§ 14 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Řízení kontinuity činností
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 14 · IT právo a ochrana dat
Stručně: Paragraf 14 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby spravující kritickou informační infrastrukturu nebo významné informační systémy v oblasti řízení kontinuity činností, tedy zajištění provozu i po kybernetickém bezpečnostním incidentu.
§ 14 Řízení kontinuity činností
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení kontinuity činností stanoví
a) práva a povinnosti garantů aktiv, administrátorů a osob zastávajících bezpečnostní role,
b) cíle řízení kontinuity činností formou určení
1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, a
3. dobu obnovení dat jako termínu, ke kterému budou obnovena data po kybernetickém bezpečnostním incidentu, a
c) strategii řízení kontinuity činností, která obsahuje naplnění cílů podle písmene b).
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,
b) stanoví, aktualizuje a pravidelně testuje plány kontinuity činností informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury,
c) realizuje opatření pro zvýšení odolnosti informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickému bezpečnostnímu incidentu a využívá nástroj pro zajišťování úrovně dostupnosti podle § 26 a
d) stanoví a aktualizuje postupy pro provedení opatření vydaných Úřadem podle § 13 a 14 zákona, ve kterých zohlední
1. výsledky hodnocení rizik provedení opatření,
2. stav dotčených bezpečnostních opatření a
3. vyhodnocení případných negativních dopadů na provoz a bezpečnost informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury.
Paragraf 14 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby spravující kritickou informační infrastrukturu nebo významné informační systémy v oblasti řízení kontinuity činností, tedy zajištění provozu i po kybernetickém bezpečnostním incidentu.
Co to znamená v praxi
Subjekty musí jasně definovat, kdo za co odpovídá v rámci řízení kontinuity (např. garanti aktiv, administrátoři).
Je nutné stanovit konkrétní cíle pro obnovu provozu po incidentu, včetně minimální úrovně služeb, doby obnovení chodu systému a doby, ke které budou obnovena data.
Musí být vypracována strategie, která zajistí dosažení těchto cílů kontinuity.
Subjekty musí vyhodnocovat dopady kybernetických incidentů, posuzovat rizika ohrožení kontinuity a pravidelně testovat plány obnovy.
Na co si dát pozor
Je důležité, aby stanovené cíle (minimální úroveň služeb, doby obnovení) byly realistické a zároveň dostatečné pro zajištění fungování po incidentu.
Pravidelné testování plánů kontinuity je klíčové pro ověření jejich funkčnosti a odhalení případných nedostatků.
Je nutné zohlednit výsledky hodnocení rizik při stanovování postupů pro provedení opatření vydaných Úřadem.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.