Právní předpis byl sestaven k datu 13.05.2026.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy
411/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Bezpečnostní úroveň §3
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně §4
Účinnost §5
Příloha - Úrovně a oblasti dopadu pro zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně
411
XXXXXXXX
xx xxx 26. xxxx 2025
x xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systémů xxxxxxx správy
Národní úřad xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §12 xxxx. 2 písm. x) xxxxxx č. 365/2000 Xx., x xxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx x x změně xxxxxxxxx xxxxxxx zákonů, xx xxxxx zákona x. 265/2025 Xx., (xxxx xxx „zákon“):
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx podle §6l xxxx. 3 xxxxxx x xxxxx xxxxxxxx xxxxxx zařazení xx xxxxxxxxxxxx úrovně.
§2
Vymezení xxxxx
Xxx účely xxxx xxxxxxxx xx xxxxxx
x) oblastí dopadu xxxxxx xxxxxxxx přílohou x xxxx vyhlášce, x xxxxx xxxxx xxxx xxx dopad xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx informační xxxxxx xxxxxxx správy, k xxxxxxxxx jehož xxxxxxx xx být xxxxxxxx xxxxx computing, xxxx xx xxxxxxxxxx nebo xxxxxx xxxx, xxxxxxx xxxxxxxx údajů, trestní xxxxxx, xxxxxxx pořádek, xxxxxxxxxxx xxxxxx, důvěryhodnost xxxxxx xxxxxxx xxxxxx, xxxxxxxx ztráty xxxx xxxxxxxxxxx xxxxxx, x
x) xxxxxx xxxxxx nízká, xxxxxxx, vysoká nebo xxxxxxxx xxxxxxx, která xxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xx informační xxxxxx veřejné xxxxxx, x xxxxxxxxx jehož xxxxxxx xx být xxxxxxxx cloud computing, x každé xxxxxxx xxxxxx.
§3
Xxxxxxxxxxxx xxxxxx
Xxxxxxxxxxxx xxxxxx xx
x) xxxxx,
x) xxxxxxx,
x) xxxxxx, nebo
d) xxxxxxxx.
§4
Xxxxxxxx informačního xxxxxxx xxxxxxx správy, x xxxxxxxxx jehož xxxxxxx xx být xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx
(1) Xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx cloud xxxxxxxxx, xx bezpečnostní xxxxxx xxxxxxx xxxxx xxxxxxx xxxxxx xxxxx přílohy x xxxx xxxxxxxx. Xxxxx veřejné xxxxxx xxxxxxxx xxxxxxxx xxxxxx dopadu, xxxxx xx xxxxxxxxxx xxxxxx xxxxxxx správy, x xxxxxxxxx jehož xxxxxxx xx xxx využíván xxxxx computing, xxxxxxx xxxxxxxxx v xxxxx xxxxx xxxxxxx dopadu. Xxxxxx dopadu xx x rámci každé xxxxxxx dopadu dána xxxxxxxxxxxxxx xxxxxx dopadem xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxx zjišťování xxxxxxxxxxxxxxx xxxxxxx dopadu kybernetického xxxxxxxxxxxxxx incidentu orgán xxxxxxx xxxxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x zajištění xxxxx provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx, a xxxxxx xxxxxx xxxxxxx xxxx xxxxx. X xxxxxxx, xx xx xxx xxxxx computingem zajištěn xxxxxx xxxxx určité xxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, xxxxxxxx xx xxx hodnocení xxxxxx dopadu x xxxxxxxxxx xxxx xxxxx xx xxxxxxxxxxxx xxxxxx xxxx xxxxx xxxx xxxxx k xxxxxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxx xxxxxx jako xxxxx.
(3) Xxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx být xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxx x nejvyšší xxxxxx xxxxxx xxxxxxxxx xxx hodnocení xxxxxxxxxxxx xxxxxxx xxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx veřejné xxxxxx xxxx celku xxxx xxx xxxxxxxxx xxxxxxx pro jednu xxxx informačního xxxxxxx xxxxxxx správy, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx.
(5) X xxxxxxx stanovení bezpečnostní xxxxxx informačního systému xxxxxxx xxxxxx, x xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx computing, podle xxxxxxxxxxx odstavců xx xxxxxxx písemný xxxxxx.
§5
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxxxxxx 2025.
Ředitel:
Ing. Xxxxx x. x.
Xxxxxxx
Xxxxxx x xxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx veřejné xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, xx bezpečnostní xxxxxx
xxxxxxxxx jehož provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx
|
Xxxxxxx xxxxxx |
||||||||
|
Xxxxxx xxxxxx |
X. |
X. |
X. |
X. |
E. |
X. |
X. |
X. |
|
1. Xxxxx |
Xxxxxx xxxx x xxxxxx zdraví xxxxxxxxxxx xxx xxxxxxx xxxx. |
Xxxxxx xxxxxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, k xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxx xxxx negativně xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x zajištění xxxxx provozu xx xxx xxxxxxxx cloud xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxxxx x první xxxxxxx xxxxxxxx xxx oblast xxxxxx X. Xxxxxxx xxxxxxxx xxxxx. |
Xxxxxx vytvořit xxxxxxxx pro xxxxxxx xxxxxxxxx xxxx přisvojení xxxxxxxxx xxxxx, xxxxxxxx xxxxxxxxx xxxxxx osoby xxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx xxx nemůže xxxxxx xxxxxx xxxxxxxxxxx. |
Xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx narušit veřejný xxxxxxx. |
Xxxxxx xxxxxxxxx ovlivnit xxxxx České xxxxxxxxx x zahraničí. |
Nemůže xxxxxxxxx xxxxxxxx xxxxxx s xxxxxx xxxxxxxx xxxx xxxxxx s xxxxxxxxxx, xxxx xxxx xxxxxx x xxxx negativně xxxxxxxx, avšak xxxxxxxxx xxxxxxxx xxxxx xxx xxxxxxx xxxxxxx. |
Xxxxxx ani xxxxxxx xxxx k xxxxxxxxx xxxxxxx, xxxx xxxx vést x xxxxxxxxx xxxxxxx xxxxxx xxx 1 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx orgánu veřejné xxxxxx. |
Xxxxxx xxxxxxxx omezení, xxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx, xxxx xxxx xxxxxxxx xxxxxxx, narušení nebo xxxxxxxxxxxx poskytovaných xxxxxx xxx 5 000 x xxxx osob. |
|
2. Xxxxxxx |
Xxxx xxxx x xxxxxx xxxxxx xxxxxxxxxxx xxxx xxxxxxx xxxxxxx 100 xxxx. |
Xxxx negativně xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx správy, x xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx computing, xxxxx xxxxxxxx tři x xxxx kritérií x xxxxx xxxxxxx xxxxxxxx xxxx jedno kritérium x xxxxx xxxxxxx xxxxxxxx pro xxxxxx xxxxxx B. Ochrana xxxxxxxx xxxxx. |
Xxxx xxxxxxxx xxxxxxxx xxx páchání xxxxxxxxx xxxx přisvojení xxxxxxxxx xxxxx, xxxxxxxx xxxxxxxxx úřední xxxxx xxxx xxxxxxxx a xxxxxxxxx veřejné listiny xxxx xxxx ztížit xxxxxx xxxxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx nepokoje xxxx xxxxx narušit xxxxxxx xxxxxxx x xxxxxxxxx xxxxxx. |
Xxxx negativně ovlivnit xxxxx Xxxxx republiky x sousedních xxxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx vztahy x xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxx. |
Xxxx xxxx x finančním xxxxxxx xx xxxx xxxx 1 % a 5 % xxxxxxx xxxxxx xxxxxxx rozpočtu xxxxxx veřejné xxxxxx x xxxx ztráty xxxxxxxxxx xxxxxx 100 000 Xx a xxxxx. X xxxxxxx, xx výše xxxxxxxx xxxxxx odpovídá částce xxxxx xxx 100 000 Kč, xxxxxxx xx xxxxxx dopadu xxxxx. |
Xxxx xxxxxxxx omezení, xxxxxxxx nebo xxxxxxxxxxxx xxxxxx xxx xxxx xxx 5 000, xxxxxxx však 50 000 osob. |
|
3. Xxxxxx |
Xxxx xxxx k xxxxxx xxxxxx skupiny více xxx 100 lidí x nejvíce 2 500 xxxx nebo xxxxxxx ohrožení xxxx xxxxxx života jednotlivce xxxx skupiny xxxxxxx 250 lidí. |
Může xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx provozu xx být xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx x xxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxx oblast xxxxxx X. Ochrana osobních xxxxx. |
Xxxx xxxx x xxxxxxxx xxxxxxxxxxx trestné xxxxxxxx xxxx k xxxxxxxx xxxxxxxx řízení xxxxxxxxx. |
Xxxx zapříčinit hromadné xxxxxxxx xxxx xxxxx xxxxxxx xxxxxxx veřejný xxxxxxx s xxxxxxxxxxxx xxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx xxxxxxxxx xx světě. |
Může xxxxxxxxx xxxxxxxx xxxxxx s xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxx být nejvýše xxxxxxxxxx nebo xxxxxxxxxx x mezinárodním xxxxxx. |
Xxxx xxxx k finančním xxxxxxx xxxxxx xxx 5 % a xxxxxxxxxxx maximálně 10 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx x xxxx xxxxxx xxxxxxxxxx xxxxxx 1 000 000 Xx x xxxxx, nebo xxxx xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx xxxxxxxxx ve xxxx mezi 0,1 % x 0,5 % xxxxxxx xxxxxxxx xxxxxxxx. X případě, xx xxxx xxxxxxxx xxxxxx odpovídá xxxxxx xxxxx než 1 000 000 Xx, xxxxxxx se xxxxxx xxxxxx střední. |
Může xxxxxxxx xxxxxxx, narušení xxxx xxxxxxxxxxxx služeb pro xxxx než 50 000 xxxx. |
|
4. Kritická |
Může xxxx x xxxxxx xxxxxx xxxxxxx více xxx 2 500 xxxx xxxx x xxxxxxx xxxxxxxx xxxx xxxxxx xxxxxx xxxxxxx xxxx xxx 250 xxxx. |
Xxxx vést k xxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx, xxxxx je xxxxxxxx xxx zajišťování obranných x bezpečnostních zájmů Xxxxx republiky. |
Může xxxx x xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx schopnosti xxxxxxxxxx xxxxxxxx xxxxxxx xxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx. |
Xxxx xxx dotčena xxxxxxxx xxxxxxxxxxxxxx provozovaná xxxxxxx veřejné xxxxxx, xxxxx informační xxxxxx xxxxxxx správy, x xxxxxxxxx xxxxx xxxxxxx xx být využíván xxxxx computing, xxxxxxxx xx bezpečnostní úrovně, x může xxxxxxxxxx xxxxxxxx nepokoje nebo xxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx s xxxxxxxxxxxx xxxxxx. |
Xxxx vést x xxxxxxx xxxxxxxxx xxxx xxxxxxxxx diplomatických xxxxxx Xxxxx republiky xx xxxxxxxxxxxx xxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx cloud xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x xxxx negativně xxxxxxxx xxxxxx x xxxxxx xxxxxxxx xxxx vztahy x xxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxx xxx xxxxxxxxxx x x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx xxxxxx xxx 10 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx x xxxx ztráty xxxxxxxxxx xxxxxx 10 000 000 Xx x xxxxx, xxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxx České xxxxxxxxx xxxxx xxx 0,5 % xxxxxxx domácího xxxxxxxx. V xxxxxxx, xx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxx 10 000 000 Xx, xxxxxxx xx úroveň xxxxxx xxxxxx. |
Xxxx být xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx být xxxxxxxx xxxxx xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x může xxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxx jinému xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xxxx než 125 000 lidí. |
Skupiny xxxxxxxx xxx xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx xxxxx
1)&xxxx;Xxxxx xxxxxxx xxxxxxxx xxxxx tato xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx osobní údaje xxxxxxxxxx bez xxxxxxx xxxxxxxxxx nebo xxxxxx xxxxxx xxxxxxxx údajů x xxxxxxxxxxxxx znamenajících xxxxxxxxx xxx, xxxxxxx xxxx xxxxxxxxxx nebo xxxxxxxxxx na xxxx xxxxxxxx xxxxx odebírat xxxxxx, xxxxx, xxxxxxxxx xxxxxxx xxxxxx xxxx xxxx majetkové hodnoty,
b) zpracovávají xx xxxxxx xxxxx, xxxxx kterých je xxxxxxx údajů xxxxxxxxxxx xxxx xxxx skupiny x xxxxxx xxxxxxxx xxxx xxxxxxxx xxxxx xxxxxxxxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxx, xxxxxx xx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxx, xx bude xxxxxxx 5000 xx 10000 xxxxxxxx xxxxx,
x)&xxxx;xxxxxx xxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx orgánů xxxx osob a
e) jedná xx x xxxxxxxxxx xxxxxxxx údajů xxxxxxxx x xxxxxxxxxx na xxxx xxxxxxxxxx prováděná xxxxxxx xxxxxxxx xxxxxxxx xxxxx nebo xx xxxxx x osobní xxxxx získané od xxxxxx xxxxxxx xxxxxxxx xxxxx.
2)&xxxx;Xxxxxx skupinu xxxxxxxx xxxxx xxxx kritéria:
a) zpracovávají xx xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxx vysoce xxxxxx xxxxxx, xxxxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxx, dluzích xxxx xxxxxxxx nebo platební xxxxxxx, záznamy x xxxxxxxx soukromých volání xxxxxxxx údajů, xxxxx x xxxxxxxxxxxx xxxxx xxxxxxxx xxxxx x xxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx údajů, kterým xx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxx, xx xxxx xxxxxxx xxxx xxx 10000 xxxxxxxx xxxxx a
c) dochází x automatizovanému rozhodování, xxxxx xx xxxxxx xxxxxxxx xxxxx.
Xxxxxxxxx
Xxxxxx xxxxxxx x. 411/2025 Xx. xxxxx xxxxxxxxx xxxx 1.11.2025.
Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx aktualizováno, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx právního xxxxxxxx.