CS · EN DE FR brzy

§ 24 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Aplikační bezpečnost

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 24 · Ostatní právní předpisy
Stručně: Paragraf 24 vyhlášky 409/2025 stanovuje povinnosti týkající se zabezpečení aplikací a technických aktiv, včetně jejich podpory, aktualizací, ochrany informací a pravidelného testování zranitelností.
§ 24 Aplikační bezpečnost (1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou jejich výrobcem, dodavatelem nebo jinou osobou podporována a zajistí aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva. (2) Povinná osoba do doby plnění podle odstavce 1 zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv, a eviduje technická aktiva, a) která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a b) na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci. (3) Povinná osoba v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před a) neoprávněnou činností a b) popřením provedených činností. (4) Povinná osoba v rámci skenování zranitelností technických aktiv a) provádí pravidelné skenování zranitelností technických aktiv regulované služby 1. z vnitřní a vnější komunikační sítě a 2. alespoň jednou ročně. b) zohlední výsledky skenování zranitelností technických aktiv v rámci řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků. (5) Povinná osoba v rámci penetračního testování a) provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik 1. z vnitřní a vnější komunikační sítě, 2. před jejich uvedením do provozu a 3. v souvislosti s významnou změnou podle § 11 odst. 3, b) zohlední výsledky penetračního testování při řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků, c) provádí v souladu s odstavcem 5 písm. a) bodem 1 pravidelně penetrační testování, a to alespoň jednou za 2 roky, d) v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 5 písm. c), může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 5 písm. a) nejpozději do 5 let, e) u penetračních testů v souladu s odstavcem 5 písm. a) eviduje termín provedení a konkrétní fyzické osoby provádějící toto penetrační testování. (6) Povinná osoba provede opětovné otestování nálezu zjištěného na základě provedeného skenování zranitelností nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.
← § 23celý předpis§ 25 →

Výklad

Stručně

Paragraf 24 vyhlášky 409/2025 stanovuje povinnosti týkající se zabezpečení aplikací a technických aktiv, včetně jejich podpory, aktualizací, ochrany informací a pravidelného testování zranitelností.

Co to znamená v praxi

Na co si dát pozor

Související témata

§ 25 Aplikační bezpečnost Vyhláška o bezpečnostních opatřeních, ky
§ 12 Aplikační bezpečnost Vyhláška o bezpečnostních opatřeních pos
§ 24 Aplikační bezpečnost Vyhláška o bezpečnostních opatřeních, ky
§ 14 Seznam bezpečnostních opatření Zákon o kybernetické bezpečnosti
§ 5 Zákon o kybernetické bezpečnosti a o změ
🔔 Hlídat změny § 24 — pošleme e-mail, když se paragraf novelizuje.
← § 23celý předpis§ 25 →
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.