Tento harmonogram povinností by měli poskytovatelé bedlivě sledovat, jelikož propásnutím lhůt pro plnění se mohou dopustit přestupku.
Ohlášení regulované služby | 60 dnů od splnění podmínek pro registraci
Oznámení povinných údajů | 30 dnů od doručení rozhodnutí o registraci
Bezpečnostní opatření | 1 rok od doručení rozhodnutí o registraci
Hlášení bezpečnostních incidentů | 1 rok od doručení rozhodnutí o registraci
Ohlašovací povinnosti
První povinností, kterou musíte jako poskytovatel regulované služby splnit, je ohlášení regulované služby NÚKIB. Toto ohlášení musíte jako poskytovatel provést do 60 dnů ode dne, kdy vám došlo oznámení NÚKIB o splnění podmínek pro registraci regulované služby. Nejste-li si jisti, zda tyto podmínky splňujete, může Vám pomoci tento článek.
Po ohlášení obdržíte jako poskytovatel regulované služby rozhodnutí o její registraci. Jeho obdržením začíná běžet 30denní lhůta pro oznámení identifikačních údajů osob, které budou oprávněny jednat za vaši společnost jakožto poskytovatele regulované služby ve věcech upravených zákonem o kybernetické bezpečnosti. Ve stejné lhůtě jste povinni oznámit informace o vlastnické struktuře, technické údaje o ohlášené službě a informace o jejím geografickém rozšíření.
Bezpečnostní povinnosti
Doručením rozhodnutí o registraci regulované služby začíná běžet lhůta 1 roku, během které musí poskytovatel začít plnit povinnost provádět a zavádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti své služby. Příklady bezpečnostních opatření mohou být školení vrcholného vedení, zřízení bezpečnostních rolí, provádění auditu či zajištění fyzické bezpečnosti.
Ve stejné lhůtě – tedy do 1 roku od doručení rozhodnutí o registraci – musí poskytovatel začít plnit povinnost hlásit kybernetické bezpečnostní incidenty. Tyto incidenty hlásí poskytovatelé v režimu vyšších povinností NÚKIBu a poskytovatelé v režimu nižších povinností národnímu týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb.
