Stručně: Paragraf 46 zákona č. 264/2025 Sb. stanovuje, jaké evidence vede Úřad pro kybernetickou bezpečnost a jakým způsobem může Úřad údaje z těchto evidencí poskytovat dalším subjektům, přičemž zaměstnanci Úřadu jsou vázáni mlčenlivostí o některých evidovaných údajích.
§ 46 Evidence vedené Úřadem
(1) Úřad vede evidenci
a) regulovaných služeb včetně jejich poskytovatelů a jimi hlášených údajů,
b) osob poskytujících služby registrace doménových jmen a jimi hlášených údajů,
c) kybernetických bezpečnostních incidentů, událostí, hrozeb a zranitelností,
d) dodavatelů bezpečnostně významných dodávek,
e) koordinovaného zveřejňování zranitelností,
f) penetračních testů a
g) provedených kontrol a protokolů o kontrole.
(2) Úřad poskytuje v odůvodněných případech údaje z evidencí orgánům veřejné moci na jejich žádost, je-li to nezbytné pro výkon jejich působnosti. Poskytnuté údaje je možné využít jen pro potřeby, které byly uvedeny v žádosti. Orgán veřejné moci vynaloží přiměřené úsilí k zajištění bezpečnosti informací takto poskytnutých údajů.
(3) Úřad může v odůvodněných případech poskytovat údaje z evidencí Národnímu CERT a těm, kdo vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí a těm, kdo působí v oblasti kybernetické bezpečnosti, v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.
(4) Zaměstnanci Úřadu jsou vázáni povinností mlčenlivosti o údajích z evidencí podle odstavce 1 písm. c) až f). Povinnost mlčenlivosti trvá i po skončení pracovněprávního vztahu k Úřadu. Ředitel Úřadu může osoby uvedené v tomto odstavci zprostit povinnosti mlčenlivosti, a to s uvedením rozsahu údajů a rozsahu zproštění.
Paragraf 46 zákona č. 264/2025 Sb. stanovuje, jaké evidence vede Úřad pro kybernetickou bezpečnost a jakým způsobem může Úřad údaje z těchto evidencí poskytovat dalším subjektům, přičemž zaměstnanci Úřadu jsou vázáni mlčenlivostí o některých evidovaných údajích.
Co to znamená v praxi
Úřad shromažďuje a uchovává informace o regulovaných službách, poskytovatelích doménových jmen, kybernetických incidentech, dodavatelích, zranitelnostech, penetračních testech a kontrolách.
Údaje z těchto evidencí může Úřad poskytnout jiným orgánům veřejné moci, ale pouze pokud je to nezbytné pro výkon jejich působnosti a jen pro účely uvedené v žádosti.
Úřad může také sdílet údaje s Národním CERT a zahraničními či jinými subjekty působícími v oblasti kybernetické bezpečnosti, pokud je to nutné pro ochranu kybernetického prostoru.
Zaměstnanci Úřadu musí zachovávat mlčenlivost o evidovaných kybernetických incidentech, dodavatelích, zranitelnostech a penetračních testech i po skončení zaměstnání, pokud je ředitel Úřadu z této povinnosti nezprostí.
Na co si dát pozor
Poskytnuté údaje z evidencí smějí být orgány veřejné moci využity pouze pro účely, které byly uvedeny v jejich žádosti.
Orgány veřejné moci, kterým jsou údaje poskytnuty, musí vynaložit přiměřené úsilí k zajištění bezpečnosti těchto informací.
Povinnost mlčenlivosti zaměstnanců Úřadu se vztahuje pouze na některé typy evidovaných údajů (c) až (f) a trvá i po skončení pracovního poměru.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.