Právní předpis byl sestaven k datu 01.11.2025.
Zobrazené znění právního předpisu je účinné od 01.11.2025.
Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy
411/2025 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Bezpečnostní úroveň §3
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně §4
Účinnost §5
Příloha - Úrovně a oblasti dopadu pro zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně
411
VYHLÁŠKA
ze xxx 26. xxxx 2025
o bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx správy
Národní xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §12 xxxx. 2 xxxx. x) xxxxxx č. 365/2000 Xx., x xxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx x o xxxxx xxxxxxxxx xxxxxxx zákonů, xx xxxxx xxxxxx x. 265/2025 Sb., (xxxx jen „zákon“):
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxx xxxxx §6l xxxx. 3 zákona x xxxxx upravuje xxxxxx zařazení xx xxxxxxxxxxxx xxxxxx.
§2
Vymezení xxxxx
Xxx xxxxx xxxx xxxxxxxx xx xxxxxx
x) oblastí xxxxxx xxxxxx xxxxxxxx přílohou x této vyhlášce, x rámci které xxxx xxx dopad xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx informační systém xxxxxxx xxxxxx, k xxxxxxxxx jehož xxxxxxx xx xxx xxxxxxxx xxxxx computing, xxxx xx xxxxxxxxxx nebo xxxxxx xxxx, xxxxxxx xxxxxxxx údajů, xxxxxxx xxxxxx, veřejný xxxxxxx, xxxxxxxxxxx vztahy, důvěryhodnost xxxxxx xxxxxxx správy, xxxxxxxx xxxxxx nebo xxxxxxxxxxx služeb, a
b) xxxxxx dopadu nízká, xxxxxxx, xxxxxx nebo xxxxxxxx xxxxxxx, která xxxxxxx xx xxxxxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxx správy, x xxxxxxxxx xxxxx xxxxxxx má xxx xxxxxxxx xxxxx xxxxxxxxx, x xxxxx xxxxxxx xxxxxx.
§3
Xxxxxxxxxxxx xxxxxx
Xxxxxxxxxxxx úroveň xx
x) xxxxx,
x) střední,
c) xxxxxx, nebo
d) xxxxxxxx.
§4
Xxxxxxxx informačního systému xxxxxxx správy, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, do xxxxxxxxxxxx úrovně
(1) Xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, do bezpečnostní xxxxxx xxxxxxx xxxxx xxxxxxx xxxxxx podle přílohy x této xxxxxxxx. Xxxxx veřejné xxxxxx xxxxxxxx naplnění xxxxxx dopadu, xxxxx xx informační xxxxxx xxxxxxx správy, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxx xxxxx xxxxxxx dopadu. Xxxxxx dopadu xx x rámci xxxxx xxxxxxx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxx xxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu orgán xxxxxxx xxxxxx zohlední xxxxx narušení xxxxxxxxxx, xxxxxxxxx x dostupnosti xxxxxxxxxxxx xxxxxxx veřejné xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, x povahu xxxxxx systému xxxx xxxxx. X xxxxxxx, xx xx xxx xxxxx xxxxxxxxxxx xxxxxxxx xxxxxx pouze xxxxxx xxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx, xxxxxxxx xx při xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx xxxx xxxxx xx xxxxxxxxxxxx xxxxxx xxxx vztah této xxxxx x xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxx xxxx xxxxx.
(3) Výsledná bezpečnostní xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, je xxxxxx x nejvyšší xxxxxx xxxxxx dosaženou xxx xxxxxxxxx jednotlivých xxxxxxx xxxxxx.
(4) Nejvyšší xxxxxxxxx xxxxxxxxxxxx úroveň xxxxxxxxxxxx systému xxxxxxx xxxxxx xxxx xxxxx xxxx xxx stanovena xxxxxxx pro jednu xxxx xxxxxxxxxxxx xxxxxxx xxxxxxx správy, x xxxxxxxxx jehož provozu xx xxx xxxxxxxx xxxxx computing.
(5) O xxxxxxx stanovení xxxxxxxxxxxx xxxxxx informačního systému xxxxxxx správy, x xxxxxxxxx xxxxx provozu xx být xxxxxxxx xxxxx computing, xxxxx xxxxxxxxxxx xxxxxxxx se xxxxxxx písemný záznam.
§5
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxxxxxx 2025.
Ředitel:
Ing. Xxxxx x. x.
Xxxxxxx
Xxxxxx x oblasti xxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx cloud xxxxxxxxx, do xxxxxxxxxxxx xxxxxx
xxxxxxxxx xxxxx xxxxxxx xx být xxxxxxxx xxxxx xxxxxxxxx, xx xxxxxxxxxxxx xxxxxx
|
Xxxxxxx dopadu |
||||||||
|
Úroveň xxxxxx |
X. |
X. |
C. |
X. |
E. |
X. |
X. |
H. |
|
1. Xxxxx |
Xxxxxx xxxx x xxxxxx zdraví jednotlivce xxx xxxxxxx lidí. |
Nemůže xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx computing, nebo xxxx negativně xxxxxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, k xxxxxxxxx xxxxx provozu xx xxx využíván xxxxx xxxxxxxxx, který naplňuje xxxxxxx xxx kritéria x první xxxxxxx xxxxxxxx pro xxxxxx xxxxxx B. Xxxxxxx xxxxxxxx údajů. |
Nemůže xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxx xxxxxxxxx xxxxxx osoby xxxx padělání x xxxxxxxxx veřejné xxxxxxx xxx nemůže ztížit xxxxxx xxxxxxxxxxx. |
Xxxxxx zapříčinit xxxxxxxx xxxxxxxx nebo xxxxx narušit xxxxxxx xxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx xxxxx České xxxxxxxxx x xxxxxxxxx. |
Xxxxxx xxxxxxxxx xxxxxxxx vztahy s xxxxxx subjekty xxxx xxxxxx x xxxxxxxxxx, xxxx xxxx xxxxxx x xxxx xxxxxxxxx xxxxxxxx, xxxxx negativní xxxxxxxx mohou být xxxxxxx lokální. |
Nemůže xxx xxxxxxx vést k xxxxxxxxx ztrátám, xxxx xxxx vést x xxxxxxxxx xxxxxxx menším xxx 1 % xxxxxxx xxxxxx ročního xxxxxxxx orgánu xxxxxxx xxxxxx. |
Xxxxxx xxxxxxxx omezení, xxxxxxxx xxxx nedostupnost xxxxxxx xxxxxxxxxxxxx xxxxxx, xxxx může xxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxxxx služeb xxx 5 000 x xxxx xxxx. |
|
2. Xxxxxxx |
Xxxx vést x xxxxxx xxxxxx xxxxxxxxxxx xxxx xxxxxxx xxxxxxx 100 xxxx. |
Xxxx xxxxxxxxx xxxxxxxx informační xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx provozu xx být xxxxxxxx xxxxx xxxxxxxxx, xxxxx xxxxxxxx xxx x xxxx xxxxxxxx x xxxxx xxxxxxx kritérií xxxx xxxxx xxxxxxxxx x druhé xxxxxxx xxxxxxxx xxx oblast xxxxxx B. Xxxxxxx xxxxxxxx xxxxx. |
Xxxx vytvořit xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxx přisvojení xxxxxxxxx úřadu, xxxxxxxx xxxxxxxxx xxxxxx osoby xxxx xxxxxxxx a xxxxxxxxx veřejné xxxxxxx xxxx xxxx xxxxxx xxxxxx vyšetřování. |
Může xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxx narušit veřejný xxxxxxx x xxxxxxxxx xxxxxx. |
Xxxx negativně xxxxxxxx xxxxx Xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx xxxx xxxxxx s xxxxxxxxxx, avšak xxxxxxxxx xxxxxxxx mohou xxx xxxxxxx xxxxxxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx xx výši xxxx 1 % x 5 % xxxxxxx xxxxxx ročního xxxxxxxx xxxxxx xxxxxxx správy x tyto xxxxxx xxxxxxxxxx částce 100 000 Xx a xxxxx. V xxxxxxx, xx xxxx xxxxxxxx xxxxxx odpovídá xxxxxx xxxxx než 100 000 Kč, xxxxxxx xx xxxxxx xxxxxx xxxxx. |
Xxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx xxx xxxx xxx 5 000, xxxxxxx však 50 000 xxxx. |
|
3. Xxxxxx |
Xxxx xxxx k poruše xxxxxx xxxxxxx více xxx 100 xxxx x xxxxxxx 2 500 lidí xxxx xxxxxxx xxxxxxxx xxxx xxxxxx života jednotlivce xxxx xxxxxxx nejvíce 250 xxxx. |
Xxxx negativně xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx správy, x xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx computing, xxxxx xxxxxxxx xxx x xxxx kritérií z xxxxx xxxxxxx kritérií xxx xxxxxx xxxxxx X. Xxxxxxx osobních xxxxx. |
Xxxx xxxx k xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx nebo x xxxxxxxx soudního xxxxxx xxxxxxxxx. |
Xxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxx jinak xxxxxxx narušit veřejný xxxxxxx s xxxxxxxxxxxx xxxxxx. |
Xxxx negativně xxxxxxxx xxxxx České republiky xx xxxxx. |
Xxxx xxxxxxxxx xxxxxxxx xxxxxx s xxxxxx xxxxxxxx xxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxxxxxx následky xxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x mezinárodním xxxxxx. |
Xxxx xxxx x finančním xxxxxxx vyšším než 5 % x xxxxxxxxxxx xxxxxxxxx 10 % xxxxxxx xxxxxx xxxxxxx xxxxxxxx orgánu xxxxxxx xxxxxx x xxxx ztráty xxxxxxxxxx xxxxxx 1 000 000 Kč x xxxxx, nebo může xxxxxxxx hospodářské xxxxxx Xxxxx xxxxxxxxx ve xxxx xxxx 0,1 % a 0,5 % hrubého domácího xxxxxxxx. X případě, xx xxxx finanční xxxxxx odpovídá xxxxxx xxxxx než 1 000 000 Xx, xxxxxxx xx xxxxxx xxxxxx střední. |
Může xxxxxxxx xxxxxxx, narušení nebo xxxxxxxxxxxx xxxxxx pro xxxx xxx 50 000 osob. |
|
4. Xxxxxxxx |
Xxxx xxxx x xxxxxx xxxxxx xxxxxxx xxxx xxx 2 500 xxxx nebo x xxxxxxx xxxxxxxx xxxx xxxxxx života xxxxxxx xxxx než 250 xxxx. |
Xxxx xxxx x xxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx, xxxxx xx nezbytné xxx zajišťování xxxxxxxxx x xxxxxxxxxxxxxx xxxxx Xxxxx xxxxxxxxx. |
Xxxx xxxx x závažnému x xxxxxxxxxxxx xxxxxxxx schopnosti xxxxxxxxxx xxxxxxxx činnost xxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx správy, xxxxx informační xxxxxx xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx využíván xxxxx xxxxxxxxx, xxxxxxxx xx xxxxxxxxxxxx úrovně, x xxxx zapříčinit xxxxxxxx nepokoje xxxx xxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx s xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x přímému poškození xxxx xxxxxxxxx diplomatických xxxxxx Xxxxx republiky xx xxxxxxxxxxxx xxxxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx správy, xxxxx xxxxxxxxxx systém xxxxxxx xxxxxx, k xxxxxxxxx xxxxx xxxxxxx xx xxx xxxxxxxx xxxxx xxxxxxxxx, zařazuje do xxxxxxxxxxxx xxxxxx, x xxxx xxxxxxxxx xxxxxxxx xxxxxx s xxxxxx xxxxxxxx xxxx vztahy x xxxxxxxxxx x xxxxxxxxx následky xxxxx xxx xxxxxxxxxx x x xxxxxxxxxxxx xxxxxx. |
Xxxx xxxx x xxxxxxxxx xxxxxxx vyšším xxx 10 % xxxxxxx xxxxxx xxxxxxx rozpočtu xxxxxx veřejné správy x tyto xxxxxx xxxxxxxxxx xxxxxx 10 000 000 Xx x vyšší, xxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxx Xxxxx xxxxxxxxx xxxxx xxx 0,5 % xxxxxxx xxxxxxxx xxxxxxxx. X xxxxxxx, xx výše xxxxxxxx xxxxxx odpovídá xxxxxx xxxxx než 10 000 000 Xx, xxxxxxx xx xxxxxx xxxxxx xxxxxx. |
Xxxx xxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx veřejné xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx, x xxxxxxxxx xxxxx xxxxxxx má být xxxxxxxx xxxxx computing, xxxxxxxx do xxxxxxxxxxxx xxxxxx, x xxxx xxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxxxx nezbytných xxxxxx xxxx jinému xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx postihujícího xxxx než 125 000 lidí. |
Skupiny kritérií xxx xxxxxx xxxxxx X. Xxxxxxx xxxxxxxx xxxxx
1)&xxxx;Xxxxx skupinu xxxxxxxx xxxxx xxxx kritéria:
a) zpracovávají xx osobní xxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxx xxxxxxxx údajů x xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, xxxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxxxx na účet xxxxxxxx xxxxx xxxxxxxx xxxxxx, zboží, popřípadě xxxxxxx xxxxxx nebo xxxx majetkové hodnoty,
b) zpracovávají xx osobní údaje, xxxxx xxxxxxx xx xxxxxxx xxxxx xxxxxxxxxxx xxxx xxxx skupiny x xxxxxx omezenou xxxx situačně xxxxx xxxxxxxxxxxxx,
x)&xxxx;xxxxxxx ke xxxxxxxxxx xxxxxxxx xxxxx, kterým xx dotčeno xxxx xxx xxxxxxx xxxxxxxxxxxx, xx xxxx dotčeno 5000 xx 10000 xxxxxxxx xxxxx,
x)&xxxx;xxxxxx xxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx počtu xxxxxx xxxx xxxx x
x)&xxxx;xxxxx xx x xxxxxxxxxx xxxxxxxx xxxxx systémem x xxxxxxxxxx xx xxxx xxxxxxxxxx prováděná xxxxxxx xxxxxxxx xxxxxxxx xxxxx xxxx se xxxxx x xxxxxx xxxxx xxxxxxx od xxxxxx správců xxxxxxxx xxxxx.
2)&xxxx;Xxxxxx xxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxx:
x)&xxxx;xxxxxxxxxxxx xx xxxxxxxx kategorie xxxxxxxx údajů xxxx xxxxx xxxxxx osobní xxxxxx, xxxxxxx xxxxxxxx xxxxx o xxxxx xxxxxxx, výši xxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx, záznamy o xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxx, údaje x xxxxxxxxxxxx xxxxx xxxxxxxx xxxxx x xxxxxxx,
x)&xxxx;xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxx, xxxxxx xx dotčeno nebo xxx xxxxxxx xxxxxxxxxxxx, xx xxxx dotčeno xxxx xxx 10000 xxxxxxxx údajů a
c) dochází x xxxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxx xxxxxxxx xxxxx.
Informace
Právní xxxxxxx č. 411/2025 Xx. xxxxx xxxxxxxxx xxxx 1.11.2025.
Xx xxx xxxxxxxx právní xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx právního xxxxxxxx.