§ 7 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení aktiv
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 7 · Ostatní právní předpisy
Stručně: Paragraf 7 vyhlášky 409/2025 ukládá povinné osobě, aby systematicky řídila svá aktiva, což zahrnuje jejich určování, hodnocení, evidenci, přiřazování garantů a stanovení pravidel ochrany pro zajištění jejich důvěrnosti, integrity a dostupnosti.
§ 7 Řízení aktiv
Povinná osoba v návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti podle § 12 zákona
a) stanoví metodiku pro určování aktiv,
b) stanoví metodiku pro hodnocení aktiv včetně stanovení úrovní aktiv, alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,
c) eviduje garanty aktiv podle § 4 odst. 4 písm. c),
d) hodnotí primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),
e) posuzuje při hodnocení primárních aktiv alespoň oblasti uvedené v příloze č. 1 k této vyhlášce,
f) určuje a eviduje vazby mezi aktivy, která mají vliv na bezpečnost regulované služby,
g) hodnotí podpůrná aktiva a vychází přitom zejména z určených vazeb na primární aktiva a
h) pro jednotlivé úrovně aktiv podle písmene b) stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jejich důvěrnosti, integrity a dostupnosti, která obsahují alespoň
1. přípustné způsoby používání aktiv,
2. pravidla pro manipulaci s aktivy, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv,
3. pravidla pro klasifikaci informací,
4. pravidla pro označování aktiv,
5. pravidla správy výměnných médií a
6. pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem na úroveň aktiv v souladu s přílohou č. 2 k této vyhlášce.
Paragraf 7 vyhlášky 409/2025 ukládá povinné osobě, aby systematicky řídila svá aktiva, což zahrnuje jejich určování, hodnocení, evidenci, přiřazování garantů a stanovení pravidel ochrany pro zajištění jejich důvěrnosti, integrity a dostupnosti.
Co to znamená v praxi
Povinná osoba musí mít jasně definované postupy (metodiky) pro identifikaci a hodnocení všech svých aktiv, včetně jejich zařazení do různých úrovní důležitosti.
Musí vést evidenci osob odpovědných za jednotlivá aktiva (garantů) a také evidenci vzájemných vazeb mezi aktivy, které ovlivňují bezpečnost regulované služby.
Pro každou úroveň aktiva je nutné stanovit a zavést konkrétní pravidla pro jeho ochranu, která zahrnují například způsoby používání, manipulace, klasifikace informací, označování a likvidace.
Při hodnocení primárních aktiv je třeba posuzovat jejich důvěrnost, integritu a dostupnost a zohlednit přitom oblasti uvedené v příloze č. 1 k vyhlášce.
Na co si dát pozor
Je nutné zajistit soulad s přílohami č. 1 a č. 2 k vyhlášce, které specifikují rozsah hodnocení aktiv a pravidla pro likvidaci informací a dat.
Metodiky pro určování a hodnocení aktiv musí být dostatečně podrobné a jasné, aby umožnily konzistentní aplikaci.
Pravidla ochrany pro jednotlivé úrovně aktiv musí být komplexní a pokrývat všechny uvedené aspekty, od používání až po likvidaci.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.