Zákon č. 21/1992 Sb., o bankách, ve znění zákona č. 264/1992 Sb., zákona č. 292/1993 Sb., zákona č. 156/1994 Sb., zákona č. 83/1995 Sb., zákona č. 84/1995 Sb., zákona č. 61/1996 Sb., zákona č. 306/1997 Sb., zákona č. 16/1998 Sb., zákona č. 127/1998 Sb., zákona č. 165/1998 Sb., zákona č. 120/2001 Sb., zákona č. 239/2001 Sb., zákona č. 319/2001 Sb., zákona č. 126/2002 Sb., zákona č. 453/2003 Sb., zákona č. 257/2004 Sb., zákona č. 439/2004 Sb., zákona č. 377/2005 Sb., zákona č. 413/2005 Sb., zákona č. 56/2006 Sb., zákona č. 57/2006 Sb., zákona č. 62/2006 Sb., zákona č. 70/2006 Sb., zákona č. 159/2006 Sb., zákona č. 189/2006 Sb., zákona č. 443/2006 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 37/2007 Sb., zákona č. 120/2007 Sb., zákona č. 296/2007 Sb., zákona č. 126/2008 Sb., zákona č. 216/2008 Sb., zákona č. 230/2008 Sb., zákona č. 254/2008 Sb., zákona č. 433/2008 Sb., zákona č. 215/2009 Sb., zákona č. 227/2009 Sb., zákona č. 230/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 287/2009 Sb., zákona č. 156/2010 Sb., zákona č. 160/2010 Sb., zákona č. 409/2010 Sb., zákona č. 41/2011 Sb., zákona č. 73/2011 Sb., zákona č. 139/2011 Sb., zákona č. 188/2011 Sb., zákona č. 263/2011 Sb., zákona č. 420/2011 Sb., zákona č. 428/2011 Sb., zákona č. 470/2011 Sb., zákona č. 37/2012 Sb., zákona č. 254/2012 Sb., zákona č. 396/2012 Sb., zákona č. 227/2013 Sb., zákona č. 241/2013 Sb., zákona č. 303/2013 Sb., zákona č. 135/2014 Sb., zákona č. 219/2015 Sb., zákona č. 220/2015 Sb., zákona č. 375/2015 Sb., zákona č. 258/2016 Sb., zákona č. 301/2016 Sb., zákona č. 302/2016 Sb., zákona č. 368/2016 Sb., zákona č. 183/2017 Sb., zákona č. 204/2017 Sb., zákona č. 371/2017 Sb., zákona č. 39/2020 Sb., zákona č. 49/2020 Sb., zákona č. 119/2020 Sb., zákona č. 238/2020 Sb., zákona č. 338/2020 Sb., zákona č. 174/2021 Sb., zákona č. 261/2021 Sb., zákona č. 353/2021 Sb., zákona č. 96/2022 Sb., zákona č. 471/2022 Sb., zákona č. 35/2023 Sb., zákona č. 407/2023 Sb., zákona č. 417/2023 Sb., zákona č. 85/2024 Sb., zákona č. 107/2024 Sb., zákona č. 23/2025 Sb., zákona č. 32/2025 Sb., zákona č. 35/2025 Sb. a zákona č. 73/2025 Sb., se mění takto:

1

V § 38 odst. 3 se na konci písmene q) slovo nebo zrušuje.

2

V § 38 odst. 3 se na konci písmene r) tečka nahrazuje slovem , nebo a vkládá se písmeno s), které zní:

s

Národního úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem poskytovatele strategicky významné služby podle zákona o kybernetické bezpečnosti.

Zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění zákona č. 517/2002 Sb., zákona č. 225/2003 Sb., zákona č. 501/2004 Sb., zákona č. 95/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 264/2006 Sb., zákona č. 110/2007 Sb., zákona č. 41/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 153/2010 Sb., zákona č. 329/2011 Sb., zákona č. 89/2012 Sb., zákona č. 221/2012 Sb., zákona č. 212/2013 Sb., zákona č. 258/2014 Sb., zákona č. 319/2015 Sb., zákona č. 378/2015 Sb., zákona č. 250/2016 Sb., zákona č. 183/2017 Sb., zákona č. 202/2019 Sb., zákona č. 164/2020 Sb. a zákona č. 374/2021 Sb., se mění takto:

1

V § 33 se za odstavec 2 vkládá nový odstavec 3, který zní:

(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Tato povinnost se neuplatní, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kybernetickém prostoru, a to v rozsahu, ve kterém se na držitele poštovní licence vztahují obdobné informační povinnosti podle zákona o kybernetické bezpečnosti.

Dosavadní odstavce 3 až 9 se označují jako odstavce 4 až 10.

2

V § 33 odst. 6 se slova odstavce 6 nahrazují slovy odstavce 7.

3

V § 33 odst. 7 se slova odstavce 5 nahrazují slovy odstavce 6.

4

V § 33 odst. 10 se slova odstavce 8 nahrazují slovy odstavce 9.

5

Za § 36a se vkládá nový § 36b, který včetně nadpisu zní:

§ 36b

Spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost

Úřad a Národní úřad pro kybernetickou a informační bezpečnost si vzájemně poskytují podněty, informace a jiné formy součinnosti potřebné k plnění úkolů, které jim stanoví právní předpisy. Při předávání informací je příjemce povinen zajistit stejnou úroveň důvěrnosti jako předávající.

6

V § 37a odst. 3 se za písmeno b) vkládá nové písmeno c), které zní:

c

nesplní informační povinnost podle § 33 odst. 3,

Dosavadní písmena c) až g) se označují jako písmena d) až h).

7

V § 37a odst. 3 písm. d) se text odst. 4 nahrazuje textem odst. 5.

8

V § 37a odst. 3 písm. e) se slova odst. 5, 7, 8 nebo 9 nahrazují slovy odst. 6, 8, 9 nebo 10.

9

V § 37a odst. 6 písm. a) se text písm. e) nahrazuje textem písm. f).

10

V § 37a odst. 6 písm. b) se slova f) nebo g) nahrazují slovy e), g) nebo h).

11

V § 41 odst. 1 se text odst. 4 nahrazuje textem odst. 5.

Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 195/2017 Sb., zákona č. 205/2017 Sb., zákona č. 251/2017 Sb., zákona č. 99/2019 Sb., zákona č. 12/2020 Sb., zákona č. 261/2021 Sb., zákona č. 471/2022 Sb. a zákona č. 1/2024 Sb., se mění takto:

1

V § 2 odst. 2 písmeno a) zní:

a

bezpečnostní úrovní bezpečnostní úroveň informačního systému veřejné správy vyjadřující možné dopady kybernetického bezpečnostního incidentu na informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing,

2

V § 2 se na konci odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:

g

bezpečnostními pravidly pravidla pro orgány veřejné správy využívající služby poskytovatelů cloud computingu stanovující minimální požadavky pro využívání služby cloud computingu orgánem veřejné správy s cílem zajistit bezpečnost informací.

3

V § 4 odst. 2 se na konci textu písmene a) doplňují slova , s výjimkou povinností stanovených v § 6n písm. b) až f) a § 6l odst. 3.

4

V § 5a odst. 2 se věta poslední nahrazuje větou Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy a pravidla pro strukturování dat v informačních systémech veřejné správy stanoví prováděcí právní předpis..

5

§ 5b zní:

§ 5b

Správci informačních systémů veřejné správy, kteří nejsou poskytovateli regulované služby podle zákona o kybernetické bezpečnosti, jsou povinni na jimi spravované informační systémy veřejné správy zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle § 8, 13 a 14 zákona o kybernetické bezpečnosti, a to přiměřeně s ohledem na možné dopady narušení důvěrnosti, integrity a dostupnosti konkrétního informačního systému veřejné správy na činnost jeho správce a jeho schopnost poskytovat své služby občanům, a dále vhodnost a proveditelnost těchto opatření.

6

V § 6i odst. 2 písm. e) se za text § 6n vkládá text písm. a).

7

V § 6i odstavec 3 zní:

(3) Národní úřad pro kybernetickou a informační bezpečnost

a

kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n písm. b) až f),

b

kontroluje zařazení informačního systému veřejné správy do bezpečnostní úrovně podle § 6l odst. 3,

c

kontroluje zajištění dodržování bezpečnostních pravidel orgánem veřejné správy při využívání služby cloud computingu podle § 6l odst. 3.

8

V § 6l se na konci odstavce 3 doplňují věty Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu. Orgán veřejné správy je dále povinen zajišťovat, že budou po celou dobu využívání služeb cloud computingu dodržována bezpečnostní pravidla..

9

V § 6n písm. c) se slova postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost nahrazují slovy zajistit dodržování bezpečnostních pravidel stanovených prováděcím právním předpisem.

10

V § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a d) až g) a § 6t odst. 7 písm. c) a e) až h) se slova upravujícím kybernetickou bezpečnost nahrazují slovy vydaným podle § 12 odst. 2.

11

Na konci nadpisu § 7 se doplňují slova a orgánů veřejné správy.

12

V § 7 se za odstavec 3 vkládají nové odstavce 4 a 5, které znějí:

(4) Poskytovatel cloud computingu se dopustí přestupku tím, že poskytuje orgánu veřejné správy nebo poskytovateli státního cloud computingu cloud computing, který nesplňuje požadavky na cloud computing využívaný orgánem veřejné správy podle § 6n.

(5) Orgán veřejné správy se dopustí přestupku tím, že

a

využívá cloud computing v rozporu s § 6l odst. 1,

b

nesplní ve stanovené lhůtě povinnost ukončit využívání cloud computingu podle § 6l odst. 2,

c

nesplní povinnost zařadit informační systém nebo jeho část do bezpečnostní úrovně podle § 6l odst. 3, nebo

d

nezajišťuje dodržování bezpečnostních pravidel podle § 6l odst. 3.

Dosavadní odstavec 4 se označuje jako odstavec 6.

13

V § 7 odst. 6 se vkládá nové písmeno a), které zní:

a

10 000 000 Kč, jde-li o přestupek podle odstavce 4 nebo 5,

Dosavadní písmena a) až c) se označují jako písmena b) až d).

14

V § 9e odst. 3 se slova správci a provozovateli významného informačního systému zrušují.

15

V § 12 odst. 1 písm. b) se slova bezpečnostních úrovní a zrušují.

16

V § 12 se na konci odstavce 2 tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:

g

bezpečnostní úrovně informačních systémů veřejné správy,

h

obsah a rozsah bezpečnostních pravidel pro orgány veřejné správy využívající služeb cloud computingu podle § 6l odst. 3.

Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 290/2005 Sb., zákona č. 361/2005 Sb., zákona č. 186/2006 Sb., zákona č. 235/2006 Sb., zákona č. 310/2006 Sb., zákona č. 110/2007 Sb., zákona č. 261/2007 Sb., zákona č. 304/2007 Sb., zákona č. 124/2008 Sb., zákona č. 177/2008 Sb., zákona č. 189/2008 Sb., zákona č. 247/2008 Sb., zákona č. 384/2008 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 153/2010 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 94/2011 Sb., zákona č. 137/2011 Sb., zákona č. 341/2011 Sb., zákona č. 375/2011 Sb., zákona č. 420/2011 Sb., zákona č. 457/2011 Sb., zákona č. 468/2011 Sb., zákona č. 18/2012 Sb., zákona č. 19/2012 Sb., zákona č. 142/2012 Sb., zákona č. 167/2012 Sb., zákona č. 273/2012 Sb., zákona č. 214/2013 Sb., zákona č. 303/2013 Sb., zákona č. 181/2014 Sb., zákona č. 234/2014 Sb., zákona č. 250/2014 Sb., zákona č. 258/2014 Sb., zákona č. 318/2015 Sb., zákona č. 378/2015 Sb., zákona č. 222/2016 Sb., zákona č. 298/2016 Sb., zákona č. 183/2017 Sb., zákona č. 194/2017 Sb., zákona č. 225/2017 Sb., zákona č. 252/2017 Sb., zákona č. 287/2018 Sb., zákona č. 277/2019 Sb., zákona č. 311/2019 Sb., zákona č. 403/2020 Sb., zákona č. 150/2021 Sb., zákona č. 261/2021 Sb., zákona č. 270/2021 Sb., zákona č. 284/2021 Sb., zákona č. 374/2021 Sb., zákona č. 152/2023 Sb., zákona č. 202/2023 Sb., zákona č. 349/2023 Sb., zákona č. 265/2024 Sb. a zákona č. 23/2025 Sb., se mění takto:

1

V § 6 se doplňuje odstavec 6, který zní:

(6) Úřad rozhodne na základě žádosti o změně nebo zrušení regulačního opatření uloženého rozhodnutím vydaným na základě tohoto zákona v případě, že plnění podmínek nebo povinností stanovených v takovém rozhodnutí znemožňuje zcela nebo zčásti plnit povinnosti uvedené v protiopatření nebo opatření obecné povahy vydávaných podle zákona o kybernetické bezpečnosti.

2

V § 22a odst. 3 se slova odstavce 5 nahrazují slovy odstavce 6.

3

V § 22a se za odstavec 4 vkládá nový odstavec 5, který zní:

(5) Předseda Rady může rozhodnout po konzultaci podle § 130 o změně přídělu rádiových kmitočtů, jestliže je to nezbytné pro plnění protiopatření nebo plnění účelu opatření obecné povahy vydaného podle zákona o kybernetické bezpečnosti. Postup podle § 6 odst. 6 tím není dotčen.

Dosavadní odstavec 5 se označuje jako odstavec 6.

4

V § 98 se doplňuje odstavec 9, který zní:

(9) Povinnosti stanovené nebo uložené na základě odstavců 1, 3, 4 a 6 až 8 se neuplatní v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kybernetickém prostoru, a to v rozsahu, ve kterém se na něj vztahují obdobné informační povinnosti podle zákona o kybernetické bezpečnosti.

Zákon č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 139/2011 Sb., zákona č. 167/2012 Sb., zákona č. 399/2012 Sb., zákona č. 377/2015 Sb., zákona č. 298/2016 Sb., zákona č. 368/2016 Sb., zákona č. 183/2017 Sb., zákona č. 261/2021 Sb., zákona č. 240/2022 Sb. a zákona č. 280/2024 Sb., se mění takto:

1

V § 16 odst. 4 se na konci písmene m) slovo nebo nahrazuje čárkou.

2

V § 16 se na konci odstavce 4 tečka nahrazuje slovem , nebo a doplňuje se písmeno o), které zní:

o

Národnímu úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.

3

V § 16 se doplňuje odstavec 7, který zní:

(7) Výjimky uvedené v odstavci 4 písm. b) až o) se uplatní jen v nezbytně nutném rozsahu podle účelu poskytované informace. Nelze je uplatnit, pokud by poskytnutí informací mohlo zmařit nebo ohrozit šetření podle tohoto zákona nebo probíhající trestní řízení, nebo jestliže by poskytnutí informací bylo zjevně nepřiměřené oprávněným zájmům osoby, jíž se informace týká, nebo účelu, pro který byla žádost podána.

Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 199/2010 Sb., zákona č. 139/2011 Sb., zákona č. 420/2011 Sb., zákona č. 428/2011 Sb., zákona č. 457/2011 Sb., zákona č. 18/2012 Sb., zákona č. 377/2012 Sb., zákona č. 399/2012 Sb., zákona č. 241/2013 Sb., zákona č. 303/2013 Sb., zákona č. 257/2014 Sb., zákona č. 166/2015 Sb., zákona č. 377/2015 Sb., zákona č. 188/2016 Sb., zákona č. 243/2016 Sb., zákona č. 368/2016 Sb., zákona č. 183/2017 Sb., zákona č. 371/2017 Sb., zákona č. 35/2018 Sb., zákona č. 94/2018 Sb., zákona č. 111/2019 Sb., zákona č. 49/2020 Sb., zákona č. 527/2020 Sb., zákona č. 34/2021 Sb., zákona č. 172/2023 Sb., zákona č. 1/2024 Sb., zákona č. 107/2024 Sb., zákona č. 280/2024 Sb. a zákona č. 32/2025 Sb., se mění takto:

1

V § 39 se na konci odstavce 1 tečka nahrazuje čárkou a doplňuje se písmeno r), které zní:

r

Národnímu úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.

2

V § 39 odst. 4 úvodní části ustanovení se text q) nahrazuje textem r).

V § 27 odst. 3 zákona č. 17/2012 Sb., o Celní správě České republiky, ve znění zákona č. 283/2020 Sb., se za slovo republiky, vkládají slova Národnímu úřadu pro kybernetickou a informační bezpečnost,.

Zákon č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), ve znění zákona č. 69/2025 Sb., se mění takto:

1

V § 7 písm. c) se slova správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby⁵) nahrazují slovy poskytovatelem regulované služby v režimu vyšších povinností⁵).

Poznámka pod čarou č. 5 zní:

2

§ 20a včetně nadpisu zní:

§ 20a

Výjimky z povinnosti mlčenlivosti

(1) Povinnost zaměstnanců ministerstva pověřených vedením řízení nebo konzultací podle tohoto zákona zachovávat mlčenlivost podle § 20 se neuplatní v rámci spolupráce ministerstva s

a

Úřadem podle právního předpisu upravujícího některé vztahy v oblasti veřejné podpory⁹) a

b

Národním úřadem pro kybernetickou a informační bezpečnost při prověřování bezpečnosti dodavatelského řetězce podle právního předpisu upravujícího kybernetickou bezpečnost.

(2) Zaměstnanci Národního úřadu pro kybernetickou a informační bezpečnost jsou oprávněni informace získané v rámci spolupráce podle odstavce 1 písm. b) použít pouze při prověřování bezpečnosti dodavatelského řetězce a jsou povinni o nich zachovávat mlčenlivost.

Tento zákon nabývá účinnosti prvním dnem třetího kalendářního měsíce následujícího po jeho vyhlášení.