EPIS® Právní systém | Plné znění

Právní předpis byl sestaven k datu 01.11.2025.

Zobrazené znění právního předpisu je účinné od 01.11.2025.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět právní úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - Organizační opatření

Systém řízení bezpečnosti informací §3

Požadavky na vrcholné vedení §4

Stanovení bezpečnostních rolí §5

Řízení bezpečnostní politiky a bezpečnostní dokumentace §6

Řízení aktiv §7

Řízení rizik §8

Řízení dodavatelů §9

Bezpečnost lidských zdrojů §10

Řízení změn §11

Akvizice, vývoj a údržba §12

Řízení přístupu §13

Zvládání kybernetických bezpečnostních událostí a incidentů §14

Řízení kontinuity činností §15

Provádění auditu kybernetické bezpečnosti §16

HLAVA II - Technická opatření

Fyzická bezpečnost §17

Bezpečnost komunikačních sítí §18

Správa a ověřování identit §19

Řízení přístupových práv a oprávnění §20

Detekce kybernetických bezpečnostních událostí §21

Zaznamenávání událostí §22

Vyhodnocování kybernetických bezpečnostních událostí §23

Aplikační bezpečnost §24

Kryptografické algoritmy §25

Zajišťování dostupnosti regulované služby §26

Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv §27

ČÁST TŘETÍ - ZÁVĚREČNÁ USTANOVENÍ

Přechodné ustanovení §28

ČÁST ČTVRTÁ - ÚČINNOST

Účinnost §29

Příloha č. 1 - Hodnocení aktiv

Příloha č. 2 - Likvidace informací a dat

Příloha č. 3 - Zranitelnosti a hrozby

Příloha č. 4 - Hodnocení rizik

Příloha č. 5 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy

Příloha č. 6 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

409

VYHLÁŠKA

ze xxx 26. xxxx 2025

o xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx regulované xxxxxx x xxxxxx xxxxxxx xxxxxxxxxx
&xxxx;

Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §13 xxxx. 3 xxxxxx x. 264/2025 Xx., o xxxxxxxxxxxx xxxxxxxxxxx, (xxxx xxx „xxxxx“):

ČÁST PRVNÍ

ÚVODNÍ XXXXXXXXXX

§1

Xxxxxxx xxxxxx xxxxxx

Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx¹⁾ x xxx poskytovatele regulované xxxxxx x xxxxxx xxxxxxx xxxxxxxxxx (dále xxx „xxxxxxx xxxxx“) xxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx.

§2

Vymezení xxxxx

Xxx xxxxx xxxx vyhlášky xx xxxxxx

x) xxxxxxxxxx xxxxxxx xxxx právnická xxxxx xxxxx xxxxx xxxxxxx xxxx, který xxxxxxx xxxxxx,

x) xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx, xxxxx xxxxxxx xx technickém aktivu xxxx mít xxxxxxxx xxxxx xx bezpečnost xxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx xxxx osoba xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx aktiva,

d) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx způsob xxxxxxxxx xxxxxxx aktiv,

e) hodnocením xxxxx xxxxxx xxxxxxxx, xxxxxxx a xxxxxxxxxxx xxxxx,

x) řízením xxxxx xxxxxx zahrnující xxxxxxxxx xxxxx, xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx a xxxxxxxxxx xxxxx,

x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx xxxxx založená xx xxxxxxxx x xxxxxxx, xxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x

x) xxxxxxxxx xxxxxxxxxxx xxx, xxx xxxxxxx xxxxx xxxxxxxxx xxxxxx, xxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx.

XXXX XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

Xxxxxxxxxxx opatření

§3

Systém xxxxxx xxxxxxxxxxx xxxxxxxxx

Xxxxxxx xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx informací

a) xxxxxxx xxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxxxxx k zajištění xxxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx,

x) xxxx xxxxxx xxxxx §8,

x) zavede x xxxxxxx xxxxxxxxx xxxxxxxxxxxx opatření směřující x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx regulované služby xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, bezpečnostních xxxxxx x xxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxx obsahuje xxxxxx xxxxxx, cíle xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx informací, x xx xxxxxxx bezpečnostních xxxxxx a výsledků xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx politiku a xxxxxxxxxxxx dokumentaci x xxxxxxx oblastech xxxxx §6,

x) zajistí xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxx §16,

x) xxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje

1. xxxxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx regulované služby,

2. xxxxxxxxx naplňování plánu xxxxxxxx rizik zpracovaného xxxxx §8 xxxx. 1 xxxx. x),

3. xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx revize hodnocení xxxxx,

4. xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx,

5. výsledky předchozího xxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti informací xxxxxxxxxxx xxxxx xxxxxx xxxxxxx,

6. xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xx xxxxxxxxxxx xxxxxx xxxxx §15 a

7. xxxxxxxxx xxxxxxxxxx změn xxxxx §11,

x) zpracuje zprávu x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací xxxxx xxxxxxx x),

x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx na xxxxxxx

1. xxxxxxxx x auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

2. xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

3. xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxx xxxxxx a

4. xxxxxxxxxxx xxxxxxxxxx xxxx,

x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx spojené se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx a

j) xxxxxxx xxxxxx xxxxxx výjimek x pravidel stanovených x xxxxxxxxxxxx xxxxxxxx xxxxx písmene x).

§4

Xxxxxxxxx xx xxxxxxxx xxxxxx

(1) Xxxxxxxxxx xxxxx xxxxxxx osoby nebo xxxx xxxxx xxxxx xxxxxxx osob x xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxx osoby (xxxx jen „vrcholné xxxxxx“) x xxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx

x) xxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxx §10 xxxx. 3 xxxx. x),

x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x cílů systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3, xxxxxxxxxxxx xx xxxxxxxxxxxx směřováním xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xxxxxxxxx xxxxxxxxxxx a xxxxxxx dotčené xxxxx x významu systému xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxx,

x) xxxxxxx podporu x xxxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xxxx a xxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx systému xxxxxx bezpečnosti informací,

h) xx xxxxxx na xxxxxxxxxxx xxxxxxx dopadů xxxxx §15,

i) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxx xxxxxxxxx xx zvládáním xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) prosazuje xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx při xxxxxxxxxxx kybernetické bezpečnosti x oblastech jejich xxxxxxxxxxxx,

x) zajistí xxxxxxxxx xxxxxxxx pro určení xxxxxxxxxxxxxx a xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxx relevantních xxxx xxxxxxx administrátorů, xxxx xxxxxxxxxxxxx bezpečnostní xxxx a xxxxxxxxxx, x

x) xxxxxxx xxx xxxxx zastávající xxxxxxxxxxxx xxxx pravomoci xxxxxxxx xxx xxxxxxxxxx jejich xxxx x xxxxxx, xxxxxx rozpočtových prostředků x xxxxxxxxxx jejich xxxx x xxxxxx xxxxxxxxxxxxx úkolů.

(2) Xxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx

x) xx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xx zprávou x xxxxxxxxx rizik,

c) s xxxxxx xxxxxxxx rizik,

d) x výsledky xxxxxxx xxxxxx x

x) x xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(3) Xxxxxxxx xxxxxx xxxxx xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx x určí jeho xxxxx, xxxxxxx

x) xxxxxxx, xx xxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxx 1 xxxx vrcholného xxxxxx xxxx jím xxxxxxxx xxxxx x xxxxxxx kybernetické xxxxxxxxxxx,

x) xxxx xxxxx x xxxxxxxxxx xxxxxx pro xxxxxx kybernetické xxxxxxxxxxx x jeho xxxxx, xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx konání pravidelných xxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxx,

x) xxxxxxx vyhotovení xxxxxxx x xxxxxxx xxxxxxx xxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx x

x) xxxxxxx, že xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx x osob s xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx celkové xxxxxx x rozvoj xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a osob xxxxxxxx se xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx x kybernetickou bezpečností.

(4) Xxxxxxxx xxxxxx určí xxxxx, xxxxxx vymezení xxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xx xxxxxxxx řízení bezpečnosti xxxxxxxxx, xxxxx budou xxxxxxxx bezpečnostní role

a) xxxxxxxx kybernetické xxxxxxxxxxx,

x) xxxxxxxxxx kybernetické bezpečnosti,

c) xxxxxxx xxxxxx x

x) xxxxxxxx kybernetické xxxxxxxxxxx.

(5) Xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x odstavci 4 písm. a) x b).

§5

Xxxxxxxxx xxxxxxxxxxxxxx xxxx

(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xx xxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx výkonem xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x prokáže odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx xxxxxxxxxxx informací xx xxxx xxxxxxx 3 xxx,

x) odpovídá xx xxxxxxxxxx informování vrcholného xxxxxx x

1. činnostech xxxxxxxxxxxxx z rozsahu xxxx xxxxxxxxxxxx a

2. xxxxx systému xxxxxx xxxxxxxxxxx informací,

c) xxxxx xxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxx aktiv xxxxxxxxxx xxxxxx.

(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxx k xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx regulované služby, xxxxxxx výkonem xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxx xxxxxxx 3 let.

(3) Xxxxxx xxxxxx je xxxxxxx x zajištění xxxxxxx, použití a xxxxxxxxxx xxxxxx.

(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti

a) xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx tuto činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx v xxxxx alespoň 3 xxx,

x) zaručuje, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je nestranné, x

x) xxxxx xxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.

§6

Xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx osoba xxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx dokumentaci x relevantním bezpečnostním xxxxxxxxx xxxxxxxx x §3 až 27.

(2) Xxxxxxx xxxxx xxxxxxxx xxxxxxxx x postupy xxxxxxxxx v xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx podle odstavce 1.

(3) Xxxxxxx xxxxx xxxxxxxxxx přezkoumává bezpečnostní xxxxxxxx a bezpečnostní xxxxxxxxxxx, zajišťuje xxxxxx xxxxxxxxxx x jejich xxxxxxxxxx oblasti zahrnuje xx xxxxxxxx xxxxxxxxxxx, xxxxxxxx x xxxxxxx.

(4) Xxxxxxx xxxxx určí xxxxx odpovědnou za xxxxxxxxxx přezkum x xxxxxxxxxxx bezpečnostní politiky x bezpečnostní xxxxxxxxxxx xxxxx xxxxxxxx 3.

(5) Xxxxxxxxxxxx politika a xxxxxxxxxxxx dokumentace xxxx xxx řízeny xxx, xxx xxxx

x) xxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxxx xxxxxx,

x) dotčené xxxxx x xxxxx xxxxxxx xxxxx xxxxxxxxxxx x právech, xxxxxxxxxxxx x xxxxxxxxx x xxxx xxxxxxxxxx,

x) xxxxxxxxx xxxxxxxx dotčeným xxxxxx,

x) xxxxxxxx x pohledu xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x

x) informace x xxxx xxxxxxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxxxxxxxx.

§7

Xxxxxx aktiv

Povinná xxxxx x xxxxxxxxxx na xxxxxxxxx rozsahu xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §12 zákona

a) xxxxxxx xxxxxxxx pro xxxxxxxx xxxxx,

x) xxxxxxx xxxxxxxx xxx hodnocení xxxxx xxxxxx stanovení xxxxxx xxxxx, alespoň v xxxxxxx xxxxxxxx v příloze č. 1 x této xxxxxxxx,

x) xxxxxxx garanty xxxxx xxxxx §4 xxxx. 4 písm. x),

x) hodnotí primární xxxxxx z hlediska xxxxxxxxxx, integrity x xxxxxxxxxxx a xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),

x) xxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxx oblasti uvedené x příloze č. 1 x xxxx xxxxxxxx,

x) xxxxxx x xxxxxxx xxxxx xxxx xxxxxx, xxxxx xxxx vliv na xxxxxxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxxxx xxxxxx x vychází xxxxxx xxxxxxx x xxxxxxxx xxxxx na xxxxxxxx xxxxxx x

x) xxx xxxxxxxxxx xxxxxx xxxxx xxxxx písmene x) xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, která xxxxxxxx xxxxxxx

1. xxxxxxxxx způsoby xxxxxxxxx aktiv,

2. pravidla xxx xxxxxxxxxx x xxxxxx, xxxxxx pravidel xxx bezpečné xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx,

3. pravidla xxx xxxxxxxxxxx xxxxxxxxx,

4. xxxxxxxx pro xxxxxxxxxx xxxxx,

5. xxxxxxxx xxxxxx xxxxxxxxx médií x

6. xxxxxxxx pro xxxxxx xxxxxxx likvidace xxxxxxxxx x dat x xxxxxx xxxxx x xxxxxxxxx technických aktiv, xxxxx xxxx xxxxxx xxxxxxxxx x xxx x ohledem xx xxxxxx xxxxx x xxxxxxx x přílohou č. 2 x xxxx vyhlášce.

§8

Xxxxxx xxxxx

(1) Povinná xxxxx při xxxxxx xxxxx v xxxxxxxxxx xx §7

x) stanoví xxxxxxxx xxx xxxxxxxx x hodnocení rizik, xxxxxx xxxxxxxxx kritérií xxx akceptovatelnost xxxxx,

x) xxx určování rizik x ohledem xx xxxxxx xxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; xxxxxx zvažuje xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x této xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxx v pravidelných xxxxxxxxxxx xxxxxxx xxxxxx xxxxx a xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxx §11 xxxx. 1 písm. x), xxx xxxxxx zohlední

1. xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxx xxxxxxx x) a xxxxxxx xxxxx xxxxxx xx xxxxxx, přičemž vychází x hodnocení xxxxx xxxxx §7,

2. xxxxxxxx xxxxx,

3. změny stanoveného xxxxxxx xxxxx §12 xxxxxx,

4. xxxxxxxxxxxxx xxxxx §20 zákona,

5. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, včetně xxxxx xxxxxxxx,

6. xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

7. xxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx x

8. xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) při xxxxxxxxx rizik postupuje xxxxxxx v xxxxxxx přílohy č. 4 k xxxx xxxxxxxx,

x) xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxx x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,

x) zpracuje xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx

1. xxxxxx aplikována, včetně xxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření, x

2. xxxx xxxxxxxxxx, včetně xxxxxxx plnění,

g) xx xxxxxxx xxxxxxxxxxx hodnocení xxxxx xxxxx xxxxxxx x) x x xxxxxxx se stanovenými xxxxxxxx pro akceptovatelnost xxxxx zpracuje xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx

1. xxxxx bezpečnostních xxxxxxxx pro xxxxxxxx xxxxx,

2. cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx,

3. xxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx,

4. xxxxxxxxxxxxx lidské, finanční x xxxxxxxxx xxxxxx xxx zavedení xxxxxxxxxxxxxx xxxxxxxx,

5. xxxxxxxxxx xxxxxx xxxxxxxx bezpečnostních xxxxxxxx,

6. xxxxx xxxxx xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x

7. xxxxxxxxx způsob xxxxxxxxx xxxxxxxxxxxxxx opatření.

(2) Xxxxxxx xxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní xxxxxxxx.

(3) Xxxxxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými způsoby, xxx jak je xxxxxxxxx x odstavci 1 xxxx. c), xxxxx povinná osoba xxxxxxx xxxxxxx xxxx xxxxx úroveň procesu xxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxx x xxxxxxxxx 5 přílohy č. 4 x xxxx xxxxxxxx.

(4) Xxxxxxx xxxxx xxxxxx xxxxxxxxxx některá xxxxxxxxxxxx opatření xxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxx xxxxxx rizik.

§9

Xxxxxx xxxxxxxxxx

(1) Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxx

x) xxxxxxx pravidla xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxxxx s pravidly xxxxx písmene x) x xxxxxxxx plnění xxxxxx xxxxxxxx,

x) xxxx xxxxxx xxxxxxx s xxxxxxxxxx,

x) identifikuje x xxxxxxx xxx významné xxxxxxxxxx xx xxxxxx §2 písm. x),

x) xxxxxxxxxxxx xxxxxxx informuje xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),

x) xxxxxxx v souvislosti x řízením xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx, aby xxxxxxx xxxxxxxxx s významnými xxxxxxxxxx xxxxxxxxxx relevantní xxxxxxxxxx uvedená x příloze č. 5 k xxxx xxxxxxxx, x

x) pravidelně xxxxxxxxxxx xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x hlediska xxxxxxx xxxxxx bezpečnosti informací.

(2) Xxxxxxx xxxxx u xxxxxxxxxx dodavatelů xxxx

x) xxxxxxx x rámci xxxxxxxxxx xxxxxx xxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxxxx²⁾ nebo xxxx xxxxxxxxx smlouvy xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxx přílohy č. 4 k této xxxxxxxx,

x) xxxxxxx x xxxxx uzavíraných xxxxxxxxx xxxxxx způsoby x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x smluvně xxxx xxxxx xxxxxxxx xxxxxxxxxxxx za zavedení x kontrolu xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx plnění pomocí xxxxxxxxx xxxxxx xxxx xxxxxx třetí strany x

x) xxxxxxx x xxxxxx na rizika x zjištěné nedostatky xxxxxx xxxxxx, xxxxx xxxxx xxxxxxx xxx xxxxxxxxxx odkladu.

(3) Náležitosti xxxxxxxxxxxxxx informování podle xxxxxxxx 1 písm. x) jsou

a) xxxxxxxxxxxxx xxxxx povinné osoby, xxxxxx xxxxxxx, xx xxxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxxxxxx služby x režimu xxxxxxx xxxxxxxxxx,

x) xxxxx regulované xxxxxx povinné osoby,

c) xxxxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx x

x) prohlášení, xx xxxxxxxxx je xxx xxxxxxxx osobu xxxxxxxxx xxxxxxxxxxx.

§10

Bezpečnost lidských zdrojů

(1) Xxxxxxx osoba v xxxxx bezpečnosti lidských xxxxxx x xxxxxxx xx xxxx x xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož cílem xx zajistit xxxxxxxxxxxx xxxxxxxxxx x zlepšování xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxx, xxxxxx x xxxxxxx xxxxxxx x xxxxxxx podle xxxxxxxx 2.

(2) Xxxxxxx xxxxx xxxxxx do xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí

a) xxxxxxx vrcholného xxxxxx x xxxx xxxxxxxxxxxx x bezpečnostní politice, xxxxxxx x xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x řízení xxxxx,

x) xxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxxxxxx x xxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxxx xxxxxx xxxxxxxxxx xxxxx v xxxxxxx x §19 x

x) xxxxxxxxxx xxxxxx xxxxxxx x příloze č. 6 x xxxx xxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx

x) xxxxxxx vrcholného xxxxxx o xxxx xxxxxxxxxxxx, o xxxxxxxxxxxx xxxxxxxx zejména x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx a xxxxxx xxxxxxxxxx činností formou xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x získání xxxxxxxx x xxxxxxxxxx xxxxxxxxx k určování xxxxx x posouzení xxxxxxxxx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x jejich dopadů xx xxxxxxxxxxx xxxxxx,

x) xxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxx povinnostech a x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,

x) pravidelná xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxx vychází x xxxxxxxxxx potřeb xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, x

x) xxxxxxxxxx školení x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx x xxxxxx xxxxxxxx xxxxxx nebo služebním xxxxxxxxx.

(4) Xxxxxxx osoba x xxxxx bezpečnosti xxxxxxxx xxxxxx

x) určí xxxxx xxxxxxxxx xx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx jsou v xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx,

x) xxxxxxx x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx xxxxx xxxxxxxx 3,

x) xxxxxxxxxx xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx poučení, školení x xxxxxxx činností xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx povědomí,

d) zajistí xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,

x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx porušení xxxxxxxxxxx bezpečnostních pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x

x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxx xxxxxxxx xxxx xxxxx smluvního xxxxxx x xxxxxxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

(5) Xxxxxxx xxxxx xxxx x xxxxxxx x xxxxxxx xxxxx xxxxxxxx 3 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x školení xxxxxx xxxxxxx xxxx, xxxxx xxxxxxx x xxxxxxx xxxxxxxxxxx.

§11

Xxxxxx xxxx

(1) Xxxxxxx xxxxx při řízení xxxx x aktiv

a) xxxxxxx xxxxxxxx, xxxxxxx x kritéria xxx xxxxxx významných xxxx,

x) xxxx xxxxx, xxxxx xxxx xxxx xxxxx xxx vliv xx xxxxxxxxxxxxx bezpečnost,

c) určuje x změn určených xxxxx xxxxxxx x) xxxxxxxx xxxxx v xxxxxxx xx xxxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxxx pro xxxxxx xxxxxxxxxx xxxx xxxxx xxxxxxx x).

(2) Povinná xxxxx u xxxxxxxxxx xxxx

x) xxxxxxxxxxx xxxxxx xxxxxx,

x) xxxx xxxxxx xxxxxxx x významnými xxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx změnami,

d) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxxxxx,

x) xxxxxxx jejich xxxxxxxxx xxxx xxxxxxxx xx xxxxxxx a

f) xxxxxxx možnost navrácení xx původního xxxxx.

(3) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxx xxxxx xxxxxxxx 2 písm. b) xxxxxxxxx o provedení xxxxxxxxxxxx testování; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování, xxxxxxxxx xxxxx §24 xxxx. 5.

§12

Xxxxxxxx, xxxxx x xxxxxx

(1) Xxxxxxx osoba x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, vývojem x xxxxxxx aktiv

a) xxxx xxxxxx,

x) xxxx xxxxxxxx změny podle §11,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx, které xxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx stanovená touto xxxxxxxxx,

x) xxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xxxxx xxxxxxx x) xx xxxxxxxxx xxxxxxxx, xxxxxx x údržby x

x) xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxxx, vývojového, testovacího, xxxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx prostředí, x xxxxxxx xxxxxxx informací x xxx, xxxxx xx x xxx xxxxxxxxx.

(2) Povinná osoba xxxxxxx xxx provedení xxxxxxxx nebo xxxxxx xxxxxxxxxxx aktiva

a) využívajícího xxxxxxxxxxxx mechanismus, xxxxxxx xx xxxxxx ověření xxxxxxxx uživatelů xxxx xxxxxxxxxxxxxx, xxxxxx xxxxxxxxx xxxxx §19 xxxx. 2,

x) využívajícího xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxxx §25 odst. 1 xxxx. a) x §25 odst. 3 xxxx. x) x

x) dostupnost bezpečnostních xxxxxxxxxxx po dobu xxxx xxxxxxxxx xxxxx.

§13

Xxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx x provozních xxxxxx xxxx xxxxxxx x aktivům x xxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxx identity xxxxx §19 x 20.

(2) Xxxxxxx xxxxx xxxx xxx xxxxxx xxxxxxxx x aktivům

a) xxxx přístup xx xxxxxxx xxxxxx nebo xxxx,

x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x aktivům xxxxxxxxxx xxxxx x xxxxxxxxx xx úroveň xxxxxxxx xxxxxx x xxxxxx xxxxx a xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxx, přičemž xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxxxx xxxx xxxxx xxxxx,

x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx účtů xxxxxxxxxxx xxxxx,

x) zavádí x xxxxxxx x písmenem x) bezpečnostní opatření xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxx potřebná xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx x xxxxxx obdobných technických xxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxx nemá ve xxx správě,

f) xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx x oprávnění x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx přezkoumání veškerých xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxx a xxxx,

x) xxxxxxx bezodkladné xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx při xxxxx xxxxxx nebo xxxxxxxx xx xxxxxxx xxxxxx x xxxx,

x) xxxxxxx xxxxxxxxxx účtů a xxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx práv x oprávnění xxx xxxxxxxx nebo změně xxxxxxxxx xxxxxx, xx xxxxxxx xxxxxxx xxxxx xx xxxxxxx xxxxxxxx x xxxxxxx,

x) dokumentuje xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxx x

x) xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxx §20.

§14

Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

(1) Xxxxxxx osoba xxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a incidentů

a) xxxxxx xxxxxxx, xxxxxxxx x xxxxxxx xxx xxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxx x §21 až 23,

x) zavede xxxxxxx, xxxxxxxx a xxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxx

1. xxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a

2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxx x xxxxxxxx xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu,

e) zajistí xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxx §21,

f) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx na xxxxxxxxxxxxx,

x) zajistí posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx musí xxx xxxxxxxxxx, zda xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,

x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx a xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,

j) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §15 xxxxxx,

x) xxxxxxxx x xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx o xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x významným dopadem xxxxx §16 xxxxxx, xxxxxx xxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx, xxxxx xx xxxxx, a

n) xxxxxxxxx xxxxxxxx řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu a xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.

(2) Povinná xxxxx xxxx při xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxxx xxxxx §21 x 23.

§15

Řízení xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx xxx řízení xxxxxxxxxx činností

a) xxxxxxx xxxxxxxx xxx provedení xxxxxxx xxxxxx,

x) provádí xxxxxxx dopadů, xxxxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxx §8,

x) xx xxxxxxx xxxxxxx analýzy dopadů x hodnocení xxxxx xxxxx xxxxxxx x) xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx formou xxxxxx

1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx regulované služby,

2. xxxx obnovení chodu, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx poskytovaných xxxxxx xxxxxxxxxx xxxxxx, a

3. xxxx obnovení xxx xxxx xxxxxx období, xx xxxxx musí xxx xxxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxx politiku xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx písmene x), x xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,

e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx testuje plány xxxxxxxxxx činností x xxxxx obnovy související x poskytováním xxxxxxxxxx xxxxxx a

f) realizuje xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti xxxxx §26.

§16

Provádění auditu xxxxxxxxxxxx xxxxxxxxxxx

(1) Povinná osoba xxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(2) Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xxxxxxxx, xxx byla xxxxxxxx xxxxxxxxxxxx opatření xxxxxxxxxx xxxxxxx x xxxxx xxxxxxxxx,

x) posuzuje xxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx x právními xxxxxxxx, vnitřními xxxxxxxx, xxxxxxxxx xxxxxxx x xxxxxxxx xxxxx x

x) xxxxxxx x dokumentuje xxxxx dodržování pravidel x postupů stanovených x bezpečnostní xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx odstavce 3 xxxx. b).

(3) Povinná xxxxx

x) xxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxx odstavce 2 xx

1. plánu xxxxxxx xxxxxxxxxxxxxx povědomí,

2. řízení xxxxx x

x) xxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xxxxxxxx nápravná xxxxxxxx, xxxxx xxxxx xxxxxxx xxx zbytečného xxxxxxx.

(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxxx odstavce 2 xx prováděn

a) při xxxxxxxxxx xxxxxxx, a xx v xxxxx xxxxxx xxxxxxx,

x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xx 2 xxxx a

c) x xxxxxxx x plánem xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(5) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx x celém xxxxxxx xxxxx xxxxxxxx 2 ve xxxxx xxxxx odstavce 4 xxxx. x), xx xxxxx audit xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx celcích xxx, xxx xxx xxxxxxx xxxx rozsah xxxxxx podle xxxxxxxx 2 xxxxxxx xxxxxx xx 5 xxx.

(6) Xxxxx kybernetické xxxxxxxxxxx xxxx xxx prováděn xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §5 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.

HLAVA II

Technická xxxxxxxx

§17

Xxxxxxx xxxxxxxxxx

Xxxxxxx xxxxx v xxxxx xxxxxxx bezpečnosti

a) xxxxxxxxx xxxxxxxxx, xxxxxxxx, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx do nich x narušení xxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx,

x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx ohraničující xxxxxx, xx které xxxx xxxxxxxxxx xxxx zpracovávány xxxxxxxxx x xxxx, xxxx xx které xxxx umístěna xxxxxxxxx xxxxxx xxxxxxxxxx služby,

c) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxx x) x xxxxxxx na xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxxxxx úrovní xxxxxxx xxxxxxx x xxxx xxxxxxxxx fyzické xxxxxxxxxxxx xxxxxxxxx a xxxxxx úrovně xxxxxxx xxxxxxx xxxxxxxxxxx a

d) xxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx perimetru x ohledem na xxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxx x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx fyzické xxxxxxx

1. k xxxxxxxx xxxxxxxxxxxxx vstupu,

2. x xxxxxxxx xxxxxxxxx, xxxxxxxx, xxxxxxxx aktiv, xxxxxxxxxxxx xxxxxxx xx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby,

3. x xxxxxxxxx xxxxxxx xxxxxxx budov x xxxxxx ohraničených xxxxxxx,

4. xxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x

5. x xxxxxxxx xxxxxx x xxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx perimetru.

§18

Xxxxxxxxxx xxxxxxxxxxxxx sítí

Povinná xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx, x xx xxxxxx xxxxxx xxxxxxxx xxxxxxxxx

x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx, xxxxxx xxxxxxxx provozního, xxxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxx,

x) zajistí xxxxxx komunikace v xxxxx komunikační sítě,

c) xxxxxxx řízení xxxxxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxx,

x) xxxxxxx řízení xxxxxxxx správy xxxxxxxxxxx xxxxx,

x) xxxxxxxx x xxxxxxx x xxxxxxx x) xx d) xxxxx xxxxxxx xxxxxxxxxx, xxxxx xx xxxxxxxx xxx řádné xxxxxxxxx xxxxxxxxxx xxxxxx,

x) zajistí x souladu x xxxxxxx c) a x) xxxxxx omezení xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx x uživatelů xx xxxxxxxxx době,

g) xxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxxxx algoritmů upravených x §25 x xxxxxxxx protokolů xxxxxxxxx x xxxxxxxxx xxx xxxxxxx xxxxxxxxx x xxx,

x) využívá nástroj, xxxxx zajistí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx, x

x) xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxxxx.

§19

Xxxxxx x xxxxxxxxx xxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx aktiv, xxxxx zajišťuje

a) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx,

x) xxxxxx xxxxx xxxxxxx neúspěšných xxxxxx o xxxxxxxxxx,

x) xxxxxxxx uložených a xxxxxxxxxxx autentizačních údajů xxxx hrozbám x xxxxxxxxxxxxxx, které by xxxxx xxxxxxx jejich xxxxxxxxx xxxx integritu,

d) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx xxxx xxxxxxxxxx,

x) xxxxxxxx důvěrnosti xxx xxxxxxxxx výchozích xxxxxxxxxxxxxx xxxxx x xxx xxxxxx xxxxxxxx x

x) centralizovanou xxxxxx xxxxxxx s ohledem xx vazby xxxx xxxxxx.

(2) Xxxxxxx xxxxx xxx ověření identity xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxx

x) využívá xxxxxxxxxxxx mechanismus, který xx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx s xxxxxxx xxxxx různými xxxx faktorů, xxxx xxxxxxx autentizační xxxxxxxxxxx, xxxxx je založen xx aktuálně xxxxxx xxxxxxxxxxx autentizaci založené xx xxxxxx xxxxxx xxxxxx, x

x) xx xxxx splnění xxxxxxxxx xxxxx xxxxxxx a) xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx nebo xxxxxxxxxxx.

(3) Povinná xxxxx xx doby xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 2 písm. x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx x xxxxxxxxxxxxxx mechanismů, xxxxx xxxx xxxxxxxxx nesplňují, x xx včetně xxxxxxxxxx.

(4) Xxxxxxx osoba xx xxxx splnění xxxxxxxxx xxxxx odstavce 2 xxxxxxx xxxxxxx xxxxxxxx na autentizaci xxxxxx xxxxxxxxxxxxxx xxxx x hesla, kdy xxxxx xxxxxxx musí xxxxxxxxx pravidlo

a) xxxxx xxxxx xxxxxxx

1. 12 xxxxx xxx xxxx xxxxxxxxx,

2. 17 znaků xxx účty xxxxxxxxxxxxxx,

3. 22 xxxxx pro xxxx technických xxxxx,

x) xxxxxxxxxx xxxxx heslo x xxxxx alespoň 64 znaků,

c) neomezující xxxxxxx xxxxxx x xxxxxxx xxxxxx, xxxxxx x speciálních xxxxx,

x) xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx změnu xxxxx, xxxxxxx období xxxx xxxxx xxxxxxx xxxxx xxxxx být kratší xxx 30 xxxxx,

x) xxxxxxx změny xxxxx x xxxxxxxxx alespoň xxxxxx za 18 xxxxxx a

f) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx

1. xxxxxx xx jednoduchá x často používaná xxxxx,

2. tvořit xxxxx xx xxxxxxx mnohonásobně xxxxxxxxxxx se xxxxx, xxxxxxxxxxxxxx jména, xxxxxx xxxxxxxxxxxx xxxxx, xxxxx xxxxxxx nebo obdobným xxxxxxxx a

3. opětovné xxxxxxx dříve používaných xxxxx x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx.

(5) Povinná osoba x xxxxxxx x xxxxxxxxx 4 xxxxxxx

x) xxxxxxxxxxx vynucení změny xxxxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxxxxxx xx xxxxxx xxxxxxxxxx,

x) bezodkladné xxxxxxxx xxxxx xxxxxxxxx xxxxx xxxxxxxxxxx aktiva,

c) xxxxxxxxx hesla xxxx xxxxxxxxxxx xxxxxx xxxxxxxxx x náhodného xxxxxxx xxxxxx x velkých xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) bezodkladné xxxxxxxx xxxxx přístupového xxxxx x xxxxxxx xxxxxxxxx podezření xx xxxxxxxx xxxx důvěrnosti,

e) xxxxxxxxx xxxxxxxxx výchozího xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxx x vytvoření xxxx x xxxxxxxx xxxxxxxx a zajistí xxxx xxxxxxxxx a

f) xxxxxxxxxxx xxxxxxxxxxx xxxxx xxxx identifikátoru xxxxxxxxxx x vytvoření xxxx x xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx 24 hodin xx xxxx vytvoření.

(6) Xxxxxxx osoba u xxxxxxxxxxxxxxxxxx xxxx zejména xxxxxxxx xxx případ xxxxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx musí xxxxxxxx

x) xxxxxxxxxxxx změnu xxxxxxxxx xxxxx,

x) xxxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxx z malých x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) délku xxxxx xxxxxxxxx xxxxxxx x 22 xxxxx,

x) bezpečné xxxxxxx hesla,

e) xxxxxxx xxxxxxxxxx x xxxxx x xxxx xxxxxx, xxx s tímto xxxxx x xxxx xxxxxx mohou xxxxxxxxxxx xxxxx xxxxxxxx xxxxx, x xx v xxxxxxxx xxxxxxx xxxxxxxxx,

x) xxxxx xxxxx po xxxx xxxxxxx, xxx xxxxxxxx xxxxx pověřených xxxx, v xxxxxxx xxxxxxxxx xxxxxxxxx xx xxxx kompromitaci xxxx x intervalu xxxxxxx xxxxxx za 18 xxxxxx x

x) evidování xxxxxxxxxx a xxxxxx x manipulaci s xxxxx účtem x xxxx xxxxxx.

§20

Řízení xxxxxxxxxxxx xxxx x xxxxxxxxx

Xxxxxxx xxxxx xxx xxxxxx přístupových xxxx x xxxxxxxxx xxxxxxx xxxxxxx,

x) xxxxx xx centralizovaný x xxxxxxx xx vazby xxxx aktivy,

b) xxxxxx xxxx práva pro xxxxxxx x xxxxxxxxxxx xxxxxxx x

x) kterým xxxx xxxxxxxxx xxx xxxxx a zápis xxxxxxxxx x dat x xxxxx xxxxxxxxx.

§21

Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, který xxxxxxxxx

x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx xxxxxx,

x) xxxxxxx a xxxxxxxx přenášených dat xx xxxxxxx perimetru xxxxxxxxxxx xxxx x

x) xxxxxxx blokování nežádoucí xxxxxxxxxx x rámci xxxxxxxxxxx sítě.

(2) Xxxxxxx xxxxx xxxxxxx x xxxxxxx na xxxxx xxxx aktivy pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxx

x) xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx škodlivým xxxxx,

x) xxxxxx a xxxxxxxxx xxxxxxxxx vyměnitelných zařízení x datových nosičů,

c) xxxxxx xxxxxxxxxxxxx spouštění xxxxxx, xxxxxxx x xxxxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,

x) řízení xxxxxxxxx xx xxxxxxxxx xxxx,

x) řízení x xxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxxxx xxxxxx a xxxxxxx,

x) xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxx xxxxx x

x) xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv, xxxxxxxxxxxxxx x uživatelů.

(3) Xxxxxxx xxxxx provádí xxxxxxxxxxx x xxxxxxxxxxxx aktualizaci xxxxxxxx používaného xxxxx xxxxxxxx 1 x 2, x xx xxxxxx jeho xxxxxxxxx x xxxxxxxxxx pravidel.

§22

Zaznamenávání xxxxxxxx

(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxx xxxxx a xxxxx bezpečnostních potřeb

a) xxxx technická xxxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx, a

b) xxxxxxxxxxx xxxxxx technických aktiv xxxxx odstavce 1 xxxx. a) x xxxxxxxxxxxx xxxxxxxxxxx a xxx xxxxxxxxxx změnách.

(2) Xxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx

x) xxxxxxxxxx xxxxx §21,

x) x xxxxx xxxxxxxxxxx xxxx,

x) xx xxxxxxx xxxxxxxxx x

x) xxxxxxxxxxx aktiv xxxxxxxx xxxxx xxxxxxxx 1 písm. x).

(3) Xxxxxxx xxxxx v xxxxx zaznamenávání xxxxxxxx xxxxx odstavce 2 xxxxxxxxxxx

x) xxxxxxxxxxxx x xxxxxxxxxxx ke xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxx x xxxxxxxxx xxxxxx o provedení xxxxxxxxxxxxx xxxxxxxx,

x) manipulace x xxxxxxxxx xxxxxx x xxxxxxxxxx x xxxx, oprávněními a xxxxx,

x) xxxxxxxxxxx xxxxxxxx x důsledku xxxxxxxxxx xxxxxxxxxxxx práv nebo xxxxxxxxx,

x) zahájení x xxxxxxxx xxxxxxxx technických xxxxx,

x) xxxxxxxx x xxxxxxx hlášení technických xxxxx,

x) xxxxxxxx a xxxxxxxxx xxxxxx x xxxxxxxx k xxxxxxxx xxxxxxxx,

x) xxxxxxxxxx a xxxxxxxxx xxxxxx x xxxxxxxxxx xx xxxxxxx xxxxxxxx,

x) xxxxx x xxxxxxxxx xxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x

x) xxxxx činnosti xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxx.

(4) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxxxx událostí xxxxx xxxxxxxx 2 xxxxxxxxxxx následující xxxxxxxxx x události:

a) xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,

x) xxx činnosti,

c) jednoznačnou xxxxxxxxxxxx xxxxxxxxxxx aktiva, xxxxx činnost xxxxxxxxxxx, x xx x x xxxxxxx, kdy x xxxxxxxxxxx xxxx xxxxxxx xx xxxxx xxxx xxxxxx identifikace,

d) xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx, x xx x x xxxxxxx, xxx x xxxxxxxxxxx xxxx xxxxxxx xx xxxxx xxxx xxxxxx xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx původce, x to x x případě, kdy x xxxxxxxxxxx xxxx xxxxxxx ke xxxxx xxxx xxxxxx identifikace, x

x) úspěšnost xxxx xxxxxxxxxxx xxxxxxxx.

(5) Xxxxxxx xxxxx xxxx s xxxxxxx na xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2

x) xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx x jakoukoliv xxxxxx,

x) xxxxxxx s xxxxxxx xx xxxxx xxxx xxxxxx xxxxxxxxxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx a

c) xxxxxxxx xxxxxxx xxxxxx událostí xxxxxxx po xxxx 18 xxxxxx.

(6) Xxxxxxx xxxxx zajišťuje xxxxxxxxxxxx xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx.

§23

Xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx detekovaných xxxxx §21, xxxxx xxxxxxxxx

x) xxxx, xxxxxxxxxxx x seskupování souvisejících xxxxxxx xx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx poskytování xxxxxxxxx o detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxx osob x

x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx xxx používání xxxxxxxx xxx nepřetržité xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx v souladu x odstavcem 1 xxxxxxx

x) xxxxxxx případů xxxxxxxxxxx xxxx nežádoucího xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxx xxxxxxxx pro xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx včetně xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxx a dalších xxxxxxxxxxxx xxxx.

(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.

§24

Xxxxxxxxx xxxxxxxxxx

(1) Povinná xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby xxxxx xxxxxxxxx xxxxxx, xxxxx xxxx xxxxxx xxxxxxxx, dodavatelem xxxx xxxxx osobou xxxxxxxxxxx x xxxxxxx aplikování xxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxx xxx tato xxxxxx.

(2) Povinná xxxxx xx xxxx plnění xxxxx odstavce 1 xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx, x xxxxxxx xxxxxxxxx xxxxxx,

x) xxxxx xxx xxxxxx xxxxxxxx, xxxxxxxxxxx nebo xxxxx xxxxxx xxxxxxxxxxx x

x) xx xxxxx xxxx xxxxx xxxxxxxxx poslední xxxxxxxxxx bezpečnostní xxxxxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, informací, transakcí x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx xxxx

x) xxxxxxxxxxxx xxxxxxxx a

b) xxxxxxxx xxxxxxxxxxx xxxxxxxx.

(4) Xxxxxxx xxxxx x rámci xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx

x) xxxxxxx xxxxxxxxxx xxxxxxxxx zranitelností technických xxxxx regulované xxxxxx

1. x xxxxxxx a xxxxxx komunikační xxxx x

2. alespoň jednou xxxxx.

x) zohlední výsledky xxxxxxxxx xxxxxxxxxxxxx technických xxxxx v xxxxx xxxxxx xxxxx xxxxx §8 x zavádí xxxxxxxxxxxx xxxxxxxx na xxxxxxx zjištěných xxxxxxxx.

(5) Xxxxxxx xxxxx x xxxxx penetračního xxxxxxxxx

x) xxxxxxx penetrační xxxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxx xx xxxxxxxxx xxxxxx aktiv x xxxxxxxxx xxxxx

1. x xxxxxxx a vnější xxxxxxxxxxx sítě,

2. před xxxxxx xxxxxxxx do xxxxxxx x

3. x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3,

x) xxxxxxxx xxxxxxxx penetračního xxxxxxxxx xxx xxxxxx xxxxx xxxxx §8 x xxxxxx bezpečnostní opatření xx základě xxxxxxxxxx xxxxxxxx,

x) xxxxxxx x xxxxxxx x xxxxxxxxx 5 xxxx. x) xxxxx 1 xxxxxxxxxx xxxxxxxxxx xxxxxxxxx, a xx alespoň jednou xx 2 roky,

d) x xxxxxxxxxxxx případech, xxxxx nemůže xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxx intervalu xxxxxxxxxx x xxxxxxxx 5 xxxx. x), xxxx xxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxx. X xxxxxxx xxxxxxx xx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx v xxxxxxxx 5 písm. x) xxxxxxxxxx xx 5 xxx,

x) x xxxxxxxxxxxx xxxxx x xxxxxxx x odstavcem 5 xxxx. x) xxxxxxx xxxxxx provedení x xxxxxxxxx fyzické osoby xxxxxxxxxxx xxxx penetrační xxxxxxxxx.

(6) Xxxxxxx xxxxx xxxxxxx opětovné xxxxxxxxxx xxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxxxx skenování xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx xx účelem xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

§25

Kryptografické xxxxxxxxx

(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx technických aktiv x xxxxxx xxxxxxxxxx

x) xxxxxxx xxxxx aktuálně xxxxxx xxxxxxxxxxxxxx algoritmy,

b) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx algoritmy x

x) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx Xxxxxxxx xxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxxxx xxxxxxxxx

x) xxxxxxxx, xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxx, x xx xxxxxx e-mailové xxxxxxxxxx, a

b) xxxxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxx.

(3) Xxxxxxx osoba x xxxxxxx využívání xxxxxxxxxxxxxxxx klíčů a xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxx xxxxxxx

x) xxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx a

b) xxxxxxx xxx správu xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx, xxxxx

1. zajistí xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x řádnou xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx,

2. xxxxxx xxxxxxxx x xxxxx x

3. xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.

§26

Xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx

(1) Xxxxxxx osoba xxxxxx bezpečnostní opatření xxx zajišťování dostupnosti xxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx

x) dostupnost regulované xxxxxx xxxxx cílů xxxxxxxxxxx podle §15,

b) xxxxxxxx xxxxxxxxxx xxxxxx xxxx hrozbám x xxxxxxxxxxxxxx, které xx xxxxx xxxxxx xxxx xxxxxxxxxx x

x) xxxxxxxxxx xxxxx nezbytných xxx xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx.

(2) Xxxxxxx xxxxx xxx zajišťování xxxxxxxxxxx xxxxxxxxxx služby v xxxxxxx x xxxxxxxxx 1 vytváří xxxxxxxxxx xxxxxx konfigurací x xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxx a xxx xxxxxxxxxx xxxxxxx xxx xxxxx xxxxxx xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.

(3) Xxxxxxx xxxxx u xxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 zajistí

a) xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx, dostupnosti a xxxxxxxxxxxxxx,

x) xxxxxxxxxxxxx xxxxxxxx xxxxx provedených podle xxxxxxxx 3 xxxx. x),

x) ochranu xxxxxxxxxx xxxxx x xxx x xxxx xxxxxxxxxx xxxx xxxxxxxxx jejich xxxxxxxxx x xxxxxxxxxx, x xx alespoň xxxxxxxxxx xxxxxx xxxxx x souladu s §25, x

x) ochranu xxxxxxxxxx xxxxx x xxx x nich xxxxxxxxxx před xxxxxxxxx xxxxxx xxxxxxxxxxx.

(4) Xxxxxxx xxxxx pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx xx xxxxxxxxx xxxxxx xxxxx x xxxxxxxxx xxxxx.

(5) Povinná xxxxx za účelem xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu a xxxxxxx jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx xxxxx §18 xxxx. x).

§27

Zabezpečení xxxxxxxxxxxx, řídicích x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx

Xxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxx x §3 xx 26 xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxx xxxxxxx nástroje x xxxxxx bezpečnostní xxxxxxxx, xxxxx xxxxxxx

x) xxxxxxx xxxxxxxxx přístupu x průmyslovým, xxxxxxx x obdobným xxxxxxxxxxx xxxxxxxxxx aktivům,

b) xxxxxxx xxxxxxxxx x xxxxxxxx x průmyslovým, xxxxxxx x xxxxxxxx specifickým xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxx x xxxxxxxx komunikačních xxxx průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiv xx xxxxxx xxxxxxxxx a xxxxxxxxxx x oddělení xxxxxx xxxxxxxxxxxxx xxxx xxxxx §18,

x) xxxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxxxx průmyslových, řídicích x xxxxxxxxx specifických xxxxxxxxxxx xxxxx xxxx xxxxxxxx známých xxxxxxxxxxxxx x xxxxxx a

f) xxxxxxxxxx x obnovu xxxxxxxxxxxx, řídicích x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx.

XXXX TŘETÍ

ZÁVĚREČNÁ XXXXXXXXXX

§28

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx xxxxx, xxxxx xxxx xx xxx xxxxxxxxxxxxxxx xxx nabytí xxxxxxxxx xxxx vyhlášky xxxxxxx xxxx xxxxxx xxxxx §3 xxxxxx x. 181/2014 Xx., x kybernetické bezpečnosti, xx xxxxx pozdějších xxxxxxxx, xxxxx se xxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx xxxxx vyhlášky č. 82/2018 Sb., xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx, xx znění xxxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, x xxxxx xx xxx nabytí xxxxxxxxx xxxx xxxxxxxx xxxxxxx kritéria pro xxxxxxxxxx xxxxxxx jedné xxxxxxxxxx xxxxxx, xxxxxx x xxxxxxx x xxxxxxx stanoveném zákonem č. 264/2025 Sb., x xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxxx lhůt xxx xxxxxxxx xxxxxx povinností xxxxx xxxxxx č. 264/2025 Sb., x kybernetické bezpečnosti xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx č. 82/2018 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx účinném xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx.

XXXX XXXXXX

XXXXXXXX

§29

Xxxxxxxx

Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. listopadu 2025.
&xxxx;

Xxxxxxx:

Xxx. Xxxxx v. x.

Xxxxxxx č. 1

Xxxxxxxxx xxxxx

(1) Xxxxxxx osoba xxx hodnocení xxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx úrovních xxxxxxxxx v tabulkách x. 1, 2 x 3 x xxxxxxxx xx, xxxx xxxxx xx mělo xxxxxxxx bezpečnosti informací x jednotlivých xxxxx.

(2) Xxxxxxx xxxxx xxxx xxxxxxxxx xxxxxx xxxxx xx xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxx může xxxxxxxx odlišný xxxxx xxxxxx pro xxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx mezi xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx aktiv, xxxxx xxxx uvedeny x xxxx příloze.

(3) X primárních aktiv xx zároveň xxxxx xxxxxxxxx alespoň xxxxxxx xxxxxxx v xxxxxxx x. 4 - Xxxxxxx hodnocení xxxxxxxxxx xxxxx.

(4) Xxx xxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx zejména xxxxx mezi xxxxxxxxxx x xxxxxxxxxx aktivy.

Tab. x. 1: Stupnice xxx hodnocení xxxxxxxxxx

Xxx xxxxxxxxxxx důvěrnosti xxxxxxxxx x dat xxx xxxxx xxxxxx xxxxxxx xxx xxxxxx aktuální xxxxx xxxxxxxxxxxxx xxxxxxxxx xxx. Xxxxxxx Xxxxx Xxxxxxxx (XXX)³⁾.

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx. Narušení xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx.	Xxxx xxxxxxxxxx xxxxx ochrana. X xxxxxxx sdílení xxxxxx xxxxxxxxx, xxxx xxx xxxx xxxxxxxxx xxxx xxxxxxxxxxx x xxxxxx xxx omezení. Xxxxxxxx xxxxxxx na xxxxxxx práva duševního xxxxxxxxxxx xxxxxxx a/nebo xxxxxxxx či třetích xxxxx xxxxxx xxxxx xxxxxxxxxxx dotčena. Likvidace/mazání xx xxxxxx Xxxxx - xxx příloha č. 2.
Xxxxxxx	Xxxxxx xxxxxx xxxxxxx xxxxxxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx žádným xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx.	Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx. X xxxxxxx xxxxxxx xxxxxx informace, xxxx xxx tato xxxxxxxxx xxxxxxx x rámci xxxxxxxxxx xxxxxxxx a xxxxxxxx xxxx s xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxx; xxxxxxxx xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx komunikace. Likvidace/mazání xx xxxxxx Střední - viz příloha č. 2.
Xxxxxx	Xxxxxx xxxxxx xxxxxxx přístupná x xxxxxx ochrana xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními ujednáními (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx).	Xxx ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx a zaznamenávání xxxxxxxx. Přenosy informací xxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx. X xxxxxxx sdílení xxxxxx xxxxxxxxx, může xxx xxxx xxxxxxxxx xxxxxxx x rámci xxxxxxxxxx xxxxxxxx x xxxxx partnerům xxxx xxxxx v rámci xxxxxxxxxx příjemce, a xx pouze osobám, xxxxx xxxxxxx xxxxxx xxxx-xx-xxxx. Likvidace/mazání xx xxxxxx Xxxxxx- xxx příloha č. 2.
Xxxxxxxx	Xxxxxx nejsou veřejně xxxxxxxxx a vyžadují xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (například strategické xxxxxxxx tajemství, zvláštní xxxxxxxxx xxxxxxxx údajů).	Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx administrátorů. Přenosy xxxxxxxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxx. X případě sdílení xxxxxx informace, xxxxxx xxx xxxx informace xxxxxxxxxx jiné xxxxx xxx té, xxxxx xxxx informace určena, xxxxxxx-xx xxxxxxxx xxxxxxxxx xxxxx xxxxx, xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxx. V xxxxxxx, xx příjemce xxxxxxxx xx xxxxxxxx informaci xxxxxxxxxx dalším xxxxxxxxx, xxx xxx učinit xxxxx se souhlasem xxxxxxx informace. Likvidace/mazání xx xxxxxx Kritická - xxx příloha č. 2.

Xxx. x. 2: Xxxxxxxx pro xxxxxxxxx integrity

Úroveň	Popis	Příklady
Nízká	Aktivum xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné osoby.	Není xxxxxxxxxx žádná ochrana.
Střední	Aktivum xxxx vyžadovat xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx a xxxx se xxxxxxxx xxxx xxxxxxxxx dopady xx xxxxxxxx aktiva.	Pro xxxxxxx xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxxxx.
Xxxxxx	Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x podstatnými dopady xx xxxxxxxx aktiva.	Pro xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx prostředky xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x identity xxxx xxxxxxxxxxxxx změny. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
Xxxxxxxx	Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx dopady xx xxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxx jsou xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx změnu.

Tab. č. 3: Stupnice xxx xxxxxxxxx xxxxxxxxxxx

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxxxx x xxxxxxx xxxxxxx x xxxxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx x xxxx xxxxx xxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxxxxx regulovanou xxxxxx.	Xxx xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx pravidelné xxxxxxxxxx. Xxxxxxxxx redundance těchto xxxxx xxxxxx xxx xxxxxxx.
Xxxxxxx	Xxxxxxxx xxxxxxxxxxx aktiva xx nemělo xxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxx dne, xxxxxxxxxxxxx xxxxxxx vede k xxxxxxx xxxxxxxx poskytování xxxxxxxxxx služby povinné xxxxx.	Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. Xx vhodné xxxxxxxx xxxxxxxxxx xxx xxxx xxxxxx.
Xxxxxx	Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx dobu xxxxxxxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx regulované xxxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx.	Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx a xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx podmíněna xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx aktiv. Xx xxxxxx xxxxxxxx redundanci xxx xxxx xxxxxx, xxxxx by xxxxx xxx xxxxxxxx xxxxxxx xxxx. x režimu xxx. Active-Standby.
Kritická	Narušení dostupnosti xxxxxx není xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx minut) xxxx x xxxxxxx ohrožení xxxxxxxxxxx zájmů povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx kritická.	Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx je krátkodobá x xxxxxxxxxxxxxx. Xx xxxxxxxx xxxxxxxx xxxxxxxxxx xxx tato xxxxxx, xxxxx xx xxxxx xxx xxxxxxxx xxxx. x xxxxxx tzv. Xxxxxx-Xxxxxx (xxxxxx xxxxxx xxxxxxxxxxx).

Xxx. č. 4 Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxx

Xxx hodnocení xxxxxxxxxx xxxxx xx xxxxxxx xxxxxxxx alespoň relevantní x xxxxxxxxxxxxx oblastí

Oblasti	Příklady
a) xxxxxx a xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx údajů	Únik xxxxxxxx xxxxx xxxxxxx xxxxx.
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxxx xxxxxxxxx	Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx úřední desce, xxxxx xxxx být xxxxxxxxxxx dostupná vzdáleným xxxxxxxxx. Xxxxxxxx smlouvy a x ní xxxxxxxx xxxxxx. Xxxx xxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx x x xxxx xxxxxxxx pokuty.
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx	Xxxxxxxxx nebo xxxxxxxxxx xxxxxxxxx xxxxxxxxxx pro xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxx.
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx ztráty	Nedostupnost xxxxxxxxx x xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx systému. Nedostupnost informací x možných obchodních xxxxxxxxxxxxxx x x xxxx plynoucí xxxx xxxx. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, může vést x neinformování veřejnosti x xxxxxxxxxx skutečnostech (xxxxxxx, xxxxxxxxxx katastrofy xxx.).
x) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx služeb	Narušení xxxxx informací a xxxxxx xxxxxxxxxx směrem x xxxxxxxxxx službě x xxxxxxxx xxxx (xxxxx existence) xxxxxxxxxx.
x) xxxxxx narušení xxxxxxx xxxxxxxx	Xxxxxxxx xxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxx, xxxxxx xxxxx x xxxxxxxxx, xxxxxxxxxxx xxxxxxxx xxxxxx xxxxxx xxxx.
x) dopady xx xxxxxxxxx dobrého xxxxx xxxx ochranu xxxxx xxxxxxx	Xxxxxxxxxx xxxxxxx. Xxxx xxxxxxxxx xxxxxxxxx.
x) xxxxxx xx xxxxxxxxxx x xxxxxx xxxx	Xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxx, xxxxxxx xx xxxxxxxxx xxxx, xxxxxxx xxxx. Xxxxxxx xxxxxxx a xxxxx xx xxxxxxxx.
x) xxxxxx xx xxxxxxxxxxx xxxxxx	Xxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxxxxx xx xxxxxxxx, xxxxx xx xxxxxxxx mezinárodního koncernu.
j) xxxxxx xx xxxxxxxxx xxxxxxxxxx služby	Ztráta xxxxxxxx xxxxxxxx uživatele ke xxxxxx vlivem xxxx xxxxxxxxxxxxx.

Xxxxxxx x. 2

Likvidace xxxxxxxxx a dat

(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx a xxx, jejich xxxxx x technických xxxxx, xxxxx xxxx xxxxxx xxxxxxxxx x xxx, x xxxxxxx xx xxxxxx xxxxxxxxx x xxxxxx podle přílohy č. 1 x této xxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxx xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxx a dat, xxxxxx xxxxx x xxxxxxxxxxx xxxxx, která xxxx xxxxxx xxxxxxxxx x xxx, v xxxxxxx x touto xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle xxxxxx právních předpisů.

(3) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx informací x dat, xxxxxx xxxxx x xxxxxxxxxxx xxxxx, která xxxx xxxxxx xxxxxxxxx x xxx, musí xxx xxxxxxxxx přiměřeně xxxxx xxxxxxxxx x xxxxxx xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx

x) xxxxxxx aktiva (zejména x pohledu xxxxxxxxxx),

x) xxxxxxxxxxx (xxxx nosičů xxxxxxxxx a dat),

c) xxx xx nosiče xxxxxxxxx x dat xxxxxxx pod xxxxxx xxxxxxxxx xxxxxxx xxxxx xx xxxxxxx,

x) xxx xxxx xxxxxx informací x xxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx,

x) xxxx osoba xxxx xxxxxxxxx informací x xxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx),

x) xxxxxxxxxx xxxxxx potřebných xxx xxxxxxxxx (xxxxxxxxx časové, xxxxxx, xxxxxxxx, technické),

g) xxxxx xxxxxxx likvidace xxxxxxxxx a xxx xxxx jejich nosičů x

x) xxxxx nosiče xxxxxxxxx a dat (xxxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx xxxxx xxxxxx variantu xxxxxxx xxxxxxxxx x xxx, xxx některý xx xxxxxxx xxxxxxx likvidace).

(4) Xxxxxxx xxxxxxxxx xxxxxxxxx x dat, xxxxxx xxxxx a technických xxxxx, xxxxx jsou xxxxxx xxxxxxxxx a xxx:

x) Odstranění

1. Xxxxxx xxxxxxxxx xxxxxx informací x dat xxx, xxx byla xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx datového xxxxxxx, xxxxxxxx nosiče xx xxxxxx).

2. V xxxxxxx xxxxxxx nosiče xxxxxxxxx a xxx xx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx x data xxxxxxx.

3. Tato metoda xxxx xxxxxx xxx xxxxxx xxxxxxxxx x xxx xxxxxxxxxxxx xxxxxxxx xxxxx.

4. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1 x xxxx xxxxxxxx): Nízká.

b) Xxxxxxxx

1. Xxxxxx xxxxxxxxx spočívá x opakovaném xxxxxxxx xxxxxxxxx a xxx xxxxxxxxx xxxxxxxxx.

2. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx xx násobném xxxxxxxx xxxxxxxxx x xxx.

3. Xxxxxxxx může xxx xxxxxxxxx xxxx xxxxxxxxxxx x bezpečnou xxxxxxxxx kryptografických xxxxx x xxxxxxxxxxxx informacím x datům.

4. Tato xxxxxx není xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx neumožňující xxxxxxxx xxxxx, xxxxxxxx xxx xxxxxx s xxxxxx xxxxxxxxx kapacitou.

5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1 x xxxx vyhlášce): Xxxxx xx Vysoká.

c) Xxxxxxx xxxxxxxxx

1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx x xxx, xxxxxxxxx x xxxxxxxxx xxxxxx a xxxxxxxxxx xxxxxxx (například xxxxxxxxxxx nebo chemickým xxxxxxxxx xx. xxxxxxxxx).

2. Xxxxx informací x xxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx. Xxxxxxxxx x xxxx není možné x tohoto xxxxxx xxxxxxx xxx xxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.

3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx úroveň xxxxxxxxxx xxxxxx (vychází x přílohy č. 1 k xxxx xxxxxxxx): nízká až xxxxxxxx.

Xxxxxxx x. 3

Xxxxxxxxxxxxx x xxxxxx

Xxxx příloha xxxxxxxx kategorie xxxxxxxxxxxxx x xxxxxx, xxxxx xxxx xxxxxxx xxxxx xxxxxx xxx určování xxxxx, xxxxx jsou xxx xxxx aktivum xxxxxxxxxx. Povinná xxxxx xxx xxxxx xxxx xxxxxxxxx kategorií zranitelností x xxxxxx xxxx xxxxx konkrétní hrozby x xxxxxxxxxxxxx podle xxxxx bezpečnostních xxxxxx.

Xxxxxxxxxxxxx

1. Xxxxxxxxxxxx xxxxxx xxxxx,

2. xxxxxxxxxxx xxxxx,

3. xxxxxxxxxxxx xxxxxxx perimetru,

4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx xxxx, dodavatelů x vrcholného vedení,

5. xxxxxxxxxxxx zálohování,

6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,

7. xxxxxxxxxxxx xxxxxxx x xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,

8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů x administrátorů x xxxxxxxxxxx odhalit činnost, xxxxx xxxx xxx xxxx xx bezpečnost xxxxxxxxxx xxxxxx,

9. nedostatečné xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx a xxxxxxxxxx xxxxxx,

10. xxxxxxxxxxxx xxxxxxx xxxxx,

11. xxxxxxxx xxxxxxxx xxxxxxxx architektura,

12. nedostatečná xxxx nezávislé xxxxxxxx,

13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní role, xxxxxxxxxx a xxxxxxxxxx xxxxxx,

14. xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx znalostí,

15. umístění xxxxxx xxxx xxxxxxxx xxxxxxxx (xxxxxxxxx xx xxxxx cizího xxxxx),

16. xxxxxxxx xxxxxx xx xxxxx státu, x xxxxx xxxxxxx prostředí xxxx povinná osoba xxxxxxxxxx xxxxxxxx, x

17. xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx testování.

Hrozby

1. Xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze strany xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

2. poškození nebo xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,

3. xxxxxxxx xxxxxxxx,

4. xxxxxxx xxxxxxxxxxxx xxxxxxxx v rozporu x xxxxxxxxxx podmínkami,

5. xxxxxxxx kód,

6. xxxxxxxx xxxxxxx xxxxxxxxxxx,

7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, družicových xxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,

8. narušení xxxxxxxxxxx primárních nebo xxxxxxxxxx aktiv umístěných xxxx xxxxx Xxxxx xxxxxxxxx,

9. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx informací,

10. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,

11. nedodržení xxxxxxxxx xxxxxxx ze xxxxxx dodavatele,

12. xxxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x vrcholného xxxxxx,

13. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,

14. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx služeb elektronických xxxxxxxxxx, družicových xxxxxx, xxxxxxx elektrické xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,

15. zaměstnanci x xxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx,

16. cílený kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx špionážních xxxxxxx,

17. xxxxxxxx vyměnitelných xxxxxxxxxxx xxxxxx dat,

18. xxxxxxxx (odposlech, xxxxxxxxxx, xxxxxxxxx) xxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxx služeb,

19. xxxxxxxxx xx xxxxxxxxxx,

20. xxxxxxxx cizí xxxxxx xxxx xxx xxxxxxx x aktivům,

21. xxxxxxxxxxxx xxxx předání xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxx.

Xxxxxxx x. 4

Xxxxxxxxx xxxxx

(1) Jednoznačné xxxxxxxxx xxxxxx pro určení xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §8.

(2) Xxxxxxx xxxxxx xx nejčastěji vyjádřena xxxx xxxxxx, kterou xxxxxxxxx xxxxxxx aktiva, xxxxxx x xxxxxxxxxxxx.

(3) Xxx xxxxxxxxx rizik xxx použít funkci: Xxxxxx = hodnota xxxxxx x hrozba x xxxxxxxxxxxx, případně xxxxx xxxxxx xxxxxxxxx xxxxxxx.

(4) Xxxxxxx xxxxxx xx v xxxxx xxxxxxx xxxxxxxx z xxxxxxxxx xxxxx xxxxx přílohy č. 1 x této xxxxxxxx.

(5) X případě, xx povinná xxxxx xxxxxxx xx xxxxxxx §8 xxxx. 3 xxxxxx pro xxxxxxxxx xxxxx, která xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx možné xxxxxxxx pro xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxxxx vytvořit xxxxxxx kombinující hrozbu x xxxxxxxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx ke ztrátě xxxxxxxxxx xxxxxxxxx úrovně xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx použít xxxxxxxxx xxxxxxxx, xxxxx zřetelně xxxxxxx xxx xxxxxx xxxxxx, tak x xxxxxx zranitelnosti. Xxxxxxx xx postupuje i x xxxxxxxxx, xxx xxxxxxx xxxxx používá xxxx xxxxx úrovní xxx hodnoty xxxxx, xxxxxx, zranitelností x xxxxx.

Xxx. x. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xxxxxxxxxx nebo xx málo pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx častější než xxxxxx za 5 xxx.
Xxxxxxx	Xxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xx x xxxxxxx xx 1 roku xx 5 xxx.
Xxxxxx	Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Předpokládaná xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxxxx do 1 roku.
Kritická	Hrozba je xxxxx pravděpodobná až xxxxxxxx xxxxx. Předpokládaná xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx měsíc.

Tab. x. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxxxxxxxx xxxxxxxxxx xxxx xx zneužití xxxxxxxxxxxxx xxxx pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxx xxxxxxxx.
Xxxxxxx	Xxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx je xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x překonání bezpečnostních xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx o překonání xxxxxxxxxxxxxx opatření.
Vysoká	Zneužití xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx jejich účinnost xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxxxx	Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx xx víceméně jisté. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx xxxxxx xxxxxxxx značně omezena. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx úspěšné xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxx. x. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx.
Xxxxxxx	Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxxx opatřeními xxxx v xxxxxxx xxxxx xxxxxxxxxx bezpečnostních xxxxxxxx je xxxxxx xxxxxxxxxxxxxx.
Xxxxxx	Xxxxxx je xxxxxxxxxx xxxxxxxxxxx x musí xxx xxxxxxxx systematické xxxxx x xxxx xxxxxxxxxx.
Xxxxxxxx	Xxxxxx xx nepřípustné x musí být xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx.

(6) Xxxxx xx xxxxxxx xxxxxx xxxxx xxx xxxxxxx akceptovatelnosti, xx xxxxx xxxxxxxxxxxxx vhodná xxxxxxxxxxxx xxxxxxxx, snížit xxxxxxx xxxxxx nebo xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx Xxxxxx xxx xxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxxxxx

x) xxxxxxxxx rizika,

b) redukce xxxxxx,

x) xxxxxxxxx rizika,

d) xxxxxxx se xxxxxx, xxxx

x) xxxxxxxxx xxxx xxxxxxx xxxxxx.

Xxxxxxx x. 5

Xxxxxx xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx

Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx x níže xxxxxxxxx:

x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx z xxxxxxx xxxxxxxxxx (včetně xxxxxxxxxx o xxxxxxxxxxxx), xxxxxxxxx x xxxxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxx xxxxxx xxxx,

x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x kontrole xxxxxxxxxx xxxxxxxxxxxxxx opatření (xxxxxxxx xxxxxxxxxxxx xxxxxx),

x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx být xxxxxxxxx, že xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx a dodavatelem x xxxxxxx v xxxxxxx s xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky povinné xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx (nebo xxxxxxxxxxxx xxx xxxxxxxxxxxx xxxxx relevantních xxxxx xxxxxxxxxxxxxx xxxxxxx) povinnou xxxxxx,

x) xxxxxxxxxx x xxxxxx změn,

h) xxxxxxxxxx x xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x povinnosti dodavatele xxxxxxxxxx xxxxxxxx xxxxx x

1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících s xxxxxxx xxxxxxx,

2. způsobu xxxxxx rizik xx xxxxxx dodavatele x x zbytkových xxxxxxxx xxxxxxxxxxxxx s plněním xxxxxxx,

3. významné xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx korporacích xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, xxxxxxxxx změně xxxxxxxxx xxxxxxxx s xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x xxxxxxxx xxxxxx,

4. xxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx xxx xxxxxxxxxxxxxx xx území xxxxxx xxxxx, xxxxx xxxxxxx, xxx xx takové xxxxxxxxxxx bylo x xxxxxxx x xxxxxxx xxxxx, x jehož xxxxxxxxxx dochází ke xxxxxxxxxx xxx xxxx xxxxx xxxxxxx xxxx xxxxxx podána,

5. xxxxxxxxx xxxxxxx přicházejících xx xxxxxxxx s xxxxxxxxx xxxxxxxxxxx xxxxxxx osoby (xxxxx xx xxxxxxxxx x osoby zastávající xxxxxxxxxxxx xxxx, penetrační xxxxxxx x xxxxxxxxxxxxxx),

x) xxxxxxxxxxx xxxxxxxx x xxxxxxx bezpečnosti xxx xxxxxxxx smlouvy, xxx. xxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx spolupráce, xxx xx xxxxx ještě xxxxxxxx službu xxxx xxxxxxxxx xxxxxx xxxxxx, xxxxxxx dat x xxxxxxx),

x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxx xx plánů xxxxxx, plánů xxxxxxxxxx, xxxxx xxxxxxxxxx při xxxxxxxx řízení xxxxxxxxxx xxxxxxxx apod.),

l) specifikace xxxxxxxxxxx xxxxxxx o xxxxxx xxxxxx (SLA) x způsobu x xxxxxx realizace bezpečnostních xxxxxxxx.

x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxx bezpečného xxxxxx,

x) xxxxxxxxxxx xxxxxxxx xxx formát xxxxxxx xxx x xxxxxxxxx xx xxxxxxxx xxxxxxxx xxxxxx,

x) xxxxxxxx xxx xxxxxxxxx dat,

p) xxxxxxxxxx x právu xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx smlouvu xxxxxxxxx xxx xxxxxxxxx xxxx x xxxxxxx významné xxxxx kontroly nad xxxxxxxxxxx xxxx xxxxx xxxxxxxx nad xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx,

x) xxxxxxxxxx o xxxxxxxx xx xxxxxxxx xxxxxxxxxx a

r) xxxxxxxxxx x zpřístupnění xxxx xxxxxxx xxx xx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx dat xxxxxxxxxxxxxx xx xxxxx xxxxxx xxxxx

1. až xx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx,

2. až xx xxxxxxxxxx úsilí x xxxxxxxxx xxxxxxxxxxxx xxxx předání xxx x xxxxx možností xxxxxx právním xxxxx, x xxxxx působnosti xxxxxxx xx zpracování xxx xxxx xxxxx xxxxxxx byla xxxxxx xxxxxx,

3. xxxxx x xxxxxxxxx rozsahu.

Xxxxxxx č. 6

Xxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx

x) Xxxxxxxx xxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx, antivirový xxxxxxx x jejich xxxxxxx.

x) Škodlivé programy x jejich xxxxxxx.

x) Xxxxxx stahování xxxxxxxx x xxxxxxxx.

x) Xxxxxxxxxxx xxxxxxxx.

x) Xxxxxx povolení x xxxxxxxx spouštění xxxxx.

x) Xxxxxx xxxxxxxxxxxxx xxxxxxx.

x) Xxxxxx zabezpečení xxxxxxxxxxxxx účtů.

i) Používání, xxxxxx a xxxxxx xxxxx.

x) Xxxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx sociálního inženýrství.

l) Xx-xxxx xxxxxxxx, digitální xxxxx x xxxx xxxxxxxxxxxx.

x) Zásady xxxxx x počítačové xxxx.

x) Xxxxxxxxx xxxxxxxxxx xxxxxxxxx (XXX).

x) Xxxxxxxx elektronická xxxxxxxxxx.

x) Xxxxxxxxxx xxxxxxxx xxxxxxx.

x) Xxxxxxxxxx, xxxxxxxx x šifrování xxx.

x) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.

x) Xxxxxxxxx xxxxxx xxxxx xxxxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx chování technických xxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx.

x) Xxxxxxxx postup při xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxx událost xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxxxx používání xxxxxxxxxx zařízení pro xxxxxxxx xxxxx.

x) Xxxxxx xxxxxxxxxx používání xxxxxxxxxx xxxxxxxx xxx pracovní xxxxx (xxx. XXXX).

x) Xxxxxx odpovědnost zaměstnance xxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxx x kybernetické xxxxxxxxxxx.

Xxxxxxxxx

Xxxxxx předpis x. 409/2025 Xx. xxxxx xxxxxxxxx xxxx 1.11.2025.

Ke xxx uzávěrky xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.

Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx xx jich xxxxxx xxxxxxxxx změna xxxxx uvedeného xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2022/2555 ze xxx 14. prosince 2022 x opatřeních x xxxxxxxxx xxxxxx xxxxxxxx úrovně xxxxxxxxxxxx xxxxxxxxxxx v Xxxx x x změně xxxxxxxx (XX) x. 910/2014 x xxxxxxxx (XX) 2018/1972 a x xxxxxxx xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).

2) Xxxxx č. 134/2016 Sb., x xxxxxxxx xxxxxxxxx xxxxxxx, ve xxxxx xxxxxxxxxx xxxxxxxx.

3) Xxxxx xxxxxxx xxxxxxxxxxxxx standardu xxx. Xxxxxxx Light Protocolu xxxxxxxx Národní xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx na xxxxx xxxxxxxxxxxxx xxxxxxxxx.

Plné znění - 409/2025 Sb.

Na co čekáte? Nečekejte už ani minutu. Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

ČÁST PRVNÍ

ÚVODNÍ XXXXXXXXXX

Xxxxxxx xxxxxx xxxxxx

Vymezení xxxxx

XXXX XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

Xxxxxxxxxxx opatření

Systém xxxxxx xxxxxxxxxxx xxxxxxxxx

Xxxxxxxxx xx xxxxxxxx xxxxxx

Xxxxxxxxx xxxxxxxxxxxxxx xxxx

Xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx

Xxxxxx aktiv

Xxxxxx xxxxx

Xxxxxx xxxxxxxxxx

Bezpečnost lidských zdrojů

Xxxxxx xxxx

Xxxxxxxx, xxxxx x xxxxxx

Xxxxxx xxxxxxxx

Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

Řízení xxxxxxxxxx xxxxxxxx

Provádění auditu xxxxxxxxxxxx xxxxxxxxxxx

HLAVA II

Technická xxxxxxxx

Xxxxxxx xxxxxxxxxx

Xxxxxxxxxx xxxxxxxxxxxxx sítí

Xxxxxx x xxxxxxxxx xxxxxxx

Řízení xxxxxxxxxxxx xxxx x xxxxxxxxx

Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

Zaznamenávání xxxxxxxx

Xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

Xxxxxxxxx xxxxxxxxxx

Kryptografické xxxxxxxxx

Xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx

Zabezpečení xxxxxxxxxxxx, řídicích x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx

XXXX TŘETÍ

ZÁVĚREČNÁ XXXXXXXXXX

Xxxxxxxxx xxxxxxxxxx

XXXX XXXXXX

XXXXXXXX

Xxxxxxxx

Xxxxxxx č. 1

Xxxxxxxxx xxxxx

Xxxxxxx x. 2

Likvidace xxxxxxxxx a dat

Xxxxxxx x. 3

Xxxxxxx x. 4

Xxxxxxxxx xxxxx

Xxxxxxx x. 5

Xxxxxx xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx

Xxxxxxx č. 6

Xxxxxxxxx

Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.