Právní předpis byl sestaven k datu 01.11.2025.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy
411/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Bezpečnostní úroveň §3
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně §4
Účinnost §5
Příloha - Úrovně a oblasti dopadu pro zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně
411
VYHLÁŠKA
ze xxx 26. xxxx 2025
x bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx správy
Národní xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §12 xxxx. 2 xxxx. x) xxxxxx x. 365/2000 Xx., x xxxxxxxxxxxx xxxxxxxxx xxxxxxx správy x x změně xxxxxxxxx xxxxxxx xxxxxx, xx xxxxx xxxxxx x. 265/2025 Xx., (xxxx jen „xxxxx“):
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxx bezpečnostní xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx §6l xxxx. 3 xxxxxx x xxxxx xxxxxxxx xxxxxx xxxxxxxx do xxxxxxxxxxxx úrovně.
§2
Xxxxxxxx pojmů
Pro xxxxx xxxx xxxxxxxx xx xxxxxx
x) xxxxxxx dopadu xxxxxx vymezená přílohou x xxxx xxxxxxxx, x xxxxx xxxxx xxxx xxx dopad xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx informační xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx provozu xx xxx využíván xxxxx xxxxxxxxx, xxxx xx xxxxxxxxxx xxxx xxxxxx xxxx, xxxxxxx xxxxxxxx xxxxx, xxxxxxx xxxxxx, xxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxx, xxxxxxxxxxxxx xxxxxx xxxxxxx xxxxxx, xxxxxxxx xxxxxx nebo xxxxxxxxxxx xxxxxx, x
x) xxxxxx xxxxxx xxxxx, xxxxxxx, xxxxxx nebo xxxxxxxx xxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx cloud xxxxxxxxx, x xxxxx oblasti xxxxxx.
§3
Bezpečnostní xxxxxx
Xxxxxxxxxxxx xxxxxx xx
x) nízká,
b) xxxxxxx,
x) xxxxxx, xxxx
x) xxxxxxxx.
§4
Xxxxxxxx informačního systému xxxxxxx správy, k xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx computing, xx xxxxxxxxxxxx úrovně
(1) Zařazení xxxxxxxxxxxx systému xxxxxxx xxxxxx, x zajištění xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx xxxxxxx orgán xxxxxxx správy podle přílohy x této xxxxxxxx. Orgán xxxxxxx xxxxxx zhodnotí xxxxxxxx xxxxxx xxxxxx, xxxxx xx informační xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxx xxxxx xxxxxxx dopadu. Xxxxxx dopadu je x rámci každé xxxxxxx xxxxxx dána xxxxxxxxxxxxxx možným xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu.
(2) Xxx xxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx orgán xxxxxxx xxxxxx xxxxxxxx xxxxx narušení xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx veřejné xxxxxx, x xxxxxxxxx xxxxx provozu má xxx využíván cloud xxxxxxxxx, a xxxxxx xxxxxx xxxxxxx xxxx xxxxx. X případě, xx xx být xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx xxxxx určité xxxxx xxxxxxxxxxxx systému xxxxxxx správy, xxxxxxxx xx při hodnocení xxxxxx xxxxxx a xxxxxxxxxx této xxxxx xx bezpečnostní úrovně xxxx xxxxx této xxxxx x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxx správy jako xxxxx.
(3) Výsledná xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, xx xxxxxx x xxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxx hodnocení xxxxxxxxxxxx xxxxxxx xxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx úroveň xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxx xxxxx xxxx xxx stanovena xxxxxxx xxx jednu xxxx informačního systému xxxxxxx správy, k xxxxxxxxx jehož provozu xx xxx využíván xxxxx xxxxxxxxx.
(5) X xxxxxxx stanovení xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, x xxxxxxxxx jehož provozu xx xxx xxxxxxxx xxxxx computing, xxxxx xxxxxxxxxxx odstavců se xxxxxxx xxxxxxx záznam.
§5
Účinnost
Tato xxxxxxxx nabývá xxxxxxxxx xxxx 1. xxxxxxxxx 2025.
&xxxx;
Xxxxxxx:
Xxx. Kintr x. x.
Příloha
Úrovně x xxxxxxx xxxxxx pro zařazení xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, k zajištění xxxxx xxxxxxx má xxx xxxxxxxx xxxxx xxxxxxxxx, do xxxxxxxxxxxx xxxxxx
xxxxxxxxx xxxxx provozu xx xxx využíván xxxxx xxxxxxxxx, xx xxxxxxxxxxxx úrovně
Oblasti xxxxxx |
||||||||
Xxxxxx xxxxxx |
X. |
X. |
C. |
D. |
E. |
X. |
X. |
H. |
1. Xxxxx |
Xxxxxx xxxx x xxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxxx xxxx. |
Xxxxxx xxxxxxxx informační xxxxxx xxxxxxx správy, x xxxxxxxxx jehož xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, nebo xxxx xxxxxxxxx ovlivnit xxxxxxxxxx xxxxxx veřejné xxxxxx, x zajištění xxxxx xxxxxxx xx xxx xxxxxxxx cloud xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxx pro oblast xxxxxx X. Ochrana xxxxxxxx xxxxx. |
Xxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxx přisvojení xxxxxxxxx úřadu, xxxxxxxx xxxxxxxxx úřední osoby xxxx padělání x xxxxxxxxx xxxxxxx xxxxxxx xxx nemůže xxxxxx xxxxxx xxxxxxxxxxx. |
Xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx nebo xxxxx xxxxxxx xxxxxxx xxxxxxx. |
Xxxxxx negativně ovlivnit xxxxx Xxxxx republiky x xxxxxxxxx. |
Xxxxxx negativně xxxxxxxx xxxxxx x xxxxxx xxxxxxxx xxxx xxxxxx x veřejností, xxxx xxxx xxxxxx x nimi xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxx být xxxxxxx xxxxxxx. |
Xxxxxx ani xxxxxxx xxxx x xxxxxxxxx xxxxxxx, nebo xxxx xxxx x xxxxxxxxx ztrátám xxxxxx xxx 1 % xxxxxxx výdajů xxxxxxx xxxxxxxx orgánu xxxxxxx xxxxxx. |
Xxxxxx xxxxxxxx xxxxxxx, xxxxxxxx nebo nedostupnost xxxxxxx xxxxxxxxxxxxx xxxxxx, xxxx xxxx způsobit xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxx 5 000 x méně osob. |
2. Xxxxxxx |
Xxxx xxxx k xxxxxx xxxxxx xxxxxxxxxxx xxxx xxxxxxx xxxxxxx 100 xxxx. |
Xxxx negativně xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx jehož xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx a xxxx xxxxxxxx x xxxxx skupiny xxxxxxxx xxxx xxxxx xxxxxxxxx x druhé skupiny xxxxxxxx xxx xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx údajů. |
Může xxxxxxxx xxxxxxxx xxx páchání xxxxxxxxx xxxx přisvojení xxxxxxxxx úřadu, zneužití xxxxxxxxx xxxxxx xxxxx xxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx xxxx xxxx ztížit xxxxxx xxxxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx veřejný xxxxxxx x xxxxxxxxx xxxxxx. |
Xxxx xxxxxxxxx ovlivnit xxxxx Xxxxx republiky x sousedních státech. |
Může xxxxxxxxx xxxxxxxx vztahy x xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx mohou být xxxxxxx xxxxxxxxxx. |
Xxxx xxxx x finančním xxxxxxx xx výši xxxx 1 % x 5 % běžných xxxxxx xxxxxxx xxxxxxxx xxxxxx veřejné xxxxxx x tyto xxxxxx xxxxxxxxxx částce 100 000 Xx x xxxxx. X xxxxxxx, xx xxxx finanční xxxxxx xxxxxxxx částce xxxxx než 100 000 Xx, xxxxxxx xx xxxxxx dopadu xxxxx. |
Xxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx pro xxxx xxx 5 000, xxxxxxx xxxx 50 000 xxxx. |
3. Vysoká |
Může xxxx x xxxxxx xxxxxx skupiny xxxx xxx 100 lidí x xxxxxxx 2 500 lidí xxxx xxxxxxx xxxxxxxx xxxx xxxxxx xxxxxx xxxxxxxxxxx xxxx xxxxxxx nejvíce 250 xxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, který xxxxxxxx xxx x xxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxx oblast xxxxxx X. Xxxxxxx osobních xxxxx. |
Xxxx xxxx x xxxxxxxx vyšetřování xxxxxxx xxxxxxxx xxxx x xxxxxxxx xxxxxxxx řízení xxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx jinak xxxxxxx xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx xxxxxxxxx xx xxxxx. |
Xxxx negativně xxxxxxxx xxxxxx s xxxxxx xxxxxxxx nebo xxxxxx x xxxxxxxxxx, xxxxx negativní xxxxxxxx xxxxx být xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x mezinárodním xxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx vyšším než 5 % a xxxxxxxxxxx maximálně 10 % xxxxxxx výdajů xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx x xxxx xxxxxx xxxxxxxxxx xxxxxx 1 000 000 Kč x xxxxx, xxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx republiky xx xxxx xxxx 0,1 % x 0,5 % hrubého xxxxxxxx xxxxxxxx. X xxxxxxx, xx xxxx finanční xxxxxx xxxxxxxx xxxxxx xxxxx xxx 1 000 000 Xx, xxxxxxx xx xxxxxx xxxxxx xxxxxxx. |
Xxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxx xxxx než 50 000 xxxx. |
4. Xxxxxxxx |
Xxxx xxxx x poruše xxxxxx skupiny xxxx xxx 2 500 xxxx nebo k xxxxxxx xxxxxxxx xxxx xxxxxx života xxxxxxx xxxx xxx 250 xxxx. |
Xxxx vést x xxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx, xxxxx je xxxxxxxx xxx zajišťování xxxxxxxxx x xxxxxxxxxxxxxx xxxxx Xxxxx republiky. |
Může xxxx x xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx schopnosti xxxxxxxxxx trestnou činnost xxxx ke zpochybnění xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx infrastruktura xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxx správy, x xxxxxxxxx xxxxx provozu xx být využíván xxxxx computing, zařazuje xx bezpečnostní xxxxxx, x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx závažně xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxxxxx dopady. |
Může vést x xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxx České xxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx provozovaná xxxxxxx xxxxxxx xxxxxx, který xxxxxxxxxx systém veřejné xxxxxx, k zajištění xxxxx provozu má xxx využíván xxxxx xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx úrovně, x xxxx negativně ovlivnit xxxxxx s xxxxxx xxxxxxxx xxxx vztahy x veřejností x xxxxxxxxx xxxxxxxx xxxxx xxx dlouhodobé a x xxxxxxxxxxxx prvkem. |
Může xxxx x xxxxxxxxx xxxxxxx xxxxxx xxx 10 % běžných xxxxxx xxxxxxx rozpočtu xxxxxx xxxxxxx xxxxxx x xxxx ztráty xxxxxxxxxx částce 10 000 000 Kč x vyšší, xxxx xxxx způsobit xxxxxxxxxxx xxxxxx České xxxxxxxxx xxxxx než 0,5 % xxxxxxx xxxxxxxx xxxxxxxx. X xxxxxxx, xx xxxx finanční xxxxxx xxxxxxxx xxxxxx xxxxx xxx 10 000 000 Xx, xxxxxxx xx xxxxxx xxxxxx xxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx veřejné xxxxxx, xxxxx xxxxxxxxxx xxxxxx veřejné xxxxxx, x xxxxxxxxx xxxxx xxxxxxx má xxx xxxxxxxx cloud xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x může xxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xxxx než 125 000 xxxx. |
Xxxxxxx xxxxxxxx xxx oblast xxxxxx X. Xxxxxxx osobních xxxxx
1)&xxxx;Xxxxx skupinu xxxxxxxx xxxxx xxxx kritéria:
a) zpracovávají xx xxxxxx xxxxx xxxxxxxxxx bez xxxxxxx xxxxxxxxxx xxxx jednat xxxxxx xxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, xxxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxxxx xx účet xxxxxxxx xxxxx odebírat xxxxxx, xxxxx, xxxxxxxxx xxxxxxx xxxxxx xxxx xxxx xxxxxxxxx hodnoty,
b) zpracovávají xx xxxxxx xxxxx, xxxxx xxxxxxx xx xxxxxxx xxxxx zařaditelný xxxx xxxx xxxxxxx x xxxxxx xxxxxxxx xxxx xxxxxxxx xxxxx xxxxxxxxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxx, kterým xx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxx, xx xxxx xxxxxxx 5000 xx 10000 xxxxxxxx xxxxx,
x)&xxxx;xxxxxx xxxxx xxxx veřejně xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxx xxxx a
e) jedná xx x zpracování xxxxxxxx údajů systémem x xxxxxxxxxx xx xxxx xxxxxxxxxx xxxxxxxxx xxxxxxx správcem xxxxxxxx xxxxx xxxx se xxxxx o xxxxxx xxxxx xxxxxxx od xxxxxx xxxxxxx xxxxxxxx xxxxx.
2)&xxxx;Xxxxxx skupinu kritérií xxxxx xxxx xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx zvláštní xxxxxxxxx xxxxxxxx xxxxx nebo xxxxx vysoce osobní xxxxxx, xxxxxxx xxxxxxxx xxxxx o xxxxx xxxxxxx, výši xxxxxxxxxx xxxxxxxxxx, dluzích xxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxx xxxxxxxxxx volání xxxxxxxx xxxxx, údaje x elektronické xxxxx xxxxxxxx xxxxx x xxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxx, xxxxxx xx xxxxxxx nebo xxx důvodně xxxxxxxxxxxx, xx bude xxxxxxx xxxx xxx 10000 xxxxxxxx údajů a
c) dochází x xxxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxx xxxxxxxx údajů.
Informace
Právní xxxxxxx x. 411/2025 Sb. xxxxx xxxxxxxxx dnem 1.11.2025.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.