§ 10 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – Řešení kybernetických bezpečnostních incidentů
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností · 410/2025 Sb. · § 10 · Ostatní právní předpisy
Stručně: Paragraf 10 vyhlášky 410/2025 stanovuje povinné osobě, jak má postupovat při řešení kybernetických bezpečnostních událostí a incidentů, od jejich detekce a posuzování až po hlášení a vypracování závěrečné zprávy.
§ 10 Řešení kybernetických bezpečnostních incidentů
Povinná osoba při řešení kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů
a) zajistí, že uživatelé, administrátoři, osoby pověřené kybernetickou bezpečností a další zaměstnanci budou oznamovat neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti,
b) vytvoří metodiku pro posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, včetně posuzování významnosti dopadu kybernetického bezpečnostního incidentu v souladu s § 14,
c) zajistí detekci kybernetických bezpečnostních událostí,
d) zajistí posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů v souladu s metodikou podle písmene b),
e) zajistí hlášení kybernetického bezpečnostního incidentu s významným dopadem podle § 15 zákona,
f) zajistí vytvoření závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu s významným dopadem podle § 16 zákona.
Paragraf 10 vyhlášky 410/2025 stanovuje povinné osobě, jak má postupovat při řešení kybernetických bezpečnostních událostí a incidentů, od jejich detekce a posuzování až po hlášení a vypracování závěrečné zprávy.
Co to znamená v praxi
Aktivní zapojení zaměstnanců: Povinná osoba musí zajistit, aby všichni relevantní zaměstnanci (uživatelé, administrátoři, osoby pověřené kybernetickou bezpečností) hlásili neobvyklé chování systémů a podezření na zranitelnosti.
Standardizovaný postup pro řešení událostí: Musí být vytvořena metodika pro posuzování kybernetických bezpečnostních událostí a incidentů, včetně hodnocení jejich významnosti.
Detekce a posuzování událostí: Povinná osoba je povinna zajistit detekci kybernetických bezpečnostních událostí a následně je posuzovat podle vytvořené metodiky.
Hlášení a dokumentace incidentů: Incidenty s významným dopadem je nutné hlásit podle zákona a po jejich vyřešení je třeba vypracovat závěrečnou zprávu.
Na co si dát pozor
Komplexnost metodiky: Metodika pro posuzování incidentů musí být dostatečně podrobná, aby umožnila správné vyhodnocení významnosti dopadu incidentu podle § 14.
Včasné hlášení: Je klíčové zajistit včasné hlášení kybernetických bezpečnostních incidentů s významným dopadem podle § 15 zákona.
Důkladná dokumentace: Závěrečná zpráva o vyřešení incidentu s významným dopadem podle § 16 zákona musí být vypracována pečlivě a komplexně.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.