Díl 2
§ 98
(1) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna zajišťovat bezpečnost a integritu své sítě a bezpečnost služeb, které poskytuje. Za tím účelem je tato osoba zejména povinna přijmout technicko-organizační pravidla vytvořená v souladu se síťovými plány podle odstavce 2. S ohledem na technické možnosti tato pravidla zajistí takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika s cílem předejít nebo minimalizovat dopad bezpečnostních incidentů na uživatele a na sítě a služby. Bezpečností sítě a služby se rozumí jejich schopnost odolávat s dostatečnou spolehlivostí veškerým zásahům, které narušují dostupnost, hodnověrnost, integritu nebo důvěrnost této sítě a služby, uchovávaných, předávaných nebo zpracovávaných dat nebo souvisejících služeb, které tato síť nebo služba elektronických komunikací nabízí nebo které jsou jejich prostřednictvím přístupné. Bezpečnostním incidentem se rozumí událost, která má skutečný nepříznivý dopad na bezpečnost sítí nebo služeb elektronických komunikací.
(2) Pro zajištění bezpečnosti a integrity veřejných komunikačních sítí Úřad vydává síťové plány (§ 62), ve kterých vymezí základní vlastnosti těchto sítí a jejich rozhraní, které jsou nezbytné pro vzájemné propojování veřejných komunikačních sítí, pro přístup k nim, pro připojování neveřejných komunikačních sítí a zajištění bezpečnosti a kontinuity dodávek služeb, které jsou prostřednictvím veřejných komunikačních služeb poskytovány.
(3) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací může v případech, kdy hrozí nebo dojde k závažnému narušení bezpečnosti sítě a služby a integrity jeho sítě z důvodů poškození nebo zničení elektronického komunikačního zařízení, zejména vlivem velkých provozních havárií nebo živelních pohrom, přerušit poskytování služby nebo odepřít přístup ke službě. Přerušení nebo odepření musí být omezeno pouze na dobu nezbytně nutnou, a je-li to technicky možné, musí být zachován přístup k tísňovým číslům.
(4) O závažném narušení bezpečnosti sítě a služby a ztrátě integrity sítě, rozsahu a důvodech přerušení poskytování služby nebo odepření přístupu k ní, přijatých opatřeních a o předpokládaném termínu odstranění příčiny podle odstavce 3 je osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací povinen bezodkladně informovat Úřad, subjekty provozující centra tísňové komunikace a vhodným způsobem i uživatele. Kritéria určení závažného narušení bezpečnosti sítě a služby a ztrátu integrity sítě a rozsah a formu předávání informací stanoví Úřad prováděcím právním předpisem. Úřad může v případě, že je zveřejnění těchto informací ve veřejném zájmu, informovat o tom vhodným způsobem veřejnost nebo povinnost zveřejnění těchto informací uložit osobě zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací. Je-li to vhodné, informuje Úřad také příslušné orgány v jiných členských státech a Evropskou agenturu pro bezpečnost sítí a informací (ENISA).
(5) Úřad předkládá každoročně Komisi a Evropské agentuře pro bezpečnost sítí a informací (ENISA) souhrnnou zprávu za předchozí kalendářní rok, která informuje o oznámeních a opatřeních přijatých podle odstavců 3 a 4, a to v rozsahu a formátu stanoveném Komisí.
(6) Osobě zajišťující veřejnou komunikační síť nebo poskytujícímu veřejně dostupnou službu elektronických komunikací může Úřad uložit povinnost provést bezpečnostní audit. Tento audit musí být proveden kvalifikovaným nezávislým subjektem a na náklady podnikatele. Podnikatel zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je dále povinen na žádost Úřadu předložit mu informace potřebné k posouzení bezpečnosti a integrity sítí a bezpečnosti služeb, bezpečnostní audit a jeho výsledky, včetně podkladů k bezpečnostní politice.
(7) V případě, že Úřad identifikoval významnou hrozbu pro bezpečnost a integritu veřejné komunikační sítě nebo služby elektronických komunikací, rozhodne o povinnosti dotčené osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací provést opatření, včetně lhůt k jejich provedení, k řešení bezpečnostního incidentu, anebo k zabránění jeho vzniku. Toto rozhodnutí je prvním úkonem ve věci. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 3 dnů ode dne jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí nemá odkladný účinek. O výsledku přijatých opatření dotčená osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací informuje bez zbytečného odkladu Úřad.
(8) Má-li se opatření k řešení hrozby pro bezpečnost a integritu veřejné komunikační sítě nebo služby elektronických komunikací týkat blíže neurčeného okruhu osob zajišťujících veřejnou komunikační síť nebo poskytujících veřejně dostupnou službu elektronických komunikací, vydá je Úřad formou opatření obecné povahy.
§ 98a
(1) Právnická nebo podnikající fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna na základě rozhodnutí vydaného Ministerstvem obrany podle zákona o Vojenském zpravodajství70) zřídit a zabezpečit v určených bodech jí zajišťované veřejné komunikační sítě rozhraní pro připojení nástroje detekce umožňujícího provádět cílenou detekci jevů nasvědčujících existenci kybernetického útoku nebo hrozby a jejich identifikaci podle zákona o Vojenském zpravodajství71).
(2) Právnická nebo podnikající fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací poskytne neprodleně na vyžádání součinnost při cíleném vyhledávání kybernetického útoku nebo hrozby pomocí ukazatelů podle zákona o Vojenském zpravodajství72) v rozsahu a prostřednictvím bezpečnostních opatření, které tato osoba již provádí.
(3) Osoba uvedená v odstavci 1 není bez souhlasu Vojenského zpravodajství oprávněna zasáhnout do jím připojeného nástroje detekce nebo jakkoliv omezit jeho funkčnost; to neplatí, pokud provedení zásahu do nástroje detekce nebo omezení jeho funkčnosti je nutné vzhledem k tomu, že v souvislosti s jeho připojením a provozováním je vyvolán stav ohrožující samotný provoz veřejné komunikační sítě, poskytování veřejně dostupné služby elektronických komunikací nebo ohrožující zdraví anebo životy fyzických osob, hrozí-li nebezpečí z prodlení.
(4) Osoba uvedená v odstavci 1 je povinna umožnit Vojenskému zpravodajství na požádání přístup k nástroji detekce umístěnému na jí zajišťované veřejné komunikační síti, přičemž Vojenské zpravodajství musí postupovat tak, aby jeho činností nebyly porušovány podmínky výkonu povinností této osobě uložené zákonem.
(5) Za plnění povinností podle odstavce 1 náleží právnické nebo podnikající fyzické osobě od Vojenského zpravodajství úhrada efektivně vynaložených nákladů. Způsob určení výše efektivně vynaložených nákladů, postup jejich uplatnění a způsob jejich úhrady stanoví prováděcí právní předpis.
(6) Osoba uvedená v odstavci 1, jakož i jiné osoby podílející se na plnění povinnosti podle odstavců 1 a 2, jsou povinny zachovávat mlčenlivost o všech skutečnostech souvisejících s prováděním detekce a s připojením a užíváním nástroje detekce. Tato povinnost trvá i poté, kdy tato osoba přestane být osobou podle odstavce 1 nebo osobou podílející se na plnění povinnosti podle věty první.
(7) Povinnost zachovávat mlčenlivost podle odstavce 6 se nevztahuje na podávání informací kontrolujícím, kteří provádějí kontrolu činností Vojenského zpravodajství podle části čtvrté zákona o Vojenském zpravodajství.
§ 99
(1) Podnikatel zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je za krizového stavu povinen podle svých technicko-organizačních pravidel zabezpečit bezpečnost a integritu své sítě a interoperabilitu poskytovaných služeb. Náležitosti uvedených technicko-organizačních pravidel stanoví Úřad prováděcím právním předpisem.
(2) Podnikatel uvedený v odstavci 1 je povinen předložit Úřadu na jeho vyžádání dokumenty specifikující technicko-organizační pravidla podle odstavce 1 a umožnit Úřadu kontrolovat dodržování těchto pravidel. Úřad je oprávněn při zjištění rozporu těchto dokumentů s právními předpisy sdělit dotčenému podnikateli tuto skutečnost a stanovit mu přiměřenou lhůtu k odstranění nedostatků.
(3) Podnikatel zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinen při nebezpečí vzniku krizové situace na žádost Ministerstva vnitra a za krizového stavu39) poskytovat přednostně připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací účastníkům krizové komunikace podle krizového zákona. Za tímto účelem je v rozsahu nezbytně nutném oprávněn omezit nebo přerušit poskytování veřejně dostupné služby elektronických komunikací. O omezení nebo přerušení poskytování veřejně dostupné služby elektronických komunikací, včetně jeho rozsahu, je povinen bezprostředně informovat Úřad. Toto omezení může trvat pouze po dobu nezbytně nutnou a musí být zachován přístup k tísňovým číslům.
(4) Podnikatel uvedený v odstavci 1 je za krizového stavu povinen bezodkladně informovat Úřad o ohrožení nebo narušení bezpečnosti a integrity své sítě a bezpečnosti služeb, včetně přijatých nebo zamýšlených opatření k nápravě a o předpokládaném termínu odstranění příčiny.