č. 264/2025 Sb., Zákon o kybernetické bezpečnosti
ZÁKON
ze dne 11. června 2025
o kybernetické bezpečnosti
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
KYBERNETICKÁ BEZPEČNOST
HLAVA I
Základní ustanovení
§ 1
Předmět úpravy
(1)
Tento zákon upravuje práva a povinnosti osob, organizačních složek státu a dalších orgánů veřejné moci v oblasti zajišťování kybernetické bezpečnosti a působnost a pravomoci Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad”) a dalších orgánů veřejné moci.
(2)
Tento zákon se vztahuje na osoby, které jsou usazeny na území České republiky. Tento zákon se dále vztahuje na osoby, které na území České republiky zajišťují sítě nebo poskytují služby elektronických komunikací podle jiného právního předpisu1) , bez ohledu na místo jejich usazení.
(3)
Tento zákon zapracovává příslušný předpis Evropské unie2) a zároveň navazuje na přímo použitelné předpisy Evropské unie3) .
(4)
Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi.
§ 2
Vymezení pojmů
(1)
Pro účely tohoto zákona se rozumí
a)
daty záznamy jednání, skutečností nebo informací a soubory takových jednání, skutečností nebo informací, včetně provozních údajů4) a metadat5) , zejména v podobě textu, čísel, grafů, obrazů, zvuku a videa,
b)
informací zpracovaná, interpretovaná nebo uspořádaná data, která mají význam a kontext,
c)
aktivem fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě,
d)
primárním aktivem aktivum v podobě zpracovávané informace nebo poskytované služby,
e)
podpůrným aktivem aktivum zajišťující fungování primárních aktiv, zejména zaměstnanec, dodavatel, technické aktivum, budova a jiný ohraničený prostor, ve kterém se nachází aktivum regulované služby, a
f)
technickým aktivem technický nebo programový prostředek anebo vybavení.
(2)
Pro účely tohoto zákona se dále rozumí
a)
kybernetickým prostorem soubor sítí elektronických komunikací a dalších technologií, ve kterém dochází ke zpracování informací a dat v elektronické podobě,
b)
bezpečností informací zajištění důvěrnosti, integrity a dostupnosti informací a dat,
c)
hrozbou jakákoliv potenciální okolnost, událost nebo jednání, které mohou být příčinou kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, a která mohou poškodit, narušit nebo jinak nepříznivě ovlivnit aktiva, jejich uživatele nebo další osoby,
d)
významnou hrozbou hrozba, u níž lze na základě jejích technických charakteristik předpokládat, že má potenciál závažně ovlivnit aktiva poskytovatele regulované služby nebo uživatele regulované služby natolik, že způsobí značnou újmu,
e)
kybernetickou bezpečnostní událostí událost, která může vyústit v kybernetický bezpečnostní incident,
f)
kybernetickým bezpečnostním incidentem narušení bezpečnosti informací v kybernetickém prostoru,
g)
zvládáním kybernetického bezpečnostního incidentu úkony vedoucí k prevenci, detekci, analýze, omezení dopadů incidentu, reakci na incident a následné obnově, a
h)
zranitelností slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito hrozbou.
…
