č. 409/2025 Sb., Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
VYHLÁŠKA
ze dne 26. září 2025
o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 13 odst. 3 zákona č. 264/2025 Sb., o kybernetické bezpečnosti, (dále jen „zákon”):
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§ 1
Předmět právní úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie1) a pro poskytovatele regulované služby v režimu vyšších povinností (dále jen „povinná osoba”) upravuje obsah bezpečnostních opatření a způsob jejich zavádění a provádění.
§ 2
Vymezení pojmů
Pro účely této vyhlášky se rozumí
a)
uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, který využívá aktiva,
b)
privilegovaným uživatelem uživatel nebo jiná osoba, jejíž činnost na technickém aktivu může mít významný dopad na bezpečnost regulované služby,
c)
administrátorem privilegovaný uživatel nebo jiná osoba zajišťující správu, provoz, užívání, údržbu a bezpečnost technického aktiva,
d)
bezpečnostní politikou soubor zásad a pravidel, která určují způsob zajištění ochrany aktiv,
e)
hodnocením rizik proces určování, analýzy a vyhodnocení rizik,
f)
řízením rizik proces zahrnující hodnocení rizik, zavádění bezpečnostních opatření ke zvládání rizik a komunikaci rizik,
g)
systémem řízení bezpečnosti informací část systému řízení povinné osoby založená na přístupu k rizikům, zahrnující způsob ustanovení, zavádění, provozování, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací a
h)
významným dodavatelem ten, kdo povinné osobě poskytuje plnění, které je významné z hlediska zajištění kybernetické bezpečnosti regulované služby.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I
Organizační opatření
§ 3
Systém řízení bezpečnosti informací
Povinná osoba v rámci systému řízení bezpečnosti informací
a)
stanoví cíle systému řízení bezpečnosti informací směřující k zajištění kybernetické bezpečnosti regulované služby,
b)
řídí rizika podle § 8,
c)
zavede a provádí přiměřená bezpečnostní opatření směřující k zajištění kybernetické bezpečnosti regulované služby na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a řízení rizik,
d)
stanoví bezpečnostní politiku a bezpečnostní dokumentaci ve vztahu k řízení kybernetické bezpečnosti, která obsahuje hlavní zásady, cíle systému řízení bezpečnosti informací, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku a bezpečnostní dokumentaci v dalších oblastech podle § 6,
e)
zajistí provedení auditu kybernetické bezpečnosti podle § 16,
f)
zajistí alespoň jednou ročně vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje
1.
vyhodnocení cílů systému řízení bezpečnosti informací směřujících k zajištění kybernetické bezpečnosti regulované služby,
2.
posouzení naplňování plánu zvládání rizik zpracovaného podle § 8 odst. 1 písm. g),
3.
hodnocení stavu systému řízení bezpečnosti…
