§ 12 Akvizice, vývoj a údržba

V rámci akvizice, vývoje a údržby si představíme povinnost klást a implementovat požadavky na kybernetickou bezpečnost aktiv regulované služby v rámci jejich celého životního cyklu.


Akvizicí se v kontextu tohoto ustanovení rozumí nabytí aktiva nebo proces jeho získávání v rámci rozvojových aktivit regulované služby. V oblasti akvizice, vývoje a údržby aktiv je nezbytné stanovit konkrétní bezpečnostní požadavky, které zohledňují i relevantní bezpečnostní opatření podle vyhlášky. Tyto požadavky musí být následně promítnuty do celého životního cyklu aktiva, od jeho návrhu a vývoje až po provozní fázi.

Je vhodné prosazovat principy nejlepší praxe „Secure by Design“ a „Secure by Default“, aby byla zejména technická aktiva od počátku vyvíjena způsobem, který minimalizuje zranitelnosti, podporuje efektivní segmentaci prostředí a respektuje zásady nulové důvěry „Zero Trust“.

Jedním z požadavků vyhlášky je také oddělení prostředí, jako jsou provozní, zálohovací, vývojová, testovací či další specifická prostředí, a zajištění odpovídající ochrany informací a dat v těchto prostředích – např. anonymizací, šifrováním nebo řízeným přenosem mezi jednotlivými segmenty.

V souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv je potřeba:

  • řídit rizika (např. podle § 8 vyhlášky),
  • řídit významné změny podle § 11 vyhlášky,
  • stanovit bezpečnostní požadavky, které zohlední i relevantní bezpečnostní opatření stanovená vyhláškou,
  • zahrnout bezpečnostní požadavky do plánování akvizice, vývoje a údržby (a do smlouvy s dodavatelem, pokud je do procesu zapojen externí subjekt),
  • zajistit oddělení provozního, zálohovacího, vývojového, testovacího a jiného specifického prostředí, a zajistit ochranu informací a dat, které se v něm vyskytují.

Při provedení akvizice nebo vývoje technického aktiva je navíc potřeba zajistit:

  • zajistit, aby v případě aktiva využívajícího autentizační mechanismus byly plněny požadavky dle § 19 odst. 2 vyhlášky, a to zejména za účelem ověření identity uživatelů nebo administrátorů,
  • zajistit, aby v případě, kdy aktivum využívá kryptografické algoritmy, byly plněny požadavky dle § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a) vyhlášky,
  • zajistit dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu.