Gesetz Nr. 181 / 2014 Coll.
Act on Cybersecurity and Change of Related Laws (Act on Cybersecurity)
Gültig
In Kraft seit 01.01.2015
Inhalt
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
§ 3a
HLAVA II
§ 4
§ 4a
§ 5
§ 6
§ 6a
§ 7
§ 8
§ 9
§ 10
§ 10a
§ 11
§ 12
§ 13
§ 14
§ 15
§ 15a
§ 16
§ 17
§ 18
§ 19
§ 20
HLAVA III
§ 21
HLAVA IV
§ 21a
§ 22
§ 22a
§ 22b
§ 22c
HLAVA V
§ 23
§ 24
§ 24a
§ 24b
§ 24c
§ 25
§ 26
§ 27
HLAVA VI
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
ČÁST TŘETÍ
§ 35
ČÁST PÁTÁ
§ 37
ČÁST ŠESTÁ
§ 38
Zobrazeno prvních 200 z celkem 575 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
181
Recht
vom 23. Juli 2014
über Cybersicherheit und die Änderung der verwandten Gesetze (Cybersecurity Act)
Das Parlament hat über dieses Gesetz der Tschechischen Republik entschieden:
Cyber Security
Allgemeine Bestimmungen
Gegenstand
(1) Dieses Gesetz regelt die Rechte und Pflichten von Personen und die Befugnisse und Befugnisse der öffentlichen Behörden im Bereich der Cybersicherheit.
(2) Dieses Gesetz enthält die betreffende Europäische Union6), die auf der unmittelbar anwendbaren Europäischen Union17 beruht und die Sicherheit elektronischer Kommunikationsnetze und Informationssysteme regelt.
(3) Dieses Gesetz gilt nicht für Informations- oder Kommunikationssysteme, die vertrauliche Informationen behandeln.
Definition der Begriffe
Dieses Gesetz bedeutet:
a) den Cyberspace einer digitalen Umgebung, die die Erstellung, Verarbeitung und den Austausch von Informationen, bestehend aus Informationssystemen und elektronischen Kommunikationsdiensten und -netzen (1) ermöglicht;
b) ein kritisches Informationsinfrastrukturelement oder System kritischer Infrastrukturelemente im Kommunikations- und Informationssystem2) im Bereich der Cybersicherheit;
c) die Sicherheit von Informationen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Daten gewährleisten;
d) ein wichtiges Informationssystem, das von einer öffentlichen Behörde verwaltet wird, die keine kritische Informationsinfrastruktur oder ein grundlegendes Dienstleistungsinformationssystem ist und die Ausübung der Befugnisse der öffentlichen Behörde verringern oder erheblich gefährden kann;
e) den Verantwortlichen des Informationssystems durch die Behörde oder Person, die den Zweck der Verarbeitung der Informationen und die Bedingungen für den Betrieb des Informationssystems festlegt;
f) durch den Verantwortlichen des Kommunikationssystems, der Behörde oder Person, die den Zweck des Kommunikationssystems und die Bedingungen für dessen Betrieb bestimmt;
g) den Betreiber des Informations- oder Kommunikationssystems, die Behörde oder Person, die die Funktionalität der technischen und programmierenden Mittel gewährleistet, die das Informations- oder Kommunikationssystem bilden;
(h) ein wichtiges Netz elektronischer Kommunikationsnetze (1) die direkte externe Verbindung zu öffentlichen Kommunikationsnetzen oder die direkte Verbindung zu kritischer Informationsinfrastruktur;
(i) ein Grunddienst, dessen Bereitstellung von elektronischen Kommunikationsnetzen (7) oder Informationssystemen abhängig ist, und dessen Störung erhebliche Auswirkungen auf die Sicherheit der sozialen oder wirtschaftlichen Tätigkeiten in einem dieser Sektoren haben könnte.
1. Energie;
2. nach rechts,
3. Banking,
4. Finanzmarktinfrastruktur;
5. Gesundheitsversorgung,
6. Wassermanagement,
7. digitale Infrastruktur,
8. chemische Industrie,
(j) ein Informationssystem für den Basisdienst, dessen Funktionsweise von der Erbringung des Basisdienstes abhängt;
(k) der Betreiber des Basisdienstes durch die Behörde oder Person, die den Grunddienst erbringt und vom Nationalen Amt für Cyber- und Informationssicherheit (nachfolgend "das Amt") gemäß § 22a benannt wird; zur Erfüllung der Informationspflicht gemäß der einschlägigen Verordnung der Europäischen Union (8) gelten die in § 3 Buchstaben c und d genannten Behörden und Personen auch als Betreiber des Basisdienstes;
(l) den Dienst der digitalen Dienste-Informationsgesellschaft nach dem Gesetz über bestimmte Dienste der Informationsgesellschaft 9), der im Betrieb besteht:
1. einen Online-Marktplatz, der es dem Verbraucher oder Verkäufer ermöglicht, über eine Online-Marktplatz-Website oder über eine Verkäufer-Website, die den vom Online-Marktplatz bereitgestellten Service nutzt, einen Kaufvertrag mit dem Verkäufer des Unternehmens zu schließen10;
2. eine Internet-Suchmaschine, die es Ihnen ermöglicht, grundsätzlich auf allen Websites zu suchen, basierend auf der Anfrage eines Nutzers zu einem Thema in Form eines Schlüsselworts, einer Phrase oder einer anderen Zuordnung, dem Dienst, der Links zur Verfügung stellt, auf die Informationen über den gewünschten Inhalt gefunden werden können; oder
3. Cloud-Computing, das den Zugriff auf ein dehnbares und anpassbares Repository oder Computerressourcen ermöglicht, die geteilt werden können; und
(m) von der zuständigen Behörde, der zuständigen Behörde im Bereich der Cybersicherheit.
Die Institute und Personen, die im Zusammenhang mit der Cybersicherheit Aufgaben wahrnehmen,
a) der elektronische Kommunikationsdienstleister und das dem elektronischen Kommunikationsnetz (1) zur Verfügung stehende Unternehmen, es sei denn, es handelt sich um eine in Buchstabe b genannte Behörde oder Person;
b) eine Behörde oder Person, die ein bedeutendes Netzwerk bereitstellt, es sei denn, sie ist der Verantwortliche oder Betreiber des in Buchstabe d genannten Kommunikationssystems;
c) der Administrator und der Informationssystembetreiber der kritischen Informationsinfrastruktur;
d) dem Verantwortlichen und dem Betreiber des kritischen Informationsinfrastruktur-Kommunikationssystems;
e) der Verwalter und der Betreiber des bedeutenden Informationssystems;
f) den Administrator und den Betreiber des Basis-Service-Informationssystems, wenn sie nicht der in c) oder d genannte Verantwortliche oder Betreiber sind;
g) der Betreiber des Basisdienstes, wenn er nicht der in Buchstabe f genannte Verwalter oder Betreiber ist, und
(h) ein digitaler Dienstleister.
Vertreter des digitalen Dienstleisters
(1) Ein digitaler Dienstleister, der diese Dienstleistung in der Tschechischen Republik anbietet, ist nicht in der Europäischen Union niedergelassen und hat keinen Vertreter in einem anderen Mitgliedstaat der Europäischen Union (nachstehend „ein anderer Mitgliedstaat“ genannt) eingerichtet. Der Vertreter des digitalen Dienstleisters ist eine in der Tschechischen Republik ansässige Person, die ein Anbieter des digitalen Dienstes ist, der unter der Aufsicht der Behörde steht, ihn in Bezug auf Verpflichtungen aus diesem Gesetz zu vertreten.
(2) Hat der digitale Dienstleister seinen Sitz außerhalb der Europäischen Union und einen Vertreter in der Tschechischen Republik, gilt er als in der Tschechischen Republik niedergelassen und unterliegt den Verpflichtungen nach diesem Gesetz.
(3) Für den Fall, dass der digitale Dienstleister in der Tschechischen Republik ansässig ist oder einen dort ansässigen Vertreter hat, die von ihm verwendeten elektronischen Kommunikationsnetze und die Informationssysteme jedoch in einem anderen Mitgliedstaat angesiedelt sind, arbeitet die Behörde bei der Ausübung ihrer Verwaltung mit der zuständigen Behörde des betreffenden Mitgliedstaats zusammen.
Cyber Security System
Sicherheitsmaßnahmen
(1) Sicherheitsmaßnahme ist eine Zusammenfassung von Maßnahmen zur Gewährleistung der Informationssicherheit in Informationssystemen und der Verfügbarkeit und Zuverlässigkeit von Diensten und elektronischen Kommunikationsnetzen (1) im Cyberraum.
(2) Die in Artikel 3 Buchstaben c bis f genannten Behörden und Personen sind verpflichtet, Sicherheitsmaßnahmen so weit wie erforderlich einzurichten und aufrechtzuerhalten, um die Cybersicherheit des Informationssystems für kritische Informationsinfrastruktur, des Kommunikationssystems für kritische Informationsinfrastrukturen, des Informationssystems für grundlegende Dienste und des Informationssystems zu gewährleisten.
(3) Der digitale Dienstleister legt angemessene und verhältnismäßige Sicherheitsmaßnahmen für elektronische Kommunikationsnetze und Informationssysteme fest, die im Rahmen der Erbringung seines Dienstes eingesetzt werden, wobei die Sicherheit der Informationen, die Verwaltung von Cybersicherheitsvorfällen, die Bewirtschaftung der Kontinuität von Tätigkeiten, die Überwachung, die Prüfung, die Prüfung und die Einhaltung internationaler Vorschriften berücksichtigt werden.
(4) Die in § 3 Buchstaben c bis f genannten Behörden und Personen sind verpflichtet, die Anforderungen der Sicherheitsvereinbarungen zur Auswahl des Lieferanten für ihr Informations- oder Kommunikationssystem zu berücksichtigen und diese Anforderungen in den mit dem Lieferanten geschlossenen Vertrag aufzunehmen. Unter Berücksichtigung der Anforderungen, die sich aus den Sicherheitsmaßnahmen im ersten Satz ergeben, soweit dies zur Erfüllung der Verpflichtungen nach diesem Recht erforderlich ist, kann sie nicht als rechtswidrige Beschränkung des Wettbewerbs oder als ungerechtfertigtes Wettbewerbshindernis angesehen werden.
(5) Vor Abschluss eines Vertrags mit einem Cloud-Computing-Dienstleister sind öffentliche Behörden verpflichtet, das angeforderte Cloud-Computing auf der Sicherheitsebene unter Berücksichtigung der Art des betreffenden Informations- oder Kommunikationssystems im Rahmen der Durchführungsvorschriften einzubeziehen und sicherzustellen, dass die von der Behörde festgelegten Sicherheitsregeln für die Bereitstellung von Cloud-Computing-Diensten eingehalten werden und dass ihnen auf Anfrage unverzüglich Informationen und Daten von dem Cloud-Computing-Dienstleister zur Verfügung stehen, einschließlich der Möglichkeit, gespeicherte Informationen und Daten zu überprüfen.
(6) Der Cloud-Computing-Dienstleister und die öffentliche Behörde vereinbaren im Vertrag ferner die Art und Höhe der Entschädigung, die für die Umsetzung der Sicherheitsregeln und die Umsetzung der Sicherheitspolitik des Kunden wirksam entstanden ist.
(7) Unter Berücksichtigung der Anforderungen der Sicherheitspolitik, der Sicherheitsregeln, der im Vertrag nach Absatz 5 vereinbarten Sicherheitsmaßnahmen und sonstigen Bedingungen, die zur Erfüllung der Verpflichtungen nach diesem Recht erforderlich sind, kann sie nicht als rechtswidrige Wettbewerbsbeschränkung oder als ungerechtfertigtes Wettbewerbshindernis angesehen werden.
(1) Die Behörden und Personen, die Verwalter von kritischen Informations- oder Kommunikationssystemen oder Managern bedeutender Informationssysteme geworden sind und diese nicht betreiben müssen, informieren den Anlagenbetreiber unverzüglich und nachweislich über diese Tatsache und darüber, dass dieser Betreiber nach § 3 c), d) oder e) eine Behörde oder Person geworden ist.
(2) Die Behörden und Personen, die Verantwortliche oder Manager von kritischen Informations- oder Kommunikationssystemen geworden sind, sind verpflichtet, die Stelle, die das elektronische Kommunikationsnetz bereitstellt, an das ihr kritisches Informations- oder Kommunikationssystem angeschlossen ist, unverzüglich und nachweislich zu informieren und die in Artikel 3 Buchstabe b genannte Stelle oder Person zu werden.
(3) Die Behörden und Personen, die gemäß Artikel 22a vom Betreiber des wesentlichen Dienstes benannt worden sind und nicht gleichzeitig die Verantwortlichen oder Betreiber ihrer Grunddienstinformationssysteme sind verpflichtet, den Verwalter oder den Betreiber des wesentlichen Dienstes unverzüglich und nachweislich über ihre Benennung und die Tatsache, dass der betreffende Verwalter oder Betreiber gemäß Artikel 3 Buchstabe f eine Behörde oder Person geworden ist, zu informieren.
(1) Sicherheitsmaßnahmen sind:
a) organisatorische Maßnahmen und
b) technische Maßnahmen.
(2) Die organisatorischen Maßnahmen sind:
a) das Informationssicherheitsmanagementsystem;
b) Risikomanagement;
c) Sicherheitspolitik;
d) Organisationssicherheit;
e) Festlegung der Sicherheitsanforderungen für Lieferanten;
(f) Vermögensverwaltung;
g) Sicherheit der Humanressourcen;
(h) Verkehrs- und Kommunikationsmanagement;
(i) Zugangskontrolle;
(j) Erwerb, Entwicklung und Wartung;
(k) die Verwaltung von Cyber-Sicherheitsvorfällen und Cyber-Sicherheitsvorfällen;
(l) Geschäftskontinuitätsmanagement und
(m) Kontrolle und Prüfung.
(3) Technische Maßnahmen sind:
a) körperliche Sicherheit;
b) ein Instrument zum Schutz der Integrität von Kommunikationsnetzen;
c) Benutzeridentifikationstool;
d) das Zugangsberechtigungsmanagement-Tool;
e) das Instrument zum Schutz vor schädlichem Code;
f) ein Instrument zur Erfassung der Tätigkeiten des Informations- oder Kommunikationssystems, seiner Nutzer und Verwalter;
(g) ein Werkzeug zur Erkennung von Cybersicherheitsvorfällen;
(h) ein Instrument zum Sammeln und Auswerten von Cybersicherheitsvorfällen;
(i) Anwendungssicherheit;
(j) kryptografische Erzeugnisse;
(k) ein Instrument zur Sicherstellung der Informationsverfügbarkeit und
(l) die Sicherheit von Industrie- und Steuersystemen.
Die Durchführungsvorschriften sehen vor:
a) den Inhalt der Sicherheitsmaßnahmen;
b) Inhalt und Struktur der Sicherheitsdokumentation;
c) den Umfang der Sicherheitsmaßnahmen für die in § 3 Buchstaben c bis f genannten Behörden und Personen;
d) bedeutende Informationssysteme und deren Festlegungskriterien;
e) den Inhalt und den Umfang der Sicherheitsregeln für Behörden, die die Dienste von Cloud-Computing-Anbietern nutzen, einschließlich der Sicherheitsstufen für die Verwendung von Cloud-Computing durch öffentliche Behörden.
(1) Der Verwalter eines kritischen Informationsinfrastruktur-Informationssystems, eines kritischen Informationsinfrastruktur-Kommunikationssystems oder eines bedeutenden Informationssystems kann den Betrieb eines kritischen Informationsinfrastruktur-Informationssystems, eines kritischen Informationsinfrastruktur-Kommunikationssystems oder eines signifikanten Informationssystems einer anderen Behörde oder Person anvertrauen, es sei denn, ein anderes Gesetz schließt es aus.
(2) Der Betreiber eines kritischen Informations-Infrastruktur-Informationssystems, eines kritischen Informations-Infrastruktur-Kommunikationssystems oder eines bedeutenden Informationssystems hat auf Verlangen des Verwalters dieses Systems unverzüglich und in einem vereinbarten Format die ihm im Zusammenhang mit dem Betrieb dieses Systems zur Verfügung stehenden Daten, Betriebsdaten und Informationen zu übermitteln. Die Bestimmungen der Rechtsvorschriften über geistiges Eigentum sind unbeschadet der Übermittlung von Daten, operativen Daten und Informationen.
(3) Wird der kritische Informationsinfrastruktur-Informationssystembetreiber, das kritische Informationsinfrastruktur-Kommunikationssystem oder das wesentliche Informationssystem das System nicht weiter betreiben, so übermittelt der Verantwortliche dieses Systems die ihm im Zusammenhang mit dem Betrieb dieses Systems zur Verfügung stehenden Daten, Betriebsdaten und Informationen, die für den möglichen weiteren Betrieb dieses Informationssystems oder dessen Verwendung erforderlich sind und dessen Kopien sicher in seinem digitalen Umfeld entsorgen. Das Verfahren zur Beseitigung von Daten, Betriebsdaten, Informationen und Kopien davon ist in den Durchführungsvorschriften festgelegt.
(4) Der Betreiber eines kritischen Informationsinfrastruktur-Informationssystems, eines kritischen Informationsinfrastruktur-Kommunikationssystems oder eines bedeutenden Informationssystems ist berechtigt, die Kosten, die für die Übermittlung von Daten, Betriebsdaten und Informationen gemäß den Absätzen 2 und 3 wirksam entstehen, zurückzuerstatten; die Kosten werden vom Verwalter dieses Systems an den Betreiber gezahlt.
Cyber Security Vorfall und Cyber Security Vorfall
(1) Ein Cyber-Sicherheitsereignis ist ein Ereignis, das einen Verstoß gegen die Informationssicherheit in Informationssystemen oder einen Verstoß gegen die Sicherheit der Dienste oder die Sicherheit und Integrität der elektronischen Kommunikationsnetze (1) verursachen kann.
(2) Der Cyber-Sicherheitsvorfall ist eine Verletzung der Informationssicherheit in Informationssystemen oder der Sicherheit von Dienstleistungen oder der Sicherheit und Integrität elektronischer Kommunikationsnetze (1) aufgrund eines Cyber-Sicherheitsereignisses.
(3) Die in § 3 Buchstaben b bis f genannten Behörden und Personen sind verpflichtet, Cybersicherheitsvorfälle in ihrem bedeutenden Netz, kritisches Informationsinfrastruktur-Informationssystem, kritisches Informationsinfrastruktur-Kommunikationssystem, grundlegendes Service-Informationssystem oder wichtiges Informationssystem zu erkennen.
Meldung von Cyber-Sicherheitsvorfällen
(1) Die in Artikel 3 Buchstaben b bis f genannten Behörden und Personen sind verpflichtet, Cybersicherheitsvorfälle in ihrem bedeutenden Netz, dem kritischen Informationsinfrastruktur-Informationssystem, dem kritischen Informationsinfrastruktur-Kommunikationssystem, dem Basis-Service-Informationssystem oder dem bedeutenden Informationssystem unmittelbar bei der Erkennung zu melden; Dies gilt unbeschadet der Informationspflicht nach anderen Rechtsvorschriften3) oder des unmittelbar anwendbaren EU-Rechts zum Schutz personenbezogener Daten (11). Hat ein Cybersicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Bereitstellung des wesentlichen Dienstes, so unterrichtet der Betreiber des wesentlichen Dienstes das Amt.
(2) Ein digitaler Dienstleister meldet unverzüglich einen Cyber-Sicherheitsvorfall mit erheblichen Auswirkungen auf die Erbringung seiner Dienstleistungen, wenn er Zugang zu den Informationen hat, die zur Beurteilung der Bedeutung dieser Auswirkungen erforderlich sind.
(3) Die in § 3 Buchstaben b und h genannten Behörden und Personen melden dem nationalen CERT-Betreiber Cybersicherheitsvorfälle.
(4) Die in § 3 Buchstaben c bis g genannten Behörden und Personen melden dem Amt Cybersicherheitsvorfälle.
(5) Die in Absatz 1 genannte Verpflichtung wird vom Verantwortlichen des Informationssystems der kritischen Informationsinfrastruktur, des Kommunikationssystems der kritischen Informationsinfrastruktur oder des relevanten Informationssystems erfüllt, auch wenn vom Betreiber dieses Systems ein Cybersicherheitsvorfall gemeldet wurde. Der Betreiber eines kritischen Informations-Infrastruktur-Informationssystems, eines kritischen Informations-Infrastruktur-Kommunikationssystems oder eines bedeutenden Informationssystems unterrichtet den Verwalter dieses Systems unverzüglich über gemeldete Cyber-Sicherheitsvorfälle.
(6) Die in Abschnitt 3 nicht aufgeführten Behörden und Personen können dem nationalen ZERT-Betreiber oder dem Amt Cybersicherheitsvorfälle melden.
(7) Der Durchführungsrechtsakt sieht vor:
a) die Arten, Kategorien und die Bewertung der Bedeutung der Auswirkungen des Cyber-Sicherheitsvorfalls; und
b) die Formalitäten und Mittel zur Meldung eines Cyber-Sicherheitsvorfalls.
(8) Hat ein auf einen digitalen Dienstleister einwirkender Cyber-Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung des wesentlichen Dienstes, so hat sein Betreiber diese Tatsache der Behörde mitzuteilen.
Anmeldung
(1) Die Behörde hält ein Register der Cyber-Sicherheitsvorfälle ("Zwischenakte") mit:
(a) einen Bericht über einen Cyber-Sicherheitsvorfall;
b) Identifizierung des Systems, in dem der Cybersicherheitsvorfall stattgefunden hat;
c) Daten über die Quelle des Cyber-Sicherheitsvorfalls; und
d) das Verfahren zum Umgang mit dem Cyber-Sicherheitsvorfall und dessen Ergebnis.
(2) Die Aufzeichnungen umfassen die in § 20 (f) bis (h) und (l) genannten Daten.
(3) Das Amt liefert Daten aus den Vorfallprotokollen an die Behörden für die Wahrnehmung ihrer Aufgaben.
(4) Die Behörde kann dem nationalen CERT-Operator, den für die Cybersicherheit im Ausland zuständigen Behörden und anderen an der Cybersicherheit beteiligten Personen, soweit dies zur Gewährleistung des Cyberspace-Schutzes erforderlich ist, Aufzeichnungen vorlegen.
(1) Die Mitarbeiter der Tschechischen Republik, die an der Behandlung eines Cyber-Sicherheitsvorfalls beteiligt sind, sind durch die Verpflichtung der Vertraulichkeit von Vorfallakten gebunden. Die Vertraulichkeitspflicht wird nach Beendigung des Beschäftigungsverhältnisses mit dem Amt fortgesetzt.
(2) Der Direktor des Amtes kann die in Absatz 1 genannten Personen von der Verpflichtung zur Geheimhaltung in Bezug auf die Aufzeichnungen, die den Umfang der Daten und den Umfang der Befreiung angeben, befreien.
Informationen, deren Offenlegung die Sicherheit der Cyber-Sicherheit oder die Wirksamkeit einer nach diesem Gesetz gewährten Maßnahme gefährden könnte, oder Informationen, die in der Ausschreibung für Vorfälle aufbewahrt werden, aus denen eine Behörde oder Person, die einen Cyber-Sicherheitsvorfall meldet, nicht nach den Regeln für den freien Zugang zu Informationen zur Verfügung gestellt werden.
Maßnahmen
(1) Maßnahmen sind notwendig, um Informationssysteme oder -dienste und elektronische Kommunikationsnetze (1) vor Bedrohungen der Cyber-Sicherheit oder vor einem Cyber-Sicherheitsvorfall zu schützen oder einen Cyber-Sicherheitsvorfall anzusprechen.
(2) Maßnahmen sind:
(a) Warnungen,
b) reaktive Maßnahmen und
c) eine Schutzmaßnahme.
(3) Reaktive Maßnahmen müssen umgesetzt werden
a) die in Artikel 3 Buchstaben a und b genannten Behörden und Personen unter einer Cyber- oder Notfallbedingung (4), die aufgrund eines Antrags nach Artikel 21 Absatz 6 erklärt wurden, und
b) die in Artikel 3 Buchstaben c bis f genannten Behörden und Personen.
(4) Schutzmaßnahmen müssen von den in Artikel 3 Buchstaben c bis f genannten Behörden und Personen durchgeführt werden.
Warnung
(1) Die Behörde erlässt eine Warnung, insbesondere auf eigene Initiative oder auf Initiative des Betreibers des nationalen ZERT oder der Behörden, die ihre Aufgaben im Bereich der Cybersicherheit im Ausland ausüben, einer Bedrohung für die Cybersicherheit.
(2) Das Amt veröffentlicht die Warnung auf seiner Website und teilt sie den in Artikel 3 genannten Behörden und Personen mit, deren Kontaktdaten in dem in Artikel 16 Absatz 4 genannten Register aufbewahrt werden.
(3) Um die interne Ordnung und Sicherheit zu schützen, das Leben und die Gesundheit von Personen zu schützen oder die Wirtschaft des Staates zu schützen, ist das Amt nach Anhörung der in § 3 Buchstaben c, d, f, g oder h genannten Behörde oder Person, die von einem Cyber-Sicherheitsvorfall betroffen ist, berechtigt, die Öffentlichkeit über den Vorfall zu informieren oder die betroffene Person selbst zu beauftragen.
Reaktiv- und Schutzmaßnahmen
(1) Die Behörde erlässt eine Entscheidung zur Einführung reaktiver Maßnahmen, um einen Cyber-Sicherheitsvorfall anzusprechen oder Informationssysteme oder elektronische Kommunikationsnetze und -dienste (1) vor einem Cyber-Sicherheitsvorfall zu sichern, der der erste Rechtsakt ist. Ist die Entscheidung, sie an den Adressaten zu übermitteln, nicht innerhalb von 3 Tagen nach ihrer Erteilung getroffen worden, so wird sie durch Aufhängen an der amtlichen Aufzeichnung des Amtes ausgeliefert und ist zu diesem Zeitpunkt durchsetzbar. Die im ersten Satz genannte Entscheidung kann auch vom Amt in einem Vor-Ort-Verfahren nach den Verwaltungsregeln getroffen werden.
(2) Die Entscheidung gegen eine Entscheidung nach Absatz 1 hat keine aufschiebende Wirkung.
(3) Wenn reaktive Maßnahmen zur Bewältigung eines Cyber-Sicherheitsvorfalls oder zur Sicherung von Informationssystemen oder elektronischen Kommunikationsnetzen und -diensten (1) vor einem Cyber-Sicherheitsvorfall auf eine nicht näher spezifizierte Reichweite von Behörden oder Personen bezogen werden sollen, stellt das Amt diese in Form von allgemeinen Maßnahmen aus.
(4) Die in Artikel 3 Buchstaben a bis f genannten Behörden und Personen müssen das Amt unverzüglich über die Durchführung der reaktiven Maßnahme und deren Ergebnisse informieren. Die Einzelheiten der Notifizierung sind in den Durchführungsvorschriften festgelegt.
Um den Schutz von Informationssystemen oder -diensten und elektronischen Kommunikationsnetzen (1) zu verbessern und auf der Grundlage einer Analyse des bereits aufgelösten Cybersicherheitsvorfalls als Schutzmaßnahme zu analysieren, erlässt das Amt eine allgemeine Maßnahme, in der die in Artikel 3 Buchstaben c bis f genannten Behörden und Personen den Schutz von Informationssystemen oder Diensten und elektronischen Kommunikationsnetzen (1) und eine angemessene Frist für seine Umsetzung festlegen.
(1) Eine Maßnahme allgemeiner Art gemäß Artikel 13 oder Artikel 14 tritt zum Zeitpunkt ihrer Aufhängung auf der amtlichen Platte des Amtes in Kraft; Absatz 172 der Verwaltungsverordnung gilt nicht. Das Amt unterrichtet die in Artikel 3 genannten Behörden und Personen, deren Kontaktdaten im Register gemäß Artikel 16 Absatz 4 einer allgemeinen Maßnahme aufbewahrt werden.
(2) Bemerkungen zu einer nach Absatz 13 oder 14 ausgestellten Allgemeinheit können innerhalb von 30 Tagen nach ihrer Veröffentlichung auf dem amtlichen Kennzeichen des Amtes erfolgen. Die Behörde kann Maßnahmen allgemeiner Art auf der Grundlage der Stellungnahmen ändern oder aufgehoben werden.
(1) Im Falle eines bevorstehenden Cyber-Sicherheitsvorfalls kann die Behörde auf Vorschlag des Informationssystemverwalters, der den Betreiber vergeblich aufgefordert hat, die Verpflichtung zur Übermittlung der ihm zur Verfügung stehenden Daten, Betriebsdaten und Informationen im Zusammenhang mit dem Betrieb dieses kritischen Informationsinfrastruktursystems, eines Kommunikationssystems kritischer Informationsinfrastruktur oder eines signifikanten Informationssystems durch Entscheidung, den Betreiber dieses Systems zur Übermittlung der ihm zur Verfügung stehenden Daten, Betriebsdaten und Informationen im Zusammenhang mit
(2) Die Entscheidung über die Verpflichtung zur Übermittlung der in Absatz 1 genannten Daten, operativen Daten und Informationen ist der erste Rechtsakt im Verfahren, der am Tag des Diensts der Entscheidung durchsetzbar ist und die Zersetzung keine aufschiebende Wirkung hat.
(3) Um die vom Betreiber des Informationssystems der kritischen Informationsinfrastruktur entstehenden Kosten zu decken, gilt das Kommunikationssystem der kritischen Informationsinfrastruktur oder ein wichtiges Informationssystem für die Übermittlung von Daten, Betriebsdaten und Informationen gemäß Absatz 1 Artikel 6a Absatz 4 entsprechend.
Kontaktdaten
(1) Die Kontaktdaten sind:
a) im Falle einer juristischen Person, des Namens, der Anschrift des Sitzes, der Identifikationsnummer der im Ausland vergebenen Person oder einer ähnlichen Zahl;
b) im Falle der natürlichen Person im Geschäft, eines Handelsunternehmens oder eines Namens, einschließlich einer Unterscheidungsergänzung oder einer anderen Bezeichnung, der Anschrift des Sitzes und der Identifikationsnummer der Person;
c) einer öffentlichen Behörde, ihrem Namen, der Anschrift des Sitzes, der Identifikationsnummer der Person und der Kennung der öffentlichen Behörde, sofern ihm die Identifikationsnummer der Person nicht zugewiesen ist;
und Einzelheiten der natürlichen Person, die in den nach diesem Gesetz geregelten Angelegenheiten als eine in Artikel 3 genannte Behörde oder Person zu handeln berechtigt ist, nämlich Name, Nachname, Telefonnummer und E-Mail-Adresse.
(2) Kontaktdaten und deren Änderungen sind mitzuteilen
a) die in § 3 Buchstaben a, b und h des Betreibers des nationalen ZERT genannten Behörden und Personen; und
b) die in § 3 Buchstaben c bis g des Amtes genannten Behörden und Personen.
(3) Die in § 3 Buchstaben c bis g genannten Behörden und Personen teilen Änderungen nur den in Absatz 1 genannten Daten mit, die keine in den Grundregistern gespeicherten Referenzdaten sind.
(4) Das Amt hält ein Register der Kontaktdaten mit den in Absatz 1 genannten Informationen.
(5) Im Falle einer Cyber-Krankheit ist die Behörde berechtigt, die vom nationalen ZERT-Betreiber gesammelten Kontaktdaten gemäß Absatz 2 Buchstabe a zu verlangen.
(6) Die Behörde ist auch ermächtigt, die Kontaktdaten der in Artikel 3 Buchstabe h genannten Behörden und Personen des nationalen ZERT-Betreibers zu Inspektionszwecken zu verlangen.
(7) Das Modell für die Mitteilung der Kontaktdaten und deren Form ist in den Durchführungsvorschriften festgelegt.
National CERT
(1) National CERT gewährleistet in dem Umfang, der dieses Gesetz vorsieht, den Informationsaustausch auf nationaler und internationaler Ebene im Bereich der Cybersicherheit.
2) Nationaler CERT-Operator
a) die Mitteilung der Kontaktdaten der in Artikel 3 Buchstaben a, b und h genannten Behörden und Personen zu akzeptieren und diese Daten zu registrieren und zu speichern;
Inhalt
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
§ 3a
HLAVA II
§ 4
§ 4a
§ 5
§ 6
§ 6a
§ 7
§ 8
§ 9
§ 10
§ 10a
§ 11
§ 12
§ 13
§ 14
§ 15
§ 15a
§ 16
§ 17
§ 18
§ 19
§ 20
HLAVA III
§ 21
HLAVA IV
§ 21a
§ 22
§ 22a
§ 22b
§ 22c
HLAVA V
§ 23
§ 24
§ 24a
§ 24b
§ 24c
§ 25
§ 26
§ 27
HLAVA VI
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
ČÁST TŘETÍ
§ 35
ČÁST PÁTÁ
§ 37
ČÁST ŠESTÁ
§ 38
Melden Sie sich an für Notizen, Favoriten und Benachrichtigungen
Informationen zur Vorschrift
| Zitierung | Gesetz Nr. 181 / 2014 Coll., über Cyber Security und Änderung der verwandten Gesetze (Cyber Safety Act) |
|---|---|
| Art der Vorschrift | - |
| Autor | - |
| Sammlung | Gesetzessammlung |
| Verkündungsdatum | 29.08.2014 |
|---|---|
| In Kraft seit | 01.01.2015 |
| In Kraft bis | - |
| Status | Gültig |
Der Wortlaut der Vorschrift hat informativen Charakter.
Kommentare 0