§ 22a Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) – Určení provozovatele základní služby a informačního systému základní služby
Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) · 181/2014 Sb. · § 22a · IT právo a ochrana dat
Stručně: Paragraf 22a zákona o kybernetické bezpečnosti stanovuje, že Úřad (Národní úřad pro kybernetickou a informační bezpečnost) rozhodnutím určí, které subjekty jsou provozovateli základní služby a které jejich informační systémy jsou informačními systémy základní služby, a to na základě odvětvových a dopadových kritérií.
§ 22a Určení provozovatele základní služby a informačního systému základní služby
(1) Úřad rozhodnutím určí provozovatele základní služby a informační systém základní služby, pokud naplní odvětvová a dopadová kritéria, která zohledňují významnost
a) služeb poskytovaných v jednotlivých odvětvích uvedených v § 2 písm. i) a
b) dopad kybernetického bezpečnostního incidentu zejména na
1. rozsah a kvalitu poskytování základní služby uživatelům, kteří jsou na ní závislí,
2. ekonomické a společenské činnosti a veřejnou bezpečnost,
3. vzájemnou závislost odvětví uvedených v § 2 písm. i).
Dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností stanoví prováděcí právní předpis.
(2) V případě, že Úřad zjistí, že orgán nebo osoba, které hodlá určit podle odstavce 1 jako provozovatele základní služby, poskytují danou službu i v jiném členském státě, provede před rozhodnutím ve věci konzultaci s příslušným orgánem dotčeného členského státu.
(3) Proti rozhodnutí Úřadu o určení provozovatele základní služby a informačního systému základní služby není rozklad přípustný.
(4) Úřad ověřuje nejméně každé 2 roky ode dne vydání rozhodnutí o určení provozovatele základní služby, zda jsou splněny podmínky pro určení provozovatele základní služby a informačního systému základní služby.
Paragraf 22a zákona o kybernetické bezpečnosti stanovuje, že Úřad (Národní úřad pro kybernetickou a informační bezpečnost) rozhodnutím určí, které subjekty jsou provozovateli základní služby a které jejich informační systémy jsou informačními systémy základní služby, a to na základě odvětvových a dopadových kritérií.
Co to znamená v praxi
Úřad posuzuje významnost služeb v konkrétních odvětvích a dopad kybernetického incidentu na tyto služby, aby určil, kdo je provozovatelem základní služby.
Před určením provozovatele základní služby, který působí i v jiném členském státě, musí Úřad provést konzultaci s příslušným orgánem daného členského státu.
Proti rozhodnutí Úřadu o určení provozovatele základní služby a informačního systému základní služby nelze podat rozklad.
Úřad pravidelně, nejméně každé dva roky, ověřuje, zda jsou stále splněny podmínky pro určení provozovatele základní služby.
Na co si dát pozor
Rozhodnutí Úřadu o určení provozovatele základní služby je konečné, nelze se proti němu bránit rozkladem.
Kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby jsou podrobněji stanovena v prováděcím právním předpisu.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.