§ 5 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Bezpečnostní politika
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 5 · IT právo a ochrana dat
Stručně: Paragraf 5 vyhlášky o kybernetické bezpečnosti stanovuje, že určité orgány a osoby musí vytvořit a udržovat bezpečnostní politiku, která pokrývá specifické oblasti kybernetické bezpečnosti, přičemž rozsah těchto oblastí se liší podle typu subjektu.
§ 5 Bezpečnostní politika
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací,
b) organizační bezpečnost,
c) řízení vztahů s dodavateli,
d) klasifikace aktiv,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uživatelů,
i) zálohování a obnova,
j) bezpečné předávání a výměna informací,
k) řízení technických zranitelností,
l) bezpečné používání mobilních zařízení,
m) poskytování a nabývání licencí programového vybavení a informací,
n) dlouhodobé ukládání a archivace informací,
o) ochrana osobních údajů,
p) fyzická bezpečnost,
q) bezpečnost komunikační sítě,
r) ochrana před škodlivým kódem,
s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,
t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a
u) používání kryptografické ochrany.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací,
b) organizační bezpečnost,
c) řízení dodavatelů,
d) klasifikace aktiv,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uživatelů,
i) zálohování a obnova,
j) poskytování a nabývání licencí programového vybavení a informací,
k) ochrana osobních údajů,
l) používání kryptografické ochrany,
m) ochrana před škodlivým kódem a
n) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.
(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pravidelně hodnotí účinnost bezpečnostní politiky a aktualizuje ji.
Paragraf 5 vyhlášky o kybernetické bezpečnosti stanovuje, že určité orgány a osoby musí vytvořit a udržovat bezpečnostní politiku, která pokrývá specifické oblasti kybernetické bezpečnosti, přičemž rozsah těchto oblastí se liší podle typu subjektu.
Co to znamená v praxi
Subjekty spadající pod § 3 písm. c) a d) zákona (např. provozovatelé kritické informační infrastruktury) musí mít komplexní bezpečnostní politiku zahrnující 21 konkrétních oblastí, od řízení bezpečnosti informací až po používání kryptografické ochrany.
Subjekty spadající pod § 3 písm. e) zákona (např. provozovatelé významných informačních systémů) mají povinnost stanovit bezpečnostní politiku v 14 oblastech, které jsou méně rozsáhlé než u předchozí skupiny.
Všechny dotčené subjekty musí pravidelně vyhodnocovat účinnost své bezpečnostní politiky a v případě potřeby ji aktualizovat, aby odpovídala aktuálním potřebám a rizikům.
Na co si dát pozor
Je klíčové správně určit, do které kategorie subjektů podle § 3 zákona spadáte, neboť to přímo ovlivňuje rozsah povinností v oblasti bezpečnostní politiky.
Nestačí pouze jednou vytvořit bezpečnostní politiku; je nutné ji průběžně kontrolovat a upravovat, aby zůstala relevantní a účinná.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.