§ 153
(1) Podnikatel, který má přístup k utajované informaci, právnická osoba podle § 60b nebo orgán státu se dopustí přestupku tím, že
a) nezajistí podle § 28 odst. 2 nebo 4 ostrahu u objektu, ve kterém se nachází zabezpečená oblast kategorie Vyhrazené,
b) v rozporu s § 36 odst. 2 písm. a) nevydá bezpečnostní provozní směrnici, nebo nezašle Národnímu úřadu pro kybernetickou a informační bezpečnost informaci podle § 36 odst. 2 písm. b) o provozovaném zařízení uvedeném v § 36 odst. 1,
c) nezajistí písemné pověření fyzické osoby k přístupu k utajované informaci se zvláštním režimem nakládání označené "ATOMAL",
d) nezřídí a neobsadí funkci bezpečnostního ředitele podle § 71 odst. 1 nebo obsadí funkci bezpečnostního ředitele v rozporu s § 71 odst. 4,
e) neoznámí podle § 71 odst. 2 jmenování bezpečnostního ředitele,
f) nevyznačí na utajované informaci náležitosti podle § 21 odst. 2 až 4,
g) jako původce klasifikuje a označí stupeň utajení na informaci, aniž ji lze podřadit pod položku uvedenou v katalogu oblastí utajovaných informací nebo aniž její vyzrazení nebo zneužití může způsobit újmu zájmu České republiky nebo může být pro tento zájem nevýhodné,
h) jako původce neoznámí zrušení nebo změnu stupně utajení podle § 22 odst. 6,
i) jako adresát utajované informace neoznámí změnu nebo zrušení stupně utajení podle § 22 odst. 6,
j) nezajistí podle § 28 odst. 1, 3 nebo 4 nepřetržitou ostrahu u objektu, ve kterém se nachází zabezpečená oblast nebo jednací oblast,
k) nenahlásí porušení povinnosti při ochraně utajované informace,
l) nezpracuje projekt fyzické bezpečnosti podle § 32,
m) nevede některou z evidencí stanovených v § 69 odst. 1 písm. j),
n) nepředá k zaevidování utajovanou informaci podle § 69 odst. 1 písm. n),
o) nezajistí, aby použitá opatření fyzické bezpečnosti odpovídala projektu fyzické bezpečnosti a požadavkům stanoveným podle § 31,
p) jako původce nevyznačí náležitosti podle § 21 odst. 1 a 4, ačkoli informaci lze podřadit pod položku uvedenou v katalogu oblastí utajovaných informací a její vyzrazení nebo zneužití může způsobit újmu zájmu České republiky nebo může být pro tento zájem nevýhodné,
q) jako původce nezruší nebo nezmění neprodleně stupeň utajení v případech, kdy pominul důvod pro utajení informace, důvody pro utajení neodpovídají stanovenému stupni utajení nebo byl-li stupeň utajení stanoven neoprávněně, anebo po obdržení výzvy podle § 22 odst. 9,
r) nezajistí vytvoření podmínek stanovených na základě § 33 pro ukládání a § 23 odst. 2 pro evidenci, zapůjčování nebo přepravu utajovaných informací nebo utajovaných informací se zvláštním režimem nakládání nebo pro jinou manipulaci s nimi,
s) provozuje informační systém, který není certifikován Národním úřadem pro kybernetickou a informační bezpečnost nebo není písemně schválen do provozu odpovědnou osobou nebo jí pověřenou osobou, nebo provozuje informační systém cizí moci, který není akreditován Národním úřadem pro kybernetickou a informační bezpečnost, anebo v rozporu s § 34 odst. 4 nezavede další nutné bezpečnostní funkce nebo opatření nebo jejich zavedení neoznámí Národnímu úřadu pro kybernetickou a informační bezpečnost,
t) provozuje komunikační systém, jehož bezpečnostní projekt není schválen Národním úřadem pro kybernetickou a informační bezpečnost,
u) nezastaví provoz informačního systému, který nesplňuje podmínky stanovené v certifikační zprávě, nebo nezastaví provoz komunikačního systému, který nesplňuje podmínky stanovené v projektu bezpečnosti komunikačního systému,
v) používá pro kryptografickou ochranu prostředek, který není certifikován Národním úřadem pro kybernetickou a informační bezpečnost nebo není součástí informačního systému cizí moci akreditovaného Národním úřadem pro kybernetickou a informační bezpečnost, nebo používá kryptografické pracoviště k jinému účelu, než ke kterému bylo certifikováno a schváleno do provozu,
w) nezajistí výkon kryptografické ochrany osobou, která splňuje požadavky stanovené v § 38 odst. 2,
x) nezajistí obsluhu kryptografického prostředku osobou, která splňuje požadavky stanovené v § 40 odst. 2,
y) nezajistí přepravu kryptografického materiálu osobou, která splňuje požadavky stanovené v § 42 odst. 1, nebo
z) neoznámí kompromitaci kryptografického materiálu podle § 43 odst. 2.
(2) Podnikatel, který má přístup k utajované informaci, právnická osoba podle § 60b nebo orgán státu se dopustí přestupku tím, že
a) nezřídí registr nebo nenahlásí Úřadu změny v registru podle § 79 odst. 8 písm. f),
b) neprovádí kontrolu utajovaných informací podle § 69 odst. 1 písm. m) vedených v registru nebo neoznámí její výsledek Úřadu,
c) odešle utajovanou informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné v rozporu s § 77,
d) umožní výkon citlivé činnosti fyzické osobě, která není držitelem platného dokladu nebo osvědčení fyzické osoby nebo jí nebylo uznáno bezpečnostní oprávnění vydané úřadem cizí moci,
e) neoznámí zničení utajované informace podle § 21 odst. 11 nebo § 69 odst. 1 písm. u),
f) nevede některou z evidencí stanovených v § 69 odst. 1 písm. t),
g) nezpracovává a nevede přehled míst nebo funkcí podle § 69 odst. 1 písm. b),
h) nezajistí zaslání kopie poučení Úřadu podle § 11 odst. 2,
i) nezašle neprodleně Úřadu kopii prohlášení podnikatele podle § 15a odst. 2,
j) umožní přístup k utajované informaci neoprávněné osobě,
k) nezajistí nakládání s kryptografickým materiálem jiným způsobem, než je uvedeno v § 38 odst. 1, § 40, § 41 odst. 3 nebo § 42, osobou, která splňuje požadavky stanovené v § 42a, nebo
l) neprojednává utajované informace v jednací oblasti v souladu s § 24 odst. 4 nebo je projednává v jednací oblasti, která nesplňuje stanovené požadavky.
(3) Za přestupek lze uložit pokutu do
a) 300 000 Kč, jde-li o přestupek podle odstavce 1 písm. a), b), c), d), e), f) nebo g) nebo odstavce 2 písm. g), h) nebo i),
b) 500 000 Kč, jde-li o přestupek podle odstavce 1 písm. h), i), j), k), l), m), n) nebo o) nebo odstavce 2 písm. e) nebo f),
c) 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. p), q), r), s), t), u), v), w), x), y) nebo z) nebo odstavce 2 písm. a), b), c), d), j), k) nebo l).