EPIS® Právní systém | Plné znění

Právní předpis byl sestaven k datu 20.03.2026.

Zobrazené znění právního předpisu je účinné od 01.11.2025.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět právní úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - Organizační opatření

Systém řízení bezpečnosti informací §3

Požadavky na vrcholné vedení §4

Stanovení bezpečnostních rolí §5

Řízení bezpečnostní politiky a bezpečnostní dokumentace §6

Řízení aktiv §7

Řízení rizik §8

Řízení dodavatelů §9

Bezpečnost lidských zdrojů §10

Řízení změn §11

Akvizice, vývoj a údržba §12

Řízení přístupu §13

Zvládání kybernetických bezpečnostních událostí a incidentů §14

Řízení kontinuity činností §15

Provádění auditu kybernetické bezpečnosti §16

HLAVA II - Technická opatření

Fyzická bezpečnost §17

Bezpečnost komunikačních sítí §18

Správa a ověřování identit §19

Řízení přístupových práv a oprávnění §20

Detekce kybernetických bezpečnostních událostí §21

Zaznamenávání událostí §22

Vyhodnocování kybernetických bezpečnostních událostí §23

Aplikační bezpečnost §24

Kryptografické algoritmy §25

Zajišťování dostupnosti regulované služby §26

Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv §27

ČÁST TŘETÍ - ZÁVĚREČNÁ USTANOVENÍ

Přechodné ustanovení §28

ČÁST ČTVRTÁ - ÚČINNOST

Účinnost §29

Příloha č. 1 - Hodnocení aktiv

Příloha č. 2 - Likvidace informací a dat

Příloha č. 3 - Zranitelnosti a hrozby

Příloha č. 4 - Hodnocení rizik

Příloha č. 5 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy

Příloha č. 6 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

409

VYHLÁŠKA

ze xxx 26. xxxx 2025

o xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx v xxxxxx xxxxxxx povinností

Národní xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §13 xxxx. 3 zákona x. 264/2025 Xx., x xxxxxxxxxxxx xxxxxxxxxxx, (xxxx xxx „zákon“):

ČÁST XXXXX

XXXXXX USTANOVENÍ

§1

Předmět xxxxxx úpravy

Tato vyhláška xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx unie¹⁾ x xxx xxxxxxxxxxxxx regulované xxxxxx x režimu xxxxxxx povinností (xxxx xxx „xxxxxxx osoba“) xxxxxxxx obsah xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx.

§2

Vymezení xxxxx

Xxx účely xxxx vyhlášky se xxxxxx

x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx orgán xxxxxxx xxxx, xxxxx využívá xxxxxx,

x) xxxxxxxxxxxxxx uživatelem xxxxxxxx xxxx jiná xxxxx, xxxxx xxxxxxx xx xxxxxxxxxx aktivu xxxx xxx xxxxxxxx xxxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxx,

x) administrátorem xxxxxxxxxxxxx uživatel xxxx xxxx osoba xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx aktiva,

d) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x pravidel, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxxxxx xxxxx xxxxxx xxxxxxxx, xxxxxxx a xxxxxxxxxxx xxxxx,

x) řízením rizik xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, zavádění xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx x xxxxxxxxxx xxxxx,

x) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxxxxxx xxxxx založená xx xxxxxxxx x rizikům, xxxxxxxxxx způsob xxxxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x

x) xxxxxxxxx dodavatelem xxx, kdo xxxxxxx xxxxx xxxxxxxxx plnění, xxxxx je xxxxxxxx x hlediska zajištění xxxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx.

ČÁST DRUHÁ

BEZPEČNOSTNÍ OPATŘENÍ

HLAVA X

Xxxxxxxxxxx xxxxxxxx

§3

Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx

Xxxxxxx osoba x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací

a) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx k xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxx xxxxxx,

x) xxxx xxxxxx xxxxx §8,

c) zavede x xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x zajištění xxxxxxxxxxxx xxxxxxxxxxx regulované služby xx základě xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxx rizik,

d) xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, a xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx oblastech podle §6,

x) zajistí xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §16,

x) zajistí xxxxxxx xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx

1. xxxxxxxxxxx xxxx systému řízení xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxxx kybernetické xxxxxxxxxxx xxxxxxxxxx xxxxxx,

2. xxxxxxxxx naplňování xxxxx xxxxxxxx rizik xxxxxxxxxxxx xxxxx §8 odst. 1 písm. g),

3. xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx,

4. xxxxxxxxx xxxxxxxx xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x oblasti kybernetické xxxxxxxxxxx,

5. xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx,

6. xxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xx xxxxxxxxxxx služby podle §15 x

7. xxxxxxxxx xxxxxxxxxx xxxx podle §11,

x) xxxxxxxx xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx podle xxxxxxx f),

h) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx

1. xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx v oblasti xxxxxxxxxxxx bezpečnosti,

2. výsledků xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

3. xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxx x

4. prováděných xxxxxxxxxx xxxx,

x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x zaznamenává xxxxxxxx spojené xx xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxx a

j) stanoví xxxxxx xxxxxx xxxxxxx x xxxxxxxx stanovených x xxxxxxxxxxxx politice xxxxx xxxxxxx d).

§4

Xxxxxxxxx xx xxxxxxxx xxxxxx

(1) Statutární xxxxx xxxxxxx osoby nebo xxxx xxxxx anebo xxxxxxx xxxx x xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxx osoby (xxxx xxx „xxxxxxxx xxxxxx“) x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) xxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxx §10 xxxx. 3 xxxx. a),

b) zajistí xxxxxxxxx bezpečnostní xxxxxxxx x xxxx xxxxxxx xxxxxx bezpečnosti informací xxxxx §3, slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,

x) zajistí xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xx xxxxxxx povinné xxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,

e) xxxxxxxxx xxxxxxxxxxx x xxxxxxx dotčené xxxxx x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx s xxxx xxxxxxxxx,

x) xxxxxxx podporu x dosažení xxxx xxxxxxx řízení bezpečnosti xxxxxxxxx,

x) xxxx a xxxxxxxxx xxxxxxxxxxx x xxxxxxxxx efektivity xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xx xxxxxx na xxxxxxxxxxx xxxxxxx dopadů xxxxx §15,

x) zajistí xxxxxxxxx xxxxx kontinuity xxxxxxxx, xxxxx xxxxxx x xxxxxxx xxxxxxxxx xx zvládáním xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,

j) xxxxxxxxx xxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické bezpečnosti x oblastech jejich xxxxxxxxxxxx,

x) zajistí stanovení xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx a xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx všech xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx, x

x) zajistí xxx xxxxx zastávající bezpečnostní xxxx xxxxxxxxx xxxxxxxx xxx naplňování xxxxxx xxxx a zdroje, xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx a plnění xxxxxxxxxxxxx xxxxx.

(2) Vrcholné xxxxxx se xxxxxxxxxxxx xxxxxxxxx

x) xx xxxxxxx x přezkoumání systému xxxxxx xxxxxxxxxxx informací,

b) xx xxxxxxx o xxxxxxxxx xxxxx,

x) x xxxxxx zvládání xxxxx,

x) x xxxxxxxx analýzy xxxxxx a

e) x xxxxxxxx auditů kybernetické xxxxxxxxxxx x kontrol x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(3) Xxxxxxxx vedení xxxxx výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x určí xxxx xxxxx, přičemž

a) xxxxxxx, xx xxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx alespoň 1 člen xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxx xxxxx a xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x jeho xxxxx, xxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx konání xxxxxxxxxxxx xxxxxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x

x) xxxxxxx, xx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx x osob s xxxxxxxxxxx x odbornou xxxxxxxxxxxx pro xxxxxxx xxxxxx a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx se podílejících xx řízení x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.

(4) Xxxxxxxx xxxxxx určí xxxxx, xxxxxx vymezení xxxxxx práv a xxxxxxxxxx xxxxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxx xxxxxxxx bezpečnostní xxxx

x) xxxxxxxx kybernetické xxxxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,

c) xxxxxxx aktiva a

d) xxxxxxxx kybernetické bezpečnosti.

(5) Xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx v xxxxxxxx 4 písm. x) x x).

§5

Stanovení bezpečnostních xxxx

(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xx xxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx xxxxxxxxxxxx bezpečnosti xxxx s řízením xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx 3 xxx,

x) odpovídá za xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx x

1. činnostech xxxxxxxxxxxxx z rozsahu xxxx xxxxxxxxxxxx a

2. xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,

x) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxx.

(2) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, aby xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx služby, xxxxxxx xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxx xxxxxxx 3 xxx.

(3) Xxxxxx aktiva je xxxxxxx k xxxxxxxxx xxxxxxx, použití a xxxxxxxxxx aktiva.

(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) je xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této role xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxx xxxxxxx 3 xxx,

x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je nestranné, x

x) nesmí být xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx rolí.

§6

Řízení bezpečnostní politiky x xxxxxxxxxxxx dokumentace

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx ve xxxxxx x řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx x relevantním bezpečnostním xxxxxxxxx xxxxxxxx x §3 xx 27.

(2) Xxxxxxx xxxxx xxxxxxxx xxxxxxxx a postupy xxxxxxxxx v xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1.

(3) Povinná xxxxx xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx, xxxxxxxxx xxxxxx xxxxxxxxxx a xxxxxx xxxxxxxxxx xxxxxxx zahrnuje xx xxxxxxxx xxxxxxxxxxx, xxxxxxxx x xxxxxxx.

(4) Xxxxxxx osoba xxxx xxxxx xxxxxxxxxx za xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 3.

(5) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxx xxx, xxx byly

a) dostupné x xxxxxxxxxxxx xxxx xxxxxxxx xxxxxx,

x) dotčené xxxxx x xxxxx xxxxxxx osoby xxxxxxxxxxx x xxxxxxx, xxxxxxxxxxxx x postupech x xxxx xxxxxxxxxx,

x) přiměřeně xxxxxxxx dotčeným xxxxxx,

x) xxxxxxxx z xxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx x

x) xxxxxxxxx x xxxx xxxxxxxx xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x vyhledatelné.

§7

Xxxxxx xxxxx

Xxxxxxx xxxxx x návaznosti xx xxxxxxxxx rozsahu xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §12 zákona

a) xxxxxxx xxxxxxxx pro xxxxxxxx xxxxx,

x) stanoví xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxx, alespoň v xxxxxxx xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,

x) xxxxxxx xxxxxxx xxxxx podle §4 xxxx. 4 písm. x),

x) hodnotí primární xxxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx do xxxxxxxxxxxx xxxxxx xxxxx písmene x),

x) posuzuje při xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxxxxx x příloze č. 1 x xxxx xxxxxxxx,

x) xxxxxx x xxxxxxx xxxxx xxxx aktivy, xxxxx xxxx xxxx xx xxxxxxxxxx xxxxxxxxxx služby,

g) xxxxxxx xxxxxxxx aktiva x xxxxxxx přitom xxxxxxx x xxxxxxxx xxxxx xx primární xxxxxx x

x) pro xxxxxxxxxx úrovně xxxxx xxxxx xxxxxxx x) xxxxxxxxx x zavádí xxxxxxxx xxxxxxx nutná xxx xxxxxxxxxxx jejich xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, xxxxx obsahují xxxxxxx

1. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,

2. pravidla xxx manipulaci x xxxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx aktiv,

3. pravidla xxx xxxxxxxxxxx informací,

4. xxxxxxxx xxx označování xxxxx,

5. pravidla správy xxxxxxxxx xxxxx a

6. xxxxxxxx pro xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxx x xxxxxx kopií x xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxxxxxxx x xxx x xxxxxxx xx xxxxxx xxxxx x xxxxxxx x přílohou č. 2 x xxxx xxxxxxxx.

§8

Řízení rizik

(1) Xxxxxxx xxxxx při řízení xxxxx x návaznosti xx §7

a) xxxxxxx xxxxxxxx pro xxxxxxxx x xxxxxxxxx rizik, xxxxxx stanovení xxxxxxxx xxx akceptovatelnost rizik,

b) xxx xxxxxxxx rizik x xxxxxxx na xxxxxx xxxxxx relevantní xxxxxx x zranitelnosti; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx hrozeb a xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,

x) provádí xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxx x při xxxxxxxxxx xxxxxxx xxxxxxxx xxxxx §11 xxxx. 1 xxxx. c), xxx xxxxxx xxxxxxxx

1. xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxx xxxxxxx x) x xxxxxxx xxxxx dopady xx xxxxxx, xxxxxxx vychází x xxxxxxxxx xxxxx xxxxx §7,

2. významné xxxxx,

3. xxxxx xxxxxxxxxxx xxxxxxx podle §12 xxxxxx,

4. xxxxxxxxxxxxx xxxxx §20 xxxxxx,

5. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených,

6. xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxx kybernetické bezpečnosti,

7. xxxxxxxx xxxxxxxxxxxx testování x skenování xxxxxxxxxxxxx x

8. výsledky vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,

d) xxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxx v xxxxxxx přílohy č. 4 x xxxx xxxxxxxx,

x) xx xxxxxxx xxxxxxxxxxx xxxxxxxxx rizik xxxxx písmene x) xxxxxxxx xxxxxx x xxxxxxxxx rizik,

f) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx opatření požadovaných xxxxx vyhláškou, která

1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx x xxxxxxx xxxxxxxxxx přijatých xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, a

2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,

x) xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxx písmene x) x x xxxxxxx se xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx xxxxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx

1. xxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxx,

2. cíle x xxxxxxx bezpečnostních opatření xxx zvládání xxxxx,

3. xxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx,

4. xxxxxxxxxxxxx xxxxxx, finanční x xxxxxxxxx xxxxxx xxx xxxxxxxx bezpečnostních xxxxxxxx,

5. xxxxxxxxxx xxxxxx xxxxxxxx bezpečnostních opatření,

6. xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x

7. xxxxxxxxx způsob xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxx xxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxx zavádí bezpečnostní xxxxxxxx.

(3) Hodnocení rizik xxxx být zajištěno x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx v xxxxxxxx 1 písm. x), xxxxx xxxxxxx xxxxx xxxxxxx stejnou nebo xxxxx xxxxxx xxxxxxx xxxxxxxxx rizik x xxxxxxxxx v xxxxxxx x xxxxxxxxx 5 přílohy č. 4 x xxxx xxxxxxxx.

(4) Povinná osoba xxxxxx xxxxxxxxxx některá xxxxxxxxxxxx opatření stanovená xxxxx xxxxxxxxx pouze xx xxxxxxx provedeného xxxxxx rizik.

§9

Xxxxxx xxxxxxxxxx

(1) Xxxxxxx xxxxx při xxxxxx xxxxxxxxxx

x) stanoví xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxxx seznamuje své xxxxxxxxxx x pravidly xxxxx xxxxxxx a) x xxxxxxxx plnění xxxxxx xxxxxxxx,

x) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,

x) identifikuje a xxxxxxx xxx významné xxxxxxxxxx ve xxxxxx §2 xxxx. x),

x) xxxxxxxxxxxx xxxxxxx informuje xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),

x) xxxxxxx v xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x významnými xxxxxxxxxx, aby smlouvy xxxxxxxxx x významnými xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx uvedená v příloze č. 5 k této xxxxxxxx, a

g) pravidelně xxxxxxxxxxx xxxxxx xxxxx x významnými xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.

(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxxxxxxxx xxxx

x) xxxxxxx x rámci xxxxxxxxxx xxxxxx podle xxxxxx o zadávání xxxxxxxxx xxxxxxx²⁾ xxxx xxxx uzavřením smlouvy xxxxxxxxx rizik souvisejících x xxxxxxx xxxxx přílohy č. 4 x této xxxxxxxx,

x) stanoví x xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x smluvně xxxx xxxxx xxxxxxxx xxxxxxxxxxxx xx xxxxxxxx x kontrolu bezpečnostních xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx xxxxxx x

x) xxxxxxx v xxxxxx xx xxxxxx x zjištěné nedostatky xxxxxx řešení, xxxxx xxxxx přijata xxx xxxxxxxxxx odkladu.

(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) jsou

a) xxxxxxxxxxxxx xxxxx xxxxxxx osoby, xxxxxx xxxxxxx, xx xxxxxxx xxxxx xx xxxxxxxxxxxxxx regulované xxxxxx x režimu xxxxxxx xxxxxxxxxx,

x) xxxxx regulované xxxxxx povinné osoby,

c) xxxxxxxxxxxxx údaje xxxxxxxxxx xxxxxxxxxx x

x) prohlášení, xx xxxxxxxxx je xxx povinnou osobu xxxxxxxxx dodavatelem.

§10

Bezpečnost lidských xxxxxx

(1) Xxxxxxx xxxxx x xxxxx bezpečnosti lidských xxxxxx s ohledem xx stav x xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, jehož xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx povědomí včetně xxxxx, obsahu a xxxxxxx poučení a xxxxxxx xxxxx xxxxxxxx 2.

(2) Povinná xxxxx xxxxxx do xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí

a) xxxxxxx vrcholného xxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxxxxxx politice, xxxxxxx v oblastech xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxx xxxxx,

x) xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx,

x) potřebná xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxxx tvorby xxxxxxxxxx xxxxx x xxxxxxx x §19 x

x) relevantní xxxxxx xxxxxxx v příloze č. 6 x xxxx xxxxxxxx.

(3) Xxxxxxx osoba x xxxxx xxxxxxxxxxxxxx povědomí xxxxxxx

x) poučení xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxx, o xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxx systému řízení xxxxxxxxxxx informací, řízení xxxxx x xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x pravidelných xxxxxxx k xxxxxxx xxxxxxxx x dovedností xxxxxxxxx k xxxxxxxx xxxxx a xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x jejich xxxxxx xx xxxxxxxxxxx xxxxxx,

x) xxxxxxx uživatelů, administrátorů x xxxx zastávajících xxxxxxxxxxxx role o xxxxxx povinnostech x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,

x) xxxxxxxxxx xxxxxxx školení xxxxxx xxxxxxxxxxxx bezpečnostní xxxx, xxxxxxx xxxxxxx x xxxxxxxxxx potřeb xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti, a

d) xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxxxxxx v souladu x xxxxxx xxxxxxxx xxxxxx xxxx služebním xxxxxxxxx.

(4) Povinná xxxxx x xxxxx xxxxxxxxxxx xxxxxxxx zdrojů

a) určí xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou v xxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx,

x) xxxxxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx xxxxx xxxxxxxx 3,

x) xxxxxxxxxx xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxx činností xxxxxxxxx se zlepšováním xxxxxxxxxxxxxx povědomí,

d) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxx pravidla x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x

x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxx xxxxxxxx nebo xxxxx smluvního xxxxxx x xxxxxxxxxxxxxx a xxxxxxx zastávajícími xxxxxxxxxxxx xxxx.

(5) Povinná xxxxx xxxx o xxxxxxx x xxxxxxx xxxxx xxxxxxxx 3 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx a xxxxxxx xxxxxx xxxxxxx xxxx, xxxxx poučení x xxxxxxx absolvovaly.

§11

Řízení xxxx

(1) Povinná xxxxx xxx řízení xxxx u xxxxx

x) xxxxxxx xxxxxxxx, postupy x xxxxxxxx xxx xxxxxx xxxxxxxxxx změn,

b) xxxx xxxxx, xxxxx xxxx xxxx xxxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx,

x) určuje x změn určených xxxxx xxxxxxx x) xxxxxxxx změny v xxxxxxx se stanovenými xxxxxxxx, xxxxxxx x xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxx xxxxx xxxxxxx x).

(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx

x) xxxxxxxxxxx xxxxxx xxxxxx,

x) xxxx xxxxxx xxxxxxx s xxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxx všech xxxxxxxxxxxx xxxxxx spojených x xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxxxxx,

x) zajistí jejich xxxxxxxxx před xxxxxxxx xx xxxxxxx x

x) xxxxxxx možnost navrácení xx původního xxxxx.

(3) Xxxxxxx xxxxx xx xxxxxxx výsledků řízení xxxxx podle xxxxxxxx 2 písm. x) xxxxxxxxx x provedení xxxxxxxxxxxx testování; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování, xxxxxxxxx xxxxx §24 xxxx. 5.

§12

Akvizice, xxxxx x xxxxxx

(1) Povinná osoba x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxx

x) xxxx xxxxxx,

x) xxxx xxxxxxxx xxxxx podle §11,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx, které xxxxxxxx x relevantní xxxxxxxxxxxx xxxxxxxx stanovená touto xxxxxxxxx,

x) xxxxxx bezpečnostní xxxxxxxxx xxxxxxxxx xxxxx xxxxxxx x) do xxxxxxxxx xxxxxxxx, vývoje x xxxxxx x

x) xxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxx, x xxxxxxx ochranu informací x dat, které xx x xxx xxxxxxxxx.

(2) Povinná osoba xxxxxxx při xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxxxxxx aktiva

a) xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxxx, xxxxxx požadavků xxxxx §19 odst. 2,

x) xxxxxxxxxxxxx kryptografické xxxxxxxxx, xxxxxx požadavku xxxxx §25 xxxx. 1 písm. a) x §25 xxxx. 3 xxxx. a) x

x) xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xx dobu xxxx xxxxxxxxx cyklu.

§13

Xxxxxx xxxxxxxx

(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxx řídí přístup x aktivům x xxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx ochrany xxxxxxxxxxxx x xxxxxxxxxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx ověření identity xxxxx §19 a 20.

(2) Xxxxxxx xxxxx xxxx xxx řízení xxxxxxxx x aktivům

a) xxxx xxxxxxx xx xxxxxxx skupin nebo xxxx,

x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x xxxxxx xxxxx x xxxxxxxxx identifikátor daného xxxx účtu, xxxxxxx xxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxxxx účty xxxxx xxxxx,

x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxxxx xxxx technických xxxxx,

x) xxxxxx x xxxxxxx x xxxxxxxx x) bezpečnostní xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx obdobných technických xxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxx, xxxxx povinná xxxxx xxxx ve xxx xxxxxx,

x) omezí x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

x) xxxxxxxxx x xxxxxxx přístupová xxxxx x oprávnění x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,

x) provádí xxxxxxxxxx xxxxxxxxxxx veškerých xxxxxxxxxxxx xxxx a xxxxxxxxx včetně rozdělení xx xxxxxx x xxxx,

x) xxxxxxx xxxxxxxxxxx xxxxxxxx nebo změnu xxxxxxxxxxxx práv x xxxxxxxxx xxx xxxxx xxxxxx xxxx zařazení xx základě xxxxxx x xxxx,

x) zajistí xxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxx x oprávnění při xxxxxxxx xxxx změně xxxxxxxxx xxxxxx, xx xxxxxxx kterého xxxxx xx xxxxxxx xxxxxxxx x aktivům,

k) xxxxxxxxxxx xxxxxxxxxxx x odebírání xxxxxxxxxxxx xxxx a xxxxxxxxx x

x) využívá xxxxxxx xxx xxxxxx x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxx §20.

§14

Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx

(1) Xxxxxxx xxxxx při xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

x) xxxxxx xxxxxxx, xxxxxxxx x postupy pro xxxxxxx, zaznamenávání a xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx v xxxxxxx x §21 až 23,

x) xxxxxx procesy, xxxxxxxx x xxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxx

1. detekci, xxxxxxxxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

2. xxxxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxx x xxxxxxxx xxxxxxxx x postupy xxx xxxxxxxxxxxx, sběr, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) zajistí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §21,

x) xxxxxxx, že uživatelé, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx neobvyklé xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx na xxxxxxxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx kterých xxxx xxx xxxxxxxxxx, xxx xxxx být xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,

x) zajistí zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx stanovených postupů,

i) xxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §15 xxxxxx,

x) prošetří a xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,

x) vede xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx a x jejich xxxxxxxx,

x) xxxxxxx xxxxxxxxx závěrečné xxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x významným xxxxxxx xxxxx §16 xxxxxx, xxxxxx popisu příčiny xxxxxx kybernetického bezpečnostního xxxxxxxxx s xxxxxxxxx xxxxxxx, pokud je xxxxx, x

x) xxxxxxxxx xxxxxxxx řešení kybernetického xxxxxxxxxxxxxx incidentu a xx základě xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx řešeného kybernetického xxxxxxxxxxxxxx xxxxxxxxx, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.

(2) Povinná xxxxx xxxx při xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxxx xxxxx §21 x 23.

§15

Xxxxxx xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx

x) stanoví xxxxxxxx pro xxxxxxxxx xxxxxxx xxxxxx,

x) xxxxxxx xxxxxxx dopadů, xxxxxxxxxxx x dokumentuje xxxxx xxxxxx kybernetických bezpečnostních xxxxxxxxx a zohlední xxxxxxxxx xxxxx xxxxx §8,

x) na základě xxxxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx činností xxxxxx xxxxxx

1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx přijatelná xxx xxxxxxx, provoz x xxxxxx xxxxxxxxxx xxxxxx,

2. xxxx obnovení xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena minimální xxxxxx poskytovaných služeb xxxxxxxxxx služby, x

3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx které xxxx xxx xxxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx činností, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx písmene x), x xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx činností a xxxxx xxxxxx související x xxxxxxxxxxxx xxxxxxxxxx xxxxxx x

x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxx §26.

§16

Provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx osoba xxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(2) Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti

a) xxxxxxxx, xxx xxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxx zákonem x xxxxx vyhláškou,

b) posuzuje xxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxx, xxxxxxxxx předpisy, xxxxxxxxx závazky a xxxxxxxx xxxxx a

c) xxxxxxx x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x postupů xxxxxxxxxxx x xxxxxxxxxxxx politice, xxxxxx xxxxxxxxxxx technické xxxxx x xxxxx xxxxxxxxxxx nápravných opatření xxxxx odstavce 3 xxxx. b).

(3) Povinná xxxxx

x) xxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxx xxxxxxxx 2 xx

1. xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

2. xxxxxx xxxxx a

b) xxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx xxxxxxxx opatření, xxxxx budou xxxxxxx xxx xxxxxxxxxx xxxxxxx.

(4) Xxxxx kybernetické bezpečnosti xxxxx odstavce 2 xx prováděn

a) xxx xxxxxxxxxx změnách, x xx x xxxxx xxxxxx xxxxxxx,

x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx za 2 xxxx x

x) x xxxxxxx s xxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.

(5) Xxxx-xx x odůvodněných xxxxxxxxx xxxxx provést xxxxx x celém xxxxxxx podle xxxxxxxx 2 xx lhůtě xxxxx xxxxxxxx 4 xxxx. b), je xxxxx audit xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx celcích xxx, aby xxx xxxxxxx xxxx xxxxxx xxxxxx podle xxxxxxxx 2 xxxxxxx xxxxxx xx 5 let.

(6) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx prováděn xxxxxx vyhovující podmínkám xxxxxxxxxx x §5 xxxx. 4, xxxxx xxxxxxxxx hodnotí správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

HLAVA XX

Xxxxxxxxx opatření

§17

Fyzická xxxxxxxxxx

Xxxxxxx xxxxx v xxxxx xxxxxxx bezpečnosti

a) xxxxxxxxx xxxxxxxxx, xxxxxxxx, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx do xxxx x xxxxxxxx bezpečnosti xxxxxxxxxxx regulované služby,

b) xxxxxxx fyzický bezpečnostní xxxxxxxx ohraničující xxxxxx, xx které xxxx xxxxxxxxxx nebo zpracovávány xxxxxxxxx x xxxx, xxxx xx xxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx regulované xxxxxx,

x) xxxxxxx fyzické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx podle xxxxxxx b) s xxxxxxx xx hodnocení xxxxxxxxxx xxxxxxxxxxx xxxxx xx jednotlivých xxxxxx xxxxxxx xxxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx perimetry x xxxxxx úrovně xxxxxxx xxxxxxx xxxxxxxxxxx x

x) xxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xx xxxx xxxxxx fyzické xxxxxxx xxxxxxxxxx podle xxxxxxx c) relevantní xxxxxxxxxxxx opatření xxxxxxx xxxxxxx

1. k zamezení xxxxxxxxxxxxx vstupu,

2. x xxxxxxxx xxxxxxxxx, odcizení, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx xxxx x narušení bezpečnosti xxxxxxxxxxx xxxxxxxxxx xxxxxx,

3. x xxxxxxxxx xxxxxxx xxxxxxx xxxxx x xxxxxx xxxxxxxxxxxx prostor,

4. xxx xxxxxxxxx detekce xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x

5. x xxxxxxxx vstupů a xxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

§18

Xxxxxxxxxx komunikačních sítí

Povinná xxxxx pro xxxxxxx xxxxxxxxxxx komunikační xxxx, x xx xxxxxx xxxxxx síťového perimetru

a) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx sítě, xxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxxx, vývojového, xxxxxxxxxxx, xxxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxx,

x) zajistí xxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx sítě,

c) xxxxxxx řízení vzdáleného xxxxxxxx ke xxxxxxxxxxx xxxx,

x) zajistí xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxx x xxxxxxx s písmeny x) xx x) xxxxx takovou komunikaci, xxxxx xx xxxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxxx xxxxxx,

x) zajistí x xxxxxxx s xxxxxxx c) x x) xxxxxx omezení xxxxxxxxxx x opětovné xxxxxxx xxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx po xxxxxxxxx xxxx,

x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §25 x xxxxxxxx protokolů důvěrnost x xxxxxxxxx při xxxxxxx xxxxxxxxx x xxx,

x) využívá nástroj, xxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx, x

x) dokumentuje xxxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxxxxxx.

§19

Xxxxxx x ověřování xxxxxxx

(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxx, xxxxx zajišťuje

a) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxx aktivit,

b) řízení xxxxx xxxxxxx xxxxxxxxxxx xxxxxx o přihlášení,

c) xxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx údajů xxxx xxxxxxx a xxxxxxxxxxxxxx, xxxxx xx xxxxx narušit jejich xxxxxxxxx nebo integritu,

d) xxxxxxxx xxxxxxx identity xx xxxxxxxxx době xxxxxxxxxx,

x) dodržení xxxxxxxxxx xxx xxxxxxxxx výchozích xxxxxxxxxxxxxx xxxxx x xxx obnově xxxxxxxx x

x) centralizovanou xxxxxx xxxxxxx x ohledem xx xxxxx xxxx xxxxxx.

(2) Xxxxxxx xxxxx xxx xxxxxxx identity xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxx

x) využívá xxxxxxxxxxxx xxxxxxxxxxx, který xx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx dvěma xxxxxxx xxxx xxxxxxx, xxxx xxxxxxx xxxxxxxxxxxx mechanismus, xxxxx xx xxxxxxx xx aktuálně xxxxxx xxxxxxxxxxx xxxxxxxxxxx založené xx xxxxxx xxxxxx xxxxxx, a

b) xx xxxx splnění požadavků xxxxx xxxxxxx a) xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx nebo xxxxxxxxxxx.

(3) Xxxxxxx xxxxx xx xxxx xxxxxxx xxxxxxxxx xxxxx odstavce 2 xxxx. x) xxxx xxxxxxxx technických xxxxx, xxxx x xxxxxxxxxxxxxx mechanismů, xxxxx xxxx xxxxxxxxx xxxxxxxxx, x xx xxxxxx xxxxxxxxxx.

(4) Xxxxxxx osoba xx xxxx xxxxxxx xxxxxxxxx podle xxxxxxxx 2 využívá xxxxxxx xxxxxxxx xx autentizaci xxxxxx identifikátoru xxxx x xxxxx, kdy xxxxx nástroj xxxx xxxxxxxxx xxxxxxxx

x) délky xxxxx xxxxxxx

1. 12 xxxxx xxx xxxx xxxxxxxxx,

2. 17 znaků xxx xxxx xxxxxxxxxxxxxx,

3. 22 xxxxx xxx xxxx xxxxxxxxxxx aktiv,

b) xxxxxxxxxx xxxxx xxxxx x délce xxxxxxx 64 xxxxx,

x) xxxxxxxxxxx xxxxxxx malých a xxxxxxx písmen, xxxxxx x xxxxxxxxxxx znaků,

d) xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx změnu xxxxx, xxxxxxx období xxxx xxxxx xxxxxxx xxxxx xxxxx xxx kratší xxx 30 xxxxx,

x) xxxxxxx xxxxx hesla x intervalu xxxxxxx xxxxxx xx 18 xxxxxx x

x) xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx

1. xxxxxx si xxxxxxxxxx x xxxxx xxxxxxxxx xxxxx,

2. xxxxxx xxxxx xx základě xxxxxxxxxxxx xxxxxxxxxxx xx znaků, xxxxxxxxxxxxxx jména, xxxxxx xxxxxxxxxxxx pošty, xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx a

3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx.

(5) Povinná osoba x souladu x xxxxxxxxx 4 xxxxxxx

x) xxxxxxxxxxx vynucení změny xxxxxxxxx hesla uživatelů x administrátorů xx xxxxxx přihlášení,

b) xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxx xxxxxxxxxxx aktiva,

c) xxxxxxxxx hesla xxxx xxxxxxxxxxx xxxxxx složeného x xxxxxxxxx řetězce xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) bezodkladné xxxxxxxx xxxxx xxxxxxxxxxxx xxxxx v xxxxxxx xxxxxxxxx podezření xx xxxxxxxx xxxx xxxxxxxxxx,

x) xxxxxxxxx xxxxxxxxx výchozího xxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxx xxxx x xxxxxxxx xxxxxxxx x zajistí xxxx xxxxxxxxx x

x) xxxxxxxxxxx zneplatnění xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxx x xxxxxxxx xxxxxxxx xx xxxx prvním xxxxxxx xxxx xxxxxxxx xxxxxxx 24 xxxxx xx xxxx vytvoření.

(6) Xxxxxxx osoba u xxxxxxxxxxxxxxxxxx účtu xxxxxxx xxxxxxxx pro xxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxx xxxxxxxx

x) xxxxxxxxxxxx xxxxx xxxxxxxxx hesla,

b) xxxxxxxxx xxxxx xxxxxxxx řetězcem xxxxxxxx x xxxxxx x velkých xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) xxxxx xxxxx xxxxxxxxx xxxxxxx z 22 znaků,

d) xxxxxxxx xxxxxxx hesla,

e) omezení xxxxxxxxxx s xxxxx x xxxx heslem, xxx s xxxxx xxxxx x xxxx xxxxxx xxxxx xxxxxxxxxxx xxxxx pověřené xxxxx, x to x xxxxxxxx xxxxxxx xxxxxxxxx,

x) xxxxx hesla xx xxxx použití, xxx xxxxxxxx xxxxx xxxxxxxxxx xxxx, x xxxxxxx xxxxxxxxx xxxxxxxxx xx xxxx kompromitaci nebo x intervalu alespoň xxxxxx za 18 xxxxxx x

x) xxxxxxxxx xxxxxxxxxx x xxxxxx x manipulaci x xxxxx xxxxx x xxxx xxxxxx.

§20

Xxxxxx xxxxxxxxxxxx práv x xxxxxxxxx

Xxxxxxx osoba xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxx xxxxxxx,

x) xxxxx xx xxxxxxxxxxxxxx x xxxxxxx na xxxxx xxxx xxxxxx,

x) xxxxxx xxxx práva xxx xxxxxxx k xxxxxxxxxxx xxxxxxx x

x) kterým xxxx oprávnění xxx xxxxx a zápis xxxxxxxxx x xxx x xxxxx xxxxxxxxx.

§21

Detekce xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxxxxx

x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx xxxxxx,

x) ověření x xxxxxxxx přenášených dat xx xxxxxxx xxxxxxxxx xxxxxxxxxxx sítě x

x) xxxxxxx blokování xxxxxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx xxxx.

(2) Povinná xxxxx používá x xxxxxxx xx vazby xxxx xxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx spravovaný xxxxxxx, xxxxx u xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxx

x) xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx,

x) xxxxxx a xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx zařízení x datových xxxxxx,

x) xxxxxx automatického spouštění xxxxxx, xxxxxxx u xxxxxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,

x) xxxxxx xxxxxxxxx xx xxxxxxxxx xxxx,

x) xxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxxxx služeb x xxxxxxx,

x) xxxxxxx kybernetických xxxxxxxxxxxxxx událostí xxxxxxxxxxx xxxxx x

x) xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv, xxxxxxxxxxxxxx x xxxxxxxxx.

(3) Xxxxxxx xxxxx xxxxxxx pravidelnou x xxxxxxxxxxxx aktualizaci xxxxxxxx používaného xxxxx xxxxxxxx 1 a 2, x xx xxxxxx jeho nastavení x xxxxxxxxxx pravidel.

§22

Zaznamenávání událostí

(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxxxxxxxxx potřeb

a) xxxx xxxxxxxxx xxxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxx provozních xxxxxxxx xxxxxxxxx, x

x) xxxxxxxxxxx xxxxxx technických xxxxx xxxxx odstavce 1 xxxx. x) x xxxxxxxxxxxx xxxxxxxxxxx x xxx významných xxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx události

a) xxxxxxxxxx xxxxx §21,

x) x xxxxx komunikační sítě,

c) xx xxxxxxx perimetru x

x) xxxxxxxxxxx aktiv xxxxxxxx podle xxxxxxxx 1 písm. x).

(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxxxx událostí xxxxx xxxxxxxx 2 xxxxxxxxxxx

x) xxxxxxxxxxxx x xxxxxxxxxxx ke všem xxxxx, x to xxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxx x xxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxx xxxxxx x xxxxxxxxxx x xxxx, xxxxxxxxxxx x xxxxx,

x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx xxxx xxxxxxxxx,

x) zahájení a xxxxxxxx činností xxxxxxxxxxx xxxxx,

x) kritická a xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,

x) přístupy x xxxxxxxxx xxxxxx o xxxxxxxx x záznamům xxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxx xxxxxx x xxxxxxxxxx xx záznamy xxxxxxxx,

x) změny x xxxxxxxxx xxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí x

x) další xxxxxxxx xxxxxxxxx, xxxxx mohou xxx vliv xx xxxxxxxxxx xxxxxxxxxx služby.

(4) Xxxxxxx osoba x xxxxx xxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x události:

a) datum x xxx xxxxxx xxxxxxxxxxx časového pásma,

b) xxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx, x xx x x případě, xxx x xxxxxxxxxxx síti xxxxxxx xx xxxxx xxxx síťové xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx kterým byla xxxxxxx xxxxxxxxx, x xx i v xxxxxxx, xxx v xxxxxxxxxxx xxxx dochází xx xxxxx xxxx xxxxxx identifikace,

e) jednoznačnou xxxxxxxxxxxx xxxxxxxx původce, x xx i x xxxxxxx, xxx x komunikační xxxx xxxxxxx xx xxxxx xxxx xxxxxx xxxxxxxxxxxx, x

x) xxxxxxxxx xxxx xxxxxxxxxxx činnosti.

(5) Xxxxxxx xxxxx dále x xxxxxxx xx události xxxxxxxxxxx podle xxxxxxxx 2

x) xxxxxxx důvěrnost x integritu získaných xxxxxxxxx, xxxxxx xxxxxxx xxxx xxxxxxxxxxxx čtením x jakoukoliv xxxxxx,

x) xxxxxxx x ohledem xx xxxxx mezi xxxxxx xxxxxxxxxxxxxx xxxxxxx xxx sběr a xxxxxxxxxx xxxxxxx těchto xxxxxxxx x

x) uchovává xxxxxxx těchto událostí xxxxxxx po xxxx 18 xxxxxx.

(6) Povinná xxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx jednotného času xxxxxxxxxxx aktiv.

§23

Xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx §21, který xxxxxxxxx

x) xxxx, vyhledávání x xxxxxxxxxxx souvisejících xxxxxxx xx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,

x) nepřetržité poskytování xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx, xxxxxx varování xxxxxxxxx xxxxxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxx xxxx x

x) xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx s xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx x odstavcem 1 xxxxxxx

x) xxxxxxx xxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx nástroje xxxxxx xxxx pravidel pro xxxxxxx a vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx informací o xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxx osob.

(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxxxxx služby.

§24

Xxxxxxxxx xxxxxxxxxx

(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxxxxxxx xxxxxx, xxxxx jsou jejich xxxxxxxx, xxxxxxxxxxx nebo xxxxx xxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx aktualizací xxxxxxxx xxx tato xxxxxx.

(2) Povinná xxxxx xx xxxx xxxxxx xxxxx xxxxxxxx 1 xxxxxx bezpečnostní xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxx xxxxx xxxxxx xxxxxxxxxxx těchto xxxxxxxxxxx xxxxx, a eviduje xxxxxxxxx xxxxxx,

x) xxxxx xxx xxxxxx výrobcem, xxxxxxxxxxx nebo jinou xxxxxx xxxxxxxxxxx x

x) xx xxxxx xxxx xxxxx aplikovat xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx aktualizaci.

(3) Xxxxxxx xxxxx v xxxxx aplikační bezpečnosti xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx, transakcí x xxxxxxxxxxx identifikátorů xxxxxx před

a) neoprávněnou xxxxxxxx a

b) xxxxxxxx xxxxxxxxxxx xxxxxxxx.

(4) Xxxxxxx xxxxx x xxxxx xxxxxxxxx xxxxxxxxxxxxx technických xxxxx

x) provádí xxxxxxxxxx xxxxxxxxx zranitelností xxxxxxxxxxx xxxxx regulované služby

1. x xxxxxxx x xxxxxx xxxxxxxxxxx sítě x

2. alespoň xxxxxx xxxxx.

x) xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxx rizik podle §8 x zavádí xxxxxxxxxxxx xxxxxxxx na xxxxxxx zjištěných xxxxxxxx.

(5) Xxxxxxx osoba v xxxxx penetračního testování

a) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxx na xxxxxxxxx xxxxxx aktiv a xxxxxxxxx xxxxx

1. x xxxxxxx a xxxxxx xxxxxxxxxxx xxxx,

2. xxxx xxxxxx xxxxxxxx xx xxxxxxx x

3. x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3,

x) zohlední xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx řízení xxxxx xxxxx §8 a xxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxx zjištěných xxxxxxxx,

x) xxxxxxx x xxxxxxx s xxxxxxxxx 5 xxxx. a) xxxxx 1 pravidelně xxxxxxxxxx testování, x xx xxxxxxx jednou xx 2 xxxx,

x) x xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxx xxxxxxx xxxxxxxxxx testování x xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx v odstavci 5 xxxx. x), xxxx xxxxxxxx toto xxxxxxxxxx testování do xxxxxxxxxxxxxx xxxxx. X xxxxxxx případě xx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx v xxxxxxxx 5 xxxx. x) xxxxxxxxxx xx 5 xxx,

x) x xxxxxxxxxxxx xxxxx v souladu x odstavcem 5 xxxx. x) xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx fyzické osoby xxxxxxxxxxx toto penetrační xxxxxxxxx.

(6) Xxxxxxx osoba xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx penetračního xxxxxxxxx za účelem xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

§25

Xxxxxxxxxxxxxx xxxxxxxxx

(1) Povinná xxxxx xxx zajištění xxxxxxxxxxx xxxxxxxxxxx xxxxx x jejich komunikace

a) xxxxxxx xxxxx aktuálně xxxxxx kryptografické xxxxxxxxx,

x) xxxxxxxxx bezpečné xxxxxxxxx x xxxxxxxxxxxxxxxx algoritmy x

x) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx x xxxxxxx kryptografických xxxxxxxxx xxxxxx Xxxxxxxx úřadem xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx.

(2) Povinná xxxxx xxxxxxxxx bezpečnou

a) xxxxxxxx, audiovizuální a xxxxxxxx xxxxxxxxxx, x xx xxxxxx x-xxxxxxx xxxxxxxxxx, x

x) xxxxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxx.

(3) Povinná xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxx aktiv x xxxxxxxxxxx xxxx xxxxxxx

x) xxxxx xxxxxxxx odolné xxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx x

x) xxxxxxx xxx správu kryptografických xxxxx x certifikátů, xxxxx

1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx klíčů,

2. xxxxxx kontrolu x xxxxx x

3. zajistí xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.

§26

Xxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx

(1) Xxxxxxx osoba xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, kterými xxxxxxx

x) dostupnost regulované xxxxxx xxxxx xxxx xxxxxxxxxxx xxxxx §15,

x) xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxxxx, xxxxx xx xxxxx snížit xxxx xxxxxxxxxx a

c) xxxxxxxxxx xxxxx xxxxxxxxxx pro xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx.

(2) Xxxxxxx osoba xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxx x xxxxxxxxx 1 xxxxxxx pravidelné xxxxxx xxxxxxxxxxx x xxxxxxxxx technických xxxxx, xxxxxxxxx x xxx xxxxxxxxxx zejména xxx xxxxx obnovy xxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx vytvářených podle xxxxxxxx 2 xxxxxxx

x) xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx, dostupnosti a xxxxxxxxxxxxxx,

x) dokumentování výsledků xxxxx xxxxxxxxxxx podle xxxxxxxx 3 xxxx. x),

x) xxxxxxx xxxxxxxxxx xxxxx x dat x nich obsažených xxxx narušením jejich xxxxxxxxx a xxxxxxxxxx, x xx xxxxxxx xxxxxxxxxx xxxxxx xxxxx x xxxxxxx x §25, x

x) xxxxxxx xxxxxxxxxx záloh x xxx x xxxx xxxxxxxxxx před xxxxxxxxx xxxxxx dostupnosti.

(4) Xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx aktiv s xxxxxxx na xxxxxxxxx xxxxxx xxxxx x xxxxxxxxx rizik.

(5) Xxxxxxx xxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x xxxxxxx xxxx xxxxxx xxxxxxxx zálohovací prostředí xx xxxxxx xxxxxxxxx xxxxx §18 xxxx. x).

§27

Zabezpečení xxxxxxxxxxxx, řídicích x xxxxxxxxx specifických xxxxxxxxxxx aktiv

Povinná xxxxx xxxxxx xxxxxxxxx xxxxxxxxx x §3 xx 26 xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxx využívá xxxxxxxx x zavádí bezpečnostní xxxxxxxx, xxxxx zajistí

a) xxxxxxx xxxxxxxxx přístupu x xxxxxxxxxxx, xxxxxxx x xxxxxxxx specifickým xxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxx x přístupu x průmyslovým, řídicím x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx,

x) segmentaci x xxxxxxxx xxxxxxxxxxxxx xxxx průmyslových, řídicích x xxxxxxxxx specifických xxxxxxxxxxx xxxxx od xxxxxx xxxxxxxxx x xxxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxxxx §18,

x) xxxxxxx xxxxxxxxxx přístupů a xxxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxx omezení xxxxxxxxxx xxxx komunikační síť xxxxxxx osoby,

e) xxxxxxx xxxxxxxxxxxx průmyslových, řídicích x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx před xxxxxxxx xxxxxxx zranitelností x xxxxxx x

x) xxxxxxxxxx a xxxxxx xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx technických xxxxx pro zajištění xxxxxxxxxxx xxxxxxxxxx služby.

XXXX XXXXX

XXXXXXXXX XXXXXXXXXX

§28

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx osoba, která xxxx ke xxx xxxxxxxxxxxxxxx xxx xxxxxx xxxxxxxxx této xxxxxxxx xxxxxxx xxxx xxxxxx xxxxx §3 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx se xxxxxxxx povinnosti x xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxx xxxxxxxx č. 82/2018 Sb., xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx, xx xxxxx xxxxxxx přede xxxx xxxxxx xxxxxxxxx této xxxxxxxx, x která xx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx služby, xxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx č. 264/2025 Sb., o xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxxx xxxx pro xxxxxxxx plnění povinností xxxxx xxxxxx č. 264/2025 Sb., x xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx č. 82/2018 Sb., x xxxxxxxxxxxxxx opatřeních, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx), ve xxxxx xxxxxxx přede xxxx nabytí xxxxxxxxx xxxx xxxxxxxx.

XXXX ČTVRTÁ

ÚČINNOST

§29

Účinnost

Tato vyhláška xxxxxx xxxxxxxxx dnem 1. listopadu 2025.
&xxxx;

Xxxxxxx:

Xxx. Xxxxx v. x.

Xxxxxxx x. 1

Hodnocení xxxxx

(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx úrovních xxxxxxxxx x xxxxxxxxx x. 1, 2 x 3 a xxxxxxxx se, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x jednotlivých aktiv.

(2) Xxxxxxx xxxxx xxxx xxxxxxxxx xxxxxx xxxxx xx xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxxxx potřebám. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx pro xxxxxxxxx xxxxx, než xxxx xx xxxxxx v xxxx xxxxxxx, dodrží-li xxxxxxxxxxx vazby xxxx xxxx xxxxxxxxxx způsobem xxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx aktiv, xxxxx jsou xxxxxxx x této příloze.

(3) X xxxxxxxxxx aktiv xx zároveň xxxxx xxxxxxxxx xxxxxxx oblasti xxxxxxx x xxxxxxx x. 4 - Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxx.

(4) Při xxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx zohlednit zejména xxxxx xxxx podpůrnými x primárními xxxxxx.

Xxx. x. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx

Xxx xxxxxxxxxxx xxxxxxxxxx informací x xxx pro xxxxx xxxxxx xxxxxxx xxx xxxxxx xxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx xxx. Xxxxxxx Xxxxx Xxxxxxxx (XXX)³⁾.

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxx jsou xxxxxxx xxxxxxxxx nebo xxxx xxxxxx xx xxxxxxxxxx. Narušení xxxxxxxxxx xxxxx neohrožuje oprávněné xxxxx xxxxxxx xxxxx.	Xxxx xxxxxxxxxx xxxxx ochrana. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx, xxxx xxx tato informace xxxx poskytována x xxxxxx xxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx x/xxxx xxxxxxxx xx třetích xxxxx xxxxxx tímto xxxxxxxxxxx xxxxxxx. Xxxxxxxxx/xxxxxx xx xxxxxx Xxxxx - xxx příloha č. 2.
Xxxxxxx	Xxxxxx xxxxxx xxxxxxx xxxxxxxxx, xxxxxxx xxxxx není xxxxxxxxxx xxxxxx právním xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx.	Xxx xxxxxxx důvěrnosti xxxx využívány prostředky xxx xxxxxx xxxxxxxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx, xxxx xxx xxxx xxxxxxxxx xxxxxxx x rámci xxxxxxxxxx xxxxxxxx x xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxx subjekty xxxxxxxx, avšak xxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxx; xxxxxxxx musí xxx předání xxxxxxxx xxxxxxxxx xxxxxxxxxx. Likvidace/mazání xx xxxxxx Xxxxxxx - xxx příloha č. 2.
Xxxxxx	Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx ochrana xx vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx ujednáními (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx).	Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxxxx sítěmi jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxx informace, xxxx xxx xxxx xxxxxxxxx xxxxxxx v xxxxx xxxxxxxxxx příjemce x xxxxx partnerům xxxx xxxxx v xxxxx xxxxxxxxxx xxxxxxxx, a xx pouze osobám, xxxxx xxxxxxx xxxxxx xxxx-xx-xxxx. Xxxxxxxxx/xxxxxx xx xxxxxx Xxxxxx- xxx příloha č. 2.
Xxxxxxxx	Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx xxxxxxxxx xxxxxxxxx (například strategické xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx údajů).	Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx. X případě xxxxxxx xxxxxx informace, nemůže xxx xxxx xxxxxxxxx xxxxxxxxxx jiné osobě xxx xx, xxxxx xxxx xxxxxxxxx xxxxxx, xxxxxxx-xx xxxxxxxx xxxxxxxxx xxxxx xxxxx, xxxxxx xxx xxxxxxx informaci xxxxxxxxxx. X xxxxxxx, xx xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx, xxx xxx xxxxxx xxxxx se xxxxxxxxx xxxxxxx xxxxxxxxx. Xxxxxxxxx/xxxxxx na xxxxxx Kritická - xxx příloha č. 2.

Tab. x. 2: Stupnice pro xxxxxxxxx integrity

Úroveň	Popis	Příklady
Nízká	Aktivum xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx oprávněné xxxxx povinné xxxxx.	Xxxx xxxxxxxxxx xxxxx xxxxxxx.
Xxxxxxx	Xxxxxxx xxxx vyžadovat xxxxxxx x hlediska integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx vést x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx a xxxx xx xxxxxxxx xxxx závažnými dopady xx xxxxxxxx aktiva.	Pro xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx.
Xxxxxx	Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva vede x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx dopady xx primární aktiva.	Pro xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxx provedených xxxx a identity xxxx xxxxxxxxxxxxx změny. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx komunikačními sítěmi xx xxxxxxxxx pomocí xxxxxxxxxxxxxxxx algoritmů.
Kritická	Aktivum vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxx k xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx a xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx identifikace osoby xxxxxxxxxxx xxxxx.

Xxx. x. 3: Xxxxxxxx xxx xxxxxxxxx dostupnosti

Úroveň	Popis	Příklady
Nízká	Narušení xxxxxxxxxxx xxxxxx, xxxxxxxxx x xxxxxxx xxxxxxx x xxxxxxxxxx xxxxx, je xxxxx tolerováno x xxxx xxxxx xxxx xxxxxxxxxxxx dopad xx xxxxxxxxxxxx regulovanou xxxxxx.	Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. Xxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxxxx xxx xxxxxxx.
Xxxxxxx	Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx například jednoho xxxxxxxxxx dne, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx povinné xxxxx.	Xxx xxxxxxx xxxxxxxxxxx xxxx využívány běžné xxxxxx xxxxxxxxxx a xxxxxx. Je xxxxxx xxxxxxxx redundanci xxx xxxx aktiva.
Vysoká	Narušení xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu xxxxxxxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k přímému xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx. Aktiva xxxx xxxxxxxxxx za xxxxx xxxxxxxx.	Xxx ochranu dostupnosti xxxx využívány xxxxxxx xxxxxxx x obnova xxxxxxxxxxx služeb může xxx xxxxxxxxx xxxxxx xxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx. Xx xxxxxx xxxxxxxx redundanci xxx tato xxxxxx, xxxxx xx xxxxx xxx xxxxxxxx xxxxxxx xxxx. x xxxxxx xxx. Xxxxxx-Xxxxxxx.
Xxxxxxxx	Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (v xxxx xxxxxxxx xxxxx) xxxx x vážnému xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx za xxxxxxxx.	Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. Xx xxxxxxxx xxxxxxxx redundanci xxx tato xxxxxx, xxxxx xx xxxxx xxx xxxxxxxx xxxx. x xxxxxx xxx. Xxxxxx-Xxxxxx (xxxxxx vysoké xxxxxxxxxxx).

Xxx. x. 4 Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxx

Xxx xxxxxxxxx xxxxxxxxxx xxxxx xx xxxxxxx xxxxxxxx xxxxxxx relevantní x následujících oblastí

Oblasti	Příklady
a) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx osobních údajů	Únik xxxxxxxx xxxxx xxxxxxx xxxxx.
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx nebo xxxxxxxxxx xxxxxxxxx	Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx xxxxx, xxxxx musí být xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx. Xxxxxxxx smlouvy x x xx plynoucí xxxxxx. Xxxx xxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx x z xxxx xxxxxxxx xxxxxx.
x) xxxxxx narušení vnitřních xxxxxxxx x kontrolních xxxxxxxx	Xxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxx.
x) xxxxxxxxx xxxxxxxxx, obchodních xxxx xxxxxxxxxxxx zájmů x xxxxx xxxxxxxx ztráty	Nedostupnost xxxxxxxxx o fakturách xx základě nedostupnosti xxxxxxxxxxxx xxxxxxx. Xxxxxxxxxxxx informací x možných xxxxxxxxxx xxxxxxxxxxxxxx x x xxxx xxxxxxxx ušlý xxxx. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, xxxx xxxx x neinformování veřejnosti x xxxxxxxxxx xxxxxxxxxxxxx (xxxxxxx, xxxxxxxxxx xxxxxxxxxx xxx.).
x) xxxxxx na xxxxxxxxxxx xxxxxxxxxx xxxxxx	Xxxxxxxx xxxxx xxxxxxxxx x xxxxxx vztažených xxxxxx x xxxxxxxxxx xxxxxx x xxxxxxxx cíli (xxxxx xxxxxxxxx) xxxxxxxxxx.
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx	Xxxxxxxx xxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxx, správy xxxxx x autoparku, neschopnost xxxxxxxx xxxxxx xxxxxx xxxx.
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré xxxxxxx	Xxxxxxxxxx závazků. Xxxx xxxxxxxxx xxxxxxxxx.
x) dopady xx xxxxxxxxxx x xxxxxx osob	Neschopnost xxxxxxxx xxxxxxxx příjem, xxxxxxxxx, xxxxxxx xx xxxxxxxxx xxxx, xxxxxxx apod. Možnost xxxxxxx x xxxxx xx xxxxxxxx.
x) xxxxxx xx xxxxxxxxxxx xxxxxx	Xxxx xxxxxxxxx xx zahraničních xxxxxxxx. Xxxx xxxxxxxxx xx xxxxxxxx, xxxxx xx xxxxxxxx mezinárodního xxxxxxxx.
x) xxxxxx xx xxxxxxxxx xxxxxxxxxx xxxxxx	Xxxxxx možnosti xxxxxxxx xxxxxxxxx ke xxxxxx xxxxxx xxxx xxxxxxxxxxxxx.

Xxxxxxx č. 2

Xxxxxxxxx xxxxxxxxx a dat

(1) Xxxx příloha udává xxxxxxxxxx xxxxxxx xxxxx x xxxxxxxxxx způsobů xxxxxxxxx xxxxxxxxx x xxx, xxxxxx xxxxx x technických aktiv, xxxxx xxxx xxxxxx xxxxxxxxx x xxx, x ohledem na xxxxxx hodnocení a xxxxxx xxxxx přílohy č. 1 x xxxx vyhlášce.

(2) Xxxxxxx xxxxx xxxxxxx xxxxxxxx a xxxxxxx xxx způsoby xxxxxxxxx xxxxxxxxx x dat, xxxxxx kopií x xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxxxxxxx x xxx, x xxxxxxx s touto xxxxxxxx. Tím xxxxxx xxxxxxx povinnosti podle xxxxxx právních xxxxxxxx.

(3) Xxxxxxxx x xxxxxxx xxx likvidaci xxxxxxxxx x xxx, xxxxxx xxxxx a xxxxxxxxxxx xxxxx, která xxxx xxxxxx informací x xxx, xxxx být xxxxxxxxx přiměřeně xxxxx xxxxxxxxx a xxxxxx xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx

x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),

x) xxxxxxxxxxx (xxxx xxxxxx xxxxxxxxx a xxx),

x) xxx xx nosiče xxxxxxxxx a xxx xxxxxxx pod přímou xxxxxxxxx povinné osoby xx nikoliv,

d) xxx xxxx xxxxxx xxxxxxxxx x dat součástí xxxxxxxxxxxx xxxx sdíleného xxxxxxxxx,

x) jaká xxxxx xxxx xxxxxxxxx xxxxxxxxx x dat xxxxxxxx (xxxxxxxxx interní xxxxxxxxxxx xxxx dodavatel),

f) dostupnost xxxxxx xxxxxxxxxx pro xxxxxxxxx (xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxx, technické),

g) xxxxx xxxxxxx likvidace xxxxxxxxx x dat xxxx xxxxxx nosičů x

x) stavu nosiče xxxxxxxxx x xxx (xxxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxx, xxx xxxxxxx ze xxxxxxx xxxxxxx xxxxxxxxx).

(4) Xxxxxxx xxxxxxxxx xxxxxxxxx x xxx, jejich xxxxx x technických xxxxx, xxxxx jsou xxxxxx informací x xxx:

x) Xxxxxxxxxx

1. Způsob xxxxxxxxx nosičů xxxxxxxxx x xxx tak, xxx byla nedostupná (xxxxxxxxx xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxx xx odpadu).

2. X xxxxxxx získání xxxxxx xxxxxxxxx x dat xx xxxxx x xxxxxxxxxxx určitého úsilí xxxxxxxxx a xxxx xxxxxxx.

3. Tato xxxxxx xxxx xxxxxx xxx xxxxxx informací a xxx neumožňující xxxxxxxx xxxxx.

4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1 x této xxxxxxxx): Nízká.

b) Přepsání

1. Xxxxxx likvidace xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx a xxx xxxxxxxxx xxxxxxxxx.

2. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxx xxxxxxxxx a xxx.

3. Přepsání xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxx kryptografických xxxxx x zašifrovaným informacím x datům.

4. Tato xxxxxx xxxx vhodná xxx xxxxxxxxx nosiče, xxxxxx xxxxxxxxxxxx opětovný xxxxx, xxxxxxxx xxx xxxxxx s xxxxxx xxxxxxxxx xxxxxxxxx.

5. Xxxxxxxxxx xxxxxx xxx úroveň xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1 x xxxx xxxxxxxx): Xxxxx xx Vysoká.

c) Xxxxxxx xxxxxxxxx

1. Xxxxxx xxxxxxxxx xxxxxxxxxxx ve zničení xxxxxx xxxxxxxxx a xxx, xxxxxxxxx v xxxxxxxxx xxxxxx x xxxxxxxxxx zničení (například xxxxxxxxxxx nebo xxxxxxxxx xxxxxxxxx xx. xxxxxxxxx).

2. Xxxxx xxxxxxxxx x xxx xx xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx. Xxxxxxxxx x xxxx xxxx xxxxx x xxxxxx xxxxxx xxxxxxx xxx při xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx a xxxxx.

3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1 k xxxx xxxxxxxx): nízká xx xxxxxxxx.

Xxxxxxx x. 3

Xxxxxxxxxxxxx x xxxxxx

Xxxx příloha xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx, xxxxx xxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxx xxxxx, xxxxx xxxx xxx dané xxxxxxx xxxxxxxxxx. Povinná osoba xxx xxxxx níže xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x zranitelnosti podle xxxxx xxxxxxxxxxxxxx xxxxxx.

Xxxxxxxxxxxxx

1. Xxxxxxxxxxxx xxxxxx aktiv,

2. xxxxxxxxxxx xxxxx,

3. xxxxxxxxxxxx xxxxxxx perimetru,

4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x vrcholného xxxxxx,

5. xxxxxxxxxxxx xxxxxxxxxx,

6. xxxxxxxx xxxxxxxxx přístupových xxxxxxxxx,

7. xxxxxxxxxxxx postupy a xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x identifikování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx a xxxxxxxxxxx xxxxxxx činnost, xxxxx xxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxx služby,

9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x postupů, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx a povinností xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

10. nedostatečná xxxxxxx xxxxx,

11. nevhodně xxxxxxxx xxxxxxxx xxxxxxxxxxxx,

12. xxxxxxxxxxxx xxxx nezávislé kontroly,

13. xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

14. xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx,

15. xxxxxxxx xxxxxx xxxx xxxxxxxx xxxxxxxx (například xx xxxxx xxxxxx xxxxx),

16. xxxxxxxx xxxxxx xx xxxxx xxxxx, x xxxxx právním prostředí xxxx povinná osoba xxxxxxxxxx xxxxxxxx, x

17. xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx zranitelností x xxxxxxxxxxx testování.

Hrozby

1. Xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

2. poškození nebo xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,

3. zneužití xxxxxxxx,

4. užívání programového xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,

5. xxxxxxxx xxx,

6. narušení xxxxxxx xxxxxxxxxxx,

7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, družicových služeb xxxx dodávek xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx služeb,

8. xxxxxxxx xxxxxxxxxxx primárních nebo xxxxxxxxxx aktiv xxxxxxxxxx xxxx xxxxx Xxxxx xxxxxxxxx,

9. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx,

10. xxxxxx, xxxxxxxx xxxx xxxxxxxxx aktiva,

11. nedodržení xxxxxxxxx závazku ze xxxxxx xxxxxxxxxx,

12. xxxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

13. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,

14. dlouhodobé xxxxxxxxx xxxxxxxxxxx služeb elektronických xxxxxxxxxx, xxxxxxxxxxx služeb, xxxxxxx elektrické xxxxxxx xxxx jiných důležitých xxxxxx,

15. zaměstnanci x xxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx,

16. xxxxxx kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx,

17. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,

18. xxxxxxxx (odposlech, xxxxxxxxxx, xxxxxxxxx) elektronické komunikace, xxxxxxxxxxx služeb nebo xxxxxx xxxxxxxxxx služeb,

19. xxxxxxxxx na dodavateli,

20. xxxxxxxx xxxx xxxxxx xxxx pro xxxxxxx x aktivům,

21. xxxxxxxxxxxx xxxx předání xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxx.

Xxxxxxx č. 4

Xxxxxxxxx xxxxx

(1) Jednoznačné stanovení xxxxxx pro xxxxxx xxxxxx xx nezbytnou xxxxxxxx xxxxxxxx xxx xxxxxxxxx rizik podle §8.

(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx hodnota xxxxxx, xxxxxx a zranitelnost.

(3) Xxx hodnocení rizik xxx xxxxxx funkci: Xxxxxx = xxxxxxx xxxxxx x xxxxxx x xxxxxxxxxxxx, případně xxxxx xxxxxx xxxxxxxxx xxxxxxx.

(4) Xxxxxxx aktiva xx x xxxxx xxxxxxx xxxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1 k této xxxxxxxx.

(5) V xxxxxxx, xx povinná osoba xxxxxxx xx xxxxxxx §8 odst. 3 xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx, je xxxxx xxxxxxxx xxx hodnocení xxxxxx x zranitelností xxxxxxx, například xxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx x zranitelnost. Sloučení xxxxxxx xx nemělo xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx úrovně xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx použít například xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx úroveň xxxxxx, tak i xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx postupuje x x xxxxxxxxx, xxx xxxxxxx xxxxx používá xxxx xxxxx xxxxxx xxx hodnoty xxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.

Xxx. x. 1: Xxxxxxxx xxx hodnocení xxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xxxx xxxxxxxx xxx xxxxxx za 5 xxx.
Xxxxxxx	Xxxxxx je málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx v xxxxxxx xx 1 roku xx 5 xxx.
Xxxxxx	Xxxxxx xx pravděpodobná xx xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx je x rozpětí xx 1 xxxxxx xx 1 xxxx.
Xxxxxxxx	Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx jistá. Předpokládaná xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx měsíc.

Tab. x. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x xxxxxx xxxxxxxx.
Xxxxxxx	Xxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx xxxx případné pokusy x xxxxxxxxx bezpečnostních xxxxxxxx xx omezena. Nejsou xxxxx žádné xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxx	Xxxxxxxx zranitelnosti xx pravděpodobné xx xxxxx xxxxxxxxxxxxx. Bezpečnostní xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxxxx	Xxxxxxxx zranitelnosti xx xxxxx pravděpodobné xx víceméně xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx je xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx úspěšné xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx.

Xxx. x. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx.
Xxxxxxx	Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx v xxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx.
Xxxxxx	Xxxxxx je xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx.
Xxxxxxxx	Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx kroky x xxxx xxxxxxxxxx.

(6) Xxxxx xx hodnota xxxxxx vyšší xxx xxxxxxx xxxxxxxxxxxxxxxxx, xx xxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx, snížit xxxxxxx xxxxxx xxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx informací Metody xxx xxxxxxxx rizik xxxx xxxxxxx xxxxxxxxxxx

x) xxxxxxxxx xxxxxx,

x) redukce xxxxxx,

x) xxxxxxxxx rizika,

d) xxxxxxx xx riziku, xxxx

x) přenesení nebo xxxxxxx rizika.

Xxxxxxx č. 5

Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxx

Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx x níže xxxxxxxxx:

x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx (xxxxxx xxxxxxxxxx x xxxxxxxxxxxx), xxxxxxxxx a xxxxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxx xxxxxx data,

c) xxxxxxxxxx x autorství xxxxxxxxxxxx xxxx, popřípadě o xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x kontrole xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx (pravidla xxxxxxxxxxxx xxxxxx),

x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí být xxxxxxxxx, xx subdodavatelé xx zaváží xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx mezi xxxxxxxx xxxxxx x dodavatelem x nebudou x xxxxxxx x xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx ustanovení x odsouhlasení bezpečnostních xxxxxxx xxxxxxxxxx (nebo xxxxxxxxxxxx xxx dodavatelský xxxxx relevantních částí xxxxxxxxxxxxxx politik) povinnou xxxxxx,

x) xxxxxxxxxx x xxxxxx změn,

h) ustanovení x xxxxxxx xxxxx x xxxxxx závaznými xxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxxx xxxxxxxx xxxxx x

1. kybernetických bezpečnostních xxxxxxxxxxx souvisejících s xxxxxxx xxxxxxx,

2. xxxxxxx xxxxxx xxxxx xx xxxxxx xxxxxxxxxx a x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,

3. xxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx zákona x xxxxxxxxxx korporacích xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě změně xxxxxxxxx xxxxxxxx s xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy x xxxxxxxx xxxxxx,

4. xxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx xxx xxxxxxxxxxxxxx xx xxxxx xxxxxx xxxxx, xxxxx xxxxxxx, xxx by xxxxxx xxxxxxxxxxx xxxx x xxxxxxx s xxxxxxx xxxxx, x xxxxx xxxxxxxxxx xxxxxxx xx xxxxxxxxxx dat nebo xxxxx xxxxxxx byla xxxxxx podána,

5. xxxxxxxxx xxxxxxx přicházejících xx xxxxxxxx x důvěrnými xxxxxxxxxxx xxxxxxx xxxxx (xxxxx se například x xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxxxx),

x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx, xxx. xxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxx období xxx xxxxxxxx xxxxxxxxxx, kdy xx třeba ještě xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx xxx x xxxxxxx),

x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x dodavateli zahrnutí xxxxxxxxxx xx plánů xxxxxx, plánů xxxxxxxxxx, xxxxx dodavatelů xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxx.),

x) specifikace xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx (SLA) x způsobu x xxxxxx realizace bezpečnostních xxxxxxxx.

x) ustanovení x xxxxxxxxxx pravidel xxxxxxxxxx xxxxxx,

x) specifikace xxxxxxxx xxx xxxxxx předání xxx a xxxxxxxxx xx xxxxxxxx xxxxxxxx xxxxxx,

x) pravidla pro xxxxxxxxx xxx,

x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx xxxxxxxxx xxx výpovědní xxxx x případě významné xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx změny xxxxxxxx nad xxxxxxxxx xxxxxx využívanými xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx,

x) ustanovení o xxxxxxxx xx porušení xxxxxxxxxx x

x) xxxxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxx xxx na xxxxxxx xxxxxxx cizozemského xxxxxx o xxxxxxxxxxxx xxxx xxxxxxx xxx xxxxxxxxxxxxxx xx území xxxxxx státu

1. xx xx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx,

2. xx xx xxxxxxxxxx xxxxx x xxxxxxxxx zpřístupnění xxxx xxxxxxx xxx x rámci xxxxxxxx xxxxxx xxxxxxx řádem, x xxxxx působnosti xxxxxxx xx zpracování xxx xxxx podle xxxxxxx xxxx xxxxxx xxxxxx,

3. pouze x xxxxxxxxx xxxxxxx.

Příloha x. 6

Xxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx

x) Techniky xxxxxxxxxxx xxxxxxxx.

x) Firewall, xxxxxxxxxx xxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx.

x) Xxxxxxxxxxx xxxxxxxx.

x) Rizika xxxxxxxx x xxxxxxxx spouštění xxxxx.

x) Xxxxxx spustitelných xxxxxxx.

x) Xxxxxx zabezpečení xxxxxxxxxxxxx xxxx.

x) Xxxxxxxxx, xxxxxx x xxxxxx xxxxx.

x) Vícefaktorová autentizace.

k) Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx.

x) Xx-xxxx xxxxxxxx, xxxxxxxxx xxxxx x její xxxxxxxxxxxx.

x) Xxxxxx práce x xxxxxxxxxx xxxx.

x) Xxxxxxxxx vzdáleného připojení (XXX).

x) Bezpečná elektronická xxxxxxxxxx.

x) Bezpečnost xxxxxxxx xxxxxxx.

x) Xxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxx.

x) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.

x) Xxxxxxxxx služeb xxxxx xxxxxxxxxx.

x) Pravidla x xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx.

x) Xxxxxxxx xxxxxx xxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxx událost xxxx xxxxxxxxxxxx xxxxxxxxxxxx incident.

v) Xxxxxx xxxxxxxxxx používání xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

x) Zásady xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx (tzv. XXXX).

x) Xxxxxx odpovědnost xxxxxxxxxxx xxx dodržování xxxxx xxxxxxxxxxxx bezpečnosti.

y) Aktuální xxxxxx x kybernetické xxxxxxxxxxx.

Xxxxxxxxx

Xxxxxx xxxxxxx x. 409/2025 Xx. xxxxx xxxxxxxxx dnem 1.11.2025.

Ke xxx xxxxxxxx právní xxxxxxx xxxxx xxxxx xx xxxxxxxxx.

Xxxxx xxxxxxxxxxxx xxxxxxxx norem jiných xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2022/2555 xx xxx 14. xxxxxxxx 2022 x xxxxxxxxxx x zajištění xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x Xxxx x x xxxxx xxxxxxxx (XX) x. 910/2014 a xxxxxxxx (XX) 2018/1972 x x zrušení xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).

2) Xxxxx č. 134/2016 Sb., x xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx.

3) Český xxxxxxx xxxxxxxxxxxxx standardu tzv. Xxxxxxx Light Xxxxxxxxx xxxxxxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xx xxxxx internetových xxxxxxxxx.

Plné znění - 409/2025 Sb.

Na co čekáte? Nečekejte už ani minutu. Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

ČÁST XXXXX

XXXXXX USTANOVENÍ

Předmět xxxxxx úpravy

Vymezení xxxxx

ČÁST DRUHÁ

BEZPEČNOSTNÍ OPATŘENÍ

HLAVA X

Xxxxxxxxxxx xxxxxxxx

Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx

Xxxxxxxxx xx xxxxxxxx xxxxxx

Stanovení bezpečnostních xxxx

Řízení bezpečnostní politiky x xxxxxxxxxxxx dokumentace

Xxxxxx xxxxx

Řízení rizik

Xxxxxx xxxxxxxxxx

Bezpečnost lidských xxxxxx

Řízení xxxx

Akvizice, xxxxx x xxxxxx

Xxxxxx xxxxxxxx

Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx

Xxxxxx xxxxxxxxxx xxxxxxxx

Provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

HLAVA XX

Xxxxxxxxx opatření

Fyzická xxxxxxxxxx

Xxxxxxxxxx komunikačních sítí

Xxxxxx x ověřování xxxxxxx

Xxxxxx xxxxxxxxxxxx práv x xxxxxxxxx

Detekce xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Zaznamenávání událostí

Xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxxxxxxxx xxxxxxxxxx

Xxxxxxxxxxxxxx xxxxxxxxx

Xxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx

Zabezpečení xxxxxxxxxxxx, řídicích x xxxxxxxxx specifických xxxxxxxxxxx aktiv

XXXX XXXXX

XXXXXXXXX XXXXXXXXXX

Xxxxxxxxx xxxxxxxxxx

XXXX ČTVRTÁ

ÚČINNOST

Účinnost

Xxxxxxx x. 1

Hodnocení xxxxx

Xxxxxxx č. 2

Xxxxxxxxx xxxxxxxxx a dat

Xxxxxxx x. 3

Xxxxxxx č. 4

Xxxxxxxxx xxxxx

Xxxxxxx č. 5

Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxx

Příloha x. 6

Xxxxxxxxx

Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.