(1) Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací se dopustí přestupku tím, že
a) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13,
b) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
c) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo
d) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(2) Orgán nebo osoba zajišťující významnou síť se dopustí přestupku tím, že
a) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,
b) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 3,
c) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle § 13,
d) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo
f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(3) Správce informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že
a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,
b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,
c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,
d) neinformuje provozovatele systému podle § 4a odst. 1,
e) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2,
f) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,
g) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
h) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
i) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
j) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
k) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
l) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(4) Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury se dopustí přestupku tím, že
a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,
b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,
c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,
d) neinformuje subjekt zajišťující síť elektronických komunikací podle § 4a odst. 2,
e) nepředá data, provozní údaje a informace podle § 6a odst. 2,
f) nepředá data, provozní údaje a informace podle § 6a odst. 3,
g) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,
h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,
i) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,
j) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
k) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
l) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
m) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
n) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,
o) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
p) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(5) Správce významného informačního systému se dopustí přestupku tím, že
a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,
b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,
c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,
d) neinformuje provozovatele systému podle § 4a odst. 1,
e) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,
f) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(6) Provozovatel významného informačního systému se dopustí přestupku tím, že
a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci,
b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,
c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,
d) nepředá data, provozní údaje a informace podle § 6a odst. 2,
e) nepředá data, provozní údaje a informace podle § 6a odst. 3,
f) nezničí kopie dat, provozních údajů a informací podle § 6a odst. 3,
g) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle § 6a odst. 3,
h) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,
i) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
j) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
k) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
l) nesplní povinnost uloženou Úřadem v rozhodnutí podle § 15a odst. 1,
m) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
n) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(7) Správce informačního systému základní služby se dopustí přestupku tím, že
a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,
b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,
c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,
d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,
e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(8) Provozovatel informačního systému základní služby se dopustí přestupku tím, že
a) v rozporu s § 4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci,
b) v rozporu s § 4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s § 4 odst. 4,
c) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,
d) nedetekuje kybernetické bezpečnostní události podle § 7 odst. 3,
e) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 1 a 4,
f) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
g) nesplní povinnost uloženou Úřadem podle § 13 nebo 14,
h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle § 13 odst. 4,
i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
j) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(9) Provozovatel základní služby se dopustí přestupku tím, že
a) jako orgán veřejné moci v rozporu s § 4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s § 4 odst. 6,
b) neinformuje správce nebo provozovatele informačního systému základní služby podle § 4a odst. 3,
c) nenahlásí významný dopad na kontinuitu poskytování základní služby podle § 8 odst. 1, 4 nebo 8,
d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle § 16 odst. 2 písm. b), nebo
f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(10) Poskytovatel digitální služby se dopustí přestupku tím, že
a) neustaví svého zástupce podle § 3a odst. 1,
b) v rozporu s § 4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření,
c) neohlásí kybernetický bezpečnostní incident podle § 8 odst. 2 a 3,
d) nesplní povinnost informovat veřejnost uloženou Úřadem podle § 12 odst. 3,
e) neoznámí kontaktní údaje nebo jejich změnu podle § 16 odst. 2 písm. a), nebo
f) nesplní některou z povinností uloženou nápravným opatřením podle § 24.
(11) Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě se dopustí přestupku tím, že
a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti,
b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti,
c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti, nebo
d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti.
(12) Držitel evropského certifikátu kybernetické bezpečnosti se dopustí přestupku tím, že neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech.
(13) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti,
c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti,
d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti,
e) provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace, nebo
f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti nebo mimo rozsah této akreditace.
(14) Za přestupek lze uložit pokutu do
a) 5000000 Kč, jde-li o přestupek podle odstavce 3 písm. a), odstavce 4 písm. a), odstavce 5 písm. a), odstavce 6 písm. a), odstavce 7 písm. a), odstavce 8 písm. a), odstavce 10 písm. b) anebo odstavce 12 nebo 13,
b) 1000000 Kč, jde-li o přestupek podle odstavce 1 písm. a), b) nebo d), odstavce 2 písm. a) až d) nebo písm. f), odstavce 3 písm. b) až j) nebo písm. l), odstavce 4 písm. b) až n) nebo písm. p), odstavce 5 písm. b) až h) nebo písm. j), odstavce 6 písm. b) až l) nebo písm. n), odstavce 7 písm. b) až h) nebo písm. j), odstavce 8 písm. b) až h) nebo písm. j), odstavce 9 písm. a) až d) nebo písm. f), odstavce 10 písm. a), c), d) nebo f) nebo odstavce 11,
c) 10000 Kč, jde-li o přestupek podle odstavce 1 písm. c), odstavce 2 písm. e), odstavce 3 písm. k), odstavce 4 písm. o), odstavce 5 písm. i), odstavce 6 písm. m), odstavce 7 písm. i), odstavce 8 písm. i), odstavce 9 písm. e) nebo odstavce 10 písm. e).
(1) Fyzická osoba se dopustí přestupku tím, že poruší povinnost uvedenou v § 10 odst. 1.
(2) Za přestupek podle odstavce 1 lze uložit pokutu do 50000 Kč.