265/2025 Sb. , kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti

Schválený:
265/2025 Sb.
ZÁKON
ze dne 11. června 2025,
kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti
Parlament se usnesl na tomto zákoně České republiky:
 
ČÁST PRVNÍ
Změna zákona o bankách
Čl.I
Zákon č. 21/1992 Sb., o bankách, ve znění zákona č. 264/1992 Sb., zákona č. 292/1993 Sb., zákona č. 156/1994 Sb., zákona č. 83/1995 Sb., zákona č. 84/1995 Sb., zákona č. 61/1996 Sb., zákona č. 306/1997 Sb., zákona č. 16/1998 Sb., zákona č. 127/1998 Sb., zákona č. 165/1998 Sb., zákona č. 120/2001 Sb., zákona č. 239/2001 Sb., zákona č. 319/2001 Sb., zákona č. 126/2002 Sb., zákona č. 453/2003 Sb., zákona č. 257/2004 Sb., zákona č. 439/2004 Sb., zákona č. 377/2005 Sb., zákona č. 413/2005 Sb., zákona č. 56/2006 Sb., zákona č. 57/2006 Sb., zákona č. 62/2006 Sb., zákona č. 70/2006 Sb., zákona č. 159/2006 Sb., zákona č. 189/2006 Sb., zákona č. 443/2006 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 37/2007 Sb., zákona č. 120/2007 Sb., zákona č. 296/2007 Sb., zákona č. 126/2008 Sb., zákona č. 216/2008 Sb., zákona č. 230/2008 Sb., zákona č. 254/2008 Sb., zákona č. 433/2008 Sb., zákona č. 215/2009 Sb., zákona č. 227/2009 Sb., zákona č. 230/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 287/2009 Sb., zákona č. 156/2010 Sb., zákona č. 160/2010 Sb., zákona č. 409/2010 Sb., zákona č. 41/2011 Sb., zákona č. 73/2011 Sb., zákona č. 139/2011 Sb., zákona č. 188/2011 Sb., zákona č. 263/2011 Sb., zákona č. 420/2011 Sb., zákona č. 428/2011 Sb., zákona č. 470/2011 Sb., zákona č. 37/2012 Sb., zákona č. 254/2012 Sb., zákona č. 396/2012 Sb., zákona č. 227/2013 Sb., zákona č. 241/2013 Sb., zákona č. 303/2013 Sb., zákona č. 135/2014 Sb., zákona č. 219/2015 Sb., zákona č. 220/2015 Sb., zákona č. 375/2015 Sb., zákona č. 258/2016 Sb., zákona č. 301/2016 Sb., zákona č. 302/2016 Sb., zákona č. 368/2016 Sb., zákona č. 183/2017 Sb., zákona č. 204/2017 Sb., zákona č. 371/2017 Sb., zákona č. 39/2020 Sb., zákona č. 49/2020 Sb., zákona č. 119/2020 Sb., zákona č. 238/2020 Sb., zákona č. 338/2020 Sb., zákona č. 174/2021 Sb., zákona č. 261/2021 Sb., zákona č. 353/2021 Sb., zákona č. 96/2022 Sb., zákona č. 471/2022 Sb., zákona č. 35/2023 Sb., zákona č. 407/2023 Sb., zákona č. 417/2023 Sb., zákona č. 85/2024 Sb., zákona č. 107/2024 Sb., zákona č. 23/2025 Sb., zákona č. 32/2025 Sb., zákona č. 35/2025 Sb. a zákona č. 73/2025 Sb., se mění takto:
1. V § 38 odst. 3 se na konci písmene q) slovo „nebo“ zrušuje.
2. V § 38 odst. 3 se na konci písmene r) tečka nahrazuje slovem „ , nebo“ a vkládá se písmeno s), které zní:
„s) Národního úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem poskytovatele strategicky významné služby podle zákona o kybernetické bezpečnosti.“.
 
ČÁST DRUHÁ
Změna zákona o poštovních službách
Čl.II
Zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění zákona č. 517/2002 Sb., zákona č. 225/2003 Sb., zákona č. 501/2004 Sb., zákona č. 95/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 264/2006 Sb., zákona č. 110/2007 Sb., zákona č. 41/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 153/2010 Sb., zákona č. 329/2011 Sb., zákona č. 89/2012 Sb., zákona č. 221/2012 Sb., zákona č. 212/2013 Sb., zákona č. 258/2014 Sb., zákona č. 319/2015 Sb., zákona č. 378/2015 Sb., zákona č. 250/2016 Sb., zákona č. 183/2017 Sb., zákona č. 202/2019 Sb., zákona č. 164/2020 Sb. a zákona č. 374/2021 Sb., se mění takto:
1. V § 33 se za odstavec 2 vkládá nový odstavec 3, který zní:
„(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Tato povinnost se neuplatní, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kybernetickém prostoru, a to v rozsahu, ve kterém se na držitele poštovní licence vztahují obdobné informační povinnosti podle zákona o kybernetické bezpečnosti.“.
Dosavadní odstavce 3 až 9 se označují jako odstavce 4 až 10.
2. V § 33 odst. 6 se slova „odstavce 6“ nahrazují slovy „odstavce 7“.
3. V § 33 odst. 7 se slova „odstavce 5“ nahrazují slovy „odstavce 6“.
4. V § 33 odst. 10 se slova „odstavce 8“ nahrazují slovy „odstavce 9“.
5. Za § 36a se vkládá nový § 36b, který včetně nadpisu zní:
 
㤠36b
Spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost
Úřad a Národní úřad pro kybernetickou a informační bezpečnost si vzájemně poskytují podněty, informace a jiné formy součinnosti potřebné k plnění úkolů, které jim stanoví právní předpisy. Při předávání informací je příjemce povinen zajistit stejnou úroveň důvěrnosti jako předávající.“.
6. V § 37a odst. 3 se za písmeno b) vkládá nové písmeno c), které zní:
„c) nesplní informační povinnost podle § 33 odst. 3,“.
Dosavadní písmena c) až g) se označují jako písmena d) až h).
7. V § 37a odst. 3 písm. d) se text „odst. 4“ nahrazuje textem „odst. 5“.
8. V § 37a odst. 3 písm. e) se slova „odst. 5, 7, 8 nebo 9“ nahrazují slovy „odst. 6, 8, 9 nebo 10“.
9. V § 37a odst. 6 písm. a) se text „písm. e)“ nahrazuje textem „písm. f)“.
10. V § 37a odst. 6 písm. b) se slova „f) nebo g)“ nahrazují slovy „e), g) nebo h)“.
11. V § 41 odst. 1 se text „odst. 4“ nahrazuje textem „odst. 5“.
 
ČÁST TŘETÍ
Změna zákona o informačních systémech veřejné správy
Čl.III
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 195/2017 Sb., zákona č. 205/2017 Sb., zákona č. 251/2017 Sb., zákona č. 99/2019 Sb., zákona č. 12/2020 Sb., zákona č. 261/2021 Sb., zákona č. 471/2022 Sb. a zákona č. 1/2024 Sb., se mění takto:
1. V § 2 odst. 2 písmeno a) zní:
„a) bezpečnostní úrovní bezpečnostní úroveň informačního systému veřejné správy vyjadřující možné dopady kybernetického bezpečnostního incidentu na informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing,“.
2. V § 2 se na konci odstavce 2 tečka nahrazuje čárkou a doplňuje se písmeno g), které zní:
„g) bezpečnostními pravidly pravidla pro orgány veřejné správy využívající služby poskytovatelů cloud computingu stanovující minimální požadavky pro využívání služby cloud computingu orgánem veřejné správy s cílem zajistit bezpečnost informací.“.
3. V § 4 odst. 2 se na konci textu písmene a) doplňují slova „ , s výjimkou povinností stanovených v § 6n písm. b) až f) a § 6l odst. 3“.
4. V § 5a odst. 2 se věta poslední nahrazuje větou „Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy a pravidla pro strukturování dat v informačních systémech veřejné správy stanoví prováděcí právní předpis.“.
5. § 5b zní:
 
㤠5b
Správci informačních systémů veřejné správy, kteří nejsou poskytovateli regulované služby podle zákona o kybernetické bezpečnosti, jsou povinni na jimi spravované informační systémy veřejné správy zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle § 8, 13 a 14 zákona o kybernetické bezpečnosti, a to přiměřeně s ohledem na možné dopady narušení důvěrnosti, integrity a dostupnosti konkrétního informačního systému veřejné správy na činnost jeho správce a jeho schopnost poskytovat své služby občanům, a dále vhodnost a proveditelnost těchto opatření.“.
6. V § 6i odst. 2 písm. e) se za text „§ 6n“ vkládá text „písm. a)“.
7. V § 6i odstavec 3 zní:
„(3) Národní úřad pro kybernetickou a informační bezpečnost
a) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n písm. b) až f),
b) kontroluje zařazení informačního systému veřejné správy do bezpečnostní úrovně podle § 6l odst. 3,
c) kontroluje zajištění dodržování bezpečnostních pravidel orgánem veřejné správy při využívání služby cloud computingu podle § 6l odst. 3.“.
8. V § 6l se na konci odstavce 3 doplňují věty „Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu. Orgán veřejné správy je dále povinen zajišťovat, že budou po celou dobu využívání služeb cloud computingu dodržována bezpečnostní pravidla.“.
9. V § 6n písm. c) se slova „postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost“ nahrazují slovy „zajistit dodržování bezpečnostních pravidel stanovených prováděcím právním předpisem“.
10. V § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a d) až g) a § 6t odst. 7 písm. c) a e) až h) se slova „upravujícím kybernetickou bezpečnost“ nahrazují slovy „vydaným podle § 12 odst. 2“.
11. Na konci nadpisu § 7 se doplňují slova „a orgánů veřejné správy“.
12. V § 7 se za odstavec 3 vkládají nové odstavce 4 a 5, které znějí:
„(4) Poskytovatel cloud computingu se dopustí přestupku tím, že poskytuje orgánu veřejné správy nebo poskytovateli státního cloud computingu cloud computing, který nesplňuje požadavky na cloud computing využívaný orgánem veřejné správy podle § 6n.
(5) Orgán veřejné správy se dopustí přestupku tím, že
a) využívá cloud computing v rozporu s § 6l odst. 1,
b) nesplní ve stanovené lhůtě povinnost ukončit využívání cloud computingu podle § 6l odst. 2,
c) nesplní povinnost zařadit informační systém nebo jeho část do bezpečnostní úrovně podle § 6l odst. 3, nebo
d) nezajišťuje dodržování bezpečnostních pravidel podle § 6l odst. 3.“.
Dosavadní odstavec 4 se označuje jako odstavec 6.
13. V § 7 odst. 6 se vkládá nové písmeno a), které zní:
„a) 10 000 000 Kč, jde-li o přestupek podle odstavce 4 nebo 5,“.
Dosavadní písmena a) až c) se označují jako písmena b) až d).
14. V § 9e odst. 3 se slova „správci a provozovateli významného informačního systému“ zrušují.
15. V § 12 odst. 1 písm. b) se slova „bezpečnostních úrovní a“ zrušují.
16. V § 12 se na konci odstavce 2 tečka nahrazuje čárkou a doplňují se písmena g) a h), která znějí:
„g) bezpečnostní úrovně informačních systémů veřejné správy,
h) obsah a rozsah bezpečnostních pravidel pro orgány veřejné správy využívající služeb cloud computingu podle § 6l odst. 3.“.
 
ČÁST ČTVRTÁ
Změna zákona o elektronických komunikacích
Čl.IV
Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 290/2005 Sb., zákona č. 361/2005 Sb., zákona č. 186/2006 Sb., zákona č. 235/2006 Sb., zákona č. 310/2006 Sb., zákona č. 110/2007 Sb., zákona č. 261/2007 Sb., zákona č. 304/2007 Sb., zákona č. 124/2008 Sb., zákona č. 177/2008 Sb., zákona č. 189/2008 Sb., zákona č. 247/2008 Sb., zákona č. 384/2008 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 153/2010 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 94/2011 Sb., zákona č. 137/2011 Sb., zákona č. 341/2011 Sb., zákona č. 375/2011 Sb., zákona č. 420/2011 Sb., zákona č. 457/2011 Sb., zákona č. 468/2011 Sb., zákona č. 18/2012 Sb., zákona č. 19/2012 Sb., zákona č. 142/2012 Sb., zákona č. 167/2012 Sb., zákona č. 273/2012 Sb., zákona č. 214/2013 Sb., zákona č. 303/2013 Sb., zákona č. 181/2014 Sb., zákona č. 234/2014 Sb., zákona č. 250/2014 Sb., zákona č. 258/2014 Sb., zákona č. 318/2015 Sb., zákona č. 378/2015 Sb., zákona č. 222/2016 Sb., zákona č. 298/2016 Sb., zákona č. 183/2017 Sb., zákona č. 194/2017 Sb., zákona č. 225/2017 Sb., zákona č. 252/2017 Sb., zákona č. 287/2018 Sb., zákona č. 277/2019 Sb., zákona č. 311/2019 Sb., zákona č. 403/2020 Sb., zákona č. 150/2021 Sb., zákona č. 261/2021 Sb., zákona č. 270/2021 Sb., zákona č. 284/2021 Sb., zákona č. 374/2021 Sb., zákona č. 152/2023 Sb., zákona č. 202/2023 Sb., zákona č. 349/2023 Sb., zákona č. 265/2024 Sb. a zákona č. 23/2025 Sb., se mění takto:
1. V § 6 se doplňuje odstavec 6, který zní:
„(6) Úřad rozhodne na základě žádosti o změně nebo zrušení regulačního opatření uloženého rozhodnutím vydaným na základě tohoto zákona v případě, že plnění podmínek nebo povinností stanovených v takovém rozhodnutí znemožňuje zcela nebo zčásti plnit povinnosti uvedené v protiopatření nebo opatření obecné povahy vydávaných podle zákona o kybernetické bezpečnosti.“.
2. V § 22a odst. 3 se slova „odstavce 5“ nahrazují slovy „odstavce 6“.
3. V § 22a se za odstavec 4 vkládá nový odstavec 5, který zní:
„(5) Předseda Rady může rozhodnout po konzultaci podle § 130 o změně přídělu rádiových kmitočtů, jestliže je to nezbytné pro plnění protiopatření nebo plnění účelu opatření obecné povahy vydaného podle zákona o kybernetické bezpečnosti. Postup podle § 6 odst. 6 tím není dotčen.“.
Dosavadní odstavec 5 se označuje jako odstavec 6.
4. V § 98 se doplňuje odstavec 9, který zní:
„(9) Povinnosti stanovené nebo uložené na základě odstavců 1, 3, 4 a 6 až 8 se neuplatní v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kybernetickém prostoru, a to v rozsahu, ve kterém se na něj vztahují obdobné informační povinnosti podle zákona o kybernetické bezpečnosti.“.
 
ČÁST PÁTÁ
Změna zákona o provádění mezinárodních sankcí
Čl.V
Zákon č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 139/2011 Sb., zákona č. 167/2012 Sb., zákona č. 399/2012 Sb., zákona č. 377/2015 Sb., zákona č. 298/2016 Sb., zákona č. 368/2016 Sb., zákona č. 183/2017 Sb., zákona č. 261/2021 Sb., zákona č. 240/2022 Sb. a zákona č. 280/2024 Sb., se mění takto:
1. V § 16 odst. 4 se na konci písmene m) slovo „nebo“ nahrazuje čárkou.
2. V § 16 se na konci odstavce 4 tečka nahrazuje slovem „ , nebo“ a doplňuje se písmeno o), které zní:
„o) Národnímu úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.“.
3. V § 16 se doplňuje odstavec 7, který zní:
„(7) Výjimky uvedené v odstavci 4 písm. b) až o) se uplatní jen v nezbytně nutném rozsahu podle účelu poskytované informace. Nelze je uplatnit, pokud by poskytnutí informací mohlo zmařit nebo ohrozit šetření podle tohoto zákona nebo probíhající trestní řízení, nebo jestliže by poskytnutí informací bylo zjevně nepřiměřené oprávněným zájmům osoby, jíž se informace týká, nebo účelu, pro který byla žádost podána.“.
 
ČÁST ŠESTÁ
Změna zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
Čl.VI
Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 199/2010 Sb., zákona č. 139/2011 Sb., zákona č. 420/2011 Sb., zákona č. 428/2011 Sb., zákona č. 457/2011 Sb., zákona č. 18/2012 Sb., zákona č. 377/2012 Sb., zákona č. 399/2012 Sb., zákona č. 241/2013 Sb., zákona č. 303/2013 Sb., zákona č. 257/2014 Sb., zákona č. 166/2015 Sb., zákona č. 377/2015 Sb., zákona č. 188/2016 Sb., zákona č. 243/2016 Sb., zákona č. 368/2016 Sb., zákona č. 183/2017 Sb., zákona č. 371/2017 Sb., zákona č. 35/2018 Sb., zákona č. 94/2018 Sb., zákona č. 111/2019 Sb., zákona č. 49/2020 Sb., zákona č. 527/2020 Sb., zákona č. 34/2021 Sb., zákona č. 172/2023 Sb., zákona č. 1/2024 Sb., zákona č. 107/2024 Sb., zákona č. 280/2024 Sb. a zákona č. 32/2025 Sb., se mění takto:
1. V § 39 se na konci odstavce 1 tečka nahrazuje čárkou a doplňuje se písmeno r), které zní:
„r) Národnímu úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.“.
2. V § 39 odst. 4 úvodní části ustanovení se text „q)“ nahrazuje textem „r)“.
 
ČÁST SEDMÁ
Změna zákona o Celní správě České republiky
Čl.VII
V § 27 odst. 3 zákona č. 17/2012 Sb., o Celní správě České republiky, ve znění zákona č. 283/2020 Sb., se za slovo „republiky,“ vkládají slova „Národnímu úřadu pro kybernetickou a informační bezpečnost,“.
 
ČÁST OSMÁ
Změna zákona o prověřování zahraničních investic
Čl.VIII
Zákon č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), ve znění zákona č. 69/2025 Sb., se mění takto:
1. V § 7 písm. c) se slova „správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní služby5) “ nahrazují slovy „poskytovatelem regulované služby v režimu vyšších povinností5) “.
Poznámka pod čarou č. 5 zní:
„5) Zákon č. 264/2025 Sb., o kybernetické bezpečnosti.“.
2. § 20a včetně nadpisu zní:
 
㤠20a
Výjimky z povinnosti mlčenlivosti
(1) Povinnost zaměstnanců ministerstva pověřených vedením řízení nebo konzultací podle tohoto zákona zachovávat mlčenlivost podle § 20 se neuplatní v rámci spolupráce ministerstva s
a) Úřadem podle právního předpisu upravujícího některé vztahy v oblasti veřejné podpory9) a
b) Národním úřadem pro kybernetickou a informační bezpečnost při prověřování bezpečnosti dodavatelského řetězce podle právního předpisu upravujícího kybernetickou bezpečnost.
(2) Zaměstnanci Národního úřadu pro kybernetickou a informační bezpečnost jsou oprávněni informace získané v rámci spolupráce podle odstavce 1 písm. b) použít pouze při prověřování bezpečnosti dodavatelského řetězce a jsou povinni o nich zachovávat mlčenlivost.“.
 
ČÁST DEVÁTÁ
ÚČINNOST
Čl.IX
Tento zákon nabývá účinnosti prvním dnem třetího kalendářního měsíce následujícího po jeho vyhlášení.
Pekarová Adamová v. r.
Pavel v. r.
Fiala v. r.

Související dokumenty

Články

Legislativní změny v oblasti účetnictví pro rok 2026 - 2. část