Systém zajišťování minimální kybernetické bezpečnosti

Poskytovatel regulované služby je povinen zavést a provádět ve stanoveném rozsahu alespoň bezpečnostní opatření požadovaná § 3 odst. 2 až 6, § 4 až 6 a § 10 vyhlášky.

Řízení bezpečnostní politiky a bezpečnostní dokumentace

Tato oblast zahrnuje vytvoření bezpečnostní politiky a bezpečnostní dokumentace, která by měla pokrývat všechna relevantní bezpečnostní opatření z vyhlášky. Důležité je, aby byla bezpečnostní politika a bezpečnostní dokumentace platná a účinná a aby docházelo k vynucování dodržování stanovených povinností a pravidel.

Bezpečnostní politiku a bezpečnostní dokumentaci je nutné pravidelně aktualizovat. Interval pravidelné aktualizace není stanoven, avšak v souladu s dobrou praxí by k jejich  přezkoumání a případné aktualizaci docházet nejméně jednou ročně. V případě změn, které mohou mít vliv na informace uvedené v těchto dokumentech, je nutné provést jejich aktualizaci i mimo tento interval.

Není podstatné pojmenování jednotlivých dokumentů, forma, případně v kolika dokumentech jsou jednotlivé oblasti řešeny. Důležitá je jejich obsahová úplnost, přehlednost, čitelnost, snadná identifikovatelnost a logické uspořádání s ohledem na organizační prostředí a zavedené zvyklosti v oblasti řízení dokumentů poskytovatele regulované služby.

Přehled bezpečnostních opatření

Přehled bezpečnostních opatření je jedním z nejdůležitějších dokumentů řízení kybernetické bezpečnosti v režimu nižších povinností. Cílem tohoto dokumentu je popsat aktuální stav bezpečnostních opatření u poskytovatele regulované služby a zároveň stanovení systematického a řízeného přístupu k implementaci bezpečnostních opatření. 

Přehled bezpečnostních opatření obsahuje všechna bezpečnostních opatření, která: 

  • byla poskytovatelem regulované služby zavedena, včetně popisu jejich zavedení
  • budou poskytovatelem regulované služby zavedena, včetně termínu pro jejich zavedení, priority jejich zavedení a určení osoby odpovědné za jejich zavedení,
  • nebyla zavedena, včetně odůvodnění jejich nezavedení.

Z výše uvedeného plyne, že nezavedení bezpečnostního opatření je vždy třeba zdůvodnit.

Tento přehled je třeba alespoň jednou ročně aktualizovat a vyhodnotit účinnost zavedených bezpečnostních opatření, stejně jako přezkoumat, zda nepominuly důvody pro nezavedení vybraných bezpečnostních opatření. Všechny tyto kroky je třeba dokumentovat.

Jednotlivé přehledy bezpečnostních opatření včetně všech jejich verzí, variant
a aktualizací je třeba uchovávat alespoň po dobu 4 let, přičemž povinnost uchovávání se vztahuje na ty verze přehledů, se kterými bylo prokazatelně seznámeno vrcholné vedení.


Příklad Přehledu bezpečnostních opatření

Tabulka - Vyhodnocení účinnosti zajišťování KB


Bezpečnostní opatření podle vyhlášky:

  • Příslušné bezpečnostní opatření požadované vyhláškou je uvedené například formou odkazu na dotčené ustanovení vyhlášky.
  • Uvedené hodnoty musí odkazovat na konkrétní ustanovení právního předpisu, přičemž je doporučeno, aby byly jednotlivé části uvedeny
    v logické návaznosti.


Stav bezpečnostního opatření: 

  • Popis stavu bezpečnostního opatření ve chvíli, kdy je provedeno vyhodnocení účinnosti zajišťování kybernetické bezpečnosti.
  • Tento sloupec bude obsahovat právě jednu z přípustných hodnot „Zavedeno“, „V procesu“ nebo „Nezavedeno“.
    • „Zavedeno“ lze zapsat v případě, kdy bylo bezpečnostní opatření
      v hodnoceném období zavedeno v požadovaném rozsahu.
    • „V procesu“ lze zapsat v případě, kdy je bezpečnostní opatření (nebo jeho část) v hodnoceném období zaváděno, popřípadě jsou činěny doložitelné kroky k jeho zavedení (například výběrové řízení, smlouva, testovací provoz atd.)
    • „Nezavedeno“ lze zapsat pouze v případě, kdy opatření zavedeno nebylo.


Popis bezpečnostního opatření:

  • Stručný popis způsobu zavedení bezpečnostního opatření s ohledem na jeho aktuální stav a specifika prostředí povinné osoby.
  • Popis jednotlivých bezpečnostních opatření by měl stručně reflektovat situaci u povinné osoby (například podle názvů příslušných částí bezpečnostní dokumentace) a stav bezpečnostního opatření v předchozím sloupci.
    • V případě bezpečnostních opatření, která jsou označena příznakem „V procesu“, je nutné popsat prozatímní stav, případně uvést odkaz na dokumentaci, která proces zavádění dokládá.
    • Pokud je bezpečnostní opatření označeno jako „Nezavedeno“, je nutné odůvodnit, proč zavedeno nebylo.


Termín zavedení bezpečnostního opatření:

  • Plánovaný termín zavedení bezpečnostního opatření v plném rozsahu.

  • Tato hodnota bude vyplněna pouze v případě, je-li stav bezpečnostního opatření označen jako „V procesu“ nebo „Nezavedeno“, ale jeho zavedení je v budoucnu plánováno nebo závisí na dalších okolnostech. Měla by být uvedena buď konkrétním datem nebo kvartálem či měsícem konkrétního roku.


Priorita zavedení bezpečnostního opatření:

  • Prioritizace zavádění bezpečnostních opatření s ohledem na dopad na poskytování regulované služby
    • Hodnotu „nízká“ nebo „1“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření neměla dopad na poskytování regulované služby nebo dané bezpečnostní opatření není pro poskytování regulované služby relevantní.
    • Hodnotu „střední“ nebo „2“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla minimální a krátkodobý dopad na poskytování regulované služby.
    • Hodnotu „vysoká“ nebo „3“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla za následek vážný a dlouhodobý dopad na poskytování regulované služby.
    • Hodnotu „kritická“ nebo „4“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla okamžité
      a nevratné důsledky pro poskytování regulované služby nebo jsou známy úspěšné pokusy o překonání bezpečnostních opatření.


Odpovědnost za bezpečnostní opatření

  • Osoba pověřená za zavedení daného bezpečnostního opatření.
  • Je nutné zaznamenat údaje tak, aby bylo možné jednoznačně určit osobu pověřenou za zavedení bezpečnostního opatření. V případě potřeby je možné uvést také konkrétní organizační složku, do níž daná osoba spadá.

Pravidla pro používání a manipulaci technických aktiv

Pro technická aktiva ve stanoveném rozsahu řízení kybernetické bezpečnosti je nutné stanovit pravidla pro používání a jejich manipulaci.

Oblasti, ve kterých je vhodné stanovit pravidla a postupy, zahrnují například:

  • manipulace s aktivy – pravidla pro nakládání s elektronickou i fyzickou podobou (např. zařízení zaměstnanců),
  • likvidace aktiv – nastavení pravidel pro bezpečnou likvidaci technických aktiv (např. zničení, smazání).

Příklady plnění:

  • Při předávání pracovní koncové stanice (např. počítače) nebo mobilního zařízení (např. notebooku, mobilního telefonu či tabletu) jsou zaměstnanci seznámeni s tím, že tato technická zařízení mohou využívat výhradně k pracovním účelům. Není dovoleno na nich procházet sociální sítě, stahovat vlastní aplikace ani je používat k soukromým aktivitám. Současně jsou zaměstnanci poučeni o způsobu správného používání těchto zařízení – například jak s nimi pracovat, jaká zařízení k nim mohou připojovat, zda je mohou odnášet z pracoviště a jaké další činnosti s nimi nejsou povoleny.
  • Zaměstnanci jsou poučeni o tom, jak zacházet s citlivými dokumenty a jak využívat šifrování pro jejich bezpečný přenos, pokud je potřeba je sdílet.

Uzavírání smluv s dodavateli

Při uzavírání smluv s dodavateli je taktéž důležité zohlednit otázku kybernetické bezpečnosti. V rámci stanoveného rozsahu řízení kybernetické bezpečnosti je třeba zohlednit hrozby a zranitelnosti související s daným dodavatelem. Dále je třeba zohlednit celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti tohoto dodavatele, včetně postupů bezpečného vývoje, a na základě toho zajistit, aby smlouvy s tímto dodavatelem obsahovaly relevantní požadavky na smluvní ujednaní uvedené v příloze č. 2 vyhlášky. 

Nelze však řešit jen nové smlouvy, je třeba přezkoumat i stávající smlouvy a například dodatkem zajistit, aby obsahovaly relevantní požadavky z uvedené přílohy vyhlášky. Tím se zajistí soulad smluvní dokumentace se stanovenými pravidly a minimalizují se případná rizika.

Příloha č. 2 vyhlášky představuje soubor minimálních požadavků, které musí být ve smluvních ujednáních reflektovány. V závislosti na specificích regulované služby je vhodné tento soubor doplnit o další ustanovení, vyplývající z individuálního posouzení rizik a potřeb regulované služby.


Požadavky na smluvní ujednání s dodavateli dle přílohy č. 2 vyhlášky

Povinná osoba uzavírá pouze takové smlouvy, které stanoví způsoby realizace bezpečnostních opatření a určují obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření.

Povinné osoby mohou uzavírat jen takové smlouvy, které budou zohledňovat následující relevantní ustanovení:

  • ustanovení o bezpečnosti informací z pohledu důvěrnosti (včetně ustanovení o mlčenlivosti), integrity a dostupnosti,
  • ustanovení o auditu dodavatele související s plněním smlouvy,
  • ustanovení o řetězení dodavatelů,
  • ustanovení upravující tzv. exit strategii, podmínky ukončení smluvního vztahu z pohledu bezpečnosti informací,
  • ustanovení o sankcích za porušení smluvních povinností,
  • ustanovení o oprávnění užívat data,
  • ustanovení o autorství programového kódu, případně o programových licencích,
  • ustanovení o důvěrnosti smluvního vztahu,
  • ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele (nebo odsouhlasení pro dodavatelský vztah relevantních částí bezpečnostních politik) povinnou osobou,
  • ustanovení o řízení změn,
  • ustanovení o kybernetických bezpečnostních incidentech souvisejících
    s plněním smlouvy,
  • ustanovení upravující zajištění řízení kontinuity činností,
  • náležitosti smlouvy o úrovni služeb (SLA) a způsobu a úrovni realizace bezpečnostních opatření,
  • ustanovení o dodržování pravidel bezpečného vývoje.

Tento výčet představuje minimální rozsah požadavků nutných k zohlednění a posouzení a jejich zahrnutí do uzavíraných smluv.

Akvizice, vývoj a údržba

Při akvizici, vývoji a údržbě technických aktiv ve stanoveném rozsahu řízení kybernetické bezpečnosti je třeba, aby došlo ke stanovení požadavků na zajištění kybernetické bezpečnosti.

Příklady plnění:

  • Organizace stanovila bezpečnostní požadavky v oblasti kybernetické bezpečnosti v souvislosti s plánovanou akvizicí, vývojem a údržbou.
  • Bezpečnostní požadavky jsou v souladu s vyhláškou. Zároveň budou tyto bezpečnostní požadavky zaváděny i do smluv s dodavateli, tak aby bylo zajištěno jejich dodržování a případné vymáhání.

  • Bezpečnostními požadavky, které mohou být zohledněny, jsou např.:

    o   vícefaktorová autentizace,

    o   zajištění bezpečnostních aktualizací u technických aktiv.