Plné znění - 410/2025 Sb.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností

410/2025 Sb.
 

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

Systém zajišťování minimální kybernetické bezpečnosti §3

Požadavky na vrcholné vedení §4

Bezpečnost lidských zdrojů §5

Řízení kontinuity činností §6

Řízení přístupu §7

Řízení identit a jejich oprávnění §8

Detekce a zaznamenávání kybernetických bezpečnostních událostí §9

Řešení kybernetických bezpečnostních incidentů §10

Bezpečnost komunikačních sítí §11

Aplikační bezpečnost §12

Kryptografické algoritmy §13

ČÁST TŘETÍ - STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU §14

ČÁST ČTVRTÁ - ÚČINNOST §15

Příloha č. 1 - Přehled bezpečnostních opatření

Příloha č. 2 - Požadavky na smluvní ujednání s dodavateli

Příloha č. 3 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

410

VYHLÁŠKA

ze xxx 26. xxxx 2025

x xxxxxxxxxxxxxx xxxxxxxxxx poskytovatele regulované xxxxxx x xxxxxx xxxxxxx povinností
 

Národní xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §13 xxxx. 3 x §15 xxxx. 3 xxxxxx x. 264/2025 Xx., x xxxxxxxxxxxx xxxxxxxxxxx, (xxxx xxx „xxxxx“):

XXXX XXXXX

XXXXXX USTANOVENÍ

§1

Předmět xxxxxx

Xxxx xxxxxxxx zapracovává xxxxxxxxx xxxxxxx Xxxxxxxx xxxx¹⁾ x xxx xxxxxxxxxxxxx regulované služby x režimu nižších xxxxxxxxxx (dále xxx „xxxxxxx osoba“) upravuje

a) xxxxx, xxxxxx zavádění x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a

b) xxxxxxxxx xxxxxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

§2

Xxxxxxxx xxxxx

Xxx xxxxx xxxx vyhlášky xx xxxxxx

x) uživatelem xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, který využívá xxxxxx,

x) privilegovaným xxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx, xxxxx činnost xx technickém xxxxxx xxxx mít významný xxxxx xx bezpečnost xxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x bezpečnost technického xxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx.

XXXX XXXXX

XXXXXXXXXXXX XXXXXXXX

§3

Xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx xxxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx

x) zavede a xxxxxxx xxxxxxxxxxxx opatření, xxxxx jsou přiměřená xxxxxxxxxxxxx xxxxxxxx, x

x) xxxxxx a xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xx 6, §4 xx 6 x §10.

(2) Xxxxxxx xxxxx

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx, xxxxx obsahuje přehled xxxxx bezpečnostních opatření, xxxxx

1. byla xxxxxxxx xxxxxx zavedena, xxxxxx xxxxxx xxxxxx xxxxxxxx,

2. xxxxx xxxxxxxx xxxxxx xxxxxxxx, xxxxxx xxxxxxx xxx xxxxxx zavedení, xxxxxxxx jejich zavedení x xxxxxx osoby xxxxxxxxx xx jejich xxxxxxxx, a

3. nebyla xxxxxxxx, xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx,

x) xxxxxxx x xxxxxxxxxxx alespoň xxxxxx xxxxx aktualizaci xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx účinnosti xxxxxxxxxx bezpečnostních xxxxxxxx,

x) xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření a xxxxxx xxxxxxxxxxx xxxxxxx xx xxxx 4 xxx.

(3) Xxxxxxx xxxxx x xxxxx řízení xxxxxxxxxxxx politiky a xxxxxxxxxxxx xxxxxxxxxxx

x) stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxxx x aktualizuje xxxxxxxx a xxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x

x) vynucuje xxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.

(4) Povinná xxxxx v xxxxx xxxxxx xxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxx.

(5) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxx x dodavatelem do xxxxxxxxxxx xxxxxxx xxxxx §12 xxxxxx zohlední xxxxxx x zranitelnosti xxxxxxx x xxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxx xxxxxxxx x xxxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxxxxxx xxxxxx a na xxxxxxx xxxx xxxxxxx, xxx xxxxxxx x xxxxx xxxxxxxxxxx obsahovaly xxxxxxxxxx xxxxxxxxx xx xxxxxxx ujednaní xxxxxxx x příloze č. 2 x xxxx xxxxxxxx.

(6) Xxxxxxx xxxxx v xxxxxxxxxxx x xxxxxxxxxx akvizicí, xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxx, přičemž vychází x xxxxxxxxx na xxxxxxxxxxxx opatření podle xxxx vyhlášky.

§4

Xxxxxxxxx xx xxxxxxxx xxxxxx

Xxxxxxxxxx orgán xxxxxxx xxxxx xxxx jiná xxxxx xxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxx postavení xxxxxxx xxxxx (dále xxx „xxxxxxxx vedení“) x xxxxxxx xx zajišťování xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xxxx osobu xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxx xxxxxxxxx potřebné x xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxx xxx stavem xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxx x vrcholným xxxxxxx, xxxxxxx xxx xxxxx xxxx činnosti

1. xxxxxxxxx xxx xxxxxxxxxx xxxxxxx odborné školení xxxxx §5 xxxx. 2 xxxx. x), xxxx

2. xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,

x) absolvuje prokazatelně xxxxxxx xxxxx §5 xxxx. 2 písm. x),

x) zajistí xxxxxxxxxx xxxxxx potřebných xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x souladu x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xx xxxxxxxxxxxx xxxxxxxxx xx stavem xxxxxx xxxxxxxxxxxxxx opatření uvedeným x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §3 xxxx. 2 xxxx. x),

x) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xx xxxxx xxxxxx podporuje xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx x xxxx xxxxxxxxxx osoby a

f) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx aktiv.

§5

Xxxxxxxxxx lidských xxxxxx

(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx

x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx, x jejímž rámci xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x příloze č. 3 x této xxxxxxxx,

x) xxxxxxx pravidla xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxx, xxxxxxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx, včetně xxxxxxxx xxx tvorbu xxxxx,

x) zajistí kontrolu xxxxxxxxxx xxxxxxxxxxxx politiky xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osoby xxxxxxxx kybernetickou bezpečností x

x) xxxxxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxxx politiky.

(2) Xxxxxxx xxxxx x souladu x xxxxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx

x) xxxxxxx vrcholného xxxxxx x jeho xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx, xxxxxxx v xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, formou vstupních x pravidelných xxxxxxx,

x) xxxxxxx školení v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti x

x) potřebná odborná xxxxxxxxxx i xxxxxxxxx xxxxxxx administrátorů a xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx v souladu x jejich pracovní xxxxxx.

(3) Xxxxxxx xxxxx xxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxx osob xxxxx xxxxxxxx 2.

§6

Řízení kontinuity xxxxxxxx

Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx činností

a) xxxxxxx prioritu xxxxxxxxxxx xxxxx, xxxxxx x xxxxxxx xxxxxx xxxxxx x zohlední xxxxxx xxxxxxxxxx prioritu relevantního xxxxxxxxxx aktiva xxxxx §4 písm. x),

x) xxxxxxx povinnosti x xxxxxxxxxxx konkrétních xxxx xx jednotlivé xxxxxxxx xxx zajištění xxxxxxxxxx xxxxxxxx a x xxxxxx xxxxx xxxxxxx x) a

c) xxxxxxx xxxxxxxxxx zálohy informací, xxx, xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxx xxxxxxx xxx xxxxx xxxxxx xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

§7

Xxxxxx xxxxxxxx

(1) Povinná xxxxx xxxx xxxxxxx x xxxxxxx x x xxxxx xxx

x) xxxxxxx xxxxxxx xxxxxxxxx x administrátorovi přistupujícímu x xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx xx úroveň nezbytně xxxxxx x xxxxxx xxxxxx xxxxx a xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx účtu, přičemž xx sebe xxxxxxxx xxxxxxxxxxx a administrátorské xxxx xxxxx xxxxx,

x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxxxx xxxx technických xxxxx,

x) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx bezpečné xxxxxxxxx mobilních zařízení x xxxxxx obdobných xxxxxxxxxxx aktiv, popřípadě x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxxxxx osoba xxxx xx své správě,

d) xxxxxxx xxxxxxxxxx přezkoumání xxxxxxxxx veškerých přístupových xxxx x oprávnění,

e) xxxxxxx xxxxxxxxxxx xxxxxxxx xxxx změnu přístupových xxxx a oprávnění xxx xxxxx pozice xxxx xxxxxxxx uživatelů xxxx administrátorů x

x) xxxxxxx xxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx a oprávnění xxx ukončení xxxx xxxxx xxxxxxxxx xxxxxx, xx xxxxx xxxxxxx xxxxx ke xxxxxxx xxxxxxxx x aktivům.

(2) Xxxxxxx xxxxx x xxxxx xxxxxxxxx fyzické xxxxxxxxxxx zamezí xxxxxxxxxxxxx xxxxxxxx ke svým xxxxxxx x xxxxxxxxx xxxxxxxxx, odcizení, xxxxxxxx xxxxx, neoprávněným zásahům xx xxxx x xxxxxxxx xxxxxxxxxxx poskytování xxxxxxxxxx služby.

§8

Xxxxxx xxxxxxx x xxxxxx xxxxxxxxx

(1) Xxxxxxx xxxxx xxx řízení xxxxxxx, xxxxxxxxxxxx práv x xxxxxxxxx xxxxxxx xxxxxxx, který xxxxxxxxx

x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,

x) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx xxxx xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx x

x) xxxxxx přístupových xxxx, xxxxxxxxx pro xxxxx x xxxxx xxxxxxxxx x xxx a xxxxx oprávnění.

(2) Povinná xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx je xxxxxxxx xx vícefaktorové xxxxxxxxxxx x alespoň dvěma xxxxxxx typy faktorů, xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, který xx xxxxxxx xx xxxxxxxx xxxxxx kontinuální autentizaci xxxxxxxx xx xxxxxx xxxxxx důvěry.

(3) Xxxxxxx xxxxx do xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xxxxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxx.

(4) Povinná osoba xx xxxx využívání xxxxxxxxxxxxxx mechanismu podle xxxxxxxx 3 využívá xxxxxxx xxxxxxxx na xxxxxxxxxxx pomocí identifikátoru xxxx a xxxxx, xxx tento xxxxxxx xxxx xxxxxxxxx xxxxxxxx

x) xxxxx xxxxx alespoň

1. 12 xxxxx xxx xxxx xxxxxxxxx,

2. 17 xxxxx xxx účty xxxxxxxxxxxxxx,

3. 22 znaků xxx xxxx xxxxxxxxxxx xxxxx,

x) xxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxx nové xxxxx xxxx být xxxxxxxxx náhodným xxxxxxxx xxxxxxxx x malých x xxxxxxx xxxxxx, xxxxxx a speciálních xxxxx,

x) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx xxxxxx, číslic x xxxxxxxxxxx xxxxx,

x) povinné xxxxx hesla x xxxxxxxxx xxxxxxx xxxxxx xx 18 xxxxxx x

x) neumožňující uživatelům x xxxxxxxxxxxxxxx

1. xxxxxx xx xxxxxxxxxx a xxxxx používaná xxxxx,

2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx znaků, přihlašovacích xxxx, xxxxx xxxxxxxxxxxx xxxxx, xxxxx systémů xxxx xxxxxxxx xxxxxxxx x

3. opětovného použití xxxxx xxxxxxxxxxx xxxxx x pamětí alespoň 12 xxxxxxxxxxx hesel.

(5) Xxxxxxx xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxxx

x) důvěrnost xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx x xxx xxxxxx přístupu,

b) změnu xxxxxxxxx xxxxx nebo xxxxx sloužícího k xxxxxx xxxxxxxx po xxxx xxxxxx použití,

c) xxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xx 24 xxxxx xx xxxx xxxxxxxxx,

x) xxxxxxxxxxxx xxxxx přístupového xxxxx x xxxxxxx xxxxxxxxx podezření xx xxxx xxxxxxxxxxxx x

x) xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxx zejména xxxxxxxx xxx případ xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx tyto xxxx xxxxx v xxxxxxxx xxxxxxx případech.

§9

Xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxx osoba při xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxx

x) xxxxxxx x kontrolu xxxxxxxxxxx xxx na perimetru xxxxxxxxxxx xxxx, včetně xxxxxxxxx xxxxxxxxx xxxxxxxxxx,

x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx a automatickou xxxxxxx xxxx xxxxxxxxx xxxxx xx xxxxxxxxxxx xxxxxxxx, xxxxxxx xx

1. xxxxxxxxx a

2. xxxxxxxxx xxxxxxxxx,

x) xxxxxx xxxxxxxxxxxxx xxxxxxxxx obsahu, xxxxxxx x xxxxxxxxxxxxx zařízení x datových nosičů,

d) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech x xxxxxx xxxxxxxx xxxxxxxxxxxx osob a

e) xxxxxxxxxxx x bezodkladnou xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.

(2) Xxxxxxx xxxxx xx účelem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx

x) xxxxxxxxxxxx x relevantní provozní xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 x xxxxxxxxxxxx a relevantní xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxx xxxxx xxxxxxxxxxxxxx potřeb x

x) x xxxxxxxx xxxxx písmene a) xxxxxxxxxxx informace x xxxxxxxx:

1. datum a xxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,

2. xxx xxxxxxxx,

3. xxxxxxxxxxxx identifikaci xxxxxxxxxxx xxxxxx x xxxxxxxxxxxx účtu původce x

4. xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx.

(3) Xxxxxxx xxxxx uchovává xxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxxxx po xxxx, xxxxxx xx xxxxxxx na xxxxxxx xxxxx bezpečnostních potřeb.

§10

Xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx

Xxxxxxx osoba xxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů

a) zajistí, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx pověřené xxxxxxxxxxxxx xxxxxxxxxxx x další xxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,

x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxx významnosti dopadu xxxxxxxxxxxxxx bezpečnostního incidentu x souladu x §14,

x) xxxxxxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí,

d) xxxxxxx posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxxxxxx s xxxxxxxxx podle písmene x),

x) xxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxxxx,

x) xxxxxxx xxxxxxxxx závěrečné xxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x významným xxxxxxx xxxxx §16 zákona.

§11

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx, x to xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx, včetně oddělení xxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxx,

x) xxxxx xxxxxxx x xxxxxxxx xxxxxxxxxx xx perimetru xxxxxxxxxxx xxxx na xxxx xxxxxxxx nutnou pro xxxxx xxxxxxxxx poskytování xxxxxxxxxx xxxxxx,

x) užívá xxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) x případě xxxxx xxxxxxxxxx xxxxxxxxx do xxxxxxx komunikační xxxx xxxx vzdálené xxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxx

1. xxxxx tato xxxxxxxxx xx xxxxxxxx xxxxx,

2. zavede xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxx x integritu xxxxxx xxxxxxxxxx připojení x xxxxxxxx xxxxxx, x

3. xx xxxxxxx x xxxxxxxxxxx a xxxxxxxxxxxxxxxx, kteří xxxx xxxxxxxx xxxxxxxxx nebo xxxxxxxxx správu užívají.

§12

Xxxxxxxxx bezpečnost

Povinná xxxxx xxx zajišťování aplikační xxxxxxxxxxx xxxxxxxxxx xxxxxx

x) xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx,

x) x xxxxxxxxxxx xxxxx, která xxx xxxxxx xxxxxxxx, xxxxxxxxxxx xxxx xxxxx xxxxxx xxxxxxxxxxx

1. xxxx xxxxxx xxxxxxxx,

2. xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxx xxxxx xxxxxx xxxxxxxxxxx, a

3. xxxxx jejich komunikaci x xxxxxxxxxxx xxxx xx nezbytně xxxxxx,

x) xxxxxxx xxxxxxxxxx skenování xxxxxxxxxxxxx relevantních technických xxxxx x xxxxxxxx xxxxxxxxx bezpečnostní opatření xx xxxxxxx xxxxxxxxxx xxxxxxxx.

§13

Xxxxxxxxxxxxxx xxxxxxxxx

(1) Povinná xxxxx xxx zajištění xxxxxxxxxxx technických xxxxx x xxxxxx komunikace

a) xxxxxxx xxxxxxxx odolné xxxxxxxxxxxxxx algoritmy,

b) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx algoritmy a

c) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx Xxxxxxxx úřadem xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxxxx bezpečnou

a) hlasovou, xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxx, a xx xxxxxx x-xxxxxxx komunikace, x

x) nouzovou xxxxxxxxxx x xxxxx xxxxxxxxxx.

XXXX XXXXX

XXXXXXXXX XXXXXXXXXXX XXXXXX XXXXXXXXXXXXXX XXXXXXXXXXXXXX XXXXXXXXX

§14

(1) Xxxxxxx xxxxx xxx xxxxxxx vyhodnocení xxxxxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxxxxxxxx xxxxxxxxxx služby xxxxxxx

x) únosnou xxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx xxxxx xxxx ohrožen život xxxx xxxxxx xxxx xxxx schopnost povinné xxxxx dostát xxxx xxxxxxxx,

x) xxxxxxx xxx xxxxxxxxx významnosti xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx zejména

1. provozní xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxx xxxxx x xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx,

2. množství xxxxxxxxx xxxxxxxxxx služby a xxxxxx xxxxxx x xxxx zasažených xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx,

3. xxxxxx, xxxxxx a xxxxxxxxx xxxxxx, xxxxx xxxx xxxxxxxx x obnově xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx,

4. xxx x xxxxxxxx aktiv xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentem,

5. xxxxxxxxx informací x xxx xxxxxxxxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx x xxxx, xxxxx může xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx x dat xxxxxxxx povinné xxxxx xxxx jinému xxxxxx xxxx xxxxx, a

6. xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu, je-li xxxxxxx osobě známo, xxx xx xxxxx x lidskou xxxxx, xxxxxxxxxx xxxxxx xxxx xxxxxxx jednání.

(2) Xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxxxx xx významný, xxxxx

x) xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxx míru xxxx způsobenou xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) a xxxxxxxx

x) xx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx dopadu xxxxx xxxxxxxx 1 xxxx. x) xxxxxxxxx xxxx významná.

XXXX XXXXXX

XXXXXXXX

§15

Xxxxxxxx

Xxxx vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxxxxxx 2025.
&xxxx;

Xxxxxxx:

Xxx. Xxxxx v. x.

Příloha x. 1

Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxxx příloha xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx formě xxxxxxx (Xxx. x. 1), která xx xxxxxxx xxxxx sloužit xxxx xxxxxxx k xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxx.

Xxx. x. 1: Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Přehled xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xx xxxxx xxxxxxx, xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx jejich xxxxxxxx xxxx uvedeny x xxxxxxxxx níže (Xxx. x. 2 xx 7). X Xxxxxxx x. 3 „Xxxx xxxxxxxxxxxxxx xxxxxxxx“ jsou xxxxx příkladů uvedeny „Xxxxxxxxx xxxxxxx“.

Xxx. č. 2: Bezpečnostní xxxxxxxx xxxxx xxxxxxxx

Xxx. x. 3: Xxxx xxxxxxxxxxxxxx xxxxxxxx

Xxx. x. 4: Xxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxx. č. 5: Termín xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Tab. č. 6: Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxx. č. 7: Xxxxxxxxxxx za bezpečnostní xxxxxxxx

Xxxxxxx x. 2

Požadavky xx xxxxxxx xxxxxxxx x xxxxxxxxxx

Xxxxxxx xxxxx xxxxxxx pouze takové xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x xxxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxxx osoby xxxxx xxxxxxxx xxx xxxxxx xxxxxxx, xxxxx budou xxxxxxxxxxx následující relevantní xxxxxxxxxx:

x) ustanovení x xxxxxxxxxxx informací x xxxxxxx xxxxxxxxxx (xxxxxx xxxxxxxxxx x mlčenlivosti), xxxxxxxxx x dostupnosti,

b) xxxxxxxxxx x auditu xxxxxxxxxx xxxxxxxxxxx s xxxxxxx xxxxxxx,

x) xxxxxxxxxx x řetězení xxxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxx xxx. xxxx xxxxxxxxx, xxxxxxxx xxxxxxxx xxxxxxxxx vztahu x xxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxx povinností,

f) xxxxxxxxxx x oprávnění xxxxxx xxxx,

x) xxxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxx o xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxx xxxxxx,

x) xxxxxxxxxx x povinnosti xxxxxxxxxx dodržovat xxxxxxxxxxxx xxxxxxxx xxxxxxx osoby xxxx xxxxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxxxxx politik xxxxxxxxxx (xxxx xxxxxxxxxxxx xxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxx) xxxxxxxx osobou,

j) xxxxxxxxxx x řízení xxxx,

x) xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech xxxxxxxxxxxxx s plněním xxxxxxx,

x) ustanovení xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx xxxxxxx x úrovni xxxxxx (XXX) x způsobu x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření,

n) xxxxxxxxxx x dodržování pravidel xxxxxxxxxx xxxxxx.

Xxxxxxx xxxxx xxxx xxxxxxxxx xxx xxxxxxxxx xxxxx x xxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxxx provozních x xxxxxxxxxxxxxx potřeb souvisejících x xxxxxxxxxxx službou, xxxxx xxxxxx xxxxxxx x této příloze.

Xxxxxxx x. 3

Xxxxxx xxx xxxxxx bezpečnostního xxxxxxxx

x) Xxxxxxxx zabezpečení xxxxxxxx.

x) Xxxxxxxx, xxxxxxxxxx xxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxxx x xxxxxx xxxxxxx.

x) Xxxxxx xxxxxxxxx programů x aplikací.

e) Aktualizace xxxxxxxx.

x) Rizika xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.

x) Xxxxxx spustitelných xxxxxxx.

x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxx.

x) Xxxxxxxxx, xxxxxx x xxxxxx xxxxx.

x) Vícefaktorová xxxxxxxxxxx.

x) Xxxxxxxx sociálního xxxxxxxxxxx.

x) Xx-xxxx identita, digitální xxxxx x xxxx xxxxxxxxxxxx.

x) Zásady xxxxx x xxxxxxxxxx xxxx.

x) Xxxxxxxxx xxxxxxxxxx xxxxxxxxx (XXX).

x) Bezpečná xxxxxxxxxxxx xxxxxxxxxx.

x) Xxxxxxxxxx webových xxxxxxx.

x) Xxxxxxxxxx, xxxxxxxx x xxxxxxxxx dat.

r) Xxxxxxxx xxxxxxxxx přenosných xxxxxxxxxxx nosičů dat.

s) Xxxxxxxxx xxxxxx xxxxx xxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x podezření xx xxxxxxxxx zranitelnosti.

u) Xxxxxxxx xxxxxx xxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx incident.

v) Xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx účely.

w) Xxxxxx xxxxxxxxxx používání soukromých xxxxxxxx xxx xxxxxxxx xxxxx (tzv. XXXX).

x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx dodržování xxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxx v xxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxxx

Xxxxxx xxxxxxx x. 410/2025 Sb. nabyl xxxxxxxxx dnem 1.11.2025.

Xx xxx uzávěrky xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.

Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Evropského xxxxxxxxxx a Rady (XX) 2022/2555 xx xxx 14. xxxxxxxx 2022 o xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx úrovně xxxxxxxxxxxx xxxxxxxxxxx v Xxxx x o xxxxx xxxxxxxx (EU) x. 910/2014 x xxxxxxxx (XX) 20/1972 x x xxxxxxx xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).