Technická opatření

a) předchází poškození, odcizení, zneužití aktiv, neoprávněným zásahům do nich a narušení bezpečnosti poskytování regulované služby,

b) stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány nebo zpracovávány informace a data, nebo ve které jsou umístěna technická aktiva regulované služby,

c) rozdělí fyzické bezpečnostní perimetry stanovené podle písmene b) s ohledem na hodnocení umístěných technických aktiv do jednotlivých úrovní fyzické ochrany a tyto stanovené fyzické bezpečnostní perimetry a jejich úrovně fyzické ochrany dokumentuje a

2. k zamezení poškození, odcizení, zneužití aktiv, neoprávněným zásahům do nich a narušení bezpečnosti poskytování regulované služby,

4. pro zajištění detekce narušení fyzického bezpečnostního perimetru a

5. k evidenci vstupů a přístupů do fyzického bezpečnostního perimetru.

d) přijme u každého fyzického bezpečnostního perimetru s ohledem na jeho úroveň fyzické ochrany stanovenou podle písmene c) relevantní bezpečnostní opatření fyzické ochrany

1. k zamezení neoprávněnému vstupu,

3. k zajištění fyzické ochrany budov a jiných ohraničených prostor,

a) zajistí a dokumentuje segmentaci komunikační sítě, včetně oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí,

c) zajistí řízení vzdáleného přístupu ke komunikační síti,

b) zajistí řízení komunikace v rámci komunikační sítě,

g) zajistí pomocí aktuálně odolných kryptografických algoritmů upravených v § 25 a síťových protokolů důvěrnost a integritu při přenosu informací a dat,

d) zajistí řízení vzdálené správy technických aktiv,

e) povoluje v souladu s písmeny b) až d) pouze takovou komunikaci, která je nezbytná pro řádné zajištění regulované služby,

f) zajistí v souladu s písmeny c) a d) časové omezení komunikace a opětovné ověření identity administrátorů a uživatelů po stanovené době,

h) využívá nástroj, který zajistí ochranu integrity komunikační sítě, a

i) dokumentuje topologii komunikační sítě a infrastruktury.

(1) Povinná osoba používá nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv, který zajišťuje

a) ověření identity před zahájením jejich aktivit,

c) odolnost uložených a přenášených autentizačních údajů vůči hrozbám a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu,

b) řízení počtu možných neúspěšných pokusů o přihlášení,

e) dodržení důvěrnosti při vytváření výchozích autentizačních údajů a při obnově přístupu a

f) centralizovanou správu identit s ohledem na vazby mezi aktivy.

d) opětovné ověření identity po stanovené době nečinnosti,

(2) Povinná osoba při ověření identity administrátorů, uživatelů a technických aktiv

a) využívá autentizační mechanismus, který je založen na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá autentizační mechanismus, který je založen na aktuálně odolné kontinuální autentizaci založené na modelu nulové důvěry, a

b) do doby splnění požadavků podle písmene a) využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.

(3) Povinná osoba do doby splnění požadavků podle odstavce 2 písm. a) vede evidenci technických aktiv, účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně odůvodnění.

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

3. 22 znaků pro účty technických aktiv,

2. 17 znaků pro účty administrátorů,

1. 12 znaků pro účty uživatelů,

(4) Povinná osoba do doby splnění požadavku podle odstavce 2 využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla, kdy tento nástroj musí vynucovat pravidlo

b) umožňující zadat heslo o délce alespoň 64 znaků,

a) délky hesla alespoň

1. zvolit si jednoduchá a často používaná hesla,

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, adresy elektronické pošty, názvu systému nebo obdobným způsobem a

3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.

d) umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,

f) neumožňující uživatelům a administrátorům

e) povinné změny hesla v intervalu alespoň jednou za 18 měsíců a

(5) Povinná osoba v souladu s odstavcem 4 zajistí

a) bezodkladné vynucení změny výchozího hesla uživatelů a administrátorů po prvním přihlášení,

b) bezodkladné vynucení změny výchozího hesla technického aktiva,

c) vytváření hesla účtu technického aktiva složeného z náhodného řetězce malých a velkých písmen, číslic a speciálních znaků,

e) vytvoření náhodného výchozího hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu a zajistí jeho důvěrnost a

d) bezodkladné vynucení změny přístupového hesla v případě důvodného podezření na narušení jeho důvěrnosti,

f) bezodkladné zneplatnění hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu po jeho prvním použití nebo uplynutí nejvýše 24 hodin od jeho vytvoření.

a) bezodkladnou změnu výchozího hesla,

(6) Povinná osoba u administrátorského účtu zejména určeného pro případ obnovy po kybernetickém bezpečnostním incidentu musí zajistit

c) délku hesla složeného alespoň z 22 znaků,

b) vytvoření hesla náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,

g) evidování manipulace a pokusy o manipulaci s tímto účtem a jeho heslem.

d) bezpečné uložení hesla,

e) omezení manipulace s účtem a jeho heslem, kdy s tímto účtem a jeho heslem mohou manipulovat pouze pověřené osoby, a to v nezbytně nutných případech,

f) změnu hesla po jeho použití, při jakékoli změně pověřených osob, v případě důvodného podezření na jeho kompromitaci nebo v intervalu alespoň jednou za 18 měsíců a

a) který je centralizovaný s ohledem na vazby mezi aktivy,

c) kterým řídí oprávnění pro čtení a zápis informací a dat a změnu oprávnění.

b) kterým řídí práva pro přístup k jednotlivým aktivům a

(1) Povinná osoba používá nástroj pro detekci kybernetických bezpečnostních událostí, který zajišťuje

c) aktivní blokování nežádoucí komunikace v rámci komunikační sítě.

a) ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,

b) ověření a kontrolu přenášených dat na síťovém perimetru komunikační sítě a

(2) Povinná osoba používá s ohledem na vazby mezi aktivy pro detekci kybernetických bezpečnostních událostí centrálně spravovaný nástroj, který u jednotlivých relevantních technických aktiv zajišťuje

b) řízení a sledování používání vyměnitelných zařízení a datových nosičů,

c) řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů,

a) nepřetržitou a automatickou ochranu před škodlivým kódem,

d) řízení oprávnění ke spouštění kódu,

g) detekci kybernetických bezpečnostních událostí na základě chování technických aktiv, administrátorů a uživatelů.

f) detekci kybernetických bezpečnostních událostí technických aktiv a

e) řízení a sledování komunikace aplikací, jejich služeb a procesů,

(3) Povinná osoba provádí pravidelnou a bezodkladnou aktualizaci nástroje používaného podle odstavců 1 a 2, a to včetně jeho nastavení a detekčních pravidel.

(1) Povinná osoba na základě hodnocení aktiv a svých bezpečnostních potřeb

b) aktualizuje rozsah technických aktiv podle odstavce 1 písm. a) v pravidelných intervalech a při významných změnách.

a) určí technická aktiva, u kterých je zaznamenávání bezpečnostních a relevantních provozních událostí prováděno, a

(2) Povinná osoba zaznamenává bezpečnostní a relevantní provozní události

b) v rámci komunikační sítě,

a) detekované podle § 21,

c) na síťovém perimetru a

d) technických aktiv určených podle odstavce 1 písm. a).

c) manipulace a neúspěšné pokusy o manipulaci s účty, oprávněními a právy,

a) přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,

(3) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává

b) provedení a neúspěšné pokusy o provedení privilegované činnosti,

j) další činnosti uživatelů, které mohou mít vliv na bezpečnost regulované služby.

d) neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění,

e) zahájení a ukončení činností technických aktiv,

f) kritická a chybová hlášení technických aktiv,

g) přístupy a neúspěšné pokusy o přístupy k záznamům událostí,

h) manipulace a neúspěšné pokusy o manipulaci se záznamy událostí,

i) změny a neúspěšné pokusy o změny nastavení nástrojů pro zaznamenávání událostí a

b) typ činnosti,

c) jednoznačnou identifikaci technického aktiva, které činnost zaznamenalo, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace,

a) datum a čas včetně specifikace časového pásma,

(4) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává následující informace o události:

e) jednoznačnou identifikaci zařízení původce, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace, a

f) úspěšnost nebo neúspěšnost činnosti.

d) jednoznačnou identifikaci účtu, pod kterým byla činnost provedena, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace,

c) uchovává záznamy těchto událostí alespoň po dobu 18 měsíců.

b) používá s ohledem na vazby mezi aktivy centralizovaný nástroj pro sběr a uchovávání záznamů těchto událostí a

a) zajistí důvěrnost a integritu získaných informací, včetně ochrany před neoprávněným čtením a jakoukoliv změnou,

(5) Povinná osoba dále s ohledem na události zaznamenané podle odstavce 2

(6) Povinná osoba zajišťuje nepřetržitou synchronizaci jednotného času technických aktiv.

(1) Povinná osoba používá nástroj pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí detekovaných podle § 21, který zajišťuje

c) vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů.

a) sběr, vyhledávání a seskupování souvisejících záznamů za účelem detekce kybernetických bezpečnostních událostí,

b) nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech, včasné varování vybraných bezpečnostních rolí a dalších relevantních osob a

(2) Povinná osoba při používání nástroje pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí v souladu s odstavcem 1 zajistí

c) pravidelnou aktualizaci pravidel pro nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech včetně včasného varování vybraných bezpečnostních rolí a dalších relevantních osob.

b) pravidelnou aktualizaci nastavení nástroje včetně jeho pravidel pro detekci a vyhodnocování kybernetických bezpečnostních událostí a

a) omezení případů nesprávného nebo nežádoucího vyhodnocování kybernetických bezpečnostních událostí,

(3) Povinná osoba zajistí využívání informací získaných nástrojem pro vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení systému řízení bezpečnosti informací regulované služby.

(1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou jejich výrobcem, dodavatelem nebo jinou osobou podporována a zajistí aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva.

b) na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci.

a) která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a

(2) Povinná osoba do doby plnění podle odstavce 1 zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv, a eviduje technická aktiva,

(3) Povinná osoba v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před

b) popřením provedených činností.

a) neoprávněnou činností a

(4) Povinná osoba v rámci skenování zranitelností technických aktiv

a) provádí pravidelné skenování zranitelností technických aktiv regulované služby

b) zohlední výsledky skenování zranitelností technických aktiv v rámci řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků.

1. z vnitřní a vnější komunikační sítě a

2. alespoň jednou ročně.

b) zohlední výsledky penetračního testování při řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků,

(5) Povinná osoba v rámci penetračního testování

2. před jejich uvedením do provozu a

1. z vnitřní a vnější komunikační sítě,

e) u penetračních testů v souladu s odstavcem 5 písm. a) eviduje termín provedení a konkrétní fyzické osoby provádějící toto penetrační testování.

d) v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 5 písm. c), může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 5 písm. a) nejpozději do 5 let,

3. v souvislosti s významnou změnou podle § 11 odst. 3,

c) provádí v souladu s odstavcem 5 písm. a) bodem 1 pravidelně penetrační testování, a to alespoň jednou za 2 roky,

a) provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik

(6) Povinná osoba provede opětovné otestování nálezu zjištěného na základě provedeného skenování zranitelností nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.

a) používá pouze aktuálně odolné kryptografické algoritmy,

(1) Povinná osoba při zajištění bezpečnosti technických aktiv a jejich komunikace

b) prosazuje bezpečné nakládání s kryptografickými algoritmy a

c) zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů vydané Národním úřadem pro kybernetickou a informační bezpečnost.

a) hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace, a

(2) Povinná osoba zajišťuje bezpečnou

b) nouzovou komunikaci v rámci organizace.

1. zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a řádnou likvidaci kryptografických klíčů,

a) pouze aktuálně odolné kryptografické klíče a certifikáty a

b) nástroj pro správu kryptografických klíčů a certifikátů, který

(3) Povinná osoba v případě využívání kryptografických klíčů a certifikátů pro ochranu technických aktiv a komunikační sítě používá

3. zajistí důvěrnost a integritu kryptografických klíčů.

2. umožní kontrolu a audit a

c) redundanci aktiv nezbytných pro zajišťování dostupnosti regulované služby.

b) odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost a

a) dostupnost regulované služby podle cílů stanovených podle § 15,

(1) Povinná osoba zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby, kterými zajistí

(2) Povinná osoba pro zajišťování dostupnosti regulované služby v souladu s odstavcem 1 vytváří pravidelné zálohy konfigurací a nastavení technických aktiv, informací a dat nezbytných zejména pro účely obnovy regulované služby v případě kybernetického bezpečnostního incidentu.

a) pravidelné testování jejich integrity, dostupnosti a obnovitelnosti,

b) dokumentování výsledků testů provedených podle odstavce 3 písm. a),

c) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich integrity a důvěrnosti, a to alespoň šifrováním těchto záloh v souladu s § 25, a

d) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich dostupnosti.

(3) Povinná osoba u záloh vytvářených podle odstavce 2 zajistí

(4) Povinná osoba pro zajišťování dostupnosti regulované služby zajistí bezpečnou správu konfigurací a nastavení technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik.

(5) Povinná osoba za účelem omezení šíření kybernetického bezpečnostního incidentu a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí podle § 18 písm. a).

c) segmentaci a oddělení komunikačních sítí průmyslových, řídicích a obdobných specifických technických aktiv od jiných prostředí a segmentaci a oddělení těchto komunikačních sítí podle § 18,

b) omezení oprávnění k přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,

a) omezení fyzického přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,

d) omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích a obdobných specifických technických aktiv, včetně omezení komunikace mimo komunikační síť povinné osoby,

e) ochranu jednotlivých průmyslových, řídicích a obdobných specifických technických aktiv před využitím známých zranitelností a hrozeb a

f) dostupnost a obnovu průmyslových, řídicích a obdobných specifických technických aktiv pro zajištění dostupnosti regulované služby.