226/2022 Sb.Zákon, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů

Částka: 104 Druh předpisu: Zákon
Rozeslána dne: 5. srpna 2022 Autor předpisu: Parlament
Přijato: 20. července 2022 Nabývá účinnosti: 6. srpna 2022
Platnost předpisu: Ano Pozbývá platnosti:
 Obsah   Tisk   Export  Skrýt přehled   Celkový přehled   Skrýt názvy Zobrazit názvy  

Předpisem se mění

181/2014 Sb.;

Předpisy EU

(EU) 2016/1148; (EU) 2019/881;
Původní znění předpisu
Zavřít

226

ZÁKON

ze dne 20. července 2022,

kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů

Parlament se usnesl na tomto zákoně České republiky:

Čl. I

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 205/2017 Sb., zákona č. 35/2018 Sb., zákona č. 111/2019 Sb., zákona č. 12/2020 Sb. a zákona č. 261/2021 Sb., se mění takto:

1

§ 1 odstavec 2 včetně poznámek pod čarou č. 6 a 17 zní:

(2) Tento zákon zapracovává příslušný předpis Evropské unie6), zároveň navazuje na přímo použitelný předpis Evropské unie17) a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.

6

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.

17

Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 (akt o kybernetické bezpečnosti).

2

§ 22 se na konci písmene x) tečka nahrazuje čárkou a doplňuje se písmeno y), které zní:

y

je orgánem certifikace kybernetické bezpečnosti podle čl. 58 aktu o kybernetické bezpečnosti17).

3

Za § 22a se vkládá nový § 22b, který včetně nadpisu zní:

§ 22b

Autorizace subjektů posuzování shody podle aktu o kybernetické bezpečnosti

(1) Stanoví-li přímo použitelný předpis Evropské unie vydaný na základě aktu o kybernetické bezpečnosti konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti17) rozhoduje o žádostech o autorizaci subjektu posuzování shody, a pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti17) nebo přímo použitelného předpisu Evropské unie vydaného na základě aktu o kybernetické bezpečnosti, o pozastavení vykonatelnosti, o změně nebo o zrušení rozhodnutí o autorizaci.

(2) Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti.

(3) V rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci podle odstavce 1 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nezjedná nápravu, rozhodne Úřad o změně či zrušení rozhodnutí o autorizaci.

(4) Úřad rozhodne v řízení o žádosti o autorizaci podle odstavce 1 nejdéle do 120 dnů od zahájení řízení, v mimořádných případech do 180 dnů.

4

§ 25 se za odstavec 10 vkládají nové odstavce 11 až 13, které znějí:

(11) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že

a

vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti17),

b

neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17),

c

nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17), nebo

d

neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti17).

(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.

(13) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že

a

zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17),

b

padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17),

c

provede činnost posouzení shody podle aktu o kybernetické bezpečnosti17) na úroveň záruky vysoká, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti17),

d

jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti17) vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti,

e

provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo

f

vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti17) nebo mimo rozsah této akreditace.

Dosavadní odstavec 11 se označuje jako odstavec 14.

5

§ 25 odst. 14 písm. a) se slovo nebo nahrazuje čárkou a na konci textu písmene se doplňují slova anebo odstavce 12 nebo 13.

6

§ 25 odst. 14 písm. b) se slova písm. f) nebo nahrazují textem písm. f), a na konci textu písmene se doplňují slova nebo odstavce 11.

Čl. II

Účinnost

Tento zákon nabývá účinnosti dnem následujícím po dni jeho vyhlášení.

Pekarová Adamová v. r.

Zeman v. r.

Fiala v. r.

MENU