Právní předpis byl sestaven k datu 08.12.2025.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy
411/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Bezpečnostní úroveň §3
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně §4
Účinnost §5
Příloha - Úrovně a oblasti dopadu pro zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně
411
XXXXXXXX
xx xxx 26. xxxx 2025
x xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx
&xxxx;
Xxxxxxx xxxx xxx kybernetickou x xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §12 xxxx. 2 xxxx. x) xxxxxx x. 365/2000 Xx., x xxxxxxxxxxxx xxxxxxxxx veřejné xxxxxx x x xxxxx xxxxxxxxx dalších zákonů, xx xxxxx xxxxxx x. 265/2025 Xx., (xxxx xxx „xxxxx“):
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systémů veřejné xxxxxx xxxxx §6l xxxx. 3 zákona x blíže upravuje xxxxxx xxxxxxxx do xxxxxxxxxxxx xxxxxx.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx xxxxxxxx xx xxxxxx
x) oblastí xxxxxx xxxxxx xxxxxxxx přílohou x této xxxxxxxx, x rámci které xxxx mít xxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxx xx xxxxxxxxxx nebo xxxxxx xxxx, xxxxxxx xxxxxxxx xxxxx, xxxxxxx xxxxxx, xxxxxxx xxxxxxx, xxxxxxxxxxx vztahy, důvěryhodnost xxxxxx xxxxxxx xxxxxx, xxxxxxxx ztráty nebo xxxxxxxxxxx služeb, x
x) xxxxxx xxxxxx xxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxx xxxxxxx, která xxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, x xxxxx xxxxxxx xxxxxx.
§3
Xxxxxxxxxxxx úroveň
Bezpečnostní úroveň xx
x) xxxxx,
x) střední,
c) xxxxxx, xxxx
x) kritická.
§4
Xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, k xxxxxxxxx jehož provozu xx být xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx
(1) Xxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, x zajištění xxxxx provozu xx xxx xxxxxxxx cloud xxxxxxxxx, do xxxxxxxxxxxx xxxxxx provede xxxxx xxxxxxx xxxxxx podle přílohy k této xxxxxxxx. Orgán xxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxx, které xx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx jehož provozu xx xxx využíván xxxxx computing, xxxxxxx xxxxxxxxx x xxxxx xxxxx xxxxxxx xxxxxx. Xxxxxx dopadu je x xxxxx xxxxx xxxxxxx dopadu dána xxxxxxxxxxxxxx xxxxxx dopadem xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxx zjišťování nejzávažnějšího xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxx xxxxx xxxxxxxx důvěrnosti, xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, x xxxxxx xxxxxx xxxxxxx xxxx xxxxx. X případě, xx xx xxx xxxxx computingem xxxxxxxx xxxxxx xxxxx určité xxxxx xxxxxxxxxxxx systému xxxxxxx správy, xxxxxxxx xx xxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx této xxxxx xx bezpečnostní xxxxxx xxxx vztah xxxx xxxxx k xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx správy xxxx xxxxx.
(3) Xxxxxxxx bezpečnostní xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, k xxxxxxxxx jehož provozu xx xxx využíván xxxxx xxxxxxxxx, xx xxxxxx x xxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxx xxxxxxxxx jednotlivých xxxxxxx xxxxxx.
(4) Nejvyšší xxxxxxxxx xxxxxxxxxxxx úroveň xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxx xxxxx xxxx xxx xxxxxxxxx xxxxxxx xxx xxxxx xxxx informačního xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx být využíván xxxxx computing.
(5) X xxxxxxx stanovení xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx správy, x xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, podle xxxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxx záznam.
§5
Xxxxxxxx
Xxxx vyhláška nabývá xxxxxxxxx dnem 1. xxxxxxxxx 2025.
&xxxx;
Xxxxxxx:
Xxx. Xxxxx x. r.
Xxxxxxx
Xxxxxx x xxxxxxx xxxxxx xxx zařazení xxxxxxxxxxxx systému xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx využíván cloud xxxxxxxxx, do xxxxxxxxxxxx xxxxxx
xxxxxxxxx xxxxx xxxxxxx xx být využíván xxxxx xxxxxxxxx, do xxxxxxxxxxxx úrovně
|
Oblasti xxxxxx |
||||||||
|
Xxxxxx xxxxxx |
X. |
X. |
C. |
X. |
X. |
X. |
X. |
X. |
|
1. Xxxxx |
Xxxxxx xxxx x xxxxxx xxxxxx xxxxxxxxxxx xxx skupiny xxxx. |
Xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx správy, x xxxxxxxxx jehož xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, xxxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx veřejné xxxxxx, x xxxxxxxxx xxxxx provozu má xxx xxxxxxxx cloud xxxxxxxxx, který naplňuje xxxxxxx dvě kritéria x xxxxx xxxxxxx xxxxxxxx xxx oblast xxxxxx X. Ochrana xxxxxxxx xxxxx. |
Xxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx činů xxxxxxxxxx xxxxxxxxx úřadu, xxxxxxxx xxxxxxxxx úřední xxxxx xxxx xxxxxxxx x xxxxxxxxx veřejné xxxxxxx xxx xxxxxx xxxxxx xxxxxx xxxxxxxxxxx. |
Xxxxxx xxxxxxxxxx xxxxxxxx nepokoje xxxx xxxxx xxxxxxx xxxxxxx xxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx xxxxxxxxx x zahraničí. |
Nemůže xxxxxxxxx xxxxxxxx xxxxxx s xxxxxx xxxxxxxx xxxx xxxxxx s veřejností, xxxx může xxxxxx x xxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxx být xxxxxxx xxxxxxx. |
Xxxxxx xxx xxxxxxx xxxx k xxxxxxxxx xxxxxxx, nebo xxxx vést x xxxxxxxxx xxxxxxx menším xxx 1 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx orgánu xxxxxxx xxxxxx. |
Xxxxxx způsobit xxxxxxx, xxxxxxxx xxxx nedostupnost xxxxxxx poskytovaných služeb, xxxx může xxxxxxxx xxxxxxx, narušení xxxx xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxx 5 000 x xxxx xxxx. |
|
2. Xxxxxxx |
Xxxx xxxx k xxxxxx xxxxxx jednotlivce xxxx xxxxxxx xxxxxxx 100 xxxx. |
Xxxx negativně xxxxxxxx informační systém xxxxxxx správy, x xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx a xxxx kritérií x xxxxx xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxx x xxxxx skupiny xxxxxxxx xxx oblast xxxxxx B. Ochrana xxxxxxxx xxxxx. |
Xxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx činů xxxxxxxxxx xxxxxxxxx úřadu, xxxxxxxx xxxxxxxxx úřední osoby xxxx xxxxxxxx x xxxxxxxxx xxxxxxx listiny xxxx xxxx ztížit xxxxxx xxxxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx veřejný xxxxxxx x xxxxxxxxx xxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx xxxxxxxxx x xxxxxxxxxx státech. |
Může xxxxxxxxx xxxxxxxx vztahy x xxxxxx xxxxxxxx xxxx xxxxxx s xxxxxxxxxx, avšak negativní xxxxxxxx mohou xxx xxxxxxx xxxxxxxxxx. |
Xxxx xxxx x finančním xxxxxxx xx xxxx xxxx 1 % a 5 % xxxxxxx xxxxxx xxxxxxx rozpočtu xxxxxx veřejné správy x tyto ztráty xxxxxxxxxx xxxxxx 100 000 Xx x xxxxx. V případě, xx xxxx finanční xxxxxx xxxxxxxx xxxxxx xxxxx xxx 100 000 Xx, xxxxxxx xx xxxxxx xxxxxx xxxxx. |
Xxxx způsobit xxxxxxx, xxxxxxxx xxxx nedostupnost xxxxxx xxx xxxx xxx 5 000, xxxxxxx však 50 000 osob. |
|
3. Vysoká |
Může xxxx x poruše xxxxxx xxxxxxx xxxx xxx 100 xxxx x xxxxxxx 2 500 lidí xxxx xxxxxxx xxxxxxxx xxxx xxxxxx života xxxxxxxxxxx xxxx xxxxxxx xxxxxxx 250 lidí. |
Může xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx správy, k xxxxxxxxx xxxxx provozu xx být xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx x xxxx kritérií x xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx xxxxx. |
Xxxx vést k xxxxxxxx vyšetřování xxxxxxx xxxxxxxx xxxx k xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx xxxxxxx veřejný xxxxxxx x regionálními xxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx xxxxxxxxx xx xxxxx. |
Xxxx negativně xxxxxxxx xxxxxx x xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx, xxxxx negativní xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx xxxx krátkodobé x xxxxxxxxxxxx prvkem. |
Může xxxx x xxxxxxxxx xxxxxxx xxxxxx xxx 5 % a xxxxxxxxxxx xxxxxxxxx 10 % xxxxxxx výdajů xxxxxxx rozpočtu xxxxxx xxxxxxx xxxxxx x xxxx xxxxxx xxxxxxxxxx xxxxxx 1 000 000 Xx x xxxxx, nebo xxxx xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx xxxxxxxxx xx xxxx xxxx 0,1 % x 0,5 % xxxxxxx domácího xxxxxxxx. X xxxxxxx, xx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxx 1 000 000 Xx, xxxxxxx xx xxxxxx xxxxxx střední. |
Může způsobit xxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxx služeb xxx xxxx xxx 50 000 xxxx. |
|
4. Kritická |
Může xxxx x xxxxxx xxxxxx xxxxxxx více xxx 2 500 xxxx xxxx x xxxxxxx xxxxxxxx xxxx xxxxxx xxxxxx xxxxxxx xxxx xxx 250 xxxx. |
Xxxx xxxx k xxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxx údajů, xxxxx je nezbytné xxx zajišťování obranných x xxxxxxxxxxxxxx zájmů Xxxxx republiky. |
Může xxxx x xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx xxxx xx zpochybnění xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx infrastruktura xxxxxxxxxxx xxxxxxx veřejné xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxx správy, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx, zařazuje xx xxxxxxxxxxxx xxxxxx, x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx nebo xxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxxxxx dopady. |
Může xxxx x xxxxxxx xxxxxxxxx xxxx xxxxxxxxx diplomatických xxxxxx Xxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, k zajištění xxxxx xxxxxxx má xxx xxxxxxxx cloud xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x xxxx xxxxxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx a xxxxxxxxx xxxxxxxx xxxxx xxx xxxxxxxxxx x x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx xxxxxx než 10 % xxxxxxx xxxxxx xxxxxxx rozpočtu xxxxxx xxxxxxx xxxxxx x tyto xxxxxx xxxxxxxxxx částce 10 000 000 Kč x vyšší, xxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx xxxxxxxxx xxxxx xxx 0,5 % hrubého xxxxxxxx xxxxxxxx. X xxxxxxx, xx xxxx finanční xxxxxx odpovídá xxxxxx xxxxx xxx 10 000 000 Xx, xxxxxxx se xxxxxx xxxxxx vysoká. |
Může být xxxxxxx kritická xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, který xxxxxxxxxx xxxxxx veřejné xxxxxx, x zajištění xxxxx xxxxxxx má xxx xxxxxxxx xxxxx computing, xxxxxxxx do xxxxxxxxxxxx xxxxxx, x xxxx xxxxx x rozsáhlému xxxxxxx xxxxxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx než 125 000 lidí. |
Skupiny kritérií xxx xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx xxxxx
1)&xxxx;Xxxxx xxxxxxx xxxxxxxx xxxxx tato kritéria:
a) zpracovávají xx osobní xxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxx subjektu údajů x xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, xxxxxxx xxxx charakteru xxxx xxxxxxxxxx xx účet xxxxxxxx xxxxx xxxxxxxx xxxxxx, xxxxx, xxxxxxxxx xxxxxxx xxxxxx nebo xxxx xxxxxxxxx xxxxxxx,
x)&xxxx;xxxxxxxxxxxx xx xxxxxx údaje, xxxxx xxxxxxx xx xxxxxxx xxxxx xxxxxxxxxxx xxxx xxxx skupiny x xxxxxx xxxxxxxx xxxx xxxxxxxx danou xxxxxxxxxxxxx,
x)&xxxx;xxxxxxx xx zpracování xxxxxxxx údajů, xxxxxx xx xxxxxxx xxxx xxx xxxxxxx předpokládat, xx xxxx xxxxxxx 5000 až 10000 xxxxxxxx xxxxx,
x)&xxxx;xxxxxx xxxxx xxxx veřejně xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxx osob x
x)&xxxx;xxxxx xx x zpracování xxxxxxxx údajů xxxxxxxx x propojením xx xxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx osobních xxxxx nebo se xxxxx x osobní xxxxx získané od xxxxxx správců osobních xxxxx.
2)&xxxx;Xxxxxx skupinu kritérií xxxxx xxxx kritéria:
a) zpracovávají xx xxxxxxxx kategorie xxxxxxxx údajů xxxx xxxxx vysoce xxxxxx xxxxxx, zejména finanční xxxxx x stavu xxxxxxx, xxxx finančních xxxxxxxxxx, dluzích xxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxx, xxxxx x elektronické xxxxx xxxxxxxx xxxxx x xxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxx, xxxxxx xx xxxxxxx xxxx xxx důvodně xxxxxxxxxxxx, xx xxxx dotčeno xxxx než 10000 xxxxxxxx xxxxx a
c) dochází x xxxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxx xxxxxxxx xxxxx.
Xxxxxxxxx
Xxxxxx xxxxxxx x. 411/2025 Xx. nabyl xxxxxxxxx xxxx 1.11.2025.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem jiných xxxxxxxx předpisů v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx změna xxxxx uvedeného xxxxxxxx xxxxxxxx.