§ 35 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky při nově identifikovaných hrozbách a zvýšení rizik
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 35 · Ostatní právní předpisy
Stručně: Paragraf 35 vyhlášky 479/2024 stanovuje, že rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) o dodatečných bezpečnostních funkcích nebo opatřeních musí být součástí analýzy rizik a popisu bezpečnosti informačního systému, a dále specifikuje, co musí obsahovat oznámení provozovatele o zavedení těchto opatření.
§ 35 Bezpečnostní požadavky při nově identifikovaných hrozbách a zvýšení rizik
(1) Součástí analýzy rizik a popisu bezpečnosti informačního systému je i rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o stanovení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 4 zákona, bylo-li vydáno.
(2) Náležitosti oznámení provozovatele certifikovaného informačního systému o zavedení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 4 zákona jsou
a) identifikační údaje provozovatele certifikovaného informačního systému,
b) jednoznačný identifikátor rozhodnutí podle § 34 odst. 4 zákona a
c) podrobnosti o zavedení bezpečnostní funkce nebo opatření, kterými jsou
1. datum a čas zavedení,
2. výsledek zavedení bezpečnostní funkce nebo opatření a
3. popis problémů nebo negativních dopadů při zavádění bezpečnostní funkce nebo opatření.
ČÁST TŘETÍ
Výklad
Stručně
Paragraf 35 vyhlášky 479/2024 stanovuje, že rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) o dodatečných bezpečnostních funkcích nebo opatřeních musí být součástí analýzy rizik a popisu bezpečnosti informačního systému, a dále specifikuje, co musí obsahovat oznámení provozovatele o zavedení těchto opatření.
Co to znamená v praxi
Pokud NÚKIB vydá rozhodnutí o nutnosti zavést další bezpečnostní funkce nebo opatření (podle § 34 odst. 4 zákona), musí být toto rozhodnutí zahrnuto do dokumentace, která popisuje bezpečnost informačního systému a jeho rizika.
Provozovatel certifikovaného informačního systému, který tato dodatečná opatření zavede, je povinen o tom NÚKIBu podat oznámení.
Toto oznámení musí obsahovat identifikační údaje provozovatele, jednoznačný identifikátor rozhodnutí NÚKIBu a podrobné informace o zavedení opatření (kdy bylo zavedeno, jaký byl výsledek a zda se vyskytly problémy).
Na co si dát pozor
Provozovatelé certifikovaných informačních systémů musí pečlivě sledovat rozhodnutí NÚKIBu týkající se dodatečných bezpečnostních požadavků.
Je nutné vést přesnou evidenci o zavádění těchto opatření, včetně data, času, výsledku a případných problémů, pro účely oznámení.
Nezapomenout na správné uvedení identifikačních údajů provozovatele a jednoznačného identifikátoru rozhodnutí NÚKIBu v oznámení.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.