BEZPEČNOSTNÍ OPATŘENÍ

Organizační opatření

Technická opatření

a) stanoví cíle systému řízení bezpečnosti informací směřující k zajištění kybernetické bezpečnosti regulované služby,

b) řídí rizika podle § 8,

c) zavede a provádí přiměřená bezpečnostní opatření směřující k zajištění kybernetické bezpečnosti regulované služby na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a řízení rizik,

5. výsledky předchozího hodnocení účinnosti systému řízení bezpečnosti informací provedených podle tohoto písmene,

6. posouzení dopadů kybernetických bezpečnostních incidentů na oblast kybernetické bezpečnosti a na poskytované služby podle § 15 a

7. posouzení významných změn podle § 11,

3. hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik,

4. posouzení výsledků provedených auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

1. vyhodnocení cílů systému řízení bezpečnosti informací směřujících k zajištění kybernetické bezpečnosti regulované služby,

g) zpracuje zprávu o přezkoumání systému řízení bezpečnosti informací na základě vyhodnocení účinnosti systému řízení bezpečnosti informací podle písmene f),

f) zajistí alespoň jednou ročně vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje

e) zajistí provedení auditu kybernetické bezpečnosti podle § 16,

d) stanoví bezpečnostní politiku a bezpečnostní dokumentaci ve vztahu k řízení kybernetické bezpečnosti, která obsahuje hlavní zásady, cíle systému řízení bezpečnosti informací, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku a bezpečnostní dokumentaci v dalších oblastech podle § 6,

2. posouzení naplňování plánu zvládání rizik zpracovaného podle § 8 odst. 1 písm. g),

j) stanoví proces řízení výjimek z pravidel stanovených v bezpečnostní politice podle písmene d).

h) aktualizuje systém řízení bezpečnosti informací a relevantní dokumentaci na základě

2. výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací,

3. dopadů kybernetických bezpečnostních incidentů na poskytované služby a

4. prováděných významných změn,

1. zjištění z auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

i) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik a

(1) Statutární orgán povinné osoby nebo jiná osoba anebo skupina osob v obdobném řídícím postavení u povinné osoby (dále jen „vrcholné vedení“) s ohledem na systém řízení bezpečnosti informací

a) prokazatelně absolvuje školení podle § 10 odst. 3 písm. a),

b) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3, slučitelných se strategickým směřováním povinné osoby,

c) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,

f) zajistí podporu k dosažení cílů systému řízení bezpečnosti informací,

e) informuje zaměstnance a všechny dotčené osoby o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky,

d) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,

g) vede a podporuje zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací,

i) zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů,

h) se podílí na vypracování analýzy dopadů podle § 15,

j) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,

k) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,

l) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,

m) zajistí, aby byla zachována mlčenlivost všech relevantních osob zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů, a

n) zajistí pro osoby zastávající bezpečnostní role pravomoci potřebné pro naplňování jejich rolí a zdroje, včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů.

(2) Vrcholné vedení se prokazatelně seznamuje

a) se zprávou o přezkoumání systému řízení bezpečnosti informací,

c) s plánem zvládání rizik,

b) se zprávou o hodnocení rizik,

e) s výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.

d) s výsledky analýzy dopadů a

(3) Vrcholné vedení zřídí výbor pro řízení kybernetické bezpečnosti a určí jeho členy, přičemž

a) zajistí, že členem výboru pro řízení kybernetické bezpečnosti bude alespoň 1 člen vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti,

c) zajistí konání pravidelných jednání výboru pro řízení kybernetické bezpečnosti alespoň jednou ročně,

b) určí práva a povinnosti výboru pro řízení kybernetické bezpečnosti a jeho členů, související se systémem řízení bezpečnosti informací,

d) zajistí vyhotovení záznamu o průběhu jednání výboru pro řízení kybernetické bezpečnosti a

e) zajistí, že výbor pro řízení kybernetické bezpečnosti je složen z osob s pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osob významně se podílejících na řízení a koordinaci činností spojených s kybernetickou bezpečností.

(4) Vrcholné vedení určí osoby, včetně vymezení jejich práv a povinností souvisejících se systémem řízení bezpečnosti informací, které budou zastávat bezpečnostní role

a) manažera kybernetické bezpečnosti,

b) architekta kybernetické bezpečnosti,

c) garanta aktiva a

d) auditora kybernetické bezpečnosti.

(5) Vrcholné vedení zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 4 písm. a) a b).

(1) Manažer kybernetické bezpečnosti

2. stavu systému řízení bezpečnosti informací,

1. činnostech vyplývajících z rozsahu jeho odpovědnosti a

b) odpovídá za pravidelné informování vrcholného vedení o

c) nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby.

a) je pověřen řízením systému řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu alespoň 3 let,

(2) Architekt kybernetické bezpečnosti je pověřen k zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury v délce alespoň 3 let.

(3) Garant aktiva je pověřen k zajištění rozvoje, použití a bezpečnost aktiva.

a) je pověřen prováděním auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací v délce alespoň 3 let,

(4) Auditor kybernetické bezpečnosti

c) nesmí být pověřen výkonem jiných bezpečnostních rolí.

b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a

(1) Povinná osoba stanoví bezpečnostní politiku ve vztahu k řízení kybernetické bezpečnosti a vede bezpečnostní politiku a bezpečnostní dokumentaci k relevantním bezpečnostním opatřením uvedeným v § 3 až 27.

(2) Povinná osoba dodržuje pravidla a postupy stanovené v bezpečnostní politice a bezpečnostní dokumentaci podle odstavce 1.

(3) Povinná osoba pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci, zajišťuje jejich aktuálnost a jejich relevantní oblasti zahrnuje do provozní dokumentace, pravidel a postupů.

(4) Povinná osoba určí osobu odpovědnou za pravidelný přezkum a aktualizaci bezpečnostní politiky a bezpečnostní dokumentace podle odstavce 3.

b) dotčené osoby v rámci povinné osoby informovány o právech, povinnostech a postupech v nich obsažených,

(5) Bezpečnostní politika a bezpečnostní dokumentace musí být řízeny tak, aby byly

c) přiměřeně dostupné dotčeným osobám,

a) dostupné v elektronické nebo listinné podobě,

d) chráněny z pohledu důvěrnosti, integrity a dostupnosti a

e) informace v nich obsažené úplné, čitelné, snadno identifikovatelné a vyhledatelné.

a) stanoví metodiku pro určování aktiv,

b) stanoví metodiku pro hodnocení aktiv včetně stanovení úrovní aktiv, alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,

c) eviduje garanty aktiv podle § 4 odst. 4 písm. c),

5. pravidla správy výměnných médií a

6. pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem na úroveň aktiv v souladu s přílohou č. 2 k této vyhlášce.

g) hodnotí podpůrná aktiva a vychází přitom zejména z určených vazeb na primární aktiva a

e) posuzuje při hodnocení primárních aktiv alespoň oblasti uvedené v příloze č. 1 k této vyhlášce,

d) hodnotí primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),

f) určuje a eviduje vazby mezi aktivy, která mají vliv na bezpečnost regulované služby,

h) pro jednotlivé úrovně aktiv podle písmene b) stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jejich důvěrnosti, integrity a dostupnosti, která obsahují alespoň

1. přípustné způsoby používání aktiv,

2. pravidla pro manipulaci s aktivy, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv,

3. pravidla pro klasifikaci informací,

4. pravidla pro označování aktiv,

(1) Povinná osoba při řízení rizik v návaznosti na § 7

7. výsledky penetračního testování a skenování zranitelností a

3. změny stanoveného rozsahu podle § 12 zákona,

2. významné změny,

1. relevantní hrozby a zranitelnosti podle písmene b) a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv podle § 7,

6. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

5. kybernetické bezpečnostní incidenty, včetně dříve řešených,

4. protiopatření podle § 20 zákona,

c) provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách určených podle § 11 odst. 1 písm. c), při kterém zohlední

b) při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje alespoň kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,

a) stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,

8. výsledky vyhodnocení účinnosti systému řízení bezpečnosti informací,

1. nebyla aplikována, včetně odůvodnění a uvedení případných přijatých náhradních bezpečnostních opatření, a

2. cíle a přínosy bezpečnostních opatření pro zvládání rizik,

f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která

e) na základě provedeného hodnocení rizik podle písmene c) zpracuje zprávu o hodnocení rizik,

d) při hodnocení rizik postupuje alespoň v rozsahu přílohy č. 4 k této vyhlášce,

1. popis bezpečnostních opatření pro zvládání rizik,

7. konkrétní způsob realizace bezpečnostních opatření.

2. byla aplikována, včetně způsobu plnění,

g) na základě provedeného hodnocení rizik podle písmene c) a v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje

6. popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a

5. požadovaný termín zavedení bezpečnostních opatření,

4. předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření,

3. určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik,

(2) Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.

(3) Hodnocení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. c), pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik a postupuje v souladu s odstavcem 5 přílohy č. 4 k této vyhlášce.

(4) Povinná osoba nemusí uplatňovat některá bezpečnostní opatření stanovená touto vyhláškou pouze na základě provedeného řízení rizik.

b) prokazatelně seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,

(1) Povinná osoba při řízení dodavatelů

c) řídí rizika spojená s dodavateli,

a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,

g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.

e) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene d),

d) identifikuje a eviduje své významné dodavatele ve smyslu § 2 písm. h),

f) zajistí v souvislosti s řízením rizik spojených s významnými dodavateli, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní ustanovení uvedená v příloze č. 5 k této vyhlášce, a

c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a

a) provádí v rámci výběrového řízení podle zákona o zadávání veřejných zakázek²) nebo před uzavřením smlouvy hodnocení rizik souvisejících s plněním podle přílohy č. 4 k této vyhlášce,

(2) Povinná osoba u významných dodavatelů dále

b) stanoví v rámci uzavíraných smluvních vztahů způsoby a úrovně realizace bezpečnostních opatření a smluvně určí obsah vzájemné odpovědnosti za zavedení a kontrolu bezpečnostních opatření,

d) zajistí v reakci na rizika a zjištěné nedostatky jejich řešení, která budou přijata bez zbytečného odkladu.

(3) Náležitosti prokazatelného informování podle odstavce 1 písm. e) jsou

d) prohlášení, že dodavatel je pro povinnou osobu významným dodavatelem.

c) identifikační údaje významného dodavatele a

b) název regulované služby povinné osoby,

a) identifikační údaje povinné osoby, včetně uvedení, že povinná osoba je poskytovatelem regulované služby v režimu vyšších povinností,

(1) Povinná osoba v rámci bezpečnosti lidských zdrojů s ohledem na stav a potřeby systému řízení bezpečnosti informací stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí včetně formy, obsahu a rozsahu poučení a školení podle odstavce 2.

(2) Povinná osoba zahrne do plánu rozvoje bezpečnostního povědomí

c) potřebná teoretická i praktická školení uživatelů, administrátorů a osob zastávajících bezpečnostní role,

b) poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice,

a) poučení vrcholného vedení o jeho povinnostech a bezpečnostní politice, zejména v oblastech systému řízení bezpečnosti informací a řízení rizik,

d) pravidla tvorby bezpečných hesel v souladu s § 19 a

e) relevantní témata uvedená v příloze č. 6 k této vyhlášce.

a) poučení vrcholného vedení o jeho povinnostech, o bezpečnostní politice zejména v oblasti systému řízení bezpečnosti informací, řízení rizik a řízení kontinuity činností formou vstupních a pravidelných školení k získání znalostí a dovedností vedoucích k určování rizik a posouzení vhodnosti zvolených postupů při řízení rizik a jejich dopadů na regulovanou službu,

b) poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,

d) pravidelná školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní nebo služebním zařazením.

c) pravidelná odborná školení osobám zastávajícím bezpečnostní role, přičemž vychází z aktuálních potřeb povinné osoby v oblasti kybernetické bezpečnosti, a

(3) Povinná osoba v rámci bezpečnostního povědomí zajistí

f) zajistí plynulost výkonu činností v případě ukončení nebo změny smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role.

(4) Povinná osoba v rámci bezpečnosti lidských zdrojů

e) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a

d) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,

c) pravidelně hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených poučení, školení a dalších činností spojených se zlepšováním bezpečnostního povědomí,

b) zajistí v souladu s plánem rozvoje bezpečnostního povědomí provedení poučení a školení podle odstavce 3,

a) určí osoby odpovědné za realizaci jednotlivých činností, které jsou v plánu rozvoje bezpečnostního povědomí uvedeny,

(5) Povinná osoba vede o poučení a školení podle odstavce 3 přehledy, které obsahují předmět poučení a školení včetně seznamu osob, které poučení a školení absolvovaly.

(1) Povinná osoba při řízení změn u aktiv

c) určuje u změn určených podle písmene b) významné změny v souladu se stanovenými pravidly, postupy a kritérii pro určení významných změn podle písmene a).

a) stanoví pravidla, postupy a kritéria pro určení významných změn,

b) určí změny, které mají nebo mohou mít vliv na kybernetickou bezpečnost,

b) řídí rizika spojená s významnými změnami,

(2) Povinná osoba u významných změn

a) dokumentuje jejich řízení,

c) přijímá bezpečnostní opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,

d) aktualizuje bezpečnostní a provozní dokumentaci,

f) zajistí možnost navrácení do původního stavu.

e) zajistí jejich testování před uvedením do provozu a

(3) Povinná osoba na základě výsledků řízení rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování; pokud rozhodne o provedení penetračního testování, postupuje podle § 24 odst. 5.

a) řídí rizika,

(1) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv

c) stanoví bezpečnostní požadavky, které zohlední i relevantní bezpečnostní opatření stanovená touto vyhláškou,

b) řídí významné změny podle § 11,

e) zajistí oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí, a zajistí ochranu informací a dat, které se v něm vyskytují.

d) zahrne bezpečnostní požadavky stanovené podle písmene c) do plánované akvizice, vývoje a údržby a

a) využívajícího autentizační mechanismus, zejména za účelem ověření identity uživatelů nebo administrátorů, plnění požadavků podle § 19 odst. 2,

(2) Povinná osoba zajistí při provedení akvizice nebo vývoje technického aktiva

b) využívajícího kryptografické algoritmy, plnění požadavku podle § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a) a

c) dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu.

(1) Povinná osoba na základě bezpečnostních a provozních potřeb řídí přístup k aktivům a přijímá bezpečnostní opatření, která slouží k zajištění ochrany přístupových a autentizačních údajů, které jsou používány pro ověření identity podle § 19 a 20.

(2) Povinná osoba dále při řízení přístupu k aktivům

a) řídí přístup na základě skupin nebo rolí,

b) přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu práce a jedinečný identifikátor daného typu účtu, přičemž odděluje uživatelské a administrátorské účty jedné osoby,

c) řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv,

g) přiděluje a odebírá přístupová práva a oprávnění v souladu s politikou řízení přístupu,

f) omezí a kontroluje používání programových prostředků a vybavení, které mohou být schopné překonat systémové nebo aplikační kontroly,

d) zavádí v souladu s písmenem c) bezpečnostní opatření pro řízení přístupu technických aktiv,

j) zajistí deaktivaci účtů a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu, na základě kterého došlo ke zřízení přístupu k aktivům,

e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě,

i) zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení na základě skupin a rolí,

h) provádí pravidelné přezkoumání veškerých přístupových práv a oprávnění včetně rozdělení do skupin a rolí,

l) využívá nástroj pro správu a ověřování identity podle § 19 a nástroj pro řízení přístupových práv a oprávnění podle § 20.

k) dokumentuje přidělování a odebírání přístupových práv a oprávnění a

b) zavede procesy, pravidla a postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů,

(1) Povinná osoba při zvládání kybernetických bezpečnostních událostí a incidentů

1. detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí a

2. koordinaci a zvládání kybernetických bezpečnostních incidentů,

c) přidělí odpovědnosti pro

a) zavede procesy, pravidla a postupy pro detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí v souladu s § 21 až 23,

k) prošetří a určí příčiny kybernetického bezpečnostního incidentu,

d) definuje a dodržuje pravidla a postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,

e) zajistí detekci kybernetických bezpečnostních událostí podle § 21,

f) zajistí, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování technických aktiv a podezření na zranitelnosti,

g) zajistí posuzování kybernetických bezpečnostních událostí, při kterých musí být rozhodnuto, zda mají být klasifikovány jako kybernetické bezpečnostní incidenty,

h) zajistí zvládání kybernetických bezpečnostních incidentů podle stanovených postupů,

i) přijímá bezpečnostní opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu,

j) zajistí hlášení kybernetických bezpečnostních incidentů podle § 15 zákona,

l) vede záznamy o kybernetických bezpečnostních incidentech a o jejich zvládání,

m) zajistí vytvoření závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu s významným dopadem podle § 16 zákona, včetně popisu příčiny vzniku kybernetického bezpečnostního incidentu s významným dopadem, pokud je známa, a

n) vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu, popřípadě aktualizuje stávající bezpečnostní opatření.

(2) Povinná osoba dále při detekci a vyhodnocování kybernetických bezpečnostních událostí používá nástroje podle § 21 a 23.

2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb regulované služby, a

1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu regulované služby,

3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání technického aktiva,

c) na základě výstupů analýzy dopadů a hodnocení rizik podle písmene b) stanoví cíle řízení kontinuity činností formou určení

b) provádí analýzu dopadů, vyhodnocuje a dokumentuje možné dopady kybernetických bezpečnostních incidentů a zohlední hodnocení rizik podle § 8,

a) stanoví metodiku pro provedení analýzy dopadů,

e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy související s poskytováním regulované služby a

f) realizuje bezpečnostní opatření pro zvýšení odolnosti podle § 26.

d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c), a stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,

(1) Povinná osoba stanoví plán provádění auditu kybernetické bezpečnosti.

(2) Povinná osoba při auditu kybernetické bezpečnosti

b) posuzuje soulad zavedených bezpečnostních opatření s právními předpisy, vnitřními předpisy, smluvními závazky a nejlepší praxí a

a) posuzuje, zda byla zavedena bezpečnostní opatření požadovaná zákonem a touto vyhláškou,

c) provádí a dokumentuje audit dodržování pravidel a postupů stanovených v bezpečnostní politice, včetně přezkoumání technické shody a dříve stanovených nápravných opatření podle odstavce 3 písm. b).

b) stanoví na základě výsledku auditu kybernetické bezpečnosti podle odstavce 2 případná nápravná opatření, která budou přijata bez zbytečného odkladu.

a) zahrne výsledky auditu kybernetické bezpečnosti podle odstavce 2 do

(3) Povinná osoba

2. řízení rizik a

1. plánu rozvoje bezpečnostního povědomí,

c) v souladu s plánem auditu kybernetické bezpečnosti.

(4) Audit kybernetické bezpečnosti podle odstavce 2 je prováděn

b) v pravidelných intervalech alespoň jednou za 2 roky a

a) při významných změnách, a to v rámci jejich rozsahu,

(5) Není-li v odůvodněných případech možné provést audit v celém rozsahu podle odstavce 2 ve lhůtě podle odstavce 4 písm. b), je možné audit kybernetické bezpečnosti provádět průběžně po systematických celcích tak, aby byl naplněn celý rozsah auditu podle odstavce 2 alespoň jednou za 5 let.

(6) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 5 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.

a) předchází poškození, odcizení, zneužití aktiv, neoprávněným zásahům do nich a narušení bezpečnosti poskytování regulované služby,

c) rozdělí fyzické bezpečnostní perimetry stanovené podle písmene b) s ohledem na hodnocení umístěných technických aktiv do jednotlivých úrovní fyzické ochrany a tyto stanovené fyzické bezpečnostní perimetry a jejich úrovně fyzické ochrany dokumentuje a

b) stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány nebo zpracovávány informace a data, nebo ve které jsou umístěna technická aktiva regulované služby,

1. k zamezení neoprávněnému vstupu,

d) přijme u každého fyzického bezpečnostního perimetru s ohledem na jeho úroveň fyzické ochrany stanovenou podle písmene c) relevantní bezpečnostní opatření fyzické ochrany

5. k evidenci vstupů a přístupů do fyzického bezpečnostního perimetru.

4. pro zajištění detekce narušení fyzického bezpečnostního perimetru a

3. k zajištění fyzické ochrany budov a jiných ohraničených prostor,

2. k zamezení poškození, odcizení, zneužití aktiv, neoprávněným zásahům do nich a narušení bezpečnosti poskytování regulované služby,

a) zajistí a dokumentuje segmentaci komunikační sítě, včetně oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí,

b) zajistí řízení komunikace v rámci komunikační sítě,

c) zajistí řízení vzdáleného přístupu ke komunikační síti,

f) zajistí v souladu s písmeny c) a d) časové omezení komunikace a opětovné ověření identity administrátorů a uživatelů po stanovené době,

e) povoluje v souladu s písmeny b) až d) pouze takovou komunikaci, která je nezbytná pro řádné zajištění regulované služby,

d) zajistí řízení vzdálené správy technických aktiv,

g) zajistí pomocí aktuálně odolných kryptografických algoritmů upravených v § 25 a síťových protokolů důvěrnost a integritu při přenosu informací a dat,

h) využívá nástroj, který zajistí ochranu integrity komunikační sítě, a

i) dokumentuje topologii komunikační sítě a infrastruktury.

(1) Povinná osoba používá nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv, který zajišťuje

a) ověření identity před zahájením jejich aktivit,

b) řízení počtu možných neúspěšných pokusů o přihlášení,

c) odolnost uložených a přenášených autentizačních údajů vůči hrozbám a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu,

f) centralizovanou správu identit s ohledem na vazby mezi aktivy.

d) opětovné ověření identity po stanovené době nečinnosti,

e) dodržení důvěrnosti při vytváření výchozích autentizačních údajů a při obnově přístupu a

(2) Povinná osoba při ověření identity administrátorů, uživatelů a technických aktiv

a) využívá autentizační mechanismus, který je založen na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá autentizační mechanismus, který je založen na aktuálně odolné kontinuální autentizaci založené na modelu nulové důvěry, a

b) do doby splnění požadavků podle písmene a) využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.

(3) Povinná osoba do doby splnění požadavků podle odstavce 2 písm. a) vede evidenci technických aktiv, účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně odůvodnění.

1. 12 znaků pro účty uživatelů,

2. 17 znaků pro účty administrátorů,

3. 22 znaků pro účty technických aktiv,

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

a) délky hesla alespoň

b) umožňující zadat heslo o délce alespoň 64 znaků,

(4) Povinná osoba do doby splnění požadavku podle odstavce 2 využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla, kdy tento nástroj musí vynucovat pravidlo

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, adresy elektronické pošty, názvu systému nebo obdobným způsobem a

3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.

d) umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,

e) povinné změny hesla v intervalu alespoň jednou za 18 měsíců a

f) neumožňující uživatelům a administrátorům

1. zvolit si jednoduchá a často používaná hesla,

c) vytváření hesla účtu technického aktiva složeného z náhodného řetězce malých a velkých písmen, číslic a speciálních znaků,

(5) Povinná osoba v souladu s odstavcem 4 zajistí

a) bezodkladné vynucení změny výchozího hesla uživatelů a administrátorů po prvním přihlášení,

b) bezodkladné vynucení změny výchozího hesla technického aktiva,

d) bezodkladné vynucení změny přístupového hesla v případě důvodného podezření na narušení jeho důvěrnosti,

f) bezodkladné zneplatnění hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu po jeho prvním použití nebo uplynutí nejvýše 24 hodin od jeho vytvoření.

e) vytvoření náhodného výchozího hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu a zajistí jeho důvěrnost a

(6) Povinná osoba u administrátorského účtu zejména určeného pro případ obnovy po kybernetickém bezpečnostním incidentu musí zajistit

c) délku hesla složeného alespoň z 22 znaků,

a) bezodkladnou změnu výchozího hesla,

b) vytvoření hesla náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,

f) změnu hesla po jeho použití, při jakékoli změně pověřených osob, v případě důvodného podezření na jeho kompromitaci nebo v intervalu alespoň jednou za 18 měsíců a

g) evidování manipulace a pokusy o manipulaci s tímto účtem a jeho heslem.

d) bezpečné uložení hesla,

e) omezení manipulace s účtem a jeho heslem, kdy s tímto účtem a jeho heslem mohou manipulovat pouze pověřené osoby, a to v nezbytně nutných případech,

b) kterým řídí práva pro přístup k jednotlivým aktivům a

a) který je centralizovaný s ohledem na vazby mezi aktivy,

c) kterým řídí oprávnění pro čtení a zápis informací a dat a změnu oprávnění.

(1) Povinná osoba používá nástroj pro detekci kybernetických bezpečnostních událostí, který zajišťuje

c) aktivní blokování nežádoucí komunikace v rámci komunikační sítě.

a) ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,

b) ověření a kontrolu přenášených dat na síťovém perimetru komunikační sítě a

(2) Povinná osoba používá s ohledem na vazby mezi aktivy pro detekci kybernetických bezpečnostních událostí centrálně spravovaný nástroj, který u jednotlivých relevantních technických aktiv zajišťuje

b) řízení a sledování používání vyměnitelných zařízení a datových nosičů,

c) řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů,

a) nepřetržitou a automatickou ochranu před škodlivým kódem,

e) řízení a sledování komunikace aplikací, jejich služeb a procesů,

f) detekci kybernetických bezpečnostních událostí technických aktiv a

g) detekci kybernetických bezpečnostních událostí na základě chování technických aktiv, administrátorů a uživatelů.

d) řízení oprávnění ke spouštění kódu,

(3) Povinná osoba provádí pravidelnou a bezodkladnou aktualizaci nástroje používaného podle odstavců 1 a 2, a to včetně jeho nastavení a detekčních pravidel.

(1) Povinná osoba na základě hodnocení aktiv a svých bezpečnostních potřeb

a) určí technická aktiva, u kterých je zaznamenávání bezpečnostních a relevantních provozních událostí prováděno, a

b) aktualizuje rozsah technických aktiv podle odstavce 1 písm. a) v pravidelných intervalech a při významných změnách.

(2) Povinná osoba zaznamenává bezpečnostní a relevantní provozní události

b) v rámci komunikační sítě,

a) detekované podle § 21,

c) na síťovém perimetru a

d) technických aktiv určených podle odstavce 1 písm. a).

b) provedení a neúspěšné pokusy o provedení privilegované činnosti,

c) manipulace a neúspěšné pokusy o manipulaci s účty, oprávněními a právy,

a) přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,

(3) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává

h) manipulace a neúspěšné pokusy o manipulaci se záznamy událostí,

d) neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění,

e) zahájení a ukončení činností technických aktiv,

f) kritická a chybová hlášení technických aktiv,

g) přístupy a neúspěšné pokusy o přístupy k záznamům událostí,

i) změny a neúspěšné pokusy o změny nastavení nástrojů pro zaznamenávání událostí a

j) další činnosti uživatelů, které mohou mít vliv na bezpečnost regulované služby.

(4) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává následující informace o události:

a) datum a čas včetně specifikace časového pásma,

b) typ činnosti,

c) jednoznačnou identifikaci technického aktiva, které činnost zaznamenalo, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace,

d) jednoznačnou identifikaci účtu, pod kterým byla činnost provedena, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace,

f) úspěšnost nebo neúspěšnost činnosti.

e) jednoznačnou identifikaci zařízení původce, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace, a

(5) Povinná osoba dále s ohledem na události zaznamenané podle odstavce 2

b) používá s ohledem na vazby mezi aktivy centralizovaný nástroj pro sběr a uchovávání záznamů těchto událostí a

c) uchovává záznamy těchto událostí alespoň po dobu 18 měsíců.

a) zajistí důvěrnost a integritu získaných informací, včetně ochrany před neoprávněným čtením a jakoukoliv změnou,

(6) Povinná osoba zajišťuje nepřetržitou synchronizaci jednotného času technických aktiv.

b) nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech, včasné varování vybraných bezpečnostních rolí a dalších relevantních osob a

a) sběr, vyhledávání a seskupování souvisejících záznamů za účelem detekce kybernetických bezpečnostních událostí,

(1) Povinná osoba používá nástroj pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí detekovaných podle § 21, který zajišťuje

c) vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů.

(2) Povinná osoba při používání nástroje pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí v souladu s odstavcem 1 zajistí

a) omezení případů nesprávného nebo nežádoucího vyhodnocování kybernetických bezpečnostních událostí,

b) pravidelnou aktualizaci nastavení nástroje včetně jeho pravidel pro detekci a vyhodnocování kybernetických bezpečnostních událostí a

c) pravidelnou aktualizaci pravidel pro nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech včetně včasného varování vybraných bezpečnostních rolí a dalších relevantních osob.

(3) Povinná osoba zajistí využívání informací získaných nástrojem pro vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení systému řízení bezpečnosti informací regulované služby.

(1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou jejich výrobcem, dodavatelem nebo jinou osobou podporována a zajistí aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva.

b) na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci.

(2) Povinná osoba do doby plnění podle odstavce 1 zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv, a eviduje technická aktiva,

a) která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a

(3) Povinná osoba v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před

b) popřením provedených činností.

a) neoprávněnou činností a

2. alespoň jednou ročně.

(4) Povinná osoba v rámci skenování zranitelností technických aktiv

1. z vnitřní a vnější komunikační sítě a

a) provádí pravidelné skenování zranitelností technických aktiv regulované služby

b) zohlední výsledky skenování zranitelností technických aktiv v rámci řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků.

b) zohlední výsledky penetračního testování při řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků,

a) provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik

d) v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 5 písm. c), může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 5 písm. a) nejpozději do 5 let,

2. před jejich uvedením do provozu a

1. z vnitřní a vnější komunikační sítě,

(5) Povinná osoba v rámci penetračního testování

c) provádí v souladu s odstavcem 5 písm. a) bodem 1 pravidelně penetrační testování, a to alespoň jednou za 2 roky,

e) u penetračních testů v souladu s odstavcem 5 písm. a) eviduje termín provedení a konkrétní fyzické osoby provádějící toto penetrační testování.

3. v souvislosti s významnou změnou podle § 11 odst. 3,

(6) Povinná osoba provede opětovné otestování nálezu zjištěného na základě provedeného skenování zranitelností nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.

b) prosazuje bezpečné nakládání s kryptografickými algoritmy a

a) používá pouze aktuálně odolné kryptografické algoritmy,

c) zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů vydané Národním úřadem pro kybernetickou a informační bezpečnost.

(1) Povinná osoba při zajištění bezpečnosti technických aktiv a jejich komunikace

b) nouzovou komunikaci v rámci organizace.

a) hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace, a

(2) Povinná osoba zajišťuje bezpečnou

b) nástroj pro správu kryptografických klíčů a certifikátů, který

2. umožní kontrolu a audit a

a) pouze aktuálně odolné kryptografické klíče a certifikáty a

1. zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a řádnou likvidaci kryptografických klíčů,

3. zajistí důvěrnost a integritu kryptografických klíčů.

(3) Povinná osoba v případě využívání kryptografických klíčů a certifikátů pro ochranu technických aktiv a komunikační sítě používá

a) dostupnost regulované služby podle cílů stanovených podle § 15,

(1) Povinná osoba zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby, kterými zajistí

c) redundanci aktiv nezbytných pro zajišťování dostupnosti regulované služby.

b) odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost a

(2) Povinná osoba pro zajišťování dostupnosti regulované služby v souladu s odstavcem 1 vytváří pravidelné zálohy konfigurací a nastavení technických aktiv, informací a dat nezbytných zejména pro účely obnovy regulované služby v případě kybernetického bezpečnostního incidentu.

(3) Povinná osoba u záloh vytvářených podle odstavce 2 zajistí

c) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich integrity a důvěrnosti, a to alespoň šifrováním těchto záloh v souladu s § 25, a

d) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich dostupnosti.

b) dokumentování výsledků testů provedených podle odstavce 3 písm. a),

a) pravidelné testování jejich integrity, dostupnosti a obnovitelnosti,

(4) Povinná osoba pro zajišťování dostupnosti regulované služby zajistí bezpečnou správu konfigurací a nastavení technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik.

(5) Povinná osoba za účelem omezení šíření kybernetického bezpečnostního incidentu a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí podle § 18 písm. a).

b) omezení oprávnění k přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,

a) omezení fyzického přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,

c) segmentaci a oddělení komunikačních sítí průmyslových, řídicích a obdobných specifických technických aktiv od jiných prostředí a segmentaci a oddělení těchto komunikačních sítí podle § 18,

e) ochranu jednotlivých průmyslových, řídicích a obdobných specifických technických aktiv před využitím známých zranitelností a hrozeb a

d) omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích a obdobných specifických technických aktiv, včetně omezení komunikace mimo komunikační síť povinné osoby,

f) dostupnost a obnovu průmyslových, řídicích a obdobných specifických technických aktiv pro zajištění dostupnosti regulované služby.