§ 11 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení změn
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 11 · Ostatní právní předpisy
Stručně: Paragraf 11 vyhlášky 409/2025 stanovuje povinné osobě pravidla pro řízení změn u aktiv, zejména pak u těch významných, které mají nebo mohou mít vliv na kybernetickou bezpečnost.
§ 11 Řízení změn
(1) Povinná osoba při řízení změn u aktiv
a) stanoví pravidla, postupy a kritéria pro určení významných změn,
b) určí změny, které mají nebo mohou mít vliv na kybernetickou bezpečnost,
c) určuje u změn určených podle písmene b) významné změny v souladu se stanovenými pravidly, postupy a kritérii pro určení významných změn podle písmene a).
(2) Povinná osoba u významných změn
a) dokumentuje jejich řízení,
b) řídí rizika spojená s významnými změnami,
c) přijímá bezpečnostní opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
d) aktualizuje bezpečnostní a provozní dokumentaci,
e) zajistí jejich testování před uvedením do provozu a
f) zajistí možnost navrácení do původního stavu.
(3) Povinná osoba na základě výsledků řízení rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování; pokud rozhodne o provedení penetračního testování, postupuje podle § 24 odst. 5.
Paragraf 11 vyhlášky 409/2025 stanovuje povinné osobě pravidla pro řízení změn u aktiv, zejména pak u těch významných, které mají nebo mohou mít vliv na kybernetickou bezpečnost.
Co to znamená v praxi
Povinná osoba musí mít jasně definovaná pravidla, postupy a kritéria pro to, co považuje za významnou změnu u svých aktiv.
Před každou změnou je nutné posoudit, zda může mít dopad na kybernetickou bezpečnost, a pokud ano, zda se jedná o významnou změnu podle stanovených kritérií.
U významných změn je povinností dokumentovat celý proces řízení, aktivně řídit související rizika, přijímat bezpečnostní opatření, aktualizovat dokumentaci, testovat změny před spuštěním a zajistit možnost návratu k původnímu stavu.
Na základě vyhodnocení rizik spojených s významnou změnou musí povinná osoba rozhodnout, zda provede penetrační testování.
Na co si dát pozor
Je klíčové mít detailně propracované a zdokumentované postupy pro určení významných změn, aby nedocházelo k opomenutí důležitých kroků.
Nezapomenout na povinnost testování významných změn před jejich uvedením do provozu a zajištění možnosti návratu do původního stavu.
Rozhodnutí o penetračním testování musí být podloženo výsledky řízení rizik a v případě jeho provedení je nutné postupovat podle § 24 odst. 5.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.