§ 15 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Kontrola a audit kritické informační infrastruktury a významných informačních systémů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 15 · IT právo a ochrana dat
Stručně: Paragraf 15 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby spravující kritickou informační infrastrukturu a významné informační systémy v oblasti kontroly a auditu kybernetické bezpečnosti.
§ 15 Kontrola a audit kritické informační infrastruktury a významných informačních systémů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci kontroly a auditu kritické informační infrastruktury a významných informačních systémů (dále jen „audit kybernetické bezpečnosti“)
a) posuzuje soulad bezpečnostních opatření s právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému a určí opatření pro jeho prosazování a
b) provádí a dokumentuje pravidelné kontroly dodržování bezpečnostní politiky a výsledky těchto kontrol zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona zajišťuje provedení auditu kybernetické bezpečnosti osobou s odbornou kvalifikací podle § 6 odst. 6, která hodnotí správnost a účinnost zavedených bezpečnostních opatření.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále pro informační systém kritické informační infrastruktury a komunikační systém kritické informační infrastruktury provádí kontrolu zranitelnosti technických prostředků pomocí automatizovaných nástrojů a jejich odborné vyhodnocení a reaguje na zjištěné zranitelnosti.
HLAVA II
Paragraf 15 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby spravující kritickou informační infrastrukturu a významné informační systémy v oblasti kontroly a auditu kybernetické bezpečnosti.
Co to znamená v praxi
Subjekty musí pravidelně posuzovat, zda jejich bezpečnostní opatření odpovídají právním předpisům, vnitřním pravidlům a smluvním závazkům.
Je nutné provádět a dokumentovat kontroly dodržování bezpečnostní politiky a výsledky těchto kontrol zohledňovat v plánech rozvoje bezpečnostního povědomí a zvládání rizik.
Audit kybernetické bezpečnosti musí být proveden osobou s odbornou kvalifikací, která hodnotí správnost a účinnost zavedených bezpečnostních opatření.
Pro kritickou informační infrastrukturu je povinná kontrola zranitelnosti technických prostředků pomocí automatizovaných nástrojů, jejich odborné vyhodnocení a reakce na zjištěné zranitelnosti.
Na co si dát pozor
Audit kybernetické bezpečnosti nesmí provádět kdokoli, ale pouze osoba s odpovídající odbornou kvalifikací.
Zjištěné nedostatky z kontrol a auditů je nutné promítnout do plánů rozvoje bezpečnostního povědomí a zvládání rizik.
U kritické informační infrastruktury je kladen důraz na aktivní vyhledávání zranitelností a následnou reakci na ně.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.