Stručně: Paragraf 19 zákona o kybernetické bezpečnosti stanovuje poskytovatelům regulovaných služeb povinnost informovat uživatele o kybernetických bezpečnostních incidentech s významným dopadem a o významných hrozbách, které by je mohly ovlivnit, a to včetně doporučených kroků k minimalizaci dopadů.
§ 19 Informační povinnost
(1) Pokud to poskytovatel regulované služby považuje z důvodu zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv za vhodné, oznámí bez zbytečného odkladu uživatelům regulované služby kybernetický bezpečnostní incident s významným dopadem, který by mohl negativně ovlivnit poskytování této služby. Úřad může poskytovateli regulované služby, který je dotčen kybernetickým bezpečnostním incidentem s významným dopadem, uložit povinnost nebo zákaz informovat uživatele regulované služby o tomto incidentu. V rozhodnutí o uložení povinnosti nebo zákazu informovat podle předchozí věty stanoví Úřad rozsah informační povinnosti nebo rozsah zákazu.
(2) Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele regulované služby, který může být ovlivněn významnou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší. V případě, že je to možné a vhodné, informuje poskytovatel regulované služby uživatele také o této významné hrozbě.
Výklad
Stručně
Paragraf 19 zákona o kybernetické bezpečnosti stanovuje poskytovatelům regulovaných služeb povinnost informovat uživatele o kybernetických bezpečnostních incidentech s významným dopadem a o významných hrozbách, které by je mohly ovlivnit, a to včetně doporučených kroků k minimalizaci dopadů.
Co to znamená v praxi
Poskytovatel regulované služby může sám rozhodnout, zda a kdy informuje uživatele o kybernetickém bezpečnostním incidentu s významným dopadem, pokud to považuje za vhodné pro řádné poskytování služby a kybernetickou bezpečnost.
Úřad (pravděpodobně Národní úřad pro kybernetickou a informační bezpečnost) má pravomoc poskytovateli regulované služby nařídit, aby uživatele o incidentu informoval, nebo mu naopak informování zakázat, a zároveň stanoví rozsah této povinnosti či zákazu.
Poskytovatel je povinen bez zbytečného odkladu a srozumitelně informovat uživatele o krocích, které mohou podniknout v reakci na významnou hrozbu, aby minimalizovali její dopad, a pokud je to možné a vhodné, informuje je i o samotné hrozbě.
Na co si dát pozor
Poskytovatel regulované služby musí posoudit, zda je vhodné informovat uživatele o incidentu, a to z pohledu řádného poskytování služby a kybernetické bezpečnosti aktiv.
Úřad může do informační povinnosti poskytovatele zasáhnout, a to jak formou nařízení informování, tak i zákazu informování.
Informace pro uživatele o hrozbách a doporučených krocích musí být podány vhodným a srozumitelným způsobem.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.