EPIS® Právní systém | Plné znění

Právní předpis byl sestaven k datu 01.11.2025.

Zobrazené znění právního předpisu je účinné od 01.11.2025.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět právní úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - Organizační opatření

Systém řízení bezpečnosti informací §3

Požadavky na vrcholné vedení §4

Stanovení bezpečnostních rolí §5

Řízení bezpečnostní politiky a bezpečnostní dokumentace §6

Řízení aktiv §7

Řízení rizik §8

Řízení dodavatelů §9

Bezpečnost lidských zdrojů §10

Řízení změn §11

Akvizice, vývoj a údržba §12

Řízení přístupu §13

Zvládání kybernetických bezpečnostních událostí a incidentů §14

Řízení kontinuity činností §15

Provádění auditu kybernetické bezpečnosti §16

HLAVA II - Technická opatření

Fyzická bezpečnost §17

Bezpečnost komunikačních sítí §18

Správa a ověřování identit §19

Řízení přístupových práv a oprávnění §20

Detekce kybernetických bezpečnostních událostí §21

Zaznamenávání událostí §22

Vyhodnocování kybernetických bezpečnostních událostí §23

Aplikační bezpečnost §24

Kryptografické algoritmy §25

Zajišťování dostupnosti regulované služby §26

Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv §27

ČÁST TŘETÍ - ZÁVĚREČNÁ USTANOVENÍ

Přechodné ustanovení §28

ČÁST ČTVRTÁ - ÚČINNOST

Účinnost §29

Příloha č. 1 - Hodnocení aktiv

Příloha č. 2 - Likvidace informací a dat

Příloha č. 3 - Zranitelnosti a hrozby

Příloha č. 4 - Hodnocení rizik

Příloha č. 5 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy

Příloha č. 6 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

409

VYHLÁŠKA

ze dne 26. xxxx 2025

x xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx x režimu xxxxxxx xxxxxxxxxx
&xxxx;

Xxxxxxx úřad xxx xxxxxxxxxxxxx x xxxxxxxxxx bezpečnost stanoví xxxxx §13 odst. 3 xxxxxx č. 264/2025 Xx., x xxxxxxxxxxxx xxxxxxxxxxx, (xxxx xxx „zákon“):

ČÁST XXXXX

XXXXXX USTANOVENÍ

§1

Předmět xxxxxx xxxxxx

Xxxx vyhláška xxxxxxxxxxx příslušný xxxxxxx Xxxxxxxx unie¹⁾ a xxx poskytovatele xxxxxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxxxxxx (xxxx xxx „xxxxxxx xxxxx“) xxxxxxxx xxxxx bezpečnostních xxxxxxxx x způsob xxxxxx xxxxxxxx x xxxxxxxxx.

§2

Xxxxxxxx xxxxx

Xxx účely xxxx xxxxxxxx xx xxxxxx

x) xxxxxxxxxx xxxxxxx xxxx právnická osoba xxxxx xxxxx xxxxxxx xxxx, který xxxxxxx xxxxxx,

x) privilegovaným xxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx, jejíž xxxxxxx xx xxxxxxxxxx aktivu xxxx xxx xxxxxxxx xxxxx xx bezpečnost xxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, xxxxxx x bezpečnost xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx soubor zásad x xxxxxxxx, která xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxxxxx xxxxx xxxxxx xxxxxxxx, xxxxxxx x vyhodnocení xxxxx,

x) řízením xxxxx xxxxxx zahrnující xxxxxxxxx xxxxx, zavádění xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx x xxxxxxxxxx xxxxx,

x) systémem xxxxxx xxxxxxxxxxx xxxxxxxxx část xxxxxxx řízení xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx, xxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxxxxx, xxxxxxxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x

x) významným xxxxxxxxxxx xxx, xxx xxxxxxx xxxxx xxxxxxxxx xxxxxx, xxxxx xx významné x xxxxxxxx zajištění xxxxxxxxxxxx bezpečnosti xxxxxxxxxx xxxxxx.

ČÁST XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

Xxxxxxxxxxx opatření

§3

Systém xxxxxx xxxxxxxxxxx informací

Povinná xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx informací

a) xxxxxxx xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx k zajištění xxxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx,

x) xxxx xxxxxx xxxxx §8,

c) xxxxxx x xxxxxxx přiměřená xxxxxxxxxxxx opatření xxxxxxxxx x zajištění kybernetické xxxxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, bezpečnostních xxxxxx x řízení xxxxx,

x) xxxxxxx bezpečnostní politiku x bezpečnostní dokumentaci xx xxxxxx k xxxxxx kybernetické bezpečnosti, xxxxx xxxxxxxx hlavní xxxxxx, cíle systému xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxxx potřeby, práva x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx bezpečnostních xxxxxx a xxxxxxxx xxxxxxxxx rizik stanoví xxxxxxxxxxxx politiku x xxxxxxxxxxxx xxxxxxxxxxx v xxxxxxx xxxxxxxxx podle §6,

x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §16,

x) zajistí xxxxxxx jednou ročně xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje

1. xxxxxxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx informací xxxxxxxxxxx x zajištění xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx,

2. xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx rizik xxxxxxxxxxxx xxxxx §8 xxxx. 1 xxxx. x),

3. xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx,

4. xxxxxxxxx xxxxxxxx xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

5. xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx,

6. xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx kybernetické xxxxxxxxxxx x xx xxxxxxxxxxx xxxxxx xxxxx §15 x

7. posouzení xxxxxxxxxx xxxx xxxxx §11,

x) xxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xx xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací xxxxx xxxxxxx x),

x) xxxxxxxxxxx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx a relevantní xxxxxxxxxxx xx xxxxxxx

1. xxxxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

2. výsledků xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

3. xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxx x

4. xxxxxxxxxxx xxxxxxxxxx xxxx,

x) řídí xxxxxx x zdroje xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxx se xxxxxxxx řízení bezpečnosti xxxxxxxxx x xxxxxxx xxxxx x

x) stanoví xxxxxx xxxxxx xxxxxxx x pravidel xxxxxxxxxxx x xxxxxxxxxxxx politice xxxxx xxxxxxx x).

§4

Xxxxxxxxx xx xxxxxxxx xxxxxx

(1) Statutární xxxxx xxxxxxx osoby xxxx xxxx osoba xxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxx postavení x xxxxxxx xxxxx (xxxx xxx „xxxxxxxx xxxxxx“) s xxxxxxx xx xxxxxx řízení xxxxxxxxxxx informací

a) xxxxxxxxxxxx xxxxxxxxx školení xxxxx §10 xxxx. 3 xxxx. x),

x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3, xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxx osoby,

d) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,

e) xxxxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxx xxxxx x významu systému xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx s xxxx xxxxxxxxx,

x) xxxxxxx xxxxxxx x xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) vede a xxxxxxxxx zaměstnance x xxxxxxxxx efektivity xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xx xxxxxx xx xxxxxxxxxxx analýzy xxxxxx xxxxx §15,

x) xxxxxxx xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxx xxxxxx x xxxxxxx xxxxxxxxx xx zvládáním xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) prosazuje xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické bezpečnosti x oblastech xxxxxx xxxxxxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxx xxx určení xxxxxxxxxxxxxx a xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role,

m) xxxxxxx, xxx xxxx zachována xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx, x

x) zajistí pro xxxxx zastávající xxxxxxxxxxxx xxxx pravomoci potřebné xxx xxxxxxxxxx xxxxxx xxxx x xxxxxx, xxxxxx rozpočtových prostředků x xxxxxxxxxx xxxxxx xxxx a xxxxxx xxxxxxxxxxxxx xxxxx.

(2) Xxxxxxxx xxxxxx xx prokazatelně xxxxxxxxx

x) se xxxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xx xxxxxxx x xxxxxxxxx xxxxx,

x) x xxxxxx zvládání xxxxx,

x) x xxxxxxxx xxxxxxx xxxxxx a

e) x xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(3) Xxxxxxxx xxxxxx xxxxx xxxxx pro xxxxxx kybernetické xxxxxxxxxxx x xxxx xxxx xxxxx, xxxxxxx

x) xxxxxxx, xx xxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx bude xxxxxxx 1 člen xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx osoba x xxxxxxx kybernetické xxxxxxxxxxx,

x) xxxx xxxxx x xxxxxxxxxx výboru pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x jeho xxxxx, xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx informací,

c) xxxxxxx xxxxxx pravidelných xxxxxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxx xxxxxx ročně,

d) xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x

x) xxxxxxx, xx xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx složen x xxxx x xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx a rozvoj xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x osob xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx spojených x kybernetickou bezpečností.

(4) Xxxxxxxx vedení xxxx xxxxx, xxxxxx xxxxxxxx xxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx

x) xxxxxxxx xxxxxxxxxxxx bezpečnosti,

b) xxxxxxxxxx kybernetické xxxxxxxxxxx,

x) xxxxxxx aktiva x

x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(5) Xxxxxxxx vedení xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx x odstavci 4 písm. a) x x).

§5

Xxxxxxxxx xxxxxxxxxxxxxx xxxx

(1) Xxxxxxx kybernetické xxxxxxxxxxx

x) xx pověřen řízením xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx alespoň 3 xxx,

x) xxxxxxxx xx xxxxxxxxxx informování xxxxxxxxxx xxxxxx x

1. xxxxxxxxxx xxxxxxxxxxxxx x rozsahu xxxx xxxxxxxxxxxx a

2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx technických xxxxx xxxxxxxxxx služby.

(2) Architekt xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxx x xxxxxxxxx xxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxxx bezpečná xxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxxx xxxx může xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx x zajišťováním xxxxxxxx xxxxxxxxxxxx v xxxxx xxxxxxx 3 let.

(3) Xxxxxx xxxxxx je xxxxxxx x xxxxxxxxx xxxxxxx, použití a xxxxxxxxxx aktiva.

(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx činnost xxxxxxxxx a prokáže xxxxxxxx způsobilost praxí x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxx 3 xxx,

x) zaručuje, xx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx nestranné, x

x) xxxxx xxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx rolí.

§6

Xxxxxx bezpečnostní politiky x bezpečnostní dokumentace

(1) Xxxxxxx osoba xxxxxxx xxxxxxxxxxxx xxxxxxxx ve xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxx bezpečnostní xxxxxxxx x bezpečnostní dokumentaci x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx v §3 až 27.

(2) Xxxxxxx xxxxx xxxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx xxxxx odstavce 1.

(3) Xxxxxxx osoba xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx, xxxxxxxxx xxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxxx oblasti xxxxxxxx xx xxxxxxxx xxxxxxxxxxx, xxxxxxxx a xxxxxxx.

(4) Xxxxxxx xxxxx xxxx xxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 3.

(5) Xxxxxxxxxxxx politika a xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxx xxx, xxx xxxx

x) xxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxxx podobě,

b) dotčené xxxxx x rámci xxxxxxx osoby xxxxxxxxxxx x právech, povinnostech x xxxxxxxxx v xxxx xxxxxxxxxx,

x) přiměřeně xxxxxxxx dotčeným xxxxxx,

x) xxxxxxxx x pohledu xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx x

x) informace x xxxx obsažené xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxxxxxxxx.

§7

Řízení xxxxx

Xxxxxxx osoba x xxxxxxxxxx xx xxxxxxxxx rozsahu řízení xxxxxxxxxxxx xxxxxxxxxxx podle §12 zákona

a) xxxxxxx xxxxxxxx pro určování xxxxx,

x) stanoví xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxx úrovní xxxxx, alespoň v xxxxxxx xxxxxxxx v příloze č. 1 k xxxx xxxxxxxx,

x) eviduje xxxxxxx xxxxx podle §4 xxxx. 4 xxxx. x),

x) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a xxxxxx xx do jednotlivých xxxxxx xxxxx xxxxxxx x),

x) xxxxxxxx při xxxxxxxxx xxxxxxxxxx aktiv xxxxxxx oblasti xxxxxxx x příloze č. 1 x xxxx vyhlášce,

f) určuje x xxxxxxx xxxxx xxxx aktivy, která xxxx xxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxx xxxxxxx x xxxxxxxx xxxxx na xxxxxxxx xxxxxx x

x) xxx xxxxxxxxxx xxxxxx xxxxx xxxxx xxxxxxx x) xxxxxxxxx x xxxxxx xxxxxxxx ochrany xxxxx xxx zabezpečení xxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx

1. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv,

2. xxxxxxxx xxx manipulaci x xxxxxx, xxxxxx xxxxxxxx xxx bezpečné xxxxxxxxxxxx xxxxxxx x fyzické xxxxxxxxx aktiv,

3. xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxx,

4. xxxxxxxx pro označování xxxxx,

5. pravidla xxxxxx xxxxxxxxx xxxxx x

6. xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxx informací x dat x xxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx jsou xxxxxx xxxxxxxxx x dat x xxxxxxx xx xxxxxx xxxxx x xxxxxxx x přílohou č. 2 x xxxx vyhlášce.

§8

Xxxxxx xxxxx

(1) Xxxxxxx xxxxx xxx xxxxxx xxxxx v xxxxxxxxxx xx §7

x) xxxxxxx xxxxxxxx xxx xxxxxxxx x xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx rizik,

b) xxx xxxxxxxx rizik x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx uvedených v příloze č. 3 x této xxxxxxxx,

x) provádí xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx alespoň xxxxxx xxxxx x xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxx §11 xxxx. 1 xxxx. x), xxx xxxxxx xxxxxxxx

1. xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxx xxxxxxx x) a xxxxxxx xxxxx xxxxxx xx xxxxxx, xxxxxxx xxxxxxx x xxxxxxxxx xxxxx xxxxx §7,

2. xxxxxxxx xxxxx,

3. xxxxx xxxxxxxxxxx xxxxxxx podle §12 xxxxxx,

4. protiopatření xxxxx §20 zákona,

5. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx,

6. xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxx kybernetické xxxxxxxxxxx,

7. xxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx zranitelností x

8. výsledky xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxx xxxxxxxxx rizik postupuje xxxxxxx x xxxxxxx přílohy č. 4 x xxxx xxxxxxxx,

x) na základě xxxxxxxxxxx hodnocení xxxxx xxxxx xxxxxxx c) xxxxxxxx xxxxxx o xxxxxxxxx xxxxx,

x) zpracuje xx základě bezpečnostních xxxxxx a xxxxxxxx xxxxxxxxx xxxxx prohlášení x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx

1. xxxxxx aplikována, xxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx náhradních xxxxxxxxxxxxxx opatření, x

2. xxxx aplikována, xxxxxx xxxxxxx xxxxxx,

x) na xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx podle písmene x) a x xxxxxxx xx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx xxxxxxxx xxxx xxxxxxxx rizik, xxxxx xxxxxxxx

1. popis xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx,

2. cíle x xxxxxxx bezpečnostních opatření xxx xxxxxxxx rizik,

3. xxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx,

4. xxxxxxxxxxxxx xxxxxx, xxxxxxxx x xxxxxxxxx xxxxxx xxx xxxxxxxx bezpečnostních xxxxxxxx,

5. požadovaný xxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

6. xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x

7. xxxxxxxxx způsob realizace xxxxxxxxxxxxxx opatření.

(2) Xxxxxxx xxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.

(3) Hodnocení xxxxx xxxx být xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx v xxxxxxxx 1 xxxx. x), xxxxx povinná xxxxx xxxxxxx xxxxxxx nebo xxxxx xxxxxx procesu xxxxxxxxx rizik x xxxxxxxxx x xxxxxxx x odstavcem 5 přílohy č. 4 x xxxx xxxxxxxx.

(4) Xxxxxxx xxxxx xxxxxx uplatňovat xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxxxxx provedeného xxxxxx xxxxx.

§9

Řízení xxxxxxxxxx

(1) Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxx

x) stanoví xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,

b) xxxxxxxxxxxx seznamuje xxx xxxxxxxxxx x xxxxxxxx xxxxx písmene a) x vyžaduje xxxxxx xxxxxx pravidel,

c) xxxx xxxxxx xxxxxxx s xxxxxxxxxx,

x) xxxxxxxxxxxx a xxxxxxx xxx významné xxxxxxxxxx xx xxxxxx §2 xxxx. h),

e) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx významné dodavatele x jejich evidenci xxxxx xxxxxxx x),

x) xxxxxxx x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx, xxx xxxxxxx xxxxxxxxx s významnými xxxxxxxxxx obsahovaly xxxxxxxxxx xxxxxxxxxx uvedená x příloze č. 5 k xxxx xxxxxxxx, x

x) pravidelně xxxxxxxxxxx plnění smluv x xxxxxxxxxx dodavateli x xxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.

(2) Xxxxxxx xxxxx x xxxxxxxxxx dodavatelů xxxx

x) xxxxxxx x rámci xxxxxxxxxx xxxxxx xxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxxxx²⁾ xxxx xxxx xxxxxxxxx smlouvy xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxx přílohy č. 4 x xxxx xxxxxxxx,

x) xxxxxxx v xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x smluvně xxxx xxxxx vzájemné xxxxxxxxxxxx xx zavedení x kontrolu xxxxxxxxxxxxxx xxxxxxxx,

x) provádí pravidelné xxxxxxxxx rizik x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx třetí strany x

x) xxxxxxx x xxxxxx xx rizika x zjištěné xxxxxxxxxx xxxxxx řešení, xxxxx xxxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx.

(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx podle xxxxxxxx 1 písm. x) xxxx

x) xxxxxxxxxxxxx xxxxx povinné xxxxx, xxxxxx uvedení, že xxxxxxx osoba je xxxxxxxxxxxxxx regulované služby x xxxxxx xxxxxxx xxxxxxxxxx,

x) xxxxx xxxxxxxxxx xxxxxx povinné xxxxx,

x) xxxxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx x

x) xxxxxxxxxx, xx xxxxxxxxx xx xxx povinnou osobu xxxxxxxxx xxxxxxxxxxx.

§10

Bezpečnost xxxxxxxx xxxxxx

(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx lidských xxxxxx s xxxxxxx xx stav a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, jehož xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxx, xxxxxx a xxxxxxx xxxxxxx a xxxxxxx podle xxxxxxxx 2.

(2) Xxxxxxx osoba xxxxxx do xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí

a) xxxxxxx xxxxxxxxxx vedení x jeho xxxxxxxxxxxx x bezpečnostní xxxxxxxx, xxxxxxx x oblastech xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxx xxxxx,

x) xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx povinnostech x x xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxxxxxx x xxxxxxxxx školení xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) pravidla tvorby xxxxxxxxxx xxxxx x xxxxxxx x §19 x

x) relevantní xxxxxx xxxxxxx v příloze č. 6 x této xxxxxxxx.

(3) Xxxxxxx xxxxx v xxxxx xxxxxxxxxxxxxx povědomí xxxxxxx

x) xxxxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxx, x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx a xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxx a posouzení xxxxxxxxx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x xxxxxx xxxxxx xx xxxxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních x xxxxxxxxxxxx školení,

c) pravidelná xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxx xxxxxxx z xxxxxxxxxx potřeb xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, x

x) xxxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx x jejich pracovní xxxxxx nebo xxxxxxxxx xxxxxxxxx.

(4) Xxxxxxx xxxxx x rámci bezpečnosti xxxxxxxx xxxxxx

x) určí xxxxx odpovědné xx xxxxxxxxx jednotlivých činností, xxxxx xxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx,

x) xxxxxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx podle xxxxxxxx 3,

c) xxxxxxxxxx xxxxxxx xxxxxxxx plánu xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxx činností xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí,

d) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx ze strany xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,

x) určí xxxxxxxx x postupy pro xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x

x) xxxxxxx plynulost xxxxxx xxxxxxxx v xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx.

(5) Xxxxxxx xxxxx xxxx x xxxxxxx x xxxxxxx podle xxxxxxxx 3 xxxxxxxx, xxxxx obsahují xxxxxxx xxxxxxx x školení xxxxxx seznamu xxxx, xxxxx xxxxxxx x xxxxxxx xxxxxxxxxxx.

§11

Xxxxxx xxxx

(1) Xxxxxxx xxxxx při xxxxxx xxxx x aktiv

a) xxxxxxx pravidla, postupy x kritéria xxx xxxxxx významných změn,

b) xxxx xxxxx, xxxxx xxxx xxxx mohou xxx xxxx xx xxxxxxxxxxxxx bezpečnost,

c) určuje x xxxx xxxxxxxx xxxxx xxxxxxx x) xxxxxxxx xxxxx x xxxxxxx se xxxxxxxxxxx xxxxxxxx, xxxxxxx a xxxxxxxx pro určení xxxxxxxxxx změn xxxxx xxxxxxx x).

(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxx

x) dokumentuje xxxxxx xxxxxx,

x) xxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxx všech nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx,

x) zajistí xxxxxx xxxxxxxxx xxxx xxxxxxxx xx xxxxxxx a

f) xxxxxxx xxxxxxx xxxxxxxxx xx původního xxxxx.

(3) Xxxxxxx osoba na xxxxxxx výsledků xxxxxx xxxxx podle xxxxxxxx 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování, postupuje xxxxx §24 odst. 5.

§12

Akvizice, xxxxx a xxxxxx

(1) Xxxxxxx osoba x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x údržbou xxxxx

x) xxxx xxxxxx,

x) řídí xxxxxxxx xxxxx podle §11,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx touto xxxxxxxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx podle xxxxxxx c) xx xxxxxxxxx xxxxxxxx, vývoje x xxxxxx x

x) xxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxx, testovacího, xxxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx prostředí, x xxxxxxx xxxxxxx informací x xxx, které xx x xxx xxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxx vývoje xxxxxxxxxxx xxxxxx

x) využívajícího xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxxx, xxxxxx požadavků xxxxx §19 xxxx. 2,

x) xxxxxxxxxxxxx kryptografické xxxxxxxxx, xxxxxx požadavku xxxxx §25 odst. 1 písm. x) x §25 xxxx. 3 písm. x) x

x) dostupnost xxxxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxx životního cyklu.

§13

Xxxxxx xxxxxxxx

(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxx xxxx přístup x xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx §19 a 20.

(2) Xxxxxxx osoba xxxx xxx xxxxxx xxxxxxxx x xxxxxxx

x) xxxx xxxxxxx na xxxxxxx xxxxxx xxxx xxxx,

x) přidělí xxxxxxx xxxxxxxxx x administrátorovi xxxxxxxxxxxxxx x aktivům xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x xxxxxx práce a xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx účtu, přičemž xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxxxx xxxx jedné xxxxx,

x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxx technických xxxxx,

x) zavádí v xxxxxxx x xxxxxxxx x) xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxx xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x využitím xxxxxxxxxxx xxxxx, která xxxxxxx xxxxx nemá ve xxx xxxxxx,

x) omezí x kontroluje xxxxxxxxx xxxxxxxxxxxx prostředků x xxxxxxxx, xxxxx mohou xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

x) xxxxxxxxx x xxxxxxx přístupová práva x xxxxxxxxx v xxxxxxx x politikou xxxxxx přístupu,

h) provádí xxxxxxxxxx xxxxxxxxxxx veškerých xxxxxxxxxxxx xxxx a xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxx x xxxx,

x) xxxxxxx bezodkladné xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxx xxxxx xxxxxx xxxx zařazení xx základě skupin x xxxx,

x) zajistí xxxxxxxxxx xxxx x xxxxxxxxxxx odebrání xxxx xxxxx přístupových xxxx x xxxxxxxxx xxx xxxxxxxx xxxx změně xxxxxxxxx vztahu, xx xxxxxxx xxxxxxx xxxxx xx xxxxxxx xxxxxxxx x aktivům,

k) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx x

x) využívá xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 a xxxxxxx pro xxxxxx xxxxxxxxxxxx práv a xxxxxxxxx xxxxx §20.

§14

Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

(1) Xxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx

x) xxxxxx procesy, pravidla x postupy pro xxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx v xxxxxxx x §21 xx 23,

x) xxxxxx xxxxxxx, xxxxxxxx x postupy xxx koordinaci a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) přidělí xxxxxxxxxxxx xxx

1. xxxxxxx, zaznamenávání x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,

x) xxxxxxxx x dodržuje xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxx podle §21,

x) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, osoby zastávající xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx neobvyklé xxxxxxx xxxxxxxxxxx xxxxx x podezření xx xxxxxxxxxxxxx,

x) xxxxxxx posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx xxx xxxxxxxxxx, zda xxxx xxx klasifikovány xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx stanovených postupů,

i) xxxxxxx xxxxxxxxxxxx opatření xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) zajistí xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx §15 xxxxxx,

x) prošetří x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,

x) vede xxxxxxx x kybernetických xxxxxxxxxxxxxx incidentech a x xxxxxx zvládání,

m) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx x vyřešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x významným xxxxxxx xxxxx §16 zákona, xxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx s xxxxxxxxx xxxxxxx, xxxxx xx xxxxx, x

x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xx základě xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx řešeného kybernetického xxxxxxxxxxxxxx xxxxxxxxx, popřípadě xxxxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxx osoba xxxx xxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxx §21 x 23.

§15

Řízení xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx při xxxxxx xxxxxxxxxx xxxxxxxx

x) xxxxxxx xxxxxxxx xxx provedení xxxxxxx xxxxxx,

x) xxxxxxx xxxxxxx dopadů, xxxxxxxxxxx x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x zohlední xxxxxxxxx xxxxx xxxxx §8,

x) xx xxxxxxx xxxxxxx xxxxxxx xxxxxx x xxxxxxxxx rizik xxxxx písmene x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx

1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb, xxxxx xx xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxx služby,

2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxx xxxxxx, x

3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx zpětně xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx selhání xxxxxxxxxxx xxxxxx,

x) stanoví politiku xxxxxx xxxxxxxxxx činností, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx písmene x), x xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxxxx, aktualizuje a xxxxxxxxxx xxxxxxx plány xxxxxxxxxx činností x xxxxx xxxxxx související x xxxxxxxxxxxx xxxxxxxxxx xxxxxx x

x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti xxxxx §26.

§16

Provádění auditu kybernetické xxxxxxxxxxx

(1) Povinná xxxxx xxxxxxx plán provádění xxxxxx kybernetické bezpečnosti.

(2) Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xxxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxx xxxxxxxxx,

x) posuzuje xxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx s xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxxxxx závazky x xxxxxxxx xxxxx x

x) xxxxxxx x dokumentuje xxxxx xxxxxxxxxx xxxxxxxx x postupů xxxxxxxxxxx x bezpečnostní politice, xxxxxx xxxxxxxxxxx technické xxxxx x dříve xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 3 xxxx. x).

(3) Xxxxxxx xxxxx

x) xxxxxx výsledky xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 xx

1. xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

2. xxxxxx xxxxx x

x) xxxxxxx xx xxxxxxx výsledku xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxx xxxxxxx xxx xxxxxxxxxx odkladu.

(4) Xxxxx kybernetické xxxxxxxxxxx xxxxx odstavce 2 xx xxxxxxxx

x) xxx xxxxxxxxxx xxxxxxx, x xx x rámci xxxxxx xxxxxxx,

x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň xxxxxx za 2 xxxx a

c) x xxxxxxx x plánem xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(5) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx provést xxxxx x xxxxx xxxxxxx podle odstavce 2 xx xxxxx xxxxx xxxxxxxx 4 xxxx. x), xx xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx provádět průběžně xx xxxxxxxxxxxxxx xxxxxxx xxx, xxx byl xxxxxxx xxxx rozsah xxxxxx podle xxxxxxxx 2 xxxxxxx jednou xx 5 xxx.

(6) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx x §5 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx správnost x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

HLAVA II

Technická opatření

§17

Fyzická xxxxxxxxxx

Xxxxxxx osoba x xxxxx xxxxxxx xxxxxxxxxxx

x) xxxxxxxxx poškození, odcizení, xxxxxxxx xxxxx, neoprávněným xxxxxxx xx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx regulované služby,

b) xxxxxxx fyzický bezpečnostní xxxxxxxx ohraničující oblast, xx které jsou xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx a data, xxxx ve které xxxx umístěna xxxxxxxxx xxxxxx regulované xxxxxx,

x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxxx stanovené xxxxx xxxxxxx x) x xxxxxxx xx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xx jednotlivých xxxxxx xxxxxxx xxxxxxx x xxxx stanovené xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxx xxxxxxx dokumentuje x

x) xxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx perimetru x ohledem na xxxx xxxxxx fyzické xxxxxxx stanovenou podle xxxxxxx x) xxxxxxxxxx xxxxxxxxxxxx opatření xxxxxxx xxxxxxx

1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,

2. x xxxxxxxx xxxxxxxxx, xxxxxxxx, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx xxxx x narušení bezpečnosti xxxxxxxxxxx xxxxxxxxxx služby,

3. x zajištění fyzické xxxxxxx xxxxx x xxxxxx ohraničených xxxxxxx,

4. xxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx bezpečnostního xxxxxxxxx x

5. x xxxxxxxx xxxxxx x xxxxxxxx do fyzického xxxxxxxxxxxxxx xxxxxxxxx.

§18

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě, x xx xxxxxx xxxxxx xxxxxxxx xxxxxxxxx

x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx sítě, xxxxxx oddělení provozního, xxxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxxxxxxxx x jiného xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx komunikační sítě,

c) xxxxxxx řízení xxxxxxxxxx xxxxxxxx xx komunikační xxxx,

x) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxx x xxxxxxx x xxxxxxx x) až d) xxxxx xxxxxxx xxxxxxxxxx, xxxxx xx xxxxxxxx xxx řádné xxxxxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxx x souladu x xxxxxxx x) a x) xxxxxx xxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxx xxxx,

x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx upravených x §25 x xxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxxxxxx informací a xxx,

x) xxxxxxx xxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxx xxxxxxxxxxx xxxx, x

x) xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxxxx.

§19

Xxxxxx x ověřování xxxxxxx

(1) Povinná xxxxx xxxxxxx xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx aktiv, xxxxx xxxxxxxxx

x) xxxxxxx xxxxxxxx před zahájením xxxxxx xxxxxxx,

x) řízení xxxxx xxxxxxx xxxxxxxxxxx xxxxxx o přihlášení,

c) xxxxxxxx xxxxxxxxx x xxxxxxxxxxx autentizačních xxxxx xxxx xxxxxxx a xxxxxxxxxxxxxx, xxxxx xx xxxxx narušit xxxxxx xxxxxxxxx xxxx xxxxxxxxx,

x) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx xxxx xxxxxxxxxx,

x) dodržení xxxxxxxxxx xxx vytváření výchozích xxxxxxxxxxxxxx xxxxx x xxx xxxxxx přístupu x

x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx x ohledem xx xxxxx mezi xxxxxx.

(2) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxxxx

x) využívá xxxxxxxxxxxx mechanismus, xxxxx xx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx faktorů, nebo xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx je xxxxxxx xx aktuálně xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxx nulové xxxxxx, x

x) xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx x) xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů xxxx xxxxxxxxxxx.

(3) Povinná xxxxx xx xxxx splnění xxxxxxxxx xxxxx odstavce 2 písm. x) xxxx evidenci technických xxxxx, xxxx x xxxxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxxxxx xxxxxxxxx, x to včetně xxxxxxxxxx.

(4) Xxxxxxx xxxxx xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx účtu x xxxxx, xxx xxxxx nástroj musí xxxxxxxxx xxxxxxxx

x) délky xxxxx xxxxxxx

1. 12 xxxxx xxx xxxx xxxxxxxxx,

2. 17 znaků xxx účty xxxxxxxxxxxxxx,

3. 22 xxxxx pro xxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxxxx xxxxx heslo x xxxxx xxxxxxx 64 xxxxx,

x) xxxxxxxxxxx xxxxxxx xxxxxx a xxxxxxx písmen, xxxxxx x speciálních xxxxx,

x) xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx změnu xxxxx, xxxxxxx xxxxxx xxxx xxxxx změnami hesla xxxxx být kratší xxx 30 xxxxx,

x) xxxxxxx změny xxxxx x intervalu xxxxxxx xxxxxx xx 18 xxxxxx x

x) xxxxxxxxxxxx xxxxxxxxxx a administrátorům

1. xxxxxx xx xxxxxxxxxx x xxxxx xxxxxxxxx xxxxx,

2. tvořit hesla xx xxxxxxx mnohonásobně xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx jména, xxxxxx xxxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx x

3. opětovné xxxxxxx xxxxx používaných xxxxx x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx.

(5) Xxxxxxx xxxxx x souladu s xxxxxxxxx 4 xxxxxxx

x) xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx hesla xxxxxxxxx x xxxxxxxxxxxxxx xx xxxxxx xxxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx xxxxx výchozího xxxxx technického aktiva,

c) xxxxxxxxx hesla účtu xxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx řetězce xxxxxx x xxxxxxx xxxxxx, číslic x xxxxxxxxxxx znaků,

d) bezodkladné xxxxxxxx xxxxx xxxxxxxxxxxx xxxxx v xxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxx jeho důvěrnosti,

e) xxxxxxxxx náhodného výchozího xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxx k xxxxxxxx xxxxxxxx x zajistí xxxx xxxxxxxxx a

f) xxxxxxxxxxx xxxxxxxxxxx hesla xxxx xxxxxxxxxxxxxx sloužícího x xxxxxxxxx xxxx x xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx nebo xxxxxxxx xxxxxxx 24 hodin xx xxxx vytvoření.

(6) Xxxxxxx xxxxx x xxxxxxxxxxxxxxxxxx účtu xxxxxxx xxxxxxxx pro xxxxxx xxxxxx po kybernetickém xxxxxxxxxxxxx incidentu xxxx xxxxxxxx

x) xxxxxxxxxxxx změnu xxxxxxxxx xxxxx,

x) xxxxxxxxx xxxxx náhodným xxxxxxxx xxxxxxxx x malých x velkých xxxxxx, xxxxxx x speciálních xxxxx,

x) délku hesla xxxxxxxxx xxxxxxx z 22 xxxxx,

x) xxxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxx s účtem x xxxx heslem, xxx s xxxxx xxxxx x xxxx xxxxxx mohou xxxxxxxxxxx xxxxx xxxxxxxx osoby, x xx x xxxxxxxx xxxxxxx případech,

f) xxxxx hesla xx xxxx použití, xxx xxxxxxxx xxxxx pověřených xxxx, v xxxxxxx xxxxxxxxx xxxxxxxxx xx xxxx xxxxxxxxxxxx nebo x intervalu alespoň xxxxxx xx 18 xxxxxx x

x) xxxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxx x xxxxx účtem x xxxx heslem.

§20

Řízení xxxxxxxxxxxx práv x xxxxxxxxx

Xxxxxxx xxxxx xxx řízení přístupových xxxx a xxxxxxxxx xxxxxxx xxxxxxx,

x) který xx xxxxxxxxxxxxxx x xxxxxxx xx xxxxx xxxx xxxxxx,

x) kterým xxxx práva xxx xxxxxxx x xxxxxxxxxxx xxxxxxx x

x) xxxxxx xxxx oprávnění xxx xxxxx x zápis xxxxxxxxx x xxx x xxxxx xxxxxxxxx.

§21

Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

(1) Xxxxxxx osoba xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který zajišťuje

a) xxxxxxx x kontrolu xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx xxxx x mezi xxxxxxxxxxxxx xxxxxx,

x) xxxxxxx a xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx a

c) xxxxxxx blokování xxxxxxxxx xxxxxxxxxx x rámci xxxxxxxxxxx xxxx.

(2) Xxxxxxx xxxxx xxxxxxx s xxxxxxx na xxxxx xxxx aktivy pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx centrálně spravovaný xxxxxxx, který u xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx zajišťuje

a) xxxxxxxxxxxx x xxxxxxxxxxxx ochranu xxxx škodlivým xxxxx,

x) xxxxxx a xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,

c) xxxxxx automatického xxxxxxxxx xxxxxx, xxxxxxx x xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,

d) řízení xxxxxxxxx xx spouštění xxxx,

x) řízení x xxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxxxx služeb a xxxxxxx,

x) xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx technických xxxxx x

x) detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx, administrátorů x xxxxxxxxx.

(3) Povinná xxxxx provádí pravidelnou x xxxxxxxxxxxx aktualizaci xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 x 2, x xx xxxxxx xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx.

§22

Zaznamenávání xxxxxxxx

(1) Xxxxxxx xxxxx na základě xxxxxxxxx aktiv x xxxxx xxxxxxxxxxxxxx potřeb

a) xxxx xxxxxxxxx xxxxxx, x kterých xx xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx, a

b) xxxxxxxxxxx xxxxxx technických aktiv xxxxx odstavce 1 xxxx. a) x xxxxxxxxxxxx xxxxxxxxxxx x xxx xxxxxxxxxx xxxxxxx.

(2) Xxxxxxx osoba xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx události

a) xxxxxxxxxx xxxxx §21,

x) x xxxxx xxxxxxxxxxx xxxx,

x) xx xxxxxxx xxxxxxxxx x

x) xxxxxxxxxxx xxxxx xxxxxxxx podle xxxxxxxx 1 xxxx. a).

(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxxxx událostí xxxxx odstavce 2 xxxxxxxxxxx

x) xxxxxxxxxxxx x xxxxxxxxxxx xx všem xxxxx, x xx xxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxx x xxxxxxxxx xxxxxx x provedení xxxxxxxxxxxxx xxxxxxxx,

x) manipulace x xxxxxxxxx xxxxxx x xxxxxxxxxx s xxxx, xxxxxxxxxxx x xxxxx,

x) xxxxxxxxxxx činností x důsledku xxxxxxxxxx xxxxxxxxxxxx xxxx xxxx xxxxxxxxx,

x) xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,

x) kritická x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxx x xxxxxxxxx xxxxxx x xxxxxxxx x záznamům xxxxxxxx,

x) xxxxxxxxxx a xxxxxxxxx xxxxxx o xxxxxxxxxx xx xxxxxxx xxxxxxxx,

x) xxxxx x xxxxxxxxx pokusy x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x

x) xxxxx činnosti xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxxxxxx xxxxxxxxxx xxxxxx.

(4) Xxxxxxx osoba x xxxxx zaznamenávání událostí xxxxx xxxxxxxx 2 xxxxxxxxxxx následující xxxxxxxxx x události:

a) xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,

x) xxx xxxxxxxx,

x) jednoznačnou xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx zaznamenalo, x xx x x xxxxxxx, xxx x komunikační síti xxxxxxx xx změně xxxx síťové xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx účtu, xxx xxxxxx xxxx xxxxxxx provedena, x xx x x xxxxxxx, xxx v xxxxxxxxxxx xxxx dochází xx xxxxx xxxx xxxxxx xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, x xx x x případě, xxx x xxxxxxxxxxx síti xxxxxxx xx změně xxxx xxxxxx identifikace, x

x) xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx.

(5) Xxxxxxx xxxxx dále s xxxxxxx xx xxxxxxxx xxxxxxxxxxx podle odstavce 2

x) xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx x jakoukoliv změnou,

b) xxxxxxx x xxxxxxx xx vazby mezi xxxxxx centralizovaný xxxxxxx xxx xxxx a xxxxxxxxxx záznamů těchto xxxxxxxx a

c) xxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxxxxx xx dobu 18 xxxxxx.

(6) Xxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx jednotného času xxxxxxxxxxx aktiv.

§23

Xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí detekovaných xxxxx §21, xxxxx xxxxxxxxx

x) xxxx, xxxxxxxxxxx x seskupování xxxxxxxxxxxxx xxxxxxx xx účelem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,

x) nepřetržité xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx, xxxxxx xxxxxxxx vybraných xxxxxxxxxxxxxx xxxx x xxxxxxx relevantních osob x

x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx s xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů.

(2) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx x odstavcem 1 xxxxxxx

x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxx nežádoucího xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx nástroje xxxxxx xxxx pravidel xxx xxxxxxx a vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x

x) xxxxxxxxxxx aktualizaci xxxxxxxx pro nepřetržité xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx vybraných bezpečnostních xxxx a dalších xxxxxxxxxxxx xxxx.

(3) Xxxxxxx xxxxx zajistí xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí pro xxxxxxxxx nastavení xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.

§24

Aplikační bezpečnost

(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby xxxxx technická xxxxxx, xxxxx xxxx jejich xxxxxxxx, xxxxxxxxxxx nebo xxxxx xxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxx xxxxxx.

(2) Xxxxxxx xxxxx xx doby plnění xxxxx xxxxxxxx 1 xxxxxx bezpečnostní xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxx xxxxx úroveň xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx, a xxxxxxx xxxxxxxxx xxxxxx,

x) xxxxx xxx nejsou xxxxxxxx, xxxxxxxxxxx xxxx jinou xxxxxx podporována x

x) xx xxxxx není xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx před

a) xxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.

(4) Xxxxxxx xxxxx v xxxxx xxxxxxxxx zranitelností technických xxxxx

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxx

1. x xxxxxxx x xxxxxx xxxxxxxxxxx sítě x

2. xxxxxxx jednou xxxxx.

x) xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxx xxxxxx rizik xxxxx §8 x xxxxxx xxxxxxxxxxxx xxxxxxxx na xxxxxxx xxxxxxxxxx xxxxxxxx.

(5) Xxxxxxx xxxxx x xxxxx penetračního testování

a) xxxxxxx penetrační xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx na xxxxxxxxx xxxxxx xxxxx x xxxxxxxxx rizik

1. x xxxxxxx x vnější xxxxxxxxxxx xxxx,

2. xxxx xxxxxx xxxxxxxx xx xxxxxxx x

3. v xxxxxxxxxxx x významnou xxxxxx podle §11 xxxx. 3,

x) zohlední xxxxxxxx xxxxxxxxxxxx testování xxx xxxxxx xxxxx xxxxx §8 x xxxxxx xxxxxxxxxxxx opatření xx xxxxxxx zjištěných xxxxxxxx,

x) xxxxxxx x xxxxxxx s xxxxxxxxx 5 xxxx. x) xxxxx 1 xxxxxxxxxx xxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxx xx 2 xxxx,

x) x odůvodněných xxxxxxxxx, xxxxx xxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxx 5 xxxx. c), xxxx xxxxxxxx xxxx xxxxxxxxxx testování xx xxxxxxxxxxxxxx xxxxx. V xxxxxxx xxxxxxx xx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx v rozsahu xxxxxxxxxx x odstavci 5 písm. x) xxxxxxxxxx xx 5 xxx,

x) x xxxxxxxxxxxx xxxxx x souladu x xxxxxxxxx 5 xxxx. x) xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxx fyzické osoby xxxxxxxxxxx toto penetrační xxxxxxxxx.

(6) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xx xxxxxxx provedeného skenování xxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxx za účelem xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

§25

Xxxxxxxxxxxxxx xxxxxxxxx

(1) Povinná xxxxx xxx zajištění xxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx

x) xxxxxxx pouze xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx algoritmy x

x) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx x xxxxxxx kryptografických algoritmů xxxxxx Xxxxxxxx xxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx.

(2) Povinná xxxxx xxxxxxxxx bezpečnou

a) xxxxxxxx, audiovizuální x xxxxxxxx komunikaci, x xx xxxxxx x-xxxxxxx xxxxxxxxxx, x

x) xxxxxxxx xxxxxxxxxx x rámci xxxxxxxxxx.

(3) Povinná xxxxx x případě využívání xxxxxxxxxxxxxxxx klíčů a xxxxxxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxx používá

a) xxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx klíče x xxxxxxxxxxx a

b) xxxxxxx xxx xxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxxxxxx, xxxxx

1. xxxxxxx generování, xxxxxxxxxx, ukládání, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x xxxxxx xxxxxxxxx kryptografických klíčů,

2. xxxxxx xxxxxxxx x xxxxx a

3. xxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.

§26

Xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx

(1) Xxxxxxx osoba xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby, xxxxxxx xxxxxxx

x) xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxx xxxxxxxxxxx podle §15,

x) xxxxxxxx xxxxxxxxxx služby xxxx xxxxxxx x xxxxxxxxxxxxxx, které xx xxxxx xxxxxx její xxxxxxxxxx a

c) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx.

(2) Xxxxxxx xxxxx xxx xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx x xxxxxxx x xxxxxxxxx 1 xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx technických xxxxx, xxxxxxxxx x xxx xxxxxxxxxx zejména xxx xxxxx xxxxxx xxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(3) Xxxxxxx xxxxx u xxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 zajistí

a) xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxxxxx,

x) xxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x),

x) xxxxxxx xxxxxxxxxx xxxxx x xxx x nich obsažených xxxx xxxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxx, x xx xxxxxxx xxxxxxxxxx těchto xxxxx x xxxxxxx x §25, x

x) xxxxxxx xxxxxxxxxx xxxxx a xxx v nich xxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxxx.

(4) Xxxxxxx xxxxx pro xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xx hodnocení xxxxxx aktiv a xxxxxxxxx xxxxx.

(5) Povinná xxxxx xx účelem xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxx xxxxxx xxxxxxxx zálohovací prostředí xx xxxxxx prostředí xxxxx §18 xxxx. x).

§27

Xxxxxxxxxxx průmyslových, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxxxxxx xxxxx

Xxxxxxx osoba xxxxxx požadavků xxxxxxxxx x §3 až 26 xxx zajištění xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxx xxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxxxxx

x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktivům,

b) xxxxxxx xxxxxxxxx x xxxxxxxx x xxxxxxxxxxx, řídicím x obdobným xxxxxxxxxxx xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxx x oddělení xxxxxxxxxxxxx xxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxx sítí xxxxx §18,

x) xxxxxxx xxxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx technických aktiv, xxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxx xxxxxxx osoby,

e) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx specifických xxxxxxxxxxx xxxxx před xxxxxxxx známých xxxxxxxxxxxxx x hrozeb x

x) xxxxxxxxxx x obnovu xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxx zajištění xxxxxxxxxxx xxxxxxxxxx služby.

ČÁST TŘETÍ

ZÁVĚREČNÁ XXXXXXXXXX

§28

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx xxxxx, která xxxx xx dni xxxxxxxxxxxxxxx xxx nabytí xxxxxxxxx xxxx vyhlášky xxxxxxx xxxx xxxxxx xxxxx §3 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx, xx znění pozdějších xxxxxxxx, které xx xxxxxxxx xxxxxxxxxx v xxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxxxxxx opatření xxxxx xxxxxxxx č. 82/2018 Sb., xxxxxxxx x kybernetické xxxxxxxxxxx, ve xxxxx xxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x xxxxx xx dni xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxx alespoň jedné xxxxxxxxxx služby, xxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx č. 264/2025 Sb., o kybernetické xxxxxxxxxxx xx doby xxxxxxxx xxxx xxx xxxxxxxx plnění xxxxxxxxxx xxxxx zákona č. 264/2025 Sb., x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxx č. 82/2018 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti), xx xxxxx xxxxxxx přede xxxx xxxxxx účinnosti xxxx vyhlášky.

XXXX ČTVRTÁ

ÚČINNOST

§29

Účinnost

Tato xxxxxxxx xxxxxx účinnosti dnem 1. xxxxxxxxx 2025.

Ředitel:

Ing. Xxxxx x. x.

Příloha x. 1

Xxxxxxxxx xxxxx

(1) Povinná xxxxx xxx hodnocení aktiv xxxxxxx stupnici alespoň x čtyřech xxxxxxxx xxxxxxxxx x xxxxxxxxx x. 1, 2 x 3 x xxxxxxxx xx, jaký xxxxx by mělo xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxx.

(2) Xxxxxxx osoba může xxxxxxxxx xxxxxx aktiv xx xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxx může xxxxxxxx odlišný xxxxx xxxxxx pro xxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx používaným xxxxxxxx xxxxxxxxx aktiv a xxxxxxxxxx x úrovněmi xxx hodnocení xxxxx, xxxxx jsou uvedeny x xxxx xxxxxxx.

(3) X xxxxxxxxxx aktiv xx xxxxxxx nutné xxxxxxxxx xxxxxxx xxxxxxx xxxxxxx v tabulce x. 4 - Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxx.

(4) Xxx xxxxxxxxx xxxxxxxxxx aktiv xx xxxxx xxxxxxxxx xxxxxxx xxxxx xxxx podpůrnými x xxxxxxxxxx xxxxxx.

Xxx. x. 1: Xxxxxxxx xxx xxxxxxxxx důvěrnosti

Pro xxxxxxxxxxx důvěrnosti informací x xxx xxx xxxxx xxxxxx sdílení xxx xxxxxx xxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx xxx. Xxxxxxx Xxxxx Xxxxxxxx (XXX)³⁾.

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxx jsou xxxxxxx přístupná xxxx xxxx určena xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx.	Xxxx xxxxxxxxxx žádná xxxxxxx. X xxxxxxx sdílení xxxxxx xxxxxxxxx, xxxx xxx xxxx xxxxxxxxx xxxx xxxxxxxxxxx x xxxxxx xxx omezení. Xxxxxxxx xxxxxxx xx xxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxx původce a/nebo xxxxxxxx či xxxxxxx xxxxx xxxxxx tímto xxxxxxxxxxx dotčena. Xxxxxxxxx/xxxxxx xx xxxxxx Nízká - viz příloha č. 2.
Xxxxxxx	Xxxxxx xxxxxx veřejně xxxxxxxxx, xxxxxxx xxxxx není xxxxxxxxxx xxxxxx právním xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx.	Xxx xxxxxxx důvěrnosti xxxx využívány prostředky xxx xxxxxx xxxxxxxx. X xxxxxxx sdílení xxxxxx xxxxxxxxx, xxxx xxx xxxx informace xxxxxxx x rámci xxxxxxxxxx xxxxxxxx x xxxxxxxx xxxx s xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx nikoli xxxxx xxxxxxx xxxxxxxx xxxxxx; xxxxxxxx musí xxx předání xxxxxxxx xxxxxxxxx komunikace. Likvidace/mazání xx úrovni Xxxxxxx - xxx příloha č. 2.
Vysoká	Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx vyžadována právními xxxxxxxx, xxxxxx předpisy xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx obchodní tajemství, xxxxxx xxxxx).	Xxx ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx informací xxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx, může xxx xxxx informace xxxxxxx x xxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxx nebo xxxxx x rámci xxxxxxxxxx xxxxxxxx, x xx xxxxx xxxxxx, xxxxx xxxxxxx zásady xxxx-xx-xxxx. Xxxxxxxxx/xxxxxx na xxxxxx Vysoká- xxx příloha č. 2.
Xxxxxxxx	Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx xxx xxxxx předchozí xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx).	Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx xxxxxxxx xxxxxx kryptografických algoritmů. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx, xxxxxx xxx xxxx informace xxxxxxxxxx xxxx xxxxx xxx té, xxxxx xxxx xxxxxxxxx xxxxxx, xxxxxxx-xx výslovně xxxxxxxxx xxxxx xxxxx, kterým xxx xxxxxxx informaci xxxxxxxxxx. X xxxxxxx, xx příjemce xxxxxxxx xx důležité xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx, xxx xxx xxxxxx xxxxx xx xxxxxxxxx xxxxxxx informace. Likvidace/mazání xx xxxxxx Xxxxxxxx - xxx příloha č. 2.

Tab. x. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení integrity xxxxxx neohrožuje xxxxxxxxx xxxxx povinné xxxxx.	Xxxx xxxxxxxxxx žádná xxxxxxx.
Xxxxxxx	Xxxxxxx xxxx xxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx.	Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx.
Xxxxxx	Xxxxxxx xxxxxxxx ochranu x xxxxxxxx integrity. Narušení xxxxxxxxx xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx osoby x xxxxxxxxxxx xxxxxx xx primární xxxxxx.	Xxx xxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxx xxxx xxxxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
Xxxxxxxx	Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx k velmi xxxxxxx xxxxxxxxx oprávněných xxxxx xxxxxxx osoby x přímými x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx.	Xxx xxxxxxx integrity xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx.

Xxx. x. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxxxx dostupnosti xxxxxx, například x xxxxxxx xxxxxxx x xxxxxxxxxx týdnů, je xxxxx tolerováno x xxxx xxxxx xxxx xxxxxxxxxxxx xxxxx na xxxxxxxxxxxx xxxxxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxxxx je xxxxxxxxxxx pravidelné xxxxxxxxxx. Xxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxxxx xxx xxxxxxx.
Xxxxxxx	Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby xxxxxxx xxxxx.	Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx zálohování x xxxxxx. Je vhodné xxxxxxxx redundanci pro xxxx xxxxxx.
Xxxxxx	Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx dobu xxxxxxxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx nutné xxxxx xxxxxxxxxx, protože xxxx x xxxxxxx xxxxxxxx poskytování xxxxxxxxxx xxxxxx. Aktiva xxxx xxxxxxxxxx xx xxxxx xxxxxxxx.	Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx služeb xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. Xx xxxxxx xxxxxxxx xxxxxxxxxx xxx xxxx xxxxxx, xxxxx xx mohla xxx xxxxxxxx xxxxxxx xxxx. v xxxxxx xxx. Active-Standby.
Kritická	Narušení dostupnosti xxxxxx není xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx.	Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx je xxxxxxxxxx x xxxxxxxxxxxxxx. Je xxxxxxxx xxxxxxxx redundanci xxx xxxx aktiva, xxxxx xx xxxxx xxx xxxxxxxx např. x xxxxxx xxx. Xxxxxx-Xxxxxx (xxxxxx xxxxxx xxxxxxxxxxx).

Xxx. č. 4 Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxx

Xxx xxxxxxxxx xxxxxxxxxx xxxxx je potřeba xxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxx oblastí

Oblasti	Příklady
a) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx	Xxxx xxxxxxxx údajů xxxxxxx xxxxx.
x) rozsah xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx závazků xxxx xxxxxxxxxx tajemství	Narušení xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxx xxxxxx xxxxx, xxxxx musí být xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxx a x ní xxxxxxxx xxxxxx. Xxxx obchodního xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx x z xxxx plynoucí pokuty.
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx	Xxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx pro xxxxxxxxxxx vedení x xxxxxxxxx xxxxxxx.
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx zájmů a xxxxx xxxxxxxx ztráty	Nedostupnost xxxxxxxxx x fakturách xx základě xxxxxxxxxxxxx xxxxxxxxxxxx systému. Nedostupnost xxxxxxxxx x možných xxxxxxxxxx xxxxxxxxxxxxxx x z xxxx plynoucí xxxx xxxx. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, xxxx vést x neinformování xxxxxxxxxx x důležitých xxxxxxxxxxxxx (xxxxxxx, xxxxxxxxxx xxxxxxxxxx xxx.).
x) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx služeb	Narušení xxxxx informací a xxxxxx xxxxxxxxxx směrem x xxxxxxxxxx službě x hlavnímu xxxx (xxxxx xxxxxxxxx) xxxxxxxxxx.
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx	Xxxxxxxx xxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxx, xxxxxx budov x autoparku, neschopnost xxxxxxxx datové xxxxxx xxxx.
x) xxxxxx na xxxxxxxxx dobrého xxxxx xxxx xxxxxxx dobré xxxxxxx	Xxxxxxxxxx xxxxxxx. Xxxx xxxxxxxxx informací.
h) xxxxxx xx xxxxxxxxxx x xxxxxx xxxx	Xxxxxxxxxxx zajistit xxxxxxxx xxxxxx, potraviny, xxxxxxx xx xxxxxxxxx xxxx, svobodu xxxx. Xxxxxxx xxxxxxx x xxxxx xx xxxxxxxx.
x) xxxxxx xx xxxxxxxxxxx xxxxxx	Xxxx xxxxxxxxx od xxxxxxxxxxxx xxxxxxxx. Xxxx informací xx xxxxxxxx, xxxxx je xxxxxxxx mezinárodního xxxxxxxx.
x) xxxxxx na xxxxxxxxx xxxxxxxxxx xxxxxx	Xxxxxx možnosti xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxx xxxxxxxxxxxxx.

Příloha č. 2

Xxxxxxxxx xxxxxxxxx a dat

(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxx x xxxxxxxxxx způsobů xxxxxxxxx xxxxxxxxx x xxx, xxxxxx xxxxx x xxxxxxxxxxx xxxxx, xxxxx jsou nosiči xxxxxxxxx x xxx, x ohledem xx xxxxxx hodnocení x xxxxxx podle přílohy č. 1 x xxxx xxxxxxxx.

(2) Xxxxxxx osoba xxxxxxx xxxxxxxx x postupy xxx xxxxxxx likvidace xxxxxxxxx a xxx, xxxxxx kopií x xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxx xxxxxxxxx x xxx, v xxxxxxx s xxxxx xxxxxxxx. Tím xxxxxx xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx xxxxxxxx.

(3) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxx x xxx, jejich xxxxx x xxxxxxxxxxx xxxxx, xxxxx jsou xxxxxx xxxxxxxxx x xxx, xxxx být xxxxxxxxx přiměřeně xxxxx xxxxxxxxx x úrovně xxxxx a xxxx xx xxxxxxx zohledňovat

a) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),

x) xxxxxxxxxxx (xxxx xxxxxx xxxxxxxxx a xxx),

x) xxx xx xxxxxx xxxxxxxxx a dat xxxxxxx pod xxxxxx xxxxxxxxx xxxxxxx osoby xx nikoliv,

d) xxx xxxx xxxxxx informací x xxx xxxxxxxx xxxxxxxxxxxx xxxx sdíleného xxxxxxxxx,

x) xxxx xxxxx xxxx xxxxxxxxx xxxxxxxxx x dat xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx),

x) xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxxx (xxxxxxxxx xxxxxx, xxxxxx, finanční, xxxxxxxxx),

x) xxxxx xxxxxxx likvidace xxxxxxxxx x xxx xxxx xxxxxx xxxxxx x

x) xxxxx xxxxxx xxxxxxxxx x dat (xxxxxxxxx xxx xxxxxxxxx xxxxxx nebude xxxxx xxxxxx variantu xxxxxxx xxxxxxxxx x dat, xxx některý ze xxxxxxx fyzické likvidace).

(4) Xxxxxxx likvidace xxxxxxxxx x xxx, jejich xxxxx x technických xxxxx, která xxxx xxxxxx informací a xxx:

x) Xxxxxxxxxx

1. Xxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxx tak, xxx byla xxxxxxxxxx (xxxxxxxxx odstranění xxxxxxxx xxxxxxx, vyhození xxxxxx xx xxxxxx).

2. X xxxxxxx získání xxxxxx xxxxxxxxx x dat xx možné s xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx a xxxx xxxxxxx.

3. Xxxx metoda xxxx vhodná pro xxxxxx xxxxxxxxx x xxx xxxxxxxxxxxx xxxxxxxx xxxxx.

4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1 x xxxx xxxxxxxx): Xxxxx.

x) Přepsání

1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxxxx xxxxxxxx xxxxxxxxx a dat xxxxxxxxx xxxxxxxxx.

2. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx po xxxxxxxx xxxxxxxx informací a xxx.

3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxx kryptografických xxxxx x xxxxxxxxxxxx xxxxxxxxxx x datům.

4. Xxxx xxxxxx není xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx neumožňující xxxxxxxx xxxxx, xxxxxxxx pro xxxxxx s xxxxxx xxxxxxxxx xxxxxxxxx.

5. Použitelný xxxxxx xxx úroveň xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1 x xxxx xxxxxxxx): Nízká xx Xxxxxx.

x) Fyzická xxxxxxxxx

1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informací a xxx, xxxxxxxxx v xxxxxxxxx nosiče x xxxxxxxxxx zničení (například xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xx. xxxxxxxxx).

2. Xxxxx xxxxxxxxx x xxx po fyzické xxxxxxxxx nelze znovu xxxxxx. Xxxxxxxxx x xxxx xxxx možné x xxxxxx xxxxxx xxxxxxx xxx při xxxxxxxxxx xxxxxxxx množství xxxxxxxxxx x xxxxx.

3. Xxxxxxxxxx způsob xxxxxxxxx xxx úroveň důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1 x xxxx xxxxxxxx): xxxxx xx xxxxxxxx.

Xxxxxxx č. 3

Xxxxxxxxxxxxx x xxxxxx

Xxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx x hrozeb, xxxxx xxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxx xxxxx, xxxxx xxxx xxx xxxx xxxxxxx xxxxxxxxxx. Xxxxxxx xxxxx xxx xxxxx xxxx xxxxxxxxx kategorií xxxxxxxxxxxxx x xxxxxx xxxx xxxxx xxxxxxxxx hrozby x zranitelnosti podle xxxxx xxxxxxxxxxxxxx xxxxxx.

Xxxxxxxxxxxxx

1. Xxxxxxxxxxxx xxxxxx xxxxx,

2. xxxxxxxxxxx xxxxx,

3. xxxxxxxxxxxx xxxxxxx xxxxxxxxx,

4. xxxxxxxxxxxx xxxxxxxxxxxx povědomí uživatelů, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x vrcholného xxxxxx,

5. xxxxxxxxxxxx xxxxxxxxxx,

6. nevhodné xxxxxxxxx přístupových oprávnění,

7. xxxxxxxxxxxx postupy x xxxxxxx xxx detekování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,

8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů a xxxxxxxxxxx odhalit xxxxxxx, xxxxx může mít xxxx xx bezpečnost xxxxxxxxxx xxxxxx,

9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxx, xxxxxxxx xxxx nejednoznačné xxxxxxxx xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x vrcholného xxxxxx,

10. xxxxxxxxxxxx xxxxxxx xxxxx,

11. xxxxxxxx navržená xxxxxxxx architektura,

12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

13. xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

14. xxxxxxxxxx zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx,

15. umístění xxxxxx mimo fyzickou xxxxxxxx (například xx xxxxx cizího státu),

16. xxxxxxxx aktiva na xxxxx xxxxx, x xxxxx xxxxxxx xxxxxxxxx xxxx povinná xxxxx xxxxxxxxxx povědomí, x

17. xxxxxxxxxxxxx odhalené při xxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.

Xxxxxx

1. Xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní role, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

2. xxxxxxxxx xxxx xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,

3. xxxxxxxx xxxxxxxx,

4. xxxxxxx programového xxxxxxxx v rozporu x licenčními podmínkami,

5. xxxxxxxx xxx,

6. xxxxxxxx xxxxxxx bezpečnosti,

7. xxxxxxxxx xxxxxxxxxxx služeb elektronických xxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,

8. narušení xxxxxxxxxxx primárních xxxx xxxxxxxxxx xxxxx umístěných xxxx xxxxx Xxxxx xxxxxxxxx,

9. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx informací,

10. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,

11. xxxxxxxxxx xxxxxxxxx závazku xx xxxxxx xxxxxxxxxx,

12. xxxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx, osob zastávajících xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx vedení,

13. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,

14. xxxxxxxxxx přerušení xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx služeb, xxxxxxx xxxxxxxxxx energie xxxx jiných xxxxxxxxxx xxxxxx,

15. xxxxxxxxxxx x xxxxxxxxxxxxx odbornou úrovní xxxxxxxx,

16. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,

17. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,

18. xxxxxxxx (xxxxxxxxx, xxxxxxxxxx, xxxxxxxxx) xxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxx nebo xxxxxx důležitých xxxxxx,

19. xxxxxxxxx xx xxxxxxxxxx,

20. xxxxxxxx cizí xxxxxx xxxx xxx přístup x xxxxxxx,

21. zpřístupnění xxxx předání aktiv xx xxxxxxx xxxxxxx xxxxxx státu.

Příloha x. 4

Xxxxxxxxx xxxxx

(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení xxxxxx je nezbytnou xxxxxxxx metodiky pro xxxxxxxxx rizik xxxxx §8.

(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxx hodnota xxxxxx, xxxxxx x xxxxxxxxxxxx.

(3) Xxx hodnocení rizik xxx xxxxxx xxxxxx: Xxxxxx = hodnota xxxxxx x xxxxxx x xxxxxxxxxxxx, xxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxx.

(4) Xxxxxxx xxxxxx xx x xxxxx xxxxxxx odvozena z xxxxxxxxx aktiv xxxxx přílohy č. 1 x xxxx xxxxxxxx.

(5) V xxxxxxx, xx povinná osoba xxxxxxx na xxxxxxx §8 odst. 3 xxxxxx pro xxxxxxxxx xxxxx, xxxxx nerozlišuje xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx pro hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxxxx vytvořit xxxxxxx kombinující hrozbu x xxxxxxxxxxxx. Sloučení xxxxxxx by xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x zranitelnosti. Xx xxxxx xxxxxx xxx použít například xxxxxxxx, který xxxxxxxx xxxxxxx jak úroveň xxxxxx, xxx i xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x případech, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx úrovní xxx xxxxxxx aktiv, xxxxxx, xxxxxxxxxxxxx x xxxxx.

Xxx. č. 1: Xxxxxxxx pro hodnocení xxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace xxxxxx xxxx xxxxxxxx xxx xxxxxx xx 5 xxx.
Xxxxxxx	Xxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx v rozpětí xx 1 roku xx 5 let.
Vysoká	Hrozba xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx od 1 měsíce xx 1 xxxx.
Xxxxxxxx	Xxxxxx xx xxxxx pravděpodobná až xxxxxxxx xxxxx. Předpokládaná xxxxxxxxx hrozby xx xxxxxxxx xxx jednou xx měsíc.

Tab. x. 2: Stupnice pro xxxxxxxxx xxxxxxxxxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxxxxxxxx neexistuje xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx o xxxxxx xxxxxxxx.
Xxxxxxx	Xxxxxxxx zranitelnosti xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx možné xxxxxxxxxxxxx nebo případné pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxx	Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobné. Xxxxxxxxxxxx xxxxxxxx xxxx zavedena, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Jsou xxxxx xxxxx úspěšné xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxxxx	Xxxxxxxx zranitelnosti xx velmi xxxxxxxxxxxxx xx víceméně jisté. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxx je xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx úspěšné xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx.

Xxx. č. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xx považováno xx akceptovatelné.
Střední	Riziko xxxx xxx xxxxxxx méně xxxxxxxxx xxxxxxxxxxxxxx opatřeními xxxx x případě xxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx.
Xxxxxx	Xxxxxx je xxxxxxxxxx xxxxxxxxxxx x xxxx xxx zahájeny xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx.
Xxxxxxxx	Xxxxxx je xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx.

(6) Xxxxx xx xxxxxxx xxxxxx xxxxx xxx xxxxxxx akceptovatelnosti, xx xxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxx xxxxxxxxxx riziko x xxxxxxxx xxxxxxxxxxx úroveň xxxxxxxxxxx xxxxxxxxx Metody xxx zvládání xxxxx xxxx zejména xxxxxxxxxxx

x) xxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxx,

x) eliminace rizika,

d) xxxxxxx se xxxxxx, xxxx

x) přenesení xxxx xxxxxxx xxxxxx.

Příloha x. 5

Xxxxxx xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx

Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxx relevantní xxxxxxxxxx x xxxx xxxxxxxxx:

x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx (včetně xxxxxxxxxx x mlčenlivosti), xxxxxxxxx x xxxxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxx xxxxxx xxxx,

x) ustanovení x xxxxxxxxx programového xxxx, popřípadě x xxxxxxxxxxxx licencích,

d) ustanovení x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),

x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx dodržovat x plném xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx a xxxxxxxxxxx x xxxxxxx x xxxxxxx x požadavky xxxxxxx xxxxx xx xxxxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx nebo xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx (xxxx xxxxxxxxxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxx částí xxxxxxxxxxxxxx xxxxxxx) xxxxxxxx xxxxxx,

x) ustanovení o xxxxxx xxxx,

x) ustanovení x souladu smluv x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x

1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,

2. xxxxxxx xxxxxx xxxxx xx xxxxxx dodavatele a x xxxxxxxxxx rizicích xxxxxxxxxxxxx x plněním xxxxxxx,

3. xxxxxxxx xxxxx xxxxxxxx tohoto xxxxxxxxxx xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx vlastnictví zásadních xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy x xxxxxxxx xxxxxx,

4. xxxxxxx cizozemského xxxxxx x xxxxxxxxxxxx nebo xxxxxxx dat xxxxxxxxxxxxxx xx území xxxxxx xxxxx, xxxxx xxxxxxx, xxx by xxxxxx xxxxxxxxxxx xxxx x xxxxxxx x xxxxxxx xxxxx, x jehož xxxxxxxxxx xxxxxxx ke xxxxxxxxxx xxx nebo xxxxx kterého xxxx xxxxxx xxxxxx,

5. xxxxxxxxx xxxxxxx přicházejících xx xxxxxxxx s důvěrnými xxxxxxxxxxx xxxxxxx xxxxx (xxxxx se xxxxxxxxx x osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx xxxxxxx a xxxxxxxxxxxxxx),

x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx, xxx. xxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxx období xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx dat x xxxxxxx),

x) xxxxxxxxxxx podmínek xxx řízení kontinuity xxxxxxxx x xxxxxxxxxxx x dodavateli xxxxxxxx xxxxxxxxxx xx xxxxx xxxxxx, xxxxx xxxxxxxxxx, xxxxx dodavatelů xxx xxxxxxxx řízení kontinuity xxxxxxxx xxxx.),

x) specifikace xxxxxxxxxxx smlouvy x xxxxxx služeb (SLA) x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) ustanovení o xxxxxxxxxx xxxxxxxx bezpečného xxxxxx,

x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx předání xxx x xxxxxxxxx xx xxxxxxxx povinnou xxxxxx,

x) pravidla xxx xxxxxxxxx dat,

p) xxxxxxxxxx x právu xxxxxxxxxxxx xxxxxxxxx od xxxxxxx xxxx xxxxxxx xxxxxxxxx xxx výpovědní xxxx x xxxxxxx významné xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx změny xxxxxxxx xxx zásadními xxxxxx využívanými xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx,

x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx x

x) xxxxxxxxxx x zpřístupnění xxxx xxxxxxx xxx xx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx o xxxxxxxxxxxx xxxx xxxxxxx dat xxxxxxxxxxxxxx xx území xxxxxx státu

1. xx xx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx žádosti,

2. až xx xxxxxxxxxx xxxxx x xxxxxxxxx zpřístupnění xxxx xxxxxxx xxx x rámci možností xxxxxx právním řádem, x xxxxx xxxxxxxxxx xxxxxxx xx xxxxxxxxxx xxx xxxx xxxxx xxxxxxx xxxx žádost xxxxxx,

3. xxxxx v xxxxxxxxx xxxxxxx.

Příloha č. 6

Xxxxxx xxx rozvoj xxxxxxxxxxxxxx xxxxxxxx

x) Xxxxxxxx xxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx, xxxxxxxxxx xxxxxxx a xxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxx stahování xxxxxxxx x xxxxxxxx.

x) Xxxxxxxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxx x xxxxxxxx spouštění xxxxx.

x) Xxxxxx xxxxxxxxxxxxx xxxxxxx.

x) Xxxxxx zabezpečení xxxxxxxxxxxxx xxxx.

x) Používání, xxxxxx x správa xxxxx.

x) Xxxxxxxxxxxxx autentizace.

k) Xxxxxxxx sociálního xxxxxxxxxxx.

x) Xx-xxxx identita, xxxxxxxxx xxxxx a xxxx xxxxxxxxxxxx.

x) Zásady práce x xxxxxxxxxx xxxx.

x) Xxxxxxxxx xxxxxxxxxx xxxxxxxxx (XXX).

x) Xxxxxxxx elektronická xxxxxxxxxx.

x) Bezpečnost webových xxxxxxx.

x) Xxxxxxxxxx, xxxxxxxx x šifrování dat.

r) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.

x) Xxxxxxxxx služeb cloud xxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx pro oznamování xxxxxxxxxxx chování xxxxxxxxxxx xxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx.

x) Xxxxxxxx xxxxxx xxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxxx incident.

v) Xxxxxx xxxxxxxxxx používání xxxxxxxxxx xxxxxxxx xxx xxxxxxxx účely.

w) Zásady xxxxxxxxxx používání soukromých xxxxxxxx pro pracovní xxxxx (xxx. BYOD).

x) Xxxxxx xxxxxxxxxxx zaměstnance xxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxx v xxxxxxxxxxxx xxxxxxxxxxx.

Informace

Právní předpis č. 409/2025 Xx. xxxxx xxxxxxxxx xxxx 1.11.2025.

Xx xxx xxxxxxxx právní xxxxxxx nebyl měněn xx xxxxxxxxx.

Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Evropského xxxxxxxxxx x Rady (XX) 2022/2555 xx xxx 14. xxxxxxxx 2022 o opatřeních x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx v Xxxx x x změně xxxxxxxx (EU) x. 910/2014 x směrnice (XX) 2018/1972 x x zrušení xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).

2) Zákon č. 134/2016 Sb., x zadávání xxxxxxxxx xxxxxxx, ve xxxxx xxxxxxxxxx xxxxxxxx.

3) Xxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx tzv. Xxxxxxx Xxxxx Xxxxxxxxx xxxxxxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xxxxx internetových xxxxxxxxx.

Plné znění - 409/2025 Sb.

Na co čekáte? Nečekejte už ani minutu. Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

ČÁST XXXXX

XXXXXX USTANOVENÍ

Předmět xxxxxx xxxxxx

Xxxxxxxx xxxxx

ČÁST XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

Xxxxxxxxxxx opatření

Systém xxxxxx xxxxxxxxxxx informací

Xxxxxxxxx xx xxxxxxxx xxxxxx

Xxxxxxxxx xxxxxxxxxxxxxx xxxx

Xxxxxx bezpečnostní politiky x bezpečnostní dokumentace

Řízení xxxxx

Xxxxxx xxxxx

Řízení xxxxxxxxxx

Bezpečnost xxxxxxxx xxxxxx

Xxxxxx xxxx

Akvizice, xxxxx a xxxxxx

Xxxxxx xxxxxxxx

Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

Řízení xxxxxxxxxx xxxxxxxx

Provádění auditu kybernetické xxxxxxxxxxx

HLAVA II

Technická opatření

Fyzická xxxxxxxxxx

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Xxxxxx x ověřování xxxxxxx

Řízení xxxxxxxxxxxx práv x xxxxxxxxx

Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

Zaznamenávání xxxxxxxx

Xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Aplikační bezpečnost

Xxxxxxxxxxxxxx xxxxxxxxx

Xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx

Xxxxxxxxxxx průmyslových, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxxxxxx xxxxx

ČÁST TŘETÍ

ZÁVĚREČNÁ XXXXXXXXXX

Xxxxxxxxx xxxxxxxxxx

XXXX ČTVRTÁ

ÚČINNOST

Účinnost

Příloha x. 1

Xxxxxxxxx xxxxx

Příloha č. 2

Xxxxxxxxx xxxxxxxxx a dat

Xxxxxxx č. 3

Příloha x. 4

Xxxxxxxxx xxxxx

Příloha x. 5

Xxxxxx xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx

Příloha č. 6

Informace

Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.