§ 3 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – BEZPEČNOSTNÍ OPATŘENÍ
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností · 410/2025 Sb. · § 3 · Ostatní právní předpisy
Stručně: Paragraf 3 vyhlášky 410/2025 stanovuje povinné osobě, jaká bezpečnostní opatření musí zavést a provádět pro zajištění kybernetické bezpečnosti, a to včetně jejich přiměřenosti, dokumentace a pravidelné aktualizace.
§ 3 BEZPEČNOSTNÍ OPATŘENÍ
(1) Povinná osoba při zajišťování kybernetické bezpečnosti
a) zavede a provádí bezpečnostní opatření, která jsou přiměřená bezpečnostním potřebám, a
b) zavede a provádí alespoň bezpečnostní opatření podle odstavců 2 až 6, § 4 až 6 a § 10.
(2) Povinná osoba
a) stanoví přehled bezpečnostních opatření podle přílohy č. 1 k této vyhlášce, který obsahuje přehled všech bezpečnostních opatření, která
1. byla povinnou osobou zavedena, včetně popisu jejich zavedení,
2. budou povinnou osobou zavedena, včetně termínů pro jejich zavedení, priority jejich zavedení a určení osoby odpovědné za jejich zavedení, a
3. nebyla zavedena, včetně odůvodnění jejich nezavedení,
b) provede a dokumentuje alespoň jednou ročně aktualizaci přehledu bezpečnostních opatření, včetně vyhodnocení účinnosti zavedených bezpečnostních opatření,
c) uchovává jednotlivé přehledy bezpečnostních opatření a jejich aktualizace alespoň po dobu 4 let.
(3) Povinná osoba v rámci řízení bezpečnostní politiky a bezpečnostní dokumentace
a) stanoví bezpečnostní politiku a bezpečnostní dokumentaci k bezpečnostním opatřením požadovaným touto vyhláškou,
b) pravidelně přezkoumává a aktualizuje pravidla a postupy stanovené v bezpečnostní politice a bezpečnostní dokumentaci a
c) vynucuje dodržování pravidel a postupů stanovených v bezpečnostní politice a bezpečnostní dokumentaci.
(4) Povinná osoba v rámci řízení aktiv stanoví pravidla pro používání a manipulaci technických aktiv.
(5) Povinná osoba při uzavírání smlouvy s dodavatelem do stanoveného rozsahu podle § 12 zákona zohlední hrozby a zranitelnosti spojené s tímto dodavatelem, celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti tohoto dodavatele, včetně postupů bezpečného vývoje a na základě toho zajistí, aby smlouvy s tímto dodavatelem obsahovaly relevantní požadavky na smluvní ujednaní uvedené v příloze č. 2 k této vyhlášce.
(6) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou technických aktiv stanoví bezpečnostní požadavky v oblasti kybernetické bezpečnosti a vymáhá jejich dodržování, přičemž vychází z požadavků na bezpečnostní opatření podle této vyhlášky.
Paragraf 3 vyhlášky 410/2025 stanovuje povinné osobě, jaká bezpečnostní opatření musí zavést a provádět pro zajištění kybernetické bezpečnosti, a to včetně jejich přiměřenosti, dokumentace a pravidelné aktualizace.
Co to znamená v praxi
Povinná osoba musí mít detailní přehled o všech zavedených, plánovaných i nezavedených bezpečnostních opatřeních, včetně termínů a odpovědných osob.
Nejméně jednou ročně je nutné tento přehled aktualizovat a vyhodnotit účinnost již zavedených opatření.
Je třeba stanovit bezpečnostní politiku a dokumentaci, pravidelně je přezkoumávat a vynucovat jejich dodržování.
Při výběru dodavatelů a uzavírání smluv s nimi musí povinná osoba zohlednit kybernetické hrozby a zranitelnosti spojené s dodavatelem a zajistit, aby smlouvy obsahovaly relevantní požadavky na kybernetickou bezpečnost.
Na co si dát pozor
Povinná osoba musí uchovávat jednotlivé přehledy bezpečnostních opatření a jejich aktualizace po dobu minimálně 4 let.
Při akvizici, vývoji a údržbě technických aktiv je nutné stanovit a vymáhat bezpečnostní požadavky v oblasti kybernetické bezpečnosti.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.