§ 8 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – Řízení identit a jejich oprávnění
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností · 410/2025 Sb. · § 8 · Ostatní právní předpisy
Stručně: Paragraf 8 vyhlášky 410/2025 stanovuje povinnosti pro řízení identit a jejich oprávnění u poskytovatelů regulovaných služeb, zejména co se týče používání nástrojů pro správu přístupů a požadavků na autentizační mechanismy.
§ 8 Řízení identit a jejich oprávnění
(1) Povinná osoba pro řízení identit, přístupových práv a oprávnění používá nástroj, který zajišťuje
a) řízení počtu možných neúspěšných pokusů o přihlášení,
b) opětovné ověření identity po stanovené době nečinnosti,
c) odolnost uložených a přenášených autentizačních údajů a
d) řízení přístupových práv, oprávnění pro čtení a zápis informací a dat a změnu oprávnění.
(2) Povinná osoba pro ověření identity administrátorů, uživatelů a technických aktiv využívá autentizační mechanismus, který je založený na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá autentizační mechanismus, který je založen na aktuálně odolné kontinuální autentizaci založené na modelu nulové důvěry.
(3) Povinná osoba do doby využívání autentizačního mechanismu podle odstavce 2 využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.
(4) Povinná osoba do doby využívání autentizačního mechanismu podle odstavce 3 využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla, kdy tento nástroj musí vynucovat pravidla
a) délky hesla alespoň
1. 12 znaků pro účty uživatelů,
2. 17 znaků pro účty administrátorů,
3. 22 znaků pro účty technických aktiv,
b) bezodkladné změny výchozího hesla pro ověření identity technických aktiv, přičemž nové heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,
c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,
d) povinné změny hesla v intervalu alespoň jednou za 18 měsíců a
e) neumožňující uživatelům a administrátorům
1. zvolit si jednoduchá a často používaná hesla,
2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacích jmen, adres elektronické pošty, názvů systémů nebo obdobným způsobem a
3. opětovného použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.
(5) Povinná osoba při řízení identit dále zajistí
a) důvěrnost při vytváření výchozích autentizačních údajů a při obnově přístupu,
b) změnu výchozího hesla nebo hesla sloužícího k obnově přístupu po jeho prvním použití,
c) zneplatnění hesla nebo identifikátoru sloužícího k obnově přístupu nejpozději do 24 hodin od jeho vytvoření,
d) bezodkladnou změnu přístupového hesla v případě důvodného podezření na jeho kompromitaci a
e) zabezpečení administrátorských účtů technických aktiv zejména určených pro případ obnovy po kybernetickém bezpečnostním incidentu a využívá tyto účty pouze v nezbytně nutných případech.
Paragraf 8 vyhlášky 410/2025 stanovuje povinnosti pro řízení identit a jejich oprávnění u poskytovatelů regulovaných služeb, zejména co se týče používání nástrojů pro správu přístupů a požadavků na autentizační mechanismy.
Co to znamená v praxi
Povinná osoba musí používat nástroj pro řízení identit, který umí omezit počet neúspěšných pokusů o přihlášení, znovu ověřit identitu po nečinnosti, zajistit odolnost autentizačních údajů a řídit přístupová práva.
Pro ověření identity administrátorů, uživatelů a technických aktiv je vyžadována vícefaktorová autentizace (alespoň dva různé typy faktorů) nebo kontinuální autentizace založená na modelu nulové důvěry.
Pokud ještě není zavedena vícefaktorová nebo kontinuální autentizace, musí se používat autentizace pomocí kryptografických klíčů nebo certifikátů.
V přechodném období, než jsou zavedeny silnější autentizační mechanismy, je možné používat autentizaci heslem, ale s přísnými pravidly pro délku hesla (např. 12 znaků pro uživatele, 17 pro administrátory), jeho změnu a zamezení použití slabých nebo opakovaných hesel.
Na co si dát pozor
Je třeba zajistit důvěrnost při vytváření a obnově autentizačních údajů a bezodkladně měnit výchozí hesla.
Hesla nebo identifikátory pro obnovu přístupu musí být zneplatněny nejpozději do 24 hodin od jejich vytvoření.
V případě podezření na kompromitaci hesla je nutné jej bezodkladně změnit.
Administrátorské účty technických aktiv musí být zabezpečeny a používány pouze v nezbytně nutných případech.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.