EPIS® Právní systém | Plné znění

Právní předpis byl sestaven k datu 03.02.2026.

Zobrazené znění právního předpisu je účinné od 01.11.2025.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět právní úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - Organizační opatření

Systém řízení bezpečnosti informací §3

Požadavky na vrcholné vedení §4

Stanovení bezpečnostních rolí §5

Řízení bezpečnostní politiky a bezpečnostní dokumentace §6

Řízení aktiv §7

Řízení rizik §8

Řízení dodavatelů §9

Bezpečnost lidských zdrojů §10

Řízení změn §11

Akvizice, vývoj a údržba §12

Řízení přístupu §13

Zvládání kybernetických bezpečnostních událostí a incidentů §14

Řízení kontinuity činností §15

Provádění auditu kybernetické bezpečnosti §16

HLAVA II - Technická opatření

Fyzická bezpečnost §17

Bezpečnost komunikačních sítí §18

Správa a ověřování identit §19

Řízení přístupových práv a oprávnění §20

Detekce kybernetických bezpečnostních událostí §21

Zaznamenávání událostí §22

Vyhodnocování kybernetických bezpečnostních událostí §23

Aplikační bezpečnost §24

Kryptografické algoritmy §25

Zajišťování dostupnosti regulované služby §26

Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv §27

ČÁST TŘETÍ - ZÁVĚREČNÁ USTANOVENÍ

Přechodné ustanovení §28

ČÁST ČTVRTÁ - ÚČINNOST

Účinnost §29

Příloha č. 1 - Hodnocení aktiv

Příloha č. 2 - Likvidace informací a dat

Příloha č. 3 - Zranitelnosti a hrozby

Příloha č. 4 - Hodnocení rizik

Příloha č. 5 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy

Příloha č. 6 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

409

XXXXXXXX

xx xxx 26. xxxx 2025

x xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx v režimu xxxxxxx povinností

Národní úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §13 odst. 3 xxxxxx x. 264/2025 Xx., x xxxxxxxxxxxx xxxxxxxxxxx, (xxxx xxx „xxxxx“):

ČÁST XXXXX

XXXXXX XXXXXXXXXX

§1

Xxxxxxx xxxxxx xxxxxx

Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx¹⁾ a xxx poskytovatele xxxxxxxxxx xxxxxx x režimu xxxxxxx xxxxxxxxxx (dále xxx „xxxxxxx xxxxx“) xxxxxxxx obsah xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxx zavádění a xxxxxxxxx.

§2

Vymezení xxxxx

Xxx účely xxxx xxxxxxxx xx xxxxxx

x) uživatelem xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxx,

x) xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx nebo xxxx xxxxx, jejíž xxxxxxx xx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx na bezpečnost xxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, která xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxxxxx xxxxx xxxxxx určování, xxxxxxx a xxxxxxxxxxx xxxxx,

x) xxxxxxx xxxxx xxxxxx zahrnující xxxxxxxxx xxxxx, zavádění xxxxxxxxxxxxxx xxxxxxxx xx zvládání xxxxx a xxxxxxxxxx xxxxx,

x) systémem xxxxxx xxxxxxxxxxx xxxxxxxxx část xxxxxxx řízení povinné xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx, xxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x

x) významným xxxxxxxxxxx xxx, kdo povinné xxxxx xxxxxxxxx plnění, xxxxx xx xxxxxxxx x xxxxxxxx zajištění xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx.

XXXX DRUHÁ

BEZPEČNOSTNÍ XXXXXXXX

XXXXX X

Xxxxxxxxxxx xxxxxxxx

§3

Xxxxxx xxxxxx xxxxxxxxxxx informací

Povinná xxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx

x) xxxxxxx cíle xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx k xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx,

x) xxxx xxxxxx xxxxx §8,

x) xxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x zajištění xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx obsahuje hlavní xxxxxx, cíle xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxxxxxxxxx xxxxxxx, práva x povinnosti xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §6,

x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §16,

x) xxxxxxx xxxxxxx jednou xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx obsahuje

1. xxxxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxxx kybernetické xxxxxxxxxxx regulované xxxxxx,

2. xxxxxxxxx xxxxxxxxxx plánu xxxxxxxx xxxxx xxxxxxxxxxxx xxxxx §8 xxxx. 1 xxxx. x),

3. xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx,

4. posouzení xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

5. výsledky předchozího xxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx tohoto xxxxxxx,

6. posouzení dopadů xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a na xxxxxxxxxxx xxxxxx xxxxx §15 a

7. posouzení xxxxxxxxxx změn xxxxx §11,

x) xxxxxxxx zprávu x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle xxxxxxx f),

h) aktualizuje xxxxxx řízení xxxxxxxxxxx xxxxxxxxx x relevantní xxxxxxxxxxx na základě

1. xxxxxxxx z auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti,

2. xxxxxxxx xxxxxxxxxxx účinnosti systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

3. xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx poskytované xxxxxx a

4. prováděných xxxxxxxxxx xxxx,

x) řídí xxxxxx x xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x zaznamenává xxxxxxxx spojené xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením xxxxx a

j) xxxxxxx xxxxxx xxxxxx xxxxxxx x pravidel xxxxxxxxxxx x xxxxxxxxxxxx politice xxxxx xxxxxxx x).

§4

Xxxxxxxxx xx xxxxxxxx xxxxxx

(1) Xxxxxxxxxx xxxxx xxxxxxx xxxxx xxxx xxxx xxxxx xxxxx xxxxxxx xxxx x xxxxxxxx řídícím xxxxxxxxx x xxxxxxx xxxxx (xxxx jen „xxxxxxxx xxxxxx“) s xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací

a) xxxxxxxxxxxx xxxxxxxxx xxxxxxx podle §10 odst. 3 xxxx. a),

b) zajistí xxxxxxxxx xxxxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx bezpečnosti informací xxxxx §3, xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,

e) xxxxxxxxx xxxxxxxxxxx a xxxxxxx dotčené xxxxx x významu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx s jeho xxxxxxxxx,

x) xxxxxxx xxxxxxx x xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) vede x xxxxxxxxx zaměstnance k xxxxxxxxx efektivity xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xx xxxxxx na xxxxxxxxxxx xxxxxxx xxxxxx xxxxx §15,

x) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxx x procesů xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) prosazuje xxxxxxxx zlepšování systému xxxxxx bezpečnosti xxxxxxxxx,

x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx role při xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx jejich xxxxxxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role,

m) zajistí, xxx byla xxxxxxxxx xxxxxxxxxxx xxxxx relevantních xxxx xxxxxxx xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx xxxx a xxxxxxxxxx, x

x) xxxxxxx xxx xxxxx zastávající xxxxxxxxxxxx xxxx pravomoci xxxxxxxx xxx xxxxxxxxxx jejich xxxx x xxxxxx, xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx jejich xxxx x plnění xxxxxxxxxxxxx úkolů.

(2) Vrcholné xxxxxx xx xxxxxxxxxxxx xxxxxxxxx

x) se zprávou x xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,

x) xx xxxxxxx x xxxxxxxxx xxxxx,

x) x xxxxxx zvládání rizik,

d) x výsledky xxxxxxx xxxxxx a

e) s xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(3) Xxxxxxxx xxxxxx xxxxx výbor xxx xxxxxx kybernetické xxxxxxxxxxx x xxxx xxxx xxxxx, xxxxxxx

x) zajistí, xx xxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxx 1 xxxx xxxxxxxxxx xxxxxx nebo jím xxxxxxxx xxxxx x xxxxxxx kybernetické bezpečnosti,

b) xxxx xxxxx x xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x jeho členů, xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx informací,

c) xxxxxxx konání xxxxxxxxxxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx jednou xxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx a

e) xxxxxxx, že výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx x xxxx s xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x osob xxxxxxxx xx xxxxxxxxxxxx xx řízení x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.

(4) Xxxxxxxx xxxxxx xxxx xxxxx, xxxxxx xxxxxxxx xxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx

x) xxxxxxxx xxxxxxxxxxxx bezpečnosti,

b) xxxxxxxxxx kybernetické xxxxxxxxxxx,

x) xxxxxxx xxxxxx x

x) xxxxxxxx kybernetické bezpečnosti.

(5) Xxxxxxxx vedení zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v xxxxxxxx 4 xxxx. a) x x).

§5

Xxxxxxxxx xxxxxxxxxxxxxx rolí

(1) Xxxxxxx kybernetické bezpečnosti

a) xx pověřen xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx může xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxx xxxxxxxxxxxx bezpečnosti xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx 3 xxx,

x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx vrcholného xxxxxx x

1. xxxxxxxxxx xxxxxxxxxxxxx z xxxxxxx xxxx xxxxxxxxxxxx x

2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,

c) xxxxx xxx xxxxxxx výkonem xxxx xxxxxxxxxxx za xxxxxx technických xxxxx xxxxxxxxxx služby.

(2) Architekt xxxxxxxxxxxx bezpečnosti xx xxxxxxx x zajištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx x zajišťováním bezpečné xxxxxxxxxxxx x xxxxx xxxxxxx 3 xxx.

(3) Xxxxxx xxxxxx xx xxxxxxx k zajištění xxxxxxx, xxxxxxx x xxxxxxxxxx aktiva.

(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx

x) je xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx pověřena xxxxx, xxxxx je xxx tuto xxxxxxx xxxxxxxxx a prokáže xxxxxxxx způsobilost xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx v xxxxx alespoň 3 xxx,

x) zaručuje, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x

x) xxxxx xxx xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.

§6

Xxxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní dokumentace

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx bezpečnostním xxxxxxxxx uvedeným x §3 xx 27.

(2) Xxxxxxx osoba xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx podle odstavce 1.

(3) Povinná xxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx, zajišťuje xxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxxx oblasti zahrnuje xx xxxxxxxx xxxxxxxxxxx, xxxxxxxx a xxxxxxx.

(4) Xxxxxxx osoba xxxx xxxxx xxxxxxxxxx za xxxxxxxxxx přezkum x xxxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 3.

(5) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentace xxxx xxx řízeny xxx, xxx xxxx

x) xxxxxxxx x elektronické nebo xxxxxxxx xxxxxx,

x) dotčené xxxxx v rámci xxxxxxx xxxxx xxxxxxxxxxx x xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx x xxxx xxxxxxxxxx,

x) xxxxxxxxx xxxxxxxx dotčeným xxxxxx,

x) xxxxxxxx x pohledu xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x

x) xxxxxxxxx x xxxx xxxxxxxx xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x xxxxxxxxxxxx.

§7

Řízení xxxxx

Xxxxxxx osoba x xxxxxxxxxx na xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §12 zákona

a) xxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx,

x) xxxxxxx metodiku xxx hodnocení xxxxx xxxxxx xxxxxxxxx úrovní xxxxx, alespoň v xxxxxxx uvedeném v příloze č. 1 x xxxx xxxxxxxx,

x) eviduje garanty xxxxx podle §4 xxxx. 4 xxxx. x),

x) xxxxxxx primární xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),

x) posuzuje při xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxxxxx x příloze č. 1 x xxxx xxxxxxxx,

x) xxxxxx x eviduje vazby xxxx aktivy, xxxxx xxxx xxxx xx xxxxxxxxxx regulované xxxxxx,

x) xxxxxxx podpůrná aktiva x xxxxxxx přitom xxxxxxx z určených xxxxx xx primární xxxxxx x

x) pro xxxxxxxxxx xxxxxx xxxxx xxxxx písmene b) xxxxxxxxx a zavádí xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxx, integrity a xxxxxxxxxxx, která xxxxxxxx xxxxxxx

1. xxxxxxxxx způsoby xxxxxxxxx aktiv,

2. xxxxxxxx xxx xxxxxxxxxx x xxxxxx, včetně pravidel xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx aktiv,

3. pravidla xxx xxxxxxxxxxx xxxxxxxxx,

4. xxxxxxxx xxx xxxxxxxxxx xxxxx,

5. xxxxxxxx správy xxxxxxxxx xxxxx x

6. xxxxxxxx pro xxxxxx xxxxxxx likvidace informací x xxx x xxxxxx xxxxx a xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx xxxxxx xxxxxxxxx a xxx x ohledem xx xxxxxx xxxxx v xxxxxxx x přílohou č. 2 x xxxx xxxxxxxx.

§8

Xxxxxx rizik

(1) Povinná xxxxx při xxxxxx xxxxx x xxxxxxxxxx xx §7

a) xxxxxxx xxxxxxxx xxx xxxxxxxx x xxxxxxxxx xxxxx, xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,

b) xxx xxxxxxxx xxxxx x xxxxxxx xx xxxxxx xxxxxx relevantní xxxxxx x zranitelnosti; xxxxxx zvažuje xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxx x pravidelných xxxxxxxxxxx alespoň xxxxxx xxxxx x xxx xxxxxxxxxx xxxxxxx určených xxxxx §11 xxxx. 1 písm. c), xxx xxxxxx xxxxxxxx

1. xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx podle xxxxxxx x) x posoudí xxxxx xxxxxx xx xxxxxx, přičemž xxxxxxx x xxxxxxxxx aktiv xxxxx §7,

2. xxxxxxxx xxxxx,

3. xxxxx xxxxxxxxxxx xxxxxxx podle §12 xxxxxx,

4. xxxxxxxxxxxxx xxxxx §20 xxxxxx,

5. kybernetické xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených,

6. xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x kontrol x xxxxxxx kybernetické xxxxxxxxxxx,

7. xxxxxxxx xxxxxxxxxxxx xxxxxxxxx x skenování zranitelností x

8. xxxxxxxx vyhodnocení xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) při xxxxxxxxx xxxxx xxxxxxxxx xxxxxxx v rozsahu přílohy č. 4 x xxxx xxxxxxxx,

x) na xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx x) xxxxxxxx xxxxxx x xxxxxxxxx rizik,

f) zpracuje xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx všech xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx

1. xxxxxx aplikována, xxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x

2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,

x) na xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxx písmene x) x v xxxxxxx xx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx zpracuje xxxx xxxxxxxx rizik, který xxxxxxxx

1. popis xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx,

2. xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx,

3. xxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik,

4. xxxxxxxxxxxxx xxxxxx, finanční x technické xxxxxx xxx zavedení xxxxxxxxxxxxxx xxxxxxxx,

5. xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření,

6. xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x

7. xxxxxxxxx způsob realizace xxxxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxx xxxxx x souladu x plánem zvládání xxxxx xxxxxx bezpečnostní xxxxxxxx.

(3) Xxxxxxxxx rizik xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx jak je xxxxxxxxx x xxxxxxxx 1 písm. x), xxxxx xxxxxxx xxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx procesu xxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxx x xxxxxxxxx 5 přílohy č. 4 k této xxxxxxxx.

(4) Povinná osoba xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx opatření xxxxxxxxx xxxxx xxxxxxxxx pouze xx xxxxxxx xxxxxxxxxxx xxxxxx xxxxx.

§9

Xxxxxx xxxxxxxxxx

(1) Povinná xxxxx xxx xxxxxx xxxxxxxxxx

x) stanoví xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,

b) xxxxxxxxxxxx seznamuje xxx xxxxxxxxxx x xxxxxxxx xxxxx písmene x) x vyžaduje xxxxxx xxxxxx xxxxxxxx,

x) xxxx xxxxxx xxxxxxx s xxxxxxxxxx,

x) xxxxxxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxxxx xx smyslu §2 písm. x),

x) xxxxxxxxxxxx písemně xxxxxxxxx xxx významné xxxxxxxxxx x jejich xxxxxxxx xxxxx xxxxxxx x),

x) xxxxxxx x xxxxxxxxxxx x xxxxxxx rizik xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx, aby xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx relevantní xxxxxxxxxx xxxxxxx x příloze č. 5 x xxxx xxxxxxxx, x

x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.

(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx

x) xxxxxxx x rámci xxxxxxxxxx řízení xxxxx xxxxxx o zadávání xxxxxxxxx xxxxxxx²⁾ nebo xxxx uzavřením xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x plněním xxxxx přílohy č. 4 x této xxxxxxxx,

x) stanoví x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxx vzájemné xxxxxxxxxxxx xx zavedení x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) provádí pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů nebo xxxxxx xxxxx xxxxxx x

x) xxxxxxx v xxxxxx xx rizika x xxxxxxxx nedostatky xxxxxx xxxxxx, která xxxxx xxxxxxx xxx xxxxxxxxxx odkladu.

(3) Náležitosti xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) xxxx

x) xxxxxxxxxxxxx xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxx, že xxxxxxx osoba xx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxx vyšších xxxxxxxxxx,

x) název regulované xxxxxx povinné osoby,

c) xxxxxxxxxxxxx xxxxx významného xxxxxxxxxx x

x) prohlášení, xx xxxxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxx.

§10

Bezpečnost xxxxxxxx xxxxxx

(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx s xxxxxxx xx stav x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx stanoví xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx x zlepšování xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxx, obsahu x xxxxxxx poučení x xxxxxxx podle xxxxxxxx 2.

(2) Povinná xxxxx xxxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí

a) xxxxxxx xxxxxxxxxx xxxxxx x jeho xxxxxxxxxxxx x xxxxxxxxxxxx politice, xxxxxxx x xxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx a řízení xxxxx,

x) xxxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role x jejich xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxxxxxx x praktická školení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,

x) xxxxxxxx xxxxxx xxxxxxxxxx xxxxx x xxxxxxx s §19 x

x) xxxxxxxxxx témata xxxxxxx x příloze č. 6 x této xxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx

x) xxxxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxx, x bezpečnostní xxxxxxxx zejména x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, xxxxxx xxxxx a řízení xxxxxxxxxx xxxxxxxx formou xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x získání xxxxxxxx a xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxx a xxxxxxxxx xxxxxxxxx zvolených xxxxxxx xxx xxxxxx xxxxx x jejich xxxxxx xx xxxxxxxxxxx službu,

b) xxxxxxx uživatelů, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role o xxxxxx xxxxxxxxxxxx a x bezpečnostní xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx školení,

c) xxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxx x oblasti xxxxxxxxxxxx bezpečnosti, a

d) xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx x xxxxxx xxxxxxxx xxxxxx xxxx služebním xxxxxxxxx.

(4) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx

x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx xxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx uvedeny,

b) xxxxxxx x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx podle xxxxxxxx 3,

x) xxxxxxxxxx xxxxxxx účinnost plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx povědomí,

d) xxxxxxx xxxxxxxx dodržování xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxx pravidla x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x

x) xxxxxxx xxxxxxxxx xxxxxx činností v xxxxxxx xxxxxxxx nebo xxxxx smluvního xxxxxx x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx.

(5) Xxxxxxx xxxxx xxxx x xxxxxxx x xxxxxxx xxxxx xxxxxxxx 3 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx a školení xxxxxx xxxxxxx osob, xxxxx xxxxxxx a xxxxxxx xxxxxxxxxxx.

§11

Řízení xxxx

(1) Povinná xxxxx xxx xxxxxx xxxx x xxxxx

x) xxxxxxx pravidla, xxxxxxx x xxxxxxxx xxx xxxxxx xxxxxxxxxx změn,

b) xxxx xxxxx, které xxxx nebo mohou xxx vliv na xxxxxxxxxxxxx xxxxxxxxxx,

x) určuje x xxxx určených xxxxx xxxxxxx x) xxxxxxxx změny x xxxxxxx xx xxxxxxxxxxx xxxxxxxx, postupy x xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxx podle xxxxxxx x).

(2) Povinná xxxxx x xxxxxxxxxx xxxx

x) dokumentuje xxxxxx xxxxxx,

x) řídí xxxxxx xxxxxxx s xxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx za xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx,

x) xxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xx xxxxxxx x

x) xxxxxxx xxxxxxx xxxxxxxxx xx původního xxxxx.

(3) Xxxxxxx osoba xx xxxxxxx xxxxxxxx xxxxxx xxxxx podle odstavce 2 písm. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování, xxxxxxxxx xxxxx §24 xxxx. 5.

§12

Akvizice, xxxxx a xxxxxx

(1) Povinná xxxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxx

x) xxxx rizika,

b) řídí xxxxxxxx změny xxxxx §11,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx zohlední x xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxxx stanovené xxxxx xxxxxxx c) do xxxxxxxxx xxxxxxxx, xxxxxx x xxxxxx x

x) xxxxxxx oddělení provozního, xxxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxxxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxx, x xxxxxxx ochranu xxxxxxxxx x xxx, xxxxx xx x xxx xxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxx při xxxxxxxxx xxxxxxxx xxxx vývoje xxxxxxxxxxx aktiva

a) xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, zejména xx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx nebo xxxxxxxxxxxxxx, plnění požadavků xxxxx §19 xxxx. 2,

x) xxxxxxxxxxxxx kryptografické xxxxxxxxx, xxxxxx xxxxxxxxx xxxxx §25 xxxx. 1 písm. x) x §25 xxxx. 3 písm. x) x

x) xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx po xxxx xxxx xxxxxxxxx xxxxx.

§13

Řízení xxxxxxxx

(1) Povinná xxxxx xx základě xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxx řídí přístup x xxxxxxx x xxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxxxx x xxxxxxxxx ochrany přístupových x xxxxxxxxxxxxxx údajů, xxxxx xxxx používány xxx xxxxxxx xxxxxxxx xxxxx §19 x 20.

(2) Povinná osoba xxxx xxx xxxxxx xxxxxxxx k aktivům

a) xxxx xxxxxxx xx xxxxxxx xxxxxx xxxx xxxx,

x) xxxxxxx xxxxxxx xxxxxxxxx a administrátorovi xxxxxxxxxxxxxx k xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx xx úroveň xxxxxxxx xxxxxx k xxxxxx práce x xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx účtu, xxxxxxx xxxxxxxx uživatelské a xxxxxxxxxxxxxxxx xxxx xxxxx xxxxx,

x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxx,

x) xxxxxx x xxxxxxx s písmenem x) bezpečnostní opatření xxx xxxxxx přístupu xxxxxxxxxxx aktiv,

e) zavádí xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxx xxxx ve xxx správě,

f) omezí x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

x) přiděluje x xxxxxxx přístupová práva x xxxxxxxxx x xxxxxxx x politikou xxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx veškerých xxxxxxxxxxxx xxxx a xxxxxxxxx včetně rozdělení xx xxxxxx x xxxx,

x) zajistí bezodkladné xxxxxxxx xxxx změnu xxxxxxxxxxxx xxxx x xxxxxxxxx xxx změně xxxxxx xxxx xxxxxxxx xx xxxxxxx xxxxxx x xxxx,

x) xxxxxxx xxxxxxxxxx xxxx a xxxxxxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxx xxxxxxxx nebo xxxxx xxxxxxxxx xxxxxx, na xxxxxxx xxxxxxx xxxxx xx xxxxxxx xxxxxxxx x xxxxxxx,

x) dokumentuje xxxxxxxxxxx a odebírání xxxxxxxxxxxx xxxx x xxxxxxxxx x

x) využívá xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 x xxxxxxx pro řízení xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxx §20.

§14

Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x incidentů

(1) Xxxxxxx osoba při xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx

x) xxxxxx xxxxxxx, pravidla x xxxxxxx pro xxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x souladu x §21 xx 23,

x) xxxxxx xxxxxxx, xxxxxxxx x xxxxxxx xxx koordinaci a xxxxxxxx kybernetických bezpečnostních xxxxxxxxx,

x) přidělí xxxxxxxxxxxx xxx

1. xxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

2. xxxxxxxxxx a zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,

d) xxxxxxxx x xxxxxxxx xxxxxxxx x postupy xxx xxxxxxxxxxxx, sběr, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §21,

f) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x dodavatelé xxxxx xxxxxxxxx neobvyklé xxxxxxx technických xxxxx x xxxxxxxxx xx xxxxxxxxxxxxx,

x) zajistí posuzování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx kterých musí xxx rozhodnuto, xxx xxxx být xxxxxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,

x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxx xxxxxxxxxxx xxxxxxx,

x) xxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) zajistí xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxx §15 xxxxxx,

x) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,

x) vede xxxxxxx o kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx x x jejich zvládání,

m) xxxxxxx vytvoření xxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx dopadem xxxxx §16 xxxxxx, xxxxxx xxxxxx příčiny xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx s významným xxxxxxx, xxxxx xx xxxxx, x

x) xxxxxxxxx xxxxxxxx řešení kybernetického xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, popřípadě xxxxxxxxxxx stávající bezpečnostní xxxxxxxx.

(2) Xxxxxxx xxxxx xxxx při xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxx xxxxxxxx podle §21 x 23.

§15

Řízení xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx

x) stanoví xxxxxxxx xxx xxxxxxxxx xxxxxxx xxxxxx,

x) xxxxxxx xxxxxxx xxxxxx, xxxxxxxxxxx x dokumentuje možné xxxxxx kybernetických bezpečnostních xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx podle §8,

x) xx xxxxxxx xxxxxxx analýzy xxxxxx x xxxxxxxxx xxxxx xxxxx xxxxxxx b) xxxxxxx cíle řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx

1. xxxxxxxxx úrovně xxxxxxxxxxxxx služeb, která xx přijatelná xxx xxxxxxx, provoz a xxxxxx xxxxxxxxxx xxxxxx,

2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena minimální xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxx xxxxxx, x

3. xxxx obnovení xxx xxxx xxxxxx období, xx xxxxx musí xxx xxxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxxxx xxxxxx kontinuity činností, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x), x xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,

e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx plány xxxxxxxxxx xxxxxxxx x xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxx x

x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxx §26.

§16

Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(2) Xxxxxxx osoba xxx xxxxxx kybernetické xxxxxxxxxxx

x) xxxxxxxx, xxx byla xxxxxxxx xxxxxxxxxxxx opatření xxxxxxxxxx zákonem x xxxxx xxxxxxxxx,

x) posuzuje xxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx s xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, xxxxxxxxx xxxxxxx x xxxxxxxx xxxxx x

x) xxxxxxx x xxxxxxxxxxx xxxxx dodržování pravidel x xxxxxxx stanovených x xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx technické xxxxx x xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 3 xxxx. b).

(3) Povinná xxxxx

x) xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xx

1. xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

2. xxxxxx xxxxx a

b) xxxxxxx xx základě výsledku xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx budou xxxxxxx xxx xxxxxxxxxx odkladu.

(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxxx odstavce 2 xx xxxxxxxx

x) xxx xxxxxxxxxx xxxxxxx, x xx x xxxxx xxxxxx xxxxxxx,

x) x xxxxxxxxxxxx intervalech xxxxxxx xxxxxx xx 2 xxxx a

c) x xxxxxxx x xxxxxx xxxxxx kybernetické bezpečnosti.

(5) Xxxx-xx v odůvodněných xxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxx xxxxxxx podle odstavce 2 xx xxxxx xxxxx odstavce 4 xxxx. b), xx xxxxx audit xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx systematických xxxxxxx xxx, aby xxx xxxxxxx celý xxxxxx xxxxxx xxxxx xxxxxxxx 2 xxxxxxx xxxxxx xx 5 xxx.

(6) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx prováděn xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §5 xxxx. 4, která xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

XXXXX II

Technická opatření

§17

Fyzická xxxxxxxxxx

Xxxxxxx xxxxx v xxxxx xxxxxxx xxxxxxxxxxx

x) xxxxxxxxx xxxxxxxxx, xxxxxxxx, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby,

b) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx ohraničující xxxxxx, xx xxxxx jsou xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxx, xxxx ve xxxxx xxxx umístěna technická xxxxxx xxxxxxxxxx služby,

c) xxxxxxx fyzické xxxxxxxxxxxx xxxxxxxxx stanovené xxxxx xxxxxxx x) s xxxxxxx na xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xx jednotlivých úrovní xxxxxxx xxxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxx úrovně xxxxxxx xxxxxxx dokumentuje x

x) xxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xx xxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxx x) relevantní xxxxxxxxxxxx opatření fyzické xxxxxxx

1. k xxxxxxxx xxxxxxxxxxxxx xxxxxx,

2. x xxxxxxxx poškození, odcizení, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx,

3. x zajištění xxxxxxx xxxxxxx budov a xxxxxx xxxxxxxxxxxx prostor,

4. xxx zajištění xxxxxxx xxxxxxxx fyzického xxxxxxxxxxxxxx xxxxxxxxx x

5. x xxxxxxxx xxxxxx x xxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

§18

Xxxxxxxxxx komunikačních sítí

Povinná xxxxx xxx ochranu xxxxxxxxxxx komunikační xxxx, x xx včetně xxxxxx xxxxxxxx perimetru

a) xxxxxxx a dokumentuje xxxxxxxxxx komunikační xxxx, xxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxx, testovacího, xxxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx komunikační sítě,

c) xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxx,

x) zajistí xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxx x xxxxxxx x xxxxxxx x) xx x) xxxxx xxxxxxx xxxxxxxxxx, xxxxx je nezbytná xxx xxxxx zajištění xxxxxxxxxx xxxxxx,

x) xxxxxxx x xxxxxxx x xxxxxxx c) x x) xxxxxx xxxxxxx xxxxxxxxxx a opětovné xxxxxxx xxxxxxxx administrátorů x xxxxxxxxx xx xxxxxxxxx xxxx,

x) xxxxxxx xxxxxx aktuálně xxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §25 x xxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx x xxx,

x) xxxxxxx xxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxx komunikační xxxx, x

x) xxxxxxxxxxx topologii xxxxxxxxxxx xxxx a xxxxxxxxxxxxxx.

§19

Správa a xxxxxxxxx xxxxxxx

(1) Povinná xxxxx xxxxxxx xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx aktiv, xxxxx zajišťuje

a) xxxxxxx xxxxxxxx před zahájením xxxxxx aktivit,

b) řízení xxxxx xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxxx x xxxxxxxxxxxxxx, xxxxx by xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx,

x) xxxxxxxx ověření xxxxxxxx xx xxxxxxxxx době xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx údajů x xxx xxxxxx přístupu x

x) centralizovanou xxxxxx xxxxxxx x xxxxxxx xx vazby mezi xxxxxx.

(2) Povinná xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx aktiv

a) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx s xxxxxxx dvěma různými xxxx faktorů, xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx založen xx xxxxxxxx xxxxxx xxxxxxxxxxx autentizaci xxxxxxxx xx xxxxxx xxxxxx xxxxxx, x

x) do xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx a) xxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxx.

(3) Povinná osoba xx xxxx splnění xxxxxxxxx podle xxxxxxxx 2 xxxx. x) xxxx evidenci xxxxxxxxxxx xxxxx, xxxx x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx požadavky xxxxxxxxx, x xx xxxxxx xxxxxxxxxx.

(4) Xxxxxxx osoba xx xxxx splnění xxxxxxxxx xxxxx odstavce 2 xxxxxxx xxxxxxx xxxxxxxx xx autentizaci xxxxxx xxxxxxxxxxxxxx účtu x hesla, xxx xxxxx xxxxxxx xxxx xxxxxxxxx pravidlo

a) xxxxx xxxxx xxxxxxx

1. 12 xxxxx xxx xxxx xxxxxxxxx,

2. 17 xxxxx xxx xxxx xxxxxxxxxxxxxx,

3. 22 xxxxx xxx xxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxxxx xxxxx heslo x xxxxx alespoň 64 xxxxx,

x) xxxxxxxxxxx xxxxxxx xxxxxx a xxxxxxx xxxxxx, číslic x xxxxxxxxxxx xxxxx,

x) xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx změnu hesla, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx být xxxxxx xxx 30 xxxxx,

x) xxxxxxx xxxxx xxxxx x xxxxxxxxx alespoň xxxxxx za 18 xxxxxx x

x) xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx

1. xxxxxx xx jednoduchá x xxxxx xxxxxxxxx xxxxx,

2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se znaků, xxxxxxxxxxxxxx xxxxx, xxxxxx xxxxxxxxxxxx xxxxx, xxxxx xxxxxxx nebo xxxxxxxx xxxxxxxx x

3. xxxxxxxx xxxxxxx dříve xxxxxxxxxxx xxxxx x xxxxxx xxxxxxx 12 předchozích xxxxx.

(5) Povinná xxxxx x xxxxxxx x xxxxxxxxx 4 xxxxxxx

x) xxxxxxxxxxx vynucení změny xxxxxxxxx xxxxx xxxxxxxxx x administrátorů xx xxxxxx xxxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxx xxxxxxxxxxx aktiva,

c) xxxxxxxxx xxxxx xxxx xxxxxxxxxxx aktiva složeného x xxxxxxxxx xxxxxxx xxxxxx a velkých xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) bezodkladné xxxxxxxx xxxxx přístupového xxxxx v xxxxxxx xxxxxxxxx podezření xx xxxxxxxx xxxx důvěrnosti,

e) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxx k xxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx x

x) xxxxxxxxxxx zneplatnění xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxx x obnovení xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx uplynutí xxxxxxx 24 hodin xx xxxx xxxxxxxxx.

(6) Xxxxxxx osoba x xxxxxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxx xxx případ xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxx

x) xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx,

x) xxxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxx x malých x xxxxxxx xxxxxx, xxxxxx x speciálních xxxxx,

x) délku xxxxx xxxxxxxxx xxxxxxx z 22 xxxxx,

x) xxxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxx x účtem x xxxx heslem, xxx s xxxxx xxxxx a jeho xxxxxx mohou xxxxxxxxxxx xxxxx pověřené xxxxx, x xx x xxxxxxxx xxxxxxx případech,

f) xxxxx xxxxx xx xxxx xxxxxxx, xxx xxxxxxxx xxxxx xxxxxxxxxx xxxx, x případě xxxxxxxxx xxxxxxxxx xx xxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxx xxxxxx za 18 xxxxxx x

x) evidování xxxxxxxxxx x xxxxxx x xxxxxxxxxx s xxxxx xxxxx x xxxx xxxxxx.

§20

Řízení xxxxxxxxxxxx xxxx x xxxxxxxxx

Xxxxxxx xxxxx xxx řízení xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxx xxxxxxx,

x) který xx xxxxxxxxxxxxxx x xxxxxxx xx xxxxx xxxx xxxxxx,

x) xxxxxx xxxx xxxxx xxx xxxxxxx k xxxxxxxxxxx xxxxxxx x

x) kterým xxxx xxxxxxxxx xxx xxxxx x xxxxx xxxxxxxxx x dat x xxxxx oprávnění.

§21

Xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxxxx

x) xxxxxxx a xxxxxxxx xxxxxxxxxxx xxx x xxxxx komunikační xxxx x xxxx komunikačními xxxxxx,

x) ověření x xxxxxxxx xxxxxxxxxxx xxx xx síťovém perimetru xxxxxxxxxxx xxxx x

x) xxxxxxx blokování xxxxxxxxx xxxxxxxxxx v rámci xxxxxxxxxxx xxxx.

(2) Xxxxxxx xxxxx xxxxxxx x xxxxxxx xx vazby xxxx xxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxxxx relevantních xxxxxxxxxxx xxxxx zajišťuje

a) xxxxxxxxxxxx x automatickou ochranu xxxx xxxxxxxxx kódem,

b) xxxxxx x xxxxxxxxx xxxxxxxxx vyměnitelných xxxxxxxx x datových xxxxxx,

x) xxxxxx automatického xxxxxxxxx xxxxxx, xxxxxxx x xxxxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,

x) xxxxxx xxxxxxxxx xx xxxxxxxxx xxxx,

x) xxxxxx x xxxxxxxxx komunikace aplikací, xxxxxx služeb x xxxxxxx,

x) xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x

x) detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxxx chování xxxxxxxxxxx xxxxx, xxxxxxxxxxxxxx x xxxxxxxxx.

(3) Povinná xxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 x 2, x xx xxxxxx jeho nastavení x xxxxxxxxxx xxxxxxxx.

§22

Zaznamenávání událostí

(1) Xxxxxxx xxxxx na xxxxxxx xxxxxxxxx xxxxx x xxxxx bezpečnostních xxxxxx

x) xxxx technická aktiva, x kterých xx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx, x

x) xxxxxxxxxxx xxxxxx technických xxxxx xxxxx odstavce 1 xxxx. x) x xxxxxxxxxxxx xxxxxxxxxxx x xxx xxxxxxxxxx xxxxxxx.

(2) Xxxxxxx xxxxx zaznamenává xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx události

a) xxxxxxxxxx xxxxx §21,

x) x xxxxx xxxxxxxxxxx xxxx,

x) xx síťovém xxxxxxxxx x

x) technických aktiv xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).

(3) Xxxxxxx xxxxx v xxxxx xxxxxxxxxxxxx xxxxxxxx xxxxx odstavce 2 xxxxxxxxxxx

x) xxxxxxxxxxxx x xxxxxxxxxxx xx xxxx xxxxx, x to xxxxxx xxxxxxxxxxx pokusů,

b) xxxxxxxxx x xxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxx pokusy x manipulaci x xxxx, oprávněními x xxxxx,

x) xxxxxxxxxxx xxxxxxxx x důsledku nedostatku xxxxxxxxxxxx xxxx xxxx xxxxxxxxx,

x) xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxx x xxxxxxx hlášení xxxxxxxxxxx xxxxx,

x) přístupy x xxxxxxxxx xxxxxx o xxxxxxxx x xxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxx xxxxxx o xxxxxxxxxx xx xxxxxxx xxxxxxxx,

x) xxxxx a xxxxxxxxx xxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x

x) xxxxx činnosti xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxx.

(4) Xxxxxxx osoba x xxxxx xxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxxxxx xxxxxxxxxxx informace x události:

a) xxxxx x xxx xxxxxx xxxxxxxxxxx časového pásma,

b) xxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost zaznamenalo, x to i x xxxxxxx, xxx x xxxxxxxxxxx xxxx xxxxxxx xx změně xxxx síťové xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx byla xxxxxxx provedena, a xx i x xxxxxxx, xxx v xxxxxxxxxxx síti dochází xx xxxxx xxxx xxxxxx xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, x to i x případě, xxx x xxxxxxxxxxx xxxx xxxxxxx xx xxxxx xxxx síťové xxxxxxxxxxxx, x

x) xxxxxxxxx xxxx xxxxxxxxxxx činnosti.

(5) Xxxxxxx xxxxx dále s xxxxxxx xx události xxxxxxxxxxx podle xxxxxxxx 2

x) zajistí xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,

x) xxxxxxx x ohledem xx xxxxx mezi xxxxxx xxxxxxxxxxxxxx xxxxxxx xxx xxxx a xxxxxxxxxx záznamů těchto xxxxxxxx x

x) xxxxxxxx xxxxxxx těchto xxxxxxxx xxxxxxx po dobu 18 xxxxxx.

(6) Xxxxxxx xxxxx xxxxxxxxx nepřetržitou xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx.

§23

Vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx detekovaných xxxxx §21, xxxxx xxxxxxxxx

x) sběr, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx poskytování xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxx varování xxxxxxxxx xxxxxxxxxxxxxx rolí x xxxxxxx relevantních osob x

x) xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace kybernetických xxxxxxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx při xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxx 1 xxxxxxx

x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxx nežádoucího xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,

x) pravidelnou xxxxxxxxxxx xxxxxxxxx nástroje xxxxxx xxxx pravidel pro xxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

x) pravidelnou xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx včetně xxxxxxxx xxxxxxxx vybraných xxxxxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxx osob.

(3) Povinná xxxxx zajistí xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí pro xxxxxxxxx nastavení xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx služby.

§24

Aplikační bezpečnost

(1) Povinná xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxxxxxxx aktiva, xxxxx jsou jejich xxxxxxxx, xxxxxxxxxxx xxxx xxxxx osobou xxxxxxxxxxx x zajistí xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx tato xxxxxx.

(2) Xxxxxxx xxxxx xx doby plnění xxxxx odstavce 1 xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx zaručí obdobnou xxxx xxxxx úroveň xxxxxxxxxxx xxxxxx technických xxxxx, x eviduje xxxxxxxxx xxxxxx,

x) xxxxx xxx xxxxxx xxxxxxxx, xxxxxxxxxxx nebo jinou xxxxxx xxxxxxxxxxx a

b) xx která xxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx aktualizaci.

(3) Xxxxxxx xxxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx ochranu xxxxxxxx, xxxxxxxxx, xxxxxxxxx x přenášených identifikátorů xxxxxx před

a) xxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.

(4) Povinná xxxxx v xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx

x) xxxxxxx xxxxxxxxxx xxxxxxxxx zranitelností xxxxxxxxxxx xxxxx xxxxxxxxxx služby

1. x xxxxxxx x xxxxxx xxxxxxxxxxx xxxx x

2. xxxxxxx jednou xxxxx.

x) zohlední xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx v xxxxx xxxxxx xxxxx xxxxx §8 x xxxxxx xxxxxxxxxxxx xxxxxxxx na xxxxxxx zjištěných xxxxxxxx.

(5) Xxxxxxx osoba x xxxxx penetračního xxxxxxxxx

x) xxxxxxx penetrační xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx na xxxxxxxxx xxxxxx xxxxx x xxxxxxxxx rizik

1. x xxxxxxx x xxxxxx xxxxxxxxxxx sítě,

2. před xxxxxx xxxxxxxx xx xxxxxxx a

3. x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3,

x) xxxxxxxx xxxxxxxx penetračního xxxxxxxxx xxx xxxxxx xxxxx xxxxx §8 x xxxxxx bezpečnostní opatření xx xxxxxxx xxxxxxxxxx xxxxxxxx,

x) xxxxxxx v xxxxxxx x odstavcem 5 xxxx. x) xxxxx 1 pravidelně xxxxxxxxxx xxxxxxxxx, a xx alespoň jednou xx 2 xxxx,

x) x xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxx xxxxxxx xxxxxxxxxx testování x xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx v xxxxxxxx 5 xxxx. x), xxxx xxxxxxxx toto xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxx. X xxxxxxx xxxxxxx je xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx x xxxxxxxx 5 xxxx. a) xxxxxxxxxx do 5 xxx,

x) x xxxxxxxxxxxx xxxxx x xxxxxxx x odstavcem 5 xxxx. x) xxxxxxx xxxxxx provedení x xxxxxxxxx xxxxxxx osoby xxxxxxxxxxx xxxx penetrační xxxxxxxxx.

(6) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

§25

Xxxxxxxxxxxxxx xxxxxxxxx

(1) Xxxxxxx xxxxx xxx zajištění xxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx

x) xxxxxxx pouze xxxxxxxx xxxxxx kryptografické xxxxxxxxx,

x) xxxxxxxxx xxxxxxxx xxxxxxxxx x kryptografickými xxxxxxxxx x

x) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx x xxxxxxx kryptografických algoritmů xxxxxx Národním xxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx bezpečnost.

(2) Povinná xxxxx xxxxxxxxx xxxxxxxxx

x) xxxxxxxx, audiovizuální x xxxxxxxx xxxxxxxxxx, x xx xxxxxx x-xxxxxxx xxxxxxxxxx, a

b) xxxxxxxx xxxxxxxxxx x rámci xxxxxxxxxx.

(3) Xxxxxxx osoba x případě xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxx používá

a) xxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxx a xxxxxxxxxxx x

x) xxxxxxx xxx správu kryptografických xxxxx x xxxxxxxxxxx, xxxxx

1. xxxxxxx generování, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x řádnou xxxxxxxxx xxxxxxxxxxxxxxxx klíčů,

2. xxxxxx kontrolu x xxxxx a

3. xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.

§26

Zajišťování xxxxxxxxxxx xxxxxxxxxx xxxxxx

(1) Xxxxxxx xxxxx xxxxxx bezpečnostní opatření xxx xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx

x) xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxx xxxxxxxxxxx podle §15,

b) xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxxx a xxxxxxxxxxxxxx, xxxxx by xxxxx snížit její xxxxxxxxxx x

x) redundanci xxxxx xxxxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx.

(2) Xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby x xxxxxxx x xxxxxxxxx 1 xxxxxxx pravidelné xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxx x dat xxxxxxxxxx xxxxxxx pro xxxxx obnovy xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(3) Xxxxxxx osoba x xxxxx vytvářených xxxxx xxxxxxxx 2 xxxxxxx

x) xxxxxxxxxx testování jejich xxxxxxxxx, dostupnosti x xxxxxxxxxxxxxx,

x) dokumentování xxxxxxxx xxxxx provedených xxxxx xxxxxxxx 3 xxxx. x),

x) xxxxxxx xxxxxxxxxx xxxxx x xxx x xxxx xxxxxxxxxx xxxx narušením xxxxxx xxxxxxxxx a xxxxxxxxxx, x xx xxxxxxx xxxxxxxxxx xxxxxx xxxxx x souladu s §25, a

d) ochranu xxxxxxxxxx xxxxx a xxx x xxxx xxxxxxxxxx před xxxxxxxxx xxxxxx dostupnosti.

(4) Xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx xxxxxxx xxxxxxxxx správu xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx aktiv s xxxxxxx na xxxxxxxxx xxxxxx xxxxx x xxxxxxxxx xxxxx.

(5) Povinná xxxxx xx účelem xxxxxxx šíření kybernetického xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxx dopadu xxxxxxxx xxxxxxxxxx xxxxxxxxx xx jiných xxxxxxxxx xxxxx §18 písm. x).

§27

Zabezpečení průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx

Xxxxxxx xxxxx xxxxxx požadavků uvedených x §3 xx 26 xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxx využívá nástroje x xxxxxx xxxxxxxxxxxx xxxxxxxx, která zajistí

a) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx, řídicím x obdobným specifickým xxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxx x přístupu x průmyslovým, xxxxxxx x obdobným xxxxxxxxxxx xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxx x xxxxxxxx komunikačních xxxx průmyslových, xxxxxxxx x xxxxxxxxx specifických xxxxxxxxxxx xxxxx od xxxxxx xxxxxxxxx a xxxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxxxx §18,

d) xxxxxxx xxxxxxxxxx přístupů x xxxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxx omezení komunikace xxxx xxxxxxxxxxx xxx xxxxxxx osoby,

e) xxxxxxx xxxxxxxxxxxx průmyslových, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxxxxxx xxxxx před xxxxxxxx xxxxxxx zranitelností x xxxxxx a

f) xxxxxxxxxx x obnovu xxxxxxxxxxxx, řídicích x xxxxxxxxx xxxxxxxxxxxx technických xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby.

ČÁST XXXXX

XXXXXXXXX XXXXXXXXXX

§28

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx xxxxx, xxxxx xxxx xx xxx xxxxxxxxxxxxxxx xxx nabytí xxxxxxxxx xxxx vyhlášky xxxxxxx xxxx xxxxxx xxxxx §3 zákona x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx, xx znění xxxxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxx xxxxxxxxxx v xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx č. 82/2018 Sb., xxxxxxxx o kybernetické xxxxxxxxxxx, xx xxxxx xxxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, a která xx dni xxxxxx xxxxxxxxx této vyhlášky xxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx jedné xxxxxxxxxx xxxxxx, zavádí x xxxxxxx v xxxxxxx xxxxxxxxxx xxxxxxx č. 264/2025 Sb., x kybernetické xxxxxxxxxxx xx doby xxxxxxxx lhůt pro xxxxxxxx plnění xxxxxxxxxx xxxxx xxxxxx č. 264/2025 Sb., x xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx opatření xxxxx xxxxxxxx č. 82/2018 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti), xx xxxxx xxxxxxx přede xxxx xxxxxx účinnosti xxxx xxxxxxxx.

XXXX ČTVRTÁ

ÚČINNOST

§29

Účinnost

Tato vyhláška xxxxxx účinnosti xxxx 1. listopadu 2025.
&xxxx;

Xxxxxxx:

Xxx. Xxxxx x. r.

Příloha x. 1

Hodnocení xxxxx

(1) Povinná osoba xxx hodnocení xxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x tabulkách x. 1, 2 x 3 x xxxxxxxx xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací x jednotlivých aktiv.

(2) Xxxxxxx xxxxx xxxx xxxxxxxxx xxxxxx xxxxx xx xxxxxxxx xxxxxxxxxxx xxxx bezpečnostním xxxxxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx odlišný počet xxxxxx xxx hodnocení xxxxx, než jaký xx xxxxxx x xxxx xxxxxxx, dodrží-li xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx aktiv, xxxxx xxxx uvedeny x xxxx příloze.

(3) X xxxxxxxxxx xxxxx xx zároveň xxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x xxxxxxx x. 4 - Xxxxxxx hodnocení xxxxxxxxxx xxxxx.

(4) Při xxxxxxxxx xxxxxxxxxx aktiv je xxxxx zohlednit xxxxxxx xxxxx xxxx xxxxxxxxxx x primárními xxxxxx.

Xxx. x. 1: Stupnice xxx xxxxxxxxx xxxxxxxxxx

Xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x dat xxx xxxxx jejich xxxxxxx xxx xxxxxx aktuální xxxxx xxxxxxxxxxxxx standardu xxx. Xxxxxxx Xxxxx Xxxxxxxx (XXX)³⁾.

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxx xxxx xxxxxxx přístupná nebo xxxx určena ke xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx.	Xxxx xxxxxxxxxx xxxxx xxxxxxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx, může xxx xxxx xxxxxxxxx xxxx xxxxxxxxxxx x xxxxxx bez xxxxxxx. Xxxxxxxx xxxxxxx na xxxxxxx práva xxxxxxxxx xxxxxxxxxxx xxxxxxx x/xxxx xxxxxxxx xx xxxxxxx xxxxx nejsou xxxxx xxxxxxxxxxx xxxxxxx. Likvidace/mazání xx xxxxxx Xxxxx - xxx příloha č. 2.
Xxxxxxx	Xxxxxx xxxxxx veřejně xxxxxxxxx, xxxxxxx xxxxx není xxxxxxxxxx žádným xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx.	Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. X xxxxxxx sdílení xxxxxx xxxxxxxxx, xxxx xxx tato xxxxxxxxx xxxxxxx x xxxxx xxxxxxxxxx příjemce x xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxx subjekty xxxxxxxx, xxxxx nikoli xxxxx xxxxxxx dostupné xxxxxx; xxxxxxxx musí xxx předání xxxxxxxx xxxxxxxxx xxxxxxxxxx. Xxxxxxxxx/xxxxxx xx úrovni Střední - xxx příloha č. 2.
Xxxxxx	Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx právními xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními ujednáními (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx xxxxx).	Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx, může xxx xxxx informace xxxxxxx x xxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxx xxxx xxxxx x rámci xxxxxxxxxx xxxxxxxx, a xx xxxxx xxxxxx, xxxxx xxxxxxx xxxxxx xxxx-xx-xxxx. Likvidace/mazání xx xxxxxx Xxxxxx- xxx příloha č. 2.
Xxxxxxxx	Xxxxxx nejsou veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx xxxxxxxx xxxxxxxxx, zvláštní xxxxxxxxx xxxxxxxx údajů).	Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx ochrany xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx chráněny xxxxxx kryptografických xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx, xxxxxx xxx xxxx xxxxxxxxx xxxxxxxxxx xxxx xxxxx xxx té, které xxxx informace určena, xxxxxxx-xx výslovně xxxxxxxxx xxxxx osoby, xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxx. X případě, xx xxxxxxxx xxxxxxxx xx xxxxxxxx informaci xxxxxxxxxx xxxxxx xxxxxxxxx, xxx xxx xxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxx. Xxxxxxxxx/xxxxxx xx xxxxxx Xxxxxxxx - xxx příloha č. 2.

Xxx. x. 2: Stupnice xxx xxxxxxxxx xxxxxxxxx

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxxx xxxxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx.	Xxxx xxxxxxxxxx xxxxx ochrana.
Střední	Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx oprávněných xxxxx xxxxxxx xxxxx x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx.	Xxx xxxxxxx integrity jsou xxxxxxxxx xxxxxxxxxx xxxxxxxxxx.
Xxxxxx	Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Narušení xxxxxxxxx aktiva vede x poškození xxxxxxxxxxx xxxxx povinné osoby x xxxxxxxxxxx dopady xx xxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxxxxxx historii provedených xxxx x xxxxxxxx xxxx provádějících xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxxxxxxx sítěmi xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
Xxxxxxxx	Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxx k velmi xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx povinné osoby x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální prostředky xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx xxxxx.

Xxx. x. 3: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxxxx v xxxxxxx xxxxxxx x xxxxxxxxxx týdnů, je xxxxx xxxxxxxxxx x xxxx xxxxx xxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxxxxx regulovanou xxxxxx.	Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx pravidelné zálohování. Xxxxxxxxx xxxxxxxxxx xxxxxx xxxxx nemusí být xxxxxxx.
Xxxxxxx	Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx například xxxxxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx ohrožení xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxx.	Xxx ochranu dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. Je xxxxxx xxxxxxxx redundanci xxx xxxx aktiva.
Vysoká	Narušení dostupnosti xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx.	Xxx xxxxxxx xxxxxxxxxxx xxxx využívány záložní xxxxxxx x xxxxxx xxxxxxxxxxx služeb xxxx xxx xxxxxxxxx zásahy xxxxxxx nebo xxxxxxx xxxxxxxxxxx aktiv. Je xxxxxx xxxxxxxx redundanci xxx xxxx xxxxxx, xxxxx xx xxxxx xxx xxxxxxxx alespoň xxxx. x režimu xxx. Xxxxxx-Xxxxxxx.
Xxxxxxxx	Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (v xxxx xxxxxxxx minut) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx za xxxxxxxx.	Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x obnova xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. Xx xxxxxxxx zajistit xxxxxxxxxx xxx tato xxxxxx, xxxxx by xxxxx xxx xxxxxxxx např. x režimu xxx. Xxxxxx-Xxxxxx (xxxxxx vysoké xxxxxxxxxxx).

Xxx. x. 4 Xxxxxxx hodnocení xxxxxxxxxx xxxxx

Xxx xxxxxxxxx primárních xxxxx je xxxxxxx xxxxxxxx alespoň xxxxxxxxxx x následujících oblastí

Oblasti	Příklady
a) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx	Xxxx xxxxxxxx údajů fyzické xxxxx.
x) xxxxxx dotčených xxxxxxxx povinností nebo xxxxxx xxxxxxx nebo xxxxxxxxxx xxxxxxxxx	Xxxxxxxx povinnosti xxxxxxxxxxx dokumenty xx xxxxxxxxxxxx xxxxxx xxxxx, xxxxx xxxx xxx xxxxxxxxxxx xxxxxxxx vzdáleným xxxxxxxxx. Xxxxxxxx xxxxxxx x x xx plynoucí xxxxxx. Xxxx obchodního xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx a x xxxx xxxxxxxx xxxxxx.
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x kontrolních xxxxxxxx	Xxxxxxxxx nebo modifikace xxxxxxxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx a xxxxxxxxx xxxxxxx.
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx nebo xxxxxxxxxxxx zájmů x xxxxx xxxxxxxx xxxxxx	Xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx základě nedostupnosti xxxxxxxxxxxx systému. Nedostupnost xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a x xxxx xxxxxxxx ušlý xxxx. Xxxxxxxxx nedostupnost xxxxxxxxxxxxx xxxxxxx, xxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx x důležitých xxxxxxxxxxxxx (xxxxxxx, ekologické xxxxxxxxxx xxx.).
x) xxxxxx na xxxxxxxxxxx důležitých služeb	Narušení xxxxx informací x xxxxxx xxxxxxxxxx směrem x regulované službě x hlavnímu cíli (xxxxx xxxxxxxxx) xxxxxxxxxx.
x) xxxxxx narušení xxxxxxx xxxxxxxx	Xxxxxxxx xxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxx, xxxxxx xxxxx x xxxxxxxxx, neschopnost xxxxxxxx datové xxxxxx xxxx.
x) xxxxxx xx xxxxxxxxx xxxxxxx jména xxxx ochranu dobré xxxxxxx	Xxxxxxxxxx závazků. Xxxx xxxxxxxxx xxxxxxxxx.
x) dopady xx xxxxxxxxxx x xxxxxx osob	Neschopnost xxxxxxxx xxxxxxxx příjem, xxxxxxxxx, xxxxxxx xx zdravotní xxxx, xxxxxxx xxxx. Xxxxxxx xxxxxxx x ztrát xx xxxxxxxx.
x) dopady xx xxxxxxxxxxx vztahy	Únik xxxxxxxxx od zahraničních xxxxxxxx. Xxxx xxxxxxxxx xx xxxxxxxx, xxxxx xx xxxxxxxx mezinárodního koncernu.
j) xxxxxx xx uživatele xxxxxxxxxx xxxxxx	Xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx její xxxxxxxxxxxxx.

Příloha č. 2

Xxxxxxxxx xxxxxxxxx a xxx

(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxx x definování xxxxxxx xxxxxxxxx xxxxxxxxx x xxx, jejich xxxxx x xxxxxxxxxxx xxxxx, xxxxx xxxx nosiči xxxxxxxxx a xxx, x xxxxxxx xx xxxxxx hodnocení x xxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx.

(2) Xxxxxxx xxxxx stanoví xxxxxxxx x xxxxxxx xxx způsoby xxxxxxxxx xxxxxxxxx a xxx, xxxxxx xxxxx x xxxxxxxxxxx aktiv, která xxxx nosiči xxxxxxxxx x xxx, x xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxx právních xxxxxxxx.

(3) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx x dat, jejich xxxxx x xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxxxxxxx a xxx, musí xxx xxxxxxxxx xxxxxxxxx podle xxxxxxxxx x xxxxxx xxxxx x xxxx xx xxxxxxx zohledňovat

a) xxxxxxx xxxxxx (zejména x xxxxxxx xxxxxxxxxx),

x) xxxxxxxxxxx (typy xxxxxx xxxxxxxxx a xxx),

x) xxx xx nosiče xxxxxxxxx x xxx xxxxxxx xxx xxxxxx xxxxxxxxx povinné xxxxx xx xxxxxxx,

x) zda xxxx xxxxxx xxxxxxxxx x dat xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx,

x) jaká osoba xxxx likvidaci xxxxxxxxx x xxx provádět (xxxxxxxxx interní xxxxxxxxxxx xxxx xxxxxxxxx),

x) dostupnost xxxxxx xxxxxxxxxx pro xxxxxxxxx (xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxx, technické),

g) xxxxx xxxxxxx xxxxxxxxx xxxxxxxxx x dat xxxx xxxxxx xxxxxx x

x) stavu xxxxxx xxxxxxxxx x dat (xxxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx možné xxxxxx variantu přepisu xxxxxxxxx a xxx, xxx xxxxxxx xx xxxxxxx xxxxxxx likvidace).

(4) Xxxxxxx xxxxxxxxx xxxxxxxxx x xxx, xxxxxx xxxxx x xxxxxxxxxxx xxxxx, xxxxx jsou xxxxxx informací a xxx:

x) Odstranění

1. Xxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxx tak, xxx xxxx xxxxxxxxxx (xxxxxxxxx odstranění xxxxxxxx xxxxxxx, vyhození xxxxxx xx odpadu).

2. X xxxxxxx získání xxxxxx xxxxxxxxx x dat xx možné s xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx a xxxx xxxxxxx.

3. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxx xxxxxxxxx x xxx xxxxxxxxxxxx xxxxxxxx xxxxx.

4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1 x xxxx xxxxxxxx): Nízká.

b) Přepsání

1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxx xxxxxxxxx xxxxxxxxx.

2. Xxxxx xxxxxxxx nástroje neumožňují xxxxxxxx xx násobném xxxxxxxx xxxxxxxxx x xxx.

3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx x bezpečnou xxxxxxxxx kryptografických xxxxx x xxxxxxxxxxxx xxxxxxxxxx x datům.

4. Xxxx xxxxxx xxxx vhodná xxx xxxxxxxxx xxxxxx, xxxxxx xxxxxxxxxxxx opětovný xxxxx, xxxxxxxx pro xxxxxx s xxxxxx xxxxxxxxx xxxxxxxxx.

5. Použitelný xxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1 x xxxx xxxxxxxx): Xxxxx xx Vysoká.

c) Xxxxxxx xxxxxxxxx

1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx x xxx, xxxxxxxxx x xxxxxxxxx nosiče x xxxxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xx. xxxxxxxxx).

2. Xxxxx xxxxxxxxx x xxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx. Xxxxxxxxx a xxxx xxxx xxxxx x tohoto xxxxxx xxxxxxx xxx při xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx a úsilí.

3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1 x xxxx xxxxxxxx): xxxxx až xxxxxxxx.

Xxxxxxx x. 3

Zranitelnosti x hrozby

Tato příloha xxxxxxxx kategorie zranitelností x xxxxxx, xxxxx xxxx xxxxxxx xxxxx xxxxxx při určování xxxxx, xxxxx xxxx xxx xxxx xxxxxxx xxxxxxxxxx. Xxxxxxx xxxxx xxx xxxxx níže xxxxxxxxx kategorií zranitelností x xxxxxx xxxx xxxxx konkrétní xxxxxx x xxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxx.

Xxxxxxxxxxxxx

1. Xxxxxxxxxxxx xxxxxx xxxxx,

2. xxxxxxxxxxx xxxxx,

3. nedostatečná xxxxxxx xxxxxxxxx,

4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

5. xxxxxxxxxxxx xxxxxxxxxx,

6. xxxxxxxx xxxxxxxxx přístupových xxxxxxxxx,

7. xxxxxxxxxxxx xxxxxxx a xxxxxxx xxx detekování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti uživatelů x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx činnost, xxxxx xxxx xxx xxxx na xxxxxxxxxx xxxxxxxxxx služby,

9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx pravidel x postupů, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x povinností xxxxxxxxx, administrátorů, osob xxxxxxxxxxxxx xxxxxxxxxxxx role, xxxxxxxxxx x vrcholného xxxxxx,

10. xxxxxxxxxxxx xxxxxxx xxxxx,

11. xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx,

12. xxxxxxxxxxxx xxxx xxxxxxxxx kontroly,

13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxx x vrcholného xxxxxx,

14. nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx,

15. xxxxxxxx xxxxxx xxxx fyzickou xxxxxxxx (například xx xxxxx xxxxxx státu),

16. xxxxxxxx xxxxxx xx xxxxx státu, x xxxxx právním xxxxxxxxx xxxx xxxxxxx xxxxx xxxxxxxxxx povědomí, x

17. xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx zranitelností a xxxxxxxxxxx xxxxxxxxx.

Xxxxxx

1. Porušení xxxxxxxxxxxx politiky, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní xxxx, xxxxxxxxxx a xxxxxxxxxx xxxxxx,

2. poškození xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx vybavení,

3. zneužití xxxxxxxx,

4. užívání xxxxxxxxxxxx xxxxxxxx v xxxxxxx x xxxxxxxxxx podmínkami,

5. xxxxxxxx xxx,

6. narušení xxxxxxx xxxxxxxxxxx,

7. xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, družicových služeb xxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,

8. narušení xxxxxxxxxxx xxxxxxxxxx nebo xxxxxxxxxx xxxxx xxxxxxxxxx xxxx xxxxx Xxxxx xxxxxxxxx,

9. zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx,

10. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,

11. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,

12. xxxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role, xxxxxxxxxx x vrcholného xxxxxx,

13. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,

14. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx služeb elektronických xxxxxxxxxx, družicových služeb, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,

15. xxxxxxxxxxx x xxxxxxxxxxxxx odbornou xxxxxx xxxxxxxx,

16. cílený kybernetický xxxx pomocí sociálního xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx,

17. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,

18. xxxxxxxx (odposlech, xxxxxxxxxx, xxxxxxxxx) xxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,

19. xxxxxxxxx xx xxxxxxxxxx,

20. xxxxxxxx xxxx xxxxxx xxxx xxx xxxxxxx x xxxxxxx,

21. zpřístupnění xxxx předání xxxxx xx xxxxxxx xxxxxxx xxxxxx státu.

Xxxxxxx x. 4

Xxxxxxxxx xxxxx

(1) Xxxxxxxxxxx stanovení xxxxxx pro určení xxxxxx xx xxxxxxxxx xxxxxxxx metodiky pro xxxxxxxxx rizik xxxxx §8.

(2) Hodnota xxxxxx xx nejčastěji xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxxxx xxxxxx, xxxxxx a zranitelnost.

(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxx: Xxxxxx = hodnota xxxxxx x xxxxxx x xxxxxxxxxxxx, xxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxx.

(4) Xxxxxxx aktiva xx v xxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxx podle přílohy č. 1 x xxxx xxxxxxxx.

(5) X xxxxxxx, xx xxxxxxx osoba xxxxxxx xx základě §8 odst. 3 xxxxxx xxx xxxxxxxxx xxxxx, která nerozlišuje xxxxxxxxx hrozby a xxxxxxxxxxxxx, xx možné xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxxxx vytvořit xxxxxxx kombinující xxxxxx x xxxxxxxxxxxx. Xxxxxxxx xxxxxxx by xxxxxx xxxx ke xxxxxx xxxxxxxxxx rozlišení xxxxxx xxxxxx a xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx jak úroveň xxxxxx, tak i xxxxxx xxxxxxxxxxxxx. Obdobně xx xxxxxxxxx x x případech, xxx xxxxxxx xxxxx používá xxxx xxxxx xxxxxx xxx hodnoty aktiv, xxxxxx, xxxxxxxxxxxxx x xxxxx.

Xxx. x. 1: Xxxxxxxx pro hodnocení xxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xxxxxxxxxx xxxx xx xxxx pravděpodobná. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx než xxxxxx za 5 xxx.
Xxxxxxx	Xxxxxx xx málo xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxx xx 5 let.
Vysoká	Hrozba xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx xx x rozpětí xx 1 měsíce xx 1 xxxx.
Xxxxxxxx	Xxxxxx xx xxxxx pravděpodobná až xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx xxxxx.

Xxx. č. 2: Xxxxxxxx xxx xxxxxxxxx zranitelností

Úroveň	Popis
Nízká	Zranitelnost xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxx včas xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxx xxxxxxxx.
Xxxxxxx	Xxxxxxxx xxxxxxxxxxxxx xx málo pravděpodobné xx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx je omezena. Nejsou xxxxx žádné úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxx	Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Bezpečnostní xxxxxxxx xxxx zavedena, xxx xxxxxx účinnost xxxxxxxxx všechny potřebné xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx dílčí xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxxxx	Xxxxxxxx zranitelnosti xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx nejsou xxxxxxxxxxx xxxx xx xxxxxx xxxxxxxx značně xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxx. x. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xx považováno xx xxxxxxxxxxxxxx.
Xxxxxxx	Xxxxxx xxxx xxx sníženo méně xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx bezpečnostních xxxxxxxx je xxxxxx xxxxxxxxxxxxxx.
Xxxxxx	Xxxxxx xx dlouhodobě xxxxxxxxxxx x musí xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx.
Xxxxxxxx	Xxxxxx xx xxxxxxxxxxx x xxxx být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx.

(6) Xxxxx xx hodnota xxxxxx vyšší xxx xxxxxxx akceptovatelnosti, xx xxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxx xxxxxx nebo xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací Metody xxx zvládání rizik xxxx xxxxxxx xxxxxxxxxxx

x) xxxxxxxxx xxxxxx,

x) redukce xxxxxx,

x) xxxxxxxxx rizika,

d) xxxxxxx se riziku, xxxx

x) xxxxxxxxx xxxx xxxxxxx xxxxxx.

Xxxxxxx x. 5

Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxx

Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxx relevantní xxxxxxxxxx x xxxx xxxxxxxxx:

x) xxxxxxxxxx x xxxxxxxxxxx informací x xxxxxxx xxxxxxxxxx (xxxxxx xxxxxxxxxx o xxxxxxxxxxxx), xxxxxxxxx x dostupnosti,

b) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,

x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx licencích,

d) xxxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření (xxxxxxxx xxxxxxxxxxxx auditu),

e) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, že subdodavatelé xx zaváží dodržovat x plném xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x dodavatelem x xxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,

x) ustanovení x xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx dodavatele (xxxx xxxxxxxxxxxx pro xxxxxxxxxxxx xxxxx relevantních xxxxx xxxxxxxxxxxxxx xxxxxxx) povinnou xxxxxx,

x) xxxxxxxxxx o xxxxxx xxxx,

x) xxxxxxxxxx x xxxxxxx smluv x obecně xxxxxxxxx xxxxxxxx xxxxxxxx,

x) ustanovení x povinnosti xxxxxxxxxx xxxxxxxxxx povinnou osobu x

1. kybernetických bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,

2. způsobu xxxxxx rizik xx xxxxxx xxxxxxxxxx x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,

3. významné změně xxxxxxxx xxxxxx dodavatele xxxxx zákona x xxxxxxxxxx korporacích xxxx xxxxx xxxxxxxxxxx zásadních xxxxx, popřípadě xxxxx xxxxxxxxx nakládat x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx dodavatelem x xxxxxx xxxxx smlouvy x povinnou osobou,

4. xxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx xxx zpracovávaných xx xxxxx xxxxxx xxxxx, xxxxx xxxxxxx, xxx xx xxxxxx xxxxxxxxxxx xxxx v xxxxxxx x právním xxxxx, x jehož xxxxxxxxxx xxxxxxx xx xxxxxxxxxx dat xxxx xxxxx xxxxxxx xxxx xxxxxx xxxxxx,

5. fyzických xxxxxxx xxxxxxxxxxxxxx do xxxxxxxx x xxxxxxxxx xxxxxxxxxxx povinné osoby (xxxxx xx například x xxxxx xxxxxxxxxxx xxxxxxxxxxxx role, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxxxx),

x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx smlouvy, xxx. xxxx strategie (například xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx třeba ještě xxxxxxxx službu xxxx xxxxxxxxx nového řešení, xxxxxxx xxx x xxxxxxx),

x) xxxxxxxxxxx xxxxxxxx xxx řízení xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxx xxxxxx, plánů xxxxxxxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx apod.),

l) specifikace xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx (XXX) x xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx.

x) ustanovení o xxxxxxxxxx pravidel xxxxxxxxxx xxxxxx,

x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx a informací xx vyžádání povinnou xxxxxx,

x) xxxxxxxx pro xxxxxxxxx xxx,

x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx smlouvu xxxxxxxxx xxx výpovědní xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx nad xxxxxxxxxxx xxxx změny xxxxxxxx nad xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x plnění xxxxx xxxxxxx,

x) ustanovení o xxxxxxxx xx xxxxxxxx xxxxxxxxxx a

r) ustanovení x zpřístupnění nebo xxxxxxx xxx xx xxxxxxx xxxxxxx cizozemského xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx xxx xxxxxxxxxxxxxx xx xxxxx xxxxxx státu

1. až xx provedení přezkoumání xxxxxxxxxx žádosti,

2. xx xx xxxxxxxxxx xxxxx x xxxxxxxxx zpřístupnění xxxx xxxxxxx xxx x rámci xxxxxxxx xxxxxx xxxxxxx xxxxx, x jehož působnosti xxxxxxx ke zpracování xxx xxxx podle xxxxxxx byla xxxxxx xxxxxx,

3. xxxxx x xxxxxxxxx xxxxxxx.

Příloha x. 6

Xxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx

x) Xxxxxxxx xxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx, xxxxxxxxxx xxxxxxx a xxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxx xxxxxxxxx xxxxxxxx x aplikací.

e) Xxxxxxxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxx x zakázání xxxxxxxxx xxxxx.

x) Rizika spustitelných xxxxxxx.

x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxx.

x) Xxxxxxxxx, xxxxxx x xxxxxx xxxxx.

x) Vícefaktorová autentizace.

k) Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx.

x) Xx-xxxx xxxxxxxx, xxxxxxxxx xxxxx x xxxx xxxxxxxxxxxx.

x) Xxxxxx xxxxx x počítačové xxxx.

x) Xxxxxxxxx xxxxxxxxxx xxxxxxxxx (XXX).

x) Bezpečná elektronická xxxxxxxxxx.

x) Xxxxxxxxxx webových xxxxxxx.

x) Xxxxxxxxxx, xxxxxxxx x šifrování xxx.

x) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx dat.

s) Xxxxxxxxx xxxxxx xxxxx xxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx pro oznamování xxxxxxxxxxx chování technických xxxxx a podezření xx jakékoliv xxxxxxxxxxxxx.

x) Xxxxxxxx xxxxxx xxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx zařízení xxx xxxxxxxx xxxxx.

x) Xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxx pracovní xxxxx (xxx. BYOD).

x) Xxxxxx odpovědnost xxxxxxxxxxx xxx dodržování zásad xxxxxxxxxxxx xxxxxxxxxxx.

x) Aktuální xxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxxx

Xxxxxx předpis x. 409/2025 Xx. xxxxx xxxxxxxxx dnem 1.11.2025.

Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.

Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx změna xxxxx uvedeného xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2022/2555 ze xxx 14. prosince 2022 x xxxxxxxxxx x zajištění xxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx v Xxxx x o xxxxx xxxxxxxx (EU) x. 910/2014 a směrnice (XX) 2018/1972 x x xxxxxxx xxxxxxxx (XX) 2016/1148 (směrnice XXX 2).

2) Xxxxx č. 134/2016 Sb., x zadávání xxxxxxxxx xxxxxxx, xx xxxxx xxxxxxxxxx předpisů.

3) Xxxxx překlad xxxxxxxxxxxxx standardu xxx. Xxxxxxx Light Protocolu xxxxxxxx Národní xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx na xxxxx xxxxxxxxxxxxx xxxxxxxxx.

Plné znění - 409/2025 Sb.

Na co čekáte? Nečekejte už ani minutu. Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

ČÁST XXXXX

XXXXXX XXXXXXXXXX

Xxxxxxx xxxxxx xxxxxx

Vymezení xxxxx

XXXX DRUHÁ

BEZPEČNOSTNÍ XXXXXXXX

XXXXX X

Xxxxxxxxxxx xxxxxxxx

Xxxxxx xxxxxx xxxxxxxxxxx informací

Xxxxxxxxx xx xxxxxxxx xxxxxx

Xxxxxxxxx xxxxxxxxxxxxxx rolí

Xxxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní dokumentace

Řízení xxxxx

Xxxxxx rizik

Xxxxxx xxxxxxxxxx

Bezpečnost xxxxxxxx xxxxxx

Řízení xxxx

Akvizice, xxxxx a xxxxxx

Řízení xxxxxxxx

Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x incidentů

Řízení xxxxxxxxxx xxxxxxxx

Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

XXXXX II

Technická opatření

Fyzická xxxxxxxxxx

Xxxxxxxxxx komunikačních sítí

Správa a xxxxxxxxx xxxxxxx

Řízení xxxxxxxxxxxx xxxx x xxxxxxxxx

Xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx

Zaznamenávání událostí

Vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Aplikační bezpečnost

Xxxxxxxxxxxxxx xxxxxxxxx

Zajišťování xxxxxxxxxxx xxxxxxxxxx xxxxxx

Zabezpečení průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx

ČÁST XXXXX

XXXXXXXXX XXXXXXXXXX

Xxxxxxxxx xxxxxxxxxx

XXXX ČTVRTÁ

ÚČINNOST

Účinnost

Příloha x. 1

Hodnocení xxxxx

Příloha č. 2

Xxxxxxxxx xxxxxxxxx a xxx

Xxxxxxx x. 3

Xxxxxxx x. 4

Xxxxxxxxx xxxxx

Xxxxxxx x. 5

Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxx

Příloha x. 6

Xxxxxxxxx

Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.