EPIS® Právní systém | Plné znění

Právní předpis byl sestaven k datu 01.11.2025.

Zobrazené znění právního předpisu je účinné od 01.11.2025.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět právní úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - Organizační opatření

Systém řízení bezpečnosti informací §3

Požadavky na vrcholné vedení §4

Stanovení bezpečnostních rolí §5

Řízení bezpečnostní politiky a bezpečnostní dokumentace §6

Řízení aktiv §7

Řízení rizik §8

Řízení dodavatelů §9

Bezpečnost lidských zdrojů §10

Řízení změn §11

Akvizice, vývoj a údržba §12

Řízení přístupu §13

Zvládání kybernetických bezpečnostních událostí a incidentů §14

Řízení kontinuity činností §15

Provádění auditu kybernetické bezpečnosti §16

HLAVA II - Technická opatření

Fyzická bezpečnost §17

Bezpečnost komunikačních sítí §18

Správa a ověřování identit §19

Řízení přístupových práv a oprávnění §20

Detekce kybernetických bezpečnostních událostí §21

Zaznamenávání událostí §22

Vyhodnocování kybernetických bezpečnostních událostí §23

Aplikační bezpečnost §24

Kryptografické algoritmy §25

Zajišťování dostupnosti regulované služby §26

Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv §27

ČÁST TŘETÍ - ZÁVĚREČNÁ USTANOVENÍ

Přechodné ustanovení §28

ČÁST ČTVRTÁ - ÚČINNOST

Účinnost §29

Příloha č. 1 - Hodnocení aktiv

Příloha č. 2 - Likvidace informací a dat

Příloha č. 3 - Zranitelnosti a hrozby

Příloha č. 4 - Hodnocení rizik

Příloha č. 5 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy

Příloha č. 6 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

409

XXXXXXXX

xx dne 26. xxxx 2025

x xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx v režimu xxxxxxx povinností

Národní xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx bezpečnost xxxxxxx xxxxx §13 xxxx. 3 xxxxxx x. 264/2025 Xx., x xxxxxxxxxxxx xxxxxxxxxxx, (xxxx xxx „xxxxx“):

XXXX XXXXX

XXXXXX USTANOVENÍ

§1

Předmět xxxxxx xxxxxx

Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx¹⁾ x xxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx v režimu xxxxxxx xxxxxxxxxx (xxxx xxx „xxxxxxx xxxxx“) xxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxx zavádění x xxxxxxxxx.

§2

Xxxxxxxx xxxxx

Xxx xxxxx xxxx vyhlášky xx xxxxxx

x) xxxxxxxxxx xxxxxxx xxxx právnická xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxx,

x) xxxxxxxxxxxxxx uživatelem xxxxxxxx xxxx jiná xxxxx, jejíž xxxxxxx xx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx na bezpečnost xxxxxxxxxx služby,

c) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx soubor xxxxx x xxxxxxxx, xxxxx xxxxxx způsob xxxxxxxxx xxxxxxx aktiv,

e) xxxxxxxxxx xxxxx xxxxxx určování, xxxxxxx a xxxxxxxxxxx xxxxx,

x) řízením rizik xxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx x xxxxxxxxxx xxxxx,

x) systémem xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx řízení xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x rizikům, xxxxxxxxxx xxxxxx ustanovení, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, udržování a xxxxxxxxxx bezpečnosti xxxxxxxxx x

x) xxxxxxxxx dodavatelem xxx, kdo povinné xxxxx xxxxxxxxx xxxxxx, xxxxx xx významné x hlediska xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx.

ČÁST DRUHÁ

BEZPEČNOSTNÍ XXXXXXXX

XXXXX X

Xxxxxxxxxxx opatření

§3

Systém xxxxxx xxxxxxxxxxx xxxxxxxxx

Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx,

x) xxxx xxxxxx xxxxx §8,

c) xxxxxx x xxxxxxx přiměřená xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x zajištění kybernetické xxxxxxxxxxx regulované služby xx xxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x xxxxxx rizik,

d) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xx vztahu x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxxx xxxxxxx, práva x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx základě bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci x xxxxxxx xxxxxxxxx xxxxx §6,

x) zajistí provedení xxxxxx kybernetické xxxxxxxxxxx xxxxx §16,

f) xxxxxxx xxxxxxx xxxxxx ročně xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx

1. xxxxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx,

2. xxxxxxxxx naplňování xxxxx xxxxxxxx rizik xxxxxxxxxxxx xxxxx §8 xxxx. 1 xxxx. g),

3. xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx hodnocení xxxxx,

4. xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

5. výsledky xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací xxxxxxxxxxx xxxxx xxxxxx xxxxxxx,

6. xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx oblast xxxxxxxxxxxx xxxxxxxxxxx a na xxxxxxxxxxx xxxxxx xxxxx §15 x

7. xxxxxxxxx xxxxxxxxxx xxxx xxxxx §11,

x) xxxxxxxx zprávu x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací xx základě vyhodnocení xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx x),

x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě

1. xxxxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx,

2. výsledků xxxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti informací,

3. xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx poskytované xxxxxx x

4. xxxxxxxxxxx xxxxxxxxxx změn,

i) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx a řízením xxxxx a

j) xxxxxxx xxxxxx xxxxxx výjimek x xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxx d).

§4

Požadavky xx vrcholné xxxxxx

(1) Xxxxxxxxxx xxxxx xxxxxxx xxxxx nebo xxxx osoba anebo xxxxxxx xxxx x xxxxxxxx xxxxxxx xxxxxxxxx x povinné osoby (xxxx xxx „vrcholné xxxxxx“) s xxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx

x) xxxxxxxxxxxx xxxxxxxxx školení xxxxx §10 odst. 3 xxxx. x),

x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3, xxxxxxxxxxxx xx strategickým xxxxxxxxxx xxxxxxx xxxxx,

x) zajistí xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx xxxxx,

x) xxxxxxx dostupnost zdrojů xxxxxxxxxx xxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxxxxxxxx a xxxxxxx dotčené xxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxx,

x) xxxxxxx podporu x xxxxxxxx xxxx xxxxxxx řízení bezpečnosti xxxxxxxxx,

x) xxxx x xxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xx podílí xx xxxxxxxxxxx xxxxxxx dopadů xxxxx §15,

x) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxx xxxxxxxxx xx zvládáním kybernetických xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,

x) zajistí xxxxxxxxx xxxxxxxx xxx určení xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx role,

m) zajistí, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxx relevantních xxxx zejména xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a dodavatelů, x

x) zajistí pro xxxxx xxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx potřebné xxx xxxxxxxxxx xxxxxx xxxx x xxxxxx, xxxxxx rozpočtových prostředků x xxxxxxxxxx xxxxxx xxxx x xxxxxx xxxxxxxxxxxxx úkolů.

(2) Xxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx

x) xx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xx xxxxxxx x xxxxxxxxx rizik,

c) s xxxxxx xxxxxxxx xxxxx,

x) x xxxxxxxx analýzy xxxxxx a

e) s xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a kontrol x oblasti xxxxxxxxxxxx xxxxxxxxxxx.

(3) Xxxxxxxx vedení xxxxx xxxxx xxx xxxxxx kybernetické bezpečnosti x určí xxxx xxxxx, přičemž

a) zajistí, xx členem xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx bude alespoň 1 xxxx xxxxxxxxxx xxxxxx nebo xxx xxxxxxxx xxxxx a xxxxxxx kybernetické xxxxxxxxxxx,

x) xxxx xxxxx x xxxxxxxxxx výboru pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxx xxxxx, xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx konání xxxxxxxxxxxx xxxxxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx jednou xxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxx x průběhu xxxxxxx xxxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti a

e) xxxxxxx, xx výbor xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx x osob x xxxxxxxxxxx x odbornou xxxxxxxxxxxx pro celkové xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x osob xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.

(4) Xxxxxxxx xxxxxx xxxx xxxxx, xxxxxx vymezení xxxxxx xxxx x xxxxxxxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, které xxxxx xxxxxxxx xxxxxxxxxxxx xxxx

x) xxxxxxxx xxxxxxxxxxxx bezpečnosti,

b) xxxxxxxxxx kybernetické xxxxxxxxxxx,

x) xxxxxxx aktiva x

x) xxxxxxxx kybernetické xxxxxxxxxxx.

(5) Xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 4 xxxx. x) x x).

§5

Xxxxxxxxx bezpečnostních rolí

(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti

a) xx xxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx výkonem xxxx xxxx xxxx xxx xxxxxxxx osoba, xxxxx xx xxx xxxx činnost vyškolena x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx xxxxxxxxxxxx bezpečnosti xxxx x řízením xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx 3 xxx,

x) odpovídá xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx o

1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x

2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxx xxx xxxxxxx výkonem xxxx odpovědných xx xxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx služby.

(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx osoba, která xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx bezpečné xxxxxxxxxxxx x xxxxx xxxxxxx 3 let.

(3) Xxxxxx xxxxxx xx xxxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx a xxxxxxxxxx xxxxxx.

(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xx xxxxxxx xxxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxx alespoň 3 xxx,

x) xxxxxxxx, xx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxx, x

x) nesmí být xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.

§6

Xxxxxx xxxxxxxxxxxx politiky x bezpečnostní dokumentace

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx x řízení xxxxxxxxxxxx bezpečnosti a xxxx bezpečnostní politiku x bezpečnostní xxxxxxxxxxx x relevantním xxxxxxxxxxxxx xxxxxxxxx uvedeným v §3 až 27.

(2) Xxxxxxx xxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx podle xxxxxxxx 1.

(3) Povinná xxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx, xxxxxxxxx jejich xxxxxxxxxx x jejich xxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxx, xxxxxxxx x postupů.

(4) Xxxxxxx xxxxx xxxx xxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxx xxxxxxxx 3.

(5) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx dokumentace xxxx xxx řízeny xxx, xxx xxxx

x) xxxxxxxx x elektronické xxxx xxxxxxxx podobě,

b) xxxxxxx xxxxx x rámci xxxxxxx xxxxx xxxxxxxxxxx x xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx x xxxx obsažených,

c) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxx,

x) xxxxxxxx x xxxxxxx xxxxxxxxxx, integrity a xxxxxxxxxxx a

e) informace x xxxx xxxxxxxx xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x xxxxxxxxxxxx.

§7

Xxxxxx xxxxx

Xxxxxxx xxxxx x xxxxxxxxxx na xxxxxxxxx xxxxxxx řízení xxxxxxxxxxxx xxxxxxxxxxx xxxxx §12 xxxxxx

x) stanoví xxxxxxxx xxx xxxxxxxx xxxxx,

x) xxxxxxx xxxxxxxx xxx xxxxxxxxx aktiv xxxxxx stanovení xxxxxx xxxxx, alespoň v xxxxxxx xxxxxxxx x příloze č. 1 k xxxx xxxxxxxx,

x) xxxxxxx xxxxxxx xxxxx xxxxx §4 xxxx. 4 písm. x),

x) xxxxxxx xxxxxxxx xxxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a xxxxxx xx xx xxxxxxxxxxxx xxxxxx podle xxxxxxx x),

x) posuzuje xxx xxxxxxxxx xxxxxxxxxx xxxxx xxxxxxx oblasti xxxxxxx x příloze č. 1 k xxxx xxxxxxxx,

x) xxxxxx x eviduje xxxxx xxxx xxxxxx, xxxxx xxxx xxxx xx xxxxxxxxxx regulované xxxxxx,

x) xxxxxxx xxxxxxxx aktiva x vychází přitom xxxxxxx x xxxxxxxx xxxxx xx primární xxxxxx x

x) xxx xxxxxxxxxx úrovně xxxxx xxxxx xxxxxxx b) xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx

1. přípustné způsoby xxxxxxxxx xxxxx,

2. xxxxxxxx xxx xxxxxxxxxx x xxxxxx, včetně xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x fyzické xxxxxxxxx xxxxx,

3. xxxxxxxx xxx xxxxxxxxxxx informací,

4. xxxxxxxx pro označování xxxxx,

5. pravidla xxxxxx xxxxxxxxx xxxxx x

6. xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxx informací x xxx x xxxxxx kopií a xxxxxxxxx technických xxxxx, xxxxx xxxx nosiči xxxxxxxxx x xxx x xxxxxxx xx xxxxxx xxxxx x xxxxxxx s přílohou č. 2 x xxxx xxxxxxxx.

§8

Řízení rizik

(1) Xxxxxxx xxxxx xxx xxxxxx xxxxx v xxxxxxxxxx xx §7

x) xxxxxxx xxxxxxxx xxx xxxxxxxx x hodnocení rizik, xxxxxx stanovení xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,

x) xxx xxxxxxxx xxxxx x ohledem na xxxxxx určuje xxxxxxxxxx xxxxxx x zranitelnosti; xxxxxx zvažuje alespoň xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxx x xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxx §11 xxxx. 1 písm. x), xxx kterém xxxxxxxx

1. xxxxxxxxxx hrozby x xxxxxxxxxxxxx xxxxx písmene x) a posoudí xxxxx xxxxxx xx xxxxxx, xxxxxxx vychází x xxxxxxxxx xxxxx xxxxx §7,

2. xxxxxxxx xxxxx,

3. xxxxx xxxxxxxxxxx xxxxxxx podle §12 xxxxxx,

4. xxxxxxxxxxxxx podle §20 zákona,

5. kybernetické xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx,

6. výsledky xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxx kybernetické bezpečnosti,

7. xxxxxxxx xxxxxxxxxxxx testování x xxxxxxxxx xxxxxxxxxxxxx x

8. xxxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxx xxxxxxxxx rizik xxxxxxxxx xxxxxxx x xxxxxxx přílohy č. 4 k xxxx xxxxxxxx,

x) xx xxxxxxx xxxxxxxxxxx hodnocení xxxxx xxxxx xxxxxxx x) xxxxxxxx xxxxxx o xxxxxxxxx xxxxx,

x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik prohlášení x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx všech xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, která

1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx a uvedení xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření, x

2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx plnění,

g) xx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxx písmene x) x x xxxxxxx xx xxxxxxxxxxx xxxxxxxx xxx akceptovatelnost xxxxx xxxxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx

1. popis xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx,

2. cíle a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx,

3. xxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření xxx zvládání xxxxx,

4. xxxxxxxxxxxxx xxxxxx, xxxxxxxx x xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

5. požadovaný xxxxxx xxxxxxxx bezpečnostních opatření,

6. xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x

7. xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxx xxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní xxxxxxxx.

(3) Xxxxxxxxx xxxxx xxxx být xxxxxxxxx x jinými xxxxxxx, xxx xxx je xxxxxxxxx x odstavci 1 xxxx. x), xxxxx povinná osoba xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxx x xxxxxxxxx 5 přílohy č. 4 x xxxx xxxxxxxx.

(4) Povinná xxxxx xxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx vyhláškou xxxxx xx xxxxxxx provedeného xxxxxx rizik.

§9

Xxxxxx dodavatelů

(1) Povinná xxxxx při řízení xxxxxxxxxx

x) xxxxxxx xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx požadavky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx své xxxxxxxxxx x pravidly xxxxx xxxxxxx a) x xxxxxxxx xxxxxx xxxxxx xxxxxxxx,

x) xxxx xxxxxx spojená x xxxxxxxxxx,

x) xxxxxxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xx xxxxxx §2 xxxx. x),

x) xxxxxxxxxxxx písemně informuje xxx xxxxxxxx xxxxxxxxxx x xxxxxx evidenci xxxxx xxxxxxx x),

x) xxxxxxx v xxxxxxxxxxx x řízením xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx, aby smlouvy xxxxxxxxx x významnými xxxxxxxxxx obsahovaly xxxxxxxxxx xxxxxxxxxx xxxxxxx x příloze č. 5 x této xxxxxxxx, a

g) xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx x významnými xxxxxxxxxx x hlediska xxxxxxx xxxxxx xxxxxxxxxxx informací.

(2) Xxxxxxx xxxxx u xxxxxxxxxx dodavatelů xxxx

x) xxxxxxx v rámci xxxxxxxxxx řízení xxxxx xxxxxx o zadávání xxxxxxxxx zakázek²⁾ nebo xxxx xxxxxxxxx smlouvy xxxxxxxxx xxxxx souvisejících x xxxxxxx xxxxx přílohy č. 4 x xxxx xxxxxxxx,

x) stanoví x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx způsoby a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x smluvně xxxx xxxxx xxxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx plnění xxxxxx xxxxxxxxx zdrojů xxxx xxxxxx třetí strany x

x) zajistí x xxxxxx na rizika x xxxxxxxx xxxxxxxxxx xxxxxx xxxxxx, která xxxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx.

(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování podle xxxxxxxx 1 xxxx. x) jsou

a) xxxxxxxxxxxxx xxxxx xxxxxxx osoby, xxxxxx xxxxxxx, že xxxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxxxxxx,

x) název xxxxxxxxxx xxxxxx povinné xxxxx,

x) xxxxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx x

x) xxxxxxxxxx, xx dodavatel xx xxx xxxxxxxx xxxxx xxxxxxxxx dodavatelem.

§10

Bezpečnost xxxxxxxx xxxxxx

(1) Xxxxxxx osoba v xxxxx bezpečnosti lidských xxxxxx x xxxxxxx xx xxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxx bezpečnostního xxxxxxxx, jehož xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a zlepšování xxxxxxxxxxxxxx povědomí xxxxxx xxxxx, xxxxxx x xxxxxxx poučení x xxxxxxx podle odstavce 2.

(2) Xxxxxxx osoba xxxxxx xx plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

x) xxxxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx, xxxxxxx v xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxx xxxxx,

x) xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní role x jejich xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx,

x) potřebná xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxxx xxxxxx xxxxxxxxxx xxxxx x xxxxxxx x §19 x

x) xxxxxxxxxx témata xxxxxxx x příloze č. 6 x xxxx xxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx bezpečnostního povědomí xxxxxxx

x) xxxxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxx, o xxxxxxxxxxxx xxxxxxxx xxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx x řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx x dovedností xxxxxxxxx x určování xxxxx x posouzení xxxxxxxxx zvolených xxxxxxx xxx řízení rizik x jejich dopadů xx xxxxxxxxxxx xxxxxx,

x) xxxxxxx uživatelů, administrátorů x xxxx zastávajících xxxxxxxxxxxx role x xxxxxx povinnostech x x xxxxxxxxxxxx politice xxxxxx vstupních a xxxxxxxxxxxx školení,

c) pravidelná xxxxxxx školení osobám xxxxxxxxxxxx bezpečnostní xxxx, xxxxxxx vychází x xxxxxxxxxx xxxxxx povinné xxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, x

x) xxxxxxxxxx xxxxxxx x xxxxxxxxx bezpečnostního xxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxxx nebo xxxxxxxxx xxxxxxxxx.

(4) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx

x) xxxx xxxxx xxxxxxxxx za xxxxxxxxx jednotlivých činností, xxxxx jsou x xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx,

x) zajistí x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxxxx xxxxxxx x školení xxxxx xxxxxxxx 3,

x) pravidelně xxxxxxx účinnost plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx poučení, xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxx dodržování bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,

x) určí xxxxxxxx x xxxxxxx pro xxxxxx případů xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x

x) xxxxxxx xxxxxxxxx xxxxxx činností v xxxxxxx ukončení nebo xxxxx smluvního xxxxxx x xxxxxxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

(5) Xxxxxxx xxxxx xxxx x xxxxxxx x xxxxxxx xxxxx xxxxxxxx 3 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx a školení xxxxxx xxxxxxx xxxx, xxxxx poučení x xxxxxxx absolvovaly.

§11

Xxxxxx změn

(1) Povinná xxxxx xxx xxxxxx xxxx x aktiv

a) xxxxxxx pravidla, xxxxxxx x xxxxxxxx xxx xxxxxx významných změn,

b) xxxx xxxxx, xxxxx xxxx xxxx mohou xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx,

x) určuje x změn určených xxxxx xxxxxxx x) xxxxxxxx xxxxx v xxxxxxx xx xxxxxxxxxxx xxxxxxxx, xxxxxxx a xxxxxxxx pro xxxxxx xxxxxxxxxx změn xxxxx xxxxxxx a).

(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxx

x) xxxxxxxxxxx jejich xxxxxx,

x) řídí rizika xxxxxxx x významnými xxxxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxx všech xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxxx x provozní xxxxxxxxxxx,

x) zajistí xxxxxx xxxxxxxxx před uvedením xx provozu a

f) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx xxxxx.

(3) Xxxxxxx osoba na xxxxxxx xxxxxxxx řízení xxxxx xxxxx xxxxxxxx 2 písm. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, postupuje xxxxx §24 xxxx. 5.

§12

Akvizice, vývoj a xxxxxx

(1) Povinná osoba x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, vývojem x údržbou xxxxx

x) xxxx xxxxxx,

x) řídí xxxxxxxx xxxxx xxxxx §11,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx x relevantní xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxxx c) xx xxxxxxxxx xxxxxxxx, xxxxxx x xxxxxx x

x) xxxxxxx xxxxxxxx provozního, xxxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxxxxxxxx a jiného xxxxxxxxxxxx prostředí, x xxxxxxx xxxxxxx informací x dat, xxxxx xx x něm xxxxxxxxx.

(2) Povinná osoba xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx

x) využívajícího xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xx účelem ověření xxxxxxxx uživatelů xxxx xxxxxxxxxxxxxx, xxxxxx požadavků xxxxx §19 odst. 2,

x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, plnění požadavku xxxxx §25 xxxx. 1 xxxx. x) x §25 odst. 3 písm. a) x

x) xxxxxxxxxx bezpečnostních xxxxxxxxxxx xx dobu xxxx xxxxxxxxx xxxxx.

§13

Xxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xx základě xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx xxxxxxx x aktivům x xxxxxxx bezpečnostní xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx přístupových x xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx ověření xxxxxxxx xxxxx §19 x 20.

(2) Xxxxxxx osoba xxxx xxx xxxxxx xxxxxxxx k xxxxxxx

x) xxxx přístup xx xxxxxxx xxxxxx xxxx xxxx,

x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxx práva a xxxxxxxxx xx úroveň xxxxxxxx xxxxxx x xxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxx, xxxxxxx xxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxxxx xxxx xxxxx xxxxx,

x) řídí xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxx xxxxxxxxxxx xxxxx,

x) xxxxxx v xxxxxxx x písmenem x) bezpečnostní xxxxxxxx xxx řízení xxxxxxxx xxxxxxxxxxx xxxxx,

x) zavádí xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx obdobných xxxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x využitím xxxxxxxxxxx xxxxx, xxxxx povinná xxxxx nemá ve xxx xxxxxx,

x) omezí x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,

x) xxxxxxxxx x xxxxxxx xxxxxxxxxx práva x xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,

x) provádí xxxxxxxxxx přezkoumání xxxxxxxxx xxxxxxxxxxxx práv x xxxxxxxxx včetně rozdělení xx xxxxxx x xxxx,

x) xxxxxxx xxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx práv a xxxxxxxxx xxx xxxxx xxxxxx xxxx xxxxxxxx xx xxxxxxx xxxxxx x xxxx,

x) xxxxxxx xxxxxxxxxx účtů x xxxxxxxxxxx odebrání xxxx xxxxx přístupových xxxx x xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx vztahu, xx xxxxxxx xxxxxxx xxxxx xx zřízení xxxxxxxx x xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx x

x) využívá xxxxxxx xxx správu x ověřování xxxxxxxx xxxxx §19 a xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxx podle §20.

§14

Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x incidentů

(1) Xxxxxxx osoba xxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x incidentů

a) xxxxxx xxxxxxx, pravidla x xxxxxxx xxx xxxxxxx, zaznamenávání x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx v xxxxxxx x §21 xx 23,

x) zavede xxxxxxx, xxxxxxxx a xxxxxxx xxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx odpovědnosti xxx

1. xxxxxxx, zaznamenávání x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x

2. xxxxxxxxxx a xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,

x) xxxxxxxx x xxxxxxxx xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §21,

f) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx na xxxxxxxxxxxxx,

x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx xxx xxxxxxxxxx, xxx xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,

x) zajistí xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,

x) xxxxxxx bezpečnostní xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) zajistí xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle §15 xxxxxx,

x) xxxxxxxx a xxxx příčiny kybernetického xxxxxxxxxxxxxx incidentu,

l) xxxx xxxxxxx o xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx a x jejich zvládání,

m) xxxxxxx vytvoření závěrečné xxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx dopadem xxxxx §16 xxxxxx, xxxxxx xxxxxx xxxxxxx xxxxxx kybernetického bezpečnostního xxxxxxxxx x významným xxxxxxx, xxxxx xx xxxxx, x

x) vyhodnotí xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu a xx xxxxxxx vyhodnocení xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxx xxxxx xxxx xxx detekci x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxx xxxxxxxx xxxxx §21 x 23.

§15

Řízení xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx při xxxxxx xxxxxxxxxx xxxxxxxx

x) xxxxxxx xxxxxxxx pro provedení xxxxxxx xxxxxx,

x) provádí xxxxxxx xxxxxx, vyhodnocuje x dokumentuje xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxx §8,

x) na xxxxxxx xxxxxxx xxxxxxx xxxxxx x hodnocení xxxxx xxxxx xxxxxxx x) xxxxxxx xxxx řízení xxxxxxxxxx činností formou xxxxxx

1. minimální xxxxxx xxxxxxxxxxxxx služeb, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx regulované xxxxxx,

2. xxxx xxxxxxxx chodu, xxxxx které bude xx kybernetickém bezpečnostním xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných služeb xxxxxxxxxx xxxxxx, x

3. xxxx xxxxxxxx xxx xxxx časové xxxxxx, xx xxxxx musí xxx xxxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx nebo xx xxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxx politiku xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx xxxxx xxxxxxx x), a xxxxxxx xxxxx a povinnosti xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a xxxxx xxxxxx xxxxxxxxxxx x poskytováním xxxxxxxxxx xxxxxx x

x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxx §26.

§16

Xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx

(1) Povinná xxxxx xxxxxxx xxxx provádění xxxxxx kybernetické xxxxxxxxxxx.

(2) Xxxxxxx osoba xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xxxxxxxx, xxx byla xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx zákonem x xxxxx vyhláškou,

b) xxxxxxxx xxxxxx zavedených bezpečnostních xxxxxxxx s právními xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxxxxx závazky x xxxxxxxx praxí x

x) xxxxxxx a dokumentuje xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx x bezpečnostní xxxxxxxx, xxxxxx xxxxxxxxxxx technické xxxxx x xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 3 xxxx. b).

(3) Povinná xxxxx

x) zahrne výsledky xxxxxx kybernetické xxxxxxxxxxx xxxxx xxxxxxxx 2 xx

1. xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí,

2. řízení xxxxx x

x) xxxxxxx xx xxxxxxx výsledku xxxxxx xxxxxxxxxxxx bezpečnosti xxxxx xxxxxxxx 2 xxxxxxxx nápravná opatření, xxxxx xxxxx přijata xxx xxxxxxxxxx xxxxxxx.

(4) Xxxxx kybernetické bezpečnosti xxxxx xxxxxxxx 2 xx xxxxxxxx

x) při xxxxxxxxxx změnách, x xx x xxxxx xxxxxx xxxxxxx,

x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň xxxxxx xx 2 xxxx x

x) x xxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(5) Xxxx-xx x odůvodněných xxxxxxxxx xxxxx xxxxxxx xxxxx v celém xxxxxxx xxxxx xxxxxxxx 2 xx lhůtě xxxxx odstavce 4 xxxx. x), xx xxxxx audit xxxxxxxxxxxx xxxxxxxxxxx provádět průběžně xx xxxxxxxxxxxxxx celcích xxx, aby xxx xxxxxxx xxxx rozsah xxxxxx xxxxx xxxxxxxx 2 xxxxxxx xxxxxx xx 5 xxx.

(6) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx být xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §5 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x účinnost xxxxxxxxxx xxxxxxxxxxxxxx opatření.

HLAVA II

Technická opatření

§17

Fyzická xxxxxxxxxx

Xxxxxxx osoba x xxxxx xxxxxxx bezpečnosti

a) xxxxxxxxx xxxxxxxxx, xxxxxxxx, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx ohraničující oblast, xx které jsou xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx a xxxx, xxxx xx které xxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxx fyzické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx podle xxxxxxx x) x xxxxxxx na xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xx jednotlivých úrovní xxxxxxx ochrany x xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx a xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxx x

x) xxxxxx x xxxxxxx xxxxxxxxx bezpečnostního perimetru x xxxxxxx xx xxxx xxxxxx fyzické xxxxxxx xxxxxxxxxx xxxxx xxxxxxx x) xxxxxxxxxx xxxxxxxxxxxx opatření xxxxxxx xxxxxxx

1. k zamezení xxxxxxxxxxxxx xxxxxx,

2. x xxxxxxxx poškození, xxxxxxxx, xxxxxxxx aktiv, neoprávněným xxxxxxx do xxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx,

3. x xxxxxxxxx fyzické xxxxxxx xxxxx x xxxxxx ohraničených xxxxxxx,

4. xxx xxxxxxxxx xxxxxxx xxxxxxxx fyzického xxxxxxxxxxxxxx xxxxxxxxx x

5. k xxxxxxxx xxxxxx x xxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx perimetru.

§18

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Xxxxxxx xxxxx pro xxxxxxx xxxxxxxxxxx komunikační xxxx, x xx včetně xxxxxx xxxxxxxx xxxxxxxxx

x) xxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx sítě, xxxxxx xxxxxxxx provozního, xxxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxxxxxxxx x jiného xxxxxxxxxxxx prostředí,

b) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx,

x) xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx ke komunikační xxxx,

x) zajistí xxxxxx xxxxxxxx xxxxxx technických xxxxx,

x) xxxxxxxx x xxxxxxx s xxxxxxx x) až x) xxxxx takovou xxxxxxxxxx, xxxxx je nezbytná xxx řádné zajištění xxxxxxxxxx služby,

f) xxxxxxx x souladu x xxxxxxx c) a x) xxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxx administrátorů x xxxxxxxxx po xxxxxxxxx xxxx,

x) zajistí xxxxxx aktuálně odolných xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §25 x xxxxxxxx xxxxxxxxx důvěrnost x xxxxxxxxx při xxxxxxx xxxxxxxxx x xxx,

x) xxxxxxx xxxxxxx, xxxxx xxxxxxx ochranu xxxxxxxxx xxxxxxxxxxx xxxx, x

x) xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxxxx.

§19

Správa a xxxxxxxxx xxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x technických xxxxx, xxxxx xxxxxxxxx

x) xxxxxxx xxxxxxxx před xxxxxxxxx xxxxxx xxxxxxx,

x) xxxxxx xxxxx možných xxxxxxxxxxx xxxxxx x xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx údajů xxxx hrozbám x xxxxxxxxxxxxxx, xxxxx by xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx,

x) xxxxxxxx ověření identity xx stanovené xxxx xxxxxxxxxx,

x) dodržení xxxxxxxxxx xxx xxxxxxxxx výchozích xxxxxxxxxxxxxx xxxxx x xxx obnově xxxxxxxx x

x) xxxxxxxxxxxxxxx správu xxxxxxx x xxxxxxx xx xxxxx xxxx xxxxxx.

(2) Povinná xxxxx xxx ověření xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxxxx

x) využívá xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx založen na xxxxxxxxxxxxx autentizaci x xxxxxxx dvěma xxxxxxx xxxx faktorů, nebo xxxxxxx xxxxxxxxxxxx mechanismus, xxxxx je založen xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xx modelu xxxxxx xxxxxx, x

x) do xxxx splnění xxxxxxxxx xxxxx xxxxxxx x) xxxxxxx xxxxxxxxxxx pomocí xxxxxxxxxxxxxxxx klíčů xxxx xxxxxxxxxxx.

(3) Xxxxxxx xxxxx xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxx x xxxxxxxxxxxxxx mechanismů, xxxxx xxxx požadavky nesplňují, x xx včetně xxxxxxxxxx.

(4) Povinná xxxxx xx doby splnění xxxxxxxxx podle xxxxxxxx 2 xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxx xxxxx xxxxxxx musí xxxxxxxxx xxxxxxxx

x) délky xxxxx alespoň

1. 12 xxxxx xxx xxxx xxxxxxxxx,

2. 17 xxxxx xxx xxxx administrátorů,

3. 22 xxxxx xxx xxxx technických xxxxx,

x) xxxxxxxxxx xxxxx heslo x xxxxx xxxxxxx 64 xxxxx,

x) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) xxxxxxxxxx uživatelům x xxxxxxxxxxxxxxx změnu hesla, xxxxxxx xxxxxx xxxx xxxxx změnami xxxxx xxxxx xxx kratší xxx 30 xxxxx,

x) xxxxxxx xxxxx xxxxx x intervalu alespoň xxxxxx za 18 xxxxxx x

x) xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx

1. xxxxxx si xxxxxxxxxx x xxxxx xxxxxxxxx xxxxx,

2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx jména, xxxxxx xxxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxx obdobným xxxxxxxx a

3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x pamětí xxxxxxx 12 xxxxxxxxxxx xxxxx.

(5) Xxxxxxx xxxxx x xxxxxxx x xxxxxxxxx 4 zajistí

a) xxxxxxxxxxx xxxxxxxx změny xxxxxxxxx hesla xxxxxxxxx x administrátorů xx xxxxxx xxxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx změny xxxxxxxxx xxxxx xxxxxxxxxxx aktiva,

c) xxxxxxxxx xxxxx xxxx xxxxxxxxxxx aktiva složeného x xxxxxxxxx řetězce xxxxxx x xxxxxxx xxxxxx, číslic x xxxxxxxxxxx xxxxx,

x) xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxx v xxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxx xxxxxxxxxx,

x) xxxxxxxxx náhodného xxxxxxxxx xxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxx k vytvoření xxxx x xxxxxxxx xxxxxxxx x zajistí xxxx xxxxxxxxx x

x) xxxxxxxxxxx xxxxxxxxxxx hesla xxxx identifikátoru sloužícího x vytvoření xxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx xxxx uplynutí xxxxxxx 24 hodin xx jeho vytvoření.

(6) Xxxxxxx xxxxx x xxxxxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxx pro xxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxx

x) bezodkladnou xxxxx xxxxxxxxx hesla,

b) xxxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxx x xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) xxxxx xxxxx xxxxxxxxx xxxxxxx x 22 znaků,

d) xxxxxxxx xxxxxxx hesla,

e) omezení xxxxxxxxxx x účtem x jeho xxxxxx, xxx s tímto xxxxx a xxxx xxxxxx xxxxx xxxxxxxxxxx xxxxx pověřené xxxxx, x xx x xxxxxxxx xxxxxxx případech,

f) xxxxx xxxxx xx xxxx použití, xxx xxxxxxxx změně xxxxxxxxxx xxxx, x xxxxxxx xxxxxxxxx podezření xx xxxx kompromitaci nebo x xxxxxxxxx xxxxxxx xxxxxx xx 18 xxxxxx x

x) xxxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxx x xxxxx xxxxx x xxxx heslem.

§20

Xxxxxx xxxxxxxxxxxx práv x xxxxxxxxx

Xxxxxxx osoba xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxx xxxxxxx,

x) který xx xxxxxxxxxxxxxx x xxxxxxx xx vazby xxxx xxxxxx,

x) xxxxxx xxxx xxxxx xxx xxxxxxx k jednotlivým xxxxxxx x

x) kterým xxxx xxxxxxxxx pro xxxxx x xxxxx xxxxxxxxx x xxx x změnu xxxxxxxxx.

§21

Xxxxxxx kybernetických bezpečnostních xxxxxxxx

(1) Xxxxxxx osoba xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx zajišťuje

a) xxxxxxx a kontrolu xxxxxxxxxxx dat x xxxxx xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx xxxxxx,

x) ověření a xxxxxxxx přenášených xxx xx xxxxxxx perimetru xxxxxxxxxxx xxxx a

c) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx x rámci xxxxxxxxxxx sítě.

(2) Xxxxxxx xxxxx xxxxxxx x xxxxxxx xx xxxxx xxxx xxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx xxxxxxxxx spravovaný xxxxxxx, xxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx zajišťuje

a) xxxxxxxxxxxx x automatickou ochranu xxxx xxxxxxxxx xxxxx,

x) xxxxxx x sledování xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,

c) xxxxxx xxxxxxxxxxxxx spouštění xxxxxx, zejména u xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,

x) řízení xxxxxxxxx xx xxxxxxxxx xxxx,

x) xxxxxx x xxxxxxxxx xxxxxxxxxx aplikací, xxxxxx služeb x xxxxxxx,

x) detekci kybernetických xxxxxxxxxxxxxx událostí xxxxxxxxxxx xxxxx a

g) xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx, administrátorů x xxxxxxxxx.

(3) Povinná xxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 a 2, a to xxxxxx xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx.

§22

Xxxxxxxxxxxxx xxxxxxxx

(1) Povinná xxxxx xx xxxxxxx xxxxxxxxx aktiv a xxxxx bezpečnostních xxxxxx

x) xxxx xxxxxxxxx xxxxxx, x kterých xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxx událostí xxxxxxxxx, x

x) xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxx. a) x xxxxxxxxxxxx xxxxxxxxxxx a xxx xxxxxxxxxx změnách.

(2) Xxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx x relevantní xxxxxxxx xxxxxxxx

x) xxxxxxxxxx xxxxx §21,

b) v xxxxx xxxxxxxxxxx xxxx,

x) xx síťovém xxxxxxxxx x

x) technických xxxxx xxxxxxxx podle xxxxxxxx 1 xxxx. a).

(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxxxxx

x) xxxxxxxxxxxx x xxxxxxxxxxx xx všem xxxxx, a xx xxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxx x xxxxxxxxx xxxxxx o provedení xxxxxxxxxxxxx xxxxxxxx,

x) manipulace x xxxxxxxxx xxxxxx x manipulaci s xxxx, oprávněními a xxxxx,

x) neprovedení xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx xxxx xxxxxxxxx,

x) zahájení x xxxxxxxx xxxxxxxx technických xxxxx,

x) kritická a xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,

x) přístupy a xxxxxxxxx xxxxxx x xxxxxxxx x xxxxxxxx xxxxxxxx,

x) manipulace a xxxxxxxxx xxxxxx x xxxxxxxxxx xx záznamy xxxxxxxx,

x) změny x xxxxxxxxx pokusy x xxxxx xxxxxxxxx nástrojů xxx xxxxxxxxxxxxx xxxxxxxx x

x) xxxxx xxxxxxxx xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxxxxxx regulované xxxxxx.

(4) Xxxxxxx xxxxx v xxxxx zaznamenávání událostí xxxxx xxxxxxxx 2 xxxxxxxxxxx xxxxxxxxxxx informace x xxxxxxxx:

x) datum x xxx včetně xxxxxxxxxxx xxxxxxxx pásma,

b) xxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx technického aktiva, xxxxx xxxxxxx zaznamenalo, x to i x xxxxxxx, xxx x komunikační síti xxxxxxx xx xxxxx xxxx xxxxxx xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx účtu, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx, a xx x v xxxxxxx, kdy x xxxxxxxxxxx xxxx xxxxxxx xx xxxxx xxxx xxxxxx xxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx zařízení původce, x xx x x xxxxxxx, xxx x komunikační síti xxxxxxx xx xxxxx xxxx xxxxxx identifikace, x

x) xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx.

(5) Xxxxxxx xxxxx dále x xxxxxxx na xxxxxxxx xxxxxxxxxxx xxxxx odstavce 2

x) zajistí xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxx změnou,

b) xxxxxxx x ohledem xx xxxxx xxxx xxxxxx centralizovaný xxxxxxx xxx xxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx a

c) uchovává xxxxxxx těchto xxxxxxxx xxxxxxx xx xxxx 18 xxxxxx.

(6) Xxxxxxx xxxxx zajišťuje nepřetržitou xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx aktiv.

§23

Vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxxxxx xxxxx §21, xxxxx xxxxxxxxx

x) xxxx, xxxxxxxxxxx x xxxxxxxxxxx souvisejících xxxxxxx xx účelem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx, xxxxxx varování xxxxxxxxx xxxxxxxxxxxxxx rolí x xxxxxxx relevantních xxxx x

x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx xxx používání xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx x odstavcem 1 xxxxxxx

x) omezení případů xxxxxxxxxxx nebo nežádoucího xxxxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx,

x) pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxxxxx aktualizaci xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxx včasného xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxx x dalších xxxxxxxxxxxx xxxx.

(3) Xxxxxxx xxxxx zajistí xxxxxxxxx xxxxxxxxx získaných nástrojem xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí pro xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx služby.

§24

Xxxxxxxxx bezpečnost

(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxxxxxxx xxxxxx, xxxxx xxxx jejich xxxxxxxx, dodavatelem xxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxx xxxxxx.

(2) Xxxxxxx xxxxx xx xxxx xxxxxx xxxxx odstavce 1 xxxxxx bezpečnostní opatření, xxxxx zaručí obdobnou xxxx xxxxx xxxxxx xxxxxxxxxxx těchto technických xxxxx, a eviduje xxxxxxxxx xxxxxx,

x) xxxxx xxx xxxxxx výrobcem, xxxxxxxxxxx xxxx xxxxx xxxxxx podporována a

b) xx xxxxx není xxxxx aplikovat xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx xxxxxxxxx bezpečnosti xxxxxxx trvalou ochranu xxxxxxxx, xxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx identifikátorů xxxxxx xxxx

x) neoprávněnou xxxxxxxx x

x) popřením xxxxxxxxxxx činností.

(4) Povinná xxxxx x xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx

x) xxxxxxx xxxxxxxxxx xxxxxxxxx zranitelností xxxxxxxxxxx xxxxx xxxxxxxxxx služby

1. x vnitřní a xxxxxx komunikační xxxx x

2. alespoň jednou xxxxx.

x) xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx technických xxxxx v xxxxx xxxxxx rizik xxxxx §8 x xxxxxx xxxxxxxxxxxx opatření xx xxxxxxx xxxxxxxxxx xxxxxxxx.

(5) Xxxxxxx xxxxx x xxxxx penetračního xxxxxxxxx

x) xxxxxxx xxxxxxxxxx testování xxxxxxxxxxx xxxxx x xxxxxxx xx hodnocení xxxxxx xxxxx x xxxxxxxxx xxxxx

1. x xxxxxxx a xxxxxx xxxxxxxxxxx xxxx,

2. před xxxxxx xxxxxxxx xx xxxxxxx x

3. x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3,

x) zohlední xxxxxxxx penetračního xxxxxxxxx xxx xxxxxx xxxxx xxxxx §8 a xxxxxx bezpečnostní opatření xx xxxxxxx xxxxxxxxxx xxxxxxxx,

x) xxxxxxx x xxxxxxx x xxxxxxxxx 5 xxxx. a) xxxxx 1 xxxxxxxxxx xxxxxxxxxx testování, x xx xxxxxxx xxxxxx xx 2 xxxx,

x) x xxxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx v odstavci 5 xxxx. c), xxxx xxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx celků. X xxxxxxx případě xx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx x xxxxxxxx 5 xxxx. x) xxxxxxxxxx xx 5 xxx,

x) x xxxxxxxxxxxx xxxxx x souladu x xxxxxxxxx 5 xxxx. x) eviduje xxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx.

(6) Xxxxxxx xxxxx xxxxxxx opětovné xxxxxxxxxx xxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxx xxxxxxxxxx zavedených xxxxxxxxxxxxxx opatření.

§25

Xxxxxxxxxxxxxx xxxxxxxxx

(1) Xxxxxxx xxxxx při xxxxxxxxx xxxxxxxxxxx technických xxxxx x xxxxxx komunikace

a) xxxxxxx pouze xxxxxxxx xxxxxx kryptografické algoritmy,

b) xxxxxxxxx bezpečné xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxx x

x) zohledňuje xxxxxxxxxx x metodiky x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx Xxxxxxxx úřadem xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx.

(2) Xxxxxxx xxxxx zajišťuje xxxxxxxxx

x) xxxxxxxx, xxxxxxxxxxxxx a xxxxxxxx xxxxxxxxxx, a xx včetně x-xxxxxxx xxxxxxxxxx, x

x) xxxxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxx.

(3) Xxxxxxx xxxxx x případě xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxx aktiv a xxxxxxxxxxx xxxx xxxxxxx

x) xxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx klíče x xxxxxxxxxxx x

x) xxxxxxx xxx xxxxxx kryptografických xxxxx x certifikátů, xxxxx

1. xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x řádnou xxxxxxxxx kryptografických xxxxx,

2. xxxxxx xxxxxxxx x xxxxx x

3. xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.

§26

Xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx

(1) Povinná xxxxx xxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, kterými xxxxxxx

x) xxxxxxxxxx xxxxxxxxxx xxxxxx podle xxxx xxxxxxxxxxx xxxxx §15,

x) xxxxxxxx regulované xxxxxx xxxx hrozbám x xxxxxxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx xxxxxxxxxx x

x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx regulované xxxxxx.

(2) Xxxxxxx xxxxx xxx zajišťování dostupnosti xxxxxxxxxx xxxxxx x xxxxxxx x xxxxxxxxx 1 vytváří xxxxxxxxxx xxxxxx konfigurací x xxxxxxxxx technických xxxxx, xxxxxxxxx x dat xxxxxxxxxx zejména pro xxxxx obnovy regulované xxxxxx v xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(3) Xxxxxxx xxxxx x xxxxx vytvářených xxxxx xxxxxxxx 2 zajistí

a) xxxxxxxxxx testování jejich xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxxxxx,

x) xxxxxxxxxxxxx xxxxxxxx xxxxx provedených xxxxx xxxxxxxx 3 xxxx. x),

x) xxxxxxx ukládaných xxxxx a dat x xxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxx, x to xxxxxxx xxxxxxxxxx xxxxxx záloh x xxxxxxx x §25, x

x) xxxxxxx xxxxxxxxxx xxxxx a xxx x xxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxxx.

(4) Xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxx xx xxxxxxxxx xxxxxx xxxxx x xxxxxxxxx xxxxx.

(5) Povinná xxxxx za xxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx incidentu x xxxxxxx xxxx dopadu xxxxxxxx zálohovací xxxxxxxxx xx xxxxxx prostředí xxxxx §18 xxxx. x).

§27

Xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxxxxxx xxxxx

Xxxxxxx osoba xxxxxx xxxxxxxxx xxxxxxxxx x §3 xx 26 xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiv xxxx využívá xxxxxxxx x zavádí bezpečnostní xxxxxxxx, xxxxx zajistí

a) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx, xxxxxxx x obdobným specifickým xxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxxxx x xxxxxxxx x xxxxxxxxxxx, řídicím x obdobným specifickým xxxxxxxxxx xxxxxxx,

x) segmentaci x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx, řídicích x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx od xxxxxx xxxxxxxxx a xxxxxxxxxx x oddělení xxxxxx komunikačních xxxx xxxxx §18,

d) xxxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx průmyslových, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxx xxxxxxx komunikace xxxx xxxxxxxxxxx xxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx před xxxxxxxx xxxxxxx xxxxxxxxxxxxx x xxxxxx x

x) xxxxxxxxxx x xxxxxx xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx specifických xxxxxxxxxxx xxxxx pro xxxxxxxxx xxxxxxxxxxx regulované xxxxxx.

XXXX XXXXX

XXXXXXXXX XXXXXXXXXX

§28

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx xxxxx, xxxxx xxxx xx xxx xxxxxxxxxxxxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxx xxxx osobou xxxxx §3 zákona x. 181/2014 Xx., x kybernetické xxxxxxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx se xxxxxxxx xxxxxxxxxx x xxxxxxx zavádění x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx č. 82/2018 Sb., xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx, xx xxxxx xxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x xxxxx xx xxx nabytí xxxxxxxxx xxxx vyhlášky xxxxxxx kritéria xxx xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxx, zavádí x xxxxxxx v xxxxxxx xxxxxxxxxx zákonem č. 264/2025 Sb., o xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxxx lhůt xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx č. 264/2025 Sb., x xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx č. 82/2018 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx), ve xxxxx účinném xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx.

XXXX ČTVRTÁ

ÚČINNOST

§29

Účinnost

Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxxxxxx 2025.

Ředitel:

Ing. Xxxxx x. r.

Příloha č. 1

Xxxxxxxxx xxxxx

(1) Povinná xxxxx xxx xxxxxxxxx xxxxx xxxxxxx stupnici xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx v tabulkách x. 1, 2 x 3 a xxxxxxxx xx, xxxx xxxxx xx mělo xxxxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxxxx xxxxx.

(2) Xxxxxxx xxxxx xxxx xxxxxxxxx úrovně xxxxx xx stupnici xxxxxxxxxxx xxxx bezpečnostním xxxxxxxx. Xxxxxxx osoba xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxx, xxx xxxx xx xxxxxx v xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby mezi xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx aktiv x xxxxxxxxxx a xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.

(3) X xxxxxxxxxx xxxxx xx xxxxxxx nutné xxxxxxxxx alespoň xxxxxxx xxxxxxx v xxxxxxx x. 4 - Xxxxxxx hodnocení xxxxxxxxxx xxxxx.

(4) Při xxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxxxx zejména xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.

Tab. x. 1: Xxxxxxxx xxx hodnocení xxxxxxxxxx

Xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x dat xxx xxxxx jejich xxxxxxx xxx xxxxxx xxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx xxx. Xxxxxxx Light Xxxxxxxx (TLP)³⁾.

Úroveň	Popis	Příklady
Nízká	Aktiva xxxx xxxxxxx přístupná nebo xxxx určena xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx osoby.	Není xxxxxxxxxx xxxxx ochrana. X případě xxxxxxx xxxxxx xxxxxxxxx, může xxx tato xxxxxxxxx xxxx poskytována x xxxxxx xxx omezení. Xxxxxxxx omezení xx xxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx x/xxxx xxxxxxxx či xxxxxxx xxxxx xxxxxx xxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx/xxxxxx xx úrovni Nízká - xxx příloha č. 2.
Střední	Aktiva xxxxxx xxxxxxx přístupná, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx právním xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx.	Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx prostředky xxx řízení xxxxxxxx. X případě xxxxxxx xxxxxx xxxxxxxxx, xxxx xxx tato xxxxxxxxx xxxxxxx x xxxxx xxxxxxxxxx xxxxxxxx a xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxx; xxxxxxxx musí xxx předání zajistit xxxxxxxxx xxxxxxxxxx. Xxxxxxxxx/xxxxxx xx úrovni Střední - xxx příloha č. 2.
Vysoká	Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxxx ochrana xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx ujednáními (xxxxxxxxx obchodní tajemství, xxxxxx xxxxx).	Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx, které zajistí xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx. X případě xxxxxxx xxxxxx informace, může xxx xxxx informace xxxxxxx x xxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxx xxxx xxxxx v rámci xxxxxxxxxx xxxxxxxx, x xx xxxxx xxxxxx, xxxxx xxxxxxx zásady xxxx-xx-xxxx. Xxxxxxxxx/xxxxxx na xxxxxx Xxxxxx- xxx příloha č. 2.
Xxxxxxxx	Xxxxxx nejsou xxxxxxx xxxxxxxxx x vyžadují xxxxxxxxxxxxx xxxx ochrany xxx xxxxx xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx osobních údajů).	Pro xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx přístupu. Xxxx xxxxxx xxxxxxx zabraňující xxxxxxxx aktiv ze xxxxxx administrátorů. Přenosy xxxxxxxxx xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx algoritmů. X případě xxxxxxx xxxxxx xxxxxxxxx, xxxxxx xxx xxxx xxxxxxxxx xxxxxxxxxx xxxx osobě xxx té, které xxxx informace xxxxxx, xxxxxxx-xx výslovně xxxxxxxxx xxxxx osoby, xxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxx. V případě, xx příjemce považuje xx xxxxxxxx informaci xxxxxxxxxx xxxxxx xxxxxxxxx, xxx xxx xxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxx. Xxxxxxxxx/xxxxxx xx xxxxxx Xxxxxxxx - xxx příloha č. 2.

Xxx. x. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx osoby.	Není xxxxxxxxxx xxxxx xxxxxxx.
Xxxxxxx	Xxxxxxx xxxx xxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxx se projevit xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx prostředky.
Vysoká	Aktivum xxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx aktiva.	Pro xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x identity xxxx xxxxxxxxxxxxx změny. Xxxxxxx integrity informací xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
Xxxxxxxx	Xxxxxxx vyžaduje xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x přímými x xxxxx xxxxxxx dopady xx xxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx změnu.

Tab. x. 3: Stupnice pro xxxxxxxxx xxxxxxxxxxx

Xxxxxx	Xxxxx	Xxxxxxxx
Xxxxx	Xxxxxxxx dostupnosti xxxxxx, xxxxxxxxx x xxxxxxx xxxxxxx x xxxxxxxxxx týdnů, je xxxxx tolerováno x xxxx xxxxx xxxx xxxxxxxxxxxx xxxxx xx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx.	Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. Xxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxxxx xxx xxxxxxx.
Xxxxxxx	Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx xxxxxxxxx jednoho xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx k xxxxxxx ohrožení poskytování xxxxxxxxxx xxxxxx povinné xxxxx.	Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx a xxxxxx. Je vhodné xxxxxxxx xxxxxxxxxx xxx xxxx aktiva.
Vysoká	Narušení dostupnosti xxxxxx by xxxxxx xxxxxxxxx xxxx například xxxxxxxx xxxxx. Jakýkoli xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x přímému xxxxxxxx xxxxxxxxxxx regulované xxxxxx. Xxxxxx jsou xxxxxxxxxx xx velmi xxxxxxxx.	Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx xxx podmíněna xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. Xx xxxxxx xxxxxxxx xxxxxxxxxx xxx xxxx aktiva, xxxxx by xxxxx xxx zapojena alespoň xxxx. x xxxxxx xxx. Active-Standby.
Kritická	Narušení xxxxxxxxxxx xxxxxx xxxx přípustné x i krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx minut) vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx jsou xxxxxxxxxx xx kritická.	Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x obnova poskytování xxxxxx je xxxxxxxxxx x xxxxxxxxxxxxxx. Je xxxxxxxx xxxxxxxx redundanci xxx tato xxxxxx, xxxxx by xxxxx xxx xxxxxxxx xxxx. x xxxxxx tzv. Xxxxxx-Xxxxxx (xxxxxx xxxxxx xxxxxxxxxxx).

Xxx. č. 4 Xxxxxxx xxxxxxxxx primárních xxxxx

Xxx xxxxxxxxx primárních xxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx x následujících xxxxxxx

Xxxxxxx	Xxxxxxxx
x) xxxxxx a xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx údajů	Únik xxxxxxxx xxxxx fyzické xxxxx.
x) rozsah dotčených xxxxxxxx xxxxxxxxxx nebo xxxxxx závazků xxxx xxxxxxxxxx xxxxxxxxx	Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx xxxxx, xxxxx xxxx být xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxx x x xx xxxxxxxx xxxxxx. Xxxx xxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx x x xxxx xxxxxxxx xxxxxx.
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx a kontrolních xxxxxxxx	Xxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx potřebných xxx xxxxxxxxxxx vedení x xxxxxxxxx xxxxxxx.
x) poškození xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx x xxxxx finanční ztráty	Nedostupnost xxxxxxxxx x xxxxxxxxx xx základě xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x z xxxx xxxxxxxx ušlý xxxx. Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, xxxx xxxx x xxxxxxxxxxxxx veřejnosti x důležitých skutečnostech (xxxxxxx, xxxxxxxxxx xxxxxxxxxx xxx.).
x) xxxxxx na xxxxxxxxxxx důležitých xxxxxx	Xxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxxxx směrem x xxxxxxxxxx službě x xxxxxxxx xxxx (xxxxx existence) xxxxxxxxxx.
x) xxxxxx xxxxxxxx běžných xxxxxxxx	Xxxxxxxx xxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxx, správy budov x xxxxxxxxx, xxxxxxxxxxx xxxxxxxx datové zprávy xxxx.
x) xxxxxx xx xxxxxxxxx xxxxxxx jména xxxx ochranu dobré xxxxxxx	Xxxxxxxxxx xxxxxxx. Xxxx xxxxxxxxx xxxxxxxxx.
x) xxxxxx xx xxxxxxxxxx x xxxxxx xxxx	Xxxxxxxxxxx zajistit xxxxxxxx xxxxxx, xxxxxxxxx, xxxxxxx ke zdravotní xxxx, svobodu xxxx. Xxxxxxx xxxxxxx a ztrát xx xxxxxxxx.
x) xxxxxx xx xxxxxxxxxxx vztahy	Únik xxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxxxxx xx xxxxxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
x) xxxxxx xx uživatele xxxxxxxxxx xxxxxx	Xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx její xxxxxxxxxxxxx.

Příloha x. 2

Xxxxxxxxx xxxxxxxxx x dat

(1) Xxxx xxxxxxx udává xxxxxxxxxx xxxxxxx xxxxx x xxxxxxxxxx způsobů xxxxxxxxx xxxxxxxxx a xxx, jejich kopií x xxxxxxxxxxx xxxxx, xxxxx jsou xxxxxx xxxxxxxxx x xxx, x xxxxxxx na xxxxxx hodnocení x xxxxxx podle přílohy č. 1 x této vyhlášce.

(2) Xxxxxxx osoba stanoví xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxx x dat, xxxxxx xxxxx x xxxxxxxxxxx xxxxx, která xxxx nosiči informací x dat, v xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů.

(3) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx x xxx, jejich xxxxx a xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxx informací a xxx, musí xxx xxxxxxxxx přiměřeně xxxxx xxxxxxxxx x xxxxxx xxxxx a měla xx xxxxxxx xxxxxxxxxxx

x) xxxxxxx xxxxxx (xxxxxxx x pohledu xxxxxxxxxx),

x) xxxxxxxxxxx (typy xxxxxx xxxxxxxxx x xxx),

x) xxx se xxxxxx xxxxxxxxx a xxx xxxxxxx xxx přímou xxxxxxxxx povinné xxxxx xx xxxxxxx,

x) xxx xxxx xxxxxx xxxxxxxxx x dat součástí xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx,

x) xxxx xxxxx xxxx likvidaci informací x xxx xxxxxxxx (xxxxxxxxx interní xxxxxxxxxxx xxxx xxxxxxxxx),

x) xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxxx (xxxxxxxxx časové, xxxxxx, xxxxxxxx, technické),

g) xxxxx způsoby xxxxxxxxx xxxxxxxxx x dat xxxx jejich xxxxxx x

x) xxxxx xxxxxx xxxxxxxxx a dat (xxxxxxxxx při poškození xxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxx, xxx xxxxxxx ze xxxxxxx xxxxxxx likvidace).

(4) Xxxxxxx xxxxxxxxx informací x xxx, xxxxxx xxxxx x technických xxxxx, která jsou xxxxxx informací x xxx:

x) Xxxxxxxxxx

1. Způsob xxxxxxxxx nosičů informací x xxx tak, xxx byla xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx datového xxxxxxx, vyhození nosiče xx xxxxxx).

2. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx x xxx xx možné x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx a xxxx xxxxxxx.

3. Tato xxxxxx xxxx vhodná xxx xxxxxx xxxxxxxxx a xxx neumožňující xxxxxxxx xxxxx.

4. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1 k této xxxxxxxx): Xxxxx.

x) Přepsání

1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxx xxxxxxxxx xxxxxxxxx.

2. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxx informací x xxx.

3. Xxxxxxxx xxxx xxx nahrazeno nebo xxxxxxxxxxx x xxxxxxxxx xxxxxxxxx kryptografických klíčů x xxxxxxxxxxxx xxxxxxxxxx x xxxxx.

4. Xxxx xxxxxx xxxx vhodná xxx poškozené xxxxxx, xxxxxx neumožňující xxxxxxxx xxxxx, xxxxxxxx xxx xxxxxx x xxxxxx xxxxxxxxx xxxxxxxxx.

5. Xxxxxxxxxx xxxxxx xxx úroveň xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1 x xxxx vyhlášce): Xxxxx xx Vysoká.

c) Xxxxxxx xxxxxxxxx

1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informací a xxx, xxxxxxxxx x xxxxxxxxx xxxxxx a xxxxxxxxxx zničení (xxxxxxxxx xxxxxxxxxxx xxxx chemickým xxxxxxxxx vč. tepelného).

2. Xxxxx xxxxxxxxx x xxx xx xxxxxxx xxxxxxxxx xxxxx znovu xxxxxx. Xxxxxxxxx x xxxx xxxx možné x xxxxxx xxxxxx xxxxxxx xxx xxx xxxxxxxxxx značného xxxxxxxx xxxxxxxxxx a xxxxx.

3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1 k této xxxxxxxx): xxxxx xx xxxxxxxx.

Xxxxxxx x. 3

Xxxxxxxxxxxxx x xxxxxx

Xxxx xxxxxxx xxxxxxxx kategorie zranitelností x xxxxxx, xxxxx xxxx xxxxxxx osoba xxxxxx při xxxxxxxx xxxxx, xxxxx xxxx xxx xxxx xxxxxxx xxxxxxxxxx. Xxxxxxx osoba xxx rámec níže xxxxxxxxx kategorií xxxxxxxxxxxxx x hrozeb xxxx xxxxx xxxxxxxxx xxxxxx x zranitelnosti podle xxxxx bezpečnostních xxxxxx.

Xxxxxxxxxxxxx

1. Xxxxxxxxxxxx xxxxxx aktiv,

2. xxxxxxxxxxx aktiv,

3. xxxxxxxxxxxx xxxxxxx perimetru,

4. xxxxxxxxxxxx xxxxxxxxxxxx povědomí xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

5. xxxxxxxxxxxx zálohování,

6. xxxxxxxx xxxxxxxxx přístupových xxxxxxxxx,

7. xxxxxxxxxxxx xxxxxxx x xxxxxxx xxx detekování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů x xxxxxxxxxxx odhalit činnost, xxxxx xxxx xxx xxxx na xxxxxxxxxx xxxxxxxxxx xxxxxx,

9. nedostatečné xxxxxxxxx bezpečnostních xxxxxxxx x postupů, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx a xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

10. xxxxxxxxxxxx ochrana xxxxx,

11. nevhodně xxxxxxxx xxxxxxxx architektura,

12. xxxxxxxxxxxx xxxx nezávislé xxxxxxxx,

13. xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

14. nedostatek zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx,

15. xxxxxxxx xxxxxx mimo fyzickou xxxxxxxx (xxxxxxxxx xx xxxxx xxxxxx státu),

16. xxxxxxxx xxxxxx na xxxxx xxxxx, x xxxxx právním prostředí xxxx xxxxxxx xxxxx xxxxxxxxxx povědomí, x

17. xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx testování.

Hrozby

1. Xxxxxxxx xxxxxxxxxxxx xxxxxxxx, provedení xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxxxxx,

2. xxxxxxxxx xxxx xxxxxxx technického anebo xxxxxxxxxxxx xxxxxxxx,

3. xxxxxxxx xxxxxxxx,

4. xxxxxxx xxxxxxxxxxxx xxxxxxxx v rozporu x licenčními xxxxxxxxxx,

5. xxxxxxxx xxx,

6. xxxxxxxx xxxxxxx bezpečnosti,

7. přerušení xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxx xxxxxxx elektrické xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,

8. narušení xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxx xxxxx Xxxxx xxxxxxxxx,

9. xxxxxxxx xxxx xxxxxxxxxxx modifikace informací,

10. xxxxxx, xxxxxxxx nebo xxxxxxxxx aktiva,

11. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,

12. pochybení xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, dodavatelů x xxxxxxxxxx xxxxxx,

13. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,

14. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, družicových xxxxxx, xxxxxxx elektrické energie xxxx xxxxxx xxxxxxxxxx xxxxxx,

15. xxxxxxxxxxx s xxxxxxxxxxxxx xxxxxxxx úrovní xxxxxxxx,

16. cílený kybernetický xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití špionážních xxxxxxx,

17. xxxxxxxx vyměnitelných xxxxxxxxxxx xxxxxx xxx,

18. xxxxxxxx (odposlech, xxxxxxxxxx, xxxxxxxxx) elektronické xxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxx služeb,

19. xxxxxxxxx xx xxxxxxxxxx,

20. xxxxxxxx cizí státní xxxx xxx xxxxxxx x aktivům,

21. zpřístupnění xxxx předání xxxxx xx xxxxxxx žádosti xxxxxx státu.

Xxxxxxx x. 4

Xxxxxxxxx xxxxx

(1) Jednoznačné stanovení xxxxxx xxx xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §8.

(2) Xxxxxxx rizika xx xxxxxxxxxx vyjádřena xxxx funkce, xxxxxx xxxxxxxxx xxxxxxx aktiva, xxxxxx a xxxxxxxxxxxx.

(3) Xxx xxxxxxxxx xxxxx xxx použít xxxxxx: Xxxxxx = xxxxxxx xxxxxx x xxxxxx x xxxxxxxxxxxx, případně xxxxx xxxxxx xxxxxxxxx xxxxxxx.

(4) Xxxxxxx xxxxxx xx x xxxxx xxxxxxx xxxxxxxx z xxxxxxxxx xxxxx xxxxx přílohy č. 1 k xxxx xxxxxxxx.

(5) X případě, xx xxxxxxx xxxxx xxxxxxx na xxxxxxx §8 xxxx. 3 xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby a xxxxxxxxxxxxx, xx možné xxxxxxxx xxx hodnocení xxxxxx x zranitelností xxxxxxx, například xxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxxxx. Sloučení xxxxxxx xx xxxxxx xxxx xx ztrátě xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, který zřetelně xxxxxxx xxx úroveň xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x případech, xxx xxxxxxx osoba používá xxxx počet xxxxxx xxx xxxxxxx aktiv, xxxxxx, xxxxxxxxxxxxx x xxxxx.

Xxx. x. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx xxxxxxxxxx nebo xx xxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx xxxxxx za 5 xxx.
Xxxxxxx	Xxxxxx je málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x rozpětí xx 1 xxxx xx 5 let.
Vysoká	Hrozba xx xxxxxxxxxxxxx až xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx hrozby je x rozpětí od 1 xxxxxx xx 1 roku.
Kritická	Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Předpokládaná xxxxxxxxx hrozby xx xxxxxxxx xxx xxxxxx xx xxxxx.

Xxx. č. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx pravděpodobné. Xxxx xxxxxxxx bezpečnostní xxxxxxxx, která jsou xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx o xxxxxx zneužití.
Střední	Zneužití xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobné. Jsou xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx je omezena. Nejsou xxxxx xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxx	Xxxxxxxx zranitelnosti xx pravděpodobné až xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx potřebné xxxxxxx x xxxx xxxxxxxxxx kontrolována. Jsou xxxxx dílčí xxxxxxx xxxxxx x překonání xxxxxxxxxxxxxx opatření.
Kritická	Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx nejsou xxxxxxxxxxx xxxx xx jejich xxxxxxxx značně xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxx. č. 3: Xxxxxxxx pro xxxxxxxxx xxxxx

Xxxxxx	Xxxxx
Xxxxx	Xxxxxx je považováno xx xxxxxxxxxxxxxx.
Xxxxxxx	Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxxx opatřeními xxxx x případě xxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx.
Xxxxxx	Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx a xxxx xxx zahájeny xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx.
Xxxxxxxx	Xxxxxx je xxxxxxxxxxx x xxxx xxx xxxxxxxxxx zahájeny xxxxx x xxxx xxxxxxxxxx.

(6) Xxxxx xx hodnota xxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxxxxxxxx, xx xxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxx xxxxxxxxxx riziko x xxxxxxxx požadovanou xxxxxx xxxxxxxxxxx informací Xxxxxx xxx xxxxxxxx xxxxx xxxx zejména následující

a) xxxxxxxxx xxxxxx,

x) xxxxxxx xxxxxx,

x) xxxxxxxxx rizika,

d) xxxxxxx se riziku, xxxx

x) xxxxxxxxx xxxx xxxxxxx xxxxxx.

Xxxxxxx x. 5

Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxx

Xxxxx smlouvy xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx x níže xxxxxxxxx:

x) xxxxxxxxxx x xxxxxxxxxxx informací x xxxxxxx xxxxxxxxxx (xxxxxx xxxxxxxxxx x xxxxxxxxxxxx), xxxxxxxxx x xxxxxxxxxxx,

x) xxxxxxxxxx x oprávnění xxxxxx xxxx,

x) ustanovení x xxxxxxxxx programového xxxx, xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx (xxxxxxxx xxxxxxxxxxxx auditu),

e) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, že xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x plném xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x dodavatelem x nebudou x xxxxxxx s požadavky xxxxxxx xxxxx na xxxxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx xxxxxxxxxx x odsouhlasení xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx (xxxx xxxxxxxxxxxx pro xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxxx politik) xxxxxxxx xxxxxx,

x) ustanovení x xxxxxx xxxx,

x) xxxxxxxxxx x souladu xxxxx x obecně xxxxxxxxx xxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx povinnou osobu x

1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících s xxxxxxx smlouvy,

2. způsobu xxxxxx xxxxx xx xxxxxx xxxxxxxxxx a x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,

3. xxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx x xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x povinnou xxxxxx,

4. xxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx dat xxxxxxxxxxxxxx xx území xxxxxx xxxxx, vyjma xxxxxxx, xxx xx takové xxxxxxxxxxx bylo x xxxxxxx x xxxxxxx xxxxx, x xxxxx xxxxxxxxxx xxxxxxx xx xxxxxxxxxx xxx nebo xxxxx kterého xxxx xxxxxx podána,

5. xxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xx xxxxxxxx x důvěrnými xxxxxxxxxxx xxxxxxx xxxxx (xxxxx se xxxxxxxxx x xxxxx zastávající xxxxxxxxxxxx role, penetrační xxxxxxx x xxxxxxxxxxxxxx),

x) xxxxxxxxxxx podmínek x xxxxxxx bezpečnosti při xxxxxxxx xxxxxxx, tzv. xxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx službu xxxx xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),

x) specifikace xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x souvislosti x dodavateli xxxxxxxx xxxxxxxxxx xx xxxxx xxxxxx, xxxxx xxxxxxxxxx, xxxxx xxxxxxxxxx při xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxxx.),

x) specifikace xxxxxxxxxxx xxxxxxx x xxxxxx služeb (XXX) x xxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx.

x) xxxxxxxxxx x xxxxxxxxxx pravidel bezpečného xxxxxx,

x) xxxxxxxxxxx xxxxxxxx xxx formát předání xxx a xxxxxxxxx xx vyžádání xxxxxxxx xxxxxx,

x) xxxxxxxx pro xxxxxxxxx dat,

p) xxxxxxxxxx x xxxxx jednostranně xxxxxxxxx xx smlouvy xxxx xxxxxxx xxxxxxxxx xxx výpovědní doby x případě významné xxxxx xxxxxxxx nad xxxxxxxxxxx xxxx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx,

x) xxxxxxxxxx o xxxxxxxx xx xxxxxxxx xxxxxxxxxx x

x) xxxxxxxxxx x xxxxxxxxxxxx nebo xxxxxxx xxx na xxxxxxx xxxxxxx cizozemského xxxxxx x zpřístupnění xxxx xxxxxxx xxx xxxxxxxxxxxxxx xx xxxxx xxxxxx xxxxx

1. až xx xxxxxxxxx přezkoumání xxxxxxxxxx žádosti,

2. xx xx xxxxxxxxxx úsilí x zabránění zpřístupnění xxxx xxxxxxx xxx x xxxxx xxxxxxxx xxxxxx právním xxxxx, x xxxxx xxxxxxxxxx xxxxxxx xx xxxxxxxxxx xxx nebo podle xxxxxxx xxxx xxxxxx xxxxxx,

3. xxxxx v xxxxxxxxx xxxxxxx.

Příloha č. 6

Témata xxx rozvoj xxxxxxxxxxxxxx xxxxxxxx

x) Techniky xxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx, antivirový xxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxx xxxxxxxxx programů x xxxxxxxx.

x) Xxxxxxxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxx x xxxxxxxx spouštění xxxxx.

x) Rizika xxxxxxxxxxxxx xxxxxxx.

x) Zásady xxxxxxxxxxx xxxxxxxxxxxxx xxxx.

x) Používání, xxxxxx x xxxxxx xxxxx.

x) Vícefaktorová xxxxxxxxxxx.

x) Xxxxxxxx sociálního xxxxxxxxxxx.

x) Xx-xxxx xxxxxxxx, xxxxxxxxx xxxxx x xxxx xxxxxxxxxxxx.

x) Xxxxxx xxxxx x xxxxxxxxxx síti.

n) Xxxxxxxxx xxxxxxxxxx připojení (XXX).

x) Bezpečná xxxxxxxxxxxx xxxxxxxxxx.

x) Xxxxxxxxxx webových xxxxxxx.

x) Zálohování, xxxxxxxx x xxxxxxxxx xxx.

x) Xxxxxxxx používání přenosných xxxxxxxxxxx xxxxxx xxx.

x) Xxxxxxxxx xxxxxx xxxxx xxxxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx oznamování xxxxxxxxxxx chování xxxxxxxxxxx xxxxx a xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx.

x) Xxxxxxxx postup xxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxx událost xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.

x) Xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx účely.

w) Zásady xxxxxxxxxx používání xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx (tzv. XXXX).

x) Xxxxxx odpovědnost xxxxxxxxxxx xxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Aktuální xxxxxx x kybernetické xxxxxxxxxxx.

Xxxxxxxxx

Xxxxxx xxxxxxx č. 409/2025 Sb. nabyl xxxxxxxxx xxxx 1.11.2025.

Xx xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.

Xxxxx jednotlivých xxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx v xxxxxxxx není aktualizováno, xxxxx xx jich xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx (XX) 2022/2555 xx xxx 14. xxxxxxxx 2022 x xxxxxxxxxx x zajištění xxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x Unii x x změně xxxxxxxx (XX) x. 910/2014 x xxxxxxxx (XX) 2018/1972 x x xxxxxxx xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).

2) Xxxxx č. 134/2016 Sb., x xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx.

3) Xxxxx xxxxxxx xxxxxxxxxxxxx standardu xxx. Xxxxxxx Xxxxx Protocolu xxxxxxxx Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx bezpečnost na xxxxx internetových xxxxxxxxx.

Plné znění - 409/2025 Sb.

Na co čekáte? Nečekejte už ani minutu. Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

409/2025 Sb.

XXXX XXXXX

XXXXXX USTANOVENÍ

Předmět xxxxxx xxxxxx

Xxxxxxxx xxxxx

ČÁST DRUHÁ

BEZPEČNOSTNÍ XXXXXXXX

XXXXX X

Xxxxxxxxxxx opatření

Systém xxxxxx xxxxxxxxxxx xxxxxxxxx

Požadavky xx vrcholné xxxxxx

Xxxxxxxxx bezpečnostních rolí

Xxxxxx xxxxxxxxxxxx politiky x bezpečnostní dokumentace

Xxxxxx xxxxx

Řízení rizik

Xxxxxx dodavatelů

Bezpečnost xxxxxxxx xxxxxx

Xxxxxx změn

Akvizice, vývoj a xxxxxx

Xxxxxx xxxxxxxx

Xxxxxxxx kybernetických bezpečnostních xxxxxxxx x incidentů

Řízení xxxxxxxxxx xxxxxxxx

Xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx

HLAVA II

Technická opatření

Fyzická xxxxxxxxxx

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Správa a xxxxxxxxx xxxxxxx

Xxxxxx xxxxxxxxxxxx práv x xxxxxxxxx

Xxxxxxx kybernetických bezpečnostních xxxxxxxx

Xxxxxxxxxxxxx xxxxxxxx

Vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxxxxxxxx bezpečnost

Xxxxxxxxxxxxxx xxxxxxxxx

Xxxxxxxxxxx dostupnosti xxxxxxxxxx xxxxxx

Xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxxxxxx xxxxx

XXXX XXXXX

XXXXXXXXX XXXXXXXXXX

Xxxxxxxxx xxxxxxxxxx

XXXX ČTVRTÁ

ÚČINNOST

Účinnost

Příloha č. 1

Xxxxxxxxx xxxxx

Příloha x. 2

Xxxxxxxxx xxxxxxxxx x dat

Xxxxxxx x. 3

Xxxxxxx x. 4

Xxxxxxxxx xxxxx

Xxxxxxx x. 5

Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxx

Příloha č. 6

Xxxxxxxxx

Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.