Stručně: Paragraf 23 zákona o kybernetické bezpečnosti dává Úřadu pravomoc nařídit poskytovatelům regulovaných služeb provést konkrétní opatření k řešení kybernetických incidentů, zabezpečení systémů nebo zvýšení ochrany po incidentu.
§ 23 Reaktivní protiopatření
(1) Úřad vydá rozhodnutí, ve kterém uloží poskytovateli regulované služby povinnost provést reaktivní protiopatření
a) k řešení hrozícího nebo probíhajícího kybernetického bezpečnostního incidentu,
b) k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, nebo
c) za účelem zvýšení ochrany aktiv na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu.
(2) Reaktivní protiopatření je povinen provádět poskytovatel regulované služby v rámci stanoveného rozsahu, pokud Úřad nebo jiný právní předpis nestanoví jinak.
(3) Rozhodnutí o povinnosti provést reaktivní protiopatření může být prvním úkonem v řízení. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 72 hodin od jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí podle věty první může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí podle odstavce 1 nemá odkladný účinek.
(4) Má-li se protiopatření podle odstavce 1 týkat blíže neurčeného okruhu poskytovatelů regulovaných služeb, vydá jej Úřad formou opatření obecné povahy.
(5) Opatření obecné povahy podle odstavce 4 nabývá účinnosti okamžikem jeho vyvěšení na úřední desce Úřadu; ustanovení § 172 správního řádu se nepoužije. O vydání opatření obecné povahy Úřad rovněž vyrozumí poskytovatele regulovaných služeb, kteří jsou jím dotčeni.
(6) Nestanoví-li Úřad v reaktivním protiopatření jinak, je poskytovatel regulované služby povinen bez zbytečného odkladu, nejpozději ve lhůtě dané reaktivním protiopatřením, oznámit Úřadu provedení reaktivního protiopatření a jeho výsledek.
Díl 3
Výklad
Stručně
Paragraf 23 zákona o kybernetické bezpečnosti dává Úřadu pravomoc nařídit poskytovatelům regulovaných služeb provést konkrétní opatření k řešení kybernetických incidentů, zabezpečení systémů nebo zvýšení ochrany po incidentu.
Co to znamená v praxi
Úřad může poskytovateli regulované služby nařídit, co má udělat, aby se vypořádal s kybernetickým incidentem, ochránil svá aktiva nebo se poučil z minulých incidentů.
Rozhodnutí Úřadu o těchto opatřeních může být vydáno velmi rychle, někdy i jako první krok v řízení, a může být vykonatelné okamžikem vyvěšení na úřední desce, pokud se ho nepodaří doručit do 72 hodin.
Pokud se opatření týká více poskytovatelů, Úřad ho vydá formou opatření obecné povahy, které je účinné ihned po vyvěšení.
Poskytovatel je povinen Úřadu oznámit, že nařízená opatření provedl a jaký byl výsledek, pokud Úřad nestanoví jinak.
Na co si dát pozor
Rozhodnutí o reaktivních protiopatřeních může být vydáno velmi rychle a nemusí mít odkladný účinek, což znamená, že je nutné jednat ihned.
V případě nedoručení rozhodnutí do vlastních rukou do 72 hodin se doručení považuje za provedené vyvěšením na úřední desce Úřadu a rozhodnutí je vykonatelné.
Opatření obecné povahy nabývá účinnosti okamžikem vyvěšení na úřední desce, bez ohledu na běžné lhůty správního řádu.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.