§ 18 Zákon o kybernetické bezpečnosti – Zvláštní ustanovení o povinnostech poskytovatelů regulovaných služeb v odvětví digitální infrastruktury a služeb
Stručně: Paragraf 18 zákona 264/2025 stanovuje specifické povinnosti v oblasti kybernetické bezpečnosti pro vybrané poskytovatele regulovaných služeb v odvětví digitální infrastruktury a služeb, a to jak v zavádění bezpečnostních opatření, tak v hlášení kybernetických incidentů.
§ 18 Zvláštní ustanovení o povinnostech poskytovatelů regulovaných služeb v odvětví digitální infrastruktury a služeb
(1) Poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu doménových jmen, služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště9), služby internetového vyhledávače podle přímo použitelného předpisu Evropské unie10), služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, je ve vztahu k těmto regulovaným službám povinen v rámci stanoveného rozsahu zavádět a provádět vhodná a přiměřená bezpečnostní opatření zahrnující alespoň řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit, a to v míře a způsobem stanoveným prováděcím předpisem Evropské komise, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2022/2555 (dále jen „prováděcí předpis Komise“), pokud jde o technické a metodické požadavky opatření, která jsou uvedení poskytovatelé regulovaných služeb povinni přijímat; § 13 odst. 2 se ve vztahu k těmto regulovaným službám nepoužije.
(2) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), je ve vztahu k této regulované službě povinen v rámci stanoveného rozsahu hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem na poskytování regulované služby; § 15 odst. 1 a 2 se ve věci vymezení incidentů, které je potřeba hlásit, ve vztahu k této regulované službě nepoužijí. Způsob stanovení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví prováděcí předpis Komise. Ve věci způsobu hlášení kybernetických bezpečnostních incidentů se uplatní obecná úprava v § 15 a 16, pokud prováděcí předpis Komise nestanoví zvláštní postup.
(3) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie8), a který má umístěnu hlavní provozovnu v jiném členském státě Evropské unie nebo ve smluvním státě Dohody o Evropském hospodářském prostoru (dále jen „jiný členský stát“) nebo má v jiném členském státě ustanoveného zástupce, je povinen ve vztahu k této regulované službě plnit povinnosti stanovené tímto zákonem pouze v rozsahu odstavce 1. Povinnosti uložené rozhodnutím nebo opatřením obecné povahy Úřadu na základě tohoto zákona jsou pro poskytovatele regulované služby podle věty první závazné pouze v případě, že tak Úřad v rozhodnutí nebo opatření obecné povahy výslovně stanoví.
(4) Poskytovatel regulované služby uvedené v odstavci 1, který je v režimu vyšších povinností, je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro osoby zařazené do kategorie základních subjektů. Poskytovatel regulované služby uvedené v odstavci 1, který je v režimu nižších povinností, je povinen řídit se ustanoveními prováděcího předpisu Komise podle odstavců 1 a 2 platnými pro osoby zařazené do kategorie důležitých subjektů.
(5) Plnění povinností poskytovatele regulované služby uvedené v odstavci 1 vůči regulovaným službám neuvedeným v odstavci 1 není použitím tohoto ustanovení dotčeno.
Paragraf 18 zákona 264/2025 stanovuje specifické povinnosti v oblasti kybernetické bezpečnosti pro vybrané poskytovatele regulovaných služeb v odvětví digitální infrastruktury a služeb, a to jak v zavádění bezpečnostních opatření, tak v hlášení kybernetických incidentů.
Co to znamená v praxi
Poskytovatelé služeb jako cloud computing, datová centra, on-line tržiště nebo sociální sítě musí zavádět konkrétní bezpečnostní opatření (např. řízení rizik, zvládání incidentů, řízení dodavatelů) podle podrobných pravidel stanovených prováděcím předpisem Evropské komise.
Tito poskytovatelé (s výjimkou služeb vytvářejících důvěru) jsou povinni hlásit všechny kybernetické bezpečnostní incidenty, které mají významný dopad na poskytování jejich regulované služby.
Způsob určení významnosti dopadu incidentu bude stanoven prováděcím předpisem Evropské komise.
Pro hlášení incidentů se použijí obecná pravidla (§ 15 a 16), pokud prováděcí předpis Komise nestanoví jiný, zvláštní postup.
Na co si dát pozor
Rozsah a způsob zavádění bezpečnostních opatření je detailně určen prováděcím předpisem Evropské komise, který je pro poskytovatele závazný.
Definice "významného dopadu" kybernetického incidentu, která určuje povinnost hlášení, bude upřesněna v prováděcím předpisu Komise.
Přestože se pro hlášení incidentů uplatní obecná úprava, je nutné sledovat případné zvláštní postupy stanovené prováděcím předpisem Komise.
🔔 Hlídat změny § 18 — pošleme e-mail, když se paragraf novelizuje.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.