§ 26 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Nástroj pro zajišťování úrovně dostupnosti
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 26 · IT právo a ochrana dat
Stručně: Paragraf 26 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro zajišťování dostupnosti informací, přičemž pro kritickou informační infrastrukturu upřesňuje požadavky na tento nástroj, aby zajistil kontinuitu, odolnost a zálohování.
§ 26 Nástroj pro zajišťování úrovně dostupnosti
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá nástroj pro zajišťování úrovně dostupnosti informací.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona používá nástroj pro zajišťování úrovně dostupnosti informací, který zajistí
a) dostupnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury pro splnění cílů řízení kontinuity činností,
b) odolnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickým bezpečnostním incidentům, které by mohly snížit dostupnost, a
c) zálohování důležitých technických aktiv informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury
1. využitím redundance v návrhu řešení a
2. zajištěním náhradních technických aktiv v určeném čase.
Paragraf 26 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro zajišťování dostupnosti informací, přičemž pro kritickou informační infrastrukturu upřesňuje požadavky na tento nástroj, aby zajistil kontinuitu, odolnost a zálohování.
Co to znamená v praxi
Subjekty, na které se vyhláška vztahuje (orgány a osoby uvedené v § 3 písm. c) až e) zákona), musí mít zaveden nástroj, který pomáhá udržet informace dostupné, a to v souladu s jejich bezpečnostními potřebami a výsledky hodnocení rizik.
Pro kritickou informační infrastrukturu (subjekty uvedené v § 3 písm. c) a d) zákona) musí tento nástroj konkrétně zajistit, že informační a komunikační systémy budou dostupné pro splnění cílů kontinuity činností.
Nástroj pro kritickou infrastrukturu musí také zajistit odolnost systémů vůči kybernetickým incidentům, které by mohly snížit jejich dostupnost.
Důležitá technická aktiva kritické infrastruktury musí být zálohována, a to buď zdvojením (redundancí) v návrhu řešení, nebo zajištěním náhradních aktiv v předem určeném čase.
Na co si dát pozor
Je třeba rozlišovat mezi obecnou povinností pro všechny dotčené subjekty a zpřísněnými požadavky pro kritickou informační infrastrukturu.
Nástroj pro zajišťování dostupnosti musí být v souladu s bezpečnostními potřebami a výsledky hodnocení rizik, což znamená, že jeho implementace by měla vycházet z předchozí analýzy.
U kritické infrastruktury je kladen důraz na konkrétní mechanismy zajištění dostupnosti, jako je odolnost vůči incidentům a zálohování s využitím redundance nebo náhradních aktiv.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.