekce bezpečnostních sborů".
59. V § 33 se doplňují odstavce 3 a 4, které včetně poznámky pod čarou
č. 16 znějí:
"(3) Tento zákon se vztahuje pouze na poskytovatele digitální služby, který
je právnickou osobou a není mikropodnikem nebo malým podnikem16).
(4) Tento zákon se nevztahuje na poskytovatele digitální služby, který
má sídlo v jiném členském státě.
16) Příloha doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici
mikropodniků a malých a středních podniků.".
60. Části druhá a čtvrtá se včetně nadpisů zrušují.
Čl.II
Přechodná ustanovení
1. Úřad určí provozovatele základní služby a informační systém základní služby
podle § 22a odst. 1 zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti
tohoto zákona, do 9. listopadu 2018.
2. Orgány a osoby uvedené v § 3 písm. f) zákona č. 181/2014 Sb., ve znění
účinném ode dne nabytí účinnosti tohoto zákona,
a) oznámí Úřadu do 30 dnů ode dne, kdy byly informovány podle § 4a odst.
3 zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona,
kontaktní údaje podle § 16 odst. 1 zákona č. 181/2014 Sb., ve znění účinném ke dni
nabytí účinnosti tohoto zákona, a
b) začnou nejpozději do 1 roku ode dne, kdy byly informovány podle §
4a odst. 3 zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí účinnosti tohoto
zákona, plnit ostatní povinnosti podle zákona č. 181/2014 Sb., ve znění účinném ode
dne nabytí účinnosti tohoto zákona.
3. Poskytovatel digitální služby
a) oznámí Úřadu nejpozději do 30 dnů ode dne nabytí účinnosti tohoto
zákona kontaktní údaje podle § 16 odst. 1 zákona č. 181/2014 Sb., ve znění účinném
ke dni nabytí účinnosti tohoto zákona, a
b) začne nejpozději do 1 roku ode dne nabytí účinnosti tohoto zákona
plnit ostatní povinnosti podle zákona č. 181/2014 Sb., ve znění účinném ode dne nabytí
účinnosti tohoto zákona.
4. Orgány a osoby uvedené v § 3 písm. c) až f) jsou povinny, v případě, že
podmínky jejich smluvního vztahu uzavřeného s dodavatelem pro jejich informační nebo
komunikační systém nesplňují požadavky podle zákona č. 181/2014 Sb., ve znění účinném
ode dne nabytí účinnosti tohoto zákona, a jeho prováděcích právních předpisů, uvést
smluvní vztah do souladu s těmito požadavky do 1 roku ode dne nabytí účinnosti tohoto
zákona.
5. Řízení o správních deliktech a přestupcích podle zákona č. 181/2014 Sb.,
zahájená a nedokončená přede dnem nabytí účinnosti tohoto zákona dokončí Národní
úřad pro kybernetickou a informační bezpečnost. Národní bezpečnostní úřad předá Národnímu
úřadu pro kybernetickou a informační bezpečnost ke dni nabytí účinnosti tohoto zákona
veškeré doklady a údaje týkající se nedokončených řízení a o předání sepíše s Národním
úřadem pro kybernetickou a informační bezpečnost protokol.
6. Výkon práv a povinností ze smlouvy uzavřené podle § 19 odst. 1 zákona
č. 181/2014 Sb., přechází ke dni nabytí účinnosti tohoto zákona z Národního bezpečnostního
úřadu na Národní úřad pro kybernetickou a informační bezpečnost.
7. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační
bezpečnost do 6 měsíců ode dne nabytí účinnosti tohoto zákona veškeré doklady a údaje
týkající se výkonu působnosti, která ke dni nabytí účinnosti tohoto zákona přechází
na Národní úřad pro kybernetickou a informační bezpečnost.
8. Výkon práv a povinností vyplývajících z pracovněprávních vztahů zaměstnanců
Národního bezpečnostního úřadu, kteří zajišťovali činnost Národního bezpečnostního
úřadu podle zákona č. 181/2014 Sb., ve znění účinném přede dnem nabytí účinnosti
tohoto zákona, která dnem nabytí účinnosti tohoto zákona přechází na Národní úřad
pro kybernetickou a informační bezpečnost, přechází dnem nabytí účinnosti tohoto
zákona na Národní úřad pro kybernetickou a informační bezpečnost.
9. Příslušnost k hospodaření s majetkem státu užívaným Národním bezpečnostním
úřadem přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou
a informační bezpečnost, pokud byl tento majetek využíván k zajišťování činnosti
Národního bezpečnostního úřadu podle zákona č. 181/2014 Sb., ve znění účinném přede
dnem nabytí účinnosti tohoto zákona, která přechází ke dni nabytí účinnosti tohoto
zákona na Národní úřad pro kybernetickou a informační bezpečnost.
10. Rozpočtované prostředky kapitoly 308 - Národní bezpečnostní úřad podle
zákona č. 457/2016 Sb., o státním rozpočtu České republiky na rok 2017, včetně nároků
nespotřebovaných výdajů za předcházející léta, které souvisí s výkonem působnosti
Národního bezpečnostního úřadu, která ke dni nabytí účinnosti tohoto zákona přechází
na Národní úřad pro kybernetickou a informační bezpečnost, se přesouvají ke dni nabytí
účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
ČÁST DRUHÁ
Změna zákona o svobodném přístupu k informacím
Čl.III
V § 11 odst. 4 zákona č. 106/1999 Sb., o svobodném přístupu k informacím,
ve znění zákona č. 159/2000 Sb., zákona č. 61/2006 Sb., zákona č. 254/2008 Sb., nálezu
Ústavního soudu, vyhlášeného pod č. 123/2010 Sb., zákona č. 181/2014 Sb., zákona
č. 301/2016 Sb. a zákona č. 368/2016 Sb., se písmeno f) zrušuje.
Dosavadní písmeno g) se označuje jako písmeno f).
ČÁST TŘETÍ
Změna zákona o zřízení ministerstev a jiných ústředních orgánů státní správy
České republiky
Čl.IV
V § 2 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů
státní správy České republiky, ve znění zákona č. 60/1988 Sb., zákona č. 288/1990
Sb., zákona č. 575/1990 Sb., zákona č. 173/1991 Sb., zákona č. 359/1992 Sb., zákona
č. 474/1992 Sb., zákona č. 21/1993 Sb., zákona č. 47/1994 Sb., zákona č. 89/1995
Sb., zákona č. 272/1996 Sb., zákona č. 15/1998 Sb., zákona č. 148/1998 Sb., zákona
č. 365/2000 Sb., zákona č. 458/2000 Sb., zákona č. 219/2002 Sb., zákona č. 517/2002
Sb., zákona č. 95/2005 Sb., zákona č. 57/2006 Sb., zákona č. 250/2014 Sb. a zákona
č. 319/2016 Sb., se na konci bodu 15 tečka nahrazuje čárkou a doplňuje se bod 16,
který zní:
"16. Národní úřad pro kybernetickou a informační bezpečnost.".
ČÁST ČTVRTÁ
Změna zákona, kterým se stanoví některé další předpoklady pro výkon některých
funkcí ve státních orgánech a organizacích
Čl.V
V § 1 odst. 2 zákona č. 451/1991 Sb., kterým se stanoví některé další předpoklady
pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské
Federativní Republiky, České republiky a Slovenské republiky, ve znění zákona č.
250/2014 Sb., se za slova "Národním bezpečnostním úřadu" vkládají slova " , Národním
úřadu pro kybernetickou a informační bezpečnost".
ČÁST PÁTÁ
Změna zákona o státní službě
Čl.VI
V § 2 odst. 2 zákona č. 234/2014 Sb., o státní službě, ve znění zákona
č. 131/2015 Sb., zákona č. 137/2016 Sb., zákona č. 190/2016 Sb., zákona č. 195/2016
Sb., zákona č. 302/2016 Sb., zákona č. 319/2016 Sb. a zákona č. 66/2017 Sb., se za
slova "Vojenském zpravodajství" vkládají slova " , Národním úřadu pro kybernetickou
a informační bezpečnost".
ČÁST ŠESTÁ
Změna zákona o informačních systémech veřejné správy
Čl.VII
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně
některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb.,
zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007
Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona
č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011
Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona
č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb. a zákona č. 104/2017
Sb., se mění takto:
1. V § 1 se na konci odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno
d), které zní:
"d) Národním úřadem pro kybernetickou a informační bezpečnost.".
2. V § 12 odst. 3 se slova "Národní bezpečnostní úřad" nahrazují slovy
"Národní úřad pro kybernetickou a informační bezpečnost".
ČÁST SEDMÁ
Změna zákona o inspekci práce
Čl.VIII
V § 6 odst. 2 zákona č. 251/2005 Sb., o inspekci práce, ve znění zákona
č. 264/2006 Sb., zákona č. 362/2007 Sb., zákona č. 341/2011 Sb., zákona č. 350/2011
Sb., zákona č. 365/2011 Sb., zákona č. 367/2011 Sb., zákona č. 64/2014 Sb. a zákona
č. 88/2016 Sb., se za slova "Úřadu pro zahraniční styky a informace" vkládají slova
" , Národního úřadu pro kybernetickou a informační bezpečnost".
ČÁST OSMÁ
Změna krizového zákona
Čl.IX
V § 33 odst. 4 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých
zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákona č. 430/2010 Sb. a
zákona č. 64/2014 Sb., se za slova "zpravodajských služeb" vkládají slova " , Národního
úřadu pro kybernetickou a informační bezpečnost" a za slova "zpravodajská služba"
se vkládají slova " , Národní úřad pro kybernetickou a informační bezpečnost".
ČÁST DESÁTÁ
Změna zákona o archivnictví a spisové službě a o změně některých zákonů
Čl.XI
V § 53 odst. 1 zákona č. 499/2004 Sb., o archivnictví a spisové službě
a o změně některých zákonů, ve znění zákona č. 413/2005 Sb., zákona č. 444/2005 Sb.,
zákona č. 190/2009 Sb. a zákona č. 167/2012 Sb., se za slova "Národní bezpečnostní
úřad" vkládají slova " , Národní úřad pro kybernetickou a informační bezpečnost".
ČÁST JEDENÁCTÁ
Změna zákona o Policii České republiky
Čl.XII
V § 78 odst. 1 zákona č. 273/2008 Sb., o Policii České republiky, ve znění
zákona č. 105/2013 Sb., zákona č. 273/2013 Sb. a zákona č. 303/2013 Sb., se za slova
"Národnímu bezpečnostnímu úřadu" vkládají slova " , Národnímu úřadu pro kybernetickou
a informační bezpečnost".
ČÁST DVANÁCTÁ
Změna zákona o zaměstnanosti
Čl.XIII
V § 138 zákona č. 435/2004 Sb., o zaměstnanosti, ve znění zákona č. 382/2005
Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 136/2014 Sb. a zákona
č. 250/2014 Sb., se za slova "Národního bezpečnostního úřadu" vkládají slova " ,
Národního úřadu pro kybernetickou a informační bezpečnost".
ČÁST TŘINÁCTÁ
Změna zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti
Čl.XIV
Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti,
ve znění zákona č. 119/2007 Sb., zákona č. 177/2007 Sb., zákona č. 296/2007 Sb.,
zákona č. 32/2008 Sb., zákona č. 124/2008 Sb., zákona č. 126/2008 Sb., zákona č.
250/2008 Sb., zákona č. 41/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb.,
zákona č. 255/2011 Sb., zákona č. 420/2011 Sb., zákona č. 458/2011 Sb., zákona č.
167/2012 Sb., zákona č. 303/2013 Sb., zákona č. 181/2014 Sb., zákona č. 250/2014
Sb., zákona č. 204/2015 Sb., zákona č. 375/2015 Sb., zákona č. 135/2016 Sb. a zákona
č. 298/2016 Sb., se mění takto:
1. Na začátku hlavy VI se vkládá nový § 33a, který zní:
2. V § 34 odst. 2, § 35 odst. 2, § 37 odst. 2 a 4, § 45 odst. 2, § 46 odst.
17, § 69 odst. 1 písm. e), g) a i) a § 153 odst. 1 písm. s), t) a v) se slovo "Úřadem"
nahrazuje slovy "Národním úřadem pro kybernetickou a informační bezpečnost".
3. V § 34 odst. 5, § 43 odst. 2, § 43a odst. 2, § 45 odst. 5, § 46 odst.
17, § 48 odst. 5, § 49 odst. 6, § 50 odst. 5, § 51 odst. 5 a § 67 odst. 1 písm. d)
se slovo "Úřadu" nahrazuje slovy "Národnímu úřadu pro kybernetickou a informační
bezpečnost".
4. V § 35 odst. 2, § 39 odst. 1 a 2, § 42 odst. 2, § 45 odst. 6, § 46 odst.
5 písm. d) a odst. 18, § 48 odst. 1 a 2, odst. 4 písm. d) a odst. 6, § 49 odst. 1
a 3 a odst. 5 písm. b), § 50 odst. 1, 2, odst. 4 písm. d) a odst. 6, § 51 odst. 1
a 2 a odst. 4 písm. d) a § 148 odst. 1 písm. j) se slovo "Úřadu" nahrazuje slovy
"Národního úřadu pro kybernetickou a informační bezpečnost".
5. Na začátku hlavy VIII se vkládá nový § 36a, který zní:
6. V § 37a odst. 3, § 39 odst. 1 až 3, § 42 odst. 3 a 4, § 43a odst. 1,
§ 45 odst. 3 a 4, § 48 odst. 3, odst. 5 a 6, § 49 odst. 2, 4, 6, 7 a 9, § 50 odst.
3, 5 a 6, § 51 odst. 3 a 5 a § 69 odst. 1 písm. f) a h) se slovo "Úřad" nahrazuje
slovy "Národní úřad pro kybernetickou a informační bezpečnost".
7. V § 38 odst. 1 písm. c) se za slovo "výroba" vkládají slova "nebo servis".
8. Na začátku hlavy IX se vkládá nový § 45a, který zní:
9. V § 46 odst. 1 a 2 a v § 52 odst. 5 a 6 se za slovo "Úřad" vkládají
slova "nebo Národní úřad pro kybernetickou a informační bezpečnost".
10. V § 46 odst. 10 a § 52 odst. 4 písm. d) se za slovo "Úřadem" vkládají
slova "nebo Národním úřadem pro kybernetickou a informační bezpečnost".
11. V § 46 odstavce 11 a 12 znějí:
"(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených
v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje
o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49
odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané
proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost
o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu
pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního
systému a certifikátu kryptografického prostředku není odvolání přípustné.
(12) Jestliže platnost certifikátu zanikla podle § 48 odst. 4 písm. b)
a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b)
a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního
úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu
pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu zanikla
podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení
oznámení Úřadu odevzdat certifikát Úřadu.".
12. V § 46 se na konci odstavce 14 doplňuje věta "K vydávání posudku podle
věty první může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52
o zajištění činnosti.".
13. V § 46 odstavec 15 zní:
"(15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce
1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít
s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností;
to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického
prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými
službami.".
14. V § 46 odst. 16 se slova "ve Věstníku Úřadu" nahrazují slovy "a Národní
úřad pro kybernetickou a informační bezpečnost v příslušném věstníku".
15. V § 50 odst. 4 se na konci písmene c) slovo "nebo" zrušuje.
16. V § 50 odst. 4 se na konci písmene d) tečka nahrazuje textem " , nebo"
a doplňuje se písmeno e), které zní:
"e) oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu,
o zrušení kryptografického pracoviště.".
17. V § 52 odst. 1 a odst. 3 písm. b) se za slova "a § 46 odst." vkládá
text "14 a".
18. V § 52 odst. 4 písm. f) se slova "§ 46 odst. 15" nahrazují slovy "§
46 odst. 14".
19. § 53 včetně nadpisu zní:
"§ 53
Zmocňovací ustanovení
Prováděcí právní předpis stanoví
a) náležitosti žádosti o certifikaci technického prostředku, dokumentaci
nezbytnou k provedení certifikace technického prostředku, pravidla pro stanovení
doby platnosti certifikátu technického prostředku, pravidla a způsob používání technického
prostředku po uplynutí doby platnosti jeho certifikátu a vzor certifikátu technického
prostředku,
b) náležitosti žádosti a opakované žádosti o certifikaci informačního
systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště
a certifikaci stínící komory, a dokumentaci nezbytnou k provedení certifikace informačního
systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště
a certifikace stínící komory,
c) způsob a podmínky provádění certifikace informačního systému,
certifikace kryptografického prostředku, certifikace kryptografického pracoviště
a certifikace stínící komory a jejich opakování a obsah certifikační zprávy podle
§ 46 odst. 13,
d) vzory certifikátu informačního systému, certifikátu kryptografického
prostředku, certifikátu kryptografického pracoviště a certifikátu stínící komory,
e) náležitosti žádosti o ověření způsobilosti elektrických a elektronických
zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace
kompromitujícím vyzařováním a způsob hodnocení jejich způsobilosti a
f) náležitosti žádosti orgánu státu nebo podnikatele o uzavření smlouvy
podle § 52.".
20. V § 65 odst. 3 se slovo "státní" zrušuje.
21. V § 69 odst. 1 písm. j) se slova "evidenci kryptografického materiálu,
evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického
prostředku, evidenci kurýrů kryptografického materiálu" zrušují.
22. V § 69 odst. 1 se na konci písmene s) tečka nahrazuje čárkou a doplňuje
se písmeno t), které zní:
"t) vést evidenci kryptografického materiálu, evidenci pracovníků kryptografické
ochrany, evidenci provozní obsluhy kryptografického prostředku a evidenci kurýrů
kryptografického materiálu.".
23. V § 75a odst. 2 písm. b), § 143 odst. 2 a § 144 odst. 1 se slova "podle
zákona upravujícího státní kontrolu45)" nahrazují slovy "podle kontrolního řádu".
Poznámka pod čarou č. 45 se zrušuje, a to včetně odkazu na poznámku pod
čarou.
24. § 137 včetně nadpisu zní:
"§ 137
Úřad
Úřad
a) rozhoduje o žádosti fyzické osoby, žádosti podnikatele a žádosti
o doklad a o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele a dokladu,
s výjimkou případů stanovených tímto zákonem [§ 140 odst. 1 písm. a) a § 141 odst.
1], a vydává osvědčení fyzické osoby podle § 56a,
b) vykonává kontrolu v oblasti ochrany utajovaných informací a bezpečnostní
způsobilosti (§ 143) a metodickou činnost, s výjimkou případů stanovených tímto zákonem
(§ 143 odst. 5),
c) plní úkoly v oblasti ochrany utajovaných informací v souladu se
závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické
smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána,
d) vede ústřední registr a schvaluje zřízení registrů v orgánech
státu a u podnikatelů,
e) ve stanovených případech povoluje poskytování utajovaných informací
v mezinárodním styku,
f) ke kurýrní přepravě utajovaných informací stupně utajení Přísně
tajné, Tajné nebo Důvěrné poskytovaných v rámci mezinárodního styku, s výjimkou utajované
informace poskytované podle § 78 odst. 1, vydává na základě písemné žádosti odpovědné
osoby nebo bezpečnostního ředitele kurýrní listy a v odůvodněných případech zajišťuje
jejich přepravu,
g) provádí certifikace technického prostředku,
h) vydává bezpečnostní standardy,
i) ukládá správní tresty za nedodržení povinností stanovených tímto
zákonem,
j) rozhoduje v dalších věcech a plní další úkoly na úseku ochrany
utajovaných informací a bezpečnostní způsobilosti stanovené tímto zákonem a
k) vydává Věstník Úřadu, který zveřejňuje na svých internetových
stránkách.".
25. Za § 137 se vkládá nový § 137a, který včetně nadpisu zní:
"§ 137a
Národní úřad pro kybernetickou a informační bezpečnost
Národní úřad pro kybernetickou a informační bezpečnost v oblasti
působnosti svěřené mu tímto zákonem
a) zajišťuje zkoušky zvláštní odborné způsobilosti a vydává osvědčení
o zvláštní odborné způsobilosti,
b) plní úkoly v souladu se závazky vyplývajícími z členství České
republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních
smluv, jimiž je Česká republika vázána, ve vybraných oblastech ochrany utajovaných
informací,
c) vykonává metodickou činnost,
d) zajišťuje činnost Národního střediska komunikační bezpečnosti,
Národního střediska pro distribuci kryptografického materiálu, Národního střediska
pro měření kompromitujícího vyzařování a Národního střediska pro bezpečnost informačních
systémů, které jsou jeho součástí,
e) provádí certifikace informačního systému, kryptografického prostředku,
kryptografického pracoviště a stínící komory a schvaluje projekt bezpečnosti komunikačního
systému,
f) zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků,
g) vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní
politiku kryptografické ochrany,
h) zjišťuje kompromitující vyzařování tam, kde se vyskytují nebo
budou vyskytovat utajované informace,
i) zjišťuje v součinnosti se zpravodajskými službami a policií, zda
v jednací oblasti nedochází nedovoleným použitím technických prostředků určených
k získávání informací k ohrožení nebo únikům utajovaných informací,
j) vydává bezpečnostní standardy,
k) ukládá správní tresty za nedodržení povinností stanovených tímto
zákonem,
l) rozhoduje v dalších věcech a plní další úkoly na úseku ochrany
utajovaných informací stanovené tímto zákonem.".
26. V § 138 odst. 1 písm. b) se slova "evidenci pracovníků kryptografické
ochrany, kurýrů kryptografického materiálu a evidenci fyzických osob, které jsou
držiteli osvědčení o zvláštní odborné způsobilosti," zrušují.
27. V § 138 odst. 1 se písmeno c) zrušuje.
Dosavadní písmena d) až m) se označují jako písmena c) až l).
28. V § 138 odst. 1 písm. h) se slova "informačních systémů, kryptografických
prostředků, kryptografického pracoviště, stínících komor, k provádění školení zvláštní
odborné způsobilosti pracovníků kryptografické ochrany a zjišťování možnosti výskytu
kompromitujícího vyzařování tam, kde se utajované informace budou vyskytovat, a provádět
výrobu kryptografických prostředků," zrušují.
29. V § 138 se doplňuje odstavec 3, který zní:
"(3) Národní úřad pro kybernetickou a informační bezpečnost je při
plnění úkolů podle tohoto zákona oprávněn k činnostem podle odstavce 1 písm. a),
c), g) a i), a dále je oprávněn
a) vést evidenci fyzických osob, které jsou držiteli osvědčení o zvláštní
odborné způsobilosti, evidenci porušení ochrany utajovaných informací a evidenci
pracovníků kryptografické ochrany a kurýrů kryptografického materiálu,
b) uzavírat smlouvu s orgánem státu nebo podnikatelem k provádění dílčích
úloh při certifikaci informačních systémů, kryptografických prostředků, kryptografického
pracoviště, stínících komor, k provádění školení zvláštní odborné způsobilosti pracovníků
kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího vyzařování
tam, kde se utajované informace budou vyskytovat, a provádět výrobu kryptografických
prostředků a
c) vést certifikační spis informačního systému, kryptografického prostředku,
kryptografického pracoviště a stínící komory, vést seznam kontrolovaných kryptografických
položek a vést dokumentaci pro provádění činností podle § 45.".
30. V § 138a se na konci odstavce 1 tečka nahrazuje čárkou a doplňuje se
písmeno g), které zní:
"g) záznam o zřízení datové schránky a identifikátor datové schránky, je-li
tato datová schránka zpřístupněna.".
31. V § 138a se za odstavec 4 vkládá nový odstavec 5, který zní:
"(5) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona
ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné
moci údaje, kterými jsou
a) obchodní firma nebo název právnické osoby nebo jméno, popřípadě
jména, a příjmení podnikající fyzické osoby,
b) datum vzniku nebo datum zápisu do evidence podle zvláštních právních
předpisů,
c) datum zániku nebo datum výmazu z evidence podle zvláštních právních
předpisů,
d) právní forma,
e) záznam o zřízení datové schránky a identifikátor datové schránky,
je-li tato datová schránka zpřístupněna,
f) statutární orgán vyjádřený referenční vazbou na registr obyvatel
anebo na registr osob nebo údajem o jménu, popřípadě jménech, příjmení a bydlišti
u zahraniční fyzické osoby,
g) právní stav,
h) adresa sídla právnické osoby nebo adresa místa podnikání fyzické
osoby ve formě referenční vazby (kódu adresního místa) na referenční údaj o adrese
v registru územní identifikace.".
Dosavadní odstavce 5 a 6 se označují jako odstavce 6 a 7.
32. V § 138a odst. 6 se slova "odstavců 2 až 4" nahrazují slovy "odstavců
2 až 5".
33. V § 138a se doplňuje odstavec 8, který zní:
"(8) Národnímu úřadu pro kybernetickou a informační bezpečnost jsou poskytovány
pro výkon jeho působnosti podle tohoto zákona údaje podle odstavce 1, odstavce 2
písm. a), c), d), f), m) a n), odstavce 3 písm. a), b), e) až g), j), k) a r) až
t), odstavce 4 písm. a), b), d) a e) a odstavce 5.".
34. Za § 138a se vkládá nový § 138b, který včetně nadpisu zní:
35. Nadpis části šesté zní:
"KONTROLA".
36. V § 143 odstavec 1 zní:
"(1) Úřad v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti
kontroluje, jak orgány státu, právnické osoby, podnikající fyzické osoby a fyzické
osoby (dále jen "kontrolované osoby") dodržují právní předpisy v této oblasti.".
37. V § 143 odst. 2 až 4 se slova "státního dozoru" nahrazují slovem "kontroly".
38. V § 143 odst. 5 se slova "Státnímu dozoru" nahrazují slovem "Kontrole".
39. V § 143 se doplňuje odstavec 6, který zní:
"(6) V případě kontroly, která zasahuje do oblasti působnosti ochrany utajovaných
informací, jejíž státní správu podle tohoto zákona vykonává Národní úřad pro kybernetickou
a informační bezpečnost, bude ke kontrole přizván jeho zástupce.".
40. V § 145 odst. 5 se na konci písmene e) čárka nahrazuje tečkou a písmeno
f) se zrušuje.
41. V § 146 odst. 1 se slova "nebo v rámci správního řízení o vydání opatření
podle zákona o kybernetické bezpečnosti" zrušují.
42. V § 146 odst. 2 se slova "nebo podle zákona o kybernetické bezpečnosti"
zrušují.
43. V § 153 odst. 1 se na konci písmene dd) slovo "nebo" zrušuje.
44. V § 153 odst. 1 se na konci písmene ee) tečka nahrazuje slovem " ,
nebo" a doplňuje se písmeno ff), které zní:
"ff) nevede některou z evidencí stanovených v § 69 odst. 1 písm. t).".
45. V § 153 odst. 2 písm. b) se slova "n) nebo o)" nahrazují slovy "n),
o) nebo ff)".
46. Na konci textu § 156 se doplňují slova " , s výjimkou přestupků podle
§ 148 odst. 1 písm. f) až h) a j), § 149 odst. 1 písm. g) až k), § 153 odst. 1 písm.
b), s) až z) a ff) a § 154 odst. 1 písm. e), které projednává a za něž pokuty vybírá
Národní úřad pro kybernetickou a informační bezpečnost".
47. § 158 včetně nadpisu zní:
"§ 158
Zmocňovací ustanovení
Úřad vydá vyhlášku k provedení § 7 odst. 3, § 9 odst. 8, § 15a odst.
7, § 23 odst. 2, § 33, § 53 písm. a) a f), § 64, § 75a odst. 4, § 79 odst. 8, § 85
odst. 5 a § 135. Národní úřad pro kybernetickou a informační bezpečnost vydá vyhlášku
k provedení § 34 odst. 6, § 35 odst. 6, § 36 odst. 4, § 44 a § 53 písm. b) až f).".
Čl.XV
Přechodná ustanovení
1. Řízení podle § 42 odst. 3 a hlavy IX zákona č. 412/2005 Sb., zahájená
a nedokončená přede dnem nabytí účinnosti tohoto zákona, s výjimkou řízení o certifikaci
technického prostředku, dokončí Národní úřad pro kybernetickou a informační bezpečnost.
2. Řízení o správních deliktech a přestupcích uvedených v § 148 odst. 1 písm.
f) až h) a j), § 149 odst. 1 písm. g) až k), § 153 odst. 1 písm. b), s) až z) a ff)
a § 154 odst. 1 písm. e) zákona č. 412/2005 Sb., zahájená a nedokončená přede dnem
nabytí účinnosti tohoto zákona dokončí Národní úřad pro kybernetickou a informační
bezpečnost.
3. Výkon práv a povinností ze smluv uzavřených Národním bezpečnostním úřadem
podle § 52 zákona č. 412/2005 Sb., s výjimkou smluv uzavřených podle § 46 odst. 15
zákona č. 412/2005 Sb., k zajištění vydání posudku vlastností technického prostředku
podle § 46 odst. 14 zákona č. 412/2005 Sb., přechází ke dni nabytí účinnosti tohoto
zákona z Národního bezpečnostního úřadu na Národní úřad pro kybernetickou a informační
bezpečnost.
4. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační
bezpečnost ke dni nabytí účinnosti tohoto zákona veškeré doklady a údaje týkající
se nedokončených řízení podle bodů 1 a 2 a o předání sepíše s Národním úřadem pro
kybernetickou a informační bezpečnost protokol.
5. Národní bezpečnostní úřad předá Národnímu úřadu pro kybernetickou a informační
bezpečnost do 6 měsíců ode dne nabytí účinnosti tohoto zákona veškeré doklady a údaje
týkající se výkonu působnosti, která ke dni nabytí účinnosti tohoto zákona přechází
na Národní úřad pro kybernetickou a informační bezpečnost.
6. Výkon práv a povinností vyplývajících z pracovněprávních vztahů zaměstnanců
Národního bezpečnostního úřadu, kteří zajišťovali činnost Národního bezpečnostního
úřadu podle zákona č. 412/2005 Sb., ve znění účinném přede dnem nabytí účinnosti
tohoto zákona, která dnem nabytí účinnosti tohoto zákona přechází na Národní úřad
pro kybernetickou a informační bezpečnost, přechází dnem nabytí účinnosti tohoto
zákona na Národní úřad pro kybernetickou a informační bezpečnost.
7. Příslušnost k hospodaření s majetkem státu užívaným Národním bezpečnostním
úřadem přechází ke dni nabytí účinnosti tohoto zákona na Národní úřad pro kybernetickou
a informační bezpečnost, pokud byl tento majetek využíván k zajišťování činnosti
Národního bezpečnostního úřadu podle zákona č. 412/2005 Sb., ve znění účinném přede
dnem nabytí účinnosti tohoto zákona, která přechází ke dni nabytí účinnosti tohoto
zákona na Národní úřad pro kybernetickou a informační bezpečnost.
8. Rozpočtované prostředky kapitoly 308 - Národní bezpečnostní úřad podle
zákona č. 457/2016 Sb., o státním rozpočtu České republiky na rok 2017, včetně nároků
nespotřebovaných výdajů za předcházející léta, které souvisí s výkonem působnosti
Národního bezpečnostního úřadu, která ke dni nabytí účinnosti tohoto zákona přechází
na Národní úřad pro kybernetickou a informační bezpečnost, se přesouvají ke dni nabytí
účinnosti tohoto zákona na Národní úřad pro kybernetickou a informační bezpečnost.
9. Certifikát informačního systému, certifikát kryptografického prostředku,
certifikát kryptografického pracoviště a certifikát stínící komory vydaný Národním
bezpečnostním úřadem podle zákona č. 412/2005 Sb., ve znění účinném přede dnem nabytí
účinnosti tohoto zákona se považuje za certifikát vydaný Národním úřadem pro kybernetickou
a informační bezpečnost.
ČÁST ČTRNÁCTÁ
ÚČINNOST
Čl.XVI
Tento zákon nabývá účinnosti prvním dnem prvního kalendářního měsíce následujícího
po dni jeho vyhlášení.
v z. Vondráček v. r.
Zeman v. r.
Sobotka v. r.