§ 24 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Aplikační bezpečnost
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 24 · Ostatní právní předpisy
Stručně: Paragraf 24 vyhlášky 409/2025 stanovuje povinnosti týkající se zabezpečení aplikací a technických aktiv, včetně jejich podpory, aktualizací, ochrany informací a pravidelného testování zranitelností.
§ 24 Aplikační bezpečnost
(1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou jejich výrobcem, dodavatelem nebo jinou osobou podporována a zajistí aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva.
(2) Povinná osoba do doby plnění podle odstavce 1 zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv, a eviduje technická aktiva,
a) která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a
b) na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci.
(3) Povinná osoba v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před
a) neoprávněnou činností a
b) popřením provedených činností.
(4) Povinná osoba v rámci skenování zranitelností technických aktiv
a) provádí pravidelné skenování zranitelností technických aktiv regulované služby
1. z vnitřní a vnější komunikační sítě a
2. alespoň jednou ročně.
b) zohlední výsledky skenování zranitelností technických aktiv v rámci řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků.
(5) Povinná osoba v rámci penetračního testování
a) provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik
1. z vnitřní a vnější komunikační sítě,
2. před jejich uvedením do provozu a
3. v souvislosti s významnou změnou podle § 11 odst. 3,
b) zohlední výsledky penetračního testování při řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků,
c) provádí v souladu s odstavcem 5 písm. a) bodem 1 pravidelně penetrační testování, a to alespoň jednou za 2 roky,
d) v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 5 písm. c), může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 5 písm. a) nejpozději do 5 let,
e) u penetračních testů v souladu s odstavcem 5 písm. a) eviduje termín provedení a konkrétní fyzické osoby provádějící toto penetrační testování.
(6) Povinná osoba provede opětovné otestování nálezu zjištěného na základě provedeného skenování zranitelností nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.
Paragraf 24 vyhlášky 409/2025 stanovuje povinnosti týkající se zabezpečení aplikací a technických aktiv, včetně jejich podpory, aktualizací, ochrany informací a pravidelného testování zranitelností.
Co to znamená v praxi
Povinná osoba musí používat technická aktiva, která jsou podporována výrobcem nebo dodavatelem, a zajistit aplikaci bezpečnostních aktualizací.
Pokud technická aktiva nejsou podporována nebo nelze aplikovat aktualizace, musí povinná osoba zavést alternativní bezpečnostní opatření a vést evidenci těchto aktiv.
Je nutné zajistit trvalou ochranu aplikací, informací a transakcí před neoprávněnou činností a popřením provedených činností.
Povinná osoba musí pravidelně, minimálně jednou ročně, provádět skenování zranitelností technických aktiv z vnitřní i vnější sítě a zohlednit výsledky v řízení rizik. Dále musí provádět penetrační testování před uvedením do provozu, při významných změnách a pravidelně alespoň jednou za dva roky, přičemž výsledky musí být zohledněny v řízení rizik.
Na co si dát pozor
Důsledné sledování podpory technických aktiv a včasné zavádění bezpečnostních aktualizací.
Pravidelné a systematické provádění skenování zranitelností a penetračního testování v předepsaných intervalech a rozsahu.
Evidování technických aktiv, která nejsou podporována nebo u kterých nelze aplikovat aktualizace, a zavedení odpovídajících bezpečnostních opatření.
Zajištění opětovného otestování zjištěných nálezů po zavedení bezpečnostních opatření.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.