Decree No. 315 / 2021 Coll.

Decree on security levels for the use of cloud computing by public authorities

Valid Order Effective from 01.09.2021
Text versions: 01.09.2021 31.08.2021
Contents
§ 1 § 2 § 3 § 4 § 5
315
DECLARATION
of 24 August 2021
on security levels for the use of cloud computing by public authorities
According to Article 28 (2) (a) of Act No. 181 / 2014 Coll., on Cyber Security and on the amendment of related laws (Cyber Security Act), as amended by Act No. 205 / 2017 Coll., ("the Act '), the National Office for Cyber and Information Security provides for:
§ 1
Subject matter
This decree sets out security levels for the use of cloud computing by public authorities pursuant to § 6 (e) of the Act.
§ 2
Definition of terms
For the purposes of this decree:
(a) the requested cloud computing information or communication system as a whole or part thereof which may be operated by cloud computing and which the public authority is obliged to include in the security level;
(b) a part of the information or communication system such a part of the system which is clearly separable, ensures targeted and systematic information activity (1), can be operated by cloud computing and is defined in terms of functional categories, architecture, operational model and safety;
(c) the areas of impact defined by the area in which the cyber security incident may have an impact on the requested cloud computing, the protection of personal data, criminal law, public policy, international relations, management and operation, credibility, financial model or service provision;
(d) an impact level of low, medium, high or critical value corresponding to the impact of a cyber security incident on the cloud computing demanded in each impact area.
§ 3
Safety levels
The security level for the use of cloud computing by public authorities expresses the possible effects of a cyber security incident on the requested cloud computing. Safety levels are low, medium, high or critical.
§ 4
Classification of the requested cloud computing into the security level
(1) The inclusion of the requested cloud computing in the security level shall be carried out by the public authority in accordance with the Annex to this Decree. The public authority shall assess the fulfilment of the level of impact that the cloud computing demand is capable of achieving within each impact area. The level of impact within each impact area is due to the worst possible impact of the cyber security incident.
(2) When determining the worst possible impact of a cyber security incident, the public authority shall take into account the potential breach of confidentiality, integrity and availability of the cloud computing requested and the nature of the information or communication system which is the cloud computing requested as a whole. Where only a part of the information or communication system is the requested cloud computing, it shall also take into account the relationship of that part to the security level of the information or communication system as a whole.
(3) The safety level for the use of the requested cloud computing by a public authority is the same as the highest level of impact achieved by the requested cloud computing in the assessment of individual areas of impact.
(4) The information or communication system, which is an important information system under the law, corresponds to a high security level where the cloud computing demand is that information or communication system as a whole and where the public authority is not included in the critical security level in accordance with the procedure referred to in the preceding paragraphs.
(5) An information or communication system which is a critical information infrastructure under the law corresponds to a critical security level when the cloud computing demand is that information or communication system as a whole.
(6) The maximum security level of the information or communication system as a whole shall be set for at least one part of the information or communication system that is the cloud computing demand.
(7) A written record of the process of determining the security level of the cloud computing requested under the preceding paragraphs shall be made by the public authority. The model of the written record shall be published on its website by the National Cyber and Information Security Authority.
§ 5
Efficacy
This Decree shall take effect on the day following that of its publication.
Director:
Ing. Greece

Annex to Decree No. 315 / 2021 Coll.
Levels and areas of impact for the inclusion of the requested cloud computing into the safety level
Úroveň dopaduOblast dopadu
A.
Bezpečnost a zdraví lidí		B.
Ochrana osobních údajů		C.
Trestněprávní řízení		D.
Veřejný pořádek		E.
Mezinárodní vztahy		F.
Řízení a provoz		G.
Důvěryhodnost		H.
Finanční model		I.
Zajišťování služeb
1.
Nízká		Nemůže vést ke zranění jednotlivce ani skupiny lidí.Nemůže ovlivnit poptávaný cloud computing, nebo může negativně ovlivnit poptávaný cloud computing, který naplňuje nejvýše dvě kritéria z první skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů.Nemůže vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny ani nemůže ztížit jejich vyšetřování.Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek.Nemůže negativně ovlivnit obraz České republiky v zahraničí.Nemůže narušit řádné fungování nebo řízení ani části orgánu veřejné moci, nebo může narušit řádné fungování části nebo celého orgánu veřejné moci, avšak nemůže závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci.Nemůže negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální.Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné moci.Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob.
2.
Střední		Může vést ke zranění jednotlivce nebo skupiny nejvíce 100 lidí.Může negativně ovlivnit poptávaný cloud computing, který naplňuje tři a více kritérií z první skupiny kritérií nebo jedno kritérium z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů.Může vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny nebo může ztížit jejich vyšetřování.Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady.Může negativně ovlivnit obraz České republiky v sousedních státech.Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci.Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální.Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se úroveň dopadu nízká.Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob.
3.
Vysoká		Může vést ke zranění skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí.Může negativně ovlivnit poptávaný cloud computing, který naplňuje dvě a více kritérií z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů.Může vést k narušení vyšetřování trestné činnosti nebo soudního řízení v rámci orgánů činných v trestním řízení.Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady.Může negativně ovlivnit obraz České republiky ve světě.Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů orgánu veřejné moci.Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobě mezinárodní.Může vést k finančním ztrátám ve výši přesahující 5 % a maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se úroveň dopadu střední.Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob.
4.
Kritická		Může vést ke zranění skupiny více než 2 500 lidí nebo přímému ohrožení nebo ztrátě života skupiny více než 250 lidí.Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky.Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo zpochybnění soudního řízení v rámci orgánů činných v trestním řízení.Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který poptávaný cloud computing zařazuje do bezpečnostní úrovně, a může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s celostátními dopady.Může negativně ovlivnit nebo poškodit diplomatické vztahy České republiky.Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který poptávaný cloud computing zařazuje do bezpečnostní úrovně, a může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů orgánu veřejné moci.Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který poptávaný cloud computing zařazuje do bezpečnostní úrovně, a může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností a negativní následky mohou být dlouhodobě mezinárodní.Může vést k finančním ztrátám přesahujícím 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se úroveň dopadu vysoká.Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který poptávaný cloud computing zařazuje do bezpečnostní úrovně, a může dojít k rozsáhlému omezení poskytování nezbytných služeb nebo jinému závažnému zásahu do každodenního života postihujícího více než 125 000 osob.
Groups of impact criteria B. Protection of personal data
(1) The first set of criteria consists of the following criteria:
(a) personal data shall be processed to enable the data subject to perform or act without further delay on behalf of the data subject, in contexts involving damage to honour, reputation or character or allowing the data subject to withdraw services, goods or, where appropriate, to collect money or other assets on behalf of the data subject;
(b) personal data shall be processed according to which the data subject is classifiable as a member of a group with a time-limited or situation-specific vulnerability;
(c) the processing of personal data is carried out which is affected or can reasonably be expected to affect between 5 000 and 10 000 data subjects;
(d) personal data are publicly available to an unlimited number of authorities or persons; and
(e) the processing of personal data by a system linked to other processing carried out by the same data controller or by other personal data controllers.
(2) The second group of criteria consists of the following criteria:
(a) the processing of specific categories of personal data or data of a highly personal nature, in particular financial data on the status of the property, the amount of funds, debt or loans or payment morality, records of the history of the private calls of data subjects, data from electronic mail of data subjects and the like;
(b) the processing of personal data is carried out which is affected or is reasonably expected to affect more than 10 000 data subjects; and
(c) automated decision-making takes place which affects the data subject.
1) § 2 (a) of Act No. 365 / 2000 Coll., on Information Systems of Public Administration and on the amendment of certain other laws, as amended.

Sign in for notes, favorites and notifications

Register Free Sign In
Rating:

Comments 0

To write comments, please sign in.

Regulation Information

CitationDecree No 315 / 2021 Coll., on security levels for the use of cloud computing by public authorities
Regulation TypeOrder
Author-
CollectionCode of Laws
Date of Promulgation31.08.2021
Effective from01.09.2021
Effective until-
Status Valid

Public Contracts 5

Smlouva o dílo - Provedení studie variantního řešení obnovy datových center Ministerstva kultury
Česká republika - Ministerstvo kultury Ing. Roman Kalný, CSc.
199 650 CZK
05.08.2025
Migrace do Microsoft 365
Národní knihovna České republiky KSP Computer & Services, s.r.o.
1 125 300 CZK
13.06.2025
Elektronické potvrzení o studiu pro vysokoškolské studenty – eSIMS
Ministerstvo školství, mládeže a tělovýchovy Gappex s.r.o.
1 593 570 CZK
07.04.2025
Smlouva o poskytování služeb cloud computingu
Město Horní Slavkov Aricoma Systems a.s.
688 139 CZK
19.02.2024
Smlouva o zajištění provozu programového rpduktu GINIS Expres SQL
Základní škola a Mateřská škola Tábor, Čekanice, P... GORDIC spol. s r.o.
14.09.2023
Notifications Notifications
Source: Hlídač státu (CC BY 3.0 CZ)
The regulation text is for informational purposes only.

Partner Websites

Založení s.r.o. Virtual offices and company formation
MojeDatovka.cz Data box database and search
ČeskéFirmy.online Czech company directory and reviews
Favorites
Browsing History
This website uses cookies to ensure proper functionality, analyze traffic and display advertising. More information
Cookie Settings

Choose which cookie categories you want to allow.