Právní předpis byl sestaven k datu 01.11.2025.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
410/2025 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
Systém zajišťování minimální kybernetické bezpečnosti §3
Požadavky na vrcholné vedení §4
Bezpečnost lidských zdrojů §5
Řízení kontinuity činností §6
Řízení přístupu §7
Řízení identit a jejich oprávnění §8
Detekce a zaznamenávání kybernetických bezpečnostních událostí §9
Řešení kybernetických bezpečnostních incidentů §10
Bezpečnost komunikačních sítí §11
Aplikační bezpečnost §12
Kryptografické algoritmy §13
ČÁST TŘETÍ - STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU §14
ČÁST ČTVRTÁ - ÚČINNOST §15
Příloha č. 1 - Přehled bezpečnostních opatření
Příloha č. 2 - Požadavky na smluvní ujednání s dodavateli
Příloha č. 3 - Témata pro rozvoj bezpečnostního povědomí
ČÁST PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) a xxx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx x režimu nižších xxxxxxxxxx (xxxx xxx „xxxxxxx xxxxx“) xxxxxxxx
x) xxxxx, způsob zavádění x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) stanovení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxx,
x) privilegovaným xxxxxxxxxx xxxxxxxx xxxx xxxx xxxxx, xxxxx xxxxxxx xx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx xx xxxxxxxxxx xxxxxxxxxx služby,
c) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxx a xxxxxxx bezpečnostní xxxxxxxx, xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 2 xx 6, §4 xx 6 x §10.
(2) Xxxxxxx xxxxx
x) xxxxxxx přehled bezpečnostních xxxxxxxx xxxxx přílohy č. 1 x xxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx
1. xxxx povinnou xxxxxx xxxxxxxx, včetně xxxxxx xxxxxx zavedení,
2. xxxxx xxxxxxxx xxxxxx xxxxxxxx, včetně termínů xxx xxxxxx zavedení, xxxxxxxx xxxxxx xxxxxxxx x xxxxxx osoby xxxxxxxxx za jejich xxxxxxxx, x
3. xxxxxx xxxxxxxx, xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx,
x) xxxxxxx x xxxxxxxxxxx alespoň xxxxxx ročně xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx jednotlivé přehledy xxxxxxxxxxxxxx xxxxxxxx x xxxxxx aktualizace xxxxxxx xx dobu 4 xxx.
(3) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentace
a) xxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx opatřením požadovaným xxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx x postupy xxxxxxxxx x bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) vynucuje xxxxxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx dokumentaci.
(4) Povinná xxxxx x rámci xxxxxx xxxxx stanoví xxxxxxxx xxx xxxxxxxxx x manipulaci xxxxxxxxxxx xxxxx.
(5) Xxxxxxx osoba xxx uzavírání xxxxxxx x dodavatelem xx xxxxxxxxxxx rozsahu xxxxx §12 zákona xxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxx x tímto xxxxxxxxxxx, xxxxxxxx xxxxxxx xxxxxxxx a xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxxxxxx xxxxxx a xx xxxxxxx xxxx xxxxxxx, xxx xxxxxxx s xxxxx dodavatelem xxxxxxxxxx xxxxxxxxxx požadavky xx xxxxxxx ujednaní uvedené x příloze č. 2 k xxxx xxxxxxxx.
(6) Xxxxxxx xxxxx v xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxx jejich xxxxxxxxxx, přičemž xxxxxxx x požadavků xx xxxxxxxxxxxx opatření podle xxxx xxxxxxxx.
§4
Xxxxxxxxx xx xxxxxxxx xxxxxx
Xxxxxxxxxx xxxxx xxxxxxx xxxxx nebo xxxx xxxxx xxxxx xxxxxxx xxxx x obdobném xxxxxxx postavení xxxxxxx xxxxx (dále xxx „xxxxxxxx xxxxxx“) s xxxxxxx xx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxx osobu xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxx pravomoci potřebné x xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx, xxxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxx s xxxxxxxxx xxxxxxx, xxxxxxx pro xxxxx xxxx xxxxxxxx
1. xxxxxxxxx xxx zbytečného xxxxxxx xxxxxxx školení xxxxx §5 odst. 2 xxxx. x), xxxx
2. xxxxxxx xxxxxxxx xxxxxxx x kybernetické xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxx podle §5 xxxx. 2 písm. x),
x) xxxxxxx dostupnost xxxxxx xxxxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření,
d) xx xxxxxxxxxxxx xxxxxxxxx xx stavem plnění xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx x přehledu xxxxxxxxxxxxxx xxxxxxxx podle §3 xxxx. 2 xxxx. x),
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx zajišťování xxxxxxxxxxxx xxxxxxxxxxx x za xxxxx xxxxxx xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx a xxxx xxxxxxxxxx xxxxx x
x) xxxxxxx prioritu xxxxxx xxxxxxxxxx xxxxx.
§5
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) xxxxxxx xxxxxxxx xxxxxxxxxx chování xxxxxxxxx, x jejímž xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx pravidla xxxxxxx xxxxxxxxxxxxxx xxxxxxxx vrcholného xxxxxx, uživatelů, xxxxxxxxxxxxxx x osoby pověřené xxxxxxxxxxxxx xxxxxxxxxxx, včetně xxxxxxxx xxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx politiky xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky.
(2) Povinná xxxxx x xxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx
x) xxxxxxx vrcholného xxxxxx x jeho xxxxxxxxxxxx x x bezpečnostní xxxxxxxx, xxxxxxx x xxxxxxx zajišťování kybernetické xxxxxxxxxxx, xxxxxx vstupních x xxxxxxxxxxxx školení,
b) xxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx školení v xxxxxxx kybernetické xxxxxxxxxxx x
x) xxxxxxxx xxxxxxx xxxxxxxxxx i praktická xxxxxxx xxxxxxxxxxxxxx a xxxxx pověřené xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxxx.
(3) Povinná osoba xxxx xxxxxxxx o xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxxx 2.
§6
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x rámci xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxx technických xxxxx, pořadí x xxxxxxx xxxxxx xxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx §4 xxxx. x),
x) xxxxxxx povinnosti x xxxxxxxxxxx xxxxxxxxxxx osob xx jednotlivé xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxx x x xxxxxx xxxxx xxxxxxx x) x
x) vytváří xxxxxxxxxx xxxxxx xxxxxxxxx, xxx, xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx zejména xxx xxxxx xxxxxx xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§7
Řízení xxxxxxxx
(1) Xxxxxxx xxxxx xxxx xxxxxxx x aktivům a x xxxxx xxx
x) xxxxxxx každému xxxxxxxxx x administrátorovi xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx x oprávnění xx xxxxxx nezbytně xxxxxx x výkonu xxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxxxx daného xxxx xxxx, xxxxxxx xx sebe odděluje xxxxxxxxxxx x xxxxxxxxxxxxxxxx xxxx xxxxx xxxxx,
x) xxxx identifikátory, xxxxxxxxxx xxxxx x oprávnění xxxx technických xxxxx,
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení x xxxxxx obdobných xxxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxxxxxxxx opatření xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx přístupových xxxx x xxxxxxxxx,
x) xxxxxxx bezodkladné xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxx změně xxxxxx xxxx zařazení uživatelů xxxx xxxxxxxxxxxxxx x
x) xxxxxxx deaktivaci xxxx x bezodkladné xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx vztahu, xx xxxxx xxxxxxx xxxxx xx xxxxxxx xxxxxxxx x aktivům.
(2) Xxxxxxx osoba x xxxxx zajištění xxxxxxx xxxxxxxxxxx xxxxxx neoprávněnému xxxxxxxx ke xxxx xxxxxxx x xxxxxxxxx xxxxxxxxx, xxxxxxxx, xxxxxxxx xxxxx, xxxxxxxxxxxx xxxxxxx xx xxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx služby.
§8
Xxxxxx xxxxxxx x xxxxxx xxxxxxxxx
(1) Xxxxxxx xxxxx xxx xxxxxx xxxxxxx, xxxxxxxxxxxx práv x oprávnění používá xxxxxxx, který xxxxxxxxx
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx po stanovené xxxx xxxxxxxxxx,
x) odolnost xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx x
x) xxxxxx xxxxxxxxxxxx práv, xxxxxxxxx xxx xxxxx x xxxxx xxxxxxxxx x xxx x xxxxx oprávnění.
(2) Xxxxxxx xxxxx pro ověření xxxxxxxx xxxxxxxxxxxxxx, uživatelů x xxxxxxxxxxx aktiv xxxxxxx autentizační xxxxxxxxxxx, xxxxx xx xxxxxxxx xx xxxxxxxxxxxxx autentizaci x alespoň xxxxx xxxxxxx xxxx faktorů, xxxx využívá xxxxxxxxxxxx xxxxxxxxxxx, xxxxx je xxxxxxx na xxxxxxxx xxxxxx xxxxxxxxxxx autentizaci xxxxxxxx na xxxxxx xxxxxx xxxxxx.
(3) Povinná xxxxx xx xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů xxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xx xxxx využívání xxxxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxx tento xxxxxxx xxxx xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx xxx xxxx xxxxxxxxx,
2. 17 xxxxx pro účty xxxxxxxxxxxxxx,
3. 22 xxxxx xxx xxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx změny xxxxxxxxx hesla xxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, přičemž xxxx xxxxx musí xxx xxxxxxxxx xxxxxxxx řetězcem xxxxxxxx x xxxxxx x xxxxxxx písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx použití xxxxxx x velkých xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) povinné xxxxx hesla x xxxxxxxxx alespoň xxxxxx xx 18 xxxxxx x
x) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. zvolit xx jednoduchá x xxxxx používaná xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxx, adres xxxxxxxxxxxx xxxxx, názvů xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxxxx použití xxxxx používaných hesel x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx.
(5) Xxxxxxx xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxxx
x) důvěrnost xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx a při xxxxxx xxxxxxxx,
x) xxxxx xxxxxxxxx xxxxx xxxx xxxxx xxxxxxxxxx x xxxxxx přístupu po xxxx prvním xxxxxxx,
x) xxxxxxxxxxx xxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx přístupu xxxxxxxxxx xx 24 xxxxx xx xxxx xxxxxxxxx,
x) xxxxxxxxxxxx změnu xxxxxxxxxxxx xxxxx v případě xxxxxxxxx xxxxxxxxx xx xxxx kompromitaci x
x) xxxxxxxxxxx administrátorských xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxx xxxx xxxxx x xxxxxxxx xxxxxxx případech.
§9
Xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxxxx xxxxx při xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx zajistí
a) xxxxxxx x kontrolu xxxxxxxxxxx xxx na xxxxxxxxx xxxxxxxxxxx sítě, včetně xxxxxxxxx xxxxxxxxx komunikace,
b) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xx technických xxxxxxxx, zejména xx
1. xxxxxxxxx a
2. xxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxx, zejména x vyměnitelných xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x relevantních xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostech x xxxxxx xxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxx škodlivým xxxxx x xxxxxxx xxxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx xx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx zaznamenává
a) bezpečnostní x xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 a xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx události technických xxxxx xx xxxxxxx xxxxx xxxxxxxxxxxxxx potřeb x
x) x xxxxxxxx xxxxx xxxxxxx x) xxxxxxxxxxx xxxxxxxxx x xxxxxxxx:
1. xxxxx x xxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x
4. xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx událostí po xxxx, xxxxxx si xxxxxxx xx základě xxxxx xxxxxxxxxxxxxx xxxxxx.
§10
Xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů
a) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx pověřené kybernetickou xxxxxxxxxxx x xxxxx xxxxxxxxxxx budou xxxxxxxxx xxxxxxxxx chování technických xxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a kybernetických xxxxxxxxxxxxxx incidentů, včetně xxxxxxxxxx xxxxxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx x §14,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x souladu s xxxxxxxxx podle písmene x),
x) xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 zákona,
f) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x významným dopadem xxxxx §16 xxxxxx.
§11
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx, x xx xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxx komunikační xxxx, xxxxxx oddělení xxxxxxxxxx x zálohovacího xxxxxxxxx,
x) xxxxx odchozí x příchozí xxxxxxxxxx xx perimetru xxxxxxxxxxx xxxx na dobu xxxxxxxx xxxxxx xxx xxxxx xxxxxxxxx poskytování xxxxxxxxxx služby,
c) xxxxx xxxxxxxx xxxxxx x xxxxxxxx komunikační protokoly,
d) x xxxxxxx xxxxx xxxxxxxxxx připojení do xxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxx aktiv xxxxxxxxxx xxxxxx
1. omezí xxxx xxxxxxxxx xx xxxxxxxx xxxxx,
2. zavede xxxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxx vzdálených xxxxxxxxx x vzdálené xxxxxx, x
3. xx xxxxxxx x uživatelích a xxxxxxxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx správu xxxxxxx.
§12
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx regulované xxxxxx
x) xxxxxxx bezodkladné aplikování xxxxxxxxxxx xxxxxxxxxxxxxx aktualizací xxxxxxxx xxx xxxxxxxxx xxxxxx,
x) u xxxxxxxxxxx xxxxx, xxxxx xxx xxxxxx xxxxxxxx, xxxxxxxxxxx xxxx xxxxx xxxxxx xxxxxxxxxxx
1. xxxx jejich xxxxxxxx,
2. zavede xxxxxxxxxxxx xxxxxxxx, xxxxx zaručí xxxxxxxx nebo vyšší xxxxxx bezpečnosti, a
3. xxxxx xxxxxx komunikaci x xxxxxxxxxxx síti xx nezbytně xxxxxx,
x) xxxxxxx xxxxxxxxxx skenování xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx x aplikuje xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxx.
§13
Xxxxxxxxxxxxxx xxxxxxxxx
(1) Povinná xxxxx xxx zajištění xxxxxxxxxxx technických aktiv x jejich komunikace
a) xxxxxxx aktuálně odolné xxxxxxxxxxxxxx algoritmy,
b) xxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxxxxx algoritmy x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxxx v oblasti xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx Xxxxxxxx xxxxxx pro xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxxxx xxxxxxxxx
x) xxxxxxxx, xxxxxxxxxxxxx a textovou xxxxxxxxxx, x xx xxxxxx e-mailové xxxxxxxxxx, x
x) xxxxxxxx xxxxxxxxxx x xxxxx organizace.
XXXX TŘETÍ
STANOVENÍ XXXXXXXXXXX XXXXXX XXXXXXXXXXXXXX BEZPEČNOSTNÍHO XXXXXXXXX
§14
(1) Xxxxxxx xxxxx xxx potřeby xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxxxxxxxx regulované xxxxxx xxxxxxx
x) xxxxxxx xxxx xxxx způsobené kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx xxxxx xxxx ohrožen xxxxx xxxx zdraví osob xxxx xxxxxxxxx povinné xxxxx xxxxxx xxxx xxxxxxxx,
x) oblasti xxx xxxxxxxxx xxxxxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx zejména
1. xxxxxxxx xxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx na povinnou xxxxx x její xxxxxxxxx poskytovat xxxxxxxxxxx xxxxxx,
2. xxxxxxxx uživatelů xxxxxxxxxx služby a xxxxxx xxxxxx a xxxx zasažených xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx,
3. xxxxxx, xxxxxx a xxxxxxxxx xxxxxx, které xxxx xxxxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx,
4. xxx x xxxxxxxx xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx a xxxx, xxxxx může xxxxxxxx bezpečnosti xxxxxx xxxxxxxxx a xxx xxxxxxxx xxxxxxx osobě xxxx jinému xxxxxx xxxx xxxxx, x
6. xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, je-li xxxxxxx xxxxx xxxxx, xxx xx xxxxx x xxxxxxx xxxxx, xxxxxxxxxx závadu xxxx xxxxxxx xxxxxxx.
(2) Xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx je považován xx xxxxxxxx, xxxxx
x) xxxxxxxx povinnou xxxxxx xxxxxxxxxx únosnou xxxx xxxx xxxxxxxxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) x xxxxxxxx
x) xx xxxxxx pro xxxxxxxxx významnosti xxxxxx xxxxx xxxxxxxx 1 xxxx. x) posouzena xxxx xxxxxxxx.
ČÁST ČTVRTÁ
ÚČINNOST
§15
Účinnost
Tato vyhláška xxxxxx xxxxxxxxx xxxx 1. listopadu 2025.
&xxxx;
Xxxxxxx:
Xxx. Xxxxx x. x.
Xxxxxxx x. 1
Xxxxxxx xxxxxxxxxxxxxx opatření
Tato příloha xxxxxxxxxxx přehled bezpečnostních xxxxxxxx xx xxxxx xxxxxxx (Xxx. x. 1), xxxxx xx xxxxxxx osobě sloužit xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx zavedených xxxxxxxxxxxxxx opatření xx xxxxxxxxx xxxxxx.
Xxx. x. 1: Přehled bezpečnostních xxxxxxxx
|
Xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|||||
|
Bezpečnostní xxxxxxxx xxxxx vyhlášky |
Stav bezpečnostního xxxxxxxx |
Xxxxx bezpečnostního opatření |
Termín xxxxxxxx xxxxxxxxxxxxxx opatření |
Priorita xxxxxxxx bezpečnostního xxxxxxxx |
Xxxxxxxxxxx xx bezpečnostní xxxxxxxx |
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xx xxxxx xxxxxxx, xxx specifika xxxxxxxxxxxx xxxxxxx x xxxxxxxx jejich xxxxxxxx xxxx xxxxxxx x xxxxxxxxx xxxx (Tab. x. 2 xx 7). X Xxxxxxx x. 3 „Xxxx xxxxxxxxxxxxxx xxxxxxxx“ jsou xxxxx příkladů xxxxxxx „Xxxxxxxxx xxxxxxx“.
Xxx. x. 2: Xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Xxx. č. 1 |
Xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxxxxx na xxxxxxx xxxxxxxxxx xxxxxxxx. |
|
Xxxxx hodnot |
Uvedené xxxxxxx xxxx odkazovat xx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx, přičemž xx xxxxxxxxxx, aby xxxx jednotlivé xxxxx xxxxxxx x xxxxxxx xxxxxxxxxx. |
Xxx. x. 3: Xxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Xxx. x. 1 |
Stav bezpečnostního xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx, kdy xx xxxxxxxxx vyhodnocení xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxx xxxxxx |
Xxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx x xxxxxxxxxxx hodnot „Xxxxxxxx“, „V xxxxxxx“ xxxx „Xxxxxxxxxx“. Xxxxxxx „Xxxxxxxx“ xxx zapsat x xxxxxxx, xxx xxxx xxxxxxxxxxxx opatření x xxxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxxxxx rozsahu. |
Xxx. x. 4: Xxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Xxx. x. 1 |
Xxxxx bezpečnostního xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxxxx xxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxx xx xxxx, x xxxxx xx xxxxxxxx nachází, a x xxxxxxxxxxxx x xxxxxxxxx povinné osoby. |
|
Popis xxxxxx |
Xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx by měl xxxxxxx reflektovat xxxxxxx x povinné xxxxx (xxxxxxxxx xxxxx xxxxx xxxxxxxxxxx částí bezpečnostní xxxxxxxxxxx) x xxxx xxxxxxxxxxxxxx xxxxxxxx podle Xxx. č. 2. X xxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxx xxxxxxxx xxxx „X xxxxxxx“ xx xxxxx xxxxxx xxxxxxxxxx xxxx, případně xxxxx odkaz xx xxxxxxxxxxx, xxxxx proces xxxxxxxx xxxxxxx. Xxxxx xx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxx „Xxxxxxxxxx“, xx xxxxx xxxxxxxxx, xxxx xxxxxxxx xxxxxx. |
Xxx. x. 5: Xxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx sloupce x Xxx. x. 1 |
Xxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx sloupce |
Plánovaný xxxxxx xxxxxxxx bezpečnostního opatření x xxxxx xxxxxxx. |
|
Xxxxx xxxxxx |
Xxxx xxxxxxx bude xxxxxxxx pouze x xxxxxxx, je-li stav xxxxxxxxxxxxxx opatření označen xxxx „X xxxxxxx“ xxxx „Xxxxxxxxxx“, xxx xxxx zavedení xxx xxxxxxxx xxxxxxxxx xxxx xxxxxx na xxxxxxx xxxxxxxxxxx. Měla xx xxx xxxxxxx buď xxxxxxxxxx xxxxx xxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxx roku. |
Tab. x. 6: Xxxxxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx
|
Xxxxx xxxxxxx x Xxx. č. 1 |
Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx na dopad xx xxxxxxxxxxx xxxxxxxxxx xxxxxx. |
|
Xxxxx xxxxxx |
Xxxxxxx „xxxxx“ xxxx „1“ xx xxxxx xxxxxx x xxxxxxx, kdy by xxxxxxx zavedení bezpečnostního xxxxxxxx xxxxxx xxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxx dané xxxxxxxxxxxx xxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx. Xxxxxxx „xxxxxxx“ xxxx „2“ xx xxxxx zapsat x xxxxxxx, xxx xx xxxxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxx xxxxx xx poskytování xxxxxxxxxx xxxxxx. |
Xxx. č. 7: Xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx
|
Xxxxx sloupce x Xxx. x. 1 |
Xxxxxxxxxxx xx bezpečnostní xxxxxxxx. |
|
Xxxxx xxxxxxx |
Xxxxx xxxxxxxx xx xxxxxxxx daného xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxx xxxxxx |
Xx xxxxx xxxxxxxxxx xxxxx xxx, xxx xxxx možné xxxxxxxxxxx xxxxx xxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. X xxxxxxx xxxxxxx xx xxxxx uvést xxxx xxxxxxxxx xxxxxxxxxxx složku, xx xxx daná xxxxx spadá. |
Xxxxxxx x. 2
Xxxxxxxxx xx xxxxxxx ujednání x dodavateli
Povinná osoba xxxxxxx xxxxx xxxxxx xxxxxxx, které xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a určují xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x kontrolu bezpečnostních xxxxxxxx.
Xxxxxxx xxxxx xxxxx xxxxxxxx jen takové xxxxxxx, které xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx o xxxxxxxxxxx informací x xxxxxxx xxxxxxxxxx (včetně xxxxxxxxxx o xxxxxxxxxxxx), xxxxxxxxx a xxxxxxxxxxx,
x) xxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxx s xxxxxxx smlouvy,
c) xxxxxxxxxx x xxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxx. xxxx xxxxxxxxx, podmínky xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxx bezpečnosti xxxxxxxxx,
x) ustanovení x xxxxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxxxxx,
x) ustanovení x oprávnění xxxxxx xxxx,
x) ustanovení x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxx x programových xxxxxxxxx,
x) ustanovení o xxxxxxxxxx smluvního xxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx ustanovení o xxxxxxxxxxxx xxxxxxxxxxxxxx politik xxxxxxxxxx (xxxx xxxxxxxxxxxx xxx dodavatelský vztah xxxxxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxx) povinnou osobou,
j) xxxxxxxxxx x řízení xxxx,
x) xxxxxxxxxx o xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx smlouvy x xxxxxx xxxxxx (XXX) x způsobu x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx.
Xxxxxxx xxxxx xxxx xxxxxxxxx xxx xxxxxxxxx xxxxx x xxxxxxxxxx x xxxxx xxxxxxxx xxxxxxxxxxxx specifické xxxxxxxxx plynoucí xx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx potřeb xxxxxxxxxxxxx x regulovanou službou, xxxxx nejsou xxxxxxx x této xxxxxxx.
Příloha x. 3
Témata xxx rozvoj xxxxxxxxxxxxxx xxxxxxxx
x) Techniky xxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx, antivirový xxxxxxx x jejich xxxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxx xxxxxxx.
x) Xxxxxx stahování programů x xxxxxxxx.
x) Aktualizace xxxxxxxx.
x) Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx.
x) Rizika xxxxxxxxxxxxx xxxxxxx.
x) Xxxxxx zabezpečení xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx, xxxxxx x správa xxxxx.
x) Vícefaktorová xxxxxxxxxxx.
x) Xxxxxxxx sociálního inženýrství.
l) Xx-xxxx xxxxxxxx, xxxxxxxxx xxxxx x xxxx xxxxxxxxxxxx.
x) Zásady práce x počítačové xxxx.
x) Xxxxxxxxx xxxxxxxxxx připojení (XXX).
x) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx.
x) Bezpečnost xxxxxxxx xxxxxxx.
x) Xxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxx.
x) Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
x) Xxxxxxxxx služeb xxxxx xxxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx chování xxxxxxxxxxx xxxxx a podezření xx xxxxxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx postup při xxxxxx xx kybernetickou xxxxxxxxxxxx událost xxxx xxxxxxxxxxxx bezpečnostní incident.
v) Xxxxxx xxxxxxxxxx používání xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx (xxx. BYOD).
x) Xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxx xxxxx xxxxxxxxxxxx bezpečnosti.
y) Xxxxxxxx xxxxxx x kybernetické xxxxxxxxxxx.
Informace
Právní předpis x. 410/2025 Xx. nabyl xxxxxxxxx xxxx 1.11.2025.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx v xxxxxxxx není aktualizováno, xxxxx se jich xxxxxx derogační změna xxxxx xxxxxxxxx právního xxxxxxxx.
1) Směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2022/2555 ze xxx 14. xxxxxxxx 2022 o opatřeních x zajištění vysoké xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x Xxxx x x xxxxx xxxxxxxx (XX) x. 910/2014 x xxxxxxxx (XX) 20/1972 x x xxxxxxx xxxxxxxx (XX) 2016/1148 (xxxxxxxx XXX 2).