§ 16 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Audit kybernetické bezpečnosti
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 16 · IT právo a ochrana dat
Stručně: Paragraf 16 vyhlášky 82/2018 stanovuje povinnost provádět audit kybernetické bezpečnosti, který zahrnuje kontrolu dodržování bezpečnostní politiky a souladu bezpečnostních opatření s předpisy, a určuje, kdo, kdy a jak má tento audit provádět.
§ 16 Audit kybernetické bezpečnosti
(1) Povinná osoba v rámci auditu kybernetické bezpečnosti
a) provádí a dokumentuje audit dodržování bezpečnostní politiky, včetně přezkoumání technické shody, a výsledky auditu zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik a
b) posuzuje soulad bezpečnostních opatření s nejlepší praxí, právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu a komunikačnímu systému a určí případná nápravná opatření pro zajištění souladu.
(2) Audit podle odstavce 1 je prováděn
a) při významných změnách, v rámci jejich rozsahu,
b) v pravidelných intervalech alespoň po 3 letech v případě povinné osoby uvedené v § 3 písm. e) zákona a
c) v pravidelných intervalech alespoň po 2 letech v případě povinné osoby neuvedené v písmenu b).
(3) Není-li v odůvodněných případech možné provést audit v intervalech podle odstavce 2 písm. b) a c) v celém rozsahu, je možné audit provádět průběžně po systematických celcích. V takovém případě je nutno audit v celém rozsahu provést nejpozději do 5 let.
(4) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 7 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.
(5) Povinná osoba, která je současně provozovatelem, předkládá výsledky auditu kybernetické bezpečnosti správci daného informačního a komunikačního systému.
HLAVA II
Paragraf 16 vyhlášky 82/2018 stanovuje povinnost provádět audit kybernetické bezpečnosti, který zahrnuje kontrolu dodržování bezpečnostní politiky a souladu bezpečnostních opatření s předpisy, a určuje, kdo, kdy a jak má tento audit provádět.
Co to znamená v praxi
Povinná osoba musí pravidelně kontrolovat, zda dodržuje svou bezpečnostní politiku a zda jsou její technická opatření v souladu s právními předpisy a nejlepší praxí.
Výsledky auditu je nutné zohlednit při plánování rozvoje bezpečnostního povědomí zaměstnanců a při řízení rizik.
Audit musí provádět nezávislá osoba, která splňuje určité podmínky (§ 7 odst. 4 vyhlášky), aby bylo zajištěno objektivní hodnocení.
Frekvence auditu závisí na typu povinné osoby, přičemž se provádí buď při významných změnách, nebo v pravidelných intervalech (alespoň jednou za 2 nebo 3 roky, s možností průběžného auditu do 5 let).
Na co si dát pozor
Je třeba zajistit, aby osoba provádějící audit byla skutečně nezávislá a splňovala podmínky stanovené v § 7 odst. 4.
V případě průběžného auditu je nutné dbát na to, aby byl celý rozsah auditu dokončen nejpozději do 5 let.
Povinná osoba, která je zároveň provozovatelem, musí výsledky auditu předat správci daného informačního a komunikačního systému.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.