Plné znění - 410/2025 Sb.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností

410/2025 Sb.
 

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

Systém zajišťování minimální kybernetické bezpečnosti §3

Požadavky na vrcholné vedení §4

Bezpečnost lidských zdrojů §5

Řízení kontinuity činností §6

Řízení přístupu §7

Řízení identit a jejich oprávnění §8

Detekce a zaznamenávání kybernetických bezpečnostních událostí §9

Řešení kybernetických bezpečnostních incidentů §10

Bezpečnost komunikačních sítí §11

Aplikační bezpečnost §12

Kryptografické algoritmy §13

ČÁST TŘETÍ - STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU §14

ČÁST ČTVRTÁ - ÚČINNOST §15

Příloha č. 1 - Přehled bezpečnostních opatření

Příloha č. 2 - Požadavky na smluvní ujednání s dodavateli

Příloha č. 3 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

410

VYHLÁŠKA

ze xxx 26. xxxx 2025

o bezpečnostních xxxxxxxxxx poskytovatele regulované xxxxxx v xxxxxx xxxxxxx povinností
 

Národní xxxx xxx kybernetickou x xxxxxxxxxx bezpečnost xxxxxxx xxxxx §13 odst. 3 x §15 xxxx. 3 xxxxxx x. 264/2025 Sb., x xxxxxxxxxxxx bezpečnosti, (xxxx xxx „xxxxx“):

ČÁST XXXXX

XXXXXX XXXXXXXXXX

§1

Xxxxxxx xxxxxx

Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx¹⁾ x pro xxxxxxxxxxxxx xxxxxxxxxx služby x xxxxxx xxxxxxx xxxxxxxxxx (xxxx jen „xxxxxxx xxxxx“) upravuje

a) xxxxx, xxxxxx xxxxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx a

b) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.

§2

Vymezení pojmů

Pro účely xxxx vyhlášky se xxxxxx

x) uživatelem xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxx,

x) privilegovaným xxxxxxxxxx xxxxxxxx nebo xxxx xxxxx, xxxxx činnost xx xxxxxxxxxx aktivu xxxx xxx významný xxxxx xx bezpečnost xxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, užívání, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx xxxxxxx xxxxx.

ČÁST DRUHÁ

BEZPEČNOSTNÍ XXXXXXXX

§3

Xxxxxx xxxxxxxxxxx minimální kybernetické xxxxxxxxxxx

(1) Xxxxxxx osoba xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx potřebám, a

b) xxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxx opatření xxxxx xxxxxxxx 2 xx 6, §4 xx 6 x §10.

(2) Xxxxxxx xxxxx

x) xxxxxxx přehled bezpečnostních xxxxxxxx podle přílohy č. 1 x této xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx

1. xxxx povinnou xxxxxx xxxxxxxx, včetně xxxxxx jejich xxxxxxxx,

2. xxxxx xxxxxxxx osobou xxxxxxxx, včetně xxxxxxx xxx xxxxxx zavedení, xxxxxxxx xxxxxx zavedení x xxxxxx xxxxx xxxxxxxxx xx xxxxxx xxxxxxxx, x

3. xxxxxx xxxxxxxx, xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx,

x) provede x dokumentuje alespoň xxxxxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx jednotlivé přehledy xxxxxxxxxxxxxx opatření x xxxxxx aktualizace xxxxxxx xx dobu 4 xxx.

(3) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx k xxxxxxxxxxxxx xxxxxxxxx požadovaným xxxxx xxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x

x) xxxxxxxx xxxxxxxxxx pravidel a xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.

(4) Xxxxxxx xxxxx x xxxxx xxxxxx aktiv xxxxxxx xxxxxxxx xxx xxxxxxxxx x manipulaci technických xxxxx.

(5) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxx podle §12 xxxxxx xxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx s xxxxx xxxxxxxxxxx, celkovou xxxxxxx xxxxxxxx x xxxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx tohoto xxxxxxxxxx, xxxxxx postupů bezpečného xxxxxx x xx xxxxxxx toho xxxxxxx, xxx xxxxxxx s xxxxx xxxxxxxxxxx obsahovaly xxxxxxxxxx xxxxxxxxx na xxxxxxx ujednaní uvedené x příloze č. 2 x xxxx xxxxxxxx.

(6) Povinná xxxxx v souvislosti x xxxxxxxxxx xxxxxxxx, xxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx stanoví xxxxxxxxxxxx požadavky x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxx xx xxxxxxxxxxxx opatření podle xxxx xxxxxxxx.

§4

Xxxxxxxxx na vrcholné xxxxxx

Xxxxxxxxxx xxxxx xxxxxxx xxxxx xxxx jiná xxxxx xxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx xxxxx (xxxx jen „xxxxxxxx xxxxxx“) x xxxxxxx na xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xxxx xxxxx xxxxxxxxx xxxxxxxxxxxxx bezpečností, které xxxxx xxxxxxxxx xxxxxxxx x xxxxxx a xxxxxxx kybernetické xxxxxxxxxxx, xxxxxxx nad xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxx s xxxxxxxxx xxxxxxx, xxxxxxx pro xxxxx xxxx xxxxxxxx

1. xxxxxxxxx xxx zbytečného xxxxxxx xxxxxxx školení xxxxx §5 xxxx. 2 písm. x), xxxx

2. xxxxxxx xxxxxxxx xxxxxxx x kybernetické xxxxxxxxxxx,

x) xxxxxxxxx prokazatelně xxxxxxx xxxxx §5 xxxx. 2 xxxx. x),

x) zajistí xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxxxxx kybernetické bezpečnosti x xxxxxxx s xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xx xxxxxxxxxxxx xxxxxxxxx xx xxxxxx plnění xxxxxxxxxxxxxx xxxxxxxx uvedeným x přehledu xxxxxxxxxxxxxx xxxxxxxx xxxxx §3 xxxx. 2 xxxx. x),

x) xxxxxxxxx xxxxxxxx xxxxxxxxxx zajišťování xxxxxxxxxxxx xxxxxxxxxxx x za xxxxx účelem xxxxxxxxx xxxxx pověřenou kybernetickou xxxxxxxxxxx a jiné xxxxxxxxxx xxxxx x

x) xxxxxxx prioritu xxxxxx xxxxxxxxxx aktiv.

§5

Xxxxxxxxxx xxxxxxxx xxxxxx

(1) Xxxxxxx xxxxx v xxxxx xxxxxxxxxxx lidských xxxxxx

x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx, x xxxxxx xxxxx xxxxxxxxxx relevantní témata xxxxxxx v příloze č. 3 x xxxx vyhlášce,

b) xxxxxxx pravidla xxxxxxx xxxxxxxxxxxxxx xxxxxxxx vrcholného xxxxxx, xxxxxxxxx, xxxxxxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxxx pro xxxxxx xxxxx,

x) xxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx x

x) stanoví xxxxxxxx x postupy xxx xxxxxx xxxxxxx porušení xxxxxxxxxxxx politiky.

(2) Xxxxxxx xxxxx x souladu x xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx

x) xxxxxxx vrcholného xxxxxx x xxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx zajišťování kybernetické xxxxxxxxxxx, xxxxxx xxxxxxxxx x pravidelných školení,

b) xxxxxxx školení x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti x

x) xxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxxxx a xxxxx xxxxxxxx kybernetickou xxxxxxxxxxx x xxxxxxx x jejich xxxxxxxx xxxxxx.

(3) Povinná osoba xxxx přehledy x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxx xxxx xxxxx odstavce 2.

§6

Řízení kontinuity xxxxxxxx

Xxxxxxx xxxxx v xxxxx xxxxxx kontinuity xxxxxxxx

x) xxxxxxx prioritu xxxxxxxxxxx xxxxx, pořadí a xxxxxxx xxxxxx obnovy x xxxxxxxx přitom xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx podle §4 písm. f),

b) xxxxxxx povinnosti a xxxxxxxxxxx xxxxxxxxxxx osob xx xxxxxxxxxx činnosti xxx xxxxxxxxx xxxxxxxxxx xxxxxxxx x x xxxxxx podle písmene x) x

x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx, xxx, xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxx zejména xxx xxxxx xxxxxx regulované xxxxxx pro xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.

§7

Xxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx řídí přístup x aktivům x x rámci něj

a) xxxxxxx každému xxxxxxxxx x administrátorovi přistupujícímu x aktivům xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx práce a xxxxxxxxx identifikátor daného xxxx xxxx, xxxxxxx xx xxxx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxxxx xxxx jedné xxxxx,

x) xxxx identifikátory, xxxxxxxxxx xxxxx x oprávnění xxxx technických xxxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxx aktiv, popřípadě x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxxxxx osoba nemá xx xxx správě,

d) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,

x) xxxxxxx xxxxxxxxxxx odebrání xxxx změnu xxxxxxxxxxxx xxxx a xxxxxxxxx xxx xxxxx xxxxxx xxxx zařazení xxxxxxxxx xxxx xxxxxxxxxxxxxx x

x) xxxxxxx xxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx a oprávnění xxx xxxxxxxx xxxx xxxxx xxxxxxxxx vztahu, xx xxxxx základě xxxxx ke zřízení xxxxxxxx k aktivům.

(2) Xxxxxxx osoba x xxxxx zajištění fyzické xxxxxxxxxxx zamezí xxxxxxxxxxxxx xxxxxxxx ke xxxx xxxxxxx x xxxxxxxxx xxxxxxxxx, odcizení, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx nich a xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby.

§8

Xxxxxx identit x xxxxxx xxxxxxxxx

(1) Xxxxxxx xxxxx pro xxxxxx xxxxxxx, xxxxxxxxxxxx práv x xxxxxxxxx xxxxxxx xxxxxxx, xxxxx xxxxxxxxx

x) xxxxxx počtu možných xxxxxxxxxxx xxxxxx o xxxxxxxxxx,

x) xxxxxxxx xxxxxxx xxxxxxxx xx stanovené xxxx xxxxxxxxxx,

x) odolnost xxxxxxxxx a přenášených xxxxxxxxxxxxxx údajů a

d) xxxxxx přístupových práv, xxxxxxxxx pro xxxxx x zápis informací x dat a xxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx pro xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx aktiv xxxxxxx autentizační xxxxxxxxxxx, xxxxx xx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x alespoň xxxxx xxxxxxx xxxx faktorů, xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx je xxxxxxx xx aktuálně xxxxxx kontinuální xxxxxxxxxxx xxxxxxxx na xxxxxx xxxxxx xxxxxx.

(3) Xxxxxxx xxxxx xx xxxx xxxxxxxxx xxxxxxxxxxxxxx mechanismu xxxxx xxxxxxxx 2 xxxxxxx xxxxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxx.

(4) Xxxxxxx osoba xx xxxx využívání xxxxxxxxxxxxxx xxxxxxxxxx podle xxxxxxxx 3 xxxxxxx xxxxxxx založený na xxxxxxxxxxx pomocí xxxxxxxxxxxxxx xxxx x xxxxx, xxx tento xxxxxxx xxxx vynucovat xxxxxxxx

x) xxxxx hesla xxxxxxx

1. 12 xxxxx xxx xxxx uživatelů,

2. 17 xxxxx pro xxxx xxxxxxxxxxxxxx,

3. 22 znaků xxx účty technických xxxxx,

x) xxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxx xxxx xxxxx xxxx xxx xxxxxxxxx náhodným xxxxxxxx xxxxxxxx x malých x velkých písmen, xxxxxx a xxxxxxxxxxx xxxxx,

x) xxxxxxxxxxx použití xxxxxx x xxxxxxx xxxxxx, xxxxxx a xxxxxxxxxxx znaků,

d) povinné xxxxx hesla x xxxxxxxxx xxxxxxx xxxxxx xx 18 xxxxxx x

x) xxxxxxxxxxxx uživatelům x xxxxxxxxxxxxxxx

1. xxxxxx xx xxxxxxxxxx x xxxxx xxxxxxxxx hesla,

2. xxxxxx hesla xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxx, adres xxxxxxxxxxxx xxxxx, názvů xxxxxxx xxxx obdobným xxxxxxxx x

3. xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx hesel x xxxxxx xxxxxxx 12 předchozích xxxxx.

(5) Xxxxxxx xxxxx při xxxxxx identit xxxx xxxxxxx

x) xxxxxxxxx xxx xxxxxxxxx výchozích xxxxxxxxxxxxxx xxxxx x xxx xxxxxx přístupu,

b) xxxxx xxxxxxxxx hesla xxxx xxxxx sloužícího x xxxxxx přístupu po xxxx xxxxxx xxxxxxx,

x) xxxxxxxxxxx hesla nebo xxxxxxxxxxxxxx xxxxxxxxxx k xxxxxx xxxxxxxx xxxxxxxxxx xx 24 hodin xx xxxx vytvoření,

d) xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxx podezření xx xxxx xxxxxxxxxxxx x

x) xxxxxxxxxxx xxxxxxxxxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxx xxxxxxxx xxx případ xxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxx xxxx xxxxx x xxxxxxxx xxxxxxx xxxxxxxxx.

§9

Xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

(1) Xxxxxxx osoba při xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx zajistí

a) xxxxxxx x kontrolu přenášených xxx xx xxxxxxxxx xxxxxxxxxxx xxxx, xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx,

x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx před škodlivým xxxxx xx xxxxxxxxxxx xxxxxxxx, zejména na

1. xxxxxxxxx x

2. koncových xxxxxxxxx,

x) řízení xxxxxxxxxxxxx xxxxxxxxx xxxxxx, xxxxxxx x xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx detekovaných xxxxxxxxxxxxxx bezpečnostních událostech x xxxxxx varování xxxxxxxxxxxx xxxx a

e) xxxxxxxxxxx x bezodkladnou xxxxxxxxxxx nástrojů pro xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx nástrojů x xxxxxx xxxxxxxx.

(2) Xxxxxxx xxxxx xx účelem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx

x) xxxxxxxxxxxx x relevantní provozní xxxxxxxx detekované podle xxxxxxxx 1 x xxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx technických xxxxx na základě xxxxx bezpečnostních potřeb x

x) u xxxxxxxx xxxxx xxxxxxx x) xxxxxxxxxxx xxxxxxxxx o xxxxxxxx:

1. xxxxx x xxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,

2. xxx xxxxxxxx,

3. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiva x xxxxxxxxxxxx účtu xxxxxxx x

4. úspěšnost xxxx xxxxxxxxxxx xxxxxxxx.

(3) Xxxxxxx xxxxx xxxxxxxx záznamy xxxxxxxxxxxxxx a relevantních xxxxxxxxxx událostí xx xxxx, xxxxxx xx xxxxxxx na xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxx.

§10

Řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx

Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů

a) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx pověřené xxxxxxxxxxxxx xxxxxxxxxxx a další xxxxxxxxxxx xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,

x) xxxxxxx metodiku xxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x souladu s §14,

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x souladu s xxxxxxxxx podle xxxxxxx x),

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 zákona,

f) xxxxxxx vytvoření xxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x významným xxxxxxx xxxxx §16 zákona.

§11

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Xxxxxxx xxxxx pro ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx, x xx xxxxxxx xxxxxx síťového xxxxxxxxx,

x) xxxxxxx xxxxxxxxxx komunikační xxxx, xxxxxx xxxxxxxx xxxxxxxxxx x zálohovacího xxxxxxxxx,

x) xxxxx xxxxxxx x xxxxxxxx xxxxxxxxxx xx perimetru xxxxxxxxxxx xxxx na xxxx xxxxxxxx nutnou xxx xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx,

x) užívá xxxxxxxx odolné x xxxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxx sítě xxxx xxxxxxxx správy xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxx

1. xxxxx xxxx xxxxxxxxx xx nezbytně xxxxx,

2. xxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx správy, x

3. xx přehled x uživatelích x xxxxxxxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxx.

§12

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx osoba xxx zajišťování xxxxxxxxx xxxxxxxxxxx regulované xxxxxx

x) xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx bezpečnostních aktualizací xxxxxxxx pro technická xxxxxx,

x) x technických xxxxx, xxxxx xxx xxxxxx xxxxxxxx, xxxxxxxxxxx xxxx jinou xxxxxx xxxxxxxxxxx

1. xxxx xxxxxx xxxxxxxx,

2. zavede xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxx xxxxx xxxxxx xxxxxxxxxxx, x

3. xxxxx xxxxxx xxxxxxxxxx x xxxxxxxxxxx síti xx xxxxxxxx nutnou,

c) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx xx základě xxxxxxxxxx xxxxxxxx.

§13

Kryptografické algoritmy

(1) Povinná xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx

x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxx a

c) xxxxxxxxxx doporučení a xxxxxxxx v xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx Xxxxxxxx xxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx.

(2) Povinná osoba xxxxxxxxx bezpečnou

a) xxxxxxxx, xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxx, x to xxxxxx e-mailové komunikace, x

x) nouzovou komunikaci x xxxxx organizace.

XXXX XXXXX

XXXXXXXXX XXXXXXXXXXX XXXXXX XXXXXXXXXXXXXX XXXXXXXXXXXXXX XXXXXXXXX

§14

(1) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxx regulované xxxxxx xxxxxxx

x) xxxxxxx míru xxxx xxxxxxxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, x xxxxx důsledku xxxxx xxxx xxxxxxx xxxxx xxxx xxxxxx osob xxxx schopnost povinné xxxxx dostát svým xxxxxxxx,

x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xxxxxxxxxxxx xxxxxxx

1. provozní xxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxx x xxxx xxxxxxxxx xxxxxxxxxx regulovanou xxxxxx,

2. množství uživatelů xxxxxxxxxx služby x xxxxxx xxxxxx x xxxx zasažených kybernetickým xxxxxxxxxxxxx xxxxxxxxxx,

3. časové, xxxxxx a xxxxxxxxx xxxxxx, které xxxx xxxxxxxx x xxxxxx xxxxxxxxxxx zasažené regulované xxxxxx,

4. typ a xxxxxxxx aktiv dotčených xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx,

5. xxxxxxxxx xxxxxxxxx x xxx zasažených xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx x xxx xxxxxxxx xxxxxxx xxxxx xxxx xxxxxx xxxxxx xxxx osobě, x

6. xxxxxx příčinu kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xx-xx xxxxxxx osobě xxxxx, xxx se xxxxx x xxxxxxx xxxxx, xxxxxxxxxx xxxxxx nebo xxxxxxx jednání.

(2) Xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx poskytování xxxxxxxxxx xxxxxx je xxxxxxxxx xx xxxxxxxx, xxxxx

x) xxxxxxxx povinnou osobou xxxxxxxxxx xxxxxxx xxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx podle xxxxxxxx 1 xxxx. x) x xxxxxxxx

x) xx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx xxxxxxxx 1 xxxx. x) xxxxxxxxx xxxx xxxxxxxx.

XXXX ČTVRTÁ

ÚČINNOST

§15

Účinnost

Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. listopadu 2025.
&xxxx;

Xxxxxxx:

Xxx. Xxxxx v. x.

Xxxxxxx x. 1

Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxxx xxxxxxx xxxxxxxxxxx xxxxxxx bezpečnostních xxxxxxxx xx xxxxx xxxxxxx (Xxx. č. 1), která má xxxxxxx osobě xxxxxxx xxxx xxxxxxx x xxxxxxxxxxx účinnosti zavedených xxxxxxxxxxxxxx xxxxxxxx za xxxxxxxxx období.

Tab. x. 1: Přehled xxxxxxxxxxxxxx xxxxxxxx

Přehled xxxxxxxxxxxxxx opatření xx xxxxxx ze šesti xxxxxxx, xxx specifika xxxxxxxxxxxx xxxxxxx x xxxxxxxx jejich xxxxxxxx xxxx uvedeny x xxxxxxxxx níže (Xxx. x. 2 xx 7). X Xxxxxxx x. 3 „Xxxx xxxxxxxxxxxxxx xxxxxxxx“ xxxx xxxxx xxxxxxxx xxxxxxx „Xxxxxxxxx xxxxxxx“.

Xxx. x. 2: Bezpečnostní opatření xxxxx xxxxxxxx

Xxx. x. 3: Xxxx xxxxxxxxxxxxxx opatření

Xxx. x. 4: Popis xxxxxxxxxxxxxx opatření

Tab. x. 5: Xxxxxx zavedení xxxxxxxxxxxxxx opatření

Tab. x. 6: Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxx. x. 7: Xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx

Příloha x. 2

Xxxxxxxxx xx xxxxxxx ujednání x dodavateli

Povinná xxxxx xxxxxxx pouze xxxxxx xxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za zavedení x kontrolu xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxxx xxxxx xxxxx xxxxxxxx xxx takové xxxxxxx, xxxxx budou xxxxxxxxxxx xxxxxxxxxxx relevantní xxxxxxxxxx:

x) xxxxxxxxxx o xxxxxxxxxxx informací x xxxxxxx xxxxxxxxxx (xxxxxx xxxxxxxxxx x mlčenlivosti), xxxxxxxxx x xxxxxxxxxxx,

x) xxxxxxxxxx o xxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx,

x) xxxxxxxxxx x xxxxxxxx xxxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxx xxx. xxxx strategii, podmínky xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxx povinností,

f) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,

x) ustanovení x xxxxxxxxx programového xxxx, xxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxx,

x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx (xxxx xxxxxxxxxxxx xxx dodavatelský vztah xxxxxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxx) povinnou xxxxxx,

x) xxxxxxxxxx x řízení xxxx,

x) ustanovení x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech xxxxxxxxxxxxx x xxxxxxx xxxxxxx,

x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx,

x) náležitosti xxxxxxx x úrovni xxxxxx (XXX) a xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x dodržování xxxxxxxx xxxxxxxxxx xxxxxx.

Xxxxxxx xxxxx xxxx požadovat při xxxxxxxxx xxxxx x xxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxx plynoucí xx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx souvisejících x regulovanou xxxxxxx, xxxxx nejsou xxxxxxx x xxxx xxxxxxx.

Příloha č. 3

Xxxxxx xxx xxxxxx bezpečnostního xxxxxxxx

x) Xxxxxxxx xxxxxxxxxxx xxxxxxxx.

x) Firewall, xxxxxxxxxx xxxxxxx x xxxxxx xxxxxxx.

x) Škodlivé xxxxxxxx x jejich xxxxxxx.

x) Xxxxxx xxxxxxxxx programů x xxxxxxxx.

x) Aktualizace xxxxxxxx.

x) Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.

x) Xxxxxx spustitelných xxxxxxx.

x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx účtů.

i) Xxxxxxxxx, xxxxxx a xxxxxx xxxxx.

x) Xxxxxxxxxxxxx autentizace.

k) Xxxxxxxx xxxxxxxxxx inženýrství.

l) Xx-xxxx xxxxxxxx, xxxxxxxxx xxxxx x xxxx xxxxxxxxxxxx.

x) Zásady xxxxx x xxxxxxxxxx síti.

n) Xxxxxxxxx vzdáleného připojení (XXX).

x) Bezpečná xxxxxxxxxxxx xxxxxxxxxx.

x) Xxxxxxxxxx webových xxxxxxx.

x) Xxxxxxxxxx, xxxxxxxx x xxxxxxxxx dat.

r) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.

x) Xxxxxxxxx služeb cloud xxxxxxxxxx.

x) Pravidla x xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx xxxxxxx technických xxxxx a xxxxxxxxx xx jakékoliv zranitelnosti.

u) Xxxxxxxx xxxxxx xxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx incident.

v) Xxxxxx bezpečného používání xxxxxxxxxx zařízení xxx xxxxxxxx xxxxx.

x) Zásady xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx (xxx. XXXX).

x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxx x kybernetické xxxxxxxxxxx.

Informace

Právní xxxxxxx x. 410/2025 Xx. nabyl xxxxxxxxx dnem 1.11.2025.

Ke xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.

Xxxxx xxxxxxxxxxxx xxxxxxxx norem jiných xxxxxxxx xxxxxxxx x xxxxxxxx xxxx aktualizováno, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2022/2555 xx xxx 14. xxxxxxxx 2022 x opatřeních x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x Unii x x změně xxxxxxxx (XX) x. 910/2014 x xxxxxxxx (XX) 20/1972 a x zrušení xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).