§ 26 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Zajišťování dostupnosti regulované služby
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 26 · Ostatní právní předpisy
Stručně: Paragraf 26 vyhlášky 409/2025 ukládá povinným osobám zavést bezpečnostní opatření pro zajištění dostupnosti regulované služby, včetně odolnosti vůči hrozbám, redundance aktiv a pravidelného zálohování s testováním a ochranou záloh.
§ 26 Zajišťování dostupnosti regulované služby
(1) Povinná osoba zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby, kterými zajistí
a) dostupnost regulované služby podle cílů stanovených podle § 15,
b) odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost a
c) redundanci aktiv nezbytných pro zajišťování dostupnosti regulované služby.
(2) Povinná osoba pro zajišťování dostupnosti regulované služby v souladu s odstavcem 1 vytváří pravidelné zálohy konfigurací a nastavení technických aktiv, informací a dat nezbytných zejména pro účely obnovy regulované služby v případě kybernetického bezpečnostního incidentu.
(3) Povinná osoba u záloh vytvářených podle odstavce 2 zajistí
a) pravidelné testování jejich integrity, dostupnosti a obnovitelnosti,
b) dokumentování výsledků testů provedených podle odstavce 3 písm. a),
c) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich integrity a důvěrnosti, a to alespoň šifrováním těchto záloh v souladu s § 25, a
d) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich dostupnosti.
(4) Povinná osoba pro zajišťování dostupnosti regulované služby zajistí bezpečnou správu konfigurací a nastavení technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik.
(5) Povinná osoba za účelem omezení šíření kybernetického bezpečnostního incidentu a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí podle § 18 písm. a).
Paragraf 26 vyhlášky 409/2025 ukládá povinným osobám zavést bezpečnostní opatření pro zajištění dostupnosti regulované služby, včetně odolnosti vůči hrozbám, redundance aktiv a pravidelného zálohování s testováním a ochranou záloh.
Co to znamená v praxi
Povinná osoba musí mít nastavené procesy a systémy tak, aby regulovaná služba byla vždy dostupná v souladu s předem stanovenými cíli.
Je nutné chránit regulovanou službu před hrozbami a zranitelnostmi, které by mohly snížit její dostupnost, a zajistit, aby klíčové komponenty měly záložní řešení (redundanci).
Pravidelně se musí vytvářet zálohy konfigurací, nastavení, informací a dat, které jsou nezbytné pro obnovu služby po kybernetickém incidentu.
Zálohy musí být pravidelně testovány na integritu, dostupnost a obnovitelnost, výsledky testů dokumentovány a samotné zálohy chráněny před narušením integrity, důvěrnosti (šifrováním) a dostupnosti.
Na co si dát pozor
Zálohovací prostředí musí být odděleno od ostatních prostředí, aby se omezilo šíření kybernetického bezpečnostního incidentu a snížil jeho dopad.
Správa konfigurací a nastavení technických aktiv musí být bezpečná a zohledňovat hodnocení těchto aktiv a souvisejících rizik.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.