§ 12 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Akvizice, vývoj a údržba
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 12 · Ostatní právní předpisy
Stručně: § 12 vyhlášky 409/2025 stanovuje povinnosti pro regulované subjekty v oblasti řízení rizik a bezpečnostních požadavků při pořizování, vývoji a údržbě jejich systémů a technologií, a to včetně oddělení různých provozních prostředí a zajištění aktualizací.
§ 12 Akvizice, vývoj a údržba
(1) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv
a) řídí rizika,
b) řídí významné změny podle § 11,
c) stanoví bezpečnostní požadavky, které zohlední i relevantní bezpečnostní opatření stanovená touto vyhláškou,
d) zahrne bezpečnostní požadavky stanovené podle písmene c) do plánované akvizice, vývoje a údržby a
e) zajistí oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí, a zajistí ochranu informací a dat, které se v něm vyskytují.
(2) Povinná osoba zajistí při provedení akvizice nebo vývoje technického aktiva
a) využívajícího autentizační mechanismus, zejména za účelem ověření identity uživatelů nebo administrátorů, plnění požadavků podle § 19 odst. 2,
b) využívajícího kryptografické algoritmy, plnění požadavku podle § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a) a
c) dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu.
§ 12 vyhlášky 409/2025 stanovuje povinnosti pro regulované subjekty v oblasti řízení rizik a bezpečnostních požadavků při pořizování, vývoji a údržbě jejich systémů a technologií, a to včetně oddělení různých provozních prostředí a zajištění aktualizací.
Co to znamená v praxi
Při nákupu nových systémů, jejich vývoji nebo údržbě musí povinná osoba vždy zohlednit a řídit bezpečnostní rizika.
Je nutné stanovit konkrétní bezpečnostní požadavky, které musí být součástí celého procesu akvizice, vývoje a údržby, a to včetně požadavků této vyhlášky.
Provozní, zálohovací, vývojové, testovací a administrátorské prostředí musí být oddělená a chráněná.
Technická aktiva využívající ověřování identity nebo kryptografii musí splňovat specifické požadavky vyhlášky, a musí být zajištěna dostupnost bezpečnostních aktualizací po celou dobu jejich používání.
Na co si dát pozor
Při akvizici, vývoji a údržbě je nutné řídit významné změny podle § 11, což znamená dodržovat stanovená pravidla pro jejich identifikaci a řízení.
Technická aktiva s autentizačními mechanismy musí splňovat požadavky § 19 odst. 2, a aktiva s kryptografickými algoritmy požadavky § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a).
Je klíčové zajistit oddělení různých prostředí (provozní, zálohovací, vývojové, testovací, administrátorské) a ochranu dat v nich.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.