§ 15 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení kontinuity činností
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 15 · Ostatní právní předpisy
Stručně: Paragraf 15 vyhlášky 409/2025 ukládá povinné osobě povinnost řídit kontinuitu svých činností, což znamená zajistit, aby i po kybernetickém bezpečnostním incidentu mohla nadále poskytovat své regulované služby na přijatelné úrovni.
§ 15 Řízení kontinuity činností
Povinná osoba při řízení kontinuity činností
a) stanoví metodiku pro provedení analýzy dopadů,
b) provádí analýzu dopadů, vyhodnocuje a dokumentuje možné dopady kybernetických bezpečnostních incidentů a zohlední hodnocení rizik podle § 8,
c) na základě výstupů analýzy dopadů a hodnocení rizik podle písmene b) stanoví cíle řízení kontinuity činností formou určení
1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu regulované služby,
2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb regulované služby, a
3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání technického aktiva,
d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c), a stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,
e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy související s poskytováním regulované služby a
f) realizuje bezpečnostní opatření pro zvýšení odolnosti podle § 26.
Paragraf 15 vyhlášky 409/2025 ukládá povinné osobě povinnost řídit kontinuitu svých činností, což znamená zajistit, aby i po kybernetickém bezpečnostním incidentu mohla nadále poskytovat své regulované služby na přijatelné úrovni.
Co to znamená v praxi
Povinná osoba musí nejprve analyzovat možné dopady kybernetických incidentů na své služby a zohlednit rizika.
Na základě této analýzy musí stanovit, jaká je minimální úroveň služeb, kterou musí být schopna poskytovat, jak rychle se musí po incidentu obnovit a jak stará data je potřeba být schopna obnovit.
Musí vytvořit politiku řízení kontinuity, která popíše, jak se těchto cílů dosáhne, a definuje role a odpovědnosti.
Je nutné pravidelně vypracovávat, aktualizovat a testovat plány pro udržení chodu a obnovu služeb.
Na co si dát pozor
Je klíčové, aby analýza dopadů a hodnocení rizik byly důkladné a realistické, protože na nich závisí nastavení cílů kontinuity.
Plány kontinuity a obnovy musí být pravidelně testovány, aby se ověřila jejich funkčnost v praxi.
Je nutné zajistit, aby práva a povinnosti administrátorů a osob v bezpečnostních rolích byly jasně definovány v politice řízení kontinuity.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.