VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

1 

 

I. 

Návrh 

VYHLÁŠKA 

ze dne … … 2014 

o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních 

opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška 

o kybernetické bezpečnosti) 

 

Národní bezpečnostní úřad stanoví podle § 6 písm. a) až c), § 8 odst. 4, § 13 odst. 4 a 

§ 16  odst.  6  zákona  č.  …/2014  Sb.  o  kybernetické  bezpečnosti  a  o  změně  souvisejících 

zákonů (zákon o kybernetické bezpečnosti), (dále jen „zákon“): 

 

ČÁST PRVNÍ 

ÚVODNÍ USTANOVENÍ 

§ 1

 

 

Předmět úpravy 

 

Touto  vyhláškou  se  stanoví  obsah  a  struktura  bezpečnostní  dokumentace,  obsah 

bezpečnostních  opatření  a  rozsah  jejich  zavedení,  typy  a  kategorie  kybernetických 

bezpečnostních  incidentů,  náležitosti  a  způsob  hlášení  kybernetického  bezpečnostního 

incidentu,  náležitosti  oznámení  o  provedení  reaktivního  opatření  a  jeho  výsledku  a  vzor 

oznamování kontaktních údajů a jeho formu. 

 

§ 2

 

 

Vymezení pojmů 

 

V této vyhlášce se rozumí 

a)

 

systémem  řízení  bezpečnosti  informací  část  systému  řízení  orgánu  a  osoby  uvedené 

v § 3  písm.  c)  až  e)  zákona  založená  na  přístupu  k  rizikům  informačního  systému  kritické 

informační  infrastruktury,  komunikačního  systému  kritické  informační  infrastruktury  nebo 

významného  informačního  systému,  která  stanoví  způsob  ustavení,  zavádění,  provoz, 

monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací, 

b)

 

aktivem primární a podpůrné aktivum, 

c)

 

primárním  aktivem  informace  nebo  služba,  kterou  zpracovává  nebo  poskytuje 

informační  systém  kritické  informační  infrastruktury,  komunikační  systém  kritické 

informační infrastruktury nebo významný informační systém, 

d)

 

podpůrným  aktivem  technické  aktivum,  zaměstnanci  a  dodavatelé  podílející  se  na 

provozu,  rozvoji,  správě  nebo  bezpečnosti  informačního  systému  kritické  informační 

infrastruktury, komunikačního  systému  kritické informační  infrastruktury nebo významného 

informačního systému, 

e)

 

technickým  aktivem  technické  vybavení,  komunikační  prostředky  a  programové 

vybavení  informačního  systému  kritické  informační  infrastruktury,  komunikačního  systému 

kritické  informační  infrastruktury  nebo  významného  informačního  systému  a  objekty,  ve 

kterých jsou tyto systémy umístěny, 

2 

 

f)

 

rizikem  možnost,  že  určitá  hrozba  využije  zranitelnosti  informačního  systému  kritické 

informační  infrastruktury,  komunikačního  systému  kritické  informační  infrastruktury  nebo 

významného informačního systému a způsobí negativní dopad na aktiva, 

g)

 

hodnocením  rizik  proces,  při  němž  je  určována  významnost  rizik  a  jejich  přijatelná 

úroveň, 

h)

 

řízením rizik činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání 

rizik, sdílení informací o riziku a sledování a přezkoumání rizik, 

i)

 

hrozbou potencionální příčina kybernetické bezpečnostní události nebo kybernetického 

bezpečnostního incidentu, jejímž výsledkem může být poškození aktiva, 

j)

 

zranitelností slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito 

jednou nebo více hrozbami,  

k)

 

přijatelným rizikem riziko zbývající po uplatnění bezpečnostních opatření, jehož úroveň 

odpovídá kritériím pro přijatelnost rizik, 

l)

 

bezpečnostní  politikou  soubor  zásad  a  pravidel,  které  určují  způsob  zajištění  ochrany 

aktiv orgánem a osobou uvedenou v § 3 písm. c) až e) zákona, 

m)

 

garantem aktiva fyzická osoba pověřená orgánem a osobou uvedenou v § 3 písm. c) až 

e) zákona k zajištění rozvoje, použití a bezpečnosti aktiva, 

n)

 

uživatelem  fyzická  nebo  právnická  osoba  anebo  orgán  veřejné  moci,  která  využívá 

primární aktiva,  

o)

 

administrátorem fyzická osoba pověřená garantem aktiva odpovědná za správu, provoz, 

použití, údržbu, a bezpečnost technického aktiva a 

p)

 

výborem  pro  řízení  kybernetické  bezpečnosti  organizovaná  skupina  tvořená  osobami, 

které jsou pověřeny celkovým řízením a rozvojem informačního systému kritické informační 

infrastruktury, komunikačního  systému  kritické informační  infrastruktury nebo významného 

informačního  systému  nebo  se  významně  podílejí  na  řízení  a  koordinaci  činností  spojených 

s kybernetickou bezpečností těchto systémů. 

 

ČÁST DRUHÁ 

BEZPEČNOSTNÍ OPATŘENÍ 

 

HLAVA I 

ORGANIZAČNÍ OPATŘENÍ 

§ 3

 

 

Systém řízení bezpečnosti informací 

 

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona tím, že v rámci systému řízení bezpečnosti informací 

a)

 

stanoví s ohledem  na aktiva a organizační  bezpečnost rozsah a hranice systému řízení 

bezpečnosti  informací,  ve  kterém  určí,  kterých  organizačních  částí  a  technických  prvků  se 

systém řízení bezpečnosti informací týká, 

b)

 

řídí rizika podle § 4 odst. 1,