č. 410/2025 Sb., Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
VYHLÁŠKA
ze dne 26. září 2025
o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 13 odst. 3 a § 15 odst. 3 zákona č. 264/2025 Sb., o kybernetické bezpečnosti, (dále jen „zákon”):
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§ 1
Předmět úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie
1) a pro poskytovatele regulované služby v režimu nižších povinností (dále jen „povinná osoba”) upravuje
a)
obsah, způsob zavádění a provádění bezpečnostních opatření a
b)
stanovení významnosti dopadu kybernetického bezpečnostního incidentu.
§ 2
Vymezení pojmů
Pro účely této vyhlášky se rozumí
a)
uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, který využívá aktiva,
b)
privilegovaným uživatelem uživatel nebo jiná osoba, jejíž činnost na technickém aktivu může mít významný dopad na bezpečnost regulované služby,
c)
administrátorem privilegovaný uživatel nebo osoba zajišťující správu, provoz, užívání, údržbu a bezpečnost technického aktiva,
d)
bezpečnostní politikou soubor zásad a pravidel, která určují způsob zajištění ochrany aktiv.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
§ 3
Systém zajišťování minimální kybernetické bezpečnosti
(1)
Povinná osoba při zajišťování kybernetické bezpečnosti
a)
zavede a provádí bezpečnostní opatření, která jsou přiměřená bezpečnostním potřebám, a
b)
zavede a provádí alespoň bezpečnostní opatření podle odstavců 2 až 6, § 4 až 6 a § 10.
(2)
Povinná osoba
a)
stanoví přehled bezpečnostních opatření podle přílohy č. 1 k této vyhlášce, který obsahuje přehled všech bezpečnostních opatření, která
1.
byla povinnou osobou zavedena, včetně popisu jejich zavedení,
2.
budou povinnou osobou zavedena, včetně termínů pro jejich zavedení, priority jejich zavedení a určení osoby odpovědné za jejich zavedení, a
3.
nebyla zavedena, včetně odůvodnění jejich nezavedení,
b)
provede a dokumentuje alespoň jednou ročně aktualizaci přehledu bezpečnostních opatření, včetně vyhodnocení účinnosti zavedených bezpečnostních opatření,
c)
uchovává jednotlivé přehledy bezpečnostních opatření a jejich aktualizace alespoň po dobu 4 let.
(3)
Povinná osoba v rámci řízení bezpečnostní politiky a bezpečnostní dokumentace
a)
stanoví bezpečnostní politiku a bezpečnostní dokumentaci k bezpečnostním opatřením požadovaným touto vyhláškou,
b)
pravidelně přezkoumává a aktualizuje pravidla a postupy stanovené v bezpečnostní politice a bezpečnostní dokumentaci a
c)
vynucuje dodržování pravidel a postupů stanovených v bezpečnostní politice a bezpečnostní dokumentaci.
(4)
Povinná osoba v rámci řízení aktiv stanoví pravidla pro používání a manipulaci technických aktiv.
(5)
Povinná osoba při uzavírání smlouvy s dodavatelem do stanoveného rozsahu podle § 12 zákona zohlední hrozby a zranitelnosti spojené s tímto dodavatelem, celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti tohoto dodavatele, včetně postupů bezpečného vývoje a na základě toho zajistí, aby…
