§ 28 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – BEZPEČNOSTNÍ DOKUMENTACE
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 28 · IT právo a ochrana dat
Stručně: Paragraf 28 vyhlášky o kybernetické bezpečnosti stanovuje, jakou bezpečnostní dokumentaci musí vést a aktualizovat orgány a osoby spadající pod zákon o kybernetické bezpečnosti, přičemž rozlišuje rozsah dokumentace podle typu subjektu.
§ 28 BEZPEČNOSTNÍ DOKUMENTACE
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje
a) bezpečnostní politiku podle § 5 odst. 1,
b) zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f),
c) zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g),
d) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik,
e) zprávu o hodnocení aktiv a rizik,
f) prohlášení o aplikovatelnosti,
g) plán zvládání rizik,
h) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),
i) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),
j) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a
k) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).
(2) Orgán a osoba uvedená v § 3 písm. e) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje
a) bezpečnostní politiku podle § 5 odst. 2,
b) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 2 písm. a),
c) zprávu o hodnocení aktiv a rizik podle § 4 odst. 2 písm. b) a c),
d) prohlášení o aplikovatelnosti podle § 4 odst. 2 písm. d),
e) plán zvládání rizik podle § 4 odst. 2 písm. e),
f) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),
g) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),
h) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a
i) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).
(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede bezpečnostní dokumentaci tak, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné a aby se daly snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů o provedených činnostech dokumentuje.
(4) Doporučená struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této vyhlášce.
Paragraf 28 vyhlášky o kybernetické bezpečnosti stanovuje, jakou bezpečnostní dokumentaci musí vést a aktualizovat orgány a osoby spadající pod zákon o kybernetické bezpečnosti, přičemž rozlišuje rozsah dokumentace podle typu subjektu.
Co to znamená v praxi
Subjekty, které spadají pod § 3 písm. c) a d) zákona (např. provozovatelé kritické informační infrastruktury), musí vést širší soubor dokumentů, včetně zpráv z auditů kybernetické bezpečnosti a přezkoumání systému řízení bezpečnosti informací.
Subjekty spadající pod § 3 písm. e) zákona (např. provozovatelé významných informačních systémů) mají rozsah dokumentace užší, například nemusí vést zprávy z auditů.
Všechny dotčené subjekty musí zajistit, aby záznamy v bezpečnostní dokumentaci byly úplné, čitelné, snadno identifikovatelné a vyhledatelné, a musí dokumentovat postupy pro jejich správu.
Pro usnadnění je k dispozici doporučená struktura bezpečnostní dokumentace v příloze č. 4 k této vyhlášce.
Na co si dát pozor
Je třeba pečlivě rozlišovat, do které kategorie subjektů spadáte (§ 3 písm. c), d) nebo e) zákona), neboť to ovlivňuje přesný rozsah požadované dokumentace.
Kromě samotného vedení dokumentace je klíčová i její pravidelná aktualizace.
Nestačí jen dokumenty mít, ale je nutné mít i zdokumentované postupy pro jejich identifikaci, uložení, ochranu, vyhledání, určení doby platnosti a uspořádání.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.