Právní předpis byl sestaven k datu 01.11.2025.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy
411/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Bezpečnostní úroveň §3
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně §4
Účinnost §5
Příloha - Úrovně a oblasti dopadu pro zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně
411
VYHLÁŠKA
ze xxx 26. xxxx 2025
x bezpečnostních xxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxx
&xxxx;
Xxxxxxx xxxx xxx kybernetickou a xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §12 xxxx. 2 xxxx. g) xxxxxx x. 365/2000 Xx., o xxxxxxxxxxxx xxxxxxxxx veřejné xxxxxx x x xxxxx xxxxxxxxx xxxxxxx zákonů, xx xxxxx zákona x. 265/2025 Sb., (xxxx jen „xxxxx“):
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxx bezpečnostní xxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxx podle §6l xxxx. 3 zákona x xxxxx xxxxxxxx xxxxxx zařazení xx xxxxxxxxxxxx xxxxxx.
§2
Vymezení pojmů
Pro účely xxxx xxxxxxxx xx xxxxxx
x) oblastí dopadu xxxxxx vymezená přílohou x xxxx xxxxxxxx, x xxxxx xxxxx xxxx xxx xxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxxxxxxx xxxxxx xxxxxxx správy, k xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, vliv xx bezpečnost nebo xxxxxx xxxx, ochranu xxxxxxxx xxxxx, xxxxxxx xxxxxx, xxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxx, xxxxxxxxxxxxx xxxxxx veřejné správy, xxxxxxxx xxxxxx xxxx xxxxxxxxxxx xxxxxx, x
x) xxxxxx dopadu nízká, xxxxxxx, xxxxxx xxxx xxxxxxxx xxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx na informační xxxxxx xxxxxxx správy, x xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, x xxxxx xxxxxxx xxxxxx.
§3
Xxxxxxxxxxxx xxxxxx
Xxxxxxxxxxxx úroveň xx
x) xxxxx,
x) střední,
c) xxxxxx, xxxx
x) xxxxxxxx.
§4
Zařazení xxxxxxxxxxxx systému xxxxxxx xxxxxx, k xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx xxxxx computing, xx xxxxxxxxxxxx úrovně
(1) Xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x zajištění xxxxx xxxxxxx xx xxx využíván cloud xxxxxxxxx, do xxxxxxxxxxxx xxxxxx provede xxxxx xxxxxxx správy xxxxx přílohy x xxxx xxxxxxxx. Xxxxx xxxxxxx xxxxxx xxxxxxxx naplnění xxxxxx xxxxxx, xxxxx xx xxxxxxxxxx systém xxxxxxx xxxxxx, x xxxxxxxxx jehož provozu xx xxx xxxxxxxx xxxxx computing, xxxxxxx xxxxxxxxx x xxxxx xxxxx xxxxxxx xxxxxx. Xxxxxx dopadu xx x xxxxx xxxxx xxxxxxx xxxxxx dána xxxxxxxxxxxxxx možným xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxx xxxxxxxxxx nejzávažnějšího xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu orgán xxxxxxx xxxxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx cloud xxxxxxxxx, x povahu xxxxxx systému xxxx xxxxx. X xxxxxxx, xx xx xxx xxxxx xxxxxxxxxxx zajištěn xxxxxx pouze xxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, zohlední xx při xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx xxxx xxxxx xx bezpečnostní xxxxxx xxxx vztah xxxx xxxxx k xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx xxxx xxxxx.
(3) Výsledná bezpečnostní xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, je xxxxxx x nejvyšší xxxxxx dopadu dosaženou xxx hodnocení jednotlivých xxxxxxx xxxxxx.
(4) Xxxxxxxx xxxxxxxxx bezpečnostní úroveň xxxxxxxxxxxx systému xxxxxxx xxxxxx xxxx xxxxx xxxx xxx xxxxxxxxx xxxxxxx pro jednu xxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, x xxxxxxxxx jehož xxxxxxx xx být využíván xxxxx computing.
(5) X xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxx písemný xxxxxx.
§5
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx dnem 1. xxxxxxxxx 2025.
&xxxx;
Xxxxxxx:
Xxx. Kintr x. x.
Xxxxxxx
Xxxxxx a xxxxxxx xxxxxx xxx zařazení xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx, xx bezpečnostní xxxxxx
xxxxxxxxx jehož xxxxxxx xx být xxxxxxxx xxxxx computing, xx xxxxxxxxxxxx xxxxxx
|
Xxxxxxx xxxxxx |
||||||||
|
Xxxxxx xxxxxx |
X. |
X. |
X. |
X. |
X. |
X. |
X. |
X. |
|
1. Xxxxx |
Xxxxxx xxxx x xxxxxx xxxxxx jednotlivce xxx xxxxxxx xxxx. |
Xxxxxx xxxxxxxx xxxxxxxxxx systém xxxxxxx správy, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, xxxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x zajištění xxxxx provozu xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx X. Ochrana xxxxxxxx xxxxx. |
Xxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxx přisvojení xxxxxxxxx úřadu, xxxxxxxx xxxxxxxxx xxxxxx osoby xxxx xxxxxxxx x xxxxxxxxx veřejné listiny xxx xxxxxx xxxxxx xxxxxx vyšetřování. |
Nemůže xxxxxxxxxx xxxxxxxx nepokoje xxxx xxxxx xxxxxxx veřejný xxxxxxx. |
Xxxxxx xxxxxxxxx ovlivnit xxxxx Xxxxx xxxxxxxxx x xxxxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx vztahy x xxxxxx xxxxxxxx nebo xxxxxx x xxxxxxxxxx, xxxx může vztahy x nimi negativně xxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxx být xxxxxxx xxxxxxx. |
Xxxxxx xxx xxxxxxx xxxx x xxxxxxxxx xxxxxxx, xxxx xxxx vést x xxxxxxxxx xxxxxxx menším xxx 1 % xxxxxxx výdajů xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx. |
Xxxxxx způsobit xxxxxxx, xxxxxxxx nebo nedostupnost xxxxxxx xxxxxxxxxxxxx xxxxxx, xxxx xxxx xxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxxxx služeb xxx 5 000 x xxxx xxxx. |
|
2. Xxxxxxx |
Xxxx vést x xxxxxx zdraví xxxxxxxxxxx xxxx xxxxxxx xxxxxxx 100 xxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx a xxxx xxxxxxxx z xxxxx xxxxxxx xxxxxxxx xxxx jedno kritérium x xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx B. Xxxxxxx xxxxxxxx údajů. |
Může xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx úřadu, zneužití xxxxxxxxx úřední xxxxx xxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx xxxx xxxx xxxxxx xxxxxx xxxxxxxxxxx. |
Xxxx zapříčinit xxxxxxxx xxxxxxxx nebo xxxxx narušit xxxxxxx xxxxxxx s lokálními xxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxx České xxxxxxxxx x xxxxxxxxxx xxxxxxx. |
Xxxx xxxxxxxxx ovlivnit xxxxxx x xxxxxx subjekty xxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxx xxx xxxxxxx regionální. |
Může xxxx x finančním ztrátám xx xxxx xxxx 1 % x 5 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx x tyto ztráty xxxxxxxxxx xxxxxx 100 000 Xx x xxxxx. X xxxxxxx, xx výše xxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx než 100 000 Kč, xxxxxxx xx xxxxxx xxxxxx xxxxx. |
Xxxx způsobit omezení, xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx pro více xxx 5 000, xxxxxxx však 50 000 xxxx. |
|
3. Xxxxxx |
Xxxx xxxx k poruše xxxxxx skupiny xxxx xxx 100 xxxx x xxxxxxx 2 500 xxxx xxxx xxxxxxx ohrožení xxxx xxxxxx xxxxxx xxxxxxxxxxx xxxx xxxxxxx nejvíce 250 xxxx. |
Xxxx xxxxxxxxx xxxxxxxx informační systém xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, který xxxxxxxx xxx x xxxx kritérií x xxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx xxxxx. |
Xxxx vést x xxxxxxxx vyšetřování trestné xxxxxxxx xxxx x xxxxxxxx soudního xxxxxx xxxxxxxxx. |
Xxxx zapříčinit xxxxxxxx xxxxxxxx xxxx jinak xxxxxxx xxxxxxx veřejný xxxxxxx x regionálními xxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxx Xxxxx xxxxxxxxx xx xxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxx x xxxxxx subjekty nebo xxxxxx s xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxx být xxxxxxx xxxxxxxxxx xxxx krátkodobé x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx xxxxxx xxx 5 % x xxxxxxxxxxx xxxxxxxxx 10 % běžných xxxxxx xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx a xxxx xxxxxx xxxxxxxxxx xxxxxx 1 000 000 Kč a xxxxx, xxxx xxxx xxxxxxxx xxxxxxxxxxx ztráty Xxxxx xxxxxxxxx ve xxxx mezi 0,1 % x 0,5 % xxxxxxx xxxxxxxx xxxxxxxx. X xxxxxxx, xx výše xxxxxxxx xxxxxx xxxxxxxx částce xxxxx xxx 1 000 000 Xx, xxxxxxx xx úroveň xxxxxx xxxxxxx. |
Xxxx způsobit xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx služeb xxx xxxx než 50 000 xxxx. |
|
4. Xxxxxxxx |
Xxxx xxxx x xxxxxx xxxxxx skupiny více xxx 2 500 xxxx nebo x xxxxxxx xxxxxxxx xxxx xxxxxx xxxxxx skupiny xxxx xxx 250 xxxx. |
Xxxx xxxx k xxxxxxx nebo xxxxxxxx xxxxxxxxxx xxxxxxxx údajů, xxxxx je xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxx x bezpečnostních xxxxx Xxxxx republiky. |
Může xxxx x xxxxxxxxx a xxxxxxxxxxxx xxxxxxxx schopnosti xxxxxxxxxx xxxxxxxx xxxxxxx xxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx řízení xxxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx správy, xxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx xxx xxxxxxxx xxxxx computing, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x xxxx zapříčinit xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx narušit xxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x přímému poškození xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxx Xxxxx republiky xx xxxxxxxxxxxx xxxxxxxx. |
Xxxx xxx xxxxxxx kritická xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx správy, který xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x zajištění xxxxx xxxxxxx xx xxx xxxxxxxx cloud xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, a xxxx negativně xxxxxxxx xxxxxx s xxxxxx xxxxxxxx xxxx vztahy x veřejností a xxxxxxxxx xxxxxxxx mohou xxx dlouhodobé x x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx xxxxxx xxx 10 % xxxxxxx xxxxxx ročního xxxxxxxx xxxxxx xxxxxxx xxxxxx x tyto ztráty xxxxxxxxxx xxxxxx 10 000 000 Xx x xxxxx, xxxx xxxx xxxxxxxx hospodářské xxxxxx Xxxxx xxxxxxxxx xxxxx než 0,5 % xxxxxxx domácího xxxxxxxx. X případě, xx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx než 10 000 000 Xx, xxxxxxx xx xxxxxx xxxxxx xxxxxx. |
Xxxx být xxxxxxx xxxxxxxx infrastruktura xxxxxxxxxxx orgánem xxxxxxx xxxxxx, který xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, xxxxxxxx xx xxxxxxxxxxxx xxxxxx, x xxxx xxxxx k xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx než 125 000 xxxx. |
Xxxxxxx kritérií xxx xxxxxx xxxxxx X. Ochrana xxxxxxxx xxxxx
1)&xxxx;Xxxxx xxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx xxxxxx údaje xxxxxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx jednat xxxxxx xxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, pověsti xxxx xxxxxxxxxx xxxx xxxxxxxxxx xx xxxx xxxxxxxx xxxxx odebírat xxxxxx, xxxxx, xxxxxxxxx xxxxxxx peníze xxxx xxxx xxxxxxxxx hodnoty,
b) zpracovávají xx osobní xxxxx, xxxxx xxxxxxx xx xxxxxxx xxxxx xxxxxxxxxxx xxxx člen xxxxxxx x xxxxxx xxxxxxxx xxxx xxxxxxxx danou xxxxxxxxxxxxx,
x)&xxxx;xxxxxxx xx zpracování xxxxxxxx údajů, xxxxxx xx xxxxxxx nebo xxx xxxxxxx xxxxxxxxxxxx, xx xxxx dotčeno 5000 až 10000 xxxxxxxx údajů,
d) osobní xxxxx xxxx veřejně xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxx osob x
x)&xxxx;xxxxx xx x zpracování xxxxxxxx xxxxx xxxxxxxx x propojením na xxxx zpracování xxxxxxxxx xxxxxxx správcem osobních xxxxx nebo se xxxxx x xxxxxx xxxxx získané xx xxxxxx xxxxxxx xxxxxxxx xxxxx.
2)&xxxx;Xxxxxx skupinu kritérií xxxxx tato xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx zvláštní xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxx vysoce xxxxxx xxxxxx, zejména xxxxxxxx xxxxx o stavu xxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxx, dluzích xxxx xxxxxxxx xxxx platební xxxxxxx, xxxxxxx x xxxxxxxx soukromých xxxxxx xxxxxxxx xxxxx, xxxxx x xxxxxxxxxxxx xxxxx xxxxxxxx údajů x xxxxxxx,
x)&xxxx;xxxxxxx ke xxxxxxxxxx xxxxxxxx údajů, xxxxxx xx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxx, xx xxxx xxxxxxx xxxx než 10000 xxxxxxxx xxxxx a
c) dochází x xxxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxx xxxxxxxx xxxxx.
Xxxxxxxxx
Xxxxxx xxxxxxx x. 411/2025 Xx. nabyl xxxxxxxxx xxxx 1.11.2025.
Xx xxx uzávěrky xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se jich xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.