§ 22 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Zaznamenávání událostí
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 22 · Ostatní právní předpisy
Stručně: Paragraf 22 vyhlášky 409/2025 stanovuje povinné osobě, jak má zaznamenávat bezpečnostní a provozní události u vybraných technických aktiv, jaké informace má zaznamenávat a jak s těmito záznamy nakládat.
§ 22 Zaznamenávání událostí
(1) Povinná osoba na základě hodnocení aktiv a svých bezpečnostních potřeb
a) určí technická aktiva, u kterých je zaznamenávání bezpečnostních a relevantních provozních událostí prováděno, a
b) aktualizuje rozsah technických aktiv podle odstavce 1 písm. a) v pravidelných intervalech a při významných změnách.
(2) Povinná osoba zaznamenává bezpečnostní a relevantní provozní události
a) detekované podle § 21,
b) v rámci komunikační sítě,
c) na síťovém perimetru a
d) technických aktiv určených podle odstavce 1 písm. a).
(3) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává
a) přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,
b) provedení a neúspěšné pokusy o provedení privilegované činnosti,
c) manipulace a neúspěšné pokusy o manipulaci s účty, oprávněními a právy,
d) neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění,
e) zahájení a ukončení činností technických aktiv,
f) kritická a chybová hlášení technických aktiv,
g) přístupy a neúspěšné pokusy o přístupy k záznamům událostí,
h) manipulace a neúspěšné pokusy o manipulaci se záznamy událostí,
i) změny a neúspěšné pokusy o změny nastavení nástrojů pro zaznamenávání událostí a
j) další činnosti uživatelů, které mohou mít vliv na bezpečnost regulované služby.
(4) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává následující informace o události:
a) datum a čas včetně specifikace časového pásma,
b) typ činnosti,
c) jednoznačnou identifikaci technického aktiva, které činnost zaznamenalo, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace,
d) jednoznačnou identifikaci účtu, pod kterým byla činnost provedena, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace,
e) jednoznačnou identifikaci zařízení původce, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace, a
f) úspěšnost nebo neúspěšnost činnosti.
(5) Povinná osoba dále s ohledem na události zaznamenané podle odstavce 2
a) zajistí důvěrnost a integritu získaných informací, včetně ochrany před neoprávněným čtením a jakoukoliv změnou,
b) používá s ohledem na vazby mezi aktivy centralizovaný nástroj pro sběr a uchovávání záznamů těchto událostí a
c) uchovává záznamy těchto událostí alespoň po dobu 18 měsíců.
(6) Povinná osoba zajišťuje nepřetržitou synchronizaci jednotného času technických aktiv.
Paragraf 22 vyhlášky 409/2025 stanovuje povinné osobě, jak má zaznamenávat bezpečnostní a provozní události u vybraných technických aktiv, jaké informace má zaznamenávat a jak s těmito záznamy nakládat.
Co to znamená v praxi
Povinná osoba musí určit, u kterých technických aktiv bude zaznamenávat události, a tento seznam pravidelně aktualizovat.
Zaznamenávat se musí široká škála událostí, včetně přihlašování, manipulace s účty, kritických hlášení a dalších činností ovlivňujících bezpečnost.
Záznamy musí obsahovat konkrétní informace, jako je datum, čas, typ činnosti, identifikace aktiva, účtu a zařízení, a také úspěšnost či neúspěšnost činnosti.
Záznamy musí být chráněny před neoprávněným přístupem a změnami, uchovávány centralizovaně po dobu minimálně 18 měsíců a všechna technická aktiva musí mít synchronizovaný čas.
Na co si dát pozor
Je třeba pečlivě vyhodnotit a určit všechna technická aktiva, u kterých je zaznamenávání událostí nezbytné pro zajištění bezpečnosti.
Zajištění důvěrnosti a integrity zaznamenaných informací je klíčové, aby záznamy mohly sloužit jako spolehlivý důkaz.
Délka uchovávání záznamů (alespoň 18 měsíců) vyžaduje odpovídající kapacitu a správu úložiště.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.