Animace načítání

Stránka se připravuje...


Přestupky v oblasti elektronických komunikací

181/2014 Sb. - Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) - účinnost od 6.8.2022

§25/1 - Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací

§25/2 - Orgán nebo osoba zajišťující významnou síť

§25/3 - Správce informačního nebo komunikačního systému kritické informační infrastruktury

§25/4 - Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury

§25/5 - Správce významného informačního systému

§25/6 - Provozovatel významného informačního systému

§25/7 - Správce informačního systému základní služby

§25/8 - Provozovatel informačního systému základní služby

§25/9 - Provozovatel základní služby

§25/10 - Poskytovatel digitální služby

§25/11 - Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě

§25/12 - Držitel evropského certifikátu kybernetické bezpečnosti

§25/13 - Právnická nebo podnikající fyzická osoba

§26/1 - Fyzická osoba

§§

Název §§ - skutková podstata

Sankce – peněžitý trest

Od Kč

Do Kč

Subjekt:

Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací

§25/1

a) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle §13

1 000 000

b) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4

1 000 000

c) neoznámí kontaktní údaje nebo jejich změnu podle §16 odst. 2 písm. a)

10 000

d) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Orgán nebo osoba zajišťující významnou síť

§25/2

a) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3

1 000 000

b) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 3

1 000 000

c) nesplní za stavu kybernetického nebezpečí nebo za nouzového stavu povinnost uloženou Úřadem v rozhodnutí nebo v opatření obecné povahy podle §13

1 000 000

d) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4,

1 000 000

e) neoznámí kontaktní údaje nebo jejich změnu podle §16 odst. 2 písm. a)

10 000

f) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Správce informačního nebo komunikačního systému kritické informační infrastruktury

§25/3

a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci

5 000 000

b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4

1 000 000

c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6

1 000 000

d) neinformuje provozovatele systému podle §4a odst. 1

1 000 000

e) neinformuje subjekt zajišťující síť elektronických komunikací podle §4a odst. 2

1 000 000

f) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3

1 000 000

g) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4

1 000 000

h) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3

1 000 000

i) nesplní povinnost uloženou Úřadem podle §13 nebo 14

1 000 000

j) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4

1 000 000

k) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b)

10 000

l) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Provozovatel informačního nebo komunikačního systému kritické informační infrastruktury

§25/4

a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci

5 000 000

b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4

1 000 000

c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6

1 000 000

d) neinformuje subjekt zajišťující síť elektronických komunikací podle §4a odst. 2

1 000 000

e) nepředá data, provozní údaje a informace podle §6a odst. 2

1 000 000

f) nepředá data, provozní údaje a informace podle §6a odst. 3

1 000 000

g) nezničí kopie dat, provozních údajů a informací podle §6a odst. 3

1 000 000

h) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle §6a odst. 3

1 000 000

i) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3

1 000 000

j) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4

1 000 000

k) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3

1 000 000

l) nesplní povinnost uloženou Úřadem podle §13 nebo 14

1 000 000

m) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4

1 000 000

n) nesplní povinnost uloženou Úřadem v rozhodnutí podle §15a odst. 1

1 000 000

o) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b)

10 000

p) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Správce významného informačního systému

§25/5

a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci

5 000 000

b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4

1 000 000

c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6

1 000 000

d) neinformuje provozovatele systému podle §4a odst. 1

1 000 000

e) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3

1 000 000

f) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4

1 000 000

g) nesplní povinnost uloženou Úřadem podle §13 nebo 14

1 000 000

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4

1 000 000

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b)

10 000

j) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Provozovatel významného informačního systému

§25/6

a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření anebo nevede bezpečnostní dokumentaci

5 000 000

b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4

1 000 000

c)  jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6

1 000 000

d) nepředá data, provozní údaje a informace podle §6a odst. 2

1 000 000

e) nepředá data, provozní údaje a informace podle §6a odst. 3

1 000 000

f) nezničí kopie dat, provozních údajů a informací podle §6a odst. 3

1 000 000

g) neumožní správci dohled nad průběhem zničení dat, provozních údajů a informací podle §6a odst. 3

1 000 000

h) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3

1 000 000

i) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4

1 000 000

j) nesplní povinnost uloženou Úřadem podle §13 nebo 14

1 000 000

k) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4

1 000 000

l) nesplní povinnost uloženou Úřadem v rozhodnutí podle §15a odst. 1

1 000 000

m) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b)

10 000

n) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Správce informačního systému základní služby

§25/7

a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci

5 000 000

b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4

1 000 000

c)  jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6

1 000 000

d) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3

1 000 000

e) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4

1 000 000

f) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3

1 000 000

g) nesplní povinnost uloženou Úřadem podle §13 nebo 14

1 000 000

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4

1 000 000

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b)

10 000

j) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Provozovatel informačního systému základní služby

§25/8

a) v rozporu s §4 odst. 2 nezavede nebo neprovádí bezpečnostní opatření nebo nevede bezpečnostní dokumentaci

5 000 000

b) v rozporu s §4 odst. 4 nezohlední požadavky vyplývající z bezpečnostních opatření při výběru dodavatele nebo s takovým dodavatelem uzavře smlouvu v rozporu s §4 odst. 4

1 000 000

c) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6

1 000 000

d) nedetekuje kybernetické bezpečnostní události podle §7 odst. 3

1 000 000

e) neohlásí kybernetický bezpečnostní incident podle §8 odst. 1 a 4

1 000 000

f) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3

1 000 000

g) nesplní povinnost uloženou Úřadem podle §13 nebo 14

1 000 000

h) bez zbytečného odkladu neoznámí Úřadu výsledek provedení reaktivního opatření podle §13 odst. 4

1 000 000

i) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b)

10 000

j) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Provozovatel základní služby

§25/9

a) jako orgán veřejné moci v rozporu s §4 odst. 5 nezařadí poptávaný cloud computing do bezpečnostní úrovně, nezajistí dodržení bezpečnostních pravidel pro poskytování služeb cloud computingu nebo dodržení podmínek dostupnosti anebo uzavře smlouvu s poskytovatelem služeb cloud computingu v rozporu s §4 odst. 6

1 000 000

b) neinformuje správce nebo provozovatele informačního systému základní služby podle §4a odst. 3

1 000 000

c) nenahlásí významný dopad na kontinuitu poskytování základní služby podle §8 odst. 1, 4 nebo 8

1 000 000

d) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3

1 000 000

e) neoznámí kontaktní údaje nebo jejich změnu Úřadu podle §16 odst. 2 písm. b)

10 000

f) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Poskytovatel digitální služby

§25/10

a) neustaví svého zástupce podle §3a odst. 1

1 000 000

b) v rozporu s §4 odst. 3 nezavede nebo neprovádí bezpečnostní opatření

5 000 000

c) neohlásí kybernetický bezpečnostní incident podle §8 odst. 2 a 3

1 000 000

d) nesplní povinnost informovat veřejnost uloženou Úřadem podle §12 odst. 3

1 000 000

e) neoznámí kontaktní údaje nebo jejich změnu podle §16 odst. 2 písm. a)

10 000

f) nesplní některou z povinností uloženou nápravným opatřením podle §24

1 000 000

Subjekt:

Výrobce nebo poskytovatel produktů, služeb nebo procesů vydávající EU prohlášení o shodě

§25/11

a) vydá EU prohlášení o shodě, ač pro jeho vydání nejsou splněny podmínky stanovené aktem o kybernetické bezpečnosti17)

1 000 000

b) neuchovává dokumenty a informace podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17)

1 000 000

c) nepředloží vyhotovení EU prohlášení o shodě Úřadu a agentuře ENISA podle čl. 53 odst. 3 aktu o kybernetické bezpečnosti17)

1 000 000

d) neposkytuje informace o kybernetické bezpečnosti v rozsahu a způsobem uvedeným v čl. 55 aktu o kybernetické bezpečnosti17)

1 000 000

Subjekt:

Držitel evropského certifikátu kybernetické bezpečnosti

§25/12

neinformuje příslušné subjekty posuzování shody o veškerých později zjištěných zranitelnostech nebo nesrovnalostech

5 000 000

Subjekt:

Právnická nebo podnikající fyzická osoba

§25/13

a) zneužije známku nebo označení evropského systému certifikace kybernetické bezpečnosti, evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17)

5 000 000

b) padělá nebo pozmění evropský certifikát kybernetické bezpečnosti, EU prohlášení o shodě anebo jiný dokument podle aktu o kybernetické bezpečnosti17)

5 000 000

c) provede činnost posouzení shody podle aktu o kybernetické bezpečnosti17) na úroveň záruky „vysoká“, přestože k tomu není oprávněna podle čl. 56 odst. 6 aktu o kybernetické bezpečnosti17)

5 000 000

d) jako subjekt posuzování shody autorizovaný podle čl. 60 odst. 3 aktu o kybernetické bezpečnosti17) vydá evropský certifikát kybernetické bezpečnosti k produktu, procesu nebo službě, které nesplňují kritéria obsažená v přímo použitelném předpise Evropské unie vydaném na základě aktu o kybernetické bezpečnosti

5 000 000

e) provede činnost posouzení shody, vyhrazenou přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti autorizovanému subjektu posuzování shody, bez autorizace

5 000 000

f) vystupuje jako akreditovaný subjekt posuzování shody bez akreditace podle čl. 60 odst. 1 aktu o kybernetické bezpečnosti17) nebo mimo rozsah této akreditace

5 000 000

Subjekt:

Fyzická osoba

§26/1

poruší povinnost uvedenou v §10 odst. 1

50 000