Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy

o bezpečnostních úrovních informačních systémů veřejné správy

411/2025 Sb. Ucinnost od: 2025-11-01 ELI: odkaz 5 paragrafu
§ 1 § 1 Vyhláška č. 411/2025 Sb. 💬

Předmět úpravy Tato vyhláška stanoví bezpečnostní úrovně informačních systémů veřejné správy podle § 6l odst. 3 zákona a blíže upravuje postup zařazení do bezpečnostní úrovně.

§ 2 § 2 Vyhláška č. 411/2025 Sb. 💬

Vymezení pojmů Pro účely této vyhlášky se rozumí a) oblastí dopadu oblast vymezená přílohou k této vyhlášce, v rámci které může mít dopad kybernetického bezpečnostního incidentu na informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, vliv na bezpečnost nebo zdraví lidí, ochranu osobních údajů, trestní řízení, veřejný pořádek, mezinárodní vztahy, důvěryhodnost orgánu veřejné správy, finanční ztráty nebo zajišťování služeb, a b) úrovní dopadu nízká, střední, vysoká nebo kritická hodnota, která vyplývá ze závažnosti dopadu kybernetického bezpečnostního incidentu na informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, v každé oblasti dopadu.

§ 3 § 3 Vyhláška č. 411/2025 Sb. 💬

Bezpečnostní úroveň Bezpečnostní úroveň je a) nízká, b) střední, c) vysoká, nebo d) kritická.

§ 4 § 4 Vyhláška č. 411/2025 Sb. 💬

Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně

(1)
Zařazení informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, do bezpečnostní úrovně provede orgán veřejné správy podle přílohy k této vyhlášce. Orgán veřejné správy zhodnotí naplnění úrovně dopadu, které je informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, schopen dosáhnout v rámci každé oblasti dopadu. Úroveň dopadu je v rámci každé oblasti dopadu dána nejzávažnějším možným dopadem kybernetického bezpečnostního incidentu.
(2)
Při zjišťování nejzávažnějšího možného dopadu kybernetického bezpečnostního incidentu orgán veřejné správy zohlední možné narušení důvěrnosti, integrity a dostupnosti informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, a povahu tohoto systému jako celku. V případě, že má být cloud computingem zajištěn provoz pouze určité části informačního systému veřejné správy, zohlední se při hodnocení úrovně dopadu a zařazování této části do bezpečnostní úrovně také vztah této části k bezpečnostní úrovni informačního systému veřejné správy jako celku.
(3)
Výsledná bezpečnostní úroveň informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, je shodná s nejvyšší úrovní dopadu dosaženou při hodnocení jednotlivých oblastí dopadu.
(4)
Nejvyšší stanovená bezpečnostní úroveň informačního systému veřejné správy jako celku musí být stanovena alespoň pro jednu část informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing.
(5)
O procesu stanovení bezpečnostní úrovně informačního systému veřejné správy, k zajištění jehož provozu má být využíván cloud computing, podle předchozích odstavců se provede písemný záznam.
§ 5 § 5 Vyhláška č. 411/2025 Sb. 💬

Účinnost Tato vyhláška nabývá účinnosti dnem 1. listopadu 2025.