Dekret Nr. 315 / 2021 Coll.
Verordnung über die Sicherheitsniveaus für die Verwendung von Cloud Computing durch Behörden
Gültig
Ordnung
In Kraft seit 01.09.2021
Textfassungen:
01.09.2021
31.08.2021
315
Ordnung
vom 24. August 2021
auf Sicherheitsebenen für die Verwendung von Cloud Computing durch Behörden
Gemäß Artikel 28 Absatz 2 Buchstabe a des Gesetzes Nr. 181 / 2014 Slg., über Cyber Security und über die Änderung der verwandten Gesetze (Cyber Security Act), geändert durch Gesetz Nr. 205 / 2017 Slg., ("das Gesetz"), sieht das National Office for Cyber and Information Security vor:
Gegenstand
Diese Verordnung legt Sicherheitsniveaus für die Verwendung von Cloud Computing durch öffentliche Behörden gemäß § 6 Buchstabe e des Gesetzes fest.
Definition der Begriffe
Im Sinne dieses Erlasses:
a) das angeforderte Cloud-Computing-Informations- oder Kommunikationssystem als Ganzes oder Teil davon, das von Cloud-Computing betrieben werden kann und das die öffentliche Behörde in die Sicherheitsebene einbeziehen muss;
b) částí informačního nebo komunikačního systému taková část tohoto systému, která je jednoznačně oddělitelná, zabezpečuje cílevědomou a systematickou informační činnost1), může být provozována pomocí cloud computingu a je definována z hlediska funkčních kategorií, architektury, provozního modelu a bezpečnosti,
c) die Wirkungsbereiche, die durch den Bereich definiert werden, in dem der Cyber-Sicherheitsvorfall Auswirkungen auf das angeforderte Cloud-Computing haben kann, den Schutz personenbezogener Daten, das Strafrecht, die öffentliche Ordnung, die internationalen Beziehungen, die Verwaltung und den Betrieb, die Glaubwürdigkeit, das Finanzmodell oder die Dienstleistung;
d) ein Aufprallpegel von niedrigem, mittlerem, hohem oder kritischem Wert, der den Auswirkungen eines Cyber-Sicherheitsvorfalls auf das in jedem Aufprallfeld geforderte Cloud Computing entspricht.
Sicherheitsniveau
Das Sicherheitsniveau für die Verwendung von Cloud Computing durch Behörden drückt die möglichen Auswirkungen eines Cyber-Sicherheitsvorfalls auf das angeforderte Cloud Computing aus. Sicherheitsniveaus sind niedrig, mittel, hoch oder kritisch.
Klassifizierung des angeforderten Cloud-Computings in das Sicherheitsniveau
(1) Die Aufnahme des angeforderten Cloud-Computings in die Sicherheitsstufe erfolgt von der öffentlichen Behörde gemäß dem Anhang dieses Erlasses. Die öffentliche Behörde bewertet die Erfüllung der Auswirkungen, die die Cloud-Computing-Anforderung in jedem Wirkungsbereich erreichen kann. Der Einfluss innerhalb jedes Aufprallgebiets ist auf die schlimmsten Auswirkungen des Cyber-Sicherheitsvorfalls zurückzuführen.
(2) Bei der Ermittlung der größtmöglichen Auswirkungen eines Cyber-Sicherheitsvorfalls berücksichtigt die öffentliche Behörde den potenziellen Verstoß gegen Vertraulichkeit, Integrität und Verfügbarkeit des angeforderten Cloud-Computings und die Art des als Ganzes angeforderten Informations- oder Kommunikationssystems. Ist nur ein Teil des Informations- oder Kommunikationssystems der angeforderte Cloud-Computing, so berücksichtigt er auch die Beziehung dieses Teils zum Sicherheitsniveau des gesamten Informations- oder Kommunikationssystems.
(3) Das Sicherheitsniveau für die Verwendung des angeforderten Cloud Computing durch eine öffentliche Behörde ist das gleiche wie das höchste Maß an Auswirkungen, das durch das angeforderte Cloud Computing bei der Bewertung einzelner Wirkungsbereiche erzielt wurde.
(4) Das Informations- oder Kommunikationssystem, das ein wichtiges Informationssystem nach dem Gesetz ist, entspricht einem hohen Sicherheitsniveau, wenn die Cloud-Computing-Anforderung ist, dass das Informations- oder Kommunikationssystem insgesamt und wenn die öffentliche Behörde nicht in der kritischen Sicherheitsstufe nach dem in den vorstehenden Absätzen genannten Verfahren einbezogen wird.
(5) Ein Informations- oder Kommunikationssystem, das eine kritische Informationsinfrastruktur nach dem Gesetz ist, entspricht einem kritischen Sicherheitsniveau, wenn die Cloud-Computing-Anforderung das gesamte Informations- oder Kommunikationssystem ist.
(6) Die maximale Sicherheitsstufe des Informations- oder Kommunikationssystems als Ganzes ist für mindestens einen Teil des Informations- oder Kommunikationssystems, das die Cloud Computing-Anforderung ist, festzulegen.
(7) Eine schriftliche Aufzeichnung des Verfahrens zur Bestimmung des Sicherheitsniveaus des nach den vorstehenden Absätzen geforderten Cloud-Computings wird von der öffentlichen Behörde erstellt. Das Muster des schriftlichen Datensatzes wird auf seiner Website von der National Cyber and Information Security Authority veröffentlicht.
Effizienz
Diese Verordnung tritt am Tag nach ihrer Veröffentlichung in Kraft.
Direktor:
Ing. Griechenland
Anhang der Verordnung Nr. 315 / 2021 Coll.
Ebenen und Wirkungsbereiche für die Einbeziehung des angeforderten Cloud Computing in die Sicherheitsstufe
| Úroveň dopadu | Oblast dopadu | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| A. Bezpečnost a zdraví lidí | B. Ochrana osobních údajů | C. Trestněprávní řízení | D. Veřejný pořádek | E. Mezinárodní vztahy | F. Řízení a provoz | G. Důvěryhodnost | H. Finanční model | I. Zajišťování služeb | |
| 1. Nízká | Nemůže vést ke zranění jednotlivce ani skupiny lidí. | Nemůže ovlivnit | Nemůže vytvořit podmínky pro páchání | Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek. | Nemůže negativně ovlivnit obraz České republiky v zahraničí. | Nemůže narušit řádné fungování nebo řízení ani části orgánu veřejné moci, nebo může narušit řádné fungování části nebo celého orgánu veřejné moci, avšak nemůže závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Nemůže negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální. | Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné moci. | Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob. |
| 2. Střední | Může vést ke zranění jednotlivce nebo skupiny nejvíce 100 lidí. | Může negativně ovlivnit | Může vytvořit podmínky pro páchání | Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady. | Může negativně ovlivnit obraz České republiky v sousedních státech. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální. | Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob. |
| 3. Vysoká | Může vést ke zranění skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí. | Může negativně ovlivnit | Může vést k narušení vyšetřování trestné činnosti nebo soudního řízení v rámci | Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady. | Může negativně ovlivnit obraz České republiky ve světě. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobě mezinárodní. | Může vést k finančním ztrátám ve výši přesahující 5 % a maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob. |
| 4. Kritická | Může vést ke zranění skupiny více než 2 500 lidí nebo přímému ohrožení nebo ztrátě života skupiny více než 250 lidí. | Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky. | Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo zpochybnění soudního řízení v rámci | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může negativně ovlivnit nebo poškodit diplomatické vztahy České republiky. | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může vést k finančním ztrátám přesahujícím 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který |
Gruppen der Wirkungskriterien B. Schutz personenbezogener Daten
(1) Der erste Satz von Kriterien besteht aus folgenden Kriterien:
a) personenbezogene Daten werden verarbeitet, um es der betroffenen Person zu ermöglichen, im Namen der betroffenen Person unverzüglich, im Zusammenhang mit Schäden an Ehre, Ruf oder Charakter, oder dem Widerruf von Dienstleistungen, Waren oder gegebenenfalls der Erhebung von Geld oder sonstigen Vermögenswerten im Namen der betroffenen Person zu leisten oder zu handeln;
b) personenbezogene Daten werden verarbeitet, nach denen die betroffene Person als Mitglied einer Gruppe mit einer zeit- oder situationsspezifischen Sicherheitsanfälligkeit klassifiziert wird;
c) die Verarbeitung personenbezogener Daten, die von 5 000 bis 10 000 betroffenen Personen betroffen ist oder vernünftigerweise erwartet werden kann;
d) personenbezogene Daten sind einer unbegrenzten Anzahl von Behörden oder Personen öffentlich zugänglich; und
e) die Verarbeitung personenbezogener Daten durch ein System, das mit einer anderen Verarbeitung verbunden ist, die von demselben Verantwortlichen oder von anderen Verantwortlichen der personenbezogenen Daten durchgeführt wird.
(2) Die zweite Gruppe von Kriterien besteht aus folgenden Kriterien:
a) die Verarbeitung spezifischer Kategorien personenbezogener Daten oder Daten sehr persönlicher Art, insbesondere finanzieller Daten über den Status der Immobilie, die Höhe der Mittel, Schulden oder Kredite oder Zahlungsmoral, Aufzeichnungen über die Geschichte der privaten Anrufe von betroffenen Personen, Daten aus der elektronischen Post der betroffenen Personen und dergleichen;
b) die Verarbeitung personenbezogener Daten, die betroffen ist oder voraussichtlich mehr als 10 000 betroffene Personen betreffen; und
c) eine automatisierte Entscheidungsfindung erfolgt, die die betroffene Person betrifft.
1) § 2 (a) Gesetz Nr. 365 / 2000 Slg., über Informationssysteme der öffentlichen Verwaltung und über die Änderung bestimmter anderer Gesetze, geändert.
Melden Sie sich an für Notizen, Favoriten und Benachrichtigungen
Informationen zur Vorschrift
| Zitierung | Dekret Nr. 315 / 2021 Coll., auf Sicherheitsebenen für die Verwendung von Cloud Computing durch Behörden |
|---|---|
| Art der Vorschrift | Ordnung |
| Autor | - |
| Sammlung | Gesetzessammlung |
| Verkündungsdatum | 31.08.2021 |
|---|---|
| In Kraft seit | 01.09.2021 |
| In Kraft bis | - |
| Status | Gültig |
Öffentliche Verträge 5
Smlouva o dílo - Provedení studie variantního řešení obnovy datových center Ministerstva kultury
Česká republika - Ministerstvo kultury
Ing. Roman Kalný, CSc.
199 650 CZK
05.08.2025
Migrace do Microsoft 365
Národní knihovna České republiky
KSP Computer & Services, s.r.o.
1 125 300 CZK
13.06.2025
Elektronické potvrzení o studiu pro vysokoškolské studenty – eSIMS
Ministerstvo školství, mládeže a tělovýchovy
Gappex s.r.o.
1 593 570 CZK
07.04.2025
Smlouva o poskytování služeb cloud computingu
Město Horní Slavkov
Aricoma Systems a.s.
688 139 CZK
19.02.2024
Smlouva o zajištění provozu programového rpduktu GINIS Expres SQL
Základní škola a Mateřská škola Tábor, Čekanice, P...
GORDIC spol. s r.o.
14.09.2023
Benachrichtigungen
Benachrichtigungen
Quelle:
Hlídač státu
(CC BY 3.0 CZ)
Der Wortlaut der Vorschrift hat informativen Charakter.
Kommentare 0