§ 5 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení rizik
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 5 · IT právo a ochrana dat
Stručně: Paragraf 5 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro řízení rizik v oblasti kybernetické bezpečnosti, které zahrnují metodiku hodnocení rizik, identifikaci hrozeb a zranitelností, pravidelné hodnocení rizik a tvorbu plánů pro jejich zvládání.
§ 5 Řízení rizik
(1) Povinná osoba v rámci řízení rizik v návaznosti na § 4
a) stanoví metodiku pro hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,
b) s ohledem na aktiva identifikuje relevantní hrozby a zranitelnosti; přitom zvažuje zejména kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,
c) provádí hodnocení rizik v pravidelných intervalech podle odstavce 2 a při významných změnách,
d) při hodnocení rizik zohlední relevantní hrozby a zranitelnosti a posoudí možné dopady na aktiva; tato rizika hodnotí alespoň v rozsahu přílohy č. 2 k této vyhlášce,
e) zpracuje zprávu o hodnocení rizik,
f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled bezpečnostních opatření požadovaných touto vyhláškou, která
1. nebyla aplikována, včetně odůvodnění,
2. byla aplikována, včetně způsobu plnění,
g) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání jednotlivých rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení, popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a způsob realizace bezpečnostních opatření,
h) při hodnocení rizik a v plánu zvládání rizik zohlední
1. významné změny,
2. změny rozsahu systému řízení bezpečnosti informací,
3. opatření podle § 11 zákona a
4. kybernetické bezpečnostní incidenty, včetně dříve řešených, a
i) v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.
(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona provádí hodnocení rizik alespoň jednou ročně a povinná osoba uvedená v § 3 písm. e) zákona alespoň jednou za tři roky.
(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. d), pokud povinná osoba zabezpečí, že použitá opatření zajistí stejnou nebo vyšší úroveň procesu řízení rizik.
Paragraf 5 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro řízení rizik v oblasti kybernetické bezpečnosti, které zahrnují metodiku hodnocení rizik, identifikaci hrozeb a zranitelností, pravidelné hodnocení rizik a tvorbu plánů pro jejich zvládání.
Co to znamená v praxi
Povinná osoba musí mít jasně stanovený postup (metodiku) pro hodnocení rizik a kritéria, co je ještě akceptovatelné riziko.
Je nutné pravidelně vyhodnocovat rizika, a to nejen v daných intervalech (např. ročně nebo jednou za tři roky), ale i při každé významné změně v systému.
Na základě hodnocení rizik se musí vytvořit plán, jak se s identifikovanými riziky vypořádat, včetně určení odpovědných osob, potřebných zdrojů a termínů.
Povinná osoba musí zpracovat prohlášení o aplikovatelnosti, které ukazuje, která bezpečnostní opatření byla zavedena a která nikoli, včetně odůvodnění.
Na co si dát pozor
Při hodnocení rizik je třeba zohlednit kategorie hrozeb a zranitelností uvedené v příloze č. 3 a rizika hodnotit alespoň v rozsahu přílohy č. 2 k této vyhlášce.
Je důležité, aby plán zvládání rizik obsahoval konkrétní cíle, přínosy, zdroje a způsob realizace bezpečnostních opatření.
Povinná osoba musí zajistit, že i pokud použije jiné metody řízení rizik, než jsou výslovně uvedeny v odstavci 1 písm. d), dosáhne stejné nebo vyšší úrovně procesu řízení rizik.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.