Přestupky v oblasti elektronických komunikací
181/2014 Sb. - Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) - účinnost od 6.8.2022
§25/1 - Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací
§25/2 - Orgán nebo osoba zajišťující významnou síť
§25/3 - Správce informačního nebo komunikačního systému kritické informační infrastruktury
§25/4 - Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury
§25/5 - Správce významného informačního systému
§25/6 - Provozovatel významného informačního systému
§25/7 - Správce informačního systému základní služby
§25/8 - Provozovatel informačního systému základní služby
§25/9 - Provozovatel základní služby
§25/10 - Poskytovatel digitální služby
§25/11 - Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě
§25/12 - Držitel evropského certifikátu kybernetické bezpečnosti
§25/13 - Právnická nebo podnikající fyzická osoba
§26/1 - Fyzická osoba
|
§§ |
Název §§ - skutková podstata |
Sankce – peněžitý trest |
|
|
Od Kč |
Do Kč |
||
|
Subjekt: |
Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací |
||
|
§25/1 |
a) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle §13 |
1 000 000 |
|
|
b) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4 |
1 000 000 |
||
|
c) neoznámí kontaktní údaje nebo jejich změnu podle §16 odst. 2 písm. a) |
10 000 |
||
|
d) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Orgán nebo osoba zajišťující významnou síť |
||
|
§25/2 |
a) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3 |
1 000 000 |
|
|
b) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 3 |
1 000 000 |
||
|
c) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle §13 |
1 000 000 |
||
|
d) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4, |
1 000 000 |
||
|
e) neoznámí kontaktní údaje nebo jejich změnu podle §16 odst. 2 písm. a) |
10 000 |
||
|
f) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Správce informačního nebo komunikačního systému kritické informační infrastruktury |
||
|
§25/3 |
a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci |
5 000 000 |
|
|
b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4 |
1 000 000 |
||
|
c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6 |
1 000 000 |
||
|
d) neinformuje provozovatele systému podle §4a odst. 1 |
1 000 000 |
||
|
e) neinformuje subjekt zajišťující síť elektronických komunikací podle §4a odst. 2 |
1 000 000 |
||
|
f) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3 |
1 000 000 |
||
|
g) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4 |
1 000 000 |
||
|
h) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3 |
1 000 000 |
||
|
i) nesplní povinnost uloženou Úřadem podle §13 nebo 14 |
1 000 000 |
||
|
j) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4 |
1 000 000 |
||
|
k) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b) |
10 000 |
||
|
l) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury |
||
|
§25/4 |
a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci |
5 000 000 |
|
|
b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4 |
1 000 000 |
||
|
c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6 |
1 000 000 |
||
|
d) neinformuje subjekt zajišťující síť elektronických komunikací podle §4a odst. 2 |
1 000 000 |
||
|
e) nepředá data, provozní údaje a informace podle §6a odst. 2 |
1 000 000 |
||
|
f) nepředá data, provozní údaje a informace podle §6a odst. 3 |
1 000 000 |
||
|
g) nezničí kopie dat, provozních údajů a informací podle §6a odst. 3 |
1 000 000 |
||
|
h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle §6a odst. 3 |
1 000 000 |
||
|
i) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3 |
1 000 000 |
||
|
j) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4 |
1 000 000 |
||
|
k) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3 |
1 000 000 |
||
|
l) nesplní povinnost uloženou Úřadem podle §13 nebo 14 |
1 000 000 |
||
|
m) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4 |
1 000 000 |
||
|
n) nesplní povinnost uloženou Úřadem v rozhodnutí podle §15a odst. 1 |
1 000 000 |
||
|
o) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b) |
10 000 |
||
|
p) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Správce významného informačního systému |
||
|
§25/5 |
a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci |
5 000 000 |
|
|
b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4 |
1 000 000 |
||
|
c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6 |
1 000 000 |
||
|
d) neinformuje provozovatele systému podle §4a odst. 1 |
1 000 000 |
||
|
e) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3 |
1 000 000 |
||
|
f) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4 |
1 000 000 |
||
|
g) nesplní povinnost uloženou Úřadem podle §13 nebo 14 |
1 000 000 |
||
|
h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4 |
1 000 000 |
||
|
i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b) |
10 000 |
||
|
j) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Provozovatel významného informačního systému |
||
|
§25/6 |
a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci |
5 000 000 |
|
|
b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4 |
1 000 000 |
||
|
c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6 |
1 000 000 |
||
|
d) nepředá data, provozní údaje a informace podle §6a odst. 2 |
1 000 000 |
||
|
e) nepředá data, provozní údaje a informace podle §6a odst. 3 |
1 000 000 |
||
|
f) nezničí kopie dat, provozních údajů a informací podle §6a odst. 3 |
1 000 000 |
||
|
g) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle §6a odst. 3 |
1 000 000 |
||
|
h) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3 |
1 000 000 |
||
|
i) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4 |
1 000 000 |
||
|
j) nesplní povinnost uloženou Úřadem podle §13 nebo 14 |
1 000 000 |
||
|
k) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4 |
1 000 000 |
||
|
l) nesplní povinnost uloženou Úřadem v rozhodnutí podle §15a odst. 1 |
1 000 000 |
||
|
m) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b) |
10 000 |
||
|
n) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Správce informačního systému základní služby |
||
|
§25/7 |
a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci |
5 000 000 |
|
|
b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4 |
1 000 000 |
||
|
c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6 |
1 000 000 |
||
|
d) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3 |
1 000 000 |
||
|
e) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4 |
1 000 000 |
||
|
f) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3 |
1 000 000 |
||
|
g) nesplní povinnost uloženou Úřadem podle §13 nebo 14 |
1 000 000 |
||
|
h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4 |
1 000 000 |
||
|
i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b) |
10 000 |
||
|
j) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Provozovatel informačního systému základní služby |
||
|
§25/8 |
a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci |
5 000 000 |
|
|
b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4 |
1 000 000 |
||
|
c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6 |
1 000 000 |
||
|
d) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3 |
1 000 000 |
||
|
e) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4 |
1 000 000 |
||
|
f) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3 |
1 000 000 |
||
|
1 000 000 |
|||
|
h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4 |
1 000 000 |
||
|
i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b) |
10 000 |
||
|
j) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Provozovatel základní služby |
||
|
§25/9 |
a) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6 |
1 000 000 |
|
|
b) neinformuje správce nebo provozovatele informačního systému základní služby podle §4a odst. 3 |
1 000 000 |
||
|
c) nenahlásí významný dopad na kontinuitu poskytování základní služby podle §8 odst. 1, 4 nebo 8 |
1 000 000 |
||
|
d) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3 |
1 000 000 |
||
|
e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b) |
10 000 |
||
|
f) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Poskytovatel digitální služby |
||
|
§25/10 |
a) neustaví svého zástupce podle §3a odst. 1 |
1 000 000 |
|
|
b) v rozporu s §4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření |
5 000 000 |
||
|
c) neohlásí kybernetický bezpečnostní incident podle §8 odst. 2 a 3 |
1 000 000 |
||
|
d) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3 |
1 000 000 |
||
|
e) neoznámí kontaktní údaje nebo jejich změnu podle §16 odst. 2 písm. a) |
10 000 |
||
|
f) nesplní některou z povinností uloženou nápravným opatřením podle §24 |
1 000 000 |
||
|
Subjekt: |
Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě |
||
|
§25/11 |
a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti17) |
1 000 000 |
|
|
b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17) |
1 000 000 |
||
|
c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17) |
1 000 000 |
||
|
d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti17) |
1 000 000 |
||
|
Subjekt: |
Držitel evropského certifikátu kybernetické bezpečnosti |
||
|
§25/12 |
neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech |
5 000 000 |
|
|
Subjekt: |
Právnická nebo podnikající fyzická osoba |
||
|
§25/13 |
a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17) |
5 000 000 |
|
|
b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17) |
5 000 000 |
||
|
c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti17) na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti17) |
5 000 000 |
||
|
d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti17) vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti |
5 000 000 |
||
|
e) provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace |
5 000 000 |
||
|
f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti17) nebo mimo rozsah této akreditace |
5 000 000 |
||