Decree No. 411 / 2025 Coll.
Decree on security levels of public administration information systems
Valid
Order
Effective from 01.11.2025
Text versions:
01.11.2025
14.10.2025
411
DECLARATION
of 26 September 2025
on security levels of public administration information systems
The National Office for Cyber and Information Security provides, pursuant to § 12 (2) (g) of Act No. 365 / 2000 Coll., on Information Systems of Public Administration and on the amendment of certain other laws, as amended by Act No. 265 / 2025 Coll., hereinafter referred to as "the Act":
Subject matter
This Decree sets out the security levels of public administration information systems pursuant to Section 6l (3) of the Act and specifies the procedure for inclusion in the security level.
Definition of terms
For the purposes of this decree:
(a) the area of impact, as defined in the Annex to this Regulation, within which a cyber security incident may have an impact on the public administration's information system to ensure the operation of which cloud computing is to be used, the impact on human safety or health, the protection of personal data, criminal proceedings, public policy, international relations, the credibility of the public administration, financial loss or service provision; and
(b) the level of impact of low, medium, high or critical value resulting from the severity of the impact of the cyber security incident on the public administration information system to ensure the operation of which cloud computing is to be used in each area of impact.
Safety level
The safety level is
(a) low;
(b) medium,
(c) high; or
(d) critical.
Classification of the public administration information system to ensure the operation of which cloud computing is to be used into the security level
(1) The inclusion of a public administration information system to ensure the operation of which a cloud computing is to be used shall be carried out by the public authority as specified in the Annex to this Decree. The public authority shall assess the fulfilment of the level of impact that the public administration information system, which is to be used for cloud computing, is capable of achieving within each area of impact. The level of impact within each impact area is due to the most serious possible impact of the cyber security incident.
(2) When identifying the most serious possible impact of a cyber security incident, the public authority shall take into account the potential breach of the confidentiality, integrity and availability of the public administration information system to ensure that cloud computing is used and the nature of the system as a whole. In the event that cloud computing is to ensure that only a part of the public administration information system is operated, the relationship of that part to the security level of the public administration information system as a whole shall also be taken into account when assessing the level of impact and including that part in the security level.
(3) The resulting security level of the public administration information system to ensure the operation of which cloud computing is to be used is the same as the highest level of impact achieved in the assessment of individual impact areas.
(4) The highest level of security of the public administration information system as a whole must be established for at least one part of the public administration information system to ensure the operation of which cloud computing is to be used.
(5) A written record shall be made of the process of determining the security level of the public administration information system to ensure the operation of which cloud computing is to be used, as referred to in the preceding paragraphs.
Efficacy
This Decree shall take effect on 1 November 2025.
Director:
Ing. Kintr v. r.
Annex
Levels and areas of impact for the inclusion of the public administration information system to ensure the operation of which cloud computing is to be used in the security level
| Oblasti dopadu | ||||||||
|---|---|---|---|---|---|---|---|---|
| A. | B. | C. | D. | E. | F. | G. | H. | |
| Úroveň dopadu | Bezpečnost nebo zdraví lidí | Ochrana osobních údajů | Trestní řízení a páchání trestné činnosti | Veřejný pořádek | Mezinárodní vztahy | Důvěryhodnost orgánu veřejné správy | Finanční ztráty | Zajišťování služeb |
| 1. Nízká | Nemůže vést k poruše zdraví jednotlivce ani skupiny lidí. | Nemůže ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, nebo může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje nejvýše dvě kritéria z první skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Nemůže vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny ani nemůže ztížit jejich vyšetřování. | Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek. | Nemůže negativně ovlivnit obraz České republiky v zahraničí. | Nemůže negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální. | Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné správy. | Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob. |
| 2. Střední | Může vést k poruše zdraví jednotlivce nebo skupiny nejvíce 100 lidí. | Může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje tři a více kritérií z první skupiny kritérií nebo jedno kritérium z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Může vytvořit podmínky pro páchání trestných činů přisvojení pravomoci úřadu, zneužití pravomoci úřední osoby nebo padělání a pozměnění veřejné listiny nebo může ztížit jejich vyšetřování. | Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady. | Může negativně ovlivnit obraz České republiky v sousedních státech. | Může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální. | Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se úroveň dopadu nízká. | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob. |
| 3. Vysoká | Může vést k poruše zdraví skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí. | Může negativně ovlivnit informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, který naplňuje dvě a více kritérií z druhé skupiny kritérií pro oblast dopadu B. Ochrana osobních údajů. | Může vést k narušení vyšetřování trestné činnosti nebo k narušení soudního řízení trestního. | Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady. | Může negativně ovlivnit obraz České republiky ve světě. | Může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobé s mezinárodním prvkem. | Může vést k finančním ztrátám vyšším než 5 % a dosahujícím maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty České republiky ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se úroveň dopadu střední. | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob. |
| 4. Kritická | Může vést k poruše zdraví skupiny více než 2 500 lidí nebo k přímému ohrožení nebo ztrátě života skupiny více než 250 lidí. | Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky. | Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo ke zpochybnění zákonnosti soudního řízení trestního. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s celostátními dopady. | Může vést k přímému poškození nebo přerušení diplomatických vztahů České republiky se zahraničními partnery. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může negativně ovlivnit vztahy s jinými subjekty nebo vztahy s veřejností a negativní následky mohou být dlouhodobé a s mezinárodním prvkem. | Může vést k finančním ztrátám vyšším než 10 % běžných výdajů ročního rozpočtu orgánu veřejné správy a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty České republiky vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se úroveň dopadu vysoká. | Může být dotčena kritická infrastruktura provozovaná orgánem veřejné správy, který informační systém veřejné správy, k zajištění jehož provozu má být využíván cloud computing, zařazuje do bezpečnostní úrovně, a může dojít k rozsáhlému omezení poskytování nezbytných služeb nebo jinému závažnému zásahu do každodenního života postihujícího více než 125 000 lidí. |
Groups of impact criteria B. Protection of personal data
1) The first group of criteria shall consist of the following criteria:
(a) personal data shall be processed to enable the data subject to perform or act without further delay on behalf of the data subject, in contexts involving damage to honour, reputation or character or allowing the data subject to withdraw services, goods or, where appropriate, to collect money or other assets on behalf of the data subject;
(b) personal data shall be processed according to which the data subject is classifiable as a member of a group with a time-limited or situation-specific vulnerability;
(c) the processing of personal data is carried out which is affected or can reasonably be expected to affect between 5 000 and 10 000 data subjects;
(d) personal data are publicly available to an unlimited number of authorities or persons; and
(e) the processing of personal data by a system linked to other processing carried out by the same data controller or by other personal data controllers.
(2) The second group of criteria consists of the following criteria:
(a) the processing of specific categories of personal data or data of a highly personal nature, in particular financial data on the status of the property, the amount of funds, debt or loans or payment morality, records of the history of the private calls of data subjects, data from electronic mail of data subjects and the like;
(b) the processing of personal data is carried out which is affected or is reasonably expected to affect more than 10 000 data subjects; and
(c) automated decision-making takes place which affects the data subject.
Sign in for notes, favorites and notifications
Regulation Information
| Citation | Decree No. 411 / 2025 Coll., on the security levels of public administration information systems |
|---|---|
| Regulation Type | Order |
| Author | - |
| Collection | Code of Laws |
| Date of Promulgation | 14.10.2025 |
|---|---|
| Effective from | 01.11.2025 |
| Effective until | - |
| Status | Valid |
Public Contracts 5
SMLOUVA O DÍLO - Registr vysokých škol a studijních programů a jeho podpůrné procesy
Ministerstvo školství, mládeže a tělovýchovy
KAKTUS Software, spol. s r.o.
3 469 070 CZK
01.06.2026
Rámcová dohoda - Registr vysokých škol a studijních programů a jeho podpůrné procesy
Ministerstvo školství, mládeže a tělovýchovy
KAKTUS Software, spol. s r.o.
1 974 720 CZK
01.06.2026
Předmětem služeb poskytovaných dle Dohody je zajištění servisní a uživatelské podpory a rozvoj pro s...
Ministerstvo školství, mládeže a tělovýchovy
KAKTUS Software, spol. s r.o.
18 800 000 CZK
15.05.2026
Smlouva o dílo - Servisní smlouva 01/26//VZ pozáruční servis zdravotnických prostředků - plicních ve...
Nemocnice Nové Město na Moravě, příspěvková organi...
Dräger Medical s.r.o.
539 055 CZK
29.04.2026
Kupní smlouva 01/26/VZ 6 ks plicních ventilátorů pro použití na anesteziologicko-resuscitačním odděl...
Nemocnice Nové Město na Moravě, příspěvková organi...
Dräger Medical s.r.o.
4 074 696 CZK
29.04.2026
Source:
Hlídač státu
(CC BY 3.0 CZ)
The regulation text is for informational purposes only.
Comments 0