Plné znění - 410/2025 Sb.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností

410/2025 Sb.
 

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

Systém zajišťování minimální kybernetické bezpečnosti §3

Požadavky na vrcholné vedení §4

Bezpečnost lidských zdrojů §5

Řízení kontinuity činností §6

Řízení přístupu §7

Řízení identit a jejich oprávnění §8

Detekce a zaznamenávání kybernetických bezpečnostních událostí §9

Řešení kybernetických bezpečnostních incidentů §10

Bezpečnost komunikačních sítí §11

Aplikační bezpečnost §12

Kryptografické algoritmy §13

ČÁST TŘETÍ - STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU §14

ČÁST ČTVRTÁ - ÚČINNOST §15

Příloha č. 1 - Přehled bezpečnostních opatření

Příloha č. 2 - Požadavky na smluvní ujednání s dodavateli

Příloha č. 3 - Témata pro rozvoj bezpečnostního povědomí

INFORMACE

410

VYHLÁŠKA

ze xxx 26. xxxx 2025

x xxxxxxxxxxxxxx xxxxxxxxxx poskytovatele xxxxxxxxxx xxxxxx v xxxxxx xxxxxxx povinností
 

Národní xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §13 xxxx. 3 x §15 xxxx. 3 zákona x. 264/2025 Sb., x xxxxxxxxxxxx xxxxxxxxxxx, (xxxx jen „zákon“):

ČÁST PRVNÍ

ÚVODNÍ XXXXXXXXXX

§1

Xxxxxxx xxxxxx

Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx předpis Evropské xxxx¹⁾ x pro xxxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxxxxxx (dále jen „xxxxxxx osoba“) xxxxxxxx

x) xxxxx, způsob zavádění x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

§2

Xxxxxxxx pojmů

Pro účely xxxx vyhlášky se xxxxxx

x) uživatelem fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx veřejné xxxx, xxxxx využívá xxxxxx,

x) xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx, jejíž xxxxxxx xx technickém aktivu xxxx mít xxxxxxxx xxxxx xx xxxxxxxxxx xxxxxxxxxx xxxxxx,

x) administrátorem xxxxxxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx a xxxxxxxx, xxxxx určují xxxxxx zajištění ochrany xxxxx.

ČÁST DRUHÁ

BEZPEČNOSTNÍ OPATŘENÍ

§3

Systém xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx osoba xxx zajišťování kybernetické xxxxxxxxxxx

x) xxxxxx x xxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx přiměřená xxxxxxxxxxxxx xxxxxxxx, x

x) xxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxx opatření xxxxx xxxxxxxx 2 xx 6, §4 xx 6 a §10.

(2) Xxxxxxx xxxxx

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle přílohy č. 1 x xxxx vyhlášce, xxxxx obsahuje xxxxxxx xxxxx xxxxxxxxxxxxxx opatření, xxxxx

1. xxxx xxxxxxxx xxxxxx xxxxxxxx, včetně xxxxxx xxxxxx xxxxxxxx,

2. xxxxx xxxxxxxx xxxxxx xxxxxxxx, xxxxxx xxxxxxx xxx xxxxxx zavedení, xxxxxxxx xxxxxx zavedení x určení xxxxx xxxxxxxxx za xxxxxx xxxxxxxx, x

3. xxxxxx xxxxxxxx, xxxxxx odůvodnění xxxxxx nezavedení,

b) xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx, xxxxxx vyhodnocení účinnosti xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxxxxxx přehledy xxxxxxxxxxxxxx xxxxxxxx x xxxxxx aktualizace alespoň xx dobu 4 xxx.

(3) Xxxxxxx osoba x rámci xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx

x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx opatřením xxxxxxxxxxx xxxxx xxxxxxxxx,

x) pravidelně xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx x

x) xxxxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx v xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx.

(4) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxxxx technických xxxxx.

(5) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxx x dodavatelem xx xxxxxxxxxxx rozsahu xxxxx §12 xxxxxx xxxxxxxx xxxxxx a zranitelnosti xxxxxxx x xxxxx xxxxxxxxxxx, xxxxxxxx kvalitu xxxxxxxx x xxxxxxx x xxxxxxx kybernetické xxxxxxxxxxx xxxxxx dodavatele, xxxxxx xxxxxxx xxxxxxxxxx xxxxxx x xx xxxxxxx xxxx xxxxxxx, xxx xxxxxxx x xxxxx dodavatelem xxxxxxxxxx xxxxxxxxxx požadavky xx xxxxxxx xxxxxxxx xxxxxxx x příloze č. 2 k xxxx xxxxxxxx.

(6) Xxxxxxx xxxxx v xxxxxxxxxxx x xxxxxxxxxx akvizicí, xxxxxxx x údržbou xxxxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x vymáhá xxxxxx xxxxxxxxxx, xxxxxxx vychází x xxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx xxxxx xxxx vyhlášky.

§4

Xxxxxxxxx xx xxxxxxxx xxxxxx

Xxxxxxxxxx orgán povinné xxxxx xxxx xxxx xxxxx xxxxx skupina xxxx v xxxxxxxx xxxxxxx xxxxxxxxx povinné xxxxx (xxxx jen „xxxxxxxx xxxxxx“) x xxxxxxx xx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xxxx xxxxx xxxxxxxxx xxxxxxxxxxxxx bezpečností, xxxxx xxxxx pravomoci potřebné x xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxx stavem xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx x xxxxxxxxx xxxxxxx, xxxxxxx xxx xxxxx této xxxxxxxx

1. xxxxxxxxx xxx xxxxxxxxxx xxxxxxx odborné xxxxxxx xxxxx §5 odst. 2 písm. x), xxxx

2. xxxxxxx xxxxxxxx xxxxxxx v xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §5 xxxx. 2 xxxx. x),

x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xx prokazatelně xxxxxxxxx xx xxxxxx plnění xxxxxxxxxxxxxx opatření uvedeným x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §3 xxxx. 2 xxxx. x),

x) prosazuje xxxxxxxx xxxxxxxxxx zajišťování kybernetické xxxxxxxxxxx a xx xxxxx účelem podporuje xxxxx pověřenou xxxxxxxxxxxxx xxxxxxxxxxx x jiné xxxxxxxxxx xxxxx x

x) xxxxxxx prioritu obnovy xxxxxxxxxx xxxxx.

§5

Xxxxxxxxxx lidských xxxxxx

(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx

x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx, x jejímž rámci xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x příloze č. 3 x xxxx xxxxxxxx,

x) xxxxxxx xxxxxxxx rozvoje xxxxxxxxxxxxxx povědomí xxxxxxxxxx xxxxxx, xxxxxxxxx, administrátorů x osoby pověřené xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxxx pro xxxxxx xxxxx,

x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxx bezpečností x

x) xxxxxxx xxxxxxxx x postupy xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx.

(2) Xxxxxxx xxxxx v xxxxxxx x pravidly xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí

a) xxxxxxx vrcholného vedení x xxxx povinnostech x o xxxxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx zajišťování kybernetické xxxxxxxxxxx, xxxxxx xxxxxxxxx x xxxxxxxxxxxx školení,

b) xxxxxxx xxxxxxx v xxxxxxx kybernetické xxxxxxxxxxx,

x) xxxxxxxxxx xxxxxxx x xxxxxxx kybernetické bezpečnosti x

x) potřebná xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxxxx a xxxxx xxxxxxxx kybernetickou xxxxxxxxxxx x souladu x xxxxxx pracovní xxxxxx.

(3) Xxxxxxx xxxxx xxxx přehledy o xxxxxxxxxxx školeních x xxxxxxx xxxxxxxxx xxxx xxxxx odstavce 2.

§6

Xxxxxx xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx

x) xxxxxxx prioritu xxxxxxxxxxx xxxxx, pořadí x xxxxxxx jejich obnovy x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiva podle §4 xxxx. f),

b) xxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxx x x xxxxxx xxxxx xxxxxxx x) x

x) xxxxxxx xxxxxxxxxx zálohy xxxxxxxxx, xxx, konfigurací x xxxxxxxxx technických xxxxx xxxxxxxxxx xxxxxxx pro xxxxx xxxxxx regulované xxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.

§7

Xxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx xxxx přístup x xxxxxxx a x xxxxx něj

a) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x aktivům přístupová xxxxx a xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx k výkonu xxxxxx xxxxx x xxxxxxxxx identifikátor daného xxxx xxxx, přičemž xx xxxx xxxxxxxx xxxxxxxxxxx a administrátorské xxxx xxxxx osoby,

b) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxxxx xxxx technických xxxxx,

x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x jiných xxxxxxxxx xxxxxxxxxxx xxxxx, popřípadě x xxxxxxxxxxxx opatření xxxxxxx x využitím xxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx přístupových xxxx a xxxxxxxxx,

x) xxxxxxx bezodkladné odebrání xxxx xxxxx xxxxxxxxxxxx xxxx a oprávnění xxx xxxxx xxxxxx xxxx zařazení xxxxxxxxx xxxx xxxxxxxxxxxxxx a

f) xxxxxxx xxxxxxxxxx xxxx x xxxxxxxxxxx odebrání xxxx změnu xxxxxxxxxxxx xxxx x xxxxxxxxx xxx ukončení xxxx xxxxx xxxxxxxxx vztahu, xx xxxxx základě xxxxx xx zřízení xxxxxxxx k xxxxxxx.

(2) Xxxxxxx xxxxx x xxxxx zajištění xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxx ke svým xxxxxxx x předchází xxxxxxxxx, odcizení, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx xxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby.

§8

Řízení xxxxxxx x xxxxxx xxxxxxxxx

(1) Xxxxxxx xxxxx xxx xxxxxx xxxxxxx, xxxxxxxxxxxx práv x xxxxxxxxx používá xxxxxxx, xxxxx xxxxxxxxx

x) xxxxxx xxxxx možných xxxxxxxxxxx xxxxxx o xxxxxxxxxx,

x) xxxxxxxx ověření xxxxxxxx xx xxxxxxxxx xxxx nečinnosti,

c) xxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx údajů x

x) xxxxxx xxxxxxxxxxxx práv, xxxxxxxxx pro xxxxx x xxxxx xxxxxxxxx x xxx x xxxxx xxxxxxxxx.

(2) Povinná xxxxx xxx ověření xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxxx autentizační xxxxxxxxxxx, xxxxx je xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx faktorů, xxxx xxxxxxx autentizační xxxxxxxxxxx, xxxxx xx xxxxxxx na aktuálně xxxxxx xxxxxxxxxxx autentizaci xxxxxxxx xx modelu xxxxxx xxxxxx.

(3) Povinná xxxxx do xxxx xxxxxxxxx xxxxxxxxxxxxxx mechanismu xxxxx odstavce 2 xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů xxxx xxxxxxxxxxx.

(4) Xxxxxxx xxxxx xx xxxx xxxxxxxxx xxxxxxxxxxxxxx mechanismu xxxxx xxxxxxxx 3 xxxxxxx xxxxxxx xxxxxxxx na xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxx xxxxx nástroj xxxx vynucovat pravidla

a) xxxxx xxxxx alespoň

1. 12 znaků xxx xxxx xxxxxxxxx,

2. 17 xxxxx xxx účty xxxxxxxxxxxxxx,

3. 22 xxxxx xxx účty xxxxxxxxxxx xxxxx,

x) xxxxxxxxxxx xxxxx xxxxxxxxx hesla xxx xxxxxxx identity technických xxxxx, přičemž nové xxxxx xxxx xxx xxxxxxxxx náhodným xxxxxxxx xxxxxxxx x xxxxxx x velkých xxxxxx, xxxxxx x speciálních xxxxx,

x) xxxxxxxxxxx použití xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,

x) povinné xxxxx hesla v xxxxxxxxx xxxxxxx jednou xx 18 měsíců x

x) neumožňující uživatelům x xxxxxxxxxxxxxxx

1. xxxxxx xx xxxxxxxxxx a xxxxx xxxxxxxxx xxxxx,

2. xxxxxx hesla xx xxxxxxx xxxxxxxxxxxx opakujících xx xxxxx, přihlašovacích xxxx, xxxxx elektronické xxxxx, názvů systémů xxxx xxxxxxxx xxxxxxxx x

3. xxxxxxxxxx xxxxxxx xxxxx používaných xxxxx x xxxxxx alespoň 12 předchozích xxxxx.

(5) Xxxxxxx xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxxx

x) důvěrnost při xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx x při xxxxxx přístupu,

b) xxxxx xxxxxxxxx xxxxx nebo xxxxx sloužícího x xxxxxx přístupu po xxxx xxxxxx použití,

c) xxxxxxxxxxx xxxxx nebo xxxxxxxxxxxxxx sloužícího x xxxxxx xxxxxxxx xxxxxxxxxx xx 24 xxxxx xx xxxx xxxxxxxxx,

x) xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx x případě xxxxxxxxx xxxxxxxxx na xxxx xxxxxxxxxxxx x

x) xxxxxxxxxxx administrátorských xxxx xxxxxxxxxxx aktiv xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx tyto xxxx xxxxx x xxxxxxxx xxxxxxx případech.

§9

Detekce a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx

(1) Xxxxxxx osoba xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí

a) xxxxxxx x xxxxxxxx přenášených xxx xx xxxxxxxxx xxxxxxxxxxx xxxx, xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx,

x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x automatickou xxxxxxx xxxx xxxxxxxxx xxxxx xx xxxxxxxxxxx xxxxxxxx, xxxxxxx xx

1. xxxxxxxxx x

2. xxxxxxxxx xxxxxxxxx,

x) xxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxx, zejména x xxxxxxxxxxxxx xxxxxxxx x datových nosičů,

d) xxxxxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech x xxxxxx xxxxxxxx xxxxxxxxxxxx xxxx x

x) xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxxxxxx nástrojů a xxxxxx xxxxxxxx.

(2) Povinná xxxxx xx účelem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx zaznamenává

a) bezpečnostní x xxxxxxxxxx provozní xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 x xxxxxxxxxxxx x relevantní xxxxxxxx xxxxxxxx technických xxxxx xx xxxxxxx xxxxx bezpečnostních xxxxxx x

x) x událostí xxxxx xxxxxxx a) xxxxxxxxxxx xxxxxxxxx x xxxxxxxx:

1. xxxxx x xxx, včetně xxxxxxxxxxx xxxxxxxx pásma,

2. xxx xxxxxxxx,

3. xxxxxxxxxxxx identifikaci xxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x

4. úspěšnost xxxx xxxxxxxxxxx xxxxxxxx.

(3) Povinná xxxxx xxxxxxxx záznamy xxxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx událostí xx xxxx, xxxxxx si xxxxxxx xx xxxxxxx xxxxx xxxxxxxxxxxxxx potřeb.

§10

Řešení kybernetických bezpečnostních xxxxxxxxx

Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x kybernetických xxxxxxxxxxxxxx xxxxxxxxx

x) xxxxxxx, xx xxxxxxxxx, administrátoři, xxxxx xxxxxxxx kybernetickou xxxxxxxxxxx a xxxxx xxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxxx zranitelnosti,

b) xxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxx významnosti xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x souladu s §14,

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,

x) xxxxxxx xxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x souladu s xxxxxxxxx xxxxx xxxxxxx x),

x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x významným dopadem xxxxx §15 zákona,

f) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu x xxxxxxxxx dopadem xxxxx §16 zákona.

§11

Xxxxxxxxxx xxxxxxxxxxxxx xxxx

Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě, x xx xxxxxxx xxxxxx xxxxxxxx perimetru,

a) xxxxxxx xxxxxxxxxx komunikační xxxx, xxxxxx oddělení xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,

x) xxxxx xxxxxxx x xxxxxxxx xxxxxxxxxx xx xxxxxxxxx komunikační xxxx xx xxxx xxxxxxxx xxxxxx xxx xxxxx zajištění xxxxxxxxxxx xxxxxxxxxx xxxxxx,

x) užívá xxxxxxxx xxxxxx x xxxxxxxx komunikační xxxxxxxxx,

x) x xxxxxxx užití xxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx správy xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxx

1. omezí xxxx xxxxxxxxx xx xxxxxxxx xxxxx,

2. xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxx připojení x xxxxxxxx správy, x

3. xx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxxxxxx, kteří xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxx užívají.

§12

Aplikační xxxxxxxxxx

Xxxxxxx xxxxx xxx xxxxxxxxxxx aplikační xxxxxxxxxxx regulované xxxxxx

x) xxxxxxx bezodkladné aplikování xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx,

x) u technických xxxxx, xxxxx již xxxxxx xxxxxxxx, xxxxxxxxxxx xxxx jinou xxxxxx xxxxxxxxxxx

1. vede xxxxxx xxxxxxxx,

2. xxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxxxx xxxxxxxx nebo vyšší xxxxxx bezpečnosti, x

3. xxxxx xxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxx xx nezbytně nutnou,

c) xxxxxxx pravidelné xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x aplikuje xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxx zjištěných xxxxxxxx.

§13

Xxxxxxxxxxxxxx algoritmy

(1) Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx technických aktiv x xxxxxx xxxxxxxxxx

x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx algoritmy x

x) xxxxxxxxxx doporučení x xxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx algoritmů vydané Xxxxxxxx xxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxxxx xxxxxxxxx

x) hlasovou, xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxx, x xx xxxxxx x-xxxxxxx komunikace, x

x) xxxxxxxx komunikaci x xxxxx organizace.

XXXX XXXXX

XXXXXXXXX VÝZNAMNOSTI XXXXXX KYBERNETICKÉHO XXXXXXXXXXXXXX XXXXXXXXX

§14

(1) Xxxxxxx xxxxx xxx xxxxxxx vyhodnocení xxxxxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx regulované xxxxxx xxxxxxx

x) xxxxxxx míru xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentem, x xxxxx xxxxxxxx xxxxx xxxx xxxxxxx život xxxx xxxxxx xxxx xxxx xxxxxxxxx xxxxxxx xxxxx xxxxxx svým xxxxxxxx,

x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xxxxxxxxxxxx zejména

1. provozní xxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxx x její xxxxxxxxx poskytovat xxxxxxxxxxx xxxxxx,

2. množství xxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxx xxxxxx x xxxx zasažených kybernetickým xxxxxxxxxxxxx xxxxxxxxxx,

3. xxxxxx, xxxxxx x xxxxxxxxx xxxxxx, xxxxx xxxx xxxxxxxx k obnově xxxxxxxxxxx xxxxxxxx regulované xxxxxx,

4. typ a xxxxxxxx aktiv dotčených xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx,

5. xxxxxxxxx informací a xxx xxxxxxxxxx kybernetickým xxxxxxxxxxxxx incidentem a xxxx, xxxxx může xxxxxxxx bezpečnosti xxxxxx xxxxxxxxx x dat xxxxxxxx povinné xxxxx xxxx jinému xxxxxx xxxx xxxxx, a

6. xxxxxx příčinu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xx-xx xxxxxxx xxxxx známo, xxx xx xxxxx x xxxxxxx xxxxx, xxxxxxxxxx xxxxxx nebo xxxxxxx xxxxxxx.

(2) Xxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xx xxxxxxxxxxx regulované xxxxxx xx xxxxxxxxx xx xxxxxxxx, xxxxx

x) xxxxxxxx povinnou xxxxxx xxxxxxxxxx xxxxxxx xxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentem xxxxx xxxxxxxx 1 xxxx. x) x xxxxxxxx

x) xx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx xxxxxxxx 1 xxxx. x) xxxxxxxxx xxxx xxxxxxxx.

ČÁST ČTVRTÁ

ÚČINNOST

§15

Účinnost

Tato vyhláška xxxxxx účinnosti xxxx 1. xxxxxxxxx 2025.
&xxxx;

Xxxxxxx:

Xxx. Xxxxx v. x.

Xxxxxxx č. 1

Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxxx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx ve xxxxx xxxxxxx (Xxx. x. 1), xxxxx xx xxxxxxx osobě xxxxxxx xxxx xxxxxxx x xxxxxxxxxxx účinnosti xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxx.

Xxx. x. 1: Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xx xxxxx xxxxxxx, xxx specifika xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxx vyplnění xxxx xxxxxxx x xxxxxxxxx níže (Xxx. x. 2 až 7). X Xxxxxxx x. 3 „Stav xxxxxxxxxxxxxx xxxxxxxx“ jsou xxxxx příkladů uvedeny „Xxxxxxxxx xxxxxxx“.

Xxx. x. 2: Bezpečnostní opatření xxxxx vyhlášky

Xxx. x. 3: Xxxx xxxxxxxxxxxxxx opatření

Xxx. x. 4: Xxxxx xxxxxxxxxxxxxx xxxxxxxx

Tab. x. 5: Xxxxxx xxxxxxxx xxxxxxxxxxxxxx opatření

Tab. x. 6: Xxxxxxxx zavedení xxxxxxxxxxxxxx opatření

Xxx. č. 7: Xxxxxxxxxxx xx bezpečnostní xxxxxxxx

Xxxxxxx x. 2

Xxxxxxxxx xx xxxxxxx xxxxxxxx x dodavateli

Povinná osoba xxxxxxx xxxxx xxxxxx xxxxxxx, xxxxx stanoví xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x určují xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx zavedení x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxxx osoby mohou xxxxxxxx xxx takové xxxxxxx, xxxxx budou xxxxxxxxxxx následující xxxxxxxxxx xxxxxxxxxx:

x) ustanovení x xxxxxxxxxxx xxxxxxxxx x xxxxxxx důvěrnosti (xxxxxx xxxxxxxxxx x xxxxxxxxxxxx), xxxxxxxxx a xxxxxxxxxxx,

x) xxxxxxxxxx o auditu xxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx,

x) ustanovení x řetězení xxxxxxxxxx,

x) xxxxxxxxxx xxxxxxxxxx tzv. xxxx xxxxxxxxx, podmínky xxxxxxxx smluvního xxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxx xx porušení xxxxxxxxx povinností,

f) xxxxxxxxxx x xxxxxxxxx užívat xxxx,

x) xxxxxxxxxx x xxxxxxxxx programového xxxx, xxxxxxxx o programových xxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxx vztahu,

i) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx osoby xxxx ustanovení o xxxxxxxxxxxx xxxxxxxxxxxxxx politik xxxxxxxxxx (xxxx odsouhlasení xxx dodavatelský vztah xxxxxxxxxxxx částí xxxxxxxxxxxxxx xxxxxxx) povinnou osobou,

j) xxxxxxxxxx o xxxxxx xxxx,

x) xxxxxxxxxx o xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,

x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxxx xxxxxxx x úrovni služeb (XXX) x způsobu x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxxxx x xxxxxxxxxx pravidel xxxxxxxxxx xxxxxx.

Xxxxxxx osoba xxxx požadovat xxx xxxxxxxxx xxxxx x xxxxxxxxxx x další xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxx ze xxxxxxxxx provozních x xxxxxxxxxxxxxx potřeb xxxxxxxxxxxxx x regulovanou službou, xxxxx xxxxxx xxxxxxx x této příloze.

Xxxxxxx x. 3

Témata xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx

x) Xxxxxxxx xxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx, antivirový xxxxxxx a xxxxxx xxxxxxx.

x) Xxxxxxxx programy x xxxxxx projevy.

d) Xxxxxx xxxxxxxxx programů x xxxxxxxx.

x) Xxxxxxxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxx x zakázání spouštění xxxxx.

x) Rizika xxxxxxxxxxxxx xxxxxxx.

x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxx.

x) Xxxxxxxxx, xxxxxx x správa xxxxx.

x) Xxxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxxx.

x) Xx-xxxx xxxxxxxx, xxxxxxxxx xxxxx a xxxx xxxxxxxxxxxx.

x) Zásady xxxxx x xxxxxxxxxx xxxx.

x) Xxxxxxxxx xxxxxxxxxx připojení (XXX).

x) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx.

x) Bezpečnost xxxxxxxx xxxxxxx.

x) Xxxxxxxxxx, ukládání x šifrování xxx.

x) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx dat.

s) Xxxxxxxxx služeb cloud xxxxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx xxxxxxx technických xxxxx a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx.

x) Xxxxxxxx xxxxxx při xxxxxx xx kybernetickou xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxx bezpečnostní xxxxxxxx.

x) Xxxxxx bezpečného používání xxxxxxxxxx zařízení xxx xxxxxxxx xxxxx.

x) Zásady xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxx pracovní xxxxx (xxx. BYOD).

x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Aktuální xxxxxx v kybernetické xxxxxxxxxxx.

Xxxxxxxxx

Xxxxxx předpis x. 410/2025 Xx. xxxxx xxxxxxxxx dnem 1.11.2025.

Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.

Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů v xxxxxxxx xxxx aktualizováno, xxxxx xx jich xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.

1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2022/2555 ze xxx 14. xxxxxxxx 2022 o xxxxxxxxxx x zajištění xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x Xxxx x x xxxxx xxxxxxxx (EU) x. 910/2014 x xxxxxxxx (XX) 20/1972 x x zrušení xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).