Zákon č. 264 / 2025 Zb.
Zákon o kybernetickej bezpečnosti
Platný
Zákon
Účinnosť od 01.11.2025
Verzie znenia:
01.11.2025
04.08.2025
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
HLAVA II
Díl 1
§ 3
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
Díl 2
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
Díl 3
§ 24
Díl 4
§ 25
§ 26
Díl 5
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
Díl 6
§ 33
HLAVA III
§ 34
§ 35
HLAVA IV
§ 36
§ 37
§ 38
§ 39
§ 40
§ 41
HLAVA V
Díl 1
§ 42
§ 43
Díl 2
§ 44
Díl 3
§ 45
§ 46
§ 47
§ 48
§ 49
§ 50
§ 51
§ 52
§ 53
§ 54
HLAVA VI
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
§ 61
§ 62
§ 63
ČÁST DRUHÁ
§ 64
§ 65
§ 66
§ 67
§ 68
§ 69
§ 70
§ 71
§ 72
§ 73
Zobrazeno prvních 200 z celkem 853 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
264
PRÁVO
z 11. júna 2025,
o kybernetickej bezpečnosti
Parlament rozhodol o tomto zákone Českej republiky:
KYBERNETICKÁ BEZPEČNOSŤ
Základné ustanovenia
Predmet úpravy
(1) Tento zákon upravuje práva a povinnosti osôb, organizačné zložky štátu a iných verejných orgánov v oblasti poskytovania kybernetickej bezpečnosti a právomoci a právomoci Národného úradu pre kybernetickú a informačnú bezpečnosť (ďalej len "úrad") a iných verejných orgánov.
(2) Tento zákon sa vzťahuje na osoby usadené v Českej republike. Tento zákon sa vzťahuje aj na osoby, ktoré poskytujú elektronické komunikačné siete alebo služby na území Českej republiky podľa iných právnych predpisov (1) bez ohľadu na miesto ich usadenia.
(3) Týmto zákonom sa vykonáva príslušné nariadenie Európskej únie (2) a zároveň sa zakladá na priamo uplatniteľných nariadeniach Európskej únie (3).
(4) Tento zákon sa nevzťahuje na informačné alebo komunikačné systémy, ktoré spracovávajú utajované skutočnosti.
Vymedzenie pojmov
(1) Na účely tohto aktu:
(a) záznamy údajov o aktoch, skutočnostiach alebo informáciách a súbory takýchto aktov, skutočností alebo informácií vrátane operačných údajov (4) a metaúdajov (5), najmä vo forme textu, čísel, grafov, obrázkov, zvuku a videa;
(b) informácie spracované, interpretované alebo usporiadané, s významom a kontextom;
(c) aktívum je fyzické alebo digitálne zariadenie, osoba alebo činnosť súvisiaca so spracovaním informácií a údajov v elektronickej forme;
d) prvotné aktívum aktíva vo forme spracovaných informácií alebo služieb;
e) aktíva na podporu aktív poskytujúce fungovanie primárneho majetku, najmä zamestnanca, dodávateľa, technického majetku, budovy a inej uzavretej oblasti, v ktorej sa nachádza regulované aktívum služby, a
(f) technické prostriedky alebo programové prostriedky alebo vybavenie technického majetku.
(2) Na účely tohto aktu:
(a) prostredníctvom kybernetického priestoru súbor elektronických komunikačných sietí a iných technológií, v ktorých sa informácie a údaje spracúvajú v elektronickej forme;
(b) bezpečnosť informácií zabezpečujúcich dôvernosť, integritu a dostupnosť informácií a údajov;
c) ohrozenie akýchkoľvek potenciálnych okolností, udalostí alebo správania, ktoré môžu byť príčinou incidentu v oblasti kybernetickej bezpečnosti alebo incidentu v oblasti kybernetickej bezpečnosti a ktoré môžu poškodiť, narušiť alebo inak nepriaznivo ovplyvniť majetok, ich používateľov alebo iné osoby;
d) značné ohrozenie, ktorému možno na základe svojich technických vlastností predpokladať, že má potenciál významne ovplyvniť aktíva regulovaného poskytovateľa služieb alebo používateľa regulovanej služby v takom rozsahu, aby spôsobil značnú škodu;
e) udalosť v oblasti kybernetickej bezpečnosti, ktorá môže viesť k incidentu v oblasti kybernetickej bezpečnosti;
(f) incident v oblasti kybernetickej bezpečnosti v oblasti bezpečnosti informácií v kybernetickom priestore;
(g) riadenie incidentu v oblasti kybernetickej bezpečnosti prostredníctvom opatrení vedúcich k prevencii, odhaľovaniu, analýze, zníženiu vplyvu, reakcii na incidenty a následnej obnove a
(h) zraniteľnosť voči slabosti aktíva alebo bezpečnostného opatrenia, ktoré môže ohroziť.
(3) Na účely tohto aktu:
(a) hierarchický systém prekladu distribuovaných doménových mien, ktorý umožňuje identifikáciu internetových služieb a zdrojov a zároveň umožňuje koncovým používateľom používať služby smerovania a pripojenia k internetu na prístup k takýmto službám a zdrojom;
(b) riadenie a prevádzkovanie doménového registra najvyššej úrovne činností, ktoré pozostávajú z riadenia konkrétnej delegovanej domény najvyššej úrovne vrátane registrácie názvov domén v rámci domény najvyššej úrovne a technickej prevádzky domény menových serverov, riadenia databáz poskytujúcich správu a prevádzku domén najvyššej úrovne a distribúcie súborov domén najvyššej úrovne medzi servermi najvyššej úrovne, s výnimkou situácií, keď register domén najvyššej úrovne používa doménové názvy najvyššej úrovne len na vlastné použitie;
(c) služba cloud computing je služba informačnej spoločnosti podľa právnych predpisov upravujúcich služby informačnej spoločnosti, ktorá umožňuje samoobslužné riadenie a široký vzdialený prístup k expandovateľnému a flexibilnému zoskupovaniu zdieľaných počítačových zdrojov vrátane tých, ktoré sa používajú na viacerých miestach;
(d) službu dátového centra, ktorá zahŕňa priestory vrátane všetkých zariadení na distribúciu energie a environmentálne riadenie, určených na centralizované umiestnenie, prepojenie a prevádzku informačných technológií a sieťových zariadení poskytujúcich služby spracovania údajov;
e) siete doručovania obsahu geograficky distribuovaných serverov s cieľom zabezpečiť vysokú dostupnosť, dostupnosť alebo rýchle poskytovanie digitálneho obsahu a služieb používateľom internetu;
(f) platformu pre sociálne siete, ktorá umožňuje koncovým používateľom prepojiť, zdieľať, objavovať a komunikovať v rámci rôznych zariadení, najmä prostredníctvom chatu, príspevkov, videí a odporúčaní,
(g) riadená služba týkajúca sa inštalácie, riadenia, prevádzky alebo údržby technického majetku prostredníctvom pomoci alebo aktívnej správy vykonávanej v priestoroch zákazníkov alebo na diaľku;
(h) riadenú bezpečnostnú službu, ktorá pozostáva z činností riadenia rizík v oblasti kybernetickej bezpečnosti alebo ich poskytuje; a
i) osoba poskytujúca registračné služby pre doménové meno alebo osoba poskytujúca podobné služby v mene registrátora.
Poskytovateľ regulovanej služby
Regulovaný režim služieb a poskytovateľov
Regulovaná služba
Regulovaná služba je služba, o ktorej rozhodne úrad podľa článku 6 ods. 2.
Podmienky registrácie regulovanej služby
(1) Podmienky registrácie regulovanej služby sú splnené, ak:
a) je to služba, ktorá je dôležitá pre zabezpečenie dôležitých sociálnych alebo hospodárskych činností alebo pre zabezpečenie v Českej republike v ktoromkoľvek z týchto sektorov:
1. verejná správa,
2. energia,
3. výrobný priemysel,
4. potravinársky priemysel;
5. chemický priemysel,
6. vodné hospodárstvo,
7. odpadové hospodárstvo,
8.
9. digitálna infraštruktúra a služby,
10. finančný trh,
11. Zdravie,
12. veda, výskum a vzdelávanie,
13. poštové a kuriérske služby,
14. obranný priemysel,
15. vesmírny priemysel a
b) poskytovateľ služieb je stredný alebo veľký podnik v zmysle odporúčania Komisie 2003 / 361 / ES zo 6 . mája 2003 o definícii mikropodnikov, malých a stredných podnikov ("odporúčanie Komisie 2003 / 361 / ES") (6) alebo je dôležitý pre zabezpečenie dôležitých sociálnych alebo hospodárskych činností alebo bezpečnosti v Českej republike.
(2) Zoznam služieb uvedených v odseku 1 písm. a) a vymedzenie podmienok závažnosti poskytovateľa uvedených v odseku 1 písm. b) stanoví úrad na základe vyhlášky.
Podmienky registrácie regulovanej služby sú tiež splnené, ak:
(a) službu uvedenú v článku 4 ods. 1 písm. a) a
1. jeho poskytovateľ je jediným poskytovateľom tejto služby v Českej republike a táto služba je nevyhnutná na zabezpečenie kritických sociálnych alebo ekonomických činností alebo bezpečnosti v Českej republike,
2. narušenie tejto služby by mohlo mať významný vplyv na bezpečnosť Českej republiky, vnútorný poriadok alebo život a zdravie,
3. narušenie tejto služby by mohlo spôsobiť značné systémové riziká, najmä v odvetviach, v ktorých by takéto narušenie mohlo mať cezhraničný dosah, alebo
4. jeho poskytovateľ má zásadný význam pre špecifický sektor, v ktorom pôsobí, alebo pre typ služieb, ktoré poskytuje, alebo iné prepojené sektory v Českej republike vzhľadom na jeho osobitný význam na regionálnej alebo národnej úrovni,
(b) je to služba, ktorej narušenie môže spôsobiť vážne zasahovanie do života viac ako 125 000 osôb prostredníctvom ohrozenia bezpečnosti Českej republiky, vnútorného poriadku, života a zdravia, hodnoty majetku alebo životného prostredia;
(c) službu, ktorej narušenie môže spôsobiť vážne zasahovanie do schopnosti poskytovať inej regulovanej službe poskytovateľovi v rámci režimu vyššej povinnosti, alebo
d) je to služba, ktorej poskytovateľ je subjektom kritickej infraštruktúry podľa práva upravujúceho krízové riadenie a kritickú infraštruktúru; v takom prípade je regulovaná služba službou zodpovedajúcou prvku kritickej infraštruktúry určenému pre tento subjekt.
Oznámenie a registrácia regulovanej služby
(1) Poskytovateľ služieb, ktorý spĺňa podmienky registrácie regulovanej služby podľa článku 4 ods. 1, je povinný oznámiť túto službu úradu najneskôr do 60 dní odo dňa splnenia podmienok na účely povolenia na uvedenie na trh. Formát a spôsob oznamovania uvedený v tomto odseku stanoví úrad na základe vyhlášky.
(2) Dozorný úrad rozhodne o registrácii regulovanej služby, ak sú splnené podmienky registrácie regulovanej služby podľa § 4 ods. 1 alebo § 5.
(3) Postup registrácie regulovanej služby, ktorá spĺňa podmienky registrácie ustanovené v článku 5, sa môže začať len z vlastnej iniciatívy.
(4) Povolenie na uvedenie na trh pre regulované služby uvedené v odseku 2 môže byť prvým aktom úradu v konaní. Degradácia predložená proti povoleniu na uvedenie na trh pre regulovanú službu nemá odkladný účinok.
Osobitné ustanovenia na určenie veľkosti podniku
Odchylne od pravidiel odporúčania Komisie 2003 / 361 / ES na účely tohto zákona,
4 odporúčania Komisie 2003 / 361 / ES sa neuplatňuje;
b) organizačné jednotky štátu7, miestne orgány a Česká národná banka sa nepovažujú za podniky;
c) osoby, ktorých technické aktíva sú úplne oddelené od technických aktív, ktoré príslušná osoba používa pri poskytovaní regulovanej služby, sa nepovažujú za partnera alebo prepojeného podniku a
d) na určenie veľkosti poskytovateľa regulovaných služieb v oblasti vedy, výskumu a odbornej prípravy, ktorý nie je podnikom, sa primerane uplatňujú pravidlá na určenie veľkosti podniku ustanovené v odporúčaní Komisie 2003 / 361 / ES vrátane osobitných pravidiel ustanovených týmto zákonom.
Regulovaný systém poskytovateľov služieb
(1) V režime vyššieho cla je regulovaný poskytovateľ služieb poskytovateľom, ktorý má vzhľadom na svoju veľkosť, počet používateľov, geografické rozšírenie služby, vplyv na fungovanie sektora alebo iného poskytovateľa regulovaných služieb alebo riziko prevádzky značný hospodársky, sociálny alebo bezpečnostný význam pre Českú republiku. V rámci režimu nižšieho cla regulovaný poskytovateľ služieb nepodlieha vyššiemu režimu cla podľa prvej vety.
(2) Rozdelenie poskytovateľov prostredníctvom regulovaných služieb poskytovaných do systémov uvedených v odseku 1 sa určí vyhláškou.
(3) Ak je regulovaná služba zaregistrovaná rozhodnutím úradu na základe dodržiavania podmienok registrácie stanovených v článku 5, poskytovateľ regulovanej služby má vyššie povinnosti.
(1) Regulovaný poskytovateľ služieb je povinný oznámiť orgánu zmeny regulovanej služby, ktoré môžu viesť k zmene režimu regulovanej služby, najneskôr do 60 dní po zmene regulovanej služby.
(2) Pri zmene režimu regulovaného poskytovateľa služieb z režimu nižšej povinnosti na režim vyššej povinnosti vznikajú nové lehoty na iniciovanie záväzkov podľa § 11 ods. 1, § 13 ods. 4 a § 15 ods. 4.
Zrušenie registrovanej regulovanej služby
(1) Ak služba už nespĺňa podmienky registrácie regulovanej služby podľa § 4 ods. 1 alebo § 5, úrad rozhodne o zrušení registrácie regulovanej služby.
(2) Na žiadosť svojho poskytovateľa sa začne postup zrušenia registrácie regulovaných služieb. Konanie možno začať aj ex officio. Rozhodnutie o zrušení registrácie regulovanej služby môže byť prvým aktom v konaní. Predloženie rozkladu na základe rozhodnutia zrušiť regulovanú službu, ktorej úrad žiadosť v plnom rozsahu vyhovel, nie je prípustné.
(3) Písomné rozhodnutie o zrušení regulovanej služby sa nevypracuje, ak úrad v plnej miere vyhovel žiadosti alebo rozhodol o zrušení regulovanej služby z úradnej moci. V takom prípade sa rozhodnutie stane konečným v zázname. Úrad písomne informuje účastníka konania o zrušení registrovanej služby.
Povinnosti regulovaného poskytovateľa služieb a protiopatrenia
Vykazovanie údajov
(1) Regulovaný poskytovateľ služieb podáva úradu správy najneskôr 30 dní po dátume prijatia povolenia na uvedenie regulovaných služieb na trh.
a) kontaktné údaje, ktoré sú identifikačnými údajmi fyzických osôb oprávnených konať ako regulovaní poskytovatelia služieb vo veciach upravených týmto zákonom; a
(b) dodatočné informácie, čo znamená informácie o vlastníckej štruktúre regulovaného poskytovateľa služieb, technické údaje týkajúce sa regulovanej služby a informácie o jej geografickom rozložení a cezhraničnom poskytovaní.
(2) Regulovaný poskytovateľ služieb oznámi zmeny len tým údajom uvedeným v odseku 1, ktoré nie sú referenčnými údajmi uchovávanými v základných registroch, najneskôr do 14 dní odo dňa, keď zmena nastala.
Určenie rozsahu riadenia kybernetickej bezpečnosti
(1) Rozsah riadenia kybernetickej bezpečnosti (ďalej len "špecifikovaný rozsah") zahŕňa aktíva súvisiace s poskytovaním regulovanej služby.
(2) Na vymedzenie stanoveného rozsahu regulovaného poskytovateľa služieb:
a) identifikovať všetky svoje primárne aktíva;
(b) posúdi, či primárne aktíva súvisia s poskytovaním regulovanej služby; a
c) v prípade prvotných aktív uvedených v písmene b) identifikovať doplnkové aktíva.
(3) Regulovaný poskytovateľ služieb zaznamenáva aktíva, ktoré sú súčasťou špecifikovaného rozsahu, a primárne aktíva, ktoré boli vylúčené zo špecifikovaného rozsahu, vrátane dôvodov ich zrušenia.
(4) Je pravda, že primárne aktíva, ktoré ešte neboli posúdené podľa odseku 2 písm. b) a doplnkové aktíva, ktoré ešte neboli určené podľa odseku 2 písm. c), sú súčasťou stanoveného rozsahu.
(5) Špecifikovaný rozsah podlieha pravidelnému preskúmaniu a aktualizácii zo strany regulovaného poskytovateľa služieb.
Bezpečnostné opatrenia
(1) Bezpečnostné opatrenia sú organizačné a technické opatrenia určené na zabezpečenie riadneho poskytovania regulovaných služieb a kybernetickej bezpečnosti aktív.
(2) Regulovaný poskytovateľ služieb v rámci špecifikovaného rozsahu vykonáva a vykonáva bezpečnostné opatrenia uvedené v oddiele 14 v rozsahu potrebnom na zabezpečenie kybernetickej bezpečnosti regulovanej služby.
(3) Obsah bezpečnostných opatrení a spôsob ich vykonávania a vykonávania sa stanoví vyhláškou.
(4) Poskytovateľ regulovanej služby dodržiava povinnosť zaviesť a vykonávať bezpečnostné opatrenia uvedené v odseku 2 pre každú regulovanú službu najneskôr do jedného roka od dátumu prijatia povolenia na uvedenie regulovanej služby na trh.
(5) Ak regulovaný poskytovateľ služieb zavedie alebo vykonáva bezpečnostné opatrenia prostredníctvom dodávateľa, vyberie svojho dodávateľa v súlade s požiadavkami bezpečnostného opatrenia a zahrnie požiadavky bezpečnostného opatrenia do zmlúv s dodávateľom.
Zoznam bezpečnostných opatrení
(1) Pre regulovaných poskytovateľov služieb na základe vyšších povinností,
(a) organizačné opatrenia
1. systém riadenia bezpečnosti informácií;
2. požiadavky na vrcholový manažment;
3. stanovenie bezpečnostných úloh;
4. riadenie bezpečnostnej politiky a bezpečnostnej dokumentácie,
5. správa aktív;
6. riadenie rizík,
7. riadenie dodávateľov,
8. Bezpečnosť ľudských zdrojov,
9. Change Management,
10. získavanie, vývoj a údržba,
11. riadenie prístupu,
12. riadenie incidentov a incidentov v oblasti kybernetickej bezpečnosti,
13. riadenie kontinuity činnosti a
14. vykonávanie auditu kybernetickej bezpečnosti,
b) technické opatrenia
1. fyzická bezpečnosť,
2. bezpečnosť komunikačných sietí;
3. riadenie a overovanie totožnosti,
4. správa prístupových práv a povolení,
5. odhaľovanie incidentov v oblasti kybernetickej bezpečnosti,
6. záznam udalostí,
7. hodnotenie udalostí kybernetickej bezpečnosti,
8. bezpečnosť aplikácie,
9. kryptografické algoritmy;
10. zabezpečenie dostupnosti regulovaných služieb a
11. bezpečnosť priemyselných, riadiacich a podobných špecifických technických aktív.
(2) Pre poskytovateľov regulovaných služieb s nižšími povinnosťami sú organizačné a technické opatrenia:
(a) systém na zabezpečenie minimálnej kybernetickej bezpečnosti;
b) požiadavky na vrcholový manažment;
(c) správa aktív;
d) riadenie rizík;
e) bezpečnosť ľudských zdrojov;
(f) riadenie kontinuity činnosti;
(g) riadenie prístupu;
(h) riadenie totožnosti a povolenie;
(i) odhaľovanie a zaznamenávanie incidentov v oblasti kybernetickej bezpečnosti;
(j) riešenie incidentov v oblasti kybernetickej bezpečnosti;
(k) bezpečnosť komunikačných sietí;
(l) bezpečnosť aplikácie a
kryptografické algoritmy.
Hlásenie incidentov v oblasti kybernetickej bezpečnosti
(1) Poskytovateľ regulovaných služieb v rámci režimu vyšších povinností je povinný oznámiť úradu v súlade s postupom stanoveným v článku 16 incidenty v oblasti kybernetickej bezpečnosti, ku ktorým došlo v rámci špecifikovaného rozsahu, s pôvodom v kybernetickom priestore a ktoré nemožno vylúčiť v lehote uvedenej v článku 16 ods. 1 úmyselnou chybou.
(2) Regulovaný poskytovateľ služieb v režime nižšej služby je povinný podávať národnému tímu správy o koordinácii a riadení incidentov, udalostí a hrozieb v oblasti kybernetickej bezpečnosti (ďalej len "národný tím CERT") v súlade s postupom stanoveným v článku 16 incidentov v oblasti kybernetickej bezpečnosti, ktoré sa vyskytli v stanovenom rozsahu, majú svoj pôvod v kybernetickom priestore, majú významný vplyv na poskytovanie regulovanej služby a nemožno ich úmyselne vylúčiť v lehote uvedenej v článku 16 ods. 1.
(3) incident v oblasti kybernetickej bezpečnosti má významný vplyv na poskytovanie regulovanej služby, ktorá spôsobila alebo môže spôsobiť vážne narušenie prevádzky alebo finančnú stratu poskytovateľovi regulovanej služby, alebo spôsobila alebo môže spôsobiť významné škody iným osobám. Postup posudzovania významu vplyvu incidentu v oblasti kybernetickej bezpečnosti na poskytovanie regulovanej služby zo strany regulovaného poskytovateľa služieb v rámci režimu s nižšou colnou sadzbou určuje orgán na základe vyhlášky.
(4) Regulovaný poskytovateľ služieb dodržiava povinnosť hlásiť incidenty kybernetickej bezpečnosti uvedené v odsekoch 1 a 2 za každú regulovanú službu najneskôr jeden rok odo dňa prijatia povolenia na uvedenie regulovanej služby na trh.
(5) Úrad prijíma aj dobrovoľné správy o incidentoch v oblasti kybernetickej bezpečnosti, incidentoch alebo hrozbách v oblasti kybernetickej bezpečnosti. Zraniteľnosť možno oznámiť aj úradu.
Postup podávania správ o kybernetických bezpečnostných incidentoch
(1) Regulovaný poskytovateľ služieb bez zbytočného odkladu najneskôr 24 hodín po zistení incidentu v oblasti kybernetickej bezpečnosti predloží prvotnú správu, v ktorej uvedie svoje identifikačné údaje, základné údaje o incidente v oblasti kybernetickej bezpečnosti a či sa domnieva, že incident v oblasti kybernetickej bezpečnosti bol spôsobený nezákonným zásahom alebo mohol mať cezhraničný vplyv.
(2) Orgán pre bankovníctvo bez zbytočného odkladu informuje poskytovateľa regulovaných služieb vo vysokoškolskom režime, a to najneskôr 24 hodín po oznámení incidentu v oblasti kybernetickej bezpečnosti uvedeného v odseku 1, či má tento incident v oblasti kybernetickej bezpečnosti významný vplyv na národný kybernetický priestor. Význam vplyvu na kybernetický priestor štátu závisí od závažnosti vplyvu na poskytovanie regulovaných služieb, dotknutých sektorov a súčasnej situácie v kybernetickom priestore s potenciálnym vplyvom na bezpečnosť Českej republiky.
(3) V prípade správy o incidente v oblasti kybernetickej bezpečnosti s významným vplyvom na poskytovanie regulovanej služby podľa článku 15 ods. 2 alebo na kybernetický priestor štátu uvedeného v odseku 2 poskytovateľ regulovanej služby ďalej predloží:
a) bez zbytočného odkladu najneskôr 72 hodín po zistení incidentu v oblasti kybernetickej bezpečnosti oznámenia, v ktorom aktualizuje informácie uvedené v odseku 1, predloží počiatočné posúdenie incidentu v oblasti kybernetickej bezpečnosti a uvedie vplyv a ukazovatele kompromisu, ak sú k dispozícii; poskytovateľ regulovaných dôveryhodných služieb podľa priamo uplatniteľnej Európskej únie8 predloží toto oznámenie do 24 hodín od zistenia incidentu v oblasti kybernetickej bezpečnosti;
(b) priebežnú správu na žiadosť úradu alebo národného CERT o podstatných zmenách v stave riadenia incidentu v oblasti kybernetickej bezpečnosti a
(c) najneskôr 30 dní po dátume predloženia oznámenia uvedeného v písmene a) záverečnú správu o riešení incidentu v oblasti kybernetickej bezpečnosti; ak po uplynutí tejto lehoty stále existuje incident v oblasti kybernetickej bezpečnosti, regulovaný poskytovateľ služieb predloží bez zbytočného odkladu po uplynutí tejto lehoty predbežnú správu o aktuálnom stave riadenia incidentu v oblasti kybernetickej bezpečnosti a potom najneskôr 30 dní po dátume, keď bol incident v oblasti kybernetickej bezpečnosti vyriešený, záverečnú správu o riešení incidentu v oblasti kybernetickej bezpečnosti.
(4) Regulovaný poskytovateľ služieb podáva správy o incidentoch v oblasti kybernetickej bezpečnosti vrátane dobrovoľných správ podľa tohto aktu prostredníctvom portálu úradu. Ak nie je možné použiť portál úradu, regulovaný poskytovateľ služieb v režime vyššej služby zašle správu na e-mailovú adresu úradu na prijímanie správ o incidentoch v oblasti kybernetickej bezpečnosti alebo na dátovú schránku úradu a regulovaný poskytovateľ služieb v režime nižšej služby zašle správu národnej e-mailovej adrese CERT na prijímanie správ o incidentoch v oblasti kybernetickej bezpečnosti alebo národnej kolónke údajov CERT.
(5) Obsahové prvky, formát a spôsob podávania správ o incidente v oblasti kybernetickej bezpečnosti, predbežné správy o podstatných zmenách v stave riadenia incidentu v oblasti kybernetickej bezpečnosti, predbežné správy o aktuálnom stave riadenia incidentu v oblasti kybernetickej bezpečnosti a záverečné správy o riešení incidentu v oblasti kybernetickej bezpečnosti sú stanovené nariadením úradu.
Riadenie incidentov v oblasti kybernetickej bezpečnosti
(1) Úrad alebo národný CERT poskytne poskytovateľovi regulovanej služby svoje pripomienky k incidentu v oblasti kybernetickej bezpečnosti bez zbytočného odkladu najneskôr do 24 hodín od prijatia pôvodnej správy podľa § 16.
(2) Na žiadosť dotknutého regulovaného poskytovateľa služieb úrad alebo národný tím CERT poskytne metodickú podporu na vykonávanie zmierňujúcich opatrení a prípadne aj ďalšiu technickú podporu na riadenie nahláseného incidentu v oblasti kybernetickej bezpečnosti.
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
HLAVA II
Díl 1
§ 3
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
Díl 2
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
Díl 3
§ 24
Díl 4
§ 25
§ 26
Díl 5
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
Díl 6
§ 33
HLAVA III
§ 34
§ 35
HLAVA IV
§ 36
§ 37
§ 38
§ 39
§ 40
§ 41
HLAVA V
Díl 1
§ 42
§ 43
Díl 2
§ 44
Díl 3
§ 45
§ 46
§ 47
§ 48
§ 49
§ 50
§ 51
§ 52
§ 53
§ 54
HLAVA VI
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
§ 61
§ 62
§ 63
ČÁST DRUHÁ
§ 64
§ 65
§ 66
§ 67
§ 68
§ 69
§ 70
§ 71
§ 72
§ 73
Prihláste sa pre poznámky, obľúbené a upozornenia
Informácie o predpise
| Citácia | Zákon č. 264 / 2025 Z. z. o kybernetickej bezpečnosti |
|---|---|
| Typ predpisu | Zákon |
| Autor | - |
| Zbierka | Zbierka zákonov |
| Dátum vyhlásenia | 04.08.2025 |
|---|---|
| Účinnosť od | 01.11.2025 |
| Účinnosť do | - |
| Stav | Platný |
Snemovná tlač:
Tlač č. 759
Verejné zmluvy 5
Dodatek – aktualizace dle zákona č. 264/2025 Sb., o kybernetické bezpečnosti“,
Řízení letového provozu České republiky, státní po...
SITEL, spol. s.r.o.
30.04.2026
Upozornenia
Smlouva o zpracování bezpečnostní dokumentace dle ZoKB 264/2025 sb.
Statutární město Prostějov
Fitio Platform s.r.o.
174 240 Kč
26.02.2026
poradenské služby v oblasti kybernetické bezpečnosti
Domov pro seniory Máj České Budějovice, příspěvkov...
Ing. Roman Šmíd, MBA
30.01.2026
Upozornenia
Vytvoření dokumentace dle zákona č.264/2025 Sb. o kybernetické bezpečnosti a navazujících vyhlášek
Město Čáslav
Ing. Milan Seidler
99 000 Kč
28.11.2025
Objednávka - Audit kybernetické bezpečnosti v návaznosti na zákon č. 264/2025 Sb.
Domov pro seniory Kociánka,příspěvková organizace
Lexnova Technology s.r.o.
90 738 Kč
24.11.2025
Zdroj:
Hlídač štátu
(CC BY 3.0 CZ)
Znenie predpisu má informatívny charakter.
Komentáre 0