Právní předpis byl sestaven k datu 20.03.2026.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
410/2025 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
Systém zajišťování minimální kybernetické bezpečnosti §3
Požadavky na vrcholné vedení §4
Bezpečnost lidských zdrojů §5
Řízení kontinuity činností §6
Řízení přístupu §7
Řízení identit a jejich oprávnění §8
Detekce a zaznamenávání kybernetických bezpečnostních událostí §9
Řešení kybernetických bezpečnostních incidentů §10
Bezpečnost komunikačních sítí §11
Aplikační bezpečnost §12
Kryptografické algoritmy §13
ČÁST TŘETÍ - STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU §14
ČÁST ČTVRTÁ - ÚČINNOST §15
Příloha č. 1 - Přehled bezpečnostních opatření
Příloha č. 2 - Požadavky na smluvní ujednání s dodavateli
Příloha č. 3 - Témata pro rozvoj bezpečnostního povědomí
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxxxxx regulované xxxxxx x režimu xxxxxxx xxxxxxxxxx (dále xxx „xxxxxxx xxxxx“) xxxxxxxx
x) xxxxx, xxxxxx xxxxxxxx x provádění bezpečnostních xxxxxxxx a
b) xxxxxxxxx xxxxxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx orgán xxxxxxx xxxx, xxxxx využívá xxxxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx, xxxxx xxxxxxx xx xxxxxxxxxx xxxxxx xxxx mít xxxxxxxx xxxxx na xxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx uživatel xxxx xxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, údržbu x bezpečnost xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx politikou xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx.
XXXX XXXXX
XXXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxxxxxxx minimální kybernetické xxxxxxxxxxx
(1) Povinná xxxxx xxx zajišťování xxxxxxxxxxxx xxxxxxxxxxx
x) zavede a xxxxxxx bezpečnostní xxxxxxxx, xxxxx jsou xxxxxxxxx xxxxxxxxxxxxx potřebám, x
x) xxxxxx x provádí xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xx 6, §4 xx 6 x §10.
(2) Xxxxxxx xxxxx
x) xxxxxxx přehled bezpečnostních xxxxxxxx podle přílohy č. 1 x xxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx opatření, xxxxx
1. byla povinnou xxxxxx zavedena, xxxxxx xxxxxx xxxxxx zavedení,
2. xxxxx xxxxxxxx xxxxxx xxxxxxxx, xxxxxx xxxxxxx xxx jejich zavedení, xxxxxxxx xxxxxx xxxxxxxx x xxxxxx osoby xxxxxxxxx xx xxxxxx xxxxxxxx, a
3. nebyla xxxxxxxx, včetně odůvodnění xxxxxx xxxxxxxxxx,
x) xxxxxxx x dokumentuje xxxxxxx xxxxxx xxxxx aktualizaci xxxxxxxx xxxxxxxxxxxxxx opatření, xxxxxx vyhodnocení účinnosti xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxxxx xxxxxxx xx xxxx 4 xxx.
(3) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx opatřením xxxxxxxxxxx xxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx x postupy xxxxxxxxx v xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxxx xxxxxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx politice x xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx x rámci xxxxxx aktiv xxxxxxx xxxxxxxx xxx xxxxxxxxx x manipulaci technických xxxxx.
(5) Povinná xxxxx xxx uzavírání xxxxxxx x dodavatelem xx xxxxxxxxxxx xxxxxxx podle §12 zákona zohlední xxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxx xxxxxxxx x xxxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx tohoto xxxxxxxxxx, xxxxxx xxxxxxx bezpečného xxxxxx x na xxxxxxx xxxx xxxxxxx, xxx xxxxxxx x xxxxx dodavatelem xxxxxxxxxx xxxxxxxxxx požadavky na xxxxxxx xxxxxxxx xxxxxxx x příloze č. 2 x xxxx xxxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx požadavky x xxxxxxx kybernetické xxxxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxx, přičemž vychází x xxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx podle xxxx xxxxxxxx.
§4
Xxxxxxxxx xx xxxxxxxx xxxxxx
Xxxxxxxxxx orgán xxxxxxx xxxxx xxxx jiná xxxxx xxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxx postavení xxxxxxx xxxxx (xxxx xxx „xxxxxxxx xxxxxx“) x xxxxxxx xx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxx xxxxx pověřenou xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxx pravomoci xxxxxxxx x xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx nad xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx x xxxxxxxxx xxxxxxx, přičemž xxx xxxxx xxxx činnosti
1. xxxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxx školení xxxxx §5 odst. 2 písm. x), xxxx
2. prokáže odbornou xxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx prokazatelně xxxxxxx xxxxx §5 xxxx. 2 písm. x),
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření,
d) xx prokazatelně xxxxxxxxx xx stavem xxxxxx xxxxxxxxxxxxxx opatření xxxxxxxx x přehledu xxxxxxxxxxxxxx xxxxxxxx xxxxx §3 xxxx. 2 xxxx. x),
x) xxxxxxxxx neustálé xxxxxxxxxx zajišťování xxxxxxxxxxxx xxxxxxxxxxx x za xxxxx xxxxxx podporuje xxxxx pověřenou kybernetickou xxxxxxxxxxx x jiné xxxxxxxxxx osoby x
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx.
§5
Bezpečnost xxxxxxxx zdrojů
(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx politiku xxxxxxxxxx chování xxxxxxxxx, x jejímž xxxxx xxxxxxxxxx relevantní xxxxxx xxxxxxx x příloze č. 3 x xxxx vyhlášce,
b) xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx, uživatelů, administrátorů x osoby xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxxx xxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní politiky xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx pravidla x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Povinná xxxxx v xxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx
x) xxxxxxx xxxxxxxxxx xxxxxx x jeho povinnostech x x bezpečnostní xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, formou xxxxxxxxx x pravidelných xxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti x
x) xxxxxxxx xxxxxxx xxxxxxxxxx x praktická xxxxxxx xxxxxxxxxxxxxx x xxxxx xxxxxxxx kybernetickou xxxxxxxxxxx v souladu x xxxxxx xxxxxxxx xxxxxx.
(3) Xxxxxxx xxxxx xxxx přehledy o xxxxxxxxxxx školeních x xxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxxx 2.
§6
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx prioritu technických xxxxx, pořadí x xxxxxxx xxxxxx obnovy x xxxxxxxx přitom xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx §4 písm. f),
b) xxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxx osob xx xxxxxxxxxx činnosti xxx zajištění kontinuity xxxxxxxx x x xxxxxx podle písmene x) a
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx, xxx, konfigurací a xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxx xxxxxxx pro xxxxx obnovy regulované xxxxxx pro xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§7
Řízení xxxxxxxx
(1) Povinná xxxxx xxxx přístup x xxxxxxx x x xxxxx něj
a) xxxxxxx xxxxxxx uživateli x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxx nezbytně xxxxxx x xxxxxx xxxxxx xxxxx a xxxxxxxxx xxxxxxxxxxxxx daného xxxx účtu, xxxxxxx xx xxxx xxxxxxxx xxxxxxxxxxx a administrátorské xxxx jedné xxxxx,
x) xxxx xxxxxxxxxxxxxx, přístupová xxxxx x xxxxxxxxx xxxx technických aktiv,
c) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x jiných xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx s využitím xxxxxxxxxxx xxxxx, xxxxx xxxxxxx osoba nemá xx své xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx veškerých xxxxxxxxxxxx xxxx x xxxxxxxxx,
x) xxxxxxx bezodkladné xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx a xxxxxxxxx xxx změně pozice xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxxx x
x) xxxxxxx deaktivaci účtu x xxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx a oprávnění xxx xxxxxxxx nebo xxxxx smluvního xxxxxx, xx jehož xxxxxxx xxxxx ke xxxxxxx xxxxxxxx k xxxxxxx.
(2) Xxxxxxx xxxxx v xxxxx xxxxxxxxx fyzické xxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxx xx xxxx xxxxxxx a xxxxxxxxx xxxxxxxxx, odcizení, xxxxxxxx xxxxx, neoprávněným xxxxxxx xx xxxx x xxxxxxxx xxxxxxxxxxx poskytování xxxxxxxxxx xxxxxx.
§8
Řízení identit x xxxxxx xxxxxxxxx
(1) Povinná xxxxx xxx xxxxxx xxxxxxx, xxxxxxxxxxxx xxxx x xxxxxxxxx používá xxxxxxx, xxxxx zajišťuje
a) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxx ověření xxxxxxxx xx xxxxxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx x přenášených xxxxxxxxxxxxxx xxxxx x
x) xxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx pro xxxxx x xxxxx informací x xxx a xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx pro xxxxxxx xxxxxxxx administrátorů, xxxxxxxxx x xxxxxxxxxxx aktiv xxxxxxx autentizační mechanismus, xxxxx je xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx, xxxx využívá autentizační xxxxxxxxxxx, xxxxx xx xxxxxxx xx aktuálně xxxxxx xxxxxxxxxxx autentizaci xxxxxxxx xx xxxxxx xxxxxx xxxxxx.
(3) Xxxxxxx xxxxx do xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxx odstavce 2 xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xx doby využívání xxxxxxxxxxxxxx mechanismu xxxxx xxxxxxxx 3 využívá xxxxxxx založený xx xxxxxxxxxxx xxxxxx identifikátoru xxxx x xxxxx, xxx xxxxx xxxxxxx xxxx xxxxxxxxx pravidla
a) xxxxx xxxxx xxxxxxx
1. 12 znaků xxx xxxx xxxxxxxxx,
2. 17 xxxxx xxx xxxx xxxxxxxxxxxxxx,
3. 22 znaků xxx účty technických xxxxx,
x) bezodkladné xxxxx xxxxxxxxx hesla xxx xxxxxxx xxxxxxxx technických xxxxx, xxxxxxx nové xxxxx xxxx xxx xxxxxxxxx náhodným xxxxxxxx xxxxxxxx x xxxxxx x xxxxxxx xxxxxx, xxxxxx x speciálních xxxxx,
x) xxxxxxxxxxx použití xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxx xxxxxx xx 18 xxxxxx x
x) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx a xxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxx, adres xxxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxx obdobným způsobem x
3. opětovného xxxxxxx xxxxx používaných xxxxx x xxxxxx xxxxxxx 12 předchozích xxxxx.
(5) Xxxxxxx osoba při xxxxxx xxxxxxx xxxx xxxxxxx
x) xxxxxxxxx při xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx a xxx xxxxxx xxxxxxxx,
x) xxxxx xxxxxxxxx hesla xxxx xxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xx xxxx prvním xxxxxxx,
x) xxxxxxxxxxx xxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx nejpozději xx 24 xxxxx xx xxxx xxxxxxxxx,
x) xxxxxxxxxxxx změnu přístupového xxxxx x xxxxxxx xxxxxxxxx podezření na xxxx xxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxxxxxxx účtů xxxxxxxxxxx xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx tyto xxxx xxxxx v nezbytně xxxxxxx xxxxxxxxx.
§9
Detekce x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx
x) ověření x kontrolu xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx xxxx, xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx,
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx před xxxxxxxxx xxxxx xx technických xxxxxxxx, zejména xx
1. xxxxxxxxx a
2. koncových xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxx, zejména x vyměnitelných zařízení x datových xxxxxx,
x) xxxxxxxxxxx poskytování xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx nástrojů xxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx škodlivým xxxxx x xxxxxxx xxxxxxxxxx nástrojů x xxxxxx pravidel.
(2) Xxxxxxx xxxxx xx účelem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxx
x) xxxxxxxxxxxx x xxxxxxxxxx provozní xxxxxxxx xxxxxxxxxx podle xxxxxxxx 1 x xxxxxxxxxxxx x relevantní xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xx základě xxxxx bezpečnostních potřeb x
x) x xxxxxxxx xxxxx xxxxxxx x) xxxxxxxxxxx informace x xxxxxxxx:
1. datum a xxx, včetně xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx a xxxxxxxxxxxx xxxx xxxxxxx x
4. úspěšnost xxxx xxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxx, xxxxxx si xxxxxxx xx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxx.
§10
Xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx při xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů
a) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxxxxxx budou oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx a podezření xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xxxxxxx x §14,
x) xxxxxxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxxxxxx x xxxxxxxxx podle xxxxxxx x),
x) xxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního incidentu x xxxxxxxxx xxxxxxx xxxxx §15 zákona,
f) xxxxxxx vytvoření xxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §16 xxxxxx.
§11
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě, x xx xxxxxxx xxxxxx xxxxxxxx perimetru,
a) xxxxxxx segmentaci komunikační xxxx, xxxxxx oddělení xxxxxxxxxx a zálohovacího xxxxxxxxx,
x) omezí xxxxxxx x xxxxxxxx komunikaci xx perimetru xxxxxxxxxxx xxxx xx xxxx xxxxxxxx xxxxxx pro xxxxx xxxxxxxxx poskytování xxxxxxxxxx služby,
c) užívá xxxxxxxx xxxxxx a xxxxxxxx komunikační protokoly,
d) x xxxxxxx užití xxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx správy xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxx
1. xxxxx xxxx xxxxxxxxx xx nezbytně xxxxx,
2. zavede xxxxxxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxx a integritu xxxxxx xxxxxxxxxx připojení x xxxxxxxx xxxxxx, x
3. xx xxxxxxx x xxxxxxxxxxx a xxxxxxxxxxxxxxxx, kteří xxxx xxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxx xxxxxxx.
§12
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx zajišťování xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx,
x) x technických xxxxx, která xxx xxxxxx xxxxxxxx, dodavatelem xxxx jinou xxxxxx xxxxxxxxxxx
1. xxxx xxxxxx xxxxxxxx,
2. xxxxxx bezpečnostní xxxxxxxx, která xxxxxx xxxxxxxx nebo vyšší xxxxxx bezpečnosti, x
3. xxxxx jejich xxxxxxxxxx x xxxxxxxxxxx xxxx xx nezbytně xxxxxx,
x) xxxxxxx xxxxxxxxxx skenování xxxxxxxxxxxxx xxxxxxxxxxxx technických xxxxx x aplikuje xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxx.
§13
Kryptografické xxxxxxxxx
(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx aktiv x xxxxxx xxxxxxxxxx
x) xxxxxxx xxxxxxxx odolné xxxxxxxxxxxxxx algoritmy,
b) prosazuje xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxxxxx xxxxxxxxx a
c) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx x oblasti xxxxxxxxxxxxxxxx algoritmů xxxxxx Xxxxxxxx xxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxxxx bezpečnou
a) xxxxxxxx, xxxxxxxxxxxxx a xxxxxxxx xxxxxxxxxx, a to xxxxxx e-mailové komunikace, x
x) nouzovou xxxxxxxxxx x xxxxx xxxxxxxxxx.
ČÁST TŘETÍ
STANOVENÍ XXXXXXXXXXX XXXXXX KYBERNETICKÉHO BEZPEČNOSTNÍHO XXXXXXXXX
§14
(1) Xxxxxxx xxxxx xxx potřeby xxxxxxxxxxx xxxxxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx
x) únosnou xxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx xxxxx xxxx ohrožen život xxxx xxxxxx xxxx xxxx xxxxxxxxx xxxxxxx xxxxx xxxxxx xxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx zejména
1. provozní xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxx xxxxx a xxxx xxxxxxxxx poskytovat xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxx xxxxxxxxxx služby x xxxxxx xxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx,
3. xxxxxx, xxxxxx a xxxxxxxxx xxxxxx, které xxxx xxxxxxxx k xxxxxx xxxxxxxxxxx zasažené xxxxxxxxxx xxxxxx,
4. typ x xxxxxxxx aktiv xxxxxxxxx xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx,
5. xxxxxxxxx informací a xxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentem x xxxx, jakou xxxx xxxxxxxx bezpečnosti těchto xxxxxxxxx a dat xxxxxxxx xxxxxxx xxxxx xxxx jinému xxxxxx xxxx osobě, x
6. xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xx-xx xxxxxxx xxxxx xxxxx, xxx xx xxxxx x xxxxxxx xxxxx, xxxxxxxxxx xxxxxx xxxx xxxxxxx jednání.
(2) Xxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx xx považován xx významný, xxxxx
x) xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx únosnou xxxx xxxx xxxxxxxxxx kybernetickým xxxxxxxxxxxxx incidentem xxxxx xxxxxxxx 1 xxxx. x) x xxxxxxxx
x) xx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx xxxxxxxx 1 xxxx. b) posouzena xxxx xxxxxxxx.
XXXX XXXXXX
XXXXXXXX
§15
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx účinnosti dnem 1. listopadu 2025.
Ředitel:
Ing. Xxxxx v. r.
Xxxxxxx x. 1
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxx příloha xxxxxxxxxxx přehled xxxxxxxxxxxxxx xxxxxxxx xx xxxxx xxxxxxx (Xxx. x. 1), xxxxx xx xxxxxxx osobě xxxxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxx.
Xxx. č. 1: Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|||||
|
Xxxxxxxxxxxx xxxxxxxx xxxxx vyhlášky |
Stav bezpečnostního xxxxxxxx |
Xxxxx xxxxxxxxxxxxxx xxxxxxxx |
Xxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx |
Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření |
Odpovědnost xx xxxxxxxxxxxx opatření |
Přehled xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx ze šesti xxxxxxx, kdy xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxx vyplnění xxxx xxxxxxx x xxxxxxxxx níže (Xxx. x. 2 až 7). X Xxxxxxx x. 3 „Xxxx xxxxxxxxxxxxxx xxxxxxxx“ xxxx xxxxx příkladů xxxxxxx „Xxxxxxxxx xxxxxxx“.
Xxx. č. 2: Xxxxxxxxxxxx xxxxxxxx xxxxx vyhlášky
|
Název xxxxxxx x Xxx. x. 1 |
Xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx. |
|
Xxxxx sloupce |
Příslušné xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx vyhláškou xxxxxxx xxxxxxxxx formou xxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxx |
Xxxxxxx xxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx ustanovení xxxxxxxx xxxxxxxx, xxxxxxx xx xxxxxxxxxx, xxx xxxx xxxxxxxxxx části xxxxxxx x xxxxxxx xxxxxxxxxx. |
Xxx. x. 3: Xxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Tab. x. 1 |
Stav xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxx stavu xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx, xxx xx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Popis xxxxxx |
Xxxxx xxxxxxx bude xxxxxxxxx xxxxx xxxxx x přípustných hodnot „Xxxxxxxx“, „V xxxxxxx“ xxxx „Xxxxxxxxxx“. Xxxxxxx „Xxxxxxxx“ xxx xxxxxx x xxxxxxx, xxx xxxx xxxxxxxxxxxx opatření x xxxxxxxxxx období zavedeno x xxxxxxxxxxx rozsahu. |
Xxx. x. 4: Xxxxx xxxxxxxxxxxxxx opatření
|
Název xxxxxxx x Tab. x. 1 |
Xxxxx bezpečnostního xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxxxx xxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx v xxxxxxxxxx na xxxx, x jakém xx xxxxxxxx nachází, x x xxxxxxxxxxxx x xxxxxxxxx povinné xxxxx. |
|
Xxxxx xxxxxx |
Xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxx xxxxxxx xxxxxxxxxxx situaci x povinné xxxxx (xxxxxxxxx podle xxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx) x stav xxxxxxxxxxxxxx xxxxxxxx podle Xxx. x. 2. X xxxxxxx xxxxxxxxxxxxxx opatření, xxxxx jsou xxxxxxxx xxxx „X xxxxxxx“ xx nutné popsat xxxxxxxxxx xxxx, případně xxxxx xxxxx xx xxxxxxxxxxx, která xxxxxx xxxxxxxx xxxxxxx. Xxxxx xx xxxxxxxxxxxx xxxxxxxx označeno xxxx „Nezavedeno“, xx xxxxx xxxxxxxxx, xxxx xxxxxxxx xxxxxx. |
Xxx. x. 5: Xxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Xxx. x. 1 |
Xxxxxx xxxxxxxx bezpečnostního xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxxxxxx termín xxxxxxxx bezpečnostního xxxxxxxx x xxxxx rozsahu. |
|
Popis xxxxxx |
Xxxx xxxxxxx xxxx xxxxxxxx xxxxx x xxxxxxx, xx-xx xxxx xxxxxxxxxxxxxx xxxxxxxx označen xxxx „X xxxxxxx“ xxxx „Nezavedeno“, ale xxxx xxxxxxxx xxx xxxxxxxx plánováno nebo xxxxxx xx dalších xxxxxxxxxxx. Xxxx by xxx uvedena xxx xxxxxxxxxx xxxxx nebo xxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxx. |
Xxx. x. 6: Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Xxx. č. 1 |
Xxxxxxxx zavedení bezpečnostního xxxxxxxx. |
|
Xxxxx sloupce |
Prioritizace xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx na xxxxx xx xxxxxxxxxxx regulované xxxxxx. |
|
Xxxxx xxxxxx |
Xxxxxxx „xxxxx“ xxxx „1“ je xxxxx xxxxxx x xxxxxxx, kdy xx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx nebo xxxx xxxxxxxxxxxx xxxxxxxx xxxx xxx xxxxxxxxxxx regulované xxxxxx relevantní. Hodnotu „xxxxxxx“ xxxx „2“ xx xxxxx zapsat x xxxxxxx, xxx by xxxxxxx xxxxxxxx bezpečnostního xxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxx xxxxx xx poskytování xxxxxxxxxx xxxxxx. |
Xxx. x. 7: Xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx
|
Xxxxx sloupce v Xxx. č. 1 |
Odpovědnost xx xxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxx xxxxxxxx xx xxxxxxxx daného bezpečnostního xxxxxxxx. |
|
Xxxxx xxxxxx |
Xx nutné xxxxxxxxxx xxxxx xxx, xxx xxxx možné xxxxxxxxxxx xxxxx xxxxx xxxxxxxxx xx zavedení xxxxxxxxxxxxxx xxxxxxxx. X xxxxxxx xxxxxxx xx xxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx, xx níž daná xxxxx xxxxx. |
Příloha x. 2
Požadavky xx smluvní xxxxxxxx x dodavateli
Povinná xxxxx xxxxxxx xxxxx xxxxxx xxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a určují xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx bezpečnostních xxxxxxxx.
Xxxxxxx xxxxx xxxxx xxxxxxxx xxx takové xxxxxxx, xxxxx budou xxxxxxxxxxx xxxxxxxxxxx relevantní xxxxxxxxxx:
x) xxxxxxxxxx o xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx (xxxxxx xxxxxxxxxx o mlčenlivosti), xxxxxxxxx x xxxxxxxxxxx,
x) xxxxxxxxxx x auditu xxxxxxxxxx související x xxxxxxx xxxxxxx,
x) xxxxxxxxxx x xxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx tzv. xxxx xxxxxxxxx, xxxxxxxx xxxxxxxx smluvního xxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) ustanovení o xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx politik xxxxxxxxxx (xxxx odsouhlasení xxx dodavatelský xxxxx xxxxxxxxxxxx částí xxxxxxxxxxxxxx xxxxxxx) xxxxxxxx osobou,
j) xxxxxxxxxx x řízení xxxx,
x) ustanovení x xxxxxxxxxxxxxx bezpečnostních incidentech xxxxxxxxxxxxx s plněním xxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxx řízení kontinuity xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx x úrovni xxxxxx (XXX) a způsobu x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxx vývoje.
Povinná osoba xxxx požadovat při xxxxxxxxx xxxxx x xxxxxxxxxx x další xxxxxxxx zohledňující xxxxxxxxxx xxxxxxxxx plynoucí xx xxxxxxxxx provozních x xxxxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx x regulovanou xxxxxxx, xxxxx nejsou uvedena x xxxx xxxxxxx.
Xxxxxxx x. 3
Xxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx zabezpečení xxxxxxxx.
x) Firewall, antivirový xxxxxxx x xxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxxx x jejich projevy.
d) Xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx.
x) Xxxxxxxxxxx xxxxxxxx.
x) Rizika xxxxxxxx x zakázání spouštění xxxxx.
x) Xxxxxx xxxxxxxxxxxxx xxxxxxx.
x) Xxxxxx zabezpečení xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx, xxxxxx a xxxxxx xxxxx.
x) Xxxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx sociálního xxxxxxxxxxx.
x) Xx-xxxx xxxxxxxx, xxxxxxxxx xxxxx a její xxxxxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxx.
x) Xxxxxxxxx xxxxxxxxxx připojení (XXX).
x) Bezpečná xxxxxxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxxxx, ukládání x šifrování dat.
r) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
x) Xxxxxxxxx služeb xxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro oznamování xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx.
x) Xxxxxxxx postup xxx xxxxxx na xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxx bezpečnostní incident.
v) Xxxxxx bezpečného používání xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Zásady xxxxxxxxxx používání xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx (tzv. XXXX).
x) Xxxxxx xxxxxxxxxxx zaměstnance xxx dodržování zásad xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx x kybernetické xxxxxxxxxxx.
Xxxxxxxxx
Xxxxxx předpis x. 410/2025 Xx. xxxxx xxxxxxxxx xxxx 1.11.2025.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační změna xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2022/2555 xx xxx 14. prosince 2022 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x Xxxx x o xxxxx xxxxxxxx (XX) č. 910/2014 x xxxxxxxx (XX) 20/1972 x x zrušení směrnice (XX) 2016/1148 (xxxxxxxx XXX 2).