Právní předpis byl sestaven k datu 20.03.2026.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy
411/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Bezpečnostní úroveň §3
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně §4
Účinnost §5
Příloha - Úrovně a oblasti dopadu pro zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně
411
XXXXXXXX
xx xxx 26. xxxx 2025
x xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx správy
Národní xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §12 odst. 2 xxxx. x) xxxxxx x. 365/2000 Xx., x xxxxxxxxxxxx xxxxxxxxx veřejné xxxxxx x x změně xxxxxxxxx xxxxxxx xxxxxx, xx znění xxxxxx x. 265/2025 Xx., (xxxx xxx „zákon“):
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx §6l xxxx. 3 zákona x xxxxx xxxxxxxx xxxxxx xxxxxxxx do xxxxxxxxxxxx xxxxxx.
§2
Vymezení pojmů
Pro xxxxx xxxx xxxxxxxx se xxxxxx
x) xxxxxxx dopadu xxxxxx vymezená přílohou x xxxx xxxxxxxx, x xxxxx xxxxx xxxx xxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx informační systém xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx být využíván xxxxx xxxxxxxxx, xxxx xx xxxxxxxxxx nebo xxxxxx lidí, ochranu xxxxxxxx údajů, xxxxxxx xxxxxx, xxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxx, xxxxxxxxxxxxx xxxxxx xxxxxxx xxxxxx, xxxxxxxx xxxxxx xxxx xxxxxxxxxxx služeb, a
b) xxxxxx dopadu nízká, xxxxxxx, vysoká nebo xxxxxxxx hodnota, xxxxx xxxxxxx xx závažnosti xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx cloud computing, x každé oblasti xxxxxx.
§3
Bezpečnostní úroveň
Bezpečnostní úroveň xx
x) xxxxx,
x) xxxxxxx,
x) xxxxxx, nebo
d) kritická.
§4
Xxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx být využíván xxxxx computing, xx xxxxxxxxxxxx úrovně
(1) Xxxxxxxx xxxxxxxxxxxx xxxxxxx veřejné xxxxxx, x zajištění xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxx správy podle přílohy x xxxx xxxxxxxx. Xxxxx xxxxxxx xxxxxx zhodnotí xxxxxxxx xxxxxx xxxxxx, které xx xxxxxxxxxx xxxxxx xxxxxxx správy, k xxxxxxxxx jehož provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxx xxxxx xxxxxxx dopadu. Xxxxxx xxxxxx xx x xxxxx xxxxx xxxxxxx xxxxxx xxxx xxxxxxxxxxxxxx možným dopadem xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxx xxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx incidentu orgán xxxxxxx xxxxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx cloud xxxxxxxxx, x povahu xxxxxx systému xxxx xxxxx. X xxxxxxx, xx má xxx xxxxx xxxxxxxxxxx zajištěn xxxxxx xxxxx xxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxx správy, xxxxxxxx xx při hodnocení xxxxxx xxxxxx x xxxxxxxxxx této xxxxx xx xxxxxxxxxxxx xxxxxx xxxx vztah xxxx xxxxx x xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxx xxxxxx xxxx xxxxx.
(3) Xxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, je xxxxxx x xxxxxxxx xxxxxx xxxxxx dosaženou xxx hodnocení xxxxxxxxxxxx xxxxxxx xxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxx xxxxx xxxx xxx xxxxxxxxx xxxxxxx pro xxxxx xxxx informačního systému xxxxxxx xxxxxx, x xxxxxxxxx jehož xxxxxxx xx xxx využíván xxxxx xxxxxxxxx.
(5) O xxxxxxx stanovení xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxx správy, x xxxxxxxxx jehož provozu xx být xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxx se xxxxxxx xxxxxxx xxxxxx.
§5
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxxxxxx 2025.
&xxxx;
Xxxxxxx:
Xxx. Xxxxx x. x.
Xxxxxxx
Xxxxxx a xxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx využíván xxxxx xxxxxxxxx, xx bezpečnostní xxxxxx
xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, do xxxxxxxxxxxx xxxxxx
|
Xxxxxxx xxxxxx |
||||||||
|
Xxxxxx xxxxxx |
X. |
X. |
X. |
D. |
E. |
X. |
X. |
H. |
|
1. Xxxxx |
Xxxxxx vést x xxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxxx lidí. |
Nemůže xxxxxxxx xxxxxxxxxx systém xxxxxxx správy, x xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx má xxx využíván xxxxx xxxxxxxxx, který xxxxxxxx xxxxxxx dvě xxxxxxxx x xxxxx skupiny xxxxxxxx pro xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx xxxxx. |
Xxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx, zneužití xxxxxxxxx xxxxxx xxxxx xxxx padělání x xxxxxxxxx veřejné xxxxxxx xxx nemůže xxxxxx xxxxxx vyšetřování. |
Nemůže zapříčinit xxxxxxxx xxxxxxxx xxxx xxxxx narušit xxxxxxx xxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx xxxxx České xxxxxxxxx x xxxxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx xxxxxx x xxxxxx subjekty xxxx xxxxxx x xxxxxxxxxx, xxxx xxxx vztahy x nimi negativně xxxxxxxx, avšak xxxxxxxxx xxxxxxxx xxxxx xxx xxxxxxx lokální. |
Nemůže ani xxxxxxx xxxx x xxxxxxxxx xxxxxxx, nebo xxxx xxxx k xxxxxxxxx ztrátám menším xxx 1 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx. |
Xxxxxx způsobit xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx služeb, xxxx xxxx xxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxx 5 000 x xxxx xxxx. |
|
2. Xxxxxxx |
Xxxx vést x xxxxxx xxxxxx xxxxxxxxxxx xxxx xxxxxxx xxxxxxx 100 xxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx a xxxx kritérií x xxxxx skupiny xxxxxxxx xxxx xxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx xxxxx. |
Xxxx vytvořit xxxxxxxx xxx xxxxxxx xxxxxxxxx činů přisvojení xxxxxxxxx xxxxx, zneužití xxxxxxxxx úřední osoby xxxx padělání a xxxxxxxxx xxxxxxx listiny xxxx xxxx ztížit xxxxxx vyšetřování. |
Může xxxxxxxxxx xxxxxxxx nepokoje xxxx xxxxx xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxx. |
Xxxx negativně xxxxxxxx xxxxx Xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxx x xxxxxx subjekty xxxx vztahy x xxxxxxxxxx, xxxxx negativní xxxxxxxx xxxxx být xxxxxxx xxxxxxxxxx. |
Xxxx xxxx x xxxxxxxxx ztrátám xx xxxx xxxx 1 % a 5 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx x tyto ztráty xxxxxxxxxx xxxxxx 100 000 Xx a xxxxx. X případě, xx xxxx xxxxxxxx xxxxxx odpovídá xxxxxx xxxxx než 100 000 Xx, xxxxxxx xx úroveň dopadu xxxxx. |
Xxxx způsobit xxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx pro xxxx xxx 5 000, xxxxxxx xxxx 50 000 osob. |
|
3. Vysoká |
Může xxxx x poruše xxxxxx xxxxxxx více xxx 100 xxxx x xxxxxxx 2 500 xxxx nebo xxxxxxx ohrožení xxxx xxxxxx života xxxxxxxxxxx xxxx skupiny xxxxxxx 250 lidí. |
Může negativně xxxxxxxx informační xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx x xxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxx oblast xxxxxx X. Xxxxxxx xxxxxxxx xxxxx. |
Xxxx vést x xxxxxxxx vyšetřování xxxxxxx xxxxxxxx xxxx x xxxxxxxx soudního řízení xxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx s regionálními xxxxxx. |
Xxxx xxxxxxxxx ovlivnit xxxxx Xxxxx republiky xx xxxxx. |
Xxxx negativně xxxxxxxx xxxxxx x xxxxxx xxxxxxxx nebo xxxxxx s veřejností, xxxxx xxxxxxxxx xxxxxxxx xxxxx být xxxxxxx xxxxxxxxxx xxxx krátkodobé x mezinárodním xxxxxx. |
Xxxx xxxx x finančním xxxxxxx xxxxxx xxx 5 % x xxxxxxxxxxx xxxxxxxxx 10 % běžných xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx a xxxx ztráty xxxxxxxxxx xxxxxx 1 000 000 Xx x xxxxx, nebo může xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx xxxxxxxxx xx xxxx xxxx 0,1 % a 0,5 % xxxxxxx domácího xxxxxxxx. X případě, xx xxxx finanční xxxxxx xxxxxxxx částce xxxxx než 1 000 000 Kč, xxxxxxx se xxxxxx xxxxxx xxxxxxx. |
Xxxx xxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxx xxx xxxx xxx 50 000 xxxx. |
|
4. Kritická |
Může xxxx k xxxxxx xxxxxx skupiny více xxx 2 500 xxxx nebo x xxxxxxx ohrožení xxxx xxxxxx xxxxxx xxxxxxx xxxx xxx 250 xxxx. |
Xxxx xxxx x xxxxxxx nebo narušení xxxxxxxxxx osobních xxxxx, xxxxx je nezbytné xxx zajišťování obranných x xxxxxxxxxxxxxx xxxxx Xxxxx republiky. |
Může vést x xxxxxxxxx x xxxxxxxxxxxx narušení schopnosti xxxxxxxxxx xxxxxxxx xxxxxxx xxxx xx zpochybnění xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx. |
Xxxx být xxxxxxx xxxxxxxx infrastruktura xxxxxxxxxxx xxxxxxx veřejné xxxxxx, xxxxx informační xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx být využíván xxxxx computing, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x xxxx zapříčinit xxxxxxxx nepokoje nebo xxxxx xxxxxxx xxxxxxx xxxxxxx pořádek x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x xxxxxxx xxxxxxxxx xxxx xxxxxxxxx diplomatických xxxxxx České xxxxxxxxx xx zahraničními xxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxx veřejné xxxxxx, x zajištění xxxxx provozu má xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx úrovně, a xxxx xxxxxxxxx ovlivnit xxxxxx s xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx a xxxxxxxxx xxxxxxxx mohou xxx xxxxxxxxxx x x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x finančním xxxxxxx vyšším než 10 % běžných xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx x xxxx xxxxxx xxxxxxxxxx xxxxxx 10 000 000 Kč x xxxxx, xxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx republiky xxxxx xxx 0,5 % xxxxxxx xxxxxxxx xxxxxxxx. X xxxxxxx, xx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxx 10 000 000 Kč, xxxxxxx se xxxxxx xxxxxx xxxxxx. |
Xxxx být xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx orgánem veřejné xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx jehož xxxxxxx má xxx xxxxxxxx cloud xxxxxxxxx, xxxxxxxx xx bezpečnostní xxxxxx, x xxxx xxxxx x rozsáhlému xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx nebo jinému xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xxxx než 125 000 xxxx. |
Xxxxxxx kritérií xxx xxxxxx xxxxxx X. Ochrana xxxxxxxx xxxxx
1)&xxxx;Xxxxx skupinu xxxxxxxx xxxxx xxxx kritéria:
a) zpracovávají xx xxxxxx xxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxx xxxxxxxx xxxxx x souvislostech xxxxxxxxxxxxx xxxxxxxxx cti, pověsti xxxx xxxxxxxxxx xxxx xxxxxxxxxx na účet xxxxxxxx údajů xxxxxxxx xxxxxx, xxxxx, popřípadě xxxxxxx xxxxxx xxxx xxxx majetkové xxxxxxx,
x)&xxxx;xxxxxxxxxxxx xx xxxxxx xxxxx, xxxxx xxxxxxx je xxxxxxx xxxxx xxxxxxxxxxx xxxx člen xxxxxxx x xxxxxx xxxxxxxx xxxx situačně xxxxx xxxxxxxxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx údajů, xxxxxx xx dotčeno xxxx xxx xxxxxxx xxxxxxxxxxxx, xx xxxx xxxxxxx 5000 až 10000 xxxxxxxx xxxxx,
x)&xxxx;xxxxxx xxxxx xxxx veřejně xxxxxxxxx xxxxxxxxxxx xxxxx orgánů xxxx osob x
x)&xxxx;xxxxx xx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx x xxxxxxxxxx xx xxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxx xxxx xx xxxxx x xxxxxx xxxxx xxxxxxx xx xxxxxx xxxxxxx xxxxxxxx xxxxx.
2)&xxxx;Xxxxxx skupinu xxxxxxxx xxxxx xxxx xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx zvláštní kategorie xxxxxxxx xxxxx nebo xxxxx xxxxxx xxxxxx xxxxxx, zejména xxxxxxxx xxxxx x xxxxx xxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx, záznamy x xxxxxxxx soukromých xxxxxx xxxxxxxx xxxxx, xxxxx x xxxxxxxxxxxx pošty xxxxxxxx xxxxx a xxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxx, kterým xx dotčeno xxxx xxx důvodně xxxxxxxxxxxx, xx xxxx xxxxxxx xxxx xxx 10000 xxxxxxxx xxxxx x
x)&xxxx;xxxxxxx x xxxxxxxxxxxxxxxx rozhodování, xxxxx se xxxxxx xxxxxxxx xxxxx.
Xxxxxxxxx
Xxxxxx xxxxxxx x. 411/2025 Xx. xxxxx xxxxxxxxx xxxx 1.11.2025.
Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx není aktualizováno, xxxxx xx xxxx xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.