4/15
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
V České republice je kybernetická bezpečnost regulována zejména ZKB, který rozděluje poskytovatele regulované služby do dvou režimů – vyššího a nižšího. Pro každý z těchto režimů existuje samostatná vyhláška. Pro vyšší režim je to vyhláška č. 409/2025 Sb. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností a pro nižší režim je to vyhláška č. 410/2025 Sb. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (dále jen: „vyhláška“). V těchto vyhláškách jsou specifikována bezpečnostní opatření, která mají poskytovatelé regulované služby zavádět.
Vyhláška je dostupná na adrese: 410/2025 Sb. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
Neopominutelná bezpečnostní opatření
Mezi neopominutelná bezpečnostní opatření vyhlášky, tedy paragrafy, kterými se musíte vždy řídit, jsou:
§ 3 – Systém zajišťování minimální kybernetické bezpečnosti
-
Zpracování přehledu bezpečnostních opatření:
- Seznam zavedených opatření a jejich popis.
- Seznam opatření k zavedení (termíny, priority, odpovědné osoby).
- Odůvodnění nezavedení některých opatření.
- Vyhodnocování účinnosti opatření:
- Provádět minimálně jednou ročně a dokumentovat.
- Osoba pověřená kybernetickou bezpečností:
- Určení, školení nebo ověření odborné způsobilosti.
- Bezpečnostní politika a dokumentace:
- Stanovení, pravidelná aktualizace a vynucování dodržování.
- Řízení technických aktiv:
- Stanovit pravidla pro používání a manipulaci.
- Dodavatelské smlouvy:
- Zahrnutí bezpečnostních požadavků podle přílohy č. 2.
- Bezpečnost při akvizici a vývoji:
- Stanovit bezpečnostní požadavky pro aktiva a jejich dodržování.
§ 4 – Požadavky na vrcholné vedení
- Absolvování školení o KB.
- Zajištění zdrojů pro zavedení opatření.
- Seznamování se stavem plnění opatření.
- Podpora zlepšování bezpečnosti a osoby pověřené KB.
- Stanovení priorit obnovy primárních aktiv.
§ 5 – Bezpečnost lidských zdrojů
- Politika bezpečného chování uživatelů:
- Tvorba pravidel, rozvoj povědomí a heslových pravidel.
- Školení:
- Vstupní a pravidelná školení uživatelů, administrátorů a vedení.
- Řešení porušení bezpečnostní politiky:
- Stanovení postupů pro řešení porušení.
- Evidence školení a proškolených osob.
§ 6 – Řízení kontinuity činností
- Stanovení priorit obnovy technických aktiv.
- Definování odpovědností a povinností pro kontinuitu činností.
- Pravidelné zálohování nezbytných dat, konfigurací a nastavení.
§ 10 – Řešení kybernetických bezpečnostních incidentů
- Oznamování incidentů:
- Zaměstnanci mají povinnost oznamovat podezřelé chování technických aktiv.
- Metodika posuzování incidentů:
- Hodnocení významnosti dopadu a řešení incidentů.
- Detekce a hlášení incidentů:
- Zajištění detekce, hlášení a zpracování závěrečných zpráv.
- Závěrečná zpráva:
- Popis příčin a vyřešení incidentu s významným dopadem.
Osoba pověřená kybernetickou bezpečností
Řízení a rozvoj KB: Tato osoba má na starosti, aby organizace byla chráněna před kybernetickými hrozbami a aby byla zajištěna bezpečnost systémů a dat.
Dohled nad stavem KB: Sleduje, jak dobře fungují zavedená bezpečnostní opatření, pravidelně je kontroluje a vylepšuje podle potřeby a změn v oblasti bezpečnosti.
Komunikace a spolupráce s vrcholným vedením: Pravidelně komunikuje s vrcholným vedením, aby je informovala o aktuální situaci a navrhovala potřebné kroky ke zlepšení KB.
Kvalifikace a školení: Musí mít potřebné odborné znalosti – buď z praxe, nebo z odborných školení, aby rozuměla specifikům KB a mohla je efektivně aplikovat.
Pravomoci a postavení: Měla by mít dostatečné pravomoci, aby mohla prosazovat opatření, a musí být zařazena v organizační struktuře tak, aby měla přístup k potřebným informacím a mohla efektivně spolupracovat s ostatními týmy a vedením.
Více informací naleznete zde: Pověřená osoba | Portál NÚKIB