SBÍRKA ZÁKON - GovCERT.CZ · n) významným dodavatelem provozovatel infor-mačního nebo...

Ročník 2018

SBÍRKA ZÁKONŮČESKÁ REPUBLIKA

Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106,–

O B S A H :

82. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitos-tech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

82

VYHLÁŠKA

ze dne 21. května 2018

o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních,náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat

(vyhláška o kybernetické bezpečnosti)

Národní úřad pro kybernetickou a informačníbezpečnost stanoví podle § 28 odst. 2 písm. a) až d)a f) zákona č. 181/2014 Sb., o kybernetické bezpeč-nosti a o změně souvisejících zákonů (zákon o kyber-netické bezpečnosti), ve znění zákona č. 104/2017Sb. a zákona č. 205/2017 Sb., (dále jen „zákon“):

ČÁST PRVNÍ

ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

Tato vyhláška zapracovává příslušný předpisEvropské unie1) a pro informační systém kritickéinformační infrastruktury, komunikační systém kri-tické informační infrastruktury, významný infor-mační systém, informační systém základní službyanebo informační systém nebo síť elektronickýchkomunikací, které využívá poskytovatel digitálníchslužeb, (dále jen „informační a komunikační systém“)upravuje

a) obsah a strukturu bezpečnostní dokumentace,

b) obsah a rozsah bezpečnostních opatření,

c) typy, kategorie a hodnocení významnostikybernetických bezpečnostních incidentů,

d) náležitosti a způsob hlášení kybernetickéhobezpečnostního incidentu,

e) náležitosti oznámení o provedení reaktivníhoopatření a jeho výsledku,

f) vzor oznámení kontaktních údajů a jeho for-mu a

g) způsob likvidace dat, provozních údajů, infor-mací a jejich kopií.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

a) administrátorem osoba zajišťující správu, pro-voz, použití, údržbu a bezpečnost technickéhoaktiva,

b) akceptovatelným rizikem riziko, které je přija-telné pro orgán nebo osobu, které jsou povinnyzavést bezpečnostní opatření podle zákona,(dále jen „povinná osoba“) a není nutné jej zvlá-dat pomocí dalších bezpečnostních opatření,

c) bezpečnostní politikou soubor zásad a pravidel,které určují způsob zajištění ochrany aktiv,

d) hodnocením rizik celkový proces identifikace,analýzy a vyhodnocení rizik,

e) hrozbou potenciální příčina kybernetické bez-pečnostní události nebo kybernetického bez-pečnostního incidentu, která může způsobitškodu,

f) podpůrným aktivem technické aktivum, za-městnanci a dodavatelé podílející se na provozu,rozvoji, správě nebo bezpečnosti informačníhoa komunikačního systému,

g) primárním aktivem informace nebo služba, kte-rou zpracovává nebo poskytuje informační a ko-munikační systém,

h) rizikem možnost, že určitá hrozba využije zra-nitelnosti aktiva a způsobí škodu,

i) řízením rizik činnost zahrnující hodnocení ri-zik, výběr a zavedení opatření ke zvládání rizik,sdílení informací o riziku a sledování a přezkou-mání rizik,

j) systémem řízení bezpečnosti informací část sys-

Sbírka zákonů č. 82 / 2018Strana 1122 Částka 43

1) Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysokéspolečné úrovně bezpečnosti sítí a informačních systémů v Unii.

tému řízení povinné osoby založená na přístu-pu k rizikům informačního a komunikačníhosystému, která stanoví způsob ustavení, zavá-dění, provozování, monitorování, přezkoumání,udržování a zlepšování bezpečnosti informacía dat,

k) technickým aktivem takové technické vybavení,komunikační prostředky a programové vyba-vení informačního a komunikačního systémua objekty, ve kterých jsou tyto systémy umístě-ny, jejichž selhání může mít dopad na infor-mační a komunikační systém,

l) uživatelem fyzická nebo právnická osoba aneboorgán veřejné moci, které využívají aktiva,

m) vrcholovým vedením osoba nebo skupina osob,které řídí povinnou osobu, nebo statutárníorgán povinné osoby,

n) významným dodavatelem provozovatel infor-mačního nebo komunikačního systému (dálejen „provozovatel“) a každý, kdo s povinnouosobou vstupuje do právního vztahu, který jevýznamný z hlediska bezpečnosti informačníhoa komunikačního systému,

o) významnou změnou změna, která má nebomůže mít vliv na kybernetickou bezpečnosta představuje vysoké riziko,

p) zranitelností slabé místo aktiva nebo slabé místobezpečnostního opatření, které může být zneu-žito jednou nebo více hrozbami.

ČÁST DRUHÁ

BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I

ORGANIZAČNÍ OPATŘENÍ

§ 3

Systém řízení bezpečnosti informací

Povinná osoba v rámci systému řízení bezpeč-nosti informací

a) stanoví s ohledem na požadavky dotčenýchstran a organizační bezpečnost rozsah systémuřízení bezpečnosti informací, ve kterém určíorganizační části a aktiva, jichž se systém řízeníbezpečnosti informací týká,

b) stanoví cíle systému řízení bezpečnosti infor-mací,

c) pro stanovený rozsah systému řízení bezpeč-nosti informací na základě cílů systému řízeníbezpečnosti informací, bezpečnostních potřeba hodnocení rizik zavede přiměřená bezpeč-nostní opatření,

d) řídí rizika podle § 5,

e) vytvoří a schválí bezpečnostní politiku v oblastisystému řízení bezpečnosti informací, kteráobsahuje hlavní zásady, cíle, bezpečnostní po-třeby, práva a povinnosti ve vztahu k řízeníbezpečnosti informací, a na základě bezpečnost-ních potřeb a výsledků hodnocení rizik stanovíbezpečnostní politiku v dalších oblastech podle§ 30 a zavede přiměřená bezpečnostní opatření,

f) zajistí provedení auditu kybernetické bezpeč-nosti u informačního a komunikačního systému(dále jen „audit kybernetické bezpečnosti“)podle § 16,

g) zajistí pravidelné vyhodnocování účinnosti sys-tému řízení bezpečnosti informací, které obsa-huje hodnocení stavu systému řízení bezpeč-nosti informací včetně revize hodnocení rizik,posouzení výsledků provedených auditů kyber-netické bezpečnosti a dopadů kybernetickýchbezpečnostních incidentů na systém řízení bez-pečnosti informací,

h) průběžně identifikuje a následně podle § 11 řídívýznamné změny, které patří do rozsahu systé-mu řízení bezpečnosti informací,

i) aktualizuje systém řízení bezpečnosti informacía příslušnou dokumentaci na základě zjištěníauditů kybernetické bezpečnosti, výsledků vy-hodnocení účinnosti systému řízení bezpečnostiinformací a v souvislosti s prováděnými vý-znamnými změnami a

j) řídí provoz a zdroje systému řízení bezpečnostiinformací a zaznamenává činnosti spojené se sy-stémem řízení bezpečnosti informací a řízenímrizik.

§ 4

Řízení aktiv

(1) Povinná osoba v rámci řízení aktiv

a) stanoví metodiku pro identifikaci aktiv,

b) stanoví metodiku pro hodnocení aktiv alespoň

Sbírka zákonů č. 82 / 2018Částka 43 Strana 1123

v rozsahu uvedeném v příloze č. 1 k této vy-hlášce,

c) identifikuje a eviduje aktiva,

d) určí a eviduje garanty aktiv,

e) hodnotí a eviduje primární aktiva z hlediska dů-věrnosti, integrity a dostupnosti a zařadí je dojednotlivých úrovní podle písmene b),

f) určí a eviduje vazby mezi primárními a podpůr-nými aktivy a hodnotí důsledky závislostí meziprimárními a podpůrnými aktivy,

g) hodnotí podpůrná aktiva a zohledňuje přitomzejména vzájemné závislosti podle písmene f),

h) na základě hodnocení aktiv stanovuje a zavádípravidla ochrany nutná pro zabezpečení jednot-livých úrovní aktiv,

i) stanoví přípustné způsoby používání aktiva pravidla pro manipulaci s aktivy s ohledemna úroveň aktiv, včetně pravidel pro bezpečnéelektronické sdílení a fyzické přenášení aktiv, a

j) určí způsob likvidace dat, provozních údajů, in-formací a jejich kopií nebo likvidaci technic-kých nosičů dat s ohledem na úroveň aktivv souladu s přílohou č. 4 k této vyhlášce.

(2) Při hodnocení důležitosti primárních aktiv jetřeba posoudit alespoň

a) rozsah a důležitost osobních údajů, zvláštníchkategorií osobních údajů nebo obchodního ta-jemství,

b) rozsah dotčených právních povinností nebo ji-ných závazků,

c) rozsah narušení vnitřních řídicích a kontrolníchčinností,

d) poškození veřejných, obchodních nebo ekono-mických zájmů a možné finanční ztráty,

e) dopady na poskytování důležitých služeb,

f) rozsah narušení běžných činností,

g) dopady na zachování dobrého jména neboochranu dobré pověsti,

h) dopady na bezpečnost a zdraví osob,

i) dopady na mezinárodní vztahy a

j) dopady na uživatele informačního a komunikač-ního systému.

§ 5

Řízení rizik

(1) Povinná osoba v rámci řízení rizik v návaz-nosti na § 4

a) stanoví metodiku pro hodnocení rizik, včetněstanovení kritérií pro akceptovatelnost rizik,

b) s ohledem na aktiva identifikuje relevantníhrozby a zranitelnosti; přitom zvažuje zejménakategorie hrozeb a zranitelností uvedenýchv příloze č. 3 k této vyhlášce,

c) provádí hodnocení rizik v pravidelných interva-lech podle odstavce 2 a při významných změ-nách,

d) při hodnocení rizik zohlední relevantní hrozbya zranitelnosti a posoudí možné dopady naaktiva; tato rizika hodnotí alespoň v rozsahupřílohy č. 2 k této vyhlášce,

e) zpracuje zprávu o hodnocení rizik,

f) zpracuje na základě bezpečnostních potřeb a vý-sledků hodnocení rizik prohlášení o aplikovatel-nosti, které obsahuje přehled bezpečnostníchopatření požadovaných touto vyhláškou, která

1. nebyla aplikována, včetně odůvodnění,

2. byla aplikována, včetně způsobu plnění,

g) zpracuje a zavede plán zvládání rizik, kterýobsahuje cíle a přínosy bezpečnostních opatřenípro zvládání jednotlivých rizik, určení osobyzajišťující prosazování bezpečnostních opatřenípro zvládání rizik, potřebné finanční, technické,lidské a informační zdroje, termín jejich zave-dení, popis vazeb mezi riziky a příslušnýmibezpečnostními opatřeními a způsob realizacebezpečnostních opatření,

h) při hodnocení rizik a v plánu zvládání rizik zo-hlední

1. významné změny,

2. změny rozsahu systému řízení bezpečnostiinformací,

3. opatření podle § 11 zákona a

4. kybernetické bezpečnostní incidenty, včetnědříve řešených, a

i) v souladu s plánem zvládání rizik zavádí bez-pečnostní opatření.

(2) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona provádí hodnocení rizik alespoň jednou


ročně a povinná osoba uvedená v § 3 písm. e) zákonaalespoň jednou za tři roky.

(3) Řízení rizik může být zajištěno i jinýmizpůsoby, než jak je stanoveno v odstavci 1 písm. d),pokud povinná osoba zabezpečí, že použitá opatřenízajistí stejnou nebo vyšší úroveň procesu řízení rizik.

§ 6

Organizační bezpečnost

(1) Povinná osoba s ohledem na systém řízeníbezpečnosti informací

a) zajistí stanovení bezpečnostní politiky a cílůsystému řízení bezpečnosti informací podle§ 3 slučitelných se strategickým směřovánímpovinné osoby,

b) zajistí integraci systému řízení bezpečnostiinformací do procesů povinné osoby,

c) zajistí dostupnost zdrojů potřebných prosystém řízení bezpečnosti informací,

d) informuje zaměstnance o významu systému ří-zení bezpečnosti informací a významu dosaženíshody s jeho požadavky se všemi dotčenýmistranami,

e) zajistí podporu k dosažení zamýšlených vý-stupů systému řízení bezpečnosti informací,

f) vede zaměstnance k rozvíjení efektivity systémuřízení bezpečnosti informací a podporuje je přitomto rozvíjení,

g) prosazuje neustálé zlepšování systému řízeníbezpečnosti informací,

h) podporuje osoby zastávající bezpečnostní rolepři prosazování kybernetické bezpečnosti v ob-lastech jejich odpovědnosti,

i) zajistí stanovení pravidel pro určení administrá-torů a osob, které budou zastávat bezpečnostnírole,

j) zajistí, aby byla zachována mlčenlivost adminis-trátorů a osob zastávajících bezpečnostní role,

k) pro osoby zastávající bezpečnostní role zajistípříslušné pravomoci a zdroje včetně rozpočto-vých prostředků k naplňování jejich rolí a plněnísouvisejících úkolů a

l) zajistí testování plánů kontinuity činností, ob-novy a procesů spojených se zvládáním kyber-netických bezpečnostních incidentů.

(2) Povinná osoba v rámci systému řízení bez-pečnosti informací určí složení výboru pro řízeníkybernetické bezpečnosti a bezpečnostní role a jejichpráva a povinnosti související se systémem řízeníbezpečnosti informací.

(3) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona určí osobu, která bude zastávat bezpečnostníroli

a) manažera kybernetické bezpečnosti,

b) architekta kybernetické bezpečnosti,

c) garanta aktiva a

d) auditora kybernetické bezpečnosti.

(4) Povinná osoba uvedená v § 3 písm. e) zá-kona určí role manažera kybernetické bezpečnostia garanta aktiva. Ostatní bezpečnostní role podle od-stavce 3 určí přiměřeně vzhledem k rozsahu a potře-bám systému řízení bezpečnosti informací.

(5) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona zajistí zastupitelnost bezpečnostních rolíuvedených v odstavci 3 písm. a) a b).

(6) Povinná osoba uvedená v § 3 písm. e) zá-kona zajistí zastupitelnost bezpečnostní role mana-žera kybernetické bezpečnosti.

(7) Výbor pro řízení kybernetické bezpečnostije tvořen osobami s příslušnými pravomocemi a od-bornou způsobilostí pro celkové řízení a rozvojsystému řízení bezpečnosti informací a osobamivýznamně se podílejícími na řízení a koordinaci čin-ností spojených s kybernetickou bezpečností, jehožčlenem musí být alespoň jeden zástupce vrcholovéhovedení nebo jím pověřená osoba a manažer kyberne-tické bezpečnosti. Povinná osoba u výboru pro ří-zení kybernetické bezpečnosti přihlédne k doporuče-ním uvedeným v příloze č. 6 k této vyhlášce.

§ 7

Bezpečnostní role

(1) Manažer kybernetické bezpečnosti

a) je bezpečnostní role odpovědná za systém řízeníbezpečnosti informací, přičemž výkonem tétorole může být pověřena osoba, která je pro tutočinnost vyškolena a prokáže odbornou způso-bilost praxí s řízením kybernetické bezpečnostinebo s řízením bezpečnosti informací

1. po dobu nejméně tří let, nebo


2. po dobu jednoho roku, pokud absolvovalastudium na vysoké škole,

b) odpovídá za pravidelné informování vrcholo-vého vedení o

1. činnostech vyplývajících z rozsahu jeho od-povědnosti a

2. stavu systému řízení bezpečnosti informací a

c) nesmí být pověřen výkonem rolí odpovědnýchza provoz informačního a komunikačního sys-tému.

(2) Architekt kybernetické bezpečnosti je bez-pečnostní role odpovědná za zajištění návrhu imple-mentace bezpečnostních opatření tak, aby byla za-jištěna bezpečná architektura informačního a komu-nikačního systému, přičemž výkonem této role můžebýt pověřena osoba, která je pro tuto činnost vyško-lena a prokáže odbornou způsobilost praxí s navrho-váním implementace bezpečnostních opatření a zajiš-ťováním architektury bezpečnosti

a) po dobu nejméně tří let, nebo

b) po dobu jednoho roku, pokud absolvovala stu-dium na vysoké škole.

(3) Garant aktiva je bezpečnostní role odpo-vědná za zajištění rozvoje, použití a bezpečnostaktiva.

(4) Auditor kybernetické bezpečnosti

a) je bezpečnostní role odpovědná za prováděníauditu kybernetické bezpečnosti, přičemž vý-konem této role může být pověřena osoba,která je pro tuto činnost vyškolena a proká-že odbornou způsobilost praxí s prováděnímauditů kybernetické bezpečnosti nebo auditůsystému řízení bezpečnosti informací

1. po dobu nejméně tří let, nebo

2. po dobu jednoho roku, pokud absolvovalastudium na vysoké škole,

b) zaručuje, že provedení auditu kybernetické bez-pečnosti je nestranné, a

c) nesmí být pověřen výkonem jiných bezpečnost-ních rolí.

(5) Povinná osoba při určování osob zastávají-cích bezpečnostní role přihlédne k doporučenímuvedeným v příloze č. 6 k této vyhlášce.

§ 8

Řízení dodavatelů

(1) Povinná osoba

a) stanoví pravidla pro dodavatele, která zohled-ňují požadavky systému řízení bezpečnosti in-formací,

b) vede evidenci svých významných dodavatelů,

c) prokazatelně písemně informuje své významnédodavatele o jejich evidenci podle písmene b),

d) seznamuje své dodavatele s pravidly podle pís-mene a) a vyžaduje plnění těchto pravidel,

e) řídí rizika spojená s dodavateli,

f) v souvislosti s řízením rizik spojených s vý-znamnými dodavateli zajistí, aby smlouvy uza-vírané s významnými dodavateli obsahovaly re-levantní oblasti uvedené v příloze č. 7 k tétovyhlášce, a

g) pravidelně přezkoumává plnění smluv s vý-znamnými dodavateli z hlediska systému řízeníbezpečnosti informací.

(2) Povinná osoba u významných dodavatelůdále

a) v rámci výběrového řízení a před uzavřenímsmlouvy provádí hodnocení rizik souvisejícíchs plněním předmětu výběrového řízení přimě-řeně podle přílohy č. 2 k této vyhlášce,

b) v rámci uzavíraných smluvních vztahů stanovízpůsoby a úrovně realizace bezpečnostníchopatření a určí obsah vzájemné smluvní odpo-vědnosti za zavedení a kontrolu bezpečnostníchopatření,

c) provádí pravidelné hodnocení rizik a pravidel-nou kontrolu zavedených bezpečnostních opa-tření u poskytovaných plnění pomocí vlastníchzdrojů nebo pomocí třetí strany a

d) v reakci na rizika a zjištěné nedostatky zajistíjejich řešení.

(3) Náležitosti prokazatelného informování po-dle odstavce 1 písm. c) jsou

a) identifikace správce nebo provozovatele,

b) identifikace informačního a komunikačníhosystému,

c) identifikace významného dodavatele,

d) vyrozumění o skutečnosti, že dodavatel je prosprávce významným dodavatelem, a popřípadě


také o tom, že významný dodavatel je zároveňprovozovatelem, a

e) obsah pravidel podle odstavce 1 písm. a).

(4) Povinná osoba uvedená v § 3 písm. c) až f)zákona, která je provozovatelem a byla prokazatelněinformována podle odstavce 1 písm. c), hlásí kon-taktní údaje formou uvedenou v § 34.

§ 9

Bezpečnost lidských zdrojů

(1) Povinná osoba v rámci řízení bezpečnostilidských zdrojů

a) s ohledem na stav a potřeby systému řízení bez-pečnosti informací stanoví plán rozvoje bezpeč-nostního povědomí, jehož cílem je zajistit od-povídající vzdělávání a zlepšování bezpečnost-ního povědomí a který obsahuje formu, obsaha rozsah

1. poučení uživatelů, administrátorů, osob za-stávajících bezpečnostní role a dodavatelůo jejich povinnostech a o bezpečnostní poli-tice a

2. potřebných teoretických i praktických ško-lení uživatelů, administrátorů a osob zastáva-jících bezpečnostní role,

b) určí osoby odpovědné za realizaci jednotlivýchčinností, které jsou v plánu uvedeny,

c) v souladu s plánem rozvoje bezpečnostního po-vědomí zajistí poučení uživatelů, administrá-torů, osob zastávajících bezpečnostní role a do-davatelů o jejich povinnostech a o bezpečnostnípolitice formou vstupních a pravidelných ško-lení,

d) pro osoby zastávající bezpečnostní role v sou-ladu s plánem rozvoje bezpečnostního pově-domí zajistí pravidelná odborná školení, při-čemž vychází z aktuálních potřeb povinné oso-by v oblasti kybernetické bezpečnosti,

e) v souladu s plánem rozvoje bezpečnostního po-vědomí zajistí pravidelné školení a ověřováníbezpečnostního povědomí zaměstnanců v sou-ladu s jejich pracovní náplní,

f) zajistí kontrolu dodržování bezpečnostní poli-tiky ze strany uživatelů, administrátorů a osobzastávajících bezpečnostní role,

g) v případě ukončení smluvního vztahu s adminis-

trátory a osobami zastávajícími bezpečnostnírole zajistí předání odpovědností,

h) hodnotí účinnost plánu rozvoje bezpečnostníhopovědomí, provedených školení a dalších čin-ností spojených se zlepšováním bezpečnostníhopovědomí a

i) určí pravidla a postupy pro řešení případů po-rušení stanovených bezpečnostních pravidel zestrany uživatelů, administrátorů a osob zastáva-jících bezpečnostní role.

(2) Povinná osoba vede o školení podle od-stavce 1 přehledy, které obsahují předmět školenía seznam osob, které školení absolvovaly.

§ 10

Řízení provozu a komunikací

(1) Povinná osoba v rámci řízení provozu a ko-munikací zajišťuje bezpečný provoz informačníhoa komunikačního systému a stanoví provozní pravi-dla a postupy, které obsahují zejména

a) práva a povinnosti administrátorů, uživatelůa osob zastávajících bezpečnostní role,

b) postupy pro spuštění a ukončení chodu systé-mu, pro restart nebo obnovení chodu systémupo selhání a pro ošetření chybových stavů nebomimořádných jevů,

c) postupy pro sledování kybernetických bezpeč-nostních událostí a opatření pro ochranu pří-stupu k záznamům o těchto událostech,

d) pravidla a postupy pro ochranu před škodlivýmkódem,

e) řízení technických zranitelností,

f) spojení na kontaktní osoby, které jsou pověřenyvýkonem systémové a technické podpory,

g) postupy řízení a schvalování provozních změn,

h) postupy pro sledování, plánování a řízení kapa-city lidských a technických zdrojů,

i) pravidla a postupy pro ochranu informací a datv průběhu celého životního cyklu,

j) pravidla a postupy pro instalaci technickýchaktiv,

k) provádění pravidelného zálohování a kontrolypoužitelnosti provedených záloh a

l) pravidla a postupy pro zajištění bezpečnostisíťových služeb.


(2) Povinná osoba v rámci řízení provozu a ko-munikací dodržuje pravidla a postupy stanovené po-dle odstavce 1 a tato pravidla a postupy aktualizujev souvislosti s prováděnými nebo plánovanými změ-nami.

(3) Povinná osoba zajistí oddělení vývojového,testovacího a provozního prostředí.

§ 11

Řízení změn

(1) Povinná osoba v rámci řízení změn u infor-mačního a komunikačního systému

a) přezkoumává možné dopady změn a

b) určuje významné změny.

(2) Povinná osoba u významných změn

a) dokumentuje jejich řízení,

b) provádí analýzu rizik,

c) přijímá opatření za účelem snížení všech ne-příznivých dopadů spojených s významnýmizměnami,

d) aktualizuje bezpečnostní politiku a bezpečnostnídokumentaci,

e) zajistí jejich testování a

f) zajistí možnost navrácení do původního stavu.

(3) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona na základě výsledků analýzy rizik podle od-stavce 2 písm. b) rozhoduje o provedení penetrač-ního testování nebo testování zranitelností; pokudrozhodne o provedení penetračního testování nebotestování zranitelností, postupuje podle § 25 odst. 1a reaguje na zjištěné nedostatky.

(4) Povinná osoba uvedená v § 3 písm. e) zá-kona se řídí požadavky podle odstavce 3 přiměřeně.

§ 12

Řízení přístupu

(1) Povinná osoba na základě provozních a bez-pečnostních potřeb řídí přístup k informačnímu a ko-munikačnímu systému a přijímá opatření, kteráslouží k zajištění ochrany údajů, které jsou používá-ny pro přihlášení podle § 19 a 20, a která brání vezneužití těchto údajů neoprávněnou osobou.

(2) Povinná osoba dále v rámci řízení přístupuk informačnímu a komunikačnímu systému

a) řídí přístup na základě skupin a rolí,

b) přidělí každému uživateli a administrátorovipřistupujícímu k informačnímu a komunikač-nímu systému přístupová práva a oprávnění a je-dinečný identifikátor,

c) řídí identifikátory, přístupová práva a oprávněníaplikací a technických účtů,

d) zavádí bezpečnostní opatření pro řízení pří-stupu zařízení k prostředkům informačníhoa komunikačního systému,

e) zavádí bezpečnostní opatření potřebná pro bez-pečné používání mobilních zařízení a jinýchtechnických zařízení, popřípadě i bezpečnostníopatření spojená s využitím technických zaří-zení, která povinná osoba nemá ve své správě,

f) omezí přidělování privilegovaných oprávněnína úroveň nezbytně nutnou k výkonu náplněpráce,

g) omezí a kontroluje používání programovýchprostředků, které mohou být schopné překonatsystémové nebo aplikační kontroly,

h) přiděluje a odebírá přístupová oprávnění v sou-ladu s politikou řízení přístupu,

i) provádí pravidelné přezkoumání nastavení veš-kerých přístupových oprávnění včetně rozdě-lení do přístupových skupin a rolí,

j) využívá nástroj pro správu a ověřování identitypodle § 19 a nástroj pro řízení přístupovýchoprávnění podle § 20,

k) prosazuje, aby uživatelé při používání privát-ních autentizačních informací dodržovali stano-vené postupy,

l) zajistí odebrání nebo změnu přístupovýchoprávnění při změně pozice nebo zařazení uži-vatelů, administrátorů nebo osob zastávajícíchbezpečnostní role,

m) zajistí odebrání nebo změnu přístupovýchoprávnění při ukončení nebo změně smluvníhovztahu a

n) dokumentuje přidělování a odebírání přístupo-vých oprávnění.

§ 13

Akvizice, vývoj a údržba

Povinná osoba v souvislosti s plánovanou akvi-


zicí, vývojem a údržbou informačního a komunikač-ního systému

a) řídí rizika podle § 5,

b) řídí významné změny podle § 11,

c) stanoví bezpečnostní požadavky,d) zahrne bezpečnostní požadavky do projektu

akvizice, vývoje a údržby,e) zajistí bezpečnost vývojového a testovacího

prostředí a zajistí ochranu používaných testova-cích dat,

f) provádí bezpečnostní testování významnýchzměn před jejich zavedením do provozu a

g) plní požadavek podle § 19 odst. 3, je-li cílemprovedení akvizice nebo vývoje nástroj prosprávu a ověřování identity.

§ 14

Zvládání kybernetických bezpečnostních událostía incidentů

(1) Povinná osoba v rámci zvládání kybernetic-kých bezpečnostních událostí a incidentůa) zavede proces detekce a vyhodnocování kyber-

netických bezpečnostních událostí a zvládáníkybernetických bezpečnostních incidentů,

b) přidělí odpovědnosti a stanoví postupy pro

1. detekci a vyhodnocování kybernetickýchbezpečnostních událostí a incidentů a

2. koordinaci a zvládání kybernetických bez-pečnostních incidentů,

c) definuje a aplikuje postupy pro identifikaci,sběr, získání a uchování věrohodných podkladůpotřebných pro analýzu kybernetického bez-pečnostního incidentu,

d) zajistí detekci kybernetických bezpečnostníchudálostí,

e) při detekci kybernetických bezpečnostních udá-lostí se dále řídí § 22 a 23,

f) zajistí, že uživatelé, administrátoři, osoby zastá-vající bezpečnostní role, další zaměstnanci a do-davatelé budou oznamovat neobvyklé chováníinformačního a komunikačního systému a pode-zření na jakékoliv zranitelnosti,

g) zajistí posuzování kybernetických bezpečnost-ních událostí, při kterém musí být rozhodnuto,zda mají být klasifikovány jako kybernetickébezpečnostní incidenty podle § 31,

h) zajistí zvládání kybernetických bezpečnostníchincidentů podle stanovených postupů,

i) přijímá opatření pro odvrácení a zmírnění do-padu kybernetického bezpečnostního incidentu,

j) hlásí kybernetické bezpečnostní incidenty podle§ 32,

k) vede záznamy o kybernetických bezpečnost-ních incidentech a o jejich zvládání,

l) prošetří a určí příčiny kybernetického bezpeč-nostního incidentu a

m) vyhodnotí účinnost řešení kybernetického bez-pečnostního incidentu a na základě vyhod-nocení stanoví nutná bezpečnostní opatření,popřípadě aktualizuje stávající bezpečnostníopatření k zamezení opakování řešeného kyber-netického bezpečnostního incidentu.

(2) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona dále při detekci kybernetických bezpečnost-ních událostí používá nástroj podle § 24.

§ 15

Řízení kontinuity činností

Povinná osoba v rámci řízení kontinuity čin-ností

a) stanoví práva a povinnosti administrátorů a osobzastávajících bezpečnostní role,

b) pomocí hodnocení rizik a analýzy dopadů vy-hodnotí a dokumentuje možné dopady kyber-netických bezpečnostních incidentů a posoudímožná rizika související s ohrožením konti-nuity činností,

c) na základě výstupů hodnocení rizik a analýzydopadů podle písmene b) stanoví cíle řízeníkontinuity činností formou určení

1. minimální úrovně poskytovaných služeb,která je přijatelná pro užívání, provoza správu informačního a komunikačního sys-tému,

2. doby obnovení chodu, během které bude pokybernetickém bezpečnostním incidentu ob-novena minimální úroveň poskytovanýchslužeb informačního a komunikačního systé-mu, a

3. bodu obnovení dat jako časové období, zakteré musí být zpětně obnovena data po ky-


bernetickém bezpečnostním incidentu nebopo selhání,

d) stanoví politiku řízení kontinuity činností, kteráobsahuje naplnění cílů podle písmene c),

e) vypracuje, aktualizuje a pravidelně testuje plánykontinuity činností a havarijní plány souvisejícís provozováním informačního a komunikačníhosystému a souvisejících služeb a

f) realizuje opatření pro zvýšení odolnosti infor-mačního a komunikačního systému vůči kyber-netickým bezpečnostním incidentům a omeze-ním dostupnosti a vychází při tom z požadavkůpodle § 27.

§ 16

Audit kybernetické bezpečnosti

(1) Povinná osoba v rámci auditu kybernetickébezpečnosti

a) provádí a dokumentuje audit dodržování bez-pečnostní politiky, včetně přezkoumání tech-nické shody, a výsledky auditu zohlední v plánurozvoje bezpečnostního povědomí a plánu zvlá-dání rizik a

b) posuzuje soulad bezpečnostních opatření s nej-lepší praxí, právními předpisy, vnitřními před-pisy, jinými předpisy a smluvními závazkyvztahujícími se k informačnímu a komunikač-nímu systému a určí případná nápravná opatřenípro zajištění souladu.

(2) Audit podle odstavce 1 je prováděn

a) při významných změnách, v rámci jejich roz-sahu,

b) v pravidelných intervalech alespoň po 3 letechv případě povinné osoby uvedené v § 3 písm. e)zákona a

c) v pravidelných intervalech alespoň po 2 letechv případě povinné osoby neuvedené v písme-nu b).

(3) Není-li v odůvodněných případech možnéprovést audit v intervalech podle odstavce 2 písm. b)a c) v celém rozsahu, je možné audit provádět prů-běžně po systematických celcích. V takovém případěje nutno audit v celém rozsahu provést nejpozději do5 let.

(4) Audit kybernetické bezpečnosti musí býtprováděn osobou vyhovující podmínkám stanove-

ným v § 7 odst. 4, která nezávisle hodnotí správnosta účinnost zavedených bezpečnostních opatření.

(5) Povinná osoba, která je současně provozo-vatelem, předkládá výsledky auditu kybernetickébezpečnosti správci daného informačního a komuni-kačního systému.

HLAVA II

TECHNICKÁ OPATŘENÍ

§ 17

Fyzická bezpečnost

Povinná osoba v rámci fyzické bezpečnosti

a) předchází poškození, krádeži nebo zneužitíaktiv nebo přerušení poskytování služeb infor-mačního a komunikačního systému,

b) stanoví fyzický bezpečnostní perimetr ohrani-čující oblast, ve které jsou uchovávány a zpraco-vávány informace a umístěna technická aktivainformačního a komunikačního systému, a

c) u fyzického bezpečnostního perimetru stanove-ného podle písmene b) přijme nezbytná opa-tření a uplatňuje prostředky fyzické bezpeč-nosti

1. k zamezení neoprávněnému vstupu,

2. k zamezení poškození a neoprávněným zá-sahům a

3. pro zajištění ochrany na úrovni objektůa v rámci objektů.

§ 18

Bezpečnost komunikačních sítí

Povinná osoba pro ochranu bezpečnosti komu-nikační sítě zahrnuté v rozsahu podle § 3 písm. c)

a) zajistí segmentaci komunikační sítě,

b) zajistí řízení komunikace v rámci komunikačnísítě a perimetru komunikační sítě,

c) pomocí kryptografie zajistí důvěrnost a integritudat při vzdáleném přístupu, vzdálené správěnebo při přístupu do komunikační sítě pomocíbezdrátových technologií,

d) aktivně blokuje nežádoucí komunikaci a

e) pro zajištění segmentace sítě a pro řízení komu-nikace mezi jejími segmenty využívá nástroj,který zajistí ochranu integrity komunikační sítě.


§ 19

Správa a ověřování identit

(1) Povinná osoba používá nástroj pro správua ověření identity uživatelů, administrátorů a aplikacíinformačního a komunikačního systému.

(2) Nástroj pro správu a ověření identity uživa-telů, administrátorů a aplikací zajišťujea) ověření identity před zahájením aktivit v infor-

mačním a komunikačním systému,

b) řízení počtu možných neúspěšných pokusůo přihlášení,

c) odolnost uložených nebo přenášených autenti-začních údajů proti neoprávněnému odcizenía zneužití,

d) ukládání autentizačních údajů ve formě odolnéproti offline útokům,

e) opětovné ověření identity po určené době ne-činnosti,

f) dodržení důvěrnosti autentizačních údajů přiobnově přístupu a

g) centralizovanou správu identit.

(3) Povinná osoba pro ověření identity uživa-telů, administrátorů a aplikací využívá autentizačnímechanizmus, který není založený pouze na použitíidentifikátoru účtu a hesla, nýbrž na vícefaktorovéautentizaci s nejméně dvěma různými typy faktorů.

(4) Do doby splnění požadavku podle odstav-ce 3 musí nástroj pro ověření identity uživatelů, ad-ministrátorů a aplikací, používat autentizaci pomocíkryptografických klíčů a zaručit obdobnou úroveňbezpečnosti.

(5) Do doby splnění požadavků podle odstav-ce 3 nebo 4 musí nástroj pro ověření identity uživa-telů, administrátorů a aplikací, který používá k auten-tizaci identifikátor účtu a heslo, vynucovat pravidla

a) délky hesla alespoň1. 12 znaků u uživatelů a

2. 17 znaků u administrátorů a aplikací,

b) umožňující zadat heslo o délce alespoň 64 zna-ků,

c) neomezující použití malých a velkých písmen,číslic a speciálních znaků,

d) umožňující uživatelům změnu hesla, přičemžobdobí mezi dvěma změnami hesla nesmí býtkratší než 30 minut,

e) neumožňující uživatelům a administrátorům1. zvolit si nejčastěji používaná hesla,2. tvořit hesla na základě mnohonásobně opa-

kujících se znaků, přihlašovacího jména,e-mailu, názvu systému nebo obdobnýmzpůsobem a

3. opětovné použití dříve používaných hesels pamětí alespoň 12 předchozích hesel a

f) pro povinnou změnu hesla v intervalu maxi-málně po 18 měsících, přičemž toto pravidlose nevztahuje na účty sloužící k obnově systé-mu v případě havárie.

(6) Povinná osoba v případě používání autenti-zace pouze účtem a heslem dále

a) vynutí bezodkladnou změnu výchozího heslapo jeho prvním použití,

b) bezodkladně zneplatní heslo sloužící k obnovenípřístupu po jeho prvním použití nebo uplynu-tím nejvýše 60 minut od jeho vytvoření a

c) povinně zahrne pravidla tvorby bezpečných he-sel do plánu rozvoje bezpečnostního povědomípodle § 9.

§ 20

Řízení přístupových oprávnění

Povinná osoba používá centralizovaný nástrojpro řízení přístupových oprávnění, kterým zajistí ří-zení oprávněnía) pro přístup k jednotlivým aktivům informač-

ního a komunikačního systému a

b) pro čtení dat, zápis dat a změnu oprávnění.

§ 21

Ochrana před škodlivým kódem

(1) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona v rámci ochrany před škodlivým kódem

a) s ohledem na důležitost aktiv zajišťuje použitínástroje pro nepřetržitou automatickou ochra-nu

1. koncových stanic,

2. mobilních zařízení,3. serverů,4. datových úložišť a výměnných datových no-

sičů,5. komunikační sítě a prvků komunikační sítě a


6. obdobných zařízení,b) monitoruje a řídí používání výměnných zaří-

zení a datových nosičů,c) řídí automatické spouštění obsahu výměnných

zařízení a datových nosičů,d) řídí oprávnění ke spouštění kódu a

e) provádí pravidelnou a účinnou aktualizaci ná-stroje pro ochranu před škodlivým kódem.

(2) Povinná osoba uvedená v § 3 písm. e) zá-kona postupuje podle odstavce 1 přiměřeně.

§ 22

Zaznamenávání událostíinformačního a komunikačního systému,

jeho uživatelů a administrátorů

(1) Povinná osoba

a) zaznamenává bezpečnostní a potřebné provozníudálosti důležitých aktiv informačního a komu-nikačního systému a

b) na základě hodnocení důležitosti aktiv aktuali-zuje rozsah aktiv, u kterých je zaznamenáváníbezpečnostních a provozních událostí prová-děno.

(2) Povinná osoba pro zaznamenávání bezpeč-nostních a provozních událostí podle odstavce 1 za-jišťujea) jednoznačnou síťovou identifikaci zařízení pů-

vodce, je-li v komunikační síti použit nástroj,který mění jeho síťovou identifikaci,

b) sběr informací o bezpečnostních a provozníchudálostech; zejména zaznamenává

1. datum a čas včetně specifikace časového pás-ma,

2. typ činnosti,3. identifikaci technického aktiva, které činnost

zaznamenalo,

4. jednoznačnou identifikaci účtu, pod kterýmbyla činnost provedena,

5. jednoznačnou síťovou identifikaci zařízenípůvodce a

6. úspěšnost nebo neúspěšnost činnosti,c) ochranu informací získaných podle písmen a)

a b) před neoprávněným čtením a jakoukolizměnou,

d) zaznamenávání

1. přihlašování a odhlašování ke všem účtům,a to včetně neúspěšných pokusů,

2. činností provedených administrátory,

3. úspěšné i neúspěšné manipulace s účty,oprávněními a právy,

4. neprovedení činností v důsledku nedostatkupřístupových práv a oprávnění,

5. činností uživatelů, které mohou mít vliv nabezpečnost informačního a komunikačníhosystému,

6. zahájení a ukončení činností technickýchaktiv,

7. kritických i chybových hlášení technickýchaktiv a

8. přístupů k záznamům o událostech, poku-sy o manipulaci se záznamy o událostecha změny nastavení nástrojů pro zaznamená-vání událostí a

e) synchronizaci jednotného času technickýchaktiv nejméně jednou za 24 hodin.

(3) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona uchovává záznamy událostí zaznamenanýchpodle odstavce 2 nejméně po dobu 18 měsíců.

(4) Povinná osoba uvedená v § 3 písm. e) zá-kona uchovává záznamy událostí zaznamenanýchpodle odstavce 2 nejméně po dobu 12 měsíců.

§ 23

Detekce kybernetických bezpečnostních událostí

(1) Povinná osoba v rámci komunikační sítě,jejíž součástí je informační a komunikační systém,používá nástroj pro detekci kybernetických bezpeč-nostních událostí, který zajistí

a) ověření a kontrolu přenášených dat v rámci ko-munikační sítě a mezi komunikačními sítěmi,

b) ověření a kontrolu přenášených dat na peri-metru komunikační sítě a

c) blokování nežádoucí komunikace.

(2) Povinná osoba uvedená v § 3 písm. c), d) a f)zákona zajistí detekci kybernetických bezpečnost-ních událostí přiměřeně s ohledem na důležitostaktiv v rámci

a) koncových stanic,

b) mobilních zařízení,

c) serverů,


d) datových úložišť a výměnných datových nosičů,

e) síťových aktivních prvků a

f) obdobných aktiv.

§ 24

Sběr a vyhodnocováníkybernetických bezpečnostních událostí

Povinná osoba uvedená v § 3 písm. c), d) a f)zákona používá nástroj pro sběr a nepřetržité vy-hodnocení kybernetických bezpečnostních událostí,který umožní

a) sběr a vyhodnocování událostí zaznamenanýchpodle § 22 a 23,

b) vyhledávání a seskupování souvisejících zázna-mů,

c) poskytování informací pro určené bezpečnostnírole o detekovaných kybernetických bezpeč-nostních událostech,

d) vyhodnocování kybernetických bezpečnostníchudálostí s cílem identifikace kybernetickýchbezpečnostních incidentů, včetně včasného va-rování určených bezpečnostních rolí,

e) omezení případů nesprávného vyhodnoceníudálostí pravidelnou aktualizací nastavení pra-videl pro

1. vyhodnocování kybernetických bezpečnost-ních událostí a

2. včasné varování a

f) využívání informací získaných nástrojem prosběr a vyhodnocení kybernetických bezpeč-nostních událostí pro optimální nastavení bez-pečnostních opatření informačního a komuni-kačního systému.

§ 25

Aplikační bezpečnost

(1) Povinná osoba provádí penetrační testy in-formačního a komunikačního systému se zaměřenímna důležitá aktiva, a to

a) před jejich uvedením do provozu a

b) v souvislosti s významnou změnou podle § 11odst. 3.

(2) Povinná osoba dále v rámci aplikační bez-pečnosti zajistí trvalou ochranu aplikací, informacía transakcí před

a) neoprávněnou činností a

b) popřením provedených činností.

§ 26

Kryptografické prostředky

Povinná osoba pro ochranu aktiv informačníhoa komunikačního systému

a) používá aktuálně odolné kryptografické algo-ritmy a kryptografické klíče,

b) používá systém správy klíčů a certifikátů, který

1. zajistí generování, distribuci, ukládání, změ-ny, omezení platnosti, zneplatnění certifikátůa likvidaci klíčů a

2. umožní kontrolu a audit,

c) prosazuje bezpečné nakládání s kryptografic-kými prostředky a

d) zohledňuje doporučení v oblasti kryptografic-kých prostředků vydaná Úřadem, zveřejněnána jeho internetových stránkách.

§ 27

Zajišťování úrovně dostupnosti informací

Povinná osoba zavede opatření pro zajišťováníúrovně dostupnosti, kterými zajistí

a) dostupnost informačního a komunikačního sys-tému pro splnění cílů podle § 15,

b) odolnost informačního a komunikačního systé-mu vůči kybernetickým bezpečnostním inci-dentům, které by mohly snížit jeho dostupnost,

c) dostupnost důležitých technických aktiv infor-mačního a komunikačního systému a

d) redundanci aktiv nezbytných pro zajištění do-stupnosti informačního a komunikačního systé-mu.

§ 28

Průmyslové, řídicí a obdobné specifické systémy

Povinná osoba pro zajištění kybernetické bez-pečnosti průmyslových, řídicích a obdobných speci-fických systémů používá nástroje a opatření, kterézajistí

a) použití technických a programových pro-středků, které jsou určeny do specifického pro-středí,


b) omezení fyzického přístupu k zařízením těchtosystémů a ke komunikační síti,

c) vyčlenění komunikační sítě určené pro tytosystémy od ostatní infrastruktury,

d) omezení a řízení vzdáleného přístupu k těmtosystémům,

e) ochranu jednotlivých technických aktiv těchtosystémů před využitím známých zranitelností a

f) obnovení chodu těchto systémů po kybernetic-kém bezpečnostním incidentu.

§ 29

Digitální služby

(1) Povinná osoba uvedená v § 3 písm. h) zá-kona zavede bezpečnostní opatření podle provádě-cího nařízení Komise (EU) 2018/151 ze dne 30. led-na 2018, kterým se stanoví pravidla pro uplatňovánísměrnice Evropského parlamentu a Rady (EU) 2016//1148, pokud jde o bližší upřesnění prvků, kterémusí poskytovatelé digitálních služeb zohledňovatpři řízení bezpečnostních rizik, jimiž jsou vystavenysítě a informační systémy, a parametrů pro posuzo-vání toho, zda je dopad incidentu významný; usta-novení § 3 až 28 se na tuto povinnou osobu nepou-žijí.

(2) Povinná osoba uvedená v § 3 písm. h) zá-kona hlásí kontaktní údaje podle § 34 odst. 2.

(3) Povinná osoba uvedená v § 3 písm. h) zá-kona hlásí kybernetické bezpečnostní incidenty po-dle § 32 odst. 2 a 3.

HLAVA III

BEZPEČNOSTNÍ POLITIKAA BEZPEČNOSTNÍ DOKUMENTACE

§ 30

Bezpečnostní politika a bezpečnostní dokumentace

(1) Povinná osoba

a) stanoví bezpečnostní politiku a vede bezpeč-nostní dokumentaci zahrnující oblasti uvedenév příloze č. 5,

b) pravidelně přezkoumává bezpečnostní politikua bezpečnostní dokumentaci a

c) zajistí, aby byla bezpečnostní politika a bezpeč-nostní dokumentace aktuální.

(2) Bezpečnostní politika a bezpečnostní doku-mentace musí být

a) dostupné v listinné nebo elektronické podobě,

b) komunikovány v rámci povinné osoby,

c) přiměřeně dostupné dotčeným stranám,

d) řízeny,

e) chráněny z pohledu důvěrnosti, integrity a do-stupnosti a

f) vedeny tak, aby informace v nich obsažené bylyúplné, čitelné, snadno identifikovatelné a snadnovyhledatelné.

ČÁST TŘETÍ

KYBERNETICKÝBEZPEČNOSTNÍ INCIDENT

§ 31

Kategorizace kybernetickýchbezpečnostních incidentů

(1) Jednotlivé kybernetické bezpečnostní inci-denty se kategorizují podle významnosti při zohled-nění

a) dopadů obsažených v dopadových určujícíchkritériích, podle kterých byly povinné osobyurčeny,

b) počtu dotčených uživatelů,

c) způsobené nebo předpokládané škody,

d) důležitosti dotčených aktiv informačního a ko-munikačního systému,

e) dopadů na poskytované služby informačníhoa komunikačního systému,

f) dopadů na služby poskytované jinými infor-mačními a komunikačními systémy,

g) délky trvání incidentu,

h) zeměpisného rozsahu dotčené oblasti a

i) dalších dopadů.

(2) Pro potřeby hlášení a zvládání kybernetic-kých bezpečnostních incidentů se na základě zohled-nění podle odstavce 1 kybernetické bezpečnostní in-cidenty zařadí do následujících kategorií

a) Kategorie III – velmi významný kybernetickýbezpečnostní incident, při kterém je přímo a vý-znamně narušena bezpečnost poskytovanýchslužeb nebo aktiv. Jeho řešení vyžaduje nepro-


dlené zásahy obsluhy s tím, že musí být všemidostupnými prostředky zabráněno dalšímu ší-ření kybernetického bezpečnostního incidentuvčetně minimalizace vzniklých i potenciálníchškod,

b) Kategorie II – významný kybernetický bezpeč-nostní incident, při kterém je narušena bezpeč-nost poskytovaných služeb nebo aktiv. Jeho ře-šení vyžaduje neprodlené zásahy obsluhy s tím,že musí být vhodnými prostředky zabráněnodalšímu šíření kybernetického bezpečnostníhoincidentu včetně minimalizace vzniklých škod,nebo

c) Kategorie I – méně významný kybernetickýbezpečnostní incident, při kterém docházík méně významnému narušení bezpečnosti po-skytovaných služeb nebo aktiv. Jeho řešení vy-žaduje zásahy obsluhy s tím, že musí být vhod-nými prostředky omezeno další šíření kyberne-tického bezpečnostního incidentu včetně mini-malizace vzniklých škod.

(3) Typy kybernetických bezpečnostních inci-dentů podle dopadu jsou

a) kybernetický bezpečnostní incident způsobujícínarušení důvěrnosti aktiv,

b) kybernetický bezpečnostní incident způsobujícínarušení integrity aktiv,

c) kybernetický bezpečnostní incident způsobujícínarušení dostupnosti aktiv, nebo

d) kybernetický bezpečnostní incident způsobujícíkombinaci dopadů uvedených v písmenech a)až c).

(4) Toto ustanovení se nevztahuje na kyberne-tické bezpečnostní incidenty u povinné osoby uve-dené v § 3 písm. h) zákona.

§ 32

Forma a náležitosti hlášeníkybernetických bezpečnostních incidentů

(1) Kybernetický bezpečnostní incident se Úřa-du hlásí na elektronickém formuláři zveřejněném nainternetových stránkách Úřadu zaslaném

a) na adresu elektronické pošty Úřadu určenoupro příjem hlášení kybernetických bezpečnost-ních incidentů, zveřejněnou na internetovýchstránkách Úřadu,

b) do datové schránky Úřadu, nebo

c) prostřednictvím datového rozhraní, pokud jepoužíváno, jehož popis je zveřejněn na interne-tových stránkách Úřadu.

(2) Kybernetický bezpečnostní incident se pro-vozovateli národního CERT hlásí na elektronickémformuláři zveřejněném na internetových stránkáchprovozovatele národního CERT zaslaném

a) na adresu elektronické pošty provozovatele ná-rodního CERT určenou pro příjem hlášení ky-bernetických bezpečnostních incidentů, zveřej-něnou na jeho internetových stránkách,

b) do datové schránky provozovatele národníhoCERT, nebo

c) prostřednictvím internetových stránek provo-zovatele národního CERT.

(3) Hlášení kybernetického bezpečnostního in-cidentu je možné zaslat i v listinné podobě, avšakpouze v případech, kdy nelze využít žádný ze způ-sobů uvedených v odstavcích 1 a 2.

(4) Náležitosti hlášení kybernetického bezpeč-nostního incidentu jsou

a) identifikace odesilatele,

b) identifikace informačního a komunikačníhosystému,

c) datum a čas zjištění incidentu a

d) popis incidentu.

ČÁST ČTVRTÁ

REAKTIVNÍ OPATŘENÍA KONTAKTNÍ ÚDAJE

§ 33

Reaktivní opatření

(1) Povinná osoba, které Úřad uložil provéstreaktivní opatření,

a) posoudí očekávané dopady reaktivního opatřenína informační a komunikační systém a na za-vedená bezpečnostní opatření a vyhodnotí mož-né negativní účinky a

b) stanoví způsob rychlého provedení tohoto opa-tření, který minimalizuje jeho možné negativníúčinky, a určí časový plán jeho provedení.


(2) Povinná osoba, které Úřad uložil provéstreaktivní opatření, oznámí způsob provedení reak-tivního opatření a jeho výsledek ve formě uvedenéna internetových stránkách Úřadu.

§ 34

Kontaktní údaje

(1) Kontaktní údaje se Úřadu oznamují na elek-tronickém formuláři zveřejněném na internetovýchstránkách Úřadu zaslaném

a) na adresu elektronické pošty Úřadu určenoupro příjem oznámení kontaktních údajů, zveřej-něnou na internetových stránkách Úřadu,

b) do datové schránky Úřadu, nebo

c) prostřednictvím datového rozhraní, pokud jepoužíváno, jehož popis je zveřejněn na interne-tových stránkách Úřadu.

(2) Kontaktní údaje se provozovateli národníhoCERT oznamují na elektronickém formuláři zveřej-něném na internetových stránkách provozovatele ná-rodního CERT zaslaném

a) na adresu elektronické pošty provozovatele ná-rodního CERT určenou pro příjem oznámeníkontaktních údajů, zveřejněnou na jeho interne-tových stránkách,

b) do datové schránky provozovatele národníhoCERT, nebo

c) prostřednictvím internetových stránek provo-zovatele národního CERT.

(3) Hlášení kontaktních údajů je možné zaslati v listinné podobě, avšak pouze v případech, kdynelze využít žádný ze způsobů uvedených v odstav-cích 1 a 2.

(4) Vzor oznámení kontaktních údajů je uvedenv příloze č. 8 k této vyhlášce.

(5) Povinná osoba uvedená v § 3 písm. c) až f)zákona, která je provozovatelem, dále k hlášení kon-taktních údajů podle odstavce 1 přikládá dokument,kterým ji správce prokazatelně informuje podle § 8odst. 1 písm. c).

ČÁST PÁTÁ

ZÁVĚREČNÁ USTANOVENÍ

§ 35

Přechodná ustanovení

(1) V případě informačních systémů kritickéinformační infrastruktury a komunikačních systémůkritické informační infrastruktury, které byly určenypřede dnem nabytí účinnosti této vyhlášky, a v pří-padě významných informačních systémů, u kterýchdošlo k naplnění určujících kritérií přede dnem na-bytí účinnosti této vyhlášky, se do jednoho roku odedne nabytí účinnosti této vyhlášky pro obsah a struk-turu bezpečnostní dokumentace a obsah a rozsahzavedených bezpečnostních opatření použijí usta-novení vyhlášky č. 316/2014 Sb., o bezpečnostníchopatřeních, kybernetických bezpečnostních inciden-tech, reaktivních opatřeních a o stanovení náležitostípodání v oblasti kybernetické bezpečnosti (vyhláškao kybernetické bezpečnosti).

(2) V případě informačních systémů kritickéinformační infrastruktury a komunikačních systémůkritické informační infrastruktury, které byly určenypřede dnem nabytí účinnosti této vyhlášky, a v pří-padě významných informačních systémů, u kterýchdošlo k naplnění určujících kritérií přede dnem na-bytí účinnosti této vyhlášky, se do jednoho roku odedne nabytí účinnosti této vyhlášky pro způsob likvi-dace dat, provozních údajů, informací a jejich kopiítato vyhláška nepoužije.

§ 36

Zrušovací ustanovení

Zrušuje se vyhláška č. 316/2014 Sb., o bezpeč-nostních opatřeních, kybernetických bezpečnostníchincidentech, reaktivních opatřeních a o stanovení ná-ležitostí podání v oblasti kybernetické bezpečnosti(vyhláška o kybernetické bezpečnosti).

§ 37

Účinnost

Tato vyhláška nabývá účinnosti dnem vyhlá-šení.

Ředitel:

Ing. Navrátil v. r.


Příloha č. 1 k vyhlášce č. 82/2018 Sb.



































Sbírka zákonů 2018Strana 1164 Částka 43

Sbírka zákonů 2018Částka 43 Strana 1165

Sbírka zákonů 2018Strana 1166 Částka 43

Sbírka zákonů 2018Částka 43 Strana 1167

Sbírka zákonů 2018

Vydává a tiskne: Tiskárna Ministerstva vnitra, p. o., Bartůňkova 4, pošt. schr. 10, 149 01 Praha 415, telefon: 272 927 011, fax: 974 887 395 – Redakce:Ministerstvo vnitra, nám. Hrdinů 1634/3, pošt. schr. 155/SB, 140 21 Praha 4, telefon: 974 817 289, fax: 974 816 871 – Administrace: písemnéobjednávky předplatného, změny adres a počtu odebíraných výtisků – MORAVIAPRESS s. r. o., U Póny 3061, 690 02 Břeclav, tel.: 516 205 175,e-mail: [email protected]. Roční předplatné se stanovuje za dodávku kompletního ročníku včetně rejstříku z předcházejícího roku a je odpředplatitelů vybíráno formou záloh ve výši oznámené ve Sbírce zákonů. Závěrečné vyúčtování se provádí po dodání kompletního ročníku na základěpočtu skutečně vydaných částek (první záloha na rok 2018 činí 6 000,– Kč) – Vychází podle potřeby – Distribuce: MORAVIAPRESS s. r. o., U Pó-ny 3061, 690 02 Břeclav, celoroční předplatné a objednávky jednotlivých částek (dobírky) – 516 205 175, objednávky – knihkupci – 516 205 175,e-mail – [email protected], zelená linka – 800 100 314. Internetová prodejna: www.sbirkyzakonu.cz – Drobný prodej – Brno: Ing. Jiří Hrazdil,Vranovská 16, Vydavatelství a nakladatelství Aleš Čeněk, Obchodní galerie IBC (2. patro), Příkop 6; Cheb: EFREX, s. r. o., Karlova 31; Chomutov:DDD Knihkupectví – Antikvariát, Ruská 85; Kadaň: Knihařství – Přibíková, J. Švermy 14; Liberec: Podještědské knihkupectví, Moskevská 28;Olomouc: Zdeněk Chumchal – Knihkupectví Tycho, Ostružnická 3; Pardubice: ABONO s. r. o., Sportovců 1121; Plzeň: Vydavatelství a nakladatelstvíAleš Čeněk, nám. Českých bratří 8; Praha 3: Vydavatelství a nakladatelství Aleš Čeněk, Řipská 23; Praha 4: Tiskárna Ministerstva vnitra, Bartůňko-va 4; Praha 9: DOVOZ TISKU SUWECO CZ, Klečákova 347; Praha 10: BMSS START, s. r. o., Vinohradská 190, MONITOR CZ, s. r. o., Třebohos-tická 5, tel.: 283 872 605; Ústí nad Labem: PNS Grosso s. r. o., Havířská 327, tel.: 475 259 032, fax: 475 259 029, KARTOON, s. r. o., Klíšská 3392/37 –vazby sbírek tel. a fax: 475 501 773, e-mail: [email protected]; Zábřeh: Mgr. Ivana Patková, Žižkova 45; Žatec: Jindřich Procházka, Bezděkov 89 –Vazby Sbírek, tel.: 415 712 904. Distribuční podmínky předplatného: jednotlivé částky jsou expedovány neprodleně po dodání z tiskárny. Ob-jednávky nového předplatného jsou vyřizovány do 15 dnů a pravidelné dodávky jsou zahajovány od nejbližší částky po ověření úhrady předplatnéhonebo jeho zálohy. Částky vyšlé v době od zaevidování předplatného do jeho úhrady jsou doposílány jednorázově. Změny adres a počtu odebíranýchvýtisků jsou prováděny do 15 dnů. Reklamace: informace na tel. čísle 516 205 175. V písemném styku vždy uvádějte IČO (právnická osoba), rodnéčíslo (fyzická osoba). Podávání novinových zásilek povoleno Českou poštou, s. p., Odštěpný závod Jižní Morava Ředitelství v Brně č. j. P/2-4463/95ze dne 8. 11. 1995.

Strana 1168 Částka 43

8591449 043014

18

ISSN 1211-1244

Date post:	30-Jun-2020
Category:	Documents
Upload:	others
View:	2 times
Download:	0 times

SBÍRKA ZÁKON - GovCERT.CZ · n) významným dodavatelem provozovatel infor-mačního nebo...

Documents