§ 14 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Zvládání kybernetických bezpečnostních událostí a incidentů
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 14 · Ostatní právní předpisy
Stručně: Paragraf 14 vyhlášky 409/2025 stanovuje povinnosti pro subjekty, které poskytují regulované služby, v oblasti zvládání kybernetických bezpečnostních událostí a incidentů, od jejich detekce až po vyhodnocení a přijetí nápravných opatření.
§ 14 Zvládání kybernetických bezpečnostních událostí a incidentů
(1) Povinná osoba při zvládání kybernetických bezpečnostních událostí a incidentů
a) zavede procesy, pravidla a postupy pro detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí v souladu s § 21 až 23,
b) zavede procesy, pravidla a postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů,
c) přidělí odpovědnosti pro
1. detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí a
2. koordinaci a zvládání kybernetických bezpečnostních incidentů,
d) definuje a dodržuje pravidla a postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,
e) zajistí detekci kybernetických bezpečnostních událostí podle § 21,
f) zajistí, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování technických aktiv a podezření na zranitelnosti,
g) zajistí posuzování kybernetických bezpečnostních událostí, při kterých musí být rozhodnuto, zda mají být klasifikovány jako kybernetické bezpečnostní incidenty,
h) zajistí zvládání kybernetických bezpečnostních incidentů podle stanovených postupů,
i) přijímá bezpečnostní opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu,
j) zajistí hlášení kybernetických bezpečnostních incidentů podle § 15 zákona,
k) prošetří a určí příčiny kybernetického bezpečnostního incidentu,
l) vede záznamy o kybernetických bezpečnostních incidentech a o jejich zvládání,
m) zajistí vytvoření závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu s významným dopadem podle § 16 zákona, včetně popisu příčiny vzniku kybernetického bezpečnostního incidentu s významným dopadem, pokud je známa, a
n) vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu, popřípadě aktualizuje stávající bezpečnostní opatření.
(2) Povinná osoba dále při detekci a vyhodnocování kybernetických bezpečnostních událostí používá nástroje podle § 21 a 23.
Paragraf 14 vyhlášky 409/2025 stanovuje povinnosti pro subjekty, které poskytují regulované služby, v oblasti zvládání kybernetických bezpečnostních událostí a incidentů, od jejich detekce až po vyhodnocení a přijetí nápravných opatření.
Co to znamená v praxi
Povinná osoba musí mít zavedené jasné procesy a postupy pro rozpoznání, zaznamenání a vyhodnocení kybernetických událostí, stejně jako pro koordinaci a řešení kybernetických incidentů.
Je nutné definovat, kdo je za detekci, vyhodnocování a zvládání incidentů zodpovědný, a zajistit, aby všichni relevantní pracovníci a dodavatelé hlásili neobvyklé chování nebo podezření na zranitelnosti.
Po každém incidentu je povinnost prošetřit jeho příčiny, vést o něm záznamy, a u incidentů s významným dopadem vytvořit závěrečnou zprávu.
Na základě vyhodnocení incidentu je potřeba přijmout opatření, aby se podobné situace neopakovaly, nebo aktualizovat stávající bezpečnostní opatření.
Na co si dát pozor
Je klíčové zajistit, aby detekce kybernetických bezpečnostních událostí probíhala v souladu s § 21 a aby byly používány odpovídající nástroje podle § 21 a 23.
Povinná osoba musí zajistit, že kybernetické bezpečnostní incidenty budou hlášeny podle § 15 zákona.
U incidentů s významným dopadem je nutné vytvořit závěrečnou zprávu podle § 16 zákona.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.