Legalize / Česká republika / Vyhláška

Vyhláška o některých požadavcích pro zápis do katalogu cloud computingu

Typ Vyhláška

Publikace 2025-12-05

Stav Platný

Zdroj e-Sbírka

Historie novel JSON API

§ 1

Předmět úpravy

Tato vyhláška stanoví

a) požadavky na způsobilost poskytovatele cloud computingu (dále jen „poskytovatel“) zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona,

b) požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem podle § 6n písm. b) zákona,

c) seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) zákona, doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2 zákona,

d) požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) zákona a intervaly pro její předkládání,

e) požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii podle § 6t odst. 6 písm. e) a § 6t odst. 7 písm. f) zákona,

f) požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g) zákona a

g) požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem podle § 6t odst. 6 písm. g) a § 6t odst. 7 písm. h) zákona.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

a) zákazníkem orgán veřejné správy využívající službu cloud computingu,

b) uživatelem ten, kdo službu cloud computingu prostřednictvím systému orgánu veřejné správy využívá nebo ji nastavuje,

c) zákaznickými daty všechna data, která jsou uživatelem poskytnuta poskytovateli v průběhu užívání služby cloud computingu,

d) zákaznickým obsahem textová, zvuková, obrazová, audiovizuální nebo jiná data, která byla uživatelem do služby cloud computingu vložena, a to bez jejich metadat, a indexy k těmto datům,

e) specifickými provozními údaji data vygenerovaná nebo odvozená poskytovatelem v souvislosti s poskytováním služby cloud computingu, která obsahují informace o identifikovaném nebo identifikovatelném uživateli,

f) zpracováním jakákoliv operace nebo soubor operací se zákaznickými daty a provozními údaji v elektronické podobě, prováděné pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení nebo zkombinování, omezení, výmaz nebo zničení, a

g) bezpečnostní úrovní nabízeného cloud computingu taková bezpečnostní úroveň, do které nabízený cloud computing řadí poskytovatel.

§ 3

Požadavky na způsobilost poskytovatele zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy

Poskytovatelem způsobilým zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona je poskytovatel za následujících podmínek:

a) má sídlo nebo bydliště v členském státě Evropské unie nebo má určeného svého zástupce v členském státě Evropské unie obdobně podle čl. 27 obecného nařízení o ochraně osobních údajů^1),

b) poskytovatel ani jeho ovládající osoby^2) nebyli v posledních 5 letech pravomocně uznáni vinnými ze spáchání přestupku spočívajícího v nesplnění některé z povinností uložené nápravným opatřením podle § 56 odst. 1 zákona o kybernetické bezpečnosti^3) a

c) poskytovatel ani jeho ovládající osoby nebyli v posledních 5 letech více než jednou pravomocně uznáni vinnými ze spáchání přestupku spočívajícího v

1. nesplnění povinnosti ohlásit službu podle § 6 odst. 1 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti ohlásit změnu regulované služby podle § 9 odst. 1 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti určit za účelem vymezení stanoveného rozsahu všechna primární aktiva podle § 12 odst. 2 písm. a) zákona o kybernetické bezpečnosti nebo podpůrná aktiva podle § 12 odst. 2 písm. c) zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti jejich určení pravidelně přezkoumávat nebo aktualizovat podle § 12 odst. 5 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti posoudit za účelem vymezení stanoveného rozsahu, zda primární aktiva určená podle § 12 odst. 2 písm. a) zákona o kybernetické bezpečnosti souvisí s poskytováním regulované služby, nebo v nesplnění povinnosti toto posouzení pravidelně přezkoumávat nebo aktualizovat podle § 12 odst. 5 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti evidovat aktiva podle § 12 odst. 3 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti zavádět nebo provádět bezpečnostní opatření podle § 13 odst. 2 nebo § 18 odst. 1 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti vybírat svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo v nesplnění povinnosti zahrnovat požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem v rozporu s § 13 odst. 5 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti předložit prvotní hlášení o incidentu podle § 16 odst. 1 zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti doplnit některý z údajů o incidentu podle § 16 odst. 3 zákona o kybernetické bezpečnosti nebo v nesplnění povinnosti nahlásit kybernetický bezpečnostní incident podle § 18 odst. 2 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti poskytnout informace nebo součinnost při zvládání incidentu podle § 17 odst. 3 zákona o kybernetické bezpečnosti,

1. nesplnění rozhodnutím stanovené povinnosti nebo zákazu informovat uživatele regulované služby o kybernetickém bezpečnostním incidentu s významným dopadem podle § 19 odst. 1 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti informovat uživatele regulované služby o významné hrozbě nebo krocích, které může uživatel služby učinit v reakci na ni, podle § 19 odst. 2 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti uložené rozhodnutím o výstraze podle § 21 odst. 1 zákona o kybernetické bezpečnosti,

1. nesplnění reaktivního protiopatření uloženého podle § 23 odst. 1 nebo § 23 odst. 4 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti uložené rozhodnutím podle § 24 odst. 1 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti ohlásit změnu regulované služby podle § 26 odst. 1 zákona o kybernetické bezpečnosti,

1. porušení podmínky nebo zákazu uložených v opatření obecné povahy podle § 29 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti zajišťovat dostupnost strategicky významné služby z území České republiky ve stanoveném čase nebo kvalitě podle § 33 odst. 1 zákona o kybernetické bezpečnosti,

1. nesplnění povinnosti prověřovat zajištění poskytování strategicky významné služby podle § 33 odst. 2 zákona o kybernetické bezpečnosti nebo nesplnění povinnosti o tomto prověření vyhotovit záznam,

1. nesplnění povinnosti provést v souvislosti se stavem kybernetického nebezpečí opatření k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru uložené rozhodnutím nebo opatřením obecné povahy podle § 39 zákona o kybernetické bezpečnosti,

1. nesplnění některé z povinností podle § 10 odst. 2 kontrolního řádu^4) jako kontrolovaná osoba v souvislosti s kontrolou plnění povinností podle zákona o kybernetické bezpečnosti, nebo

1. nesplnění povinnosti podle § 10 odst. 3 kontrolního řádu^4) jako povinná osoba v souvislosti s kontrolou plnění povinností podle zákona o kybernetické bezpečnosti.

§ 4

Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem

Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6n písm. b) zákona jsou stanoveny v přílohách č. 1 až 4 k této vyhlášce.

§ 5

Seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, doklady o jejich splnění a intervaly pro předkládání těchto dokladů

Seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) zákona, doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2 zákona jsou stanoveny v příloze č. 5 k této vyhlášce.

§ 6

Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu a intervaly pro její předkládání

Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) zákona a intervaly pro její předkládání podle § 6y odst. 2 zákona jsou stanoveny v příloze č. 6 k této vyhlášce.

§ 7

Požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii

(1) Auditní zpráva osvědčující existenci plánu zajištění kontinuity provozu nabízené služby cloud computingu a plánu na obnovu poskytování nabízené služby cloud computingu po havárii musí být vyhotovena subjektem nezávislým na poskytovateli a musí prokazovat ověření aplikace plánů při jejich testování.

(2) Má se za to, že znaky auditní zprávy podle odstavce 1 naplňuje auditní zpráva vydaná pro účel certifikace podle ČSN ISO/IEC 20000, ISO/IEC 20000, ČSN EN ISO 22301, ISO 22301 od certifikačního orgánu, který byl akreditován některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2 nebo atestace podle CSA STAR Level 2. V rozsahu dané auditní zprávy musí být jmenovitě zahrnuta zapisovaná služba cloud computingu. V případě, že rozsah této auditní zprávy jmenovitě nezahrnuje zapisovanou službu cloud computingu, předloží poskytovatel čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) o rozsahu této auditní zprávy.

§ 8

Požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik

Požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g) zákona jsou stanoveny v příloze č. 7 k této vyhlášce.

§ 9

Požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem

(1) Podklady k ověření splnění požadavku podle § 4 obsahují

a) popis splnění požadavku pro službu cloud computingu, kterou poskytovatel žádá zapsat do katalogu cloud computingu, kterým poskytovatel dokládá splnění požadavku v přílohách č. 1 až 4 k této vyhlášce, a

b) dokumenty, kterými poskytovatel doloží splnění požadavku podle příloh č. 1 až 4 k této vyhlášce.

(2) Náležitosti podle odstavce 1 písm. a) dokládá poskytovatel na elektronickém formuláři, který se zveřejňuje na internetových stránkách Digitální a informační agentury.

(3) Struktura podkladů k ověření splnění požadavků podle § 4 musí být přehledná a srozumitelná. Za tímto účelem poskytovatel popíše splnění každého z požadavků pro každou službu cloud computingu, kterou žádá zapsat do katalogu cloud computingu. V případě, že poskytovatel v rámci jedné nabídky cloud computingu žádá zapsat více služeb cloud computingu spadajících do stejné bezpečnostní úrovně a splňujících požadavek shodným způsobem, je možné doložit splnění každého z požadavků pouze jednou a následně jednoznačně uvést všechny služby cloud computingu, na které se toto doložení vztahuje. V případě, že poskytovatel žádá zapsat nabídku cloud computingu, pro kterou je možné doložit splnění požadavků shodným podkladem, kterým byly prokázány již zapsané nabídky téhož poskytovatele, může se poskytovatel na tento podklad odkázat. Na takový odkaz se uplatní požadavky odstavce 4.

(4) V případě, že je pro doložení splnění požadavku podle § 4 nezbytné odkázat do jiného dokumentu, který je k formuláři připojen, provede se tak ve formuláři uvedením názvu připojeného dokumentu a kapitoly, strany, odstavce a případně i konkrétní věty, ze které splnění požadavku pro službu cloud computingu vyplývá.

(5) Pro účely podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem podle § 4 se rozumí

a) písemným popisem popis uvedený ve formuláři žádosti podle odstavce 1 písm. a) nebo v samostatném podkladu, na který je v popisu splnění požadavku odkazováno,

b) čestným prohlášením podklad, kterým je čestně prohlášeno splnění daného požadavku či jeho aspektu, ze kterého je patrné, kdo a kdy jej činí, co jím dokládá, a podepsaný osobou oprávněnou jednat za poskytovatele; v případě, že čestné prohlášení činí osoba odlišná od poskytovatele, je zároveň s čestným prohlášením dokládán i doklad o zmocnění opravňujícím tuto osobu k tomuto čestnému prohlášení,

c) smluvní dokumentací návrh smlouvy, smluvních podmínek, podmínek poskytování služby či podobný podklad pro služby cloud computingu, které poskytovatel žádá zapsat do katalogu cloud computingu,

d) další dokumentací produktová specifikace, technická dokumentace nebo další jiný popis služby, který není smluvní dokumentací, a

e) auditní zprávou

1. auditní zpráva vydaná pro certifikaci podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF),

1. auditní zpráva SOC 2® Type 2,

1. auditní zpráva o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, nebo

1. auditní zpráva o vyhodnocení shody s požadavky této vyhlášky.

(6) Auditní zpráva podle odstavce 5 písm. e) musí být vydána subjektem nezávislým na poskytovateli, nesmí být ke dni podání žádosti o zápis nabídky cloud computingu do katalogu cloud computingu starší než 24 měsíců a do jejího rozsahu musí jmenovitě spadat posuzovaná služba cloud computingu.

§ 10

Přechodná ustanovení

(1) Žádosti o zápis poskytovatele do katalogu cloud computingu podle § 6q zákona a žádosti o zápis nabídky cloud computingu do katalogu cloud computingu podle § 6t zákona podané přede dnem nabytí účinnosti této vyhlášky se posuzují podle vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, s výjimkou požadavků uvedených v řádcích 4.1, 4.2, 7.1 a 7.2 přílohy č. 2 k vyhlášce č. 316/2021 Sb.

(2) Splnění požadavků v řádcích 8.1 a 8.2 příloh č. 3 a 4 k této vyhlášce a požadavků na strukturu a náležitosti zprávy o provedení penetračního testu a intervaly pro její předkládání podle § 6 je možné doložit splněním požadavků stanovených vyhláškou č. 316/2021 Sb., po dobu 24 měsíců ode dne nabytí účinnosti této vyhlášky.

§ 11

Zrušovací ustanovení

Vyhláška č. 316/2021 Sb. se zrušuje.

§ 12

Účinnost

Tato vyhláška nabývá účinnosti dnem 1. ledna 2026.

Ředitel:

Ing. Kintr v. r.

Příloha č. 1

⋯

Čtení tohoto dokumentu nenahrazuje čtení příslušného vydání Sbírky zákonů. Neneseme odpovědnost za případné nepřesnosti vyplývající z převodu originálu do tohoto formátu.