§ 20 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení přístupových práv a oprávnění
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 20 · Ostatní právní předpisy
Stručně: Paragraf 20 vyhlášky 409/2025 stanovuje povinnost pro regulované subjekty používat centralizovaný nástroj pro řízení přístupových práv a oprávnění k jejich aktivům, který umožňuje spravovat přístup a oprávnění pro čtení, zápis a změnu informací.
§ 20 Řízení přístupových práv a oprávnění
Povinná osoba pro řízení přístupových práv a oprávnění využívá nástroj,
a) který je centralizovaný s ohledem na vazby mezi aktivy,
b) kterým řídí práva pro přístup k jednotlivým aktivům a
c) kterým řídí oprávnění pro čtení a zápis informací a dat a změnu oprávnění.
Paragraf 20 vyhlášky 409/2025 stanovuje povinnost pro regulované subjekty používat centralizovaný nástroj pro řízení přístupových práv a oprávnění k jejich aktivům, který umožňuje spravovat přístup a oprávnění pro čtení, zápis a změnu informací.
Co to znamená v praxi
Povinná osoba musí mít jeden systém, který spravuje, kdo má k čemu přístup, a to s ohledem na vzájemné souvislosti mezi jednotlivými aktivy (např. servery, databáze, aplikace).
Tento systém musí umožňovat nastavit, kdo smí k jakému aktivu přistupovat.
Nástroj musí také řídit, zda uživatelé mohou data pouze číst, zapisovat je, nebo dokonce měnit svá vlastní oprávnění.
Na co si dát pozor
Nástroj musí být "centralizovaný s ohledem na vazby mezi aktivy", což znamená, že by nemělo jít o nesourodou sadu nástrojů, ale o integrované řešení, které chápe vztahy mezi jednotlivými komponentami IT infrastruktury.
Je třeba zajistit, aby nástroj efektivně řídil jak přístup k samotným aktivům, tak i konkrétní oprávnění pro manipulaci s daty v rámci těchto aktiv.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.