§ 10 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Bezpečnost lidských zdrojů
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 10 · Ostatní právní předpisy
Stručně: Paragraf 10 vyhlášky 409/2025 ukládá povinné osobě zajistit bezpečnost lidských zdrojů prostřednictvím plánu rozvoje bezpečnostního povědomí, který zahrnuje poučení a školení pro různé skupiny zaměstnanců a vedení, a dále stanovuje pravidla pro řešení porušení bezpečnostních pravidel.
§ 10 Bezpečnost lidských zdrojů
(1) Povinná osoba v rámci bezpečnosti lidských zdrojů s ohledem na stav a potřeby systému řízení bezpečnosti informací stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí včetně formy, obsahu a rozsahu poučení a školení podle odstavce 2.
(2) Povinná osoba zahrne do plánu rozvoje bezpečnostního povědomí
a) poučení vrcholného vedení o jeho povinnostech a bezpečnostní politice, zejména v oblastech systému řízení bezpečnosti informací a řízení rizik,
b) poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice,
c) potřebná teoretická i praktická školení uživatelů, administrátorů a osob zastávajících bezpečnostní role,
d) pravidla tvorby bezpečných hesel v souladu s § 19 a
e) relevantní témata uvedená v příloze č. 6 k této vyhlášce.
(3) Povinná osoba v rámci bezpečnostního povědomí zajistí
a) poučení vrcholného vedení o jeho povinnostech, o bezpečnostní politice zejména v oblasti systému řízení bezpečnosti informací, řízení rizik a řízení kontinuity činností formou vstupních a pravidelných školení k získání znalostí a dovedností vedoucích k určování rizik a posouzení vhodnosti zvolených postupů při řízení rizik a jejich dopadů na regulovanou službu,
b) poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,
c) pravidelná odborná školení osobám zastávajícím bezpečnostní role, přičemž vychází z aktuálních potřeb povinné osoby v oblasti kybernetické bezpečnosti, a
d) pravidelná školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní nebo služebním zařazením.
(4) Povinná osoba v rámci bezpečnosti lidských zdrojů
a) určí osoby odpovědné za realizaci jednotlivých činností, které jsou v plánu rozvoje bezpečnostního povědomí uvedeny,
b) zajistí v souladu s plánem rozvoje bezpečnostního povědomí provedení poučení a školení podle odstavce 3,
c) pravidelně hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených poučení, školení a dalších činností spojených se zlepšováním bezpečnostního povědomí,
d) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,
e) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a
f) zajistí plynulost výkonu činností v případě ukončení nebo změny smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role.
(5) Povinná osoba vede o poučení a školení podle odstavce 3 přehledy, které obsahují předmět poučení a školení včetně seznamu osob, které poučení a školení absolvovaly.
Paragraf 10 vyhlášky 409/2025 ukládá povinné osobě zajistit bezpečnost lidských zdrojů prostřednictvím plánu rozvoje bezpečnostního povědomí, který zahrnuje poučení a školení pro různé skupiny zaměstnanců a vedení, a dále stanovuje pravidla pro řešení porušení bezpečnostních pravidel.
Co to znamená v praxi
Povinná osoba musí vytvořit plán, který zajistí, že všichni relevantní zaměstnanci, od vrcholného vedení po běžné uživatele, budou řádně poučeni a proškoleni v oblasti bezpečnosti informací a kybernetické bezpečnosti.
Školení a poučení musí být pravidelná a musí zahrnovat jak teoretické, tak praktické aspekty, včetně tvorby bezpečných hesel.
Je nutné určit konkrétní osoby odpovědné za realizaci těchto školení a poučení a pravidelně hodnotit jejich účinnost.
Povinná osoba musí zajistit kontrolu dodržování bezpečnostních pravidel a mít připravené postupy pro řešení případů jejich porušení.
Na co si dát pozor
Plán rozvoje bezpečnostního povědomí musí být přizpůsoben aktuálním potřebám povinné osoby v oblasti kybernetické bezpečnosti a musí zohledňovat relevantní témata uvedená v příloze č. 6 k vyhlášce.
Je klíčové zajistit, aby školení pro vrcholné vedení vedla k získání znalostí a dovedností pro určování rizik a posouzení vhodnosti postupů při řízení rizik a jejich dopadů na regulovanou službu.
Pravidla pro tvorbu bezpečných hesel musí být v souladu s § 19 vyhlášky.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.