§ 7 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Stanovení bezpečnostních požadavků pro dodavatele
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 7 · IT právo a ochrana dat
Stručně: Paragraf stanovuje pravidla pro orgány a osoby, které provozují kritickou informační infrastrukturu nebo významný informační systém, jak mají řídit bezpečnostní požadavky u svých dodavatelů.
§ 7 Stanovení bezpečnostních požadavků pro dodavatele
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zavede pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti informací, a zohlední je u dodavatelů nebo jiných osob, které se podílejí na rozvoji, provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. Rozsah zapojení dodavatelů na rozvoji, provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému prokazatelně dokumentuje orgán a osoba uvedená v § 3 písm. c) až e) zákona smlouvou, jejíž součástí je ustanovení o bezpečnosti informací.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona u dodavatelů uvedených v odstavci 1 dále
a) před uzavřením smlouvy provádí hodnocení rizik podle přílohy č. 2 k této vyhlášce, která jsou spojena s podstatnými dodávkami,
b) uzavírá smlouvu o úrovni služeb, která stanoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření, a
c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných služeb a zjištěné nedostatky odstraňuje nebo po dohodě s dodavatelem zajistí jejich odstranění.
Paragraf stanovuje pravidla pro orgány a osoby, které provozují kritickou informační infrastrukturu nebo významný informační systém, jak mají řídit bezpečnostní požadavky u svých dodavatelů.
Co to znamená v praxi
Orgány a osoby musí zavést pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti informací, a tato pravidla uplatnit na dodavatele podílející se na rozvoji, provozu nebo zajištění bezpečnosti jejich informačních systémů.
Zapojení dodavatelů musí být prokazatelně dokumentováno smlouvou, která obsahuje ustanovení o bezpečnosti informací.
Před uzavřením smlouvy s dodavateli musí být provedeno hodnocení rizik spojených s podstatnými dodávkami.
Musí být uzavřena smlouva o úrovni služeb (SLA), která definuje způsoby a úrovně realizace bezpečnostních opatření a vzájemnou smluvní odpovědnost za jejich zavedení a kontrolu.
Je nutné pravidelně hodnotit rizika a kontrolovat zavedená bezpečnostní opatření u poskytovaných služeb a zjištěné nedostatky odstraňovat.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.