§ 6 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Organizační bezpečnost
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 6 · IT právo a ochrana dat
Stručně: Paragraf 6 vyhlášky o kybernetické bezpečnosti stanovuje povinnost určit organizační strukturu pro řízení bezpečnosti informací, včetně zřízení výboru pro kybernetickou bezpečnost a definování konkrétních bezpečnostních rolí s odpovídající kvalifikací.
§ 6 Organizační bezpečnost
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zavede organizaci řízení bezpečnosti informací, v rámci které určí výbor pro řízení kybernetické bezpečnosti a bezpečnostní role a jejich práva a povinnosti související s informačním systémem kritické informační infrastruktury, komunikačním systémem kritické informační infrastruktury nebo významným informačním systémem.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role
a) manažer kybernetické bezpečnosti,
b) architekt kybernetické bezpečnosti,
c) auditor kybernetické bezpečnosti a
d) garant aktiva podle § 2 písm. m).
(3) Orgán a osoba uvedená v § 3 písm. e) určí bezpečnostní role přiměřeně podle odstavce 2.
(4) Manažer kybernetické bezpečnosti je osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.
(5) Architekt kybernetické bezpečnosti je osoba zajišťující návrh a implementaci bezpečnostních opatření, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let.
(6) Auditor kybernetické bezpečnosti je osoba provádějící audit kybernetické bezpečnosti, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu rolí uvedených v odstavci 2 písm. a), b) nebo d).
(7) Výbor pro řízení kybernetické bezpečnosti je organizovaná skupina tvořená osobami, které jsou pověřeny celkovým řízením a rozvojem informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, anebo se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností těchto systémů.
(8) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajistí odborné školení osob, které zastávají bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. b).
Paragraf 6 vyhlášky o kybernetické bezpečnosti stanovuje povinnost určit organizační strukturu pro řízení bezpečnosti informací, včetně zřízení výboru pro kybernetickou bezpečnost a definování konkrétních bezpečnostních rolí s odpovídající kvalifikací.
Co to znamená v praxi
Subjekty, na které se vyhláška vztahuje, musí mít jasně definovanou organizační strukturu pro řízení bezpečnosti informací, včetně zřízení výboru pro řízení kybernetické bezpečnosti.
Musí být určeny specifické bezpečnostní role, jako je manažer, architekt a auditor kybernetické bezpečnosti, a pro každou z nich musí být stanovena práva a povinnosti.
Osoby zastávající tyto bezpečnostní role musí být řádně vyškoleny a prokázat odbornou způsobilost praxí v dané oblasti po dobu nejméně tří let.
Auditor kybernetické bezpečnosti musí vykonávat svou roli nestranně a jeho činnost musí být oddělena od ostatních bezpečnostních rolí.
Na co si dát pozor
Je třeba zajistit, aby osoby v bezpečnostních rolích splňovaly požadavky na odbornou způsobilost a praxi.
Oddělení role auditora kybernetické bezpečnosti od ostatních rolí je klíčové pro zajištění nestrannosti auditu.
Je nutné zajistit průběžné odborné školení osob zastávajících bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.