Stručně: Paragraf 14 zákona 264/2025 stanovuje konkrétní seznam organizačních a technických bezpečnostních opatření, která musí zavádět poskytovatelé regulovaných služeb, přičemž rozlišuje mezi režimem vyšších a nižších povinností.
§ 14 Seznam bezpečnostních opatření
(1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou
a) organizačními opatřeními
1. systém řízení bezpečnosti informací,
2. požadavky na vrcholné vedení,
3. stanovení bezpečnostních rolí,
4. řízení bezpečnostní politiky a bezpečnostní dokumentace,
5. řízení aktiv,
6. řízení rizik,
7. řízení dodavatelů,
8. bezpečnost lidských zdrojů,
9. řízení změn,
10. akvizice, vývoj a údržba,
11. řízení přístupu,
12. zvládání kybernetických bezpečnostních událostí a incidentů,
13. řízení kontinuity činností a
14. provádění auditu kybernetické bezpečnosti,
b) technickými opatřeními
1. fyzická bezpečnost,
2. bezpečnost komunikačních sítí,
3. správa a ověřování identit,
4. řízení přístupových práv a oprávnění,
5. detekce kybernetických bezpečnostních událostí,
6. zaznamenávání událostí,
7. vyhodnocování kybernetických bezpečnostních událostí,
8. aplikační bezpečnost,
9. kryptografické algoritmy,
10. zajišťování dostupnosti regulované služby a
11. zabezpečení průmyslových, řídících a obdobných specifických technických aktiv.
(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními
a) systém zajišťování minimální kybernetické bezpečnosti,
b) požadavky na vrcholné vedení,
c) řízení aktiv,
d) řízení rizik,
e) bezpečnost lidských zdrojů,
f) řízení kontinuity činností,
g) řízení přístupu,
h) řízení identit a jejich oprávnění,
i) detekce a zaznamenávání kybernetických bezpečnostních událostí,
j) řešení kybernetických bezpečnostních incidentů,
k) bezpečnost komunikačních sítí,
l) aplikační bezpečnost a
m) kryptografické algoritmy.
Paragraf 14 zákona 264/2025 stanovuje konkrétní seznam organizačních a technických bezpečnostních opatření, která musí zavádět poskytovatelé regulovaných služeb, přičemž rozlišuje mezi režimem vyšších a nižších povinností.
Co to znamená v praxi
Poskytovatelé regulovaných služeb musí implementovat specifické organizační a technické postupy pro zajištění kybernetické bezpečnosti.
Rozsah a typ těchto opatření se liší v závislosti na tom, zda je poskytovatel v režimu vyšších nebo nižších povinností.
Pro režim vyšších povinností je seznam opatření detailnější a zahrnuje například systém řízení bezpečnosti informací, řízení rizik, audit kybernetické bezpečnosti, fyzickou bezpečnost nebo zabezpečení průmyslových systémů.
Pro režim nižších povinností je seznam opatření obecnější a zahrnuje například systém zajišťování minimální kybernetické bezpečnosti, řízení aktiv, detekci a zaznamenávání událostí.
Na co si dát pozor
Je klíčové správně určit, zda spadáte do režimu vyšších nebo nižších povinností, protože to přímo ovlivňuje rozsah bezpečnostních opatření, která musíte zavést.
Nezbytné je detailně se seznámit s konkrétními požadavky pro daný režim a zajistit jejich implementaci.
Obsah a způsob zavádění těchto opatření bude dále upřesněn vyhláškou Úřadu, jak naznačuje § 13 odst. 3.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.