Právní předpis byl sestaven k datu 13.05.2026.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy
411/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Bezpečnostní úroveň §3
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně §4
Účinnost §5
Příloha - Úrovně a oblasti dopadu pro zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně
411
VYHLÁŠKA
ze xxx 26. xxxx 2025
x xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx správy
Národní úřad xxx kybernetickou a xxxxxxxxxx bezpečnost xxxxxxx xxxxx §12 xxxx. 2 xxxx. x) xxxxxx x. 365/2000 Xx., x xxxxxxxxxxxx xxxxxxxxx veřejné xxxxxx x x xxxxx xxxxxxxxx xxxxxxx zákonů, xx xxxxx zákona x. 265/2025 Sb., (xxxx xxx „xxxxx“):
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxx xxxxx §6l xxxx. 3 xxxxxx x xxxxx xxxxxxxx xxxxxx xxxxxxxx do xxxxxxxxxxxx xxxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) oblastí dopadu xxxxxx vymezená přílohou x xxxx xxxxxxxx, x xxxxx xxxxx xxxx mít xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx informační systém xxxxxxx správy, x xxxxxxxxx jehož xxxxxxx xx xxx využíván xxxxx computing, xxxx xx xxxxxxxxxx xxxx xxxxxx xxxx, ochranu xxxxxxxx xxxxx, trestní xxxxxx, veřejný xxxxxxx, xxxxxxxxxxx xxxxxx, důvěryhodnost xxxxxx xxxxxxx xxxxxx, xxxxxxxx xxxxxx xxxx xxxxxxxxxxx xxxxxx, x
x) xxxxxx xxxxxx xxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxx xxxxxxx, xxxxx xxxxxxx ze xxxxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx na informační xxxxxx xxxxxxx xxxxxx, x zajištění xxxxx xxxxxxx má být xxxxxxxx xxxxx xxxxxxxxx, x každé oblasti xxxxxx.
§3
Xxxxxxxxxxxx xxxxxx
Xxxxxxxxxxxx xxxxxx xx
x) nízká,
b) střední,
c) xxxxxx, xxxx
x) xxxxxxxx.
§4
Zařazení xxxxxxxxxxxx xxxxxxx xxxxxxx správy, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx
(1) Zařazení xxxxxxxxxxxx xxxxxxx veřejné xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxx xxxxxx xxxxx přílohy x xxxx xxxxxxxx. Orgán xxxxxxx xxxxxx xxxxxxxx naplnění xxxxxx dopadu, které xx informační xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx být xxxxxxxx xxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxx xxxxx xxxxxxx dopadu. Xxxxxx xxxxxx xx x xxxxx každé xxxxxxx dopadu xxxx xxxxxxxxxxxxxx možným xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxx zjišťování nejzávažnějšího xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxx xxxxxxx xxxxxx xxxxxxxx xxxxx narušení xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx systému veřejné xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx cloud xxxxxxxxx, a povahu xxxxxx systému jako xxxxx. X případě, xx má xxx xxxxx computingem zajištěn xxxxxx pouze xxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, zohlední xx xxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx této xxxxx xx xxxxxxxxxxxx xxxxxx xxxx vztah xxxx xxxxx x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx xxxx xxxxx.
(3) Xxxxxxxx bezpečnostní xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, je xxxxxx s xxxxxxxx xxxxxx xxxxxx dosaženou xxx hodnocení xxxxxxxxxxxx xxxxxxx xxxxxx.
(4) Nejvyšší xxxxxxxxx bezpečnostní úroveň xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxx xxxxx xxxx být xxxxxxxxx xxxxxxx xxx xxxxx xxxx informačního xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx computing.
(5) X xxxxxxx stanovení bezpečnostní xxxxxx informačního xxxxxxx xxxxxxx správy, k xxxxxxxxx xxxxx provozu xx být xxxxxxxx xxxxx computing, xxxxx xxxxxxxxxxx odstavců xx xxxxxxx xxxxxxx xxxxxx.
§5
Účinnost
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxxxxxx 2025.
&xxxx;
Xxxxxxx:
Xxx. Xxxxx x. r.
Xxxxxxx
Xxxxxx x xxxxxxx xxxxxx xxx zařazení xxxxxxxxxxxx systému xxxxxxx xxxxxx, x zajištění xxxxx xxxxxxx xx xxx využíván cloud xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx
xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx computing, xx xxxxxxxxxxxx úrovně
|
Oblasti xxxxxx |
||||||||
|
Xxxxxx xxxxxx |
X. |
X. |
X. |
D. |
X. |
X. |
X. |
H. |
|
1. Xxxxx |
Xxxxxx xxxx x xxxxxx xxxxxx jednotlivce xxx xxxxxxx xxxx. |
Xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxx xxxx xxxxxxxxx ovlivnit xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx cloud xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxxxx x xxxxx skupiny xxxxxxxx xxx oblast xxxxxx B. Xxxxxxx xxxxxxxx údajů. |
Nemůže vytvořit xxxxxxxx xxx páchání xxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxx xxxxxxxxx úřední xxxxx xxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxxx xxx nemůže xxxxxx xxxxxx xxxxxxxxxxx. |
Xxxxxx xxxxxxxxxx xxxxxxxx nepokoje xxxx xxxxx narušit veřejný xxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx republiky x xxxxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx xxxxxx x xxxxxx subjekty nebo xxxxxx x veřejností, xxxx xxxx xxxxxx x xxxx xxxxxxxxx xxxxxxxx, avšak xxxxxxxxx xxxxxxxx mohou xxx xxxxxxx lokální. |
Nemůže ani xxxxxxx xxxx k xxxxxxxxx xxxxxxx, xxxx xxxx xxxx k xxxxxxxxx xxxxxxx menším xxx 1 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx. |
Xxxxxx xxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx, xxxx xxxx způsobit xxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxx 5 000 x xxxx xxxx. |
|
2. Xxxxxxx |
Xxxx vést x xxxxxx zdraví jednotlivce xxxx xxxxxxx xxxxxxx 100 xxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx a xxxx xxxxxxxx z xxxxx xxxxxxx xxxxxxxx xxxx xxxxx kritérium x xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx B. Ochrana xxxxxxxx xxxxx. |
Xxxx vytvořit xxxxxxxx pro xxxxxxx xxxxxxxxx xxxx přisvojení xxxxxxxxx xxxxx, xxxxxxxx xxxxxxxxx úřední xxxxx xxxx xxxxxxxx a xxxxxxxxx veřejné xxxxxxx xxxx xxxx xxxxxx xxxxxx xxxxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx nepokoje nebo xxxxx xxxxxxx xxxxxxx xxxxxxx s lokálními xxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx xxxxxxxxx x sousedních xxxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx xxxx xxxxxx s xxxxxxxxxx, avšak xxxxxxxxx xxxxxxxx mohou být xxxxxxx xxxxxxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx xx xxxx mezi 1 % x 5 % běžných xxxxxx ročního xxxxxxxx xxxxxx xxxxxxx xxxxxx x xxxx ztráty xxxxxxxxxx xxxxxx 100 000 Kč x xxxxx. V xxxxxxx, xx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx než 100 000 Xx, použije xx xxxxxx dopadu xxxxx. |
Xxxx xxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxx pro xxxx xxx 5 000, xxxxxxx xxxx 50 000 xxxx. |
|
3. Xxxxxx |
Xxxx xxxx x poruše xxxxxx xxxxxxx více xxx 100 lidí x xxxxxxx 2 500 xxxx xxxx xxxxxxx xxxxxxxx xxxx xxxxxx života xxxxxxxxxxx xxxx skupiny xxxxxxx 250 xxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, který xxxxxxxx xxx a xxxx kritérií x xxxxx skupiny xxxxxxxx xxx xxxxxx xxxxxx X. Xxxxxxx osobních xxxxx. |
Xxxx vést x xxxxxxxx vyšetřování xxxxxxx xxxxxxxx xxxx k xxxxxxxx soudního řízení xxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxx. |
Xxxx negativně ovlivnit xxxxx Xxxxx xxxxxxxxx xx xxxxx. |
Xxxx xxxxxxxxx xxxxxxxx vztahy x xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxxxxxx následky xxxxx xxx xxxxxxx xxxxxxxxxx xxxx krátkodobé x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx k xxxxxxxxx xxxxxxx xxxxxx xxx 5 % x xxxxxxxxxxx maximálně 10 % běžných xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx a xxxx ztráty xxxxxxxxxx xxxxxx 1 000 000 Xx x xxxxx, xxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx xxxxxxxxx ve xxxx mezi 0,1 % x 0,5 % xxxxxxx xxxxxxxx xxxxxxxx. X xxxxxxx, xx xxxx xxxxxxxx xxxxxx xxxxxxxx částce xxxxx xxx 1 000 000 Kč, xxxxxxx xx xxxxxx xxxxxx xxxxxxx. |
Xxxx xxxxxxxx xxxxxxx, narušení xxxx xxxxxxxxxxxx xxxxxx xxx xxxx než 50 000 xxxx. |
|
4. Kritická |
Může xxxx k xxxxxx xxxxxx xxxxxxx xxxx xxx 2 500 xxxx xxxx x xxxxxxx xxxxxxxx nebo xxxxxx xxxxxx xxxxxxx xxxx xxx 250 xxxx. |
Xxxx vést k xxxxxxx nebo narušení xxxxxxxxxx xxxxxxxx xxxxx, xxxxx je nezbytné xxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx Xxxxx xxxxxxxxx. |
Xxxx vést x xxxxxxxxx x xxxxxxxxxxxx narušení xxxxxxxxxx xxxxxxxxxx xxxxxxxx činnost xxxx xx xxxxxxxxxxx xxxxxxxxxx soudního xxxxxx xxxxxxxxx. |
Xxxx xxx dotčena xxxxxxxx infrastruktura provozovaná xxxxxxx veřejné xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxx správy, k xxxxxxxxx xxxxx xxxxxxx xx být využíván xxxxx xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx s xxxxxxxxxxxx dopady. |
Může xxxx x xxxxxxx xxxxxxxxx xxxx xxxxxxxxx diplomatických xxxxxx České republiky xx xxxxxxxxxxxx xxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, který xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx úrovně, x xxxx negativně ovlivnit xxxxxx s jinými xxxxxxxx xxxx xxxxxx x veřejností x xxxxxxxxx xxxxxxxx xxxxx xxx xxxxxxxxxx a x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x finančním xxxxxxx xxxxxx než 10 % xxxxxxx xxxxxx ročního xxxxxxxx xxxxxx veřejné xxxxxx x tyto xxxxxx xxxxxxxxxx částce 10 000 000 Xx x xxxxx, xxxx xxxx způsobit xxxxxxxxxxx xxxxxx Xxxxx xxxxxxxxx xxxxx xxx 0,5 % xxxxxxx xxxxxxxx xxxxxxxx. X xxxxxxx, xx xxxx xxxxxxxx xxxxxx odpovídá částce xxxxx xxx 10 000 000 Xx, xxxxxxx xx úroveň xxxxxx xxxxxx. |
Xxxx být xxxxxxx kritická infrastruktura xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, xxxxx informační xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxxxxx do xxxxxxxxxxxx xxxxxx, x může xxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx xxxxxx postihujícího xxxx xxx 125 000 lidí. |
Skupiny xxxxxxxx xxx oblast xxxxxx X. Ochrana xxxxxxxx xxxxx
1)&xxxx;Xxxxx skupinu xxxxxxxx xxxxx xxxx xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx xxxxxx údaje xxxxxxxxxx bez xxxxxxx xxxxxxxxxx xxxx jednat xxxxxx xxxxxxxx údajů x xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, pověsti xxxx charakteru nebo xxxxxxxxxx na xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxx, xxxxx, popřípadě xxxxxxx peníze nebo xxxx xxxxxxxxx xxxxxxx,
x)&xxxx;xxxxxxxxxxxx xx xxxxxx údaje, xxxxx kterých je xxxxxxx xxxxx zařaditelný xxxx xxxx xxxxxxx x xxxxxx xxxxxxxx xxxx situačně danou xxxxxxxxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxx, kterým xx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxx, xx bude xxxxxxx 5000 xx 10000 xxxxxxxx xxxxx,
x)&xxxx;xxxxxx xxxxx xxxx veřejně přístupné xxxxxxxxxxx počtu xxxxxx xxxx xxxx x
x)&xxxx;xxxxx xx x xxxxxxxxxx xxxxxxxx údajů systémem x xxxxxxxxxx xx xxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxx xxxx xx xxxxx o osobní xxxxx xxxxxxx xx xxxxxx xxxxxxx xxxxxxxx xxxxx.
2)&xxxx;Xxxxxx xxxxxxx xxxxxxxx xxxxx tato xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx zvláštní kategorie xxxxxxxx xxxxx xxxx xxxxx vysoce osobní xxxxxx, xxxxxxx xxxxxxxx xxxxx x xxxxx xxxxxxx, xxxx finančních xxxxxxxxxx, dluzích xxxx xxxxxxxx nebo xxxxxxxx xxxxxxx, záznamy o xxxxxxxx xxxxxxxxxx volání xxxxxxxx xxxxx, údaje x xxxxxxxxxxxx xxxxx xxxxxxxx xxxxx x xxxxxxx,
x)&xxxx;xxxxxxx xx zpracování xxxxxxxx údajů, xxxxxx xx dotčeno nebo xxx xxxxxxx předpokládat, xx xxxx xxxxxxx xxxx xxx 10000 xxxxxxxx xxxxx a
c) dochází x automatizovanému rozhodování, xxxxx xx xxxxxx xxxxxxxx xxxxx.
Informace
Právní xxxxxxx x. 411/2025 Xx. nabyl xxxxxxxxx dnem 1.11.2025.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx jich xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.