Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

ČÁST PRVNÍ

ÚVODNÍ USTANOVENÍ

§ 1

Předmět právní úpravy

Tato vyhláška zapracovává příslušný předpis Evropské unie^1) a pro poskytovatele regulované služby v režimu vyšších povinností (dále jen „povinná osoba“) upravuje obsah bezpečnostních opatření a způsob jejich zavádění a provádění.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, který využívá aktiva,

• b) privilegovaným uživatelem uživatel nebo jiná osoba, jejíž činnost na technickém aktivu může mít významný dopad na bezpečnost regulované služby,

• c) administrátorem privilegovaný uživatel nebo jiná osoba zajišťující správu, provoz, užívání, údržbu a bezpečnost technického aktiva,

• d) bezpečnostní politikou soubor zásad a pravidel, která určují způsob zajištění ochrany aktiv,

• e) hodnocením rizik proces určování, analýzy a vyhodnocení rizik,

• f) řízením rizik proces zahrnující hodnocení rizik, zavádění bezpečnostních opatření ke zvládání rizik a komunikaci rizik,

• g) systémem řízení bezpečnosti informací část systému řízení povinné osoby založená na přístupu k rizikům, zahrnující způsob ustanovení, zavádění, provozování, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací a

• h) významným dodavatelem ten, kdo povinné osobě poskytuje plnění, které je významné z hlediska zajištění kybernetické bezpečnosti regulované služby.

ČÁST DRUHÁ

BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I

Organizační opatření

§ 3

Systém řízení bezpečnosti informací

Povinná osoba v rámci systému řízení bezpečnosti informací

• a) stanoví cíle systému řízení bezpečnosti informací směřující k zajištění kybernetické bezpečnosti regulované služby,

• b) řídí rizika podle § 8,

• c) zavede a provádí přiměřená bezpečnostní opatření směřující k zajištění kybernetické bezpečnosti regulované služby na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a řízení rizik,

• d) stanoví bezpečnostní politiku a bezpečnostní dokumentaci ve vztahu k řízení kybernetické bezpečnosti, která obsahuje hlavní zásady, cíle systému řízení bezpečnosti informací, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku a bezpečnostní dokumentaci v dalších oblastech podle § 6,

• e) zajistí provedení auditu kybernetické bezpečnosti podle § 16,

• f) zajistí alespoň jednou ročně vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje

• 1. vyhodnocení cílů systému řízení bezpečnosti informací směřujících k zajištění kybernetické bezpečnosti regulované služby,

• 1. posouzení naplňování plánu zvládání rizik zpracovaného podle § 8 odst. 1 písm. g),

• 1. hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik,

• 1. posouzení výsledků provedených auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

• 1. výsledky předchozího hodnocení účinnosti systému řízení bezpečnosti informací provedených podle tohoto písmene,

• 1. posouzení dopadů kybernetických bezpečnostních incidentů na oblast kybernetické bezpečnosti a na poskytované služby podle § 15 a

• 1. posouzení významných změn podle § 11,

• g) zpracuje zprávu o přezkoumání systému řízení bezpečnosti informací na základě vyhodnocení účinnosti systému řízení bezpečnosti informací podle písmene f),

• h) aktualizuje systém řízení bezpečnosti informací a relevantní dokumentaci na základě

• 1. zjištění z auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

• 1. výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací,

• 1. dopadů kybernetických bezpečnostních incidentů na poskytované služby a

• 1. prováděných významných změn,

• i) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik a

• j) stanoví proces řízení výjimek z pravidel stanovených v bezpečnostní politice podle písmene d).

§ 4

Požadavky na vrcholné vedení

(1) Statutární orgán povinné osoby nebo jiná osoba anebo skupina osob v obdobném řídícím postavení u povinné osoby (dále jen „vrcholné vedení“) s ohledem na systém řízení bezpečnosti informací

• a) prokazatelně absolvuje školení podle § 10 odst. 3 písm. a),

• b) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3, slučitelných se strategickým směřováním povinné osoby,

• c) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,

• d) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,

• e) informuje zaměstnance a všechny dotčené osoby o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky,

• f) zajistí podporu k dosažení cílů systému řízení bezpečnosti informací,

• g) vede a podporuje zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací,

• h) se podílí na vypracování analýzy dopadů podle § 15,

• i) zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů,

• j) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,

• k) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,

• l) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,

• m) zajistí, aby byla zachována mlčenlivost všech relevantních osob zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů, a

• n) zajistí pro osoby zastávající bezpečnostní role pravomoci potřebné pro naplňování jejich rolí a zdroje, včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů.

(2) Vrcholné vedení se prokazatelně seznamuje

• a) se zprávou o přezkoumání systému řízení bezpečnosti informací,

• b) se zprávou o hodnocení rizik,

• c) s plánem zvládání rizik,

• d) s výsledky analýzy dopadů a

• e) s výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.

(3) Vrcholné vedení zřídí výbor pro řízení kybernetické bezpečnosti a určí jeho členy, přičemž

• a) zajistí, že členem výboru pro řízení kybernetické bezpečnosti bude alespoň 1 člen vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti,

• b) určí práva a povinnosti výboru pro řízení kybernetické bezpečnosti a jeho členů, související se systémem řízení bezpečnosti informací,

• c) zajistí konání pravidelných jednání výboru pro řízení kybernetické bezpečnosti alespoň jednou ročně,

• d) zajistí vyhotovení záznamu o průběhu jednání výboru pro řízení kybernetické bezpečnosti a

• e) zajistí, že výbor pro řízení kybernetické bezpečnosti je složen z osob s pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osob významně se podílejících na řízení a koordinaci činností spojených s kybernetickou bezpečností.

(4) Vrcholné vedení určí osoby, včetně vymezení jejich práv a povinností souvisejících se systémem řízení bezpečnosti informací, které budou zastávat bezpečnostní role

• a) manažera kybernetické bezpečnosti,

• b) architekta kybernetické bezpečnosti,

• c) garanta aktiva a

• d) auditora kybernetické bezpečnosti.

(5) Vrcholné vedení zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 4 písm. a) a b).

§ 5

Stanovení bezpečnostních rolí

(1) Manažer kybernetické bezpečnosti

• a) je pověřen řízením systému řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu alespoň 3 let,

• b) odpovídá za pravidelné informování vrcholného vedení o

• 1. činnostech vyplývajících z rozsahu jeho odpovědnosti a

• 1. stavu systému řízení bezpečnosti informací,

• c) nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby.

(2) Architekt kybernetické bezpečnosti je pověřen k zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury v délce alespoň 3 let.

(3) Garant aktiva je pověřen k zajištění rozvoje, použití a bezpečnost aktiva.

(4) Auditor kybernetické bezpečnosti

• a) je pověřen prováděním auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací v délce alespoň 3 let,

• b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a

• c) nesmí být pověřen výkonem jiných bezpečnostních rolí.

§ 6

Řízení bezpečnostní politiky a bezpečnostní dokumentace

(1) Povinná osoba stanoví bezpečnostní politiku ve vztahu k řízení kybernetické bezpečnosti a vede bezpečnostní politiku a bezpečnostní dokumentaci k relevantním bezpečnostním opatřením uvedeným v § 3 až 27.

(2) Povinná osoba dodržuje pravidla a postupy stanovené v bezpečnostní politice a bezpečnostní dokumentaci podle odstavce 1.

(3) Povinná osoba pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci, zajišťuje jejich aktuálnost a jejich relevantní oblasti zahrnuje do provozní dokumentace, pravidel a postupů.

(4) Povinná osoba určí osobu odpovědnou za pravidelný přezkum a aktualizaci bezpečnostní politiky a bezpečnostní dokumentace podle odstavce 3.

(5) Bezpečnostní politika a bezpečnostní dokumentace musí být řízeny tak, aby byly

• a) dostupné v elektronické nebo listinné podobě,

• b) dotčené osoby v rámci povinné osoby informovány o právech, povinnostech a postupech v nich obsažených,

• c) přiměřeně dostupné dotčeným osobám,

• d) chráněny z pohledu důvěrnosti, integrity a dostupnosti a

• e) informace v nich obsažené úplné, čitelné, snadno identifikovatelné a vyhledatelné.

§ 7

Řízení aktiv

Povinná osoba v návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti podle § 12 zákona

• a) stanoví metodiku pro určování aktiv,

• b) stanoví metodiku pro hodnocení aktiv včetně stanovení úrovní aktiv, alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,

• c) eviduje garanty aktiv podle § 4 odst. 4 písm. c),

• d) hodnotí primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),

• e) posuzuje při hodnocení primárních aktiv alespoň oblasti uvedené v příloze č. 1 k této vyhlášce,

• f) určuje a eviduje vazby mezi aktivy, která mají vliv na bezpečnost regulované služby,

• g) hodnotí podpůrná aktiva a vychází přitom zejména z určených vazeb na primární aktiva a

• h) pro jednotlivé úrovně aktiv podle písmene b) stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jejich důvěrnosti, integrity a dostupnosti, která obsahují alespoň

• 1. přípustné způsoby používání aktiv,

• 1. pravidla pro manipulaci s aktivy, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv,

• 1. pravidla pro klasifikaci informací,

• 1. pravidla pro označování aktiv,

• 1. pravidla správy výměnných médií a

• 1. pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem na úroveň aktiv v souladu s přílohou č. 2 k této vyhlášce.

§ 8

Řízení rizik

(1) Povinná osoba při řízení rizik v návaznosti na § 7

• a) stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,

• b) při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje alespoň kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,

• c) provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách určených podle § 11 odst. 1 písm. c), při kterém zohlední

• 1. relevantní hrozby a zranitelnosti podle písmene b) a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv podle § 7,

• 1. významné změny,

• 1. změny stanoveného rozsahu podle § 12 zákona,

• 1. protiopatření podle § 20 zákona,

• 1. kybernetické bezpečnostní incidenty, včetně dříve řešených,

• 1. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

• 1. výsledky penetračního testování a skenování zranitelností a

• 1. výsledky vyhodnocení účinnosti systému řízení bezpečnosti informací,

• d) při hodnocení rizik postupuje alespoň v rozsahu přílohy č. 4 k této vyhlášce,

• e) na základě provedeného hodnocení rizik podle písmene c) zpracuje zprávu o hodnocení rizik,

• f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která

• 1. nebyla aplikována, včetně odůvodnění a uvedení případných přijatých náhradních bezpečnostních opatření, a

• 1. byla aplikována, včetně způsobu plnění,

• g) na základě provedeného hodnocení rizik podle písmene c) a v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje

• 1. popis bezpečnostních opatření pro zvládání rizik,

• 1. cíle a přínosy bezpečnostních opatření pro zvládání rizik,

• 1. určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik,

• 1. předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření,

• 1. požadovaný termín zavedení bezpečnostních opatření,

• 1. popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a

• 1. konkrétní způsob realizace bezpečnostních opatření.

(2) Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.

(3) Hodnocení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. c), pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik a postupuje v souladu s odstavcem 5 přílohy č. 4 k této vyhlášce.

(4) Povinná osoba nemusí uplatňovat některá bezpečnostní opatření stanovená touto vyhláškou pouze na základě provedeného řízení rizik.

§ 9

Řízení dodavatelů

(1) Povinná osoba při řízení dodavatelů

• a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,

• b) prokazatelně seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,

• c) řídí rizika spojená s dodavateli,

• d) identifikuje a eviduje své významné dodavatele ve smyslu § 2 písm. h),

• e) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene d),

• f) zajistí v souvislosti s řízením rizik spojených s významnými dodavateli, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní ustanovení uvedená v příloze č. 5 k této vyhlášce, a

• g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.

(2) Povinná osoba u významných dodavatelů dále

• a) provádí v rámci výběrového řízení podle zákona o zadávání veřejných zakázek^2) nebo před uzavřením smlouvy hodnocení rizik souvisejících s plněním podle přílohy č. 4 k této vyhlášce,

• b) stanoví v rámci uzavíraných smluvních vztahů způsoby a úrovně realizace bezpečnostních opatření a smluvně určí obsah vzájemné odpovědnosti za zavedení a kontrolu bezpečnostních opatření,

• c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a

• d) zajistí v reakci na rizika a zjištěné nedostatky jejich řešení, která budou přijata bez zbytečného odkladu.

(3) Náležitosti prokazatelného informování podle odstavce 1 písm. e) jsou

• a) identifikační údaje povinné osoby, včetně uvedení, že povinná osoba je poskytovatelem regulované služby v režimu vyšších povinností,

• b) název regulované služby povinné osoby,

• c) identifikační údaje významného dodavatele a

• d) prohlášení, že dodavatel je pro povinnou osobu významným dodavatelem.

§ 10

Bezpečnost lidských zdrojů

(1) Povinná osoba v rámci bezpečnosti lidských zdrojů s ohledem na stav a potřeby systému řízení bezpečnosti informací stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí včetně formy, obsahu a rozsahu poučení a školení podle odstavce 2.

(2) Povinná osoba zahrne do plánu rozvoje bezpečnostního povědomí

• a) poučení vrcholného vedení o jeho povinnostech a bezpečnostní politice, zejména v oblastech systému řízení bezpečnosti informací a řízení rizik,

• b) poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice,