409/2025 Sb.Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
| Částka: | 409 | Druh předpisu: | Vyhláška |
| Rozeslána dne: | 14. října 2025 | Autor předpisu: | Národní úřad pro kybernetickou a informační bezpečnost |
| Přijato: | 26. září 2025 | Nabývá účinnosti: | 1. listopadu 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
VYHLÁŠKA
ze dne 26. září 2025
o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 13 odst. 3 zákona č. 264/2025 Sb., o kybernetické bezpečnosti, (dále jen „zákon“):
Tato vyhláška zapracovává příslušný předpis Evropské unie1) a pro poskytovatele regulované služby v režimu vyšších povinností (dále jen „povinná osoba“) upravuje obsah bezpečnostních opatření a způsob jejich zavádění a provádění.
Pro účely této vyhlášky se rozumí
a) uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, který využívá aktiva,
b) privilegovaným uživatelem uživatel nebo jiná osoba, jejíž činnost na technickém aktivu může mít významný dopad na bezpečnost regulované služby,
c) administrátorem privilegovaný uživatel nebo jiná osoba zajišťující správu, provoz, užívání, údržbu a bezpečnost technického aktiva,
d) bezpečnostní politikou soubor zásad a pravidel, která určují způsob zajištění ochrany aktiv,
e) hodnocením rizik proces určování, analýzy a vyhodnocení rizik,
f) řízením rizik proces zahrnující hodnocení rizik, zavádění bezpečnostních opatření ke zvládání rizik a komunikaci rizik,
g) systémem řízení bezpečnosti informací část systému řízení povinné osoby založená na přístupu k rizikům, zahrnující způsob ustanovení, zavádění, provozování, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací a
| ČÁST PRVNÍ - | ÚVODNÍ USTANOVENÍ |
| § 1 - | Předmět právní úpravy |
| § 2 - | Vymezení pojmů |
| ČÁST DRUHÁ - | BEZPEČNOSTNÍ OPATŘENÍ |
| HLAVA I - | Organizační opatření |
| § 3 - | Systém řízení bezpečnosti informací |
| § 4 - | Požadavky na vrcholné vedení |
| § 5 - | Stanovení bezpečnostních rolí |
| § 6 - | Řízení bezpečnostní politiky a bezpečnostní dokumentace |
| § 7 - | Řízení aktiv |
| § 8 - | Řízení rizik |
| § 9 - | Řízení dodavatelů |
| § 10 - | Bezpečnost lidských zdrojů |
| § 11 - | Řízení změn |
| § 12 - | Akvizice, vývoj a údržba |
| § 13 - | Řízení přístupu |
| § 14 - | Zvládání kybernetických bezpečnostních událostí a incidentů |
| § 15 - | Řízení kontinuity činností |
| § 16 - | Provádění auditu kybernetické bezpečnosti |
| HLAVA II - | Technická opatření |
| § 17 - | Fyzická bezpečnost |
| § 18 - | Bezpečnost komunikačních sítí |
| § 19 - | Správa a ověřování identit |
| § 20 - | Řízení přístupových práv a oprávnění |
| § 21 - | Detekce kybernetických bezpečnostních událostí |
| § 22 - | Zaznamenávání událostí |
| § 23 - | Vyhodnocování kybernetických bezpečnostních událostí |
| § 24 - | Aplikační bezpečnost |
| § 25 - | Kryptografické algoritmy |
| § 26 - | Zajišťování dostupnosti regulované služby |
| § 27 - | Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv |
| ČÁST TŘETÍ - | ZÁVĚREČNÁ USTANOVENÍ |
| § 28 - | Přechodné ustanovení |
| ČÁST ČTVRTÁ - | ÚČINNOST |
| § 29 - | Účinnost |
| Příloha č. 1 - | Metodika pro hodnocení aktiv včetně stanovení úrovní aktiv |
| Příloha č. 2 - | Pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem na úroveň aktiv |
| Příloha č. 3 - | Metodika určování rizik s ohledem na aktiva |
| Příloha č. 4 - | Metodika hodnocení rizik |
| Příloha č. 5 - | Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy |
| Příloha č. 6 - | Témata pro rozvoj bezpečnostního povědomí |