§ 137a Zákon, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., a některé další zákony – Národní úřad pro kybernetickou a informační bezpečnost

§ 137a Národní úřad pro kybernetickou a informační bezpečnost Národní úřad pro kybernetickou a informační bezpečnost v oblasti působnosti svěřené mu tímto zákonem a) zajišťuje zkoušky zvláštní odborné způsobilosti a vydává osvědčení o zvláštní odborné způsobilosti, b) plní úkoly v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, ve vybraných oblastech ochrany utajovaných informací, c) vykonává metodickou činnost, d) zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí, e) provádí certifikace informačního systému, kryptografického prostředku, kryptografického pracoviště a stínící komory a schvaluje projekt bezpečnosti komunikačního systému, f) zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků, g) vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany, h) zjišťuje kompromitující vyzařování tam, kde se vyskytují nebo budou vyskytovat utajované informace, i) zjišťuje v součinnosti se zpravodajskými službami a policií, zda v jednací oblasti nedochází nedovoleným použitím technických prostředků určených k získávání informací k ohrožení nebo únikům utajovaných informací, j) vydává bezpečnostní standardy, k) ukládá správní tresty za nedodržení povinností stanovených tímto zákonem, l) rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací stanovené tímto zákonem.“. 26. V § 138 odst. 1 písm. b) se slova „evidenci pracovníků kryptografické ochrany, kurýrů kryptografického materiálu a evidenci fyzických osob, které jsou držiteli osvědčení o zvláštní odborné způsobilosti,“ zrušují. 27. V § 138 odst. 1 se písmeno c) zrušuje. Dosavadní písmena d) až m) se označují jako písmena c) až l). 28. V § 138 odst. 1 písm. h) se slova „informačních systémů, kryptografických prostředků, kryptografického pracoviště, stínících komor, k provádění školení zvláštní odborné způsobilosti pracovníků kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího vyzařování tam, kde se utajované informace budou vyskytovat, a provádět výrobu kryptografických prostředků,“ zrušují. 29. V § 138 se doplňuje odstavec 3, který zní: „(3) Národní úřad pro kybernetickou a informační bezpečnost je při plnění úkolů podle tohoto zákona oprávněn k činnostem podle odstavce 1 písm. a), c), g) a i), a dále je oprávněn a) vést evidenci fyzických osob, které jsou držiteli osvědčení o zvláštní odborné způsobilosti, evidenci porušení ochrany utajovaných informací a evidenci pracovníků kryptografické ochrany a kurýrů kryptografického materiálu, b) uzavírat smlouvu s orgánem státu nebo podnikatelem k provádění dílčích úloh při certifikaci informačních systémů, kryptografických prostředků, kryptografického pracoviště, stínících komor, k provádění školení zvláštní odborné způsobilosti pracovníků kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího vyzařování tam, kde se utajované informace budou vyskytovat, a provádět výrobu kryptografických prostředků a c) vést certifikační spis informačního systému, kryptografického prostředku, kryptografického pracoviště a stínící komory, vést seznam kontrolovaných kryptografických položek a vést dokumentaci pro provádění činností podle § 45.“. 30. V § 138a se na konci odstavce 1 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní: „g) záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna.“. 31. V § 138a se za odstavec 4 vkládá nový odstavec 5, který zní: „(5) Úřadu jsou poskytovány pro výkon působnosti podle tohoto zákona ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje, kterými jsou a) obchodní firma nebo název právnické osoby nebo jméno, popřípadě jména, a příjmení podnikající fyzické osoby, b) datum vzniku nebo datum zápisu do evidence podle zvláštních právních předpisů, c) datum zániku nebo datum výmazu z evidence podle zvláštních právních předpisů, d) právní forma, e) záznam o zřízení datové schránky a identifikátor datové schránky, je-li tato datová schránka zpřístupněna, f) statutární orgán vyjádřený referenční vazbou na registr obyvatel anebo na registr osob nebo údajem o jménu, popřípadě jménech, příjmení a bydlišti u zahraniční fyzické osoby, g) právní stav, h) adresa sídla právnické osoby nebo adresa místa podnikání fyzické osoby ve formě referenční vazby (kódu adresního místa) na referenční údaj o adrese v registru územní identifikace.“. Dosavadní odstavce 5 a 6 se označují jako odstavce 6 a 7. 32. V § 138a odst. 6 se slova „odstavců 2 až 4“ nahrazují slovy „odstavců 2 až 5“. 33. V § 138a se doplňuje odstavec 8, který zní: „(8) Národnímu úřadu pro kybernetickou a informační bezpečnost jsou poskytovány pro výkon jeho působnosti podle tohoto zákona údaje podle odstavce 1, odstavce 2 písm. a), c), d), f), m) a n), odstavce 3 písm. a), b), e) až g), j), k) a r) až t), odstavce 4 písm. a), b), d) a e) a odstavce 5.“. 34. Za § 138a se vkládá nový § 138b, který včetně nadpisu zní: