CS · EN DE FR brzy

§ 25 Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) – Přestupky

Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) · 181/2014 Sb. · § 25 · IT právo a ochrana dat
Stručně: Paragraf § 25 zákona o kybernetické bezpečnosti definuje konkrétní jednání, která jsou považována za přestupky v oblasti kybernetické bezpečnosti, a rozděluje je podle typu subjektu, který se jich dopustí.
§ 25 Přestupky (1) Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací se dopustí přestupku tím, že a) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13, b) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, c) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo d) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (2) Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že a) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, b) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3, c) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13, d) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo f) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (3) Správce informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, d) neinformuje provozovatele systému podle § 4a odst. 1, e) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2, f) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, g) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, h) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, i) nesplní povinnost uloženou Úřadem podle § 13 nebo 14, j) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, k) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo l) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (4) Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, d) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2, e) nepředá data, provozní údaje a informace podle § 6a odst. 2, f) nepředá data, provozní údaje a informace podle § 6a odst. 3, g) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3, h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3, i) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, j) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, k) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, l) nesplní povinnost uloženou Úřadem podle § 13 nebo 14, m) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, n) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1, o) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo p) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (5) Správce významného informačního systému se dopustí přestupku tím, že a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, d) neinformuje provozovatele systému podle § 4a odst. 1, e) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, f) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14, h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo j) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (6) Provozovatel významného informačního systému se dopustí přestupku tím, že a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci, b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, d) nepředá data, provozní údaje a informace podle § 6a odst. 2, e) nepředá data, provozní údaje a informace podle § 6a odst. 3, f) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3, g) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3, h) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, i) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, j) nesplní povinnost uloženou Úřadem podle § 13 nebo 14, k) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, l) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1, m) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo n) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (7) Správce informačního systému základní služby se dopustí přestupku tím, že a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci, b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14, h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo j) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (8) Provozovatel informačního systému základní služby se dopustí přestupku tím, že a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci, b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4, c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3, e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4, f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14, h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4, i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo j) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (9) Provozovatel základní služby se dopustí přestupku tím, že a) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6, b) neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3, c) nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1, 4 nebo 8, d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo f) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (10) Poskytovatel digitální služby se dopustí přestupku tím, že a) neustaví svého zástupce podle § 3a odst. 1, b) v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření, c) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3, d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3, e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo f) nesplní některou z povinností uloženou nápravným opatřením podle § 24. (11) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti17), b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17), c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17), nebo d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti17). (12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech. (13) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17), b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17), c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti17) na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti17), d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti17) vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti, e) provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti17) nebo mimo rozsah této akreditace. (14) Za přestupek lze uložit pokutu do a) 5 000 000 Kč, jde-li o přestupek podle odstavce 3 písm. a), odstavce 4 písm. a), odstavce 5 písm. a), odstavce 6 písm. a), odstavce 7 písm. a), odstavce 8 písm. a), odstavce 10 písm. b) anebo odstavce 12 nebo 13, b) 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a), b) nebo d), odstavce 2 písm. a) až d) nebo písm. f), odstavce 3 písm. b) až j) nebo písm. l), odstavce 4 písm. b) až n) nebo písm. p), odstavce 5 písm. b) až h) nebo písm. j), odstavce 6 písm. b) až l) nebo písm. n), odstavce 7 písm. b) až h) nebo písm. j), odstavce 8 písm. b) až h) nebo písm. j), odstavce 9 písm. a) až d) nebo písm. f), odstavce 10 písm. a), c), d) nebo f) nebo odstavce 11, c) 10 000 Kč, jde-li o přestupek podle odstavce 1 písm. c), odstavce 2 písm. e), odstavce 3 písm. k), odstavce 4 písm. o), odstavce 5 písm. i), odstavce 6 písm. m), odstavce 7 písm. i), odstavce 8 písm. i), odstavce 9 písm. e) nebo odstavce 10 písm. e).
← § 24ccelý předpis§ 26 →

Výklad

Stručně

Paragraf § 25 zákona o kybernetické bezpečnosti definuje konkrétní jednání, která jsou považována za přestupky v oblasti kybernetické bezpečnosti, a rozděluje je podle typu subjektu, který se jich dopustí.

Co to znamená v praxi

Na co si dát pozor

⚖️ Judikatura k § 25 (1 rozhodnutí)

1 Afs 1/2012 Nejvyšší správní soud · 2023-10-05
Nejnovější z každého soudu. Rozhodnutí citují § 25 zákona 181/2014 Sb. — vazby extrahované z plných textů.

Související témata

§ 61 Komise pro projednávání přestupků Zákon o odpovědnosti za přestupky a říze
§ 109 SPOLEČNÁ USTANOVENÍ Zákon o léčivech a o změnách některých s
§ 53 Zákon České národní rady o přestupcích
§ 92 Zákon o specifických zdravotních službác
§ 40 Společná ustanovení k přestupkům Zákon o ochraně zdraví před škodlivými ú
🔔 Hlídat změny § 25 — pošleme e-mail, když se paragraf novelizuje.
← § 24ccelý předpis§ 26 →
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.