Vyhlášky

§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 17 - Fyzická bezpečnost

Povinná osoba v rámci fyzické bezpečnosti
a) předchází poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního a komunikačního systému,
b) stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány a zpracovávány informace a umístěna technická aktiva informačního a komunikačního systému, a
c) u fyzického bezpečnostního perimetru stanoveného podle písmene b) přijme nezbytná opatření a uplatňuje prostředky fyzické bezpečnosti
1. k zamezení neoprávněnému vstupu,
2. k zamezení poškození a neoprávněným zásahům a
3. pro zajištění ochrany na úrovni objektů a v rámci objektů.

§ 18 Fyzická bezpečnost

Povinná osoba v rámci fyzické bezpečnosti
a) předchází poškození, krádeži, zneužití aktiv a přerušení poskytování regulované služby,
b) stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány nebo zpracovávány informace a data, nebo ve které jsou umístěna technická aktiva regulované služby,
c) dokumentuje jednotlivé fyzické bezpečnostní perimetry podle písmena b) s ohledem na hodnocení umístěných technických aktiv a rozdělí je na jednotlivé úrovně fyzické ochrany,
d) u každého fyzického bezpečnostního perimetru stanoveného podle písmena c) přijme relevantní bezpečnostní opatření fyzické ochrany s ohledem na jeho úroveň fyzické ochrany
1. k zamezení neoprávněnému vstupu,
2. k zamezení poškození a neoprávněným zásahům,
3. k zajištění fyzické ochrany na úrovni objektů a v rámci objektů,
4. pro zajištění detekce narušení fyzického bezpečnostního perimetru a
5. eviduje vstupy a přístupy do fyzického bezpečnostního perimetru.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 18 - Bezpečnost komunikačních sítí

Povinná osoba pro ochranu bezpečnosti komunikační sítě zahrnuté v rozsahu podle § 3 písm. c)
a) zajistí segmentaci komunikační sítě,
b) zajistí řízení komunikace v rámci komunikační sítě a perimetru komunikační sítě,
c) pomocí kryptografie zajistí důvěrnost a integritu dat při vzdáleném přístupu, vzdálené správě nebo při přístupu do komunikační sítě pomocí bezdrátových technologií,
d) aktivně blokuje nežádoucí komunikaci a
e) pro zajištění segmentace sítě a pro řízení komunikace mezi jejími segmenty využívá nástroj, který zajistí ochranu integrity komunikační sítě.

§ 19 Bezpečnost komunikačních sítí

Povinná osoba pro ochranu bezpečnosti komunikační sítě, a to včetně jejího síťového perimetru
a) zajistí segmentaci komunikační sítě, včetně oddělení provozního, zálohovacího, vývojového, testovacího a jiného specifického prostředí,
b) zajistí řízení komunikace v rámci komunikační sítě,
c) zajistí řízení vzdáleného přístupu ke komunikační síti,
d) zajistí řízení vzdálené správy technických aktiv,
e) v rámci řízení komunikace, vzdáleného přístupu a vzdálené správy povoluje pouze takovou komunikaci, která je nezbytná pro řádné zajištění regulované služby,
f) pomocí kryptografických algoritmů upravených v § 26 zajistí důvěrnost a integritu při přenosu informací a dat v rámci komunikační sítě a
g) využívá nástroj, který zajistí ochranu integrity komunikační sítě.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 19 Správa a ověřování identit

(1) Povinná osoba používá nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému.
(2) Nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací zajišťuje
a) ověření identity před zahájením aktivit v informačním a komunikačním systému,
b) řízení počtu možných neúspěšných pokusů o přihlášení,
c) odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití,
d) ukládání autentizačních údajů ve formě odolné proti offline útokům,
e) opětovné ověření identity po určené době nečinnosti,
f) dodržení důvěrnosti autentizačních údajů při obnově přístupu a
g) centralizovanou správu identit.
(3) Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.
(4) Do doby splnění požadavku podle odstavce 3 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti.
(5) Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo, vynucovat pravidla
a) délky hesla alespoň
1. 12 znaků u uživatelů a
2. 17 znaků u administrátorů a aplikací,
b) umožňující zadat heslo o délce alespoň 64 znaků,
c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,
d) umožňující uživatelům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,
e) neumožňující uživatelům a administrátorům
1. zvolit si nejčastěji používaná hesla,
2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a
3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel a
f) pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie.
(6) Povinná osoba v případě používání autentizace pouze účtem a heslem dále
a) vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití,
b) bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření a
c) povinně zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí podle § 9.

§ 20 Správa a ověřování identit

(1) Povinná osoba používá nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv regulované služby.
(2) Nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv zajišťuje
a) ověření identity před zahájením jejich aktivit,
b) řízení počtu možných neúspěšných pokusů o přihlášení,
c) odolnost uložených a přenášených autentizačních údajů vůči hrozbám a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu,
d) opětovné ověření identity po stanovené době nečinnosti,
e) dodržení důvěrnosti při vytváření výchozích autentizačních údajů a při obnově přístupu a
f) centralizovanou správu identit s ohledem na vazby mezi aktivy.
(3) Povinná osoba pro ověření identity administrátorů, uživatelů a technických aktiv využívá autentizační mechanizmus, který je založený na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.
(4) Povinná osoba do doby splnění požadavků pro ověření identity administrátorů, uživatelů nebo technických aktiv podle odstavce 3 vede evidenci technických aktiv, účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně odůvodnění.
(5) Povinná osoba do doby splnění požadavku pro ověření identity administrátorů, uživatelů nebo technických aktiv využívající autentizační mechanismus založený na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů podle odstavce 3, využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.
(6) Povinná osoba do doby splnění požadavku pro ověření identity administrátorů, uživatelů a technických aktiv využívající autentizační mechanismus založený na autentizaci pomocí kryptografických klíčů nebo certifikátů podle odstavce 5, využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla a tento nástroj musí vynucovat následující pravidla
a) délky hesla alespoň
1. 12 znaků pro účty uživatelů,
2. 17 znaků pro účty administrátorů,
3. 22 znaků pro účty technických aktiv,
b) umožňující zadat heslo o délce alespoň 64 znaků,
c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,
d) umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,
e) povinné změny hesla v intervalu maximálně po 18 měsících,
f) neumožňující uživatelům a administrátorům
1. zvolit si jednoduchá a často používaná hesla, 2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a
3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.
(7) Povinná osoba v souladu s odstavcem 6
a) vytváří náhodné výchozí heslo nebo identifikátor sloužící k vytvoření nebo pro obnovení přístupu a
b) zajistí bezodkladnou změnu výchozího hesla technického aktiva,
c) zajistí, aby uživatelé a administrátoři bezodkladně změnili svá výchozí hesla po prvním přihlášení,
d) zajistí, že v rámci ověření identity technického aktiva bude jeho nové heslo vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků a
e) bezodkladně vynutí změnu přístupového hesla v případě důvodného podezření na jeho kompromitaci.
(8) Povinná osoba bezodkladně zneplatní heslo nebo identifikátor sloužící k vytvoření nebo pro obnovení přístupu po jeho prvním použití nebo uplynutí nejvýše 24 hodin od jeho vytvoření.
(9) Povinná osoba u administrátorského účtu určeného zejména pro případ obnovy po kybernetickém bezpečnostním incidentu, musí vynucovat následující pravidla
a) bezodkladně vynutí změnu výchozí hesla,
b) heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,
c) délka hesla musí být alespoň 22 znaků,
d) heslo musí být bezpečně uloženo,
e) s účtem a jeho heslem mohou manipulovat pouze pověřené osoby a to v nezbytně nutných případech,
f) musí být vynucena změna hesla po jeho použití, při jakékoli změně odpovědných osob nebo v intervalu maximálně po 18 měsících a
g) eviduje manipulaci a pokusy o manipulaci s tímto účtem a jeho heslem.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 20 Řízení přístupových oprávnění

Povinná osoba používá centralizovaný nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění
a) pro přístup k jednotlivým aktivům informačního a komunikačního systému a
b) pro čtení dat, zápis dat a změnu oprávnění.

§ 21 Řízení přístupových oprávnění

Povinná osoba pro řízení přístupových oprávnění
a) využívá centralizovaný nástroj s ohledem na vazby mezi aktivy,
b) řídí oprávnění pro přístup k jednotlivým aktivům a
c) řídí oprávnění pro čtení dat, zápis dat a změnu oprávnění.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 21 Ochrana před škodlivým kódem

(1) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona v rámci ochrany před škodlivým kódem
a) s ohledem na důležitost aktiv zajišťuje použití nástroje pro nepřetržitou automatickou ochranu
1. koncových stanic,
2. mobilních zařízení,
3. serverů,
4. datových úložišť a výměnných datových nosičů,
5. komunikační sítě a prvků komunikační sítě a
6. obdobných zařízení,
b) monitoruje a řídí používání výměnných zařízení a datových nosičů,
c) řídí automatické spouštění obsahu výměnných zařízení a datových nosičů,
d) řídí oprávnění ke spouštění kódu a
e) provádí pravidelnou a účinnou
aktualizaci nástroje pro ochranu před škodlivým kódem.
(2) Povinná osoba uvedená v § 3 písm. e) zákona postupuje podle odstavce 1 přiměřeně.

Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 22 Zaznamenávání událostí informačního a komunikačního systémů, jeho uživatelů a administátorů

(1) Povinná osoba
a) zaznamenává bezpečnostní a potřebné provozní události důležitých aktiv informačního a komunikačního systému a
b) na základě hodnocení důležitosti aktiv aktualizuje rozsah aktiv, u kterých je zaznamenávání bezpečnostních a provozních událostí prováděno.
(2) Povinná osoba pro zaznamenávání bezpečnostních a provozních událostí podle odstavce 1 zajišťuje
a) jednoznačnou síťovou identifikaci zařízení původce, je-li v komunikační síti použit nástroj, který mění jeho síťovou identifikaci,
b) sběr informací o bezpečnostních a provozních událostech; zejména zaznamenává
1. datum a čas včetně specifikace časového pásma,
2. typ činnosti,
3. identifikaci technického aktiva, které činnost zaznamenalo,
4. jednoznačnou identifikaci účtu, pod kterým byla činnost provedena,
5. jednoznačnou síťovou identifikaci zařízení původce a
6. úspěšnost nebo neúspěšnost činnosti,
c) ochranu informací získaných podle písmen a) a b) před neoprávněným čtením a jakoukoli změnou,
d) zaznamenávání
1. přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,
2. činností provedených administrátory,
3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy,
4. neprovedení činností v důsledku nedostatku přístupových práv a oprávnění,
5. činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému,
6. zahájení a ukončení činností technických aktiv,
7. kritických i chybových hlášení technických aktiv a
8. přístupů k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změny nastavení nástrojů pro zaznamenávání událostí a
e) synchronizaci jednotného času technických aktiv nejméně jednou za 24 hodin.
(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 18 měsíců.
(4) Povinná osoba uvedená v § 3 písm. e) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 12 měsíců.

§ 23 Zaznamenávání událostí

(1) Povinná osoba na základě hodnocení aktiv a bezpečnostních potřeb určí technická aktiva, u kterých je zaznamenávání bezpečnostních a relevantních provozních událostí prováděno.
(2) Povinná osoba v souladu s odstavcem 1 zaznamenává bezpečnostní a relevantní provozní události
a) detekované podle § 22,
b) v rámci komunikační sítě,
c) na síťovém perimetru a
d) technických aktiv.
(3) Povinná osoba aktualizuje rozsah technických aktiv určených podle odstavce 1 v pravidelných intervalech a při významných změnách.
(4) Povinná osoba zajišťuje nepřetržitou synchronizaci jednotného času technických aktiv.
(5) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává zejména následující informace o události
a) datum a čas včetně specifikace časového pásma,
b) typ činnosti,
c) jednoznačnou identifikaci technického aktiva, které činnost zaznamenalo,
d) jednoznačnou identifikaci účtu, pod kterým byla činnost provedena,
e) jednoznačnou identifikaci zařízení původce a
f) úspěšnost nebo neúspěšnost činnosti.
(6) Povinná osoba zajistí jednoznačnou síťovou identifikaci podle odstavce 5 písm. c) až e) v případě, kdy v komunikační síti dochází ke změně této síťové identifikace.
(7) Povinná osoba v rámci zajištění důvěrnosti a integrity informací získaných podle odstavce 2 zajistí jejich ochranu před neoprávněným čtením a jakoukoliv změnou.
(8) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2, zejména zaznamenává
a) přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,
b) provedení a neúspěšný pokus o provedení privilegované činnosti,
c) manipulace a neúspěšný pokus o manipulaci s účty, oprávněními a právy,
d) neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění,
e) zahájení a ukončení činností technických aktiv,
f) kritických a chybových hlášení technických aktiv,
g) přístup a neúspěšný pokus o přístup k záznamům událostí,
h) manipulaci a neúspěšný pokus o manipulaci se záznamy událostí,
i) změnu a neúspěšný pokus o změnu nastavení nástrojů pro zaznamenávání událostí a
j) další činností uživatelů, které mohou mít vliv na bezpečnost regulované služby.
(9) Povinná osoba používá centrální nástroj s ohledem na vazby mezi aktivy pro sběr a uchovávání záznamů událostí zaznamenaných podle odstavce 2.
(10) Povinná osoba uchovává záznamy událostí zaznamenané podle odstavce 2 nejméně po dobu 18 měsíců.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 23 Detekce kybernetických bezpečnostních událostí

(1) Povinná osoba v rámci komunikační sítě, jejíž součástí je informační a komunikační systém, používá nástroj pro detekci kybernetických bezpečnostních událostí, který zajistí
a) ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,
b) ověření a kontrolu přenášených dat na perimetru komunikační sítě a
c) blokování nežádoucí komunikace.
(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona zajistí detekci kybernetických bezpečnostních událostí přiměřeně s ohledem na důležitost aktiv v rámci
a) koncových stanic,
b) mobilních zařízení,
c) serverů,
d) datových úložišť a výměnných datových nosičů,
e) síťových aktivních prvků a
f) obdobných aktiv.

§ 22 Detekce kybernetických bezpečnostních událostí

(1) Povinná osoba používá nástroj pro detekci kybernetických bezpečnostních událostí, který v rámci komunikační sítě zajišťuje
a) ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,
b) ověření a kontrolu přenášených dat na síťovém perimetru komunikační sítě a
c) blokování nežádoucí komunikace.
(2) Povinná osoba používá centrálně spravovaný nástroj s ohledem na vazby mezi aktivy pro detekci kybernetických bezpečnostních událostí, který u jednotlivých relevantních technických aktiv zajišťuje
a) nepřetržitou a automatickou ochranu před škodlivým kódem,
b) řízení a sledování používání vyměnitelných zařízení a datových nosičů,
c) řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů,
d) řízení oprávnění ke spouštění kódu,
e) řízení a sledování komunikace aplikací, jejich služeb a procesů,
f) detekci kybernetických bezpečnostních událostí nad technickými aktivy a
g) detekci na základě chování technického aktiva, administrátorů a uživatelů.
(3) Povinná osoba provádí pravidelnou a bezodkladnou aktualizaci nástroje používaného podle odstavce 1 a 2, a to včetně jeho nastavení a detekčních pravidel.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 24 Sběr a vyhodnocování kybernetických bezpečnostních událostí

Povinná osoba uvedená v § 3 písm. c), d) a f) zákona používá nástroj pro sběr a nepřetržité vyhodnocení kybernetických bezpečnostních událostí, který umožní
a) sběr a vyhodnocování událostí zaznamenaných podle § 22 a 23,
b) vyhledávání a seskupování souvisejících záznamů,
c) poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech,
d) vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí,
e) omezení případů nesprávného vyhodnocení událostí pravidelnou aktualizací nastavení pravidel pro
1. vyhodnocování kybernetických bezpečnostních událostí a
2. včasné varování a
f) využívání informací získaných nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení bezpečnostních opatření informačního a komunikačního systému.

§ 24 Vyhodnocování kybernetických bezpečnostních událostí

(1) Povinná osoba používá nástroj pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí detekovaných podle § 22 pro
a) sběr, vyhledávání a seskupování souvisejících záznamů za účelem detekce kybernetických bezpečnostních událostí,
b) nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech, včasné varování určených bezpečnostních rolí a
c) vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů.
(2) Povinná osoba v rámci používání nástroje v souladu s odstavcem 1 zajistí
a) omezení případů nesprávného či nežádoucího vyhodnocování kybernetických bezpečnostních událostí,
b) pravidelnou aktualizaci nastavení nástroje včetně jeho pravidel pro detekci a vyhodnocování kybernetických bezpečnostních událostí a
c) pravidelnou aktualizaci pravidel pro nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech včetně včasného varování určených bezpečnostních rolí.
(3) Povinná osoba využívá informací získaných nástrojem pro vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení systému řízení bezpečnosti informací regulované služby a zavádění bezpečnostních opatření.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 25 Aplikační bezpečnost

(1) Povinná osoba provádí penetrační testy informačního a komunikačního systému se zaměřením na důležitá aktiva, a to
a) před jejich uvedením do provozu a
b) v souvislosti s významnou změnou podle § 11 odst. 3.
(2) Povinná osoba dále v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací a transakcí před
a) neoprávněnou činností a
b) popřením provedených činností.

§ 25 Aplikační bezpečnost

(1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou výrobcem, dodavatelem nebo jinou osobou podporována a zajistí bezodkladné aplikování bezpečnostních aktualizací vydaných pro tato aktiva.
(2) Povinná osoba do doby plnění odstavce 1 eviduje technická aktiva, která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv.
(3) Povinná osoba dále v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před
a) neoprávněnou činností a
b) popřením provedených činností.
(4) Povinná osoba provádí pravidelné skenování zranitelnosti technických aktiv regulované služby
a) z interní a externí komunikační sítě a
b) alespoň jednou ročně.
(5) Povinná osoba zohlední výsledky skenů zranitelnosti v rámci řízení rizik podle § 9 a zavádí bezpečnostní opatření na základě zjištěných výsledků.
(6) Povinná osoba provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik
a) z interní a externí komunikační sítě,
b) před jejich uvedením do provozu a
c) v souvislosti s významnou změnou podle § 12 odst. 3.
(7) Povinná osoba zohlední výsledky penetračního testování v rámci řízení rizik podle § 9 a zavádí bezpečnostní opatření na základě zjištěných výsledků.
(8) Povinná osoba provede opětovné otestování (retest) nálezu zjištěného na základě provedeného skenování zranitelnosti nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.
(9) Povinná osoba v souladu s odstavcem 6 písm. a) provádí pravidelně penetrační testování a to alespoň jednou za dva roky.
(10) Povinná osoba v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 9, může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 6 nejpozději do 5 let.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 26 Kryptografické prostředky

Povinná osoba pro ochranu aktiv informačního a komunikačního systému
a) používá aktuálně odolné kryptografické algoritmy a kryptografické klíče,
b) používá systém správy klíčů a certifikátů, který
1. zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a likvidaci klíčů a
2. umožní kontrolu a audit,
c) prosazuje bezpečné nakládání s kryptografickými prostředky a
d) zohledňuje doporučení v oblasti kryptografických prostředků vydaná Úřadem, zveřejněná na jeho internetových stránkách.

§ 26 Kryptografické algoritmy

(1) Povinná osoba pro zajištění ochrany technických aktiv a jejich komunikace
a) používá aktuálně odolné kryptografické algoritmy,
b) prosazuje bezpečné nakládání s kryptografickými algoritmy a
c) zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů vydané Úřadem, zveřejněné na jeho internetových stránkách.
(2) Povinná osoba v souladu s odstavcem 1 zajišťuje bezpečnou
a) hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace a
b) nouzovou komunikaci v rámci organizace.
(3) Povinná osoba v případě využívání kryptografických klíčů a certifikátů pro ochranu technických aktiv a komunikační sítě používá
a) pouze aktuálně odolné kryptografických klíče a certifikáty a
b) systém správy klíčů a certifikátů, který
1. zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a řádnou likvidaci kryptografických klíčů,
2. umožní kontrolu audit a
3. zajistí důvěrnost a integritu kryptografických klíčů.
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 27 Zajišťování úrovně dostupnosti informací

Povinná osoba zavede opatření pro zajišťování úrovně dostupnosti, kterými zajistí
a) dostupnost informačního a komunikačního systému pro splnění cílů podle § 15,
b) odolnost informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům, které by mohly snížit jeho dostupnost,
c) dostupnost důležitých technických aktiv informačního a komunikačního systému a
d) redundanci aktiv nezbytných pro zajištění dostupnosti informačního a komunikačního systému.

§ 27 Zajišťování dostupnosti regulované služby

(1) Povinná osoba zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby, kterými zajistí
a) dostupnost regulované služby podle cílů stanovených dle § 16,
b) odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost a
c) redundanci aktiv nezbytných pro zajištění dostupnosti regulované služby.
(2) Povinná osoba pro zajištění dostupnosti regulované služby v souladu s odstavcem 1 vytváří pravidelné zálohy nastavení technických aktiv, informací a dat nezbytných zejména pro účely obnovy regulované služby pro případ kybernetického bezpečnostního incidentu.
(3) Povinná osoba u záloh vytvářených podle odstavce 2 zajistí
a) pravidelné testování jejich integrity, dostupnosti a obnovitelnosti,
b) dokumentování výsledků testů provedených podle odstavce 3 písm. a),
c) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich integrity a důvěrnosti, a to zejména šifrováním těchto záloh v souladu s § 26 a
d) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich dostupnosti.
(4) Povinná osoba za účelem omezení šíření kybernetického bezpečnostního incidentu a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí podle § 19 písm. a).
Registrovat
§ - Vyhláška č. 82/2018 Sb. § Vyhláška o regulovaných službách - NIS2 bez účinnosti

§ 28 Průmyslové, řídicí a obdobné specifické systémy

Povinná osoba pro zajištění kybernetické bezpečnosti průmyslových, řídicích a obdobných specifických systémů používá nástroje a opatření, které zajistí
a) použití technických a programových prostředků, které jsou určeny do specifického prostředí,
b) omezení fyzického přístupu k zařízením těchto systémů a ke komunikační síti,
c) vyčlenění komunikační sítě určené pro tyto systémy od ostatní infrastruktury,
d) omezení a řízení vzdáleného přístupu k těmto systémům,
e) ochranu jednotlivých technických aktiv těchto systémů před využitím známých zranitelností a
f) obnovení chodu těchto systémů po kybernetickém bezpečnostním incidentu.

§ 28 Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv

Povinná osoba pro zajištění kybernetické bezpečnosti průmyslových, řídicích a obdobných specifických technických aktiv dále využívá nástroje a zavádí bezpečnostní opatření, která zajistí
a) omezení fyzického přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,
b) omezení oprávnění k přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,
c) segmentaci komunikačních sítí průmyslových, řídicích a obdobných specifických technických aktiv od jiných prostředí a segmentaci těchto komunikačních sítí podle § 19,
d) omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích a obdobných specifických technických aktiv,
e) ochranu jednotlivých průmyslových, řídicích a obdobných specifických technických aktiv před využitím hrozeb a známých zranitelností a
f) obnovu dostupnosti průmyslových, řídicích a obdobných specifických technických aktiv.
Registrovat
Scenario s.r.o.