TECHNICKÁ OPATŘENÍ

a) předchází poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního a komunikačního systému,

2. k zamezení poškození a neoprávněným zásahům a

b) stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány a zpracovávány informace a umístěna technická aktiva informačního a komunikačního systému, a

c) u fyzického bezpečnostního perimetru stanoveného podle písmene b) přijme nezbytná opatření a uplatňuje prostředky fyzické bezpečnosti

1. k zamezení neoprávněnému vstupu,

3. pro zajištění ochrany na úrovni objektů a v rámci objektů.

a) zajistí segmentaci komunikační sítě,

c) pomocí kryptografie zajistí důvěrnost a integritu dat při vzdáleném přístupu, vzdálené správě nebo při přístupu do komunikační sítě pomocí bezdrátových technologií,

b) zajistí řízení komunikace v rámci komunikační sítě a perimetru komunikační sítě,

e) pro zajištění segmentace sítě a pro řízení komunikace mezi jejími segmenty využívá nástroj, který zajistí ochranu integrity komunikační sítě.

d) aktivně blokuje nežádoucí komunikaci a

(1) Povinná osoba používá nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému.

(2) Nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací zajišťuje

a) ověření identity před zahájením aktivit v informačním a komunikačním systému,

c) odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití,

b) řízení počtu možných neúspěšných pokusů o přihlášení,

g) centralizovanou správu identit.

f) dodržení důvěrnosti autentizačních údajů při obnově přístupu a

e) opětovné ověření identity po určené době nečinnosti,

d) ukládání autentizačních údajů ve formě odolné proti offline útokům,

(3) Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.

(4) Do doby splnění požadavku podle odstavce 3 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti.

a) délky hesla alespoň

b) umožňující zadat heslo o délce alespoň 64 znaků,

2. 17 znaků u administrátorů a aplikací,

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

1. 12 znaků u uživatelů a

(5) Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo, vynucovat pravidla

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a

3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel a

1. zvolit si nejčastěji používaná hesla,

f) pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie.

e) neumožňující uživatelům a administrátorům

d) umožňující uživatelům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,

b) bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření a

c) povinně zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí podle § 9.

(6) Povinná osoba v případě používání autentizace pouze účtem a heslem dále

a) vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití,

b) pro čtení dat, zápis dat a změnu oprávnění.

a) pro přístup k jednotlivým aktivům informačního a komunikačního systému a

(1) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona v rámci ochrany před škodlivým kódem

4. datových úložišť a výměnných datových nosičů,

2. mobilních zařízení,

1. koncových stanic,

c) řídí automatické spouštění obsahu výměnných zařízení a datových nosičů,

b) monitoruje a řídí používání výměnných zařízení a datových nosičů,

a) s ohledem na důležitost aktiv zajišťuje použití nástroje pro nepřetržitou automatickou ochranu

6. obdobných zařízení,

5. komunikační sítě a prvků komunikační sítě a

3. serverů,

d) řídí oprávnění ke spouštění kódu a

e) provádí pravidelnou a účinnou aktualizaci nástroje pro ochranu před škodlivým kódem.

(2) Povinná osoba uvedená v § 3 písm. e) zákona postupuje podle odstavce 1 přiměřeně.

(1) Povinná osoba

b) na základě hodnocení důležitosti aktiv aktualizuje rozsah aktiv, u kterých je zaznamenávání bezpečnostních a provozních událostí prováděno.

a) zaznamenává bezpečnostní a potřebné provozní události důležitých aktiv informačního a komunikačního systému a

(2) Povinná osoba pro zaznamenávání bezpečnostních a provozních událostí podle odstavce 1 zajišťuje

a) jednoznačnou síťovou identifikaci zařízení původce, je-li v komunikační síti použit nástroj, který mění jeho síťovou identifikaci,

6. úspěšnost nebo neúspěšnost činnosti,

5. jednoznačnou síťovou identifikaci zařízení původce a

4. jednoznačnou identifikaci účtu, pod kterým byla činnost provedena,

3. identifikaci technického aktiva, které činnost zaznamenalo,

2. typ činnosti,

1. datum a čas včetně specifikace časového pásma,

c) ochranu informací získaných podle písmen a) a b) před neoprávněným čtením a jakoukoli změnou,

b) sběr informací o bezpečnostních a provozních událostech; zejména zaznamenává

3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy,

4. neprovedení činností v důsledku nedostatku přístupových práv a oprávnění,

2. činností provedených administrátory,

1. přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,

5. činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému,

7. kritických i chybových hlášení technických aktiv a

d) zaznamenávání

e) synchronizaci jednotného času technických aktiv nejméně jednou za 24 hodin.

8. přístupů k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změny nastavení nástrojů pro zaznamenávání událostí a

6. zahájení a ukončení činností technických aktiv,

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 18 měsíců.

(4) Povinná osoba uvedená v § 3 písm. e) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 12 měsíců.

(1) Povinná osoba v rámci komunikační sítě, jejíž součástí je informační a komunikační systém, používá nástroj pro detekci kybernetických bezpečnostních událostí, který zajistí

a) ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,

b) ověření a kontrolu přenášených dat na perimetru komunikační sítě a

c) blokování nežádoucí komunikace.

c) serverů,

(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona zajistí detekci kybernetických bezpečnostních událostí přiměřeně s ohledem na důležitost aktiv v rámci

a) koncových stanic,

b) mobilních zařízení,

e) síťových aktivních prvků a

d) datových úložišť a výměnných datových nosičů,

f) obdobných aktiv.

a) sběr a vyhodnocování událostí zaznamenaných podle § 22 a 23,

c) poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech,

b) vyhledávání a seskupování souvisejících záznamů,

d) vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí,

f) využívání informací získaných nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení bezpečnostních opatření informačního a komunikačního systému.

e) omezení případů nesprávného vyhodnocení událostí pravidelnou aktualizací nastavení pravidel pro

1. vyhodnocování kybernetických bezpečnostních událostí a

2. včasné varování a

(1) Povinná osoba provádí penetrační testy informačního a komunikačního systému se zaměřením na důležitá aktiva, a to

a) před jejich uvedením do provozu a

b) v souvislosti s významnou změnou podle § 11 odst. 3.

(2) Povinná osoba dále v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací a transakcí před

a) neoprávněnou činností a

b) popřením provedených činností.

2. umožní kontrolu a audit,

1. zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a likvidaci klíčů a

a) používá aktuálně odolné kryptografické algoritmy a kryptografické klíče,

b) používá systém správy klíčů a certifikátů, který

c) prosazuje bezpečné nakládání s kryptografickými prostředky a

d) zohledňuje doporučení v oblasti kryptografických prostředků vydaná Úřadem, zveřejněná na jeho internetových stránkách.

c) dostupnost důležitých technických aktiv informačního a komunikačního systému a

a) dostupnost informačního a komunikačního systému pro splnění cílů podle § 15,

b) odolnost informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům, které by mohly snížit jeho dostupnost,

d) redundanci aktiv nezbytných pro zajištění dostupnosti informačního a komunikačního systému.

b) omezení fyzického přístupu k zařízením těchto systémů a ke komunikační síti,

a) použití technických a programových prostředků, které jsou určeny do specifického prostředí,

c) vyčlenění komunikační sítě určené pro tyto systémy od ostatní infrastruktury,

f) obnovení chodu těchto systémů po kybernetickém bezpečnostním incidentu.

d) omezení a řízení vzdáleného přístupu k těmto systémům,

e) ochranu jednotlivých technických aktiv těchto systémů před využitím známých zranitelností a

(1) Povinná osoba uvedená v § 3 písm. h) zákona zavede bezpečnostní opatření podle prováděcího nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný; ustanovení § 3 až 28 se na tuto povinnou osobu nepoužijí.

(2) Povinná osoba uvedená v § 3 písm. h) zákona hlásí kontaktní údaje podle § 34 odst. 2.

(3) Povinná osoba uvedená v § 3 písm. h) zákona hlásí kybernetické bezpečnostní incidenty podle § 32 odst. 2 a 3.