§ 5 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Stanovení bezpečnostních rolí
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 5 · Ostatní právní předpisy
Stručně: Paragraf 5 vyhlášky 409/2025 stanovuje konkrétní bezpečnostní role v rámci regulované služby, jako jsou manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, garant aktiva a auditor kybernetické bezpečnosti, a definuje jejich hlavní úkoly a požadavky na odbornou způsobilost.
§ 5 Stanovení bezpečnostních rolí
(1) Manažer kybernetické bezpečnosti
a) je pověřen řízením systému řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu alespoň 3 let,
b) odpovídá za pravidelné informování vrcholného vedení o
1. činnostech vyplývajících z rozsahu jeho odpovědnosti a
2. stavu systému řízení bezpečnosti informací,
c) nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby.
(2) Architekt kybernetické bezpečnosti je pověřen k zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury v délce alespoň 3 let.
(3) Garant aktiva je pověřen k zajištění rozvoje, použití a bezpečnost aktiva.
(4) Auditor kybernetické bezpečnosti
a) je pověřen prováděním auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací v délce alespoň 3 let,
b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a
c) nesmí být pověřen výkonem jiných bezpečnostních rolí.
Paragraf 5 vyhlášky 409/2025 stanovuje konkrétní bezpečnostní role v rámci regulované služby, jako jsou manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, garant aktiva a auditor kybernetické bezpečnosti, a definuje jejich hlavní úkoly a požadavky na odbornou způsobilost.
Co to znamená v praxi
Poskytovatel regulované služby musí mít jasně definované pozice pro řízení kybernetické bezpečnosti, přičemž každá z nich má specifické odpovědnosti a kvalifikační požadavky.
Osoby vykonávající tyto role musí prokázat odpovídající vzdělání a praxi, typicky alespoň tříletou, v dané oblasti.
Je zavedena striktní dělba rolí, například manažer kybernetické bezpečnosti nesmí provozovat technická aktiva a auditor kybernetické bezpečnosti nesmí vykonávat jiné bezpečnostní role, což má zajistit objektivitu a nezávislost.
Vrcholné vedení je pravidelně informováno manažerem kybernetické bezpečnosti o stavu systému řízení bezpečnosti informací.
Na co si dát pozor
Při obsazování rolí je nutné pečlivě ověřit odbornou způsobilost a délku praxe kandidátů.
Je třeba zajistit, aby nedocházelo ke střetu zájmů a k porušení zákazu souběhu některých rolí, zejména u manažera a auditora kybernetické bezpečnosti.
Poskytovatel musí zajistit pravidelné informování vrcholného vedení o stavu kybernetické bezpečnosti.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.