§ 3 Vyhláška o některých požadavcích pro zápis do katalogu cloud computingu – Požadavky na způsobilost poskytovatele zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy

§ 3 Požadavky na způsobilost poskytovatele zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy Poskytovatelem způsobilým zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona je poskytovatel za následujících podmínek: a) má sídlo nebo bydliště v členském státě Evropské unie nebo má určeného svého zástupce v členském státě Evropské unie obdobně podle čl. 27 obecného nařízení o ochraně osobních údajů1), b) poskytovatel ani jeho ovládající osoby2) nebyli v posledních 5 letech pravomocně uznáni vinnými ze spáchání přestupku spočívajícího v nesplnění některé z povinností uložené nápravným opatřením podle § 56 odst. 1 zákona o kybernetické bezpečnosti3) a c) poskytovatel ani jeho ovládající osoby nebyli v posledních 5 letech více než jednou pravomocně uznáni vinnými ze spáchání přestupku spočívajícího v 1. nesplnění povinnosti ohlásit službu podle § 6 odst. 1 zákona o kybernetické bezpečnosti, 2. nesplnění povinnosti ohlásit změnu regulované služby podle § 9 odst. 1 zákona o kybernetické bezpečnosti, 3. nesplnění povinnosti určit za účelem vymezení stanoveného rozsahu všechna primární aktiva podle § 12 odst. 2 písm. a) zákona o kybernetické bezpečnosti nebo podpůrná aktiva podle § 12 odst. 2 písm. c) zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti jejich určení pravidelně přezkoumávat nebo aktualizovat podle § 12 odst. 5 zákona o kybernetické bezpečnosti, 4. nesplnění povinnosti posoudit za účelem vymezení stanoveného rozsahu, zda primární aktiva určená podle § 12 odst. 2 písm. a) zákona o kybernetické bezpečnosti souvisí s poskytováním regulované služby, nebo v nesplnění povinnosti toto posouzení pravidelně přezkoumávat nebo aktualizovat podle § 12 odst. 5 zákona o kybernetické bezpečnosti, 5. nesplnění povinnosti evidovat aktiva podle § 12 odst. 3 zákona o kybernetické bezpečnosti, 6. nesplnění povinnosti zavádět nebo provádět bezpečnostní opatření podle § 13 odst. 2 nebo § 18 odst. 1 zákona o kybernetické bezpečnosti, 7. nesplnění povinnosti vybírat svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo v nesplnění povinnosti zahrnovat požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem v rozporu s § 13 odst. 5 zákona o kybernetické bezpečnosti, 8. nesplnění povinnosti předložit prvotní hlášení o incidentu podle § 16 odst. 1 zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti doplnit některý z údajů o incidentu podle § 16 odst. 3 zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti nahlásit kybernetický bezpečnostní incident podle § 18 odst. 2 zákona o kybernetické bezpečnosti, 9. nesplnění povinnosti poskytnout informace nebo součinnost při zvládání incidentu podle § 17 odst. 3 zákona o kybernetické bezpečnosti, 10. nesplnění rozhodnutím stanovené povinnosti nebo zákazu informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem podle § 19 odst. 1 zákona o kybernetické bezpečnosti, 11. nesplnění povinnosti informovat uživatele regulované služby o významné hrozbě nebo krocích, které může uživatel služby učinit v reakci na ni, podle § 19 odst. 2 zákona o kybernetické bezpečnosti, 12. nesplnění povinnosti uložené rozhodnutím o výstraze podle § 21 odst. 1 zákona o kybernetické bezpečnosti, 13. nesplnění reaktivního protiopatření uloženého podle § 23 odst. 1 nebo § 23 odst. 4 zákona o kybernetické bezpečnosti, 14. nesplnění povinnosti uložené rozhodnutím podle § 24 odst. 1 zákona o kybernetické bezpečnosti, 15. nesplnění povinnosti ohlásit změnu regulované služby podle § 26 odst. 1 zákona o kybernetické bezpečnosti, 16. porušení podmínky nebo zákazu uložených v opatření obecné povahy podle § 29 zákona o kybernetické bezpečnosti, 17. nesplnění povinnosti zajišťovat dostupnost strategicky významné služby z území České republiky ve stanoveném čase nebo kvalitě podle § 33 odst. 1 zákona o kybernetické bezpečnosti, 18. nesplnění povinnosti prověřovat zajištění poskytování strategicky významné služby podle § 33 odst. 2 zákona o kybernetické bezpečnosti nebo nesplnění povinnosti o tomto prověření vyhotovit záznam, 19. nesplnění povinnosti provést v souvislosti se stavem kybernetického nebezpečí opatření k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru uložené rozhodnutím nebo opatřením obecné povahy podle § 39 zákona o kybernetické bezpečnosti, 20. nesplnění některé z povinností podle § 10 odst. 2 kontrolního řádu4) jako kontrolovaná osoba v souvislosti s kontrolou plnění povinností podle zákona o kybernetické bezpečnosti, nebo 21. nesplnění povinnosti podle § 10 odst. 3 kontrolního řádu4) jako povinná osoba v souvislosti s kontrolou plnění povinností podle zákona o kybernetické bezpečnosti.