epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    10. 8. 2017
    ID: 106221upozornění pro uživatele

    Nové povinnosti bank podle zákona o kybernetické bezpečnosti

    Zákon 181/2014 Sb., o kybernetické bezpečnosti („Zákon“), upravuje již od roku 2015 povinnosti některých orgánů a osob, zejména provozovatelů sítí elektronických komunikací, v oblasti předcházení kybernetickým bezpečnostním hrozbám. Dne 14. července 2017 byla ve Sbírce zákonů pod 205/2017 Sb. publikována novela Zákona („Novela“), jež je transpozicí směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii a v jejímž důsledku se budou s účinností od 1. srpna 2018 povinnosti v oblasti kybernetické bezpečnosti nově vztahovat na široké spektrum Zákonem dosud neregulovaných soukromoprávních subjektů, včetně bank. Jaké tedy budou nové povinnosti bank a za jakých podmínek se bude na banky vztahovat nová regulace?

     
     Glatzová & Co., s.r.o.
     
    Nové zákonné pojmy „základní služba“ a „provozovatel základní služby“

    Základním cílem Novely je v souladu s požadavky evropského práva posílení bezpečnosti informačních systémů. Podle Novely je nově jedním z účelů Zákona zajišťování sítí elektronických komunikací a informačních systémů. V této souvislosti zavádí následující nové zákonné pojmy:

    • (i) „základní služba“, kterou se rozumí služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností ve vymezených oblastech ekonomické činnosti, a to včetně oblasti bankovnictví [1];
    • (ii) „informační systém základní služby“, kterým se rozumí informační systém, na jehož fungování je závislé poskytování základní služby („ISZS“); a
    • (iii) „provozovatel základní služby“, kterým se rozumí osoba, která poskytuje základní službu a která je určena rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost („Úřad“).
    Základní službou v oblasti bankovnictví se přitom podle důvodové zprávy k Novele rozumí výkon činnosti úvěrové instituce ve smyslu § 17a odst. 3 zákona 21/1992 Sb., o bankách, ve znění pozdějších předpisů, tedy výkon činnosti úvěrové instituce ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 575/2013 o obezřetnostních požadavcích na úvěrové instituce a investiční podniky. Jinými slovy, základní službou v oblasti bankovnictví ve smyslu Zákona je, mimo jiné, též výkon činnosti banky ve smyslu § 1 písm. a) a b) zákona o bankách.
    Určení provozovatele základní služby v oblasti bankovnictví

    Provozovatelem základní služby podle Zákona je pouze osoba určená rozhodnutím Úřadu. Podle § 22a Zákona určí Úřad rozhodnutím provozovatele základní služby a ISZS, pokud provozovatel naplní tzv. odvětvová a dopadová kritéria, která budou v podrobnostech stanovena novou prováděcí vyhláškou o určování provozovatelů základních služeb („Určovací vyhláška“). Podle tezí Určovací vyhlášky, které jsou součástí návrhu Novely, musí být pro určení subjektu jako provozovatele základní služby naplněno (i) alespoň jedno dopadové určující kritérium a (ii) alespoň jedno odvětvové určující kritérium.

    Dopadové určující kritérium je přitom naplněno v okamžiku, kdy narušení bezpečnosti informací v informačním systému a síti základní služby může způsobit některý z následujících dopadů: a) omezení základní služby postihující více než 50.000 – 100.000 osob; b) závažné omezení či narušení jiné základní služby, nebo omezení či narušení provozu prvku kritické infrastruktury; c) hospodářskou ztrátu vyšší než 250 – 500 milionů Kč; d) nedostupnost služby poskytované alespoň 50.000 – 100.000 osobám, která není nahraditelná jinou službou; e) oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1.000 zraněných osob vyžadujících lékařské ošetření; f) ohrožení veřejné bezpečnosti v minimálním rozsahu správního území obce s rozšířenou působností; či g) kompromitaci citlivých údajů o nejméně 200.000 osobách.

    Odvětvovým určujícím kritériem v odvětví bankovnictví bude podle tezí Určovací vyhlášky minimální podíl úvěrové instituce na trhu. Prahová hodnota minimálního tržního podílu bude nastavena na základě výsledků jednání pracovní skupiny, sestavené ze zástupců věcně příslušných resortů, zástupců průmyslu a odborné veřejnosti, kterou Úřad svolá v průběhu projednávání Určovací vyhlášky.

    Lze očekávat, že banky s nejvýznamnějšími podíly na bankovním trhu v České republice [2] budou rozhodnutím Úřadu určeny jako provozovatelé základní služby a jimi provozované systémy jako ISZS ve smyslu Zákona. V takovém případě budou tyto banky podle § 3 Zákona povinny plnit povinnosti provozovatele základní služby, resp. správce a provozovatele ISZS, jak vyplývají ze znění Zákona po Novele.
    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Povinnosti provozovatele základní služby

    Reklama
    AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    17.9.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit


    Povinnost zavést a provádět bezpečnostní opatření


    Podle § 4 odst. 2 Zákona je správce a provozovatel ISZS povinen zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti ISZS a vést o nich bezpečnostní dokumentaci. Konkrétní požadavky na bezpečnostní opatření budou stanovena v novelizovaném znění vyhlášky 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti).

    Povinnost zohlednit bezpečnostní opatření při výběru dodavatele

    Podle § 4 odst. 4 Zákona je správce a provozovatel ISZS povinen zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jeho informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy uzavřené s dodavatelem.

    Povinnost informovat správce ISZS o určení provozovatelem základní služby

    Podle § 4a odst. 3 Zákona je osoba, která byla rozhodnutím Úřadu určena jako provozovatel základní služby a která není zároveň správcem nebo provozovatelem svého ISZS, povinna informovat správce nebo provozovatele tohoto ISZS o svém určení.

    Povinnost detekovat a hlásit kybernetické bezpečnostní incidenty

    Podle § 7 odst. 3 a § 8 odst. 1 Zákona je správce nebo provozovatel ISZS povinen detekovat kybernetické bezpečnostní incidenty v jeho ISZS, a bezodkladně po jejich detekci je hlásit Úřadu.

    Provozovatel základní služby je navíc podle § 8 odst. 1 Zákona povinen oznámit Úřadu, zda kybernetický bezpečnostní incident má významný dopad na kontinuitu poskytování základní služby.

    Povinnost provádět opatření Úřadu

    Úřad je podle § 11 až 15a Zákona oprávněn vydávat opatření, kterými se rozumí varování, reaktivní opatření a ochranná opatření. Podle § 11 odst. 3 písm. b) a odst. 4 Zákona je správce nebo provozovatel ISZS povinen provádět jak reaktivní opatření Úřadu, tak ochranná opatření Úřadu.

    V případě, že je správce nebo provozovatel ISZS dotčen kybernetickým bezpečnostním incidentem, je Úřad podle § 12 odst. 3 Zákona oprávněn tomuto správci nebo provozovateli ISZS po konzultaci s ním uložit povinnost informovat o tomto incidentu veřejnost. Podle důvodové zprávy k Novele bude v případě finančního sektoru, kde by informace o incidentu v rámci jedné banky mohla ovlivnit celý finanční sektor a způsobit dokonce i jeho kolaps, relevantní též stanovisko České národní banky.

    Úřad ukládá reaktivní opatření buď správním rozhodnutím, nebo opatřením obecné povahy vyvěšeným na úřední desce Úřadu. Účelem reaktivního opatření je okamžitá reakce na výskyt kybernetického bezpečnostního incidentu a obsahem opatření tedy mohou být povinnosti provést konkrétní úkony nutné k odvrácení kybernetického bezpečnostního incidentu nebo ke zmírnění jeho následků. Provozovatel nebo správce ISZS je povinen bez zbytečného odkladu oznámit Úřadu provedení reaktivního opatření a jeho výsledek.

    Ochranná opatření ukládá Úřad opatřením obecné povahy vyvěšeným na úřední desce Úřadu, kterým na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu stanoví způsob zvýšení ochrany a přiměřenou lhůtu k jeho provedení.

    Povinnost oznámit Úřadu kontaktní údaje a jejich změny

    Podle § 16 odst. 2 písm. b) Zákona oznamuje provozovatel základní služby, resp. správce nebo provozovatel ISZS Úřadu své kontaktní údaje, kterými se v případě právnické osoby rozumí obchodní firma, adresa sídla, identifikační číslo osoby a údaje o fyzické osobě, která je oprávněna za ni jednat, a to jméno, příjmení, telefonní číslo a adresa elektronické pošty.

    Podle § 16 odst. 3 Zákona se ukládá povinnost ohlásit změny kontaktních údajů, avšak pouze těch, které nejsou vedeny jako referenční údaje v základních registrech.

    Sankce za nedodržení povinností provozovatele základní služby

    Úřad je oprávněn vykonávat kontrolu v oblasti kybernetické bezpečnosti a ukládat správci nebo provozovateli ISZS nápravná opatření podle § 24 Zákona a pokuty za přestupky podle § 25 odst. 7 a 10 Zákona.

    Maximální výše pokut za porušení povinností správce nebo provozovatele ISZS, resp. provozovatele základní služby, podle Zákona se pohybují od 1.000.000 Kč (neohlášení kybernetického bezpečnostního incidentu, nesplnění reaktivních nebo ochranných opatření) až do 5.000.000 Kč (porušení povinnosti zavést a provádět bezpečnostní opatření).

    Přechodná ustanovení novely – kdy bude určen provozovatel základní služby a kdy musí začít plnit povinnosti dle novely?

    Úřad je povinen určit provozovatele základní služby a ISZS nejpozději do 9. listopadu 2018.  Správce nebo provozovatel ISZS je povinen oznámit Úřadu své kontaktní údaje do 30 dnů ode dne, kdy byl informován o určení provozovatele základní služby, resp. ode dne oznámení rozhodnutí, pokud je sám správcem a provozovatelem svého ISZS. Provozovatel základní služby, resp. správce nebo provozovatel ISZS, je poté povinen začít plnit ostatní povinnosti podle Zákona po Novele nejpozději do 1 roku ode dne, kdy byl informován o určení provozovatele základní služby.

    Správce nebo provozovatel ISZS, resp. provozovatel základní služby, je dále povinen do 1 roku od nabytí účinnosti Novely uvést smluvní vztahy s jeho dodavateli do souladu se zněním zákona po Novele.

    Závěr

    Zákon se ve svém znění po Novele stává další veřejnoprávní regulací dopadající na banky a též na další soukromoprávní subjekty ze strategických ekonomických odvětví. Vnitřní procesy, předpisy a postupy bank, které budou rozhodnutím Úřadu určeny jako provozovatelé základní služby, tak budou muset být přizpůsobeny poměrně striktní nové úpravě Zákona, což bude zahrnovat mimo jiné zavedení a provádění bezpečnostních opatření, uvedení smluvní dokumentace s dodavateli do souladu se Zákonem, zavedení procesů pro detekci kybernetických bezpečnostních incidentů, pro adekvátní a včasné reakce na opatření Úřadu či pro provádění pravidelné interní kontroly správného fungování procesů spojených se zajištěním kybernetické bezpečnosti. I s ohledem na maximální možnou výši sankcí za porušení Zákona lze jen doporučit, aby banky věnovaly dostatečnou pozornost svým novým povinnostem v oblasti kybernetické bezpečnosti a odpovídající úpravě svých vnitřních procesů a předpisů.


    Mgr. et Mgr. Filip Murár


    Glatzová & Co., s.r.o.

    Betlémský palác
    Husova 5
    110 00  Praha 1
     
    Tel.:    +420 224 401 440
    Fax:    +420 224 248 701
    e-mail:    office@glatzova.com


    ___________________________________
    [1] Dalšími nově regulovanými odvětvími jsou energetika, doprava, infrastruktura finančních trhů, zdravotnictví, vodní hospodářství, digitální infrastruktura a chemický průmysl.
    [2] Lze očekávat, že těmito bankami budou přinejmenším tzv. systémově významné instituce ve smyslu čl. 131 směrnice CRD IV a § 12w zákona o bankách, jejichž seznam je k dispozici na webu ČNB, dostupné na www, k dispozici >>> zde.

     
    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

    Mgr. et Mgr. Filip Murár (Glatzová & Co.)
    10. 8. 2017

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Konec snižování úrokových sazeb? Klíčová úroková sazba 2T repo zůstala v srpnu na 3,5 %
    • Právo na soukromí vs. transparentnost firem: Kontroverze kolem evidence skutečných majitelů
    • Investiční zprostředkovatel pod dohledem: Povinnosti, rizika a regulatorní mantinely jeho činností
    • Určení výše přiměřené slevy z kupní ceny
    • Sankce Evropské unie proti Rusku a jejich dopad na obchodní smlouvy
    • Byznys a paragrafy, díl 17.: Přístup do datové schránky právnické osoby při úmrtí jednatele
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Strategická transformace: Jak odštěpení do SPV posílí váš projekt a ochrání vaše podnikání
    • Oceňování automobilů jako součást ocenění společnosti
    • Kyberbezpečnost v civilním letectví a její právní rámec
    • Eutanazie pohledem Ústavního soudu

    Novinky v eshopu

    Aktuální akce

    • 17.09.2025AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025
    • 19.09.2025Dopady novely znaleckého zákona na dokazování znaleckým posudkem v civilním řízení (online - živé vysílání) - 19.9.2025
    • 23.09.2025Investice do startupů – pohled VC fondu vs. pohled startup (online - živé vysílání) - 23.9.2025
    • 24.09.2025ESG Omnibus – Co se mění v reportingu a udržitelnosti? Úleva pro firmy, nebo ústup z odpovědnosti? Víte, co vás čeká? (online – živé vysílání) – 24.9.2025
    • 24.09.2025Mediace a vyjednávání nejen v podnikání (online – živé vysílání) – 24.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Právo na víkend - týden v české justici očima šéfredaktora
    • K otázce stupně intenzity porušení povinnosti zaměstnance
    • Spolehlivost osoby v civilním letectví
    • Přezkum rozhodnutí CAS vnitrostátními soudy Evropské unie
    • Určení výše přiměřené slevy z kupní ceny
    • Osvobozený příjem nerovná se automaticky bez povinností: kdy musíte hlásit dar nebo dědictví?
    • Právo na soukromí vs. transparentnost firem: Kontroverze kolem evidence skutečných majitelů
    • Matzner: Řešme také jak dál s AML. A vyvarujme se nadměrné zátěži a zbytečné byrokracie
    • Osvobozený příjem nerovná se automaticky bez povinností: kdy musíte hlásit dar nebo dědictví?
    • K otázce stupně intenzity porušení povinnosti zaměstnance
    • Určení výše přiměřené slevy z kupní ceny
    • Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry
    • Rozpor evidence skutečných majitelů s právem EU a jeho dopad na veřejné zakázky
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Trestní odpovědnost provozovatelů anonymních sítí
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • V čem Nejvyšší soud selhává a proč by mu to advokáti měli říct
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu
    • Koncentrace řízení a kdy je čas na poučení
    • Praktické dopady tzv. flexi novely zákoníku práce na běh a délku výpovědní doby
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Limity rozhodování ve společenství vlastníků jednotek: výbor vs. shromáždění

    Soudní rozhodnutí

    Insolvence

    Jestliže „osoba s právem postihu“ přihlásí regresní pohledávku (v souladu s § 173 odst. 3 a § 183 odst. 3 insolvenčního zákona v odpovídajícím znění) do insolvenčního řízení...

    Jednočinný souběh (exkluzivně pro předplatitele)

    Jednočinný souběh zvlášť závažných zločinů těžkého ublížení na zdraví podle § 145 odst. 1, odst. 2 písm. g) tr. zákoníku a násilí proti úřední osobě podle § 325 odst. 1...

    Obnova řízení (exkluzivně pro předplatitele)

    Je-li dán některý z důvodů nutné obhajoby podle § 36a odst. 2 písm. a) až d) tr. ř., musí mít obviněný obhájce již od počátku řízení o návrhu na povolení obnovy řízení,...

    Oddlužení (exkluzivně pro předplatitele)

    Má-li být jediným příjmem, z nějž je dlužník za trvání oddlužení schopen splácet pohledávky svých věřitelů, částka, kterou se označený dárce zavázal v darovací smlouvě...

    Prodej jednotky (exkluzivně pro předplatitele)

    Účelem prodeje jednotky podle § 1184 o. z. je primárně ochrana vlastnického práva (a jeho výkonu) ostatních vlastníků jednotek, byť může mít také sankční povahu – postih...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.