Act Nr. 264 / 2025 Coll.
Cyber Security Act
Gültig
Recht
In Kraft seit 01.11.2025
Textfassungen:
01.11.2025
04.08.2025
Inhalt
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
HLAVA II
Díl 1
§ 3
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
Díl 2
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
Díl 3
§ 24
Díl 4
§ 25
§ 26
Díl 5
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
Díl 6
§ 33
HLAVA III
§ 34
§ 35
HLAVA IV
§ 36
§ 37
§ 38
§ 39
§ 40
§ 41
HLAVA V
Díl 1
§ 42
§ 43
Díl 2
§ 44
Díl 3
§ 45
§ 46
§ 47
§ 48
§ 49
§ 50
§ 51
§ 52
§ 53
§ 54
HLAVA VI
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
§ 61
§ 62
§ 63
ČÁST DRUHÁ
§ 64
§ 65
§ 66
§ 67
§ 68
§ 69
§ 70
§ 71
§ 72
§ 73
Zobrazeno prvních 200 z celkem 853 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
264
DIE RECHT
vom 11. Juni 2025
auf Cybersicherheit
Das Parlament hat über dieses Gesetz der Tschechischen Republik entschieden:
CYBERNETISCHE SICHERHEIT
Grundbestimmungen
Gegenstand
(1) Dieses Gesetz regelt die Rechte und Pflichten von Personen, die organisatorischen Bestandteile des Staates und anderer Behörden im Bereich der Bereitstellung von Cyber-Sicherheit und der Kompetenz und Kompetenz des Nationalen Amtes für Cyber- und Informationssicherheit ("das Amt") und anderer öffentlicher Behörden.
(2) Dieses Gesetz gilt für in der Tschechischen Republik ansässige Personen. Dieses Gesetz gilt auch für Personen, die elektronische Kommunikationsnetze oder -dienste im Gebiet der Tschechischen Republik nach einem anderen Gesetz (1) bereitstellen, unabhängig von ihrem Niederlassungsort.
(3) Dieses Gesetz implementiert die jeweilige Verordnung der Europäischen Union (2) und baut auch auf den unmittelbar anwendbaren Verordnungen der Europäischen Union (3) auf.
(4) Dieses Gesetz gilt nicht für Informations- oder Kommunikationssysteme, die vertrauliche Informationen behandeln.
Definition der Begriffe
(1) Im Sinne dieses Gesetzes:
a) Datensätze von Akten, Fakten oder Informationen und Sätzen solcher Akten, Fakten oder Informationen, einschließlich operativer Daten (4) und Metadaten (5), insbesondere in Form von Texten, Zahlen, Grafiken, Bildern, Ton und Video;
b) verarbeitete, interpretierte oder arrangierte Informationen mit Bedeutung und Kontext;
c) der Vermögenswert ist ein physisches oder digitales Gerät, eine Person oder eine Tätigkeit, die mit der Verarbeitung von Informationen und Daten in elektronischer Form zusammenhängt;
d) den primären Vermögenswert des Vermögens in Form der verarbeiteten Informationen oder Dienstleistungen;
e) ein Vermögensunterstützungsvermögen, das das Funktionieren des Primärvermögens, insbesondere des Arbeitnehmers, des Lieferanten, des technischen Vermögens, des Gebäudes und des anderen geschlossenen Bereichs, in dem sich das geregelte Dienstleistungsvermögen befindet; und
(f) technische Anlagen oder Programmmittel oder Ausrüstung.
(2) Im Sinne dieses Gesetzes:
a) durch Cyberspace, eine Reihe elektronischer Kommunikationsnetze und anderer Technologien, in denen Informationen und Daten in elektronischer Form verarbeitet werden;
b) Sicherheit von Informationen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Daten gewährleisten;
c) eine Bedrohung für etwaige mögliche Umstände, Ereignisse oder Verhaltensweisen, die die Ursache eines Cyber-Sicherheitsvorfalls oder eines Cyber-Sicherheitsvorfalls sein können und die Vermögenswerte, ihre Nutzer oder andere Personen verletzen, verfälschen oder anderweitig beeinträchtigen können;
d) eine erhebliche Bedrohung, der auf der Grundlage seiner technischen Merkmale davon auszugehen ist, dass sie das Potenzial hat, die Vermögenswerte des regulierten Dienstleisters oder Nutzers des regulierten Dienstes so stark zu beeinflussen, dass erhebliche Schäden entstehen;
e) ein Cyber-Sicherheitsereignis, das zu einem Cyber-Sicherheitsvorfall führen kann;
(f) einen Cyber-Sicherheitsvorfall bei der Sicherheit von Informationen im Cyberspace;
(g) Verwaltung des Cyber-Sicherheitsvorfalls durch Maßnahmen zur Prävention, Erkennung, Analyse, Folgenabnahme, Vorfallsreaktion und anschließende Erneuerung; und
(h) eine Schwachstelle gegenüber der Schwäche eines Vermögenswerts oder einer Sicherheitsmaßnahme, die durch eine Bedrohung missbraucht werden kann.
(3) Im Sinne dieses Gesetzes:
(a) ein hierarchisches verteiltes Domain-Namen-Übersetzungssystem, das die Identifizierung von Internet-Diensten und -Ressourcen ermöglicht, während Endbenutzer-Geräte die Nutzung von Routing- und Internet-Verbindungsdiensten zum Zugriff auf solche Dienste und Ressourcen ermöglichen;
(b) die Verwaltung und den Betrieb des Top Level-Domain-Registers von Aktivitäten, bestehend aus der Verwaltung einer bestimmten delegierten Top Level-Domain, einschließlich der Registrierung von Domain-Namen innerhalb der Top Level-Domain und dem technischen Betrieb der Name Server-Domain, der Verwaltung von Datenbanken, die das Top Level-Domain-Management und den Betrieb der Top Level-Domain-Zone zwischen den Top-Servern bereitstellen;
c) der Cloud-Computing-Service ist ein Dienste der Informationsgesellschaft nach den Rechtsvorschriften für die Dienste der Informationsgesellschaft, der das Selbstbedienungsmanagement und den weit entfernten Zugang zu einer erweiterbaren und flexiblen Gruppierung gemeinsamer Rechenressourcen ermöglicht, einschließlich derjenigen, die an mehreren Standorten eingesetzt werden;
d) ein Dienst des Rechenzentrums, das Räumlichkeiten einschließlich aller Energieverteilungs- und Umweltmanagementeinrichtungen umfasst, die für den zentralen Standort, die Verbindung und den Betrieb von Informationstechnologie und Netzgeräten bestimmt sind, die Datenverarbeitungsdienste erbringen;
e) Content Delivery-Netzwerke von geografisch verteilten Servern, um eine hohe Verfügbarkeit, Zugänglichkeit oder schnelle Bereitstellung digitaler Inhalte und Dienste für Internetnutzer zu gewährleisten;
f) eine Plattform für soziale Netzwerke, die es Endbenutzern ermöglicht, über verschiedene Einrichtungen miteinander zu verbinden, zu teilen, zu entdecken und zu kommunizieren, insbesondere durch Chat, Beiträge, Videos und Empfehlungen,
(g) einen verwalteten Dienst im Zusammenhang mit der Installation, Verwaltung, Betrieb oder Wartung von technischen Vermögenswerten, mittels Unterstützung oder aktiver Verwaltung, die in den Räumlichkeiten von Kunden oder entfernt durchgeführt wird;
(h) einen verwalteten Sicherheitsdienst, bestehend aus oder zur Unterstützung von Aktivitäten des Cyber-Sicherheitsrisikomanagements; und
(i) eine Person, die Domain-Name-Registrierungsdienste erbringt, oder eine Person, die ähnliche Dienstleistungen im Auftrag eines Registrars erbringt.
Anbieter von reguliertem Service
Regelmäßiges Service- und Providerregime
Regelmäßiger Service
Der geregelte Dienst ist ein vom Amt gemäß Artikel 6 Absatz 2 beschlossener Dienst.
Bedingungen für die Registrierung regulierter Dienste
(1) Die Bedingungen für die Registrierung eines geregelten Dienstes sind erfüllt, wenn
a) Es handelt sich um einen Dienst, der für die Gewährleistung wichtiger sozialer oder wirtschaftlicher Tätigkeiten oder für die Sicherheit in der Tschechischen Republik in einem der folgenden Sektoren von Bedeutung ist:
1. öffentliche Verwaltung,
2. Energie,
3. die Fertigungsindustrie,
4. die Lebensmittelindustrie;
5. Chemische Industrie,
6. Wassermanagement,
7. Abfallwirtschaft,
8.
9. digitale Infrastruktur und Dienstleistungen,
10. Finanzmarkt,
11. Gesundheit,
12. Wissenschaft, Forschung und Bildung,
13. Post- und Kurierdienste,
14. Verteidigungsindustrie,
15. Raumfahrtindustrie und
b) der Dienstleistungserbringer ist ein mittleres oder großes Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 über die Definition von Kleinst-, Klein- und Mittelbetrieben ("Empfehlung 2003/361/EG der Kommission") (6), oder es ist wichtig, wichtige soziale oder wirtschaftliche Aktivitäten oder Sicherheit in der Tschechischen Republik zu gewährleisten.
(2) Die Liste der in Absatz 1 Buchstabe a genannten Dienstleistungen und die Definition der Wesentlichkeitsbedingungen des in Absatz 1 Buchstabe b genannten Anbieters wird vom Amt durch Erlass festgelegt.
Die Bedingungen für die Registrierung eines geregelten Dienstes sind auch erfüllt, wenn:
a) den Dienst gemäß Artikel 4 Absatz 1 Buchstabe a und
1. sein Anbieter ist der einzige Anbieter dieses Dienstes in der Tschechischen Republik und dieser Dienst ist unerlässlich, um kritische soziale oder wirtschaftliche Aktivitäten oder Sicherheit in der Tschechischen Republik zu gewährleisten,
2. die Störung dieses Dienstes könnte erhebliche Auswirkungen auf die Sicherheit der Tschechischen Republik, der inneren Ordnung oder des Lebens und der Gesundheit haben;
3. die Störung dieses Dienstes könnte erhebliche systemische Risiken verursachen, insbesondere in Sektoren, in denen solche Störungen grenzüberschreitende Auswirkungen haben könnten; oder
4. Der Anbieter ist für den spezifischen Sektor, in dem er tätig ist, oder die Art der Dienstleistungen, die er in der Tschechischen Republik aufgrund seiner besonderen Bedeutung auf regionaler oder nationaler Ebene erbringt oder andere miteinander verbundene Sektoren anbietet, von wesentlicher Bedeutung;
b) es handelt sich um einen Dienst, dessen Störungen durch eine Bedrohung der Sicherheit der Tschechischen Republik, der inneren Ordnung, des Lebens und der Gesundheit, des Immobilienwerts oder der Umwelt schwerwiegende Störungen im Leben von mehr als 125 000 Personen verursachen können;
c) eine Dienstleistung, deren Störung zu schwerwiegenden Störungen in der Fähigkeit führen kann, einem Anbieter im Rahmen einer höheren Verpflichtungsregelung einen anderen geregelten Dienst zu erbringen; oder
d) es handelt sich um einen Dienst, dessen Anbieter eine kritische Infrastrukturgesellschaft nach dem Gesetz über Krisenmanagement und kritische Infrastruktur ist; in diesem Fall handelt es sich um einen Dienst, der einem für dieses Unternehmen bestimmten kritischen Infrastrukturelement entspricht.
Notifizierung und Registrierung des geregelten Dienstes
(1) Ein Dienstleistungserbringer, der die Bedingungen für die Registrierung eines geregelten Dienstes gemäß Artikel 4 Absatz 1 erfüllt, ist verpflichtet, diesen Dienst dem Amt spätestens 60 Tage nach dem Tag mitzuteilen, an dem die Bedingungen für die Zwecke der Genehmigung für das Inverkehrbringen erfüllt sind. Das in diesem Absatz genannte Format und die in diesem Absatz genannte Mitteilungsmethode werden vom Amt durch ein Dekret festgelegt.
(2) Die Behörde entscheidet über die Registrierung eines geregelten Dienstes, wenn die Bedingungen für die Registrierung eines geregelten Dienstes gemäß § 4 Abs. 1 oder § 5 erfüllt sind.
(3) Ein Verfahren zur Registrierung eines geregelten Dienstes, das die Bedingungen für die Registrierung nach Artikel 5 erfüllt, kann nur auf eigene Initiative eingeleitet werden.
(4) Eine Zulassung für einen geregelten Dienst gemäß Absatz 2 kann der erste Rechtsakt des Amtes in einem Verfahren sein. Der Abbau, der gegen die Genehmigung für das Inverkehrbringen eines geregelten Dienstes eingereicht wurde, hat keine aufschiebende Wirkung.
Besondere Bestimmungen zur Bestimmung der Größe des Betriebs
Abweichend von den Regeln der Empfehlung 2003/361/EG der Kommission für die Zwecke dieses Gesetzes,
a) Artikel 3 Absatz 4 der Empfehlung der Kommission 2003 / 361 / EG gilt nicht;
b) die Organisationseinheiten des Staates (7), die lokalen Behörden und die Tschechische Nationalbank werden nicht als Unternehmen angesehen;
c) Personen, deren technische Vermögenswerte vollständig von den von der betreffenden Person bei der Erbringung der regulierten Dienstleistung verwendeten technischen Vermögenswerten getrennt sind, gelten nicht als Partner oder verbundene Unternehmen und
d) zur Bestimmung der Größe des Anbieters geregelter Dienstleistungen im Bereich Wissenschaft, Forschung und Ausbildung, der kein Unternehmen ist, gelten die Vorschriften für die Bestimmung der Größe eines Unternehmens gemäß der Empfehlung 2003 / 361 / EG der Kommission, einschließlich der besonderen Vorschriften dieses Gesetzes, entsprechend.
Regelmäßiges Dienstleistungsangebot
(1) In der höheren Zollregelung ist der regulierte Dienstleistungserbringer ein Anbieter, der aufgrund seiner Größe, der Anzahl der Nutzer, der geographischen Ausdehnung des Dienstes, der Auswirkungen auf die Funktionsweise des Sektors oder anderer Anbieter regulierter Dienstleistungen oder des Betriebsrisikos für die Tschechische Republik von erheblicher wirtschaftlicher, sozialer oder sicherheitstechnischer Bedeutung ist. Im Rahmen der niedrigeren Zollregelung steht der regulierte Dienstleistungserbringer nicht unter der höheren Zollregelung nach dem ersten Satz.
(2) Die Aufteilung der Anbieter durch geregelte Dienstleistungen, die in die in Absatz 1 genannten Systeme vorgesehen sind, wird durch eine Verordnung bestimmt.
(3) Wird ein geregelter Dienst durch eine Entscheidung des Amtes auf der Grundlage der Bedingungen für die Registrierung gemäß Artikel 5 registriert, so ist der Anbieter des geregelten Dienstes höheren Verpflichtungen zu unterziehen.
(1) Der geregelte Dienstleister ist verpflichtet, der Behörde Änderungen des geregelten Dienstes zu melden, die zu einer Änderung der Regelung des geregelten Dienstes führen können, spätestens 60 Tage nach der Änderung des geregelten Dienstes.
(2) Bei der Änderung der Regelung des geregelten Diensteanbieters von einer geringeren Verpflichtungsregelung auf eine höhere Verpflichtungsregelung ergeben sich neue Fristen für die Initiierung der Verpflichtungen nach § 11 Abs. 1, § 13 Abs. 4 und § 15 Abs.
Stornierung des registrierten regulierten Dienstes
(1) Erfüllt die Dienstleistung die Bedingungen für die Registrierung des geregelten Dienstes gemäß § 4 Abs. 1 oder § 5 nicht mehr, so entscheidet das Amt, die Registrierung des geregelten Dienstes zu widerrufen.
(2) Das Verfahren zur Aufhebung einer reglementierten Dienstleistungsregistrierung wird auf Antrag des Anbieters eingeleitet. Die Verfahren können auch exficio eingeleitet werden. Eine Entscheidung zur Aufhebung der Registrierung eines geregelten Dienstes kann der erste Rechtsakt im Verfahren sein. Die Einreichung von Zersetzungen gegen eine Entscheidung zur Aufhebung eines geregelten Dienstes, dem das Amt den Antrag vollständig erteilt hat, ist nicht zulässig.
(3) Eine schriftliche Entscheidung zur Aufhebung eines geregelten Dienstes ist nicht zu treffen, wenn das Amt den Antrag vollständig erfüllt hat oder beschlossen hat, den geregelten Dienst in einem außergerichtlichen Verfahren zu widerrufen. In diesem Fall wird die Entscheidung endgültig. Das Amt unterrichtet die Partei schriftlich über die Löschung des registrierten Dienstes.
Verpflichtungen des regulierten Dienstleisters und Gegenmaßnahmen
Datenübermittlung
(1) Der Regulierungsdienstleister meldet der Behörde spätestens 30 Tage nach Eingang der Genehmigung für das Inverkehrbringen für regulierte Dienstleistungen
a) Kontaktdaten, die die Identifizierungsdaten von natürlichen Personen sind, die in diesem Gesetz geregelten Dienstleistungserbringern zu handeln berechtigt sind, und
b) zusätzliche Informationen, d.h. Informationen über die Eigentümerstruktur des regulierten Dienstleisters, technische Daten über den geregelten Dienst und Informationen über seine geographische Verteilung und grenzüberschreitende Bereitstellung.
(2) Der geregelte Dienstleistungserbringer meldet Änderungen nur an den in Absatz 1 genannten Daten, die keine in den Grundregistern gespeicherten Referenzdaten sind, spätestens 14 Tage nach dem Datum, an dem die Änderung stattgefunden hat.
Bestimmung der Reichweite des Cyber-Sicherheitsmanagements
(1) Der Umfang des Cyber-Sicherheitsmanagements (nachfolgend "der angegebene Bereich") umfasst Vermögenswerte im Zusammenhang mit der Erbringung eines geregelten Dienstes.
(2) Um einen bestimmten Bereich zu definieren, der regulierte Dienstleister:
(a) alle seine primären Vermögenswerte identifizieren;
b) zu prüfen, ob die Primäranlagen mit der Erbringung des geregelten Dienstes verbunden sind; und
c) für die in Buchstabe b genannten Primäranlagen die Anlagevermögensangaben ermitteln.
(3) Der regulierte Dienstleister erfasst die Vermögenswerte, die Teil des spezifizierten Bereichs sind, und die Primärwerte, die aus dem angegebenen Bereich ausgeschlossen wurden, einschließlich der Gründe für die Entfernung.
(4) Es gilt, dass Primärvermögen, die nach Absatz 2 Buchstabe b noch nicht bewertet wurden, und Nebenvermögen, die nach Absatz 2 Buchstabe c noch nicht ermittelt wurden, Teil eines bestimmten Bereichs sind.
(5) Der angegebene Geltungsbereich unterliegt einer regelmäßigen Überprüfung und Aktualisierung durch den regulierten Dienstleister.
Sicherheitsmaßnahmen
(1) Sicherheitsmaßnahmen sind organisatorische und technische Maßnahmen, die darauf abzielen, die ordnungsgemäße Erbringung von regulierten Dienstleistungen und die Sicherheit von Cyber-Assets sicherzustellen.
(2) Der geregelte Dienstleister führt die in Abschnitt 14 genannten Sicherheitsmaßnahmen in dem festgelegten Umfang durch und implementiert, soweit dies zur Gewährleistung der Cybersicherheit des geregelten Dienstes erforderlich ist.
(3) Der Inhalt der Sicherheitsmaßnahmen und die Art und Weise, in der sie umgesetzt und umgesetzt werden, wird durch ein Dekret festgelegt.
(4) Der Anbieter des geregelten Dienstes ist verpflichtet, die in Absatz 2 genannten Sicherheitsmaßnahmen für jeden geregelten Dienst spätestens 1 Jahr nach Eingang der Zulassung für den geregelten Dienst einzuführen und umzusetzen.
(5) Stellt ein geregelter Dienstleister Sicherheitsmaßnahmen durch einen Lieferanten ein, so wählt er seinen Lieferanten gemäß den Anforderungen der Sicherheitsmaßnahme aus und umfasst die Anforderungen der Sicherheitsmaßnahme in Verträgen mit dem Lieferanten.
Liste der Sicherheitsmaßnahmen
(1) Für regulierte Dienstleister im Rahmen höherer Verpflichtungen,
a) organisatorische Maßnahmen
1. Informationssicherheitsmanagementsystem;
2. Anforderungen an das leitende Management;
3. Festlegung von Sicherheitsrollen;
4. Verwaltung der Sicherheitspolitik und der Sicherheitsdokumentation,
5. Vermögensverwaltung;
6. Risikomanagement,
7. Verwaltung der Lieferanten,
8. Sicherheit der Humanressourcen,
9. Change Management,
10. Erwerb, Entwicklung und Wartung,
11. Zugriffsmanagement,
12. Verwaltung von Cyber-Sicherheitsvorfällen und Vorfällen,
13. Geschäftskontinuitätsmanagement und
14. Durchführung eines Audits der Cybersicherheit,
b) technische Maßnahmen
1. körperliche Sicherheit,
2. die Sicherheit von Kommunikationsnetzen;
3. Identitätsmanagement und -prüfung,
4. die Verwaltung der Zugangsrechte und -genehmigungen,
5. Erkennung von Cyber-Sicherheitsvorfällen,
6. Aufzeichnung von Ereignissen,
7. Bewertung von Cyber-Sicherheitsereignissen,
8. Anwendungssicherheit,
9. kryptographische Algorithmen;
10. Gewährleistung der Verfügbarkeit geregelter Dienste und
11. Sicherheit von Industrie, Management und ähnlichen spezifischen technischen Vermögenswerten.
(2) Für Anbieter geregelter Dienstleistungen im Rahmen niedrigerer Verpflichtungen sind die organisatorischen und technischen Maßnahmen:
a) ein System zur Gewährleistung der Mindest Cybersicherheit;
b) Anforderungen an das Management;
c) Vermögensverwaltung;
d) Risikomanagement;
e) Sicherheit der Humanressourcen;
(f) Geschäftskontinuitätsmanagement;
(g) Zugriffsmanagement;
h) Identitätsmanagement und Zulassung;
(i) Erkennung und Aufzeichnung von Cybersicherheitsvorfällen;
(j) die Behandlung von Cyber-Sicherheitsvorfällen;
c) Sicherheit der Kommunikationsnetze;
(l) Anwendungssicherheit und
(m) kryptographische Algorithmen.
Meldung von Cyber-Sicherheitsvorfällen
(1) Der Anbieter von regulierten Dienstleistungen im Rahmen der Regelung höherer Verpflichtungen ist verpflichtet, dem Amt nach dem Verfahren des Artikels 16 Cyber-Sicherheitsvorfälle mit Ursprung in dem Cyberraum zu melden, die nicht durch die in Artikel 16 Absatz 1 genannte Frist von vorsätzlichem Fehler ausgeschlossen werden können.
(2) Der geregelte Dienstleister im Untersteuersystem ist verpflichtet, dem nationalen Team von Koordinierung und Verwaltung von Cyber-Sicherheitsvorfällen, Ereignissen und Bedrohungen (nachfolgend "National CERT " genannt) gemäß dem Verfahren nach Artikel 16 der Cyber-Sicherheitsvorfälle, die in dem genannten Umfang stattgefunden haben, ihren Ursprung im Cyberspace haben, erhebliche Auswirkungen auf die Bereitstellung des geregelten Dienstes haben und nicht absichtlich durch die in Artikel 16 genannte Frist ausgeschlossen werden können.
(3) Ein Cyber-Sicherheitsvorfall hat erhebliche Auswirkungen auf die Bereitstellung eines geregelten Dienstes, der dem Anbieter des geregelten Dienstes schwere Betriebsstörungen oder finanzielle Verluste verursacht hat oder zu erheblichen Schäden an anderen Personen führen kann. Das Verfahren zur Beurteilung der Bedeutung der Auswirkungen eines Cyber-Sicherheitsvorfalls auf die Erbringung eines geregelten Dienstes durch einen regulierten Dienstleistungserbringer im Rahmen eines niedrigeren Zollsystems wird von der Behörde durch ein Dekret festgelegt.
(4) Der geregelte Dienstleister erfüllt die Verpflichtung, Cybersicherheitsvorfälle gemäß den Absätzen 1 und 2 für jeden geregelten Dienst spätestens 1 Jahr nach Eingang der Zulassung des geregelten Dienstes zu melden.
(5) Die Behörde nimmt auch freiwillige Berichte über Cybersicherheitsvorfälle, Cybersicherheitsvorfälle oder Bedrohungen an. Die Sicherheitslücke kann auch dem Amt gemeldet werden.
Meldeverfahren für Cyber-Sicherheitsvorfälle
(1) Der regulierte Dienstleister übermittelt spätestens 24 Stunden nach dem Nachweis des Cyber-Sicherheitsvorfalls einen ersten Bericht, der seine Identifikationsdaten, die wesentlichen Daten zum Cyber-Sicherheitsvorfall angibt und ob er der Ansicht ist, dass der Cyber-Sicherheitsvorfall durch eine illegale Störung verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte.
(2) Die Behörde unterrichtet den Anbieter von geregelten Dienstleistungen im höheren Zollsystem unverzüglich, spätestens 24 Stunden nach der Meldung des in Absatz 1 genannten Cybersicherheitsvorfalls, ob dieser Cybersicherheitsvorfall erhebliche Auswirkungen auf den nationalen Cyberspace hat. Die Bedeutung der Auswirkungen auf den Cyberraum des Staates wird durch die Schwere der Auswirkungen auf die Bereitstellung von regulierten Dienstleistungen, die betroffenen Sektoren und die aktuelle Situation im Cyberraum mit potenziellen Auswirkungen auf die Sicherheit der Tschechischen Republik bestimmt.
(3) Im Falle eines Berichts eines Cyber-Sicherheitsvorfalls mit erheblichen Auswirkungen auf die Erbringung eines geregelten Dienstes gemäß Artikel 15 Absatz 2 oder auf den Cyberraum des in Absatz 2 genannten Staates legt der Anbieter des geregelten Dienstes weiter Folgendes vor:
a) spätestens 72 Stunden nach dem Erkennen des Cyber-Sicherheitsvorfalls der Mitteilung, in dem sie die in Absatz 1 genannten Informationen aktualisiert, eine erste Bewertung des Cyber-Sicherheitsvorfalls vorlegt und die Auswirkungen und Indikatoren des Kompromisses, soweit vorhanden, angibt; ein Anbieter regulierter Trust-Dienste gemäß der unmittelbar anwendbaren Europäischen Union8) diese Mitteilung innerhalb von 24 Stunden nach dem Erkennen eines Cyber-Sicherheitsvorfalls vorlegt;
b) einen Zwischenbericht auf Antrag des Amtes oder des Nationalen ZERT über wesentliche Änderungen des Zustands der Verwaltung eines Cybersicherheitsvorfalls; und
c) spätestens 30 Tage nach dem Datum der Übermittlung der in a) genannten Mitteilung einen Abschlussbericht über die Auflösung des Cyber-Sicherheitsvorfalls; wenn nach Ablauf dieser Frist noch der Cyber-Sicherheitsvorfall vorliegt, muss der regulierte Dienstleister nach Ablauf der Frist unverzüglich einen Zwischenbericht über den aktuellen Stand der Verwaltung des Cyber-Sicherheitsvorfalls und danach spätestens 30 Tage nach dem Zeitpunkt der Auflösung des Cyber-Sicherheitsvorfalls vorlegen.
(4) Der geregelte Dienstleister meldet Cybersicherheitsvorfälle einschließlich freiwilliger Berichte nach diesem Gesetz über das Office Portal. Wenn es nicht möglich ist, das Office Portal zu nutzen, sendet der regulierte Dienstleister im höheren Dienstmodus eine Nachricht an die E-Mail-Adresse des Amtes für den Empfang von Cyber-Sicherheitsfallberichten oder an das Datenfeld des Amtes, und der regulierte Dienstleister im unteren Dienstmodus sendet eine Nachricht an die National CERT E-Mail-Adresse für den Empfang von Cyber-Sicherheitsfallberichten oder an das National CERT-Datenfeld.
(5) Inhaltselemente, Format und Methode der Berichterstattung des Cyber-Sicherheitsvorfalls, Zwischenberichte über wesentliche Änderungen des Managementstatus des Cyber-Sicherheitsvorfalls, Zwischenberichte über den aktuellen Stand der Verwaltung des Cyber-Sicherheitsvorfalls und Abschlussberichte über die Auflösung des Cyber-Sicherheitsvorfalls werden von der Behörde durch Dekret festgelegt.
Verwaltung von Cyber-Sicherheitsvorfällen
(1) Die Behörde oder das nationale ZERT gibt dem Anbieter des geregelten Dienstes spätestens 24 Stunden nach Eingang des ersten Berichts gemäß § 16 Bemerkungen zum Cyber-Sicherheitsvorfall unverzüglich an.
(2) Auf Ersuchen des betreffenden regulierten Dienstleisters leistet die Behörde oder das nationale ZERT eine methodische Unterstützung für die Durchführung von Minderungsmaßnahmen und gegebenenfalls weitere technische Unterstützung zur Bewältigung des gemeldeten Cybersicherheitsvorfalls.
Inhalt
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
HLAVA II
Díl 1
§ 3
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
Díl 2
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
Díl 3
§ 24
Díl 4
§ 25
§ 26
Díl 5
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
Díl 6
§ 33
HLAVA III
§ 34
§ 35
HLAVA IV
§ 36
§ 37
§ 38
§ 39
§ 40
§ 41
HLAVA V
Díl 1
§ 42
§ 43
Díl 2
§ 44
Díl 3
§ 45
§ 46
§ 47
§ 48
§ 49
§ 50
§ 51
§ 52
§ 53
§ 54
HLAVA VI
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
§ 61
§ 62
§ 63
ČÁST DRUHÁ
§ 64
§ 65
§ 66
§ 67
§ 68
§ 69
§ 70
§ 71
§ 72
§ 73
Melden Sie sich an für Notizen, Favoriten und Benachrichtigungen
Informationen zur Vorschrift
| Zitierung | Act Nr. 264 / 2025 Coll., über Cyber Security |
|---|---|
| Art der Vorschrift | Recht |
| Autor | - |
| Sammlung | Gesetzessammlung |
| Verkündungsdatum | 04.08.2025 |
|---|---|
| In Kraft seit | 01.11.2025 |
| In Kraft bis | - |
| Status | Gültig |
Parlamentsdrucksache:
Drucksache Nr. 759
Öffentliche Verträge 5
Dodatek – aktualizace dle zákona č. 264/2025 Sb., o kybernetické bezpečnosti“,
Řízení letového provozu České republiky, státní po...
SITEL, spol. s.r.o.
30.04.2026
Benachrichtigungen
Smlouva o zpracování bezpečnostní dokumentace dle ZoKB 264/2025 sb.
Statutární město Prostějov
Fitio Platform s.r.o.
174 240 CZK
26.02.2026
poradenské služby v oblasti kybernetické bezpečnosti
Domov pro seniory Máj České Budějovice, příspěvkov...
Ing. Roman Šmíd, MBA
30.01.2026
Benachrichtigungen
Vytvoření dokumentace dle zákona č.264/2025 Sb. o kybernetické bezpečnosti a navazujících vyhlášek
Město Čáslav
Ing. Milan Seidler
99 000 CZK
28.11.2025
Objednávka - Audit kybernetické bezpečnosti v návaznosti na zákon č. 264/2025 Sb.
Domov pro seniory Kociánka,příspěvková organizace
Lexnova Technology s.r.o.
90 738 CZK
24.11.2025
Quelle:
Hlídač státu
(CC BY 3.0 CZ)
Der Wortlaut der Vorschrift hat informativen Charakter.
Kommentare 0