CS · EN DE FR brzy

§ 16 Zákon o kybernetické bezpečnosti – Postup hlášení kybernetických bezpečnostních incidentů

Zákon o kybernetické bezpečnosti · 264/2025 Sb. · § 16 · IT právo a ochrana dat
Stručně: Paragraf 16 zákona o kybernetické bezpečnosti stanovuje podrobný postup, jakým poskytovatelé regulovaných služeb hlásí kybernetické bezpečnostní incidenty Úřadu pro kybernetickou bezpečnost nebo Národnímu CERT, včetně lhůt a obsahu hlášení.
§ 16 Postup hlášení kybernetických bezpečnostních incidentů (1) Poskytovatel regulované služby bez zbytečného odkladu, nejpozději do 24 hodin po zjištění kybernetického bezpečnostního incidentu, předloží prvotní hlášení, v němž uvede své identifikační údaje, základní údaje o kybernetickém bezpečnostním incidentu, a zda se domnívá, že byl kybernetický bezpečnostní incident způsoben nezákonným zásahem nebo že by mohl mít přeshraniční dopad. (2) Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1, zda má tento kybernetický bezpečnostní incident významný dopad na kybernetický prostor státu. Významnost dopadu na kybernetický prostor státu je dána závažností dopadu na poskytování regulované služby, zasaženým odvětvím a aktuální situací v kybernetickém prostoru s potenciálním dopadem na bezpečnost České republiky. (3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 15 odst. 2 nebo na kybernetický prostor státu podle odstavce 2 poskytovatel regulované služby dále předloží a) bez zbytečného odkladu, nejpozději do 72 hodin po zjištění kybernetického bezpečnostního incidentu oznámení, v němž aktualizuje informace uvedené v odstavci 1, předloží prvotní posouzení kybernetického bezpečnostního incidentu a uvede dopad a indikátory kompromitace, pokud jsou k dispozici; poskytovatel regulovaných služeb vytvářejících důvěru podle přímo použitelného předpisu Evropské unie8) předloží toto oznámení do 24 hodin po zjištění kybernetického bezpečnostního incidentu, b) na výzvu Úřadu nebo Národního CERT průběžnou zprávu o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu a c) nejpozději do 30 dnů ode dne předložení oznámení podle písmene a) závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu; v případě, že po uplynutí uvedené lhůty kybernetický bezpečnostní incident stále trvá, předloží poskytovatel regulované služby bez zbytečného odkladu po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání kybernetického bezpečnostního incidentu, a poté nejpozději do 30 dnů ode dne, kdy došlo k vyřešení kybernetického bezpečnostního incidentu závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu. (4) Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu Úřadu. Nelze-li využít Portálu Úřadu, poskytovatel regulované služby v režimu vyšších povinností zašle hlášení na adresu elektronické pošty Úřadu určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Úřadu, a poskytovatel regulované služby v režimu nižších povinností zašle hlášení na adresu elektronické pošty Národního CERT určenou pro příjem hlášení kybernetických bezpečnostních incidentů, nebo do datové schránky Národního CERT. (5) Obsahové náležitosti, formát a způsob hlášení kybernetického bezpečnostního incidentu, průběžné zprávy o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu, průběžné zprávy o aktuálním stavu zvládání kybernetického bezpečnostního incidentu a závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu stanoví Úřad vyhláškou.
← § 15celý předpis§ 17 →

Výklad

Stručně

Paragraf 16 zákona o kybernetické bezpečnosti stanovuje podrobný postup, jakým poskytovatelé regulovaných služeb hlásí kybernetické bezpečnostní incidenty Úřadu pro kybernetickou bezpečnost nebo Národnímu CERT, včetně lhůt a obsahu hlášení.

Co to znamená v praxi

Na co si dát pozor

Související témata

§ 9 Evidence Zákon o kybernetické bezpečnosti a o změ
§ 4 Katalog prací ve veřejných službách a správě Nařízení vlády o katalogu prací ve veřej
🔔 Hlídat změny § 16 — pošleme e-mail, když se paragraf novelizuje.
← § 15celý předpis§ 17 →
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.