Právní předpis byl sestaven k datu 01.11.2025.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
410/2025 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
Systém zajišťování minimální kybernetické bezpečnosti §3
Požadavky na vrcholné vedení §4
Bezpečnost lidských zdrojů §5
Řízení kontinuity činností §6
Řízení přístupu §7
Řízení identit a jejich oprávnění §8
Detekce a zaznamenávání kybernetických bezpečnostních událostí §9
Řešení kybernetických bezpečnostních incidentů §10
Bezpečnost komunikačních sítí §11
Aplikační bezpečnost §12
Kryptografické algoritmy §13
ČÁST TŘETÍ - STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU §14
ČÁST ČTVRTÁ - ÚČINNOST §15
Příloha č. 1 - Přehled bezpečnostních opatření
Příloha č. 2 - Požadavky na smluvní ujednání s dodavateli
Příloha č. 3 - Témata pro rozvoj bezpečnostního povědomí
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxxxxx regulované xxxxxx x xxxxxx nižších xxxxxxxxxx (xxxx xxx „xxxxxxx osoba“) xxxxxxxx
x) xxxxx, xxxxxx zavádění x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) stanovení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
§2
Xxxxxxxx pojmů
Pro xxxxx xxxx xxxxxxxx se xxxxxx
x) uživatelem xxxxxxx xxxx právnická xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx využívá xxxxxx,
x) xxxxxxxxxxxxxx uživatelem xxxxxxxx nebo xxxx xxxxx, jejíž činnost xx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx xxxxx zajišťující xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx a xxxxxxxx, xxxxx určují xxxxxx zajištění xxxxxxx xxxxx.
XXXX XXXXX
XXXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxxxxxxx minimální xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxx x xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxx odstavců 2 xx 6, §4 xx 6 a §10.
(2) Xxxxxxx osoba
a) xxxxxxx přehled xxxxxxxxxxxxxx xxxxxxxx podle přílohy č. 1 x xxxx xxxxxxxx, xxxxx xxxxxxxx přehled xxxxx xxxxxxxxxxxxxx opatření, xxxxx
1. xxxx xxxxxxxx xxxxxx zavedena, xxxxxx xxxxxx xxxxxx xxxxxxxx,
2. xxxxx xxxxxxxx xxxxxx xxxxxxxx, xxxxxx xxxxxxx xxx xxxxxx xxxxxxxx, xxxxxxxx jejich xxxxxxxx x xxxxxx osoby xxxxxxxxx za jejich xxxxxxxx, x
3. xxxxxx xxxxxxxx, xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx,
x) xxxxxxx x dokumentuje xxxxxxx xxxxxx ročně aktualizaci xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx účinnosti xxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření a xxxxxx xxxxxxxxxxx xxxxxxx xx xxxx 4 xxx.
(3) Xxxxxxx xxxxx x xxxxx řízení xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx dokumentaci x xxxxxxxxxxxxx xxxxxxxxx požadovaným xxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx x
x) vynucuje xxxxxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx v xxxxxxxxxxxx politice x xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx x xxxxx xxxxxx aktiv stanoví xxxxxxxx pro xxxxxxxxx x manipulaci technických xxxxx.
(5) Xxxxxxx xxxxx xxx xxxxxxxxx smlouvy x dodavatelem xx xxxxxxxxxxx xxxxxxx podle §12 zákona xxxxxxxx xxxxxx x zranitelnosti xxxxxxx x tímto xxxxxxxxxxx, celkovou xxxxxxx xxxxxxxx a xxxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxxxxxx xxxxxx x xx xxxxxxx xxxx xxxxxxx, xxx xxxxxxx x xxxxx dodavatelem obsahovaly xxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxx x příloze č. 2 k xxxx xxxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxx aktiv xxxxxxx xxxxxxxxxxxx požadavky x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx jejich xxxxxxxxxx, xxxxxxx xxxxxxx x požadavků xx xxxxxxxxxxxx opatření xxxxx xxxx xxxxxxxx.
§4
Xxxxxxxxx xx vrcholné xxxxxx
Xxxxxxxxxx orgán xxxxxxx xxxxx xxxx xxxx xxxxx xxxxx skupina xxxx x obdobném xxxxxxx xxxxxxxxx povinné xxxxx (xxxx xxx „xxxxxxxx vedení“) x xxxxxxx xx zajišťování xxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xxxx osobu xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxx pravomoci xxxxxxxx x řízení x xxxxxxx kybernetické xxxxxxxxxxx, xxxxxxx nad xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx s xxxxxxxxx xxxxxxx, xxxxxxx pro xxxxx xxxx xxxxxxxx
1. xxxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxx §5 xxxx. 2 xxxx. x), xxxx
2. xxxxxxx odbornou xxxxxxx v xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxx podle §5 xxxx. 2 xxxx. x),
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x souladu x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xx xxxxxxxxxxxx xxxxxxxxx xx stavem xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §3 xxxx. 2 xxxx. x),
x) prosazuje neustálé xxxxxxxxxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x za xxxxx účelem podporuje xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx x xxxx xxxxxxxxxx xxxxx a
f) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx aktiv.
§5
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx, x jejímž xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxx rozvoje xxxxxxxxxxxxxx povědomí xxxxxxxxxx xxxxxx, xxxxxxxxx, administrátorů x xxxxx xxxxxxxx xxxxxxxxxxxxx bezpečností, xxxxxx xxxxxxxx xxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany uživatelů, xxxxxxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxx bezpečností x
x) xxxxxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx x souladu x xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí
a) xxxxxxx xxxxxxxxxx xxxxxx x xxxx povinnostech x x xxxxxxxxxxxx xxxxxxxx, zejména v xxxxxxx zajišťování xxxxxxxxxxxx xxxxxxxxxxx, formou vstupních x xxxxxxxxxxxx školení,
b) xxxxxxx školení x xxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx v xxxxxxx kybernetické xxxxxxxxxxx x
x) xxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxxx.
(3) Povinná xxxxx xxxx xxxxxxxx o xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxxx osob xxxxx odstavce 2.
§6
Xxxxxx xxxxxxxxxx činností
Povinná xxxxx x xxxxx xxxxxx xxxxxxxxxx činností
a) xxxxxxx prioritu technických xxxxx, xxxxxx x xxxxxxx xxxxxx xxxxxx x zohlední xxxxxx xxxxxxxxxx prioritu xxxxxxxxxxxx xxxxxxxxxx xxxxxx podle §4 xxxx. f),
b) xxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxx xxxx xx xxxxxxxxxx činnosti xxx xxxxxxxxx kontinuity xxxxxxxx x k xxxxxx xxxxx písmene x) x
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx, xxx, xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxx xxxxx xxxxxx xxxxxxxxxx xxxxxx pro případ xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§7
Řízení xxxxxxxx
(1) Xxxxxxx xxxxx řídí přístup x aktivům x x xxxxx xxx
x) xxxxxxx xxxxxxx uživateli x xxxxxxxxxxxxxxxx přistupujícímu x xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx k výkonu xxxxxx práce x xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxx, přičemž xx xxxx odděluje xxxxxxxxxxx a xxxxxxxxxxxxxxxx xxxx xxxxx osoby,
b) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxx xxxxxxxxxxx aktiv,
c) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx, popřípadě x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx, která xxxxxxx xxxxx xxxx xx xxx správě,
d) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
x) xxxxxxx bezodkladné odebrání xxxx xxxxx xxxxxxxxxxxx xxxx x oprávnění xxx změně pozice xxxx xxxxxxxx xxxxxxxxx xxxx administrátorů a
f) xxxxxxx xxxxxxxxxx účtu x xxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxx xxxxxxxx nebo xxxxx xxxxxxxxx xxxxxx, xx xxxxx základě xxxxx ke xxxxxxx xxxxxxxx k xxxxxxx.
(2) Xxxxxxx osoba v xxxxx zajištění xxxxxxx xxxxxxxxxxx zamezí neoprávněnému xxxxxxxx ke xxxx xxxxxxx x xxxxxxxxx xxxxxxxxx, odcizení, xxxxxxxx xxxxx, neoprávněným xxxxxxx xx nich a xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx.
§8
Xxxxxx xxxxxxx a xxxxxx xxxxxxxxx
(1) Povinná xxxxx xxx řízení xxxxxxx, xxxxxxxxxxxx práv x xxxxxxxxx používá xxxxxxx, xxxxx xxxxxxxxx
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxxx,
x) xxxxxxxx ověření xxxxxxxx po stanovené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx x
x) xxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx xxx xxxxx x xxxxx xxxxxxxxx x dat a xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxxx autentizační xxxxxxxxxxx, xxxxx xx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x alespoň xxxxx xxxxxxx typy xxxxxxx, xxxx xxxxxxx autentizační xxxxxxxxxxx, který xx xxxxxxx xx aktuálně xxxxxx xxxxxxxxxxx autentizaci xxxxxxxx na modelu xxxxxx xxxxxx.
(3) Povinná xxxxx xx xxxx xxxxxxxxx autentizačního mechanismu xxxxx odstavce 2 xxxxxxx autentizaci xxxxxx xxxxxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xx xxxx využívání xxxxxxxxxxxxxx mechanismu xxxxx xxxxxxxx 3 xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxxxx identifikátoru xxxx x xxxxx, xxx xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx alespoň
1. 12 xxxxx xxx xxxx uživatelů,
2. 17 xxxxx xxx xxxx xxxxxxxxxxxxxx,
3. 22 xxxxx xxx xxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, přičemž xxxx xxxxx xxxx být xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx z malých x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) neomezující použití xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxx x xxxxxxxxx alespoň xxxxxx xx 18 měsíců x
x) xxxxxxxxxxxx uživatelům x xxxxxxxxxxxxxxx
1. zvolit xx xxxxxxxxxx x xxxxx používaná hesla,
2. xxxxxx hesla xx xxxxxxx xxxxxxxxxxxx opakujících xx znaků, xxxxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxxxx použití xxxxx používaných xxxxx x pamětí alespoň 12 xxxxxxxxxxx hesel.
(5) Xxxxxxx xxxxx xxx xxxxxx identit dále xxxxxxx
x) xxxxxxxxx xxx xxxxxxxxx výchozích xxxxxxxxxxxxxx xxxxx x při xxxxxx přístupu,
b) xxxxx xxxxxxxxx xxxxx xxxx xxxxx xxxxxxxxxx x xxxxxx xxxxxxxx po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xx 24 xxxxx xx xxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx v xxxxxxx xxxxxxxxx podezření xx xxxx xxxxxxxxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxxxxxxxxx účtů xxxxxxxxxxx aktiv xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx xx kybernetickém xxxxxxxxxxxxx incidentu x xxxxxxx tyto účty xxxxx x xxxxxxxx xxxxxxx případech.
§9
Xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxxxx xxxxx při xxxxxxx kybernetických bezpečnostních xxxxxxxx xxxxxxx
x) ověření x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx xxxx, včetně xxxxxxxxx xxxxxxxxx xxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx před xxxxxxxxx xxxxx na xxxxxxxxxxx xxxxxxxx, xxxxxxx xx
1. xxxxxxxxx a
2. xxxxxxxxx xxxxxxxxx,
x) xxxxxx automatického xxxxxxxxx xxxxxx, xxxxxxx x vyměnitelných xxxxxxxx x xxxxxxxx nosičů,
d) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x relevantních xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech x xxxxxx varování xxxxxxxxxxxx xxxx x
x) xxxxxxxxxxx x bezodkladnou xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxxxxxx nástrojů a xxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx xx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxx
x) xxxxxxxxxxxx x xxxxxxxxxx provozní xxxxxxxx xxxxxxxxxx podle xxxxxxxx 1 a xxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx technických xxxxx xx základě xxxxx xxxxxxxxxxxxxx xxxxxx x
x) x xxxxxxxx xxxxx xxxxxxx x) xxxxxxxxxxx informace x xxxxxxxx:
1. xxxxx a xxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx aktiva a xxxxxxxxxxxx xxxx xxxxxxx x
4. xxxxxxxxx nebo xxxxxxxxxxx činnosti.
(3) Xxxxxxx xxxxx xxxxxxxx záznamy xxxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxx, xxxxxx si xxxxxxx na xxxxxxx xxxxx bezpečnostních potřeb.
§10
Xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) xxxxxxx, xx xxxxxxxxx, administrátoři, xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx a xxxxx xxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx s §14,
x) xxxxxxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x souladu x xxxxxxxxx xxxxx xxxxxxx x),
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 zákona,
f) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xxxxxxxxx dopadem xxxxx §16 zákona.
§11
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx pro ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx, x xx zejména xxxxxx síťového xxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx, včetně xxxxxxxx xxxxxxxxxx x zálohovacího xxxxxxxxx,
x) xxxxx xxxxxxx x xxxxxxxx xxxxxxxxxx xx xxxxxxxxx komunikační xxxx na dobu xxxxxxxx nutnou xxx xxxxx xxxxxxxxx poskytování xxxxxxxxxx xxxxxx,
x) xxxxx xxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) x xxxxxxx užití xxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxx
1. xxxxx xxxx xxxxxxxxx xx nezbytně xxxxx,
2. xxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxx a integritu xxxxxx vzdálených xxxxxxxxx x xxxxxxxx xxxxxx, x
3. xx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx tato xxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxx xxxxxxx.
§12
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx zajišťování xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx,
x) u xxxxxxxxxxx xxxxx, xxxxx xxx xxxxxx výrobcem, dodavatelem xxxx xxxxx xxxxxx xxxxxxxxxxx
1. vede xxxxxx xxxxxxxx,
2. xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx zaručí xxxxxxxx xxxx xxxxx xxxxxx xxxxxxxxxxx, x
3. xxxxx jejich komunikaci x xxxxxxxxxxx xxxx xx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxxxx skenování xxxxxxxxxxxxx relevantních xxxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxx zjištěných xxxxxxxx.
§13
Xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxx komunikace
a) xxxxxxx aktuálně odolné xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxxxxx xxxxxxxxx a
c) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx x oblasti xxxxxxxxxxxxxxxx xxxxxxxxx vydané Xxxxxxxx xxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxxxx xxxxxxxxx
x) xxxxxxxx, xxxxxxxxxxxxx a xxxxxxxx xxxxxxxxxx, x to xxxxxx x-xxxxxxx xxxxxxxxxx, x
x) nouzovou xxxxxxxxxx x rámci organizace.
XXXX XXXXX
XXXXXXXXX XXXXXXXXXXX XXXXXX XXXXXXXXXXXXXX XXXXXXXXXXXXXX XXXXXXXXX
§14
(1) Xxxxxxx xxxxx xxx xxxxxxx vyhodnocení xxxxxxxxxxx dopadu kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx služby xxxxxxx
x) únosnou xxxx xxxx xxxxxxxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, v xxxxx xxxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxx xxxxxx xxxx xxxx xxxxxxxxx xxxxxxx xxxxx xxxxxx xxxx xxxxxxxx,
x) oblasti xxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx zejména
1. xxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxx x xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx uživatelů xxxxxxxxxx služby a xxxxxx xxxxxx a xxxx xxxxxxxxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx,
3. xxxxxx, xxxxxx x technické xxxxxx, xxxxx xxxx xxxxxxxx x obnově xxxxxxxxxxx xxxxxxxx regulované xxxxxx,
4. xxx x xxxxxxxx xxxxx dotčených xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx,
5. xxxxxxxxx informací a xxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentem x xxxx, xxxxx může xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx a xxx xxxxxxxx xxxxxxx osobě xxxx xxxxxx xxxxxx xxxx xxxxx, x
6. xxxxxx příčinu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, je-li xxxxxxx xxxxx xxxxx, xxx se jedná x xxxxxxx xxxxx, xxxxxxxxxx závadu xxxx xxxxxxx jednání.
(2) Xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxxxxxxxx regulované xxxxxx xx považován xx xxxxxxxx, pokud
a) xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx únosnou míru xxxx způsobenou kybernetickým xxxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) x současně
b) xx oblast xxx xxxxxxxxx významnosti xxxxxx xxxxx xxxxxxxx 1 xxxx. x) posouzena xxxx významná.
XXXX ČTVRTÁ
ÚČINNOST
§15
Účinnost
Tato xxxxxxxx xxxxxx účinnosti xxxx 1. xxxxxxxxx 2025.
Ředitel:
Ing. Xxxxx v. r.
Příloha č. 1
Xxxxxxx xxxxxxxxxxxxxx opatření
Tato xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx ve formě xxxxxxx (Tab. x. 1), která xx xxxxxxx osobě xxxxxxx xxxx xxxxxxx k xxxxxxxxxxx účinnosti xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx za xxxxxxxxx období.
Tab. č. 1: Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|||||
|
Xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx |
Xxxx xxxxxxxxxxxxxx xxxxxxxx |
Xxxxx xxxxxxxxxxxxxx xxxxxxxx |
Xxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx |
Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx |
Xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx |
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xx xxxxx xxxxxxx, xxx xxxxxxxxx xxxxxxxxxxxx sloupců x xxxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx x xxxxxxxxx xxxx (Xxx. x. 2 xx 7). X Xxxxxxx x. 3 „Stav xxxxxxxxxxxxxx xxxxxxxx“ xxxx xxxxx xxxxxxxx xxxxxxx „Xxxxxxxxx hodnoty“.
Tab. x. 2: Xxxxxxxxxxxx xxxxxxxx xxxxx vyhlášky
|
Název sloupce x Tab. x. 1 |
Xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx. |
|
Xxxxx sloupce |
Příslušné xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx vyhláškou xxxxxxx například xxxxxx xxxxxx na xxxxxxx xxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxx |
Xxxxxxx xxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx ustanovení xxxxxxxx xxxxxxxx, xxxxxxx xx xxxxxxxxxx, xxx xxxx jednotlivé části xxxxxxx v xxxxxxx xxxxxxxxxx. |
Xxx. x. 3: Xxxx xxxxxxxxxxxxxx opatření
|
Název xxxxxxx x Tab. x. 1 |
Xxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx sloupce |
Popis stavu xxxxxxxxxxxxxx opatření ve xxxxxx, xxx xx xxxxxxxxx vyhodnocení xxxxxxxxx xxxxxxxxxxx kybernetické xxxxxxxxxxx. |
|
Xxxxx xxxxxx |
Xxxxx sloupec bude xxxxxxxxx xxxxx xxxxx x přípustných xxxxxx „Xxxxxxxx“, „X procesu“ xxxx „Xxxxxxxxxx“. Xxxxxxx „Zavedeno“ xxx zapsat x xxxxxxx, kdy xxxx xxxxxxxxxxxx opatření v xxxxxxxxxx xxxxxx zavedeno x xxxxxxxxxxx xxxxxxx. |
Tab. x. 4: Xxxxx xxxxxxxxxxxxxx opatření
|
Název xxxxxxx x Tab. x. 1 |
Xxxxx bezpečnostního xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx v xxxxxxxxxx xx stav, x xxxxx xx xxxxxxxx xxxxxxx, a x xxxxxxxxxxxx x xxxxxxxxx povinné xxxxx. |
|
Xxxxx xxxxxx |
Xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx měl xxxxxxx reflektovat xxxxxxx x xxxxxxx osoby (xxxxxxxxx podle názvů xxxxxxxxxxx částí xxxxxxxxxxxx xxxxxxxxxxx) x stav xxxxxxxxxxxxxx xxxxxxxx xxxxx Xxx. x. 2. X xxxxxxx bezpečnostních opatření, xxxxx jsou xxxxxxxx xxxx „V xxxxxxx“ xx nutné xxxxxx xxxxxxxxxx xxxx, případně xxxxx xxxxx na xxxxxxxxxxx, xxxxx xxxxxx xxxxxxxx dokládá. Pokud je xxxxxxxxxxxx opatření xxxxxxxx xxxx „Nezavedeno“, je xxxxx xxxxxxxxx, proč xxxxxxxx xxxxxx. |
Xxx. x. 5: Termín xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Tab. x. 1 |
Xxxxxx xxxxxxxx bezpečnostního xxxxxxxx. |
|
Xxxxx sloupce |
Plánovaný termín xxxxxxxx xxxxxxxxxxxxxx opatření x plném xxxxxxx. |
|
Xxxxx xxxxxx |
Xxxx xxxxxxx xxxx xxxxxxxx pouze x xxxxxxx, xx-xx stav xxxxxxxxxxxxxx opatření xxxxxxx xxxx „V xxxxxxx“ xxxx „Xxxxxxxxxx“, xxx xxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx nebo xxxxxx xx xxxxxxx xxxxxxxxxxx. Měla by xxx xxxxxxx xxx xxxxxxxxxx datem xxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxx roku. |
Tab. x. 6: Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx sloupce x Xxx. č. 1 |
Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxx xx xxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx. |
|
Xxxxx hodnot |
Hodnotu „nízká“ xxxx „1“ xx xxxxx xxxxxx x xxxxxxx, kdy xx xxxxxxx xxxxxxxx bezpečnostního xxxxxxxx xxxxxx dopad xx xxxxxxxxxxx xxxxxxxxxx xxxxxx nebo xxxx xxxxxxxxxxxx opatření xxxx xxx xxxxxxxxxxx regulované xxxxxx relevantní. Hodnotu „střední“ xxxx „2“ xx xxxxx xxxxxx x xxxxxxx, xxx by xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx měla minimální x xxxxxxxxxx xxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx. |
Xxx. č. 7: Xxxxxxxxxxx za bezpečnostní xxxxxxxx
|
Xxxxx xxxxxxx x Xxx. č. 1 |
Xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxx pověřená xx xxxxxxxx xxxxxx bezpečnostního xxxxxxxx. |
|
Xxxxx xxxxxx |
Xx nutné xxxxxxxxxx xxxxx xxx, xxx xxxx xxxxx xxxxxxxxxxx určit osobu xxxxxxxxx xx zavedení xxxxxxxxxxxxxx opatření. X xxxxxxx xxxxxxx xx xxxxx uvést xxxx xxxxxxxxx organizační xxxxxx, xx xxx daná xxxxx xxxxx. |
Xxxxxxx x. 2
Požadavky xx xxxxxxx xxxxxxxx x xxxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxx xxxxxx xxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx a xxxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
Xxxxxxx osoby xxxxx xxxxxxxx xxx xxxxxx xxxxxxx, xxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx informací z xxxxxxx xxxxxxxxxx (xxxxxx xxxxxxxxxx x mlčenlivosti), xxxxxxxxx x xxxxxxxxxxx,
x) xxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxx s xxxxxxx smlouvy,
c) xxxxxxxxxx x xxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxx. xxxx xxxxxxxxx, podmínky xxxxxxxx smluvního vztahu x pohledu xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx za porušení xxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) xxxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxx x programových xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx ustanovení o xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx (xxxx odsouhlasení xxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx bezpečnostních xxxxxxx) xxxxxxxx xxxxxx,
x) xxxxxxxxxx o řízení xxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxx řízení kontinuity xxxxxxxx,
x) xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx (XXX) x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx.
Xxxxxxx osoba xxxx požadovat xxx xxxxxxxxx smluv x xxxxxxxxxx x další xxxxxxxx zohledňující xxxxxxxxxx xxxxxxxxx plynoucí ze xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx, xxxxx xxxxxx uvedena x této xxxxxxx.
Xxxxxxx x. 3
Témata xxx rozvoj bezpečnostního xxxxxxxx
x) Techniky xxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx, xxxxxxxxxx xxxxxxx x xxxxxx xxxxxxx.
x) Xxxxxxxx programy x xxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxx x aplikací.
e) Xxxxxxxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
x) Rizika xxxxxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx účtů.
i) Xxxxxxxxx, xxxxxx a správa xxxxx.
x) Vícefaktorová xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx inženýrství.
l) Xx-xxxx identita, xxxxxxxxx xxxxx x xxxx xxxxxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxx.
x) Xxxxxxxxx xxxxxxxxxx xxxxxxxxx (XXX).
x) Xxxxxxxx elektronická xxxxxxxxxx.
x) Bezpečnost webových xxxxxxx.
x) Xxxxxxxxxx, ukládání x šifrování xxx.
x) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
x) Xxxxxxxxx xxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxx xxxxxxxxxxx chování technických xxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxx xx kybernetickou xxxxxxxxxxxx událost nebo xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx (tzv. BYOD).
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx v kybernetické xxxxxxxxxxx.
Xxxxxxxxx
Xxxxxx xxxxxxx č. 410/2025 Sb. nabyl xxxxxxxxx xxxx 1.11.2025.
Xx xxx uzávěrky xxxxxx xxxxxxx nebyl xxxxx xx doplňován.
Znění xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx předpisů v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2022/2555 xx xxx 14. xxxxxxxx 2022 o xxxxxxxxxx x zajištění xxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx v Xxxx x x změně xxxxxxxx (EU) x. 910/2014 x směrnice (XX) 20/1972 x x xxxxxxx směrnice (XX) 2016/1148 (směrnice XXX 2).