§ 29 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – ÚČINNOST

§ 29 ÚČINNOST Tato vyhláška nabývá účinnosti dnem 1. listopadu 2025. Ředitel: Ing. Kintr v. r. Příloha č. 1 (1) Povinná osoba pro hodnocení aktiv používá stupnici alespoň o čtyřech úrovních uvedených v tabulkách č. 1, 2 a 3 a posuzuje se, jaký dopad by mělo narušení bezpečnosti informací u jednotlivých aktiv. (2) Povinná osoba může hodnotící úrovně aktiv ve stupnici přizpůsobit svým bezpečnostním potřebám. Povinná osoba může používat odlišný počet úrovní pro hodnocení aktiv, než jaký je uveden v této příloze, dodrží-li jednoznačné vazby mezi jimi používaným způsobem hodnocení aktiv a stupnicemi a úrovněmi pro hodnocení aktiv, které jsou uvedeny v této příloze. (3) U primárních aktiv je zároveň nutné zohlednit alespoň oblasti uvedené v tabulce č. 4 - Oblasti hodnocení primárních aktiv. (4) Při hodnocení podpůrných aktiv je nutné zohlednit zejména vazby mezi podpůrnými a primárními aktivy. Pro klasifikaci důvěrnosti informací a dat pro účely jejich sdílení lze využít aktuální verzi mezinárodního standardu tzv. Traffic Light Protocol (TLP)3). ÚroveňPopisPříkladyNízkáAktiva jsou veřejně přístupná nebo byla určena ke zveřejnění. Narušení důvěrnosti aktiv neohrožuje oprávněné zájmy povinné osoby.Není vyžadována žádná ochrana. V případě sdílení takové informace, může být tato informace dále poskytována a šířena bez omezení. Případné omezení na základě práva duševního vlastnictví původce a/nebo příjemce či třetích stran nejsou tímto ustanovením dotčena. Likvidace/mazání na úrovni Nízká – viz příloha č. 2.StředníAktiva nejsou veřejně přístupná, ochrana aktiv není vyžadována žádným právním předpisem nebo smluvním ujednáním.Pro ochranu důvěrnosti jsou využívány prostředky pro řízení přístupu. V případě sdílení takové informace, může být tato informace sdílena v rámci organizace příjemce a případně také s dalšími partnerskými subjekty příjemce, avšak nikoli skrze veřejně dostupné kanály; příjemce musí při předání zajistit důvěrnost komunikace. Likvidace/mazání na úrovni Střední – viz příloha č. 2.VysokáAktiva nejsou veřejně přístupná a jejich ochrana je vyžadována právními předpisy, jinými předpisy nebo smluvními ujednáními (například obchodní tajemství, osobní údaje).Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu. Přenosy informací komunikačními sítěmi jsou chráněny pomocí kryptografických algoritmů. V případě sdílení takové informace, může být tato informace sdílena v rámci organizace příjemce a jejím partnerům nebo pouze v rámci organizace příjemce, a to pouze osobám, které splňují zásady need-to-know. Likvidace/mazání na úrovni Vysoká – viz příloha č. 2.KritickáAktiva nejsou veřejně přístupná a vyžadují nadstandardní míru ochrany nad rámec předchozí kategorie (například strategické obchodní tajemství, zvláštní kategorie osobních údajů).Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu. Dále metody ochrany zabraňující zneužití aktiv ze strany administrátorů. Přenosy informací jsou chráněny pomocí kryptografických algoritmů. V případě sdílení takové informace, nemůže být tato informace poskytnuta jiné osobě než té, které byla informace určena, nebudou-li výslovně stanoveny další osoby, kterým lze takovou informaci poskytnout. V případě, že příjemce považuje za důležité informaci poskytnout dalším subjektům, lze tak učinit pouze se souhlasem původce informace. Likvidace/mazání na úrovni Kritická – viz příloha č. 2. ÚroveňPopisPříkladyNízkáAktivum nevyžaduje ochranu z hlediska integrity. Narušení integrity aktiva neohrožuje oprávněné zájmy povinné osoby.Není vyžadována žádná ochrana.StředníAktivum může vyžadovat ochranu z hlediska integrity. Narušení integrity aktiva může vést k poškození oprávněných zájmů povinné osoby a může se projevit méně závažnými dopady na primární aktiva.Pro ochranu integrity jsou využívány standardní prostředky.VysokáAktivum vyžaduje ochranu z hlediska integrity. Narušení integrity aktiva vede k poškození oprávněných zájmů povinné osoby s podstatnými dopady na primární aktiva.Pro ochranu integrity jsou využívány speciální prostředky zaznamenávající historii provedených změn a identity osob provádějících změny. Ochrana integrity informací přenášených komunikačními sítěmi je zajištěna pomocí kryptografických algoritmů.KritickáAktivum vyžaduje ochranu z hlediska integrity. Narušení integrity vede k velmi vážnému poškození oprávněných zájmů povinné osoby s přímými a velmi vážnými dopady na primární aktiva.Pro ochranu integrity jsou využívány speciální prostředky jednoznačné identifikace osoby provádějící změnu. ÚroveňPopisPříkladyNízkáNarušení dostupnosti aktiva, například v případě výpadku v jednotkách týdnů, je běžně tolerováno a nemá žádný nebo zanedbatelný dopad na poskytovanou regulovanou službu.Pro ochranu dostupnosti je postačující pravidelné zálohování. Zajištění redundance těchto aktiv nemusí být potřeba.StředníNarušení dostupnosti aktiva by nemělo překročit dobu například jednoho pracovního dne, dlouhodobější výpadek vede k možnému ohrožení poskytování regulované služby povinné osoby.Pro ochranu dostupnosti jsou využívány běžné metody zálohování a obnovy. Je vhodné zajistit redundanci pro tato aktiva.VysokáNarušení dostupnosti aktiva by nemělo překročit dobu například několika hodin. Jakýkoli výpadek je nutné řešit neprodleně, protože vede k přímému ohrožení poskytování regulované služby. Aktiva jsou považována za velmi důležitá.Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb může být podmíněna zásahy obsluhy nebo výměnou technických aktiv. Je vhodné zajistit redundanci pro tato aktiva, která by mohla být zapojena alespoň např. v režimu tzv. Active-Standby.KritickáNarušení dostupnosti aktiva není přípustné a i krátkodobá nedostupnost (v řádu několika minut) vede k vážnému ohrožení oprávněných zájmů povinné osoby. Aktiva jsou považována za kritická.Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb je krátkodobá a automatizovaná. Je nezbytné zajistit redundanci pro tato aktiva, která by mohla být zapojena např. v režimu tzv. Active-Active (režimu vysoké dostupnosti). Při hodnocení primárních aktiv je potřeba posoudit alespoň relevantní z následujících oblastí OblastiPříkladya) rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajůÚnik osobních údajů fyzické osoby.b) rozsah dotčených právních povinností nebo jiných závazků nebo obchodního tajemstvíNarušení povinnosti zveřejňovat dokumenty na elektronické úřední desce, která musí být nepřetržitě dostupná vzdáleným přístupem. Porušení smlouvy a z ní plynoucí sankce. Únik obchodního tajemství. Porušení legislativy a z toho plynoucí pokuty.c) rozsah narušení vnitřních řídicích a kontrolních činnostíNeúplnost nebo modifikace informací potřebných pro rozhodování vedení a kontrolní činnost.d) poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztrátyNedostupnost informací o fakturách na základě nedostupnosti ekonomického systému. Nedostupnost informací o možných obchodních příležitostech a z toho plynoucí ušlý zisk. Například nedostupnost internetových stránek, může vést k neinformování veřejnosti o důležitých skutečnostech (záplavy, ekologické katastrofy atd.).e) dopady na poskytování důležitých služebNarušení všech informací a služeb vztažených směrem k regulované službě a hlavnímu cíli (účelu existence) organizace.f) rozsah narušení běžných činnostíNarušení činností personálních, ekonomických, správy budov a autoparku, neschopnost přijímat datové zprávy apod.g) dopady na zachování dobrého jména nebo ochranu dobré pověstiNedodržení závazků. Únik interních informací.h) dopady na bezpečnost a zdraví osobNeschopnost zajistit základní příjem, potraviny, přístup ke zdravotní péči, svobodu apod. Možnost zranění a ztrát na životech.i) dopady na mezinárodní vztahyÚnik informací od zahraničních partnerů. Únik informací od partnera, který je součástí mezinárodního koncernu.j) dopady na uživatele regulované službyZtráta možnosti přístupu uživatele ke službě vlivem její nedostupnosti. Příloha č. 2 (1) Tato příloha udává povinnosti povinné osoby k definování způsobů likvidace informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat, s ohledem na jejich hodnocení a úroveň podle přílohy č. 1 k této vyhlášce. (2) Povinná osoba stanoví pravidla a postupy pro způsoby likvidace informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat, v souladu s touto přílohou. Tím nejsou dotčeny povinnosti podle jiných právních předpisů. (3) Pravidla a postupy pro likvidaci informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat, musí být stanovena přiměřeně podle hodnocení a úrovně aktiv a měla by zejména zohledňovat a) hodnotu aktiva (zejména z pohledu důvěrnosti), b) technologii (typy nosičů informací a dat), c) zda se nosiče informací a dat nachází pod přímou kontrolou povinné osoby či nikoliv, d) zda jsou nosiče informací a dat součástí dedikovaného nebo sdíleného prostředí, e) jaká osoba bude likvidaci informací a dat provádět (například interní zaměstnanec nebo dodavatel), f) dostupnost zdrojů potřebných pro likvidaci (například časové, lidské, finanční, technické), g) možné způsoby likvidace informací a dat nebo jejich nosičů a h) stavu nosiče informací a dat (například při poškození nosiče nebude možné použít variantu přepisu informací a dat, ale některý ze způsobů fyzické likvidace). (4) Způsoby likvidace informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat: a) Odstranění 1. Způsob likvidace nosičů informací a dat tak, aby byla nedostupná (například odstranění datového souboru, vyhození nosiče do odpadu). 2. V případě získání nosiče informací a dat je možné s vynaložením určitého úsilí informace a data obnovit. 3. Tato metoda není vhodná pro nosiče informací a dat neumožňující opětovný zápis. 4. Použitelný způsob pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1 k této vyhlášce): Nízká. b) Přepsání 1. Způsob likvidace spočívá v opakovaném přepsání informací a dat náhodnými hodnotami. 2. Volně dostupné nástroje neumožňují obnovení po násobném přepsání informací a dat. 3. Přepsání může být nahrazeno nebo kombinováno s bezpečnou likvidací kryptografických klíčů k zašifrovaným informacím a datům. 4. Tato metoda není vhodná pro poškozené nosiče, nosiče neumožňující opětovný zápis, případně pro nosiče s velkou paměťovou kapacitou. 5. Použitelný způsob pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1 k této vyhlášce): Nízká až Vysoká. c) Fyzická likvidace 1. Způsob likvidace spočívající ve zničení nosiče informací a dat, popřípadě v rozebrání nosiče a následného zničení (například mechanickým nebo chemickým působením vč. tepelného). 2. Nosič informací a dat po fyzické likvidaci nelze znovu použít. Informace a data není možné z tohoto nosiče obnovit ani při vynaložení značného množství prostředků a úsilí. 3. Použitelný způsob likvidace pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1 k této vyhlášce): nízká až kritická. Příloha č. 3 Tato příloha obsahuje kategorie zranitelností a hrozeb, které musí povinná osoba zvážit při určování rizik, pokud jsou pro dané aktivum relevantní. Povinná osoba nad rámec níže uvedených kategorií zranitelností a hrozeb může určit konkrétní hrozby a zranitelnosti podle svých bezpečnostních potřeb. 1. Nedostatečná údržba aktiv, 2. zastaralost aktiv, 3. nedostatečná ochrana perimetru, 4. nedostatečné bezpečnostní povědomí uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení, 5. nedostatečné zálohování, 6. nevhodné nastavení přístupových oprávnění, 7. nedostatečné postupy a procesy pro detekování kybernetických bezpečnostních událostí a identifikování kybernetických bezpečnostních incidentů, 8. nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit činnost, která může mít vliv na bezpečnost regulované služby, 9. nedostatečné stanovení bezpečnostních pravidel a postupů, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení, 10. nedostatečná ochrana aktiv, 11. nevhodně navržená bezpečná architektura, 12. nedostatečná míra nezávislé kontroly, 13. neschopnost včasného odhalení pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení, 14. nedostatek zaměstnanců s potřebnou odbornou úrovní znalostí, 15. umístění aktiva mimo fyzickou kontrolu (například na území cizího státu), 16. umístění aktiva na území státu, o jehož právním prostředí nemá povinná osoba dostatečné povědomí, a 17. zranitelnosti odhalené při skenování zranitelností a penetračním testování. 1. Porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení, 2. poškození nebo selhání technického anebo programového vybavení, 3. zneužití identity, 4. užívání programového vybavení v rozporu s licenčními podmínkami, 5. škodlivý kód, 6. narušení fyzické bezpečnosti, 7. přerušení poskytování služeb elektronických komunikací, družicových služeb nebo dodávek elektrické energie nebo jiných důležitých služeb, 8. narušení dostupnosti primárních nebo podpůrných aktiv umístěných mimo území České republiky, 9. zneužití nebo neoprávněná modifikace informací, 10. ztráta, odcizení nebo poškození aktiva, 11. nedodržení smluvního závazku ze strany dodavatele, 12. pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení, 13. zneužití vnitřních prostředků, sabotáž, 14. dlouhodobé přerušení poskytování služeb elektronických komunikací, družicových služeb, dodávky elektrické energie nebo jiných důležitých služeb, 15. zaměstnanci s nedostatečnou odbornou úrovní znalostí, 16. cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik, 17. zneužití vyměnitelných technických nosičů dat, 18. napadení (odposlech, modifikace, podvržení) elektronické komunikace, družicových služeb nebo jiných důležitých služeb, 19. závislost na dodavateli, 20. zneužití cizí státní moci pro přístup k aktivům, 21. zpřístupnění nebo předání aktiv na základě žádosti jiného státu. Příloha č. 4 (1) Jednoznačné stanovení funkce pro určení rizika je nezbytnou součástí metodiky pro hodnocení rizik podle § 8. (2) Hodnota rizika je nejčastěji vyjádřena jako funkce, kterou ovlivňuje hodnota aktiva, hrozba a zranitelnost. (3) Pro hodnocení rizik lze použít funkci: Riziko = hodnota aktiva × hrozba × zranitelnost, případně jinou funkci obdobného významu. (4) Hodnota aktiva je v tomto případě odvozena z hodnocení aktiv podle přílohy č. 1 k této vyhlášce. (5) V případě, že povinná osoba využívá na základě § 8 odst. 3 metodu pro hodnocení rizik, která nerozlišuje hodnocení hrozby a zranitelnosti, je možné stupnice pro hodnocení hrozeb a zranitelností sloučit, například vytvořit scénáře kombinující hrozbu a zranitelnost. Sloučení stupnic by nemělo vést ke ztrátě schopnosti rozlišení úrovně hrozby a zranitelnosti. Za tímto účelem lze použít například komentář, který zřetelně vyjádří jak úroveň hrozby, tak i úroveň zranitelnosti. Obdobně se postupuje i v případech, kdy povinná osoba používá jiný počet úrovní pro hodnoty aktiv, hrozeb, zranitelností a rizik. ÚroveňPopisNízkáHrozba neexistuje nebo je málo pravděpodobná. Předpokládaná realizace hrozby není častější než jednou za 5 let.StředníHrozba je málo pravděpodobná až pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 roku do 5 let.VysokáHrozba je pravděpodobná až velmi pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 měsíce do 1 roku.KritickáHrozba je velmi pravděpodobná až víceméně jistá. Předpokládaná realizace hrozby je častější než jednou za měsíc. ÚroveňPopisNízkáZranitelnost neexistuje nebo je zneužití zranitelnosti málo pravděpodobné. Jsou zavedena bezpečnostní opatření, která jsou schopna včas detekovat možné zranitelnosti nebo případné pokusy o jejich zneužití.StředníZneužití zranitelnosti je málo pravděpodobné až pravděpodobné. Jsou zavedena bezpečnostní opatření, jejichž účinnost je pravidelně kontrolována. Schopnost bezpečnostních opatření včas detekovat možné zranitelnosti nebo případné pokusy o překonání bezpečnostních opatření je omezena. Nejsou známé žádné úspěšné pokusy o překonání bezpečnostních opatření.VysokáZneužití zranitelnosti je pravděpodobné až velmi pravděpodobné. Bezpečnostní opatření jsou zavedena, ale jejich účinnost nepokrývá všechny potřebné aspekty a není pravidelně kontrolována. Jsou známé dílčí úspěšné pokusy o překonání bezpečnostních opatření.KritickáZneužití zranitelnosti je velmi pravděpodobné až víceméně jisté. Bezpečnostní opatření nejsou realizována nebo je jejich účinnost značně omezena. Neprobíhá kontrola účinnosti bezpečnostních opatření. Jsou známé úspěšné pokusy překonání bezpečnostních opatření. ÚroveňPopisNízkéRiziko je považováno za akceptovatelné.StředníRiziko může být sníženo méně náročnými bezpečnostními opatřeními nebo v případě vyšší náročnosti bezpečnostních opatření je riziko akceptovatelné.VysokéRiziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění.KritickéRiziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění. (6) Pokud je hodnota rizika vyšší než hranice akceptovatelnosti, je třeba implementovat vhodná bezpečnostní opatření, snížit hodnotu rizika nebo eliminovat riziko a zajistit požadovanou úroveň bezpečnosti informací Metody pro zvládání rizik jsou zejména následující a) akceptace rizika, b) redukce rizika, c) eliminace rizika, d) vyhnutí se riziku, nebo e) přenesení nebo sdílení rizika. Příloha č. 5 Obsah smlouvy uzavírané s významnými dodavateli musí obsahovat relevantní ustanovení z níže uvedených: a) ustanovení o bezpečnosti informací z pohledu důvěrnosti (včetně ustanovení o mlčenlivosti), integrity a dostupnosti, b) ustanovení o oprávnění užívat data, c) ustanovení o autorství programového kódu, popřípadě o programových licencích, d) ustanovení o kontrole zavedených bezpečnostních opatření (pravidla zákaznického auditu), e) ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že subdodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi povinnou osobou a dodavatelem a nebudou v rozporu s požadavky povinné osoby na dodavatele, f) ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele (nebo odsouhlasení pro dodavatelský vztah relevantních částí bezpečnostních politik) povinnou osobou, g) ustanovení o řízení změn, h) ustanovení o souladu smluv s obecně závaznými právními předpisy, i) ustanovení o povinnosti dodavatele informovat povinnou osobu o 1. kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy, 2. způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním smlouvy, 3. významné změně ovládání tohoto dodavatele podle zákona o obchodních korporacích nebo změně vlastnictví zásadních aktiv, popřípadě změně oprávnění nakládat s těmito aktivy, využívaných tímto dodavatelem k plnění podle smlouvy s povinnou osobou, 4. žádosti cizozemského orgánu o zpřístupnění nebo předání dat zpracovávaných na území cizího státu, vyjma situace, kdy by takové informování bylo v rozporu s právním řádem, v jehož působnosti dochází ke zpracování dat nebo podle kterého byla žádost podána, 5. fyzických osobách přicházejících do kontaktu s důvěrnými informacemi povinné osoby (jedná se například o osoby zastávající bezpečnostní role, penetrační testery a administrátory), j) specifikace podmínek z pohledu bezpečnosti při ukončení smlouvy, tzv. exit strategie (například přechodné období při ukončení spolupráce, kdy je třeba ještě udržovat službu před nasazením nového řešení, migrace dat a podobně), k) specifikace podmínek pro řízení kontinuity činností v souvislosti s dodavateli zahrnutí dodavatelů do plánů obnovy, plánů kontinuity, úkoly dodavatelů při aktivaci řízení kontinuity činností apod.), l) specifikace náležitosti smlouvy o úrovni služeb (SLA) a způsobu a úrovni realizace bezpečnostních opatření. m) ustanovení o dodržování pravidel bezpečného vývoje, n) specifikace podmínek pro formát předání dat a informací po vyžádání povinnou osobou, o) pravidla pro likvidaci dat, p) ustanovení o právu jednostranně odstoupit od smlouvy nebo smlouvu vypovědět bez výpovědní doby v případě významné změny kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění podle smlouvy, q) ustanovení o sankcích za porušení povinností a r) ustanovení o zpřístupnění nebo předání dat na základě žádosti cizozemského orgánu o zpřístupnění nebo předání dat zpracovávaných na území cizího státu 1. až po provedení přezkoumání zákonnosti žádosti, 2. až po vynaložení úsilí o zabránění zpřístupnění nebo předání dat v rámci možností daných právním řádem, v jehož působnosti dochází ke zpracování dat nebo podle kterého byla žádost podána, 3. pouze v nezbytném rozsahu. Příloha č. 6 a) Techniky zabezpečení zařízení. b) Firewall, antivirový program a jejich omezení. c) Škodlivé programy a jejich projevy. d) Rizika stahování programů a aplikací. e) Aktualizace software. f) Rizika povolení a zakázání spouštění maker. g) Rizika spustitelných souborů. h) Zásady zabezpečení uživatelských účtů. i) Používání, tvorba a správa hesel. j) Vícefaktorová autentizace. k) Techniky sociálního inženýrství. l) On-line identita, digitální stopa a její minimalizace. m) Zásady práce v počítačové síti. n) Používání vzdáleného připojení (VPN). o) Bezpečná elektronická komunikace. p) Bezpečnost webových stránek. q) Zálohování, ukládání a šifrování dat. r) Bezpečné používání přenosných technických nosičů dat. s) Využívání služeb cloud computingu. t) Pravidla a postupy pro oznamování neobvyklého chování technických aktiv a podezření na jakékoliv zranitelnosti. u) Základní postup při reakci na kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident. v) Zásady bezpečného používání pracovních zařízení pro soukromé účely. w) Zásady bezpečného používání soukromých zařízení pro pracovní účely (tzv. BYOD). x) Osobní odpovědnost zaměstnance při dodržování zásad kybernetické bezpečnosti. y) Aktuální hrozby v kybernetické bezpečnosti. 1) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2). 2) Zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů. 3) Český překlad mezinárodního standardu tzv. Traffic Light Protocolu zveřejní Národní úřad pro kybernetickou a informační bezpečnost na svých internetových stránkách.