§ 15 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení kontinuity činností
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 15 · IT právo a ochrana dat
Stručně: Paragraf 15 vyhlášky 82/2018 ukládá povinné osobě povinnost řídit kontinuitu činností, což znamená zajistit, aby informační a komunikační systémy mohly fungovat i po kybernetickém bezpečnostním incidentu, a to včetně stanovení cílů, plánů a opatření pro obnovu.
§ 15 Řízení kontinuity činností
Povinná osoba v rámci řízení kontinuity činností
a) stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,
b) pomocí hodnocení rizik a analýzy dopadů vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,
c) na základě výstupů hodnocení rizik a analýzy dopadů podle písmene b) stanoví cíle řízení kontinuity činností formou určení
1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního a komunikačního systému,
2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního a komunikačního systému, a
3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání,
d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c),
e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a havarijní plány související s provozováním informačního a komunikačního systému a souvisejících služeb a
f) realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti a vychází při tom z požadavků podle § 27.
Paragraf 15 vyhlášky 82/2018 ukládá povinné osobě povinnost řídit kontinuitu činností, což znamená zajistit, aby informační a komunikační systémy mohly fungovat i po kybernetickém bezpečnostním incidentu, a to včetně stanovení cílů, plánů a opatření pro obnovu.
Co to znamená v praxi
Povinná osoba musí jasně určit, kdo je za co zodpovědný v souvislosti s kontinuitou činností (administrátoři, bezpečnostní role).
Je nutné provést hodnocení rizik a analýzu dopadů, aby se zjistilo, jaké následky by měly kybernetické incidenty a jaká rizika ohrožují nepřetržitý provoz.
Na základě těchto analýz je třeba stanovit konkrétní cíle pro obnovu, například jaká je minimální přijatelná úroveň služeb, jak rychle se musí systémy obnovit a jak stará data je nutné být schopen obnovit.
Povinná osoba musí mít písemnou politiku řízení kontinuity a pravidelně vypracovávat, aktualizovat a testovat plány pro obnovu provozu po incidentech.
Na co si dát pozor
Je klíčové, aby stanovené cíle (minimální úroveň služeb, doba obnovení, bod obnovení dat) byly realistické a proveditelné.
Pravidelné testování plánů kontinuity a havarijních plánů je nezbytné pro ověření jejich funkčnosti a aktuálnosti.
Opatření pro zvýšení odolnosti systémů by měla vycházet z požadavků § 27 (který není součástí dodaného textu, ale je na něj odkazováno).
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.