§ 15 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – ÚČINNOST

§ 15 ÚČINNOST Tato vyhláška nabývá účinnosti dnem 1. listopadu 2025. Ředitel: Ing. Kintr v. r. Příloha č. 1 Tato příloha představuje přehled bezpečnostních opatření ve formě tabulky (Tab. č. 1), která má povinné osobě sloužit jako nástroj k vyhodnocení účinnosti zavedených bezpečnostních opatření za stanovené období. Vyhodnocení účinnosti zajišťování kybernetické bezpečnostiBezpečnostní opatření podle vyhláškyStav bezpečnostního opatřeníPopis bezpečnostního opatřeníTermín zavedení bezpečnostního opatřeníPriorita zavedení bezpečnostního opatřeníOdpovědnost za bezpečnostní opatření Přehled bezpečnostních opatření je složen ze šesti sloupců, kdy specifika jednotlivých sloupců a příklady jejich vyplnění jsou uvedeny v tabulkách níže (Tab. č. 2 až 7). V Tabulce č. 3 „Stav bezpečnostního opatření“ jsou místo příkladů uvedeny „Přípustné hodnoty“. Název sloupce v Tab. č. 1Bezpečnostní opatření podle vyhlášky.Popis sloupcePříslušné bezpečnostní opatření požadované vyhláškou uvedené například formou odkazu na dotčené ustanovení vyhlášky.Popis hodnotUvedené hodnoty musí odkazovat na konkrétní ustanovení právního předpisu, přičemž je doporučeno, aby byly jednotlivé části uvedeny v logické návaznosti. Název sloupce v Tab. č. 1Stav bezpečnostního opatření.Popis sloupcePopis stavu bezpečnostního opatření ve chvíli, kdy je provedeno vyhodnocení účinnosti zajišťování kybernetické bezpečnosti.Popis hodnotTento sloupec bude obsahovat právě jednu z přípustných hodnot „Zavedeno“, „V procesu“ nebo „Nezavedeno“. Hodnotu „Zavedeno“ lze zapsat v případě, kdy bylo bezpečnostní opatření v hodnoceném období zavedeno v požadovaném rozsahu. Hodnotu „V procesu“ lze zapsat v případě, kdy je bezpečnostní opatření (nebo jeho část) v hodnoceném období zaváděno, popřípadě jsou činěny doložitelné kroky k jeho zavedení (například výběrové řízení, smlouva, testovací provoz atd.) Hodnotu „Nezavedeno“ lze zapsat pouze v případě, kdy opatření zavedeno nebylo. Název sloupce v Tab. č. 1Popis bezpečnostního opatření.Popis sloupceStručný popis zavedení bezpečnostního opatření v návaznosti na stav, v jakém se aktuálně nachází, a s přihlédnutím k prostředí povinné osoby.Popis hodnotPopis jednotlivých bezpečnostních opatření by měl stručně reflektovat situaci u povinné osoby (například podle názvů příslušných částí bezpečnostní dokumentace) a stav bezpečnostního opatření podle Tab. č. 2. V případě bezpečnostních opatření, která jsou označena jako „V procesu“ je nutné popsat prozatímní stav, případně uvést odkaz na dokumentaci, která proces zavádění dokládá. Pokud je bezpečnostní opatření označeno jako „Nezavedeno“, je nutné odůvodnit, proč zavedeno nebylo. Název sloupce v Tab. č. 1Termín zavedení bezpečnostního opatření.Popis sloupcePlánovaný termín zavedení bezpečnostního opatření v plném rozsahu.Popis hodnotTato hodnota bude vyplněna pouze v případě, je-li stav bezpečnostního opatření označen jako „V procesu“ nebo „Nezavedeno“, ale jeho zavedení je v budoucnu plánováno nebo závisí na dalších okolnostech. Měla by být uvedena buď konkrétním datem nebo kvartálem či měsícem konkrétního roku. Název sloupce v Tab. č. 1Priorita zavedení bezpečnostního opatření.Popis sloupcePrioritizace zavádění bezpečnostních opatření s ohledem na dopad na poskytování regulované služby.Popis hodnotHodnotu „nízká“ nebo „1“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření neměla dopad na poskytování regulované služby nebo dané bezpečnostní opatření není pro poskytování regulované služby relevantní. Hodnotu „střední“ nebo „2“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla minimální a krátkodobý dopad na poskytování regulované služby. Hodnotu „vysoká“ nebo „3“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla za následek vážný a dlouhodobý dopad na poskytování regulované služby. Hodnotu „kritická“ nebo „4“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla okamžité a nevratné důsledky pro poskytování regulované služby nebo jsou známy úspěšné pokusy o překonání bezpečnostních opatření. Název sloupce v Tab. č. 1Odpovědnost za bezpečnostní opatření.Popis sloupceOsoba pověřená za zavedení daného bezpečnostního opatření.Popis hodnotJe nutné zaznamenat údaje tak, aby bylo možné jednoznačně určit osobu pověřenou za zavedení bezpečnostního opatření. V případě potřeby je možné uvést také konkrétní organizační složku, do níž daná osoba spadá. Příloha č. 2 Povinná osoba uzavírá pouze takové smlouvy, které stanoví způsoby realizace bezpečnostních opatření a určují obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření. Povinné osoby mohou uzavírat jen takové smlouvy, které budou zohledňovat následující relevantní ustanovení: a) ustanovení o bezpečnosti informací z pohledu důvěrnosti (včetně ustanovení o mlčenlivosti), integrity a dostupnosti, b) ustanovení o auditu dodavatele související s plněním smlouvy, c) ustanovení o řetězení dodavatelů, d) ustanovení upravující tzv. exit strategii, podmínky ukončení smluvního vztahu z pohledu bezpečnosti informací, e) ustanovení o sankcích za porušení smluvních povinností, f) ustanovení o oprávnění užívat data, g) ustanovení o autorství programového kódu, případně o programových licencích, h) ustanovení o důvěrnosti smluvního vztahu, i) ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele (nebo odsouhlasení pro dodavatelský vztah relevantních částí bezpečnostních politik) povinnou osobou, j) ustanovení o řízení změn, k) ustanovení o kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy, l) ustanovení upravující zajištění řízení kontinuity činností, m) náležitosti smlouvy o úrovni služeb (SLA) a způsobu a úrovni realizace bezpečnostních opatření, n) ustanovení o dodržování pravidel bezpečného vývoje. Povinná osoba může požadovat při uzavírání smluv s dodavateli i další ujednání zohledňující specifické požadavky plynoucí ze zajištění provozních a bezpečnostních potřeb souvisejících s regulovanou službou, která nejsou uvedena v této příloze. Příloha č. 3 a) Techniky zabezpečení zařízení. b) Firewall, antivirový program a jejich omezení. c) Škodlivé programy a jejich projevy. d) Rizika stahování programů a aplikací. e) Aktualizace software. f) Rizika povolení a zakázání spouštění maker. g) Rizika spustitelných souborů. h) Zásady zabezpečení uživatelských účtů. i) Používání, tvorba a správa hesel. j) Vícefaktorová autentizace. k) Techniky sociálního inženýrství. l) On-line identita, digitální stopa a její minimalizace. m) Zásady práce v počítačové síti. n) Používání vzdáleného připojení (VPN). o) Bezpečná elektronická komunikace. p) Bezpečnost webových stránek. q) Zálohování, ukládání a šifrování dat. r) Bezpečné používání přenosných technických nosičů dat. s) Využívání služeb cloud computingu. t) Pravidla a postupy pro oznamování neobvyklého chování technických aktiv a podezření na jakékoliv zranitelnosti. u) Základní postup při reakci na kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident. v) Zásady bezpečného používání pracovních zařízení pro soukromé účely. w) Zásady bezpečného používání soukromých zařízení pro pracovní účely (tzv. BYOD). x) Osobní odpovědnost zaměstnance při dodržování zásad kybernetické bezpečnosti. y) Aktuální hrozby v kybernetické bezpečnosti. 1) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 20/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).