§ 11 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení změn
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 11 · IT právo a ochrana dat
Stručně: Paragraf 11 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti subjektů v oblasti řízení změn informačních a komunikačních systémů, přičemž rozlišuje mezi běžnými a významnými změnami a pro významné změny předepisuje detailnější postup.
§ 11 Řízení změn
(1) Povinná osoba v rámci řízení změn u informačního a komunikačního systému
a) přezkoumává možné dopady změn a
b) určuje významné změny.
(2) Povinná osoba u významných změn
a) dokumentuje jejich řízení,
b) provádí analýzu rizik,
c) přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
d) aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci,
e) zajistí jejich testování a
f) zajistí možnost navrácení do původního stavu.
(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování nebo testování zranitelností; pokud rozhodne o provedení penetračního testování nebo testování zranitelností, postupuje podle § 25 odst. 1 a reaguje na zjištěné nedostatky.
(4) Povinná osoba uvedená v § 3 písm. e) zákona se řídí požadavky podle odstavce 3 přiměřeně.
Paragraf 11 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti subjektů v oblasti řízení změn informačních a komunikačních systémů, přičemž rozlišuje mezi běžnými a významnými změnami a pro významné změny předepisuje detailnější postup.
Co to znamená v praxi
Povinná osoba musí před každou změnou informačního nebo komunikačního systému posoudit, jaké dopady tato změna může mít.
Pokud je změna vyhodnocena jako významná, je nutné celý proces řízení této změny dokumentovat, provést analýzu rizik a přijmout opatření ke snížení případných negativních dopadů.
U významných změn je také nutné aktualizovat bezpečnostní politiku a dokumentaci, zajistit testování změny a mít připravenou možnost vrátit systém do původního stavu.
Některé povinné osoby (dle § 3 písm. c), d) a f) zákona) musí u významných změn na základě analýzy rizik rozhodnout o provedení penetračního testování nebo testování zranitelností a reagovat na zjištěné nedostatky.
Na co si dát pozor
Je klíčové správně rozlišit, co je „významná změna“, protože pro ni platí mnohem přísnější pravidla.
Nezapomeňte na povinnost dokumentovat celý proces řízení významných změn, včetně analýzy rizik a přijatých opatření.
U určitých typů povinných osob je nutné zvážit a případně provést penetrační testování nebo testování zranitelností u významných změn a následně řešit zjištěné problémy.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.