§ 8 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení rizik
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 8 · Ostatní právní předpisy
Stručně: Paragraf 8 vyhlášky 409/2025 stanovuje povinnosti regulované osoby v oblasti řízení rizik kybernetické bezpečnosti, včetně metodiky pro určování a hodnocení rizik, zpracování zprávy o hodnocení rizik, prohlášení o aplikovatelnosti a plánu zvládání rizik.
§ 8 Řízení rizik
(1) Povinná osoba při řízení rizik v návaznosti na § 7
a) stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,
b) při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje alespoň kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,
c) provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách určených podle § 11 odst. 1 písm. c), při kterém zohlední
1. relevantní hrozby a zranitelnosti podle písmene b) a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv podle § 7,
2. významné změny,
3. změny stanoveného rozsahu podle § 12 zákona,
4. protiopatření podle § 20 zákona,
5. kybernetické bezpečnostní incidenty, včetně dříve řešených,
6. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,
7. výsledky penetračního testování a skenování zranitelností a
8. výsledky vyhodnocení účinnosti systému řízení bezpečnosti informací,
d) při hodnocení rizik postupuje alespoň v rozsahu přílohy č. 4 k této vyhlášce,
e) na základě provedeného hodnocení rizik podle písmene c) zpracuje zprávu o hodnocení rizik,
f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která
1. nebyla aplikována, včetně odůvodnění a uvedení případných přijatých náhradních bezpečnostních opatření, a
2. byla aplikována, včetně způsobu plnění,
g) na základě provedeného hodnocení rizik podle písmene c) a v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje
1. popis bezpečnostních opatření pro zvládání rizik,
2. cíle a přínosy bezpečnostních opatření pro zvládání rizik,
3. určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik,
4. předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření,
5. požadovaný termín zavedení bezpečnostních opatření,
6. popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a
7. konkrétní způsob realizace bezpečnostních opatření.
(2) Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.
(3) Hodnocení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. c), pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik a postupuje v souladu s odstavcem 5 přílohy č. 4 k této vyhlášce.
(4) Povinná osoba nemusí uplatňovat některá bezpečnostní opatření stanovená touto vyhláškou pouze na základě provedeného řízení rizik.
Paragraf 8 vyhlášky 409/2025 stanovuje povinnosti regulované osoby v oblasti řízení rizik kybernetické bezpečnosti, včetně metodiky pro určování a hodnocení rizik, zpracování zprávy o hodnocení rizik, prohlášení o aplikovatelnosti a plánu zvládání rizik.
Co to znamená v praxi
Povinná osoba musí mít jasně definovanou metodiku pro identifikaci a hodnocení rizik, včetně kritérií pro to, jaká rizika jsou ještě přijatelná.
Hodnocení rizik se musí provádět pravidelně, minimálně jednou ročně, a také vždy, když dojde k významným změnám v systému nebo rozsahu kybernetické bezpečnosti.
Na základě hodnocení rizik je nutné vypracovat zprávu a plán, který popisuje, jak se budou rizika řešit, kdo za to bude zodpovědný a jaké zdroje budou potřeba.
Je třeba zpracovat prohlášení o aplikovatelnosti, které ukazuje, která bezpečnostní opatření z vyhlášky byla aplikována a jak, a která nebyla, s odůvodněním a případnými náhradními opatřeními.
Na co si dát pozor
Hodnocení rizik musí zohledňovat širokou škálu faktorů, včetně hrozeb, zranitelností, kybernetických incidentů, výsledků auditů a testování.
I když je možné provádět hodnocení rizik jinými způsoby, než je uvedeno v odstavci 1 písm. c), musí být zajištěna stejná nebo vyšší úroveň procesu hodnocení rizik.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.