Decree No. 505 / 2025 Coll.
Decree on certain requirements for inclusion in the cloud computing catalogue
Valid
Order
Effective from 01.01.2026
Text versions:
01.01.2026
05.12.2025
505
DECLARATION
of 28 November 2025
on certain requirements for inclusion in the cloud computing catalogue
The National Office for Cyber and Information Security provides, pursuant to § 12 (2) (a) to (f) of Act No. 365 / 2000 Coll., on Information Systems of Public Administration and on the amendment of certain other laws, as amended by Act No. 261 / 2021 Coll. and Act No. 265 / 2025 Coll., (hereinafter "the Act '):
Subject matter
This decree provides
(a) requirements for the capability of a cloud computing provider (hereinafter referred to as "provider") to ensure a basic level of protection of confidentiality, integrity and availability of information to a public authority pursuant to Article 6m (1) (a) of the Act;
(b) requirements for the achievement of a basic level of protection of confidentiality, integrity and availability of information offered by the public authority by cloud computing pursuant to § 6n (b) of the Act;
(c) a list of the certification and audits in the field of confidentiality, integrity and availability of information pursuant to § 6t (6) (b) and § 6t (7) (c) of the Act, the evidence of their compliance and the intervals for the submission of such documents pursuant to § 6y (2) of the Act;
(d) requirements for the structure and formalities of the penetration test report pursuant to § 6t (6) (d) and § 6t (7) (e) of the Act and the intervals for its submission;
(e) the requirements for the elements of the audit report certifying the existence of a continuity plan for the cloud computing offered and the recovery plan for the provision of the cloud computing offered after the accident pursuant to § 6t (6) (e) and § 6t (7) (f) of the Act;
(f) requirements for the structure and formalities of the evidence of the assessment of the sources of risk pursuant to § 6t (6) (f) and § 6t (7) (g) of the Act; and
(g) requirements for the structure and formalities of supporting documents to verify compliance with the requirement to ensure the confidentiality, integrity and availability of information offered by cloud computing by the public authority pursuant to § 6t (6) (g) and § 6t (7) (h) of the Act.
Definition of terms
For the purposes of this decree:
(a) by a customer, a public authority using cloud computing;
(b) by the user who uses or sets the cloud computing service through the public authority system;
(c) customer data all data provided by the user to the provider during the use of the cloud computing service;
(d) the customer content of text, sound, image, audiovisual or other data inserted by the user into the cloud computing service, without metadata, and the indices for such data;
(e) specific operational data, data generated or derived by the provider in connection with the provision of cloud computing services containing information on the identified or identifiable user;
(f) the processing of any operation or set of operations with customer data and operating data in electronic form, carried out by, or without, automated procedures such as assembly, recording, arrangement, structuring, storage, adaptation or alteration, tracing, consultation, use, disclosure by transmission, dissemination or any other disclosure, alignment or combination, restriction, erasure or destruction; and
(g) the security level of the cloud computing offered, the security level to which the cloud computing offered is assigned by the provider.
Requirements for the ability of the provider to ensure a basic level of confidentiality, integrity and availability of information to the public authority
A provider capable of providing a basic level of protection of confidentiality, integrity and availability of information to a public authority under Section 6m (1) (a) of the Act shall be a provider under the following conditions:
(a) has its registered office or residence in a Member State of the European Union or has a designated representative in a Member State of the European Union mutatis mutandis pursuant to Article 27 of the General Regulation on the protection of personal data (1);
(b) neither the provider nor its controlling persons2) have in the last five years been legally guilty of committing an infringement consisting of failure to comply with any of the obligations imposed by the corrective measure under Paragraph 56 (1) of the Cybersecurity Act (3); and
(c) neither the provider nor its controlling persons have been convicted more than once in the last five years of committing an offence involving:
1. failure to comply with the obligation to declare a service under Article 6 (1) of the Cybersecurity Act;
2. failure to comply with the obligation to report a change to the regulated service pursuant to Article 9 (1) of the Cybersecurity Act;
3. non-compliance with the obligation to determine, for the purpose of defining the specified scope, all primary assets under Article 12 (2) (a) of the Cybersecurity Act or support assets under Article 12 (2) (c) of the Cybersecurity Act or in the absence of compliance with the obligation to re-examine or update them regularly under Article 12 (5) of the Cybersecurity Act;
4. failure to comply with the obligation to assess in order to determine the extent to which primary assets designated under Section 12 (2) (a) of the Cybersecurity Act are related to the provision of a regulated service, or to review or update this assessment on a regular basis in accordance with Section 12 (5) of the Cybersecurity Act,
5. failure to comply with the obligation to register assets under Section 12 (3) of the Cybersecurity Act;
6. failure to implement or implement security measures pursuant to Article 13 (2) or Article 18 (1) of the Cybersecurity Act;
7. Failure to fulfil the obligation to select its supplier in accordance with the requirements arising from the security measure or failing to include the requirements arising from the security measure in the contract with the supplier in breach of Article 13 (5) of the Cybersecurity Act;
8. Failure to comply with an obligation to submit an initial report on an incident pursuant to Article 16 (1) of the Cybersecurity Act or failure to comply with an obligation to supplement one of the incident data pursuant to Article 16 (3) of the Cybersecurity Act or to report a cybersecurity incident pursuant to Article 18 (2) of the Cybersecurity Act;
9. Failure to comply with the obligation to provide information or synergy in the handling of an incident under Article 17 (3) of the Cybersecurity Act;
10. failure to comply with a decision to inform regulated service users of a cyber security incident with a significant impact pursuant to Article 19 (1) of the Cybersecurity Act;
11. failure to comply with the obligation to inform regulated service users of the significant threat or action that the user of the service may take in response to it, pursuant to Article 19 (2) of the Cybersecurity Act,
12. failure to comply with the obligation imposed by the Decision on an alert pursuant to Article 21 (1) of the Cybersecurity Act;
13. failure to comply with the reactive countermeasure imposed under Article 23 (1) or Article 23 (4) of the Cybersecurity Act;
14. failure to comply with the obligation imposed by a decision under Article 24 (1) of the Cybersecurity Act;
15. failure to comply with the obligation to report a change to the regulated service under Paragraph 26 (1) of the Cybersecurity Act;
16. infringement of the condition or prohibition imposed in a measure of a general nature under Article 29 of the Cybersecurity Act;
17. failure to comply with the obligation to ensure the availability of a strategically important service from the territory of the Czech Republic in the specified time or quality pursuant to § 33 (1) of the Cybersecurity Act,
18. Failure to verify or to draw up an alert for the provision of a strategically important service pursuant to Article 33 (2) of the Cybersecurity Act;
19. Failure to fulfil the obligation to implement measures to address a significant threat to or breach of the security of information in the cyberspace imposed by a decision or measure of a general nature under Article 39 of the Cybersecurity Act;
20. failure to comply with any of the obligations under § 10 (2) of the Control Code (4) as a controlled person in the context of the monitoring of compliance under the Cybersecurity Act; or
21. Failure to fulfil obligations under Section 10 (3) of the Control Rules (4) as a mandatory person in the context of the monitoring of compliance under the Cybersecurity Act.
Requirements for the achievement of the basic level of confidentiality protection, integrity and availability of information offered by the public authority by cloud computing
The requirements for the achievement of the basic level of protection of confidentiality, integrity and availability of information to the public authority under Section 6n (b) of the Act are set out in Annexes 1 to 4 to this Decree.
List of certification and audits for the protection of confidentiality, integrity and availability of information, the evidence of compliance and the intervals for the submission of such documents
The list of certification and audits for the protection of confidentiality, integrity and availability of information pursuant to § 6t (6) (b) and § 6t (7) (c) of the Act, the evidence of their compliance and the intervals for the submission of such documents pursuant to § 6y (2) of the Act are set out in Annex 5 to this Decree.
Requirements for the structure and details of the penetration test report and intervals for its submission
The requirements for the structure and details of the penetration test report pursuant to § 6t (6) (d) and § 6t (7) (e) of the Act and the intervals for its submission pursuant to § 6y (2) of the Act are set out in Annex 6 to this Decree.
Requirements for the elements of the audit report certifying the existence of a continuity plan for the cloud computing offered and a recovery plan for the provision of the cloud computing offered after the accident
(1) An audit report certifying the existence of a continuity plan for the cloud computing service offered and the recovery plan for the cloud computing service offered after the accident must be prepared by an entity independent of the provider and must demonstrate the verification of the application of the plans in testing them.
(2) The characteristics of the audit report referred to in paragraph 1 shall be deemed to be fulfilled by an audit report issued for the purpose of certification according to ISO / IEC 20000, ISO / IEC 20000, ISO / IEC 20000, EN ISO 22301, ISO 22301 from a certifying authority accredited by one of the members of the International Accreditation Forum (IAF) or SOC 2 ® audit report. Type 2 or Attestation according to CSA STAR Level 2. Within the scope of the audit report, a written cloud computing service must be included. In the event that the scope of this audit report does not specifically include the cloud computing service registered, the provider shall submit an honest declaration by the provider pursuant to Article 9 (5) (b) on the scope of that audit report.
Requirements for the structure and details of the evidence of the evaluation of risk sources
The requirements for the structure and formalities of the evidence of the evaluation of the sources of risk pursuant to § 6t (6) (f) and § 6t (7) (g) of the Act are set out in Annex 7 to this Decree.
Requirements for the structure and elements of supporting documents to verify compliance with the requirement to achieve a basic level of confidentiality protection, integrity and availability of information offered by the public authority by cloud computing
(1) The supporting documents for verifying compliance with the requirement under Section 4 contain:
(a) a description of the compliance with the cloud computing service requirement which the provider requests to enter in the cloud computing catalogue by which the provider demonstrates compliance with the requirement in Annexes 1 to 4 to this Regulation; and
(b) documents by which the provider provides proof of compliance with the requirement of Annexes 1 to 4 to this Decree.
(2) The particulars referred to in paragraph 1 (a) are documented by the provider on an electronic form published on the Digital and Information Agency's website.
(3) The structure of the supporting documents to verify compliance with the requirements of Section 4 must be clear and understandable. To this end, the provider shall describe the compliance with each cloud computing service which it requests to enter in the cloud computing catalogue. Where a provider requests to register more cloud computing services falling within the same security level and meeting the same requirement in one cloud computing offer, compliance with each of the requirements may be demonstrated only once and subsequently clearly stated all cloud computing services covered by this proof. Where a provider requests to register a cloud computing offer for which compliance with the requirements can be demonstrated by the same supporting material, to which the already registered offers of the same provider have been demonstrated, the provider may refer to that background. Such reference shall be subject to the requirements of paragraph 4.
(4) If it is necessary to refer to another document attached to the form in order to demonstrate compliance with the requirement under Section 4, this shall be done in the form by indicating the name of the attached document and chapter, pages, paragraphs and, where appropriate, the specific phrases from which compliance with the cloud computing service results.
(5) For the purposes of verifying compliance with the requirement to ensure the confidentiality, integrity and availability of information offered by the public authority by cloud computing pursuant to Article 4:
(a) a written description of the description given on the application form referred to in paragraph 1 (a) or in a separate document referred to in the description of compliance;
(b) an honorary statement of the supporting document, whereby compliance with the requirement or aspect thereof is duly declared, showing who and when is doing it as evidenced by it and signed by a person authorised to act as a provider; where the affidavit is made by a person different from the provider, proof of authorisation authorising that person to make the affidavit shall be provided at the same time as the affidavit;
(c) contractual documentation of a draft contract, contractual terms, service conditions or similar basis for cloud computing services which the provider requests to enter in the cloud computing catalogue;
(d) further documentation of the product specification, technical documentation or other non-contractual service description; and
(e) audit report
1. an audit report issued for certification according to ČSN EN ISO / IEC 27001, EN ISO / IEC 27001 or ISO / IEC 27001 by the certifying authority that has been accredited to carry out audits and certification of information security management systems by one of the members of the International Accreditation Forum (IAF);
2. the SOC 2 ® Type 2 audit report,
3. an audit report on the assessment of compliance with the current requirements of Cloud Computing Compliance Criteria Catalogue (C5) in the form of Type 2; or
4. an audit report on the assessment of compliance with the requirements of this Decree.
(6) The audit report referred to in paragraph 5 (e) must be issued by an entity independent of the provider, must not, at the date of the request for the inclusion of a cloud computing offer in a cloud computing catalogue of more than 24 months of age and the cloud computing service under consideration must fall within its scope.
Transitional provisions
(1) Applications for the inclusion of a provider in the cloud computing catalogue pursuant to § 6q of the Act and applications for the inclusion of a cloud computing offer in the cloud computing catalogue pursuant to § 6t of the Act submitted before the date of entry into force of this decree are assessed in accordance with Decree No. 316 / 2021 Coll., on certain requirements for inclusion in the cloud computing catalogue, with the exception of the requirements set out in rows 4.1, 4.2, 7.1 and 7.2 of Annex No 2 to Decree No. 316 / 2021 Coll.
(2) Compliance with the requirements in rows 8.1 and 8.2 of Annexes 3 and 4 to this Decree and with the requirements for the structure and formalities of the penetration test report and the intervals for its submission pursuant to Article 6 can be demonstrated by meeting the requirements laid down in Decree No 316 / 2021 Coll., for a period of 24 months from the date of entry into force of this decree.
Repeal
Decree No 316 / 2021 Coll. is deleted.
Efficacy
This Decree shall take effect on 1 January 2026.
Director:
Ing. Kintr v. r.
Příloha č. 1
Annex No 1
| Řádek | Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem zařazeným v bezpečnostní úrovni nízká | Podklad, kterým poskytovatel doloží splnění požadavku |
|---|---|---|
| 1. Místo zpracování a uložení dat | ||
| 1.1 | Poskytovatel uvádí informace o všech státech, z jejichž území dochází k výkonu správy a dohledu nad službou cloud computingu. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| 1.2 | Poskytovatel uvádí informace o všech státech, na jejichž území jsou nebo mohou být uložena zákaznická data ve stavu neaktivních dat a specifické provozní údaje ve stavu neaktivních dat, a dále uvádí informace o všech státech mimo území členských států Evropské unie a členských států Evropského sdružení volného obchodu, na jejichž území předpokládá zpracování zákaznických dat a specifických provozních údajů. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| Platí, že státy, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat nebo specifických provozních údajů, nejsou | ||
| A) státy, z jejichž území se mohou nepravidelně vzdáleně připojovat pracovníci technické podpory poskytovatele cloud computingu za účelem technické podpory služby cloud computingu, která se v čase mění, a nemohou být specifikovány předem, nebo | ||
| B) státy, z jejichž území poskytovatel může předávat zákaznická data nebo specifické provozní údaje za účelem poskytování volitelné doplňkové služby se zapojením třetích stran, která není sama o sobě cloud computingem, aktivované podle volby zákazníka, s tím, že poskytovatel jasně označí třetí stranu, jíž může předat zákaznická data nebo specifické provozní údaje, a je-li to možné, blíže specifikuje, jaká zákaznická data nebo jaké specifické provozní údaje zpravidla předává a na jakou předpokládanou dobu zákaznická data nebo specifické provozní údaje předává. | ||
| 2. Žádosti o zpřístupnění a předání dat | ||
| 2.1 | Poskytovatel v případě, že obdrží právně závaznou žádost cizozemského orgánu o zpřístupnění nebo předání zákaznických dat nebo specifických provozních údajů, nevyhoví této žádosti a odkáže tohoto žadatele na zákazníka nebo, v případě, že této žádosti vyhoví, o takové žádosti zákazníka bezodkladně informuje, pokud to právní řád, jemuž poskytovatel podléhá, poskytovateli nezakazuje. | Čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky, ze kterého vyplývá splnění požadavku, |
| Poskytovatel dále po obdržení takové žádosti přezkoumá její zákonnost, zejména provede právní posouzení, ze kterého bude vyplývat, zda žádost cizozemského orgánu má proveditelný, aplikovatelný a platný právní základ, je právně závazná a rozsah poskytovaných nebo zpřístupňovaných zákaznických dat nebo specifických provozních údajů je přiměřený účelu žádosti. Poskytovatel se zavazuje, že předá zákaznická data a specifické provozní údaje cizozemskému orgánu pouze, pokud z právního posouzení vyšlo, že žádost cizozemského orgánu má proveditelný, aplikovatelný a platný právní základ, je právně závazná a rozsah poskytovaných nebo zpřístupňovaných zákaznických dat nebo specifických provozních údajů je přiměřený účelu žádosti. | část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | |
| O podkladech sloužících k přezkoumání zákonnosti žádosti poskytovatel provede záznam, který uchová alespoň 5 let pro účely kontroly nebo ho prokazatelně předá zákazníkovi. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 2.2 | Poskytovatel jasně a srozumitelně uvádí své povinnosti vyplývající z právních řádů států odlišných od členských států Evropské unie nebo odlišných od členských států Evropského hospodářského prostoru nebo u těch států, u kterých Evropská komise nerozhodla o udělení rozhodnutí o odpovídající ochraně (adequacy decision) podle článku 45 obecného nařízení o ochraně osobních údajů1), na jejichž území se nalézá datové centrum nebo jiná infrastruktura, ve které dochází ke zpracování zákaznických dat nebo specifických provozních údajů podle řádku 1.2 této přílohy týkající se zpřístupnění a předávání zákaznických dat a specifických provozních údajů. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| Tento popis musí být v takové kvalitě, aby z něj bylo možné zákazníkem posoudit vhodnost právního řádu s ohledem na zpracovávání zákaznických dat a specifických provozních údajů. Proto poskytovatel provede popis povinností obsahující informace o tom, který cizozemský orgán veřejné moci, jehož činnost spočívá v prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, zpravodajská služba, nebo jiný orgán s obdobným předmětem činnosti nebo obdobnými pravomocemi, může žádat o zpřístupnění a předání dat, za jakých podmínek může tento orgán žádat o zpřístupnění a předání dat a na jak dlouho, na jaká data se daná povinnost vztahuje a zda je možné žádost o zpřístupnění nebo předání dat přezkoumat nezávislým soudem. | ||
| 3. Oprávnění k provedení kontroly | ||
| 3.1 | Poskytovatel jednou ročně, nebo na základě opakujících se kybernetických bezpečnostních incidentů, nebo v případě rozporu s jím deklarovanými parametry, umožňuje Digitální a informační agentuře nebo Národnímu úřadu pro kybernetickou a informační bezpečnost zdarma ve vztahu k dané službě cloud computingu provedení kontroly splnění požadavků podle § 6i odst. 2 a 3 zákona a podle kontrolního řádu na všech místech a zařízeních, souvisejících s poskytováním služby cloud computingu, a zároveň poskytuje veškerou součinnost, kterou si tyto orgány vyžádají, vyjma zpřístupnění či předání zákaznických dat bez souhlasu dotčeného zákazníka. | Žádný doklad se nevyžaduje. |
| Splnění tohoto požadavku ověří Národní úřad pro kybernetickou a informační bezpečnost z úřední činnosti. | ||
| 4. Zajištění poskytování služby cloud computingu | ||
| 4.1 | Poskytovatel má vyhotoven a udržuje plán zajištění kontinuity provozu a plán na obnovu po havárii týkající se poskytované služby cloud computingu. | Plán zajištění kontinuity provozu |
| a plán na obnovu po havárii, nebo | ||
| auditní zpráva podle § 7 odst. 1 této vyhlášky. | ||
| 4.2 | Poskytovatel vždy zajišťuje primární a alespoň jedno záložní datové centrum, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra, a uvádí úplný výčet datových center, ze kterých je služba cloud computingu poskytována, a jejich lokace po úroveň katastrálního území nebo obce a dále zajišťuje, že | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, nebo část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, nebo část platné auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění obecného požadavku, a dále |
| A) tato datová centra jsou v dostatečné vzdálenosti od přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka vedoucích k narušení nebo omezení poskytování služby cloud computingu nebo bezpečnosti informací, nebo že je přijato adekvátní bezpečnostní opatření, nebo | ||
| B) se tato datová centra nacházejí ve vzájemné vzdálenosti nejméně 50 km a u obou datových center je navržena a aplikována fyzická ochrana proti přírodním katastrofám, úmyslnému útoku nebo haváriím. | ||
| zprávu nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka, který obsahuje náležitosti uvedené v příloze č. 7 k této vyhlášce, ze kterého vyplývá splnění požadavku podle A), nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku podle B). | ||
| 4.3 | Poskytovatel je schopen poskytovat nástroj nebo službu pro detekci a zmírnění útoků typu odepření služby (DoS/DDoS) jak na síťové, tak aplikační úrovni. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace, například popis volitelné služby cloud computingu, podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 5. Nakládání s daty | ||
| 5.1 | Poskytovatel vyhotovuje záznam o přístupu jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům, ke kterému došlo v daném případě bez předchozího svolení zákazníka. Tento záznam musí obsahovat alespoň důvod, čas, trvání, typ a rozsah přístupu a dostatek dalších údajů potřebných k tomu, aby mohl zákazník vyhodnotit rizikovost tohoto přístupu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| Poskytovatel umožňuje zákazníkovi přístup k tomuto záznamu, a za tím účelem jej uchovává alespoň po dobu 7 dní. Poskytovatel nemusí umožňovat přístup k záznamu v případě, že interní a externí pracovníci přistupují k nezašifrovanému zákaznickému obsahu na základě žádosti cizozemského orgánu o zpřístupnění nebo předání dat a vyrozumění zákazníka o této žádosti není možné v souladu s bodem 2.1 této přílohy. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |
| Pokud poskytovatel nemá zaveden proces pro přístup jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům bez předchozího svolení zákazníka, tento požadavek se neuplatní. Každý přístup k nezašifrovaným zákaznickým datům, ke kterému dojde bez předchozího svolení zákazníka, se pak považuje za narušení bezpečnosti informací dle řádku 7.2 této přílohy a poskytovatel postupuje v souladu s tímto požadavkem. | část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |
| 5.2 | Poskytovatel umožňuje ochranu zákaznického obsahu šifrováním při přenosu po sítích mimo kontrolu poskytovatele a v úložištích ve službě cloud computingu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 6. Certifikace služby cloud computingu | ||
| 6.1 | Poskytovatel provozuje službu cloud computingu v rozsahu systému řízení bezpečnosti informací, který je v souladu s požadavky vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností5) nebo s požadavky podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001. | Čestné prohlášení podle § 9 odst. 5 písm. b) a prohlášení o aplikovatelnosti jednotlivých opatření. |
| 7. Kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty | ||
| 7.1 | Poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí.6) | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 7.2 | Poskytovatel informuje zákazníka v případě narušení bezpečnosti informací zákaznických dat nebo specifických provozních údajů bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o narušení bezpečnosti zákaznických dat nebo specifických provozních údajů dozvěděl. Jakmile je řešení incidentu uzavřeno, informuje poskytovatel zákazníka o přijatých opatřeních. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 8. Testování služby cloud computingu | ||
| 8.1 | Poskytovatel pravidelně provádí skeny zranitelností služby cloud computingu v intervalu alespoň jeden sken zranitelností každé 3 měsíce a v případě zjištění zranitelností zavádí nápravná opatření. | Tři záznamy o provedení skenů zranitelností v souladu s platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, ze kterých vyplývá splnění požadavku, přičemž tyto záznamy nejsou ke dni podání žádosti o zápis zapisované služby do katalogu cloud computingu starší více než 12 měsíců a zároveň alespoň jeden z těchto záznamů nebude ke dni podání žádosti o zápis služby do katalogu cloud computingu starší více než 3 měsíce, nebo |
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| Dojde-li k aktualizaci metodiky Národního úřadu pro kybernetickou a informační bezpečnost, poskytovatel předkládá podklady ke splnění požadavku v souladu s aktualizovanou metodikou po 24 měsících od data zveřejnění aktualizované metodiky. | ||
Příloha č. 2
Annex No 2
| Řádek | Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem zařazeným v bezpečnostní úrovni střední | Podklad, kterým poskytovatel doloží splnění požadavku |
|---|---|---|
| 1. Místo zpracování a uložení dat | ||
| 1.1 | Poskytovatel uvádí informace o všech státech, z jejichž území dochází k výkonu správy a dohledu nad službou cloud computingu. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| 1.2 | Poskytovatel uvádí informace o všech státech, na jejichž území jsou nebo mohou být uložena zákaznická data ve stavu neaktivních dat a specifické provozní údaje ve stavu neaktivních dat, a dále uvádí informace o všech státech mimo území členských států Evropské unie a členských států Evropského sdružení volného obchodu, na jejichž území předpokládá zpracování zákaznických dat a specifických provozních údajů. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| Platí, že státy, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat nebo specifických provozních údajů, nejsou | ||
| A) státy, z jejichž území se mohou nepravidelně vzdáleně připojovat pracovníci technické podpory poskytovatele cloud computingu za účelem technické podpory služby cloud computingu, která se v čase mění, a nemohou být specifikovány předem, nebo | ||
| B) státy, z jejichž území poskytovatel může předávat zákaznická data nebo specifické provozní údaje za účelem poskytování volitelné doplňkové služby se zapojením třetích stran, která není sama o sobě cloud computingem, aktivované podle volby zákazníka, s tím, že poskytovatel jasně označí třetí stranu, jíž může předat zákaznická data nebo specifické provozní údaje, a je-li to možné, blíže specifikuje, jaká zákaznická data nebo jaké specifické provozní údaje zpravidla předává a na jakou předpokládanou dobu zákaznická data nebo specifické provozní údaje předává. | ||
| 2. Žádosti o zpřístupnění a předání dat | ||
| 2.1 | Poskytovatel v případě, že obdrží právně závaznou žádost cizozemského orgánu o zpřístupnění nebo předání zákaznických dat nebo specifických provozních údajů, nevyhoví této žádosti a odkáže tohoto žadatele na zákazníka nebo, v případě, že této žádosti vyhoví, o takové žádosti zákazníka bezodkladně informuje, pokud to právní řád, jemuž poskytovatel podléhá, poskytovateli nezakazuje. | Čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky, ze kterého vyplývá splnění požadavku, |
| Poskytovatel dále po obdržení takové žádosti přezkoumá její zákonnost, zejména provede právní posouzení, ze kterého bude vyplývat, zda žádost cizozemského orgánu má proveditelný, aplikovatelný a platný právní základ, je právně závazná a rozsah poskytovaných nebo zpřístupňovaných zákaznických dat nebo specifických provozních údajů je přiměřený účelu žádosti. Poskytovatel se zavazuje, že předá zákaznická data a specifické provozní údaje cizozemskému orgánu pouze, pokud z právního posouzení vyšlo, že žádost cizozemského orgánu má proveditelný, aplikovatelný a platný právní základ, je právně závazná a rozsah poskytovaných nebo zpřístupňovaných zákaznických dat nebo specifických provozních údajů je přiměřený účelu žádosti. | část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| O podkladech sloužících k přezkoumání zákonnosti žádosti poskytovatel provede záznam, který uchová alespoň 5 let pro účely kontroly nebo ho prokazatelně předá zákazníkovi. | část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |
| 2.2 | Poskytovatel jasně a srozumitelně uvádí své povinnosti vyplývající z právních řádů států odlišných od členských států Evropské unie nebo odlišných od členských států Evropského hospodářského prostoru nebo u těch států, u kterých Evropská komise nerozhodla o udělení rozhodnutí o odpovídající ochraně (adequacy decision) podle článku 45 obecného nařízení o ochraně osobních údajů1), na jejichž území se nalézá datacentrum nebo jiná infrastruktura, ve které dochází ke zpracování zákaznických dat nebo specifických provozních údajů podle řádku 1.2 této přílohy týkající se zpřístupnění a předávání zákaznických dat a specifických provozních údajů. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| Tento popis musí být v takové kvalitě, aby z něj bylo možné zákazníkem posoudit vhodnost právního řádu s ohledem na zpracovávání zákaznických dat a specifických provozních údajů. Proto poskytovatel provede popis povinností obsahující informace o tom, který cizozemský orgán veřejné moci, jehož činnost spočívá v prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, zpravodajská služba, nebo jiný orgán s obdobným předmětem činnosti nebo obdobnými pravomocemi, může žádat o zpřístupnění a předání dat, za jakých podmínek může tento orgán žádat o zpřístupnění a předání dat a na jak dlouho, na jaká data se daná povinnost vztahuje a zda je možné žádost o zpřístupnění nebo předání dat přezkoumat nezávislým soudem. | ||
| 3. Oprávnění k provedení kontroly | ||
| 3.1 | Poskytovatel jednou ročně, nebo na základě opakujících se kybernetických bezpečnostních incidentů, nebo v případě rozporu s jím deklarovanými parametry, umožňuje Digitální a informační agentuře nebo Národnímu úřadu pro kybernetickou a informační bezpečnost zdarma ve vztahu k dané službě cloud computingu provedení kontroly splnění požadavků podle § 6i odst. 2 a 3 zákona o informačních systémech veřejné správy a podle kontrolního řádu na všech místech a zařízeních, souvisejících s poskytováním služby cloud computingu, a zároveň poskytuje veškerou součinnost, kterou si tyto orgány vyžádají, vyjma zpřístupnění či předání zákaznických dat bez souhlasu dotčeného zákazníka. | Žádný doklad se nevyžaduje. |
| Splnění tohoto požadavku ověří Digitální a informační agentura nebo Národní úřad pro kybernetickou a informační bezpečnost z úřední činnosti. | ||
| 4. Zajištění poskytování služby cloud computingu | ||
| 4.1 | Poskytovatel má vyhotoven a udržuje plán zajištění kontinuity provozu a plán na obnovu po havárii týkající se poskytované služby cloud computingu. | Plán zajištění kontinuity provozu a |
| plán na obnovu po havárii, nebo | ||
| auditní zpráva podle § 7 odst. 1 této vyhlášky. | ||
| 4.2 | Poskytovatel vždy zajišťuje primární a alespoň jedno záložní datové centrum, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra, a uvádí úplný výčet datových center, ze kterých je služba cloud computingu poskytována, a jejich lokace po úroveň katastrálního území nebo obce a dále zajišťuje, že | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, nebo část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, nebo část platné auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění obecného požadavku, a dále |
| A) tato datová centra jsou v dostatečné vzdálenosti od přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka vedoucích k narušení nebo omezení poskytování služby cloud computingu nebo bezpečnosti informací, nebo že je přijato adekvátní bezpečnostní opatření, nebo | zprávu nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka, který obsahuje náležitosti uvedené v příloze č. 7 k této vyhlášce, ze kterého vyplývá splnění požadavku podle A), nebo | |
| B) se tato datová centra nacházejí ve vzájemné vzdálenosti nejméně 50 km a u obou datových center je navržena a aplikována fyzická ochrana proti přírodním katastrofám, úmyslnému útoku nebo haváriím. | část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku podle B). | |
| 4.3 | Poskytovatel je schopen poskytovat nástroj nebo službu pro detekci a zmírnění útoků typu odepření služby (DoS/DDoS) jak na síťové, tak aplikační úrovni. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace, například popis volitelné služby cloud computingu, podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 5. Nakládání s daty | ||
| 5.1 | Poskytovatel vyhotovuje záznam o přístupu jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům, ke kterému došlo v daném případě bez přechozího svolení zákazníka. Tento záznam musí obsahovat alespoň důvod, čas, trvání, typ a rozsah přístupu a dostatek dalších údajů potřebných k tomu, aby mohl zákazník vyhodnotit rizikovost tohoto přístupu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| Poskytovatel umožňuje zákazníkovi přístup k tomuto záznamu, a za tím účelem jej uchovává alespoň po dobu 7 dní. Poskytovatel nemusí umožňovat přístup k záznamu v případě, že interní a externí pracovníci přistupují k nezašifrovanému zákaznickému obsahu na základě žádosti cizozemského orgánu o zpřístupnění nebo předání dat a vyrozumění zákazníka o této žádosti není možné v souladu s bodem 2.1 této přílohy. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |
| Pokud poskytovatel nemá zaveden proces pro přístup jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům bez předchozího svolení zákazníka, tento požadavek se neuplatní. Každý přístup k nezašifrovaným zákaznickým datům, ke kterému dojde bez předchozího svolení zákazníka, se pak považuje za narušení bezpečnosti informací dle řádku 7.2 této přílohy a poskytovatel postupuje v souladu s tímto požadavkem. | část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |
| 5.2 | Poskytovatel umožňuje ochranu zákaznického obsahu šifrováním při přenosu po sítích mimo kontrolu poskytovatele a v úložištích ve službě cloud computingu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 5.3 | Poskytovatel zákazníkovi umožňuje ochranu zákaznického obsahu šifrováním při přenosu po sítích mimo kontrolu poskytovatele a v úložištích ve službě cloud computingu pomocí některého ze schválených algoritmů uvedených v aktuálně platném doporučení v oblasti kryptografických prostředků vydaném v souladu s nejlepší praxí Národním úřadem pro kybernetickou a informační bezpečnost, které je zveřejněno na jeho internetových stránkách, v rámci celé šifrovací sady. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| V případě, že poskytovatel nabízí šifrovací sady, které obsahují takové algoritmy, které nejsou schválené v doporučení v oblasti kryptografických prostředků vydaného Národním úřadem pro kybernetickou a informační bezpečnost, poskytovatel umožní zákazníkovi výběr těch šifrovacích sad, které aplikují algoritmy schválené v doporučení v oblasti kryptografických prostředků vydaného Národním úřadem pro kybernetickou a informační bezpečnost. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 6. Certifikace služby cloud computingu | ||
| 6.1 | Poskytovatel je držitelem platné certifikace podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu náleží posuzovaná služba cloud computingu provozovaná v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017. | Platný certifikát podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF) s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje posuzovanou službu cloud computingu, která je provozována v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a |
| v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu tohoto certifikátu, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu tohoto certifikátu. | ||
| 7. Kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty | ||
| 7.1 | Poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí. Poskytovatel umožňuje zákazníkovi vzdálený přístup k informacím o všech událostech týkajících se daného zákazníka. Nové události zpřístupní poskytovatel zákazníkovi bez zbytečného odkladu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 7.2 | Poskytovatel informuje zákazníka v případě narušení bezpečnosti informací zákaznických dat nebo specifických provozních údajů bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o narušení bezpečnosti zákaznických dat nebo specifických provozních údajů dozvěděl. Jakmile je řešení incidentu uzavřeno, informuje poskytovatel zákazníka o přijatých opatřeních. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 8. Testování služby cloud computingu | ||
| 8.1 | Poskytovatel pravidelně provádí skeny zranitelností služby cloud computingu v intervalu alespoň jeden sken zranitelností každé 3 měsíce a v případě zjištění zranitelností zavádí nápravná opatření. | Tři záznamy o provedení skenů zranitelností v souladu s platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, ze kterých vyplývá splnění požadavku, přičemž tyto záznamy nejsou ke dni podání žádosti o zápis zapisované služby do katalogu cloud computingu starší více než 12 měsíců a zároveň alespoň jeden z těchto záznamů nebude ke dni podání žádosti o zápis služby do katalogu cloud computingu starší více než 3 měsíce, nebo |
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| Dojde-li k aktualizaci metodiky Národního úřadu pro kybernetickou a informační bezpečnost, poskytovatel předkládá podklady ke splnění požadavku v souladu s aktualizovanou metodikou po 24 měsících od data zveřejnění aktualizované metodiky. | ||
Příloha č. 3
Annex No 3
| Řádek | Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem zařazeným v bezpečnostní úrovni vysoká | Podklad, kterým poskytovatel doloží splnění požadavku | ||
|---|---|---|---|---|
| 1. Místo zpracování a uložení dat | ||||
| 1.1 | Poskytovatel uvádí informace o všech státech, z jejichž území dochází k výkonu správy a dohledu nad službou cloud computingu. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. | ||
| 1.2 | Zákaznická data ve stavu neaktivních dat jsou ukládána nepřetržitě a výlučně na území členských států Evropské unie a členských států Evropského sdružení volného obchodu. | Část platné auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění obecného požadavku, a dále | ||
| Poskytovatel vždy uvádí úplný výčet datových center a jejich lokace po úroveň katastrálního území nebo obce, ve kterých jsou zákaznická data uložena ve stavu neaktivních dat s označením, zda jsou nebo nejsou v daném datovém centru uložena v pseudonymizované podobě, a dále | část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku podle A), B), nebo C). | |||
| A) v případě, že služba cloud computingu umožňuje splnění požadavku ukládat zákaznická data ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, takovou službu jasně označuje a deklaruje závazek ukládat zákaznická data ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, | ||||
| B) v případě, že služba cloud computingu neumožňuje splnění požadavku ukládat zákaznická data ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, takovou službu jasně označuje a zákaznická data ve stavu neaktivních dat jsou ukládána v pseudonymizované podobě, nebo | ||||
| C) v případě, že služba cloud computingu neumožňuje splnění požadavku ukládat zákaznická data ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu ani požadavku ukládat zákaznická data ve stavu neaktivních dat v pseudonymizované podobě, takovou službu jasně označuje. | ||||
| Na základě označení služby cloud computingu jako služby cloud computingu, která nesplňuje požadavek na uložení zákaznických dat ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, bude tato služba cloud computingu uvedena na internetových stránkách Národního úřadu pro kybernetickou a informační bezpečnost a daný požadavek se na ni neuplatní. Taková služba cloud computingu bude rovněž označena v katalogu cloud computingu jako služba cloud computingu zapsaná na základě uvedené výjimky citací uvedené výjimky. | ||||
| 1.3 | Specifické provozní údaje jsou ve stavu neaktivních dat ukládány nepřetržitě a výlučně na území členských států Evropské unie a členských států Evropského sdružení volného obchodu. | Část platné auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění obecného požadavku, a dále | ||
| Poskytovatel vždy uvádí úplný výčet datových center a jejich lokace po úroveň katastrálního území nebo obce, ve kterých jsou specifické provozní údaje uloženy ve stavu neaktivních dat s označením, zda jsou nebo nejsou v daném datovém centru uložena v pseudonymizované podobě, a dále | část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku podle A), B), nebo C). | |||
| A) v případě, že služba cloud computingu umožňuje splnění požadavku ukládat specifické provozní údaje ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, jasně označuje takovou službu cloud computingu a deklaruje závazek ukládat specifické provozní údaje ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, | ||||
| B) v případě, že služba cloud computingu neumožňuje splnění požadavku ukládat specifické provozní údaje ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, takovou službu jasně označuje a specifické provozní údaje ve stavu neaktivních dat jsou ukládána v pseudonymizované podobě, nebo | ||||
| C) v případě, že služba cloud computingu neumožňuje splnění požadavku ukládat specifické provozní údaje ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu ani požadavku ukládat specifické provozní údaje ve stavu neaktivních dat v pseudonymizované podobě, takovou službu jasně označuje. | ||||
| Na základě označení služby cloud computingu jako služby cloud computingu, která nesplňuje požadavek na uložení specifických provozních údajů ve stavu neaktivních dat nepřetržitě a výlučně na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, bude tato služba cloud computingu uvedena na internetových stránkách Národního úřadu pro kybernetickou a informační bezpečnost a daný požadavek se na ni neuplatní. Taková služba cloud computingu bude rovněž označena v katalogu cloud computingu jako služba cloud computingu zapsaná na základě uvedené výjimky citací uvedené výjimky. | ||||
| 1.4 | Zákaznická data jsou zpracovávána pouze na území členských států Evropské unie a členských států Evropského sdružení volného obchodu. Aniž jsou dotčeny požadavky stanovené na řádku 1.2 této přílohy, v odůvodněných případech, po nezbytně nutnou dobu a v nezbytném rozsahu mohou být zákaznická data zpracovávána i na území jiných států, pokud poskytovatel popíše, jak budou zákaznická data chráněna před narušením bezpečnosti informací. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku podle A), B), nebo C). | ||
| Poskytovatel | ||||
| A) v případě, že služba cloud computingu umožňuje splnění požadavku na zpracovávání zákaznických dat pouze na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, jasně označuje takovou službu cloud computingu a deklaruje závazek zpracování zákaznických dat na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, | ||||
| B) v případě, že služba cloud computingu neumožňuje splnění požadavku na zpracovávání zákaznických dat pouze na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, ale umožňuje splnění požadavku na zpracovávání zákaznického obsahu pouze na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, jasně označuje takovou službu cloud computingu a uvádí výčet států, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat bez zákaznického obsahu, údaje o předpokládané době trvání, předpokládaném rozsahu a předpokládaném účelu zpracování zákaznických dat bez zákaznického obsahu na příslušném předpokládaném území příslušných států, a dále údaj o tom, zda jsou nebo nejsou zákaznická data bez zákaznického obsahu pseudonymizována v případě tohoto zpracování; u zákaznických dat bez zákaznického obsahu zpracovávaných mimo území členských států Evropské unie a členských států Evropského sdružení volného obchodu dále uvádí popis toho, jak budou chráněna ve smyslu kapitoly V. obecného nařízení o ochraně osobních údajů1), nebo | ||||
| C) v případě, že služba cloud computingu neumožňuje splnění požadavku na zpracovávání zákaznických dat pouze na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu ani požadavku na zpracovávání zákaznického obsahu pouze na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, jasně označuje takovou službu cloud computingu a uvádí výčet států, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat, údaje o předpokládané době trvání, předpokládaném rozsahu a předpokládaném účelu zpracování zákaznických dat na příslušném předpokládaném území příslušných států, a dále údaj o tom, zda jsou nebo nejsou zákaznická data pseudonymizována v případě tohoto zpracování; u zákaznických dat zpracovávaných mimo území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu dále uvádí popis toho, jak budou chráněna alespoň ve smyslu kapitoly V. obecného nařízení o ochraně osobních údajů1). | ||||
| Platí, že státy, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat, nejsou | ||||
| A) | státy, z jejichž území se mohou nepravidelně vzdáleně připojovat pracovníci technické podpory poskytovatele za účelem technické podpory služby cloud computingu, která se v čase mění a nemohou být specifikována předem, nebo | |||
| B) | státy, do jejichž území může poskytovatel předávat zákaznická data za účelem poskytování volitelné doplňkové služby se zapojením třetích stran, která není sama o sobě službou cloud computingu, aktivované podle volby zákazníka, s tím, že poskytovatel jasně označí třetí stranu, jíž může předat zákaznická data, a je-li to možné, blíže specifikuje, jaká zákaznická data zpravidla předává a na jakou předpokládanou dobu zákaznická data předává. | |||
| 1.5 | Specifické provozní údaje jsou zpracovávány na území členských států Evropské unie a členských států Evropského sdružení volného obchodu. Aniž jsou dotčeny požadavky stanovené na řádku 1.3 této přílohy, v odůvodněných případech, po nezbytně nutnou dobu a v nezbytném rozsahu mohou být specifické provozní údaje zpracovávány i na území jiných států, pokud poskytovatel popíše, jak budou specifické provozní údaje chráněny před narušením bezpečnosti informací. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku podle A), nebo B). | ||
| Poskytovatel | ||||
| A) v případě, že služba cloud computingu umožňuje splnění požadavku na zpracovávání specifických provozních údajů pouze na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, jasně označuje takovou službu cloud computingu a deklaruje závazek zpracovávání specifických provozních údajů pouze na území členských států Evropské unie a členských států Evropského sdružení volného obchodu, nebo | ||||
| B) v případě, že služba cloud computingu neumožňuje splnění požadavku na zpracovávání specifických provozních údajů pouze na území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, jasně označuje takovou službu cloud computingu a uvádí výčet států, na jejichž území dochází nebo může docházet ke zpracování specifických provozních údajů, údaje o předpokládané době trvání, předpokládaném rozsahu a předpokládaném účelu zpracování specifických provozních údajů na příslušném předpokládaném území příslušných států, a dále údaj o tom, zda jsou nebo nejsou specifické provozní údaje pseudonymizovány v případě tohoto zpracování; u specifických provozních údajů zpracovávaných mimo území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu dále uvádí popis toho, jak budou chráněna alespoň ve smyslu kapitoly V. obecného nařízení o ochraně osobních údajů1). | ||||
| Platí, že státy, na jejichž území dochází nebo může docházet ke zpracování specifických provozních údajů, nejsou | ||||
| A) | státy, z jejichž území se mohou nepravidelně vzdáleně připojovat pracovníci technické podpory poskytovatele cloud computingu za účelem technické podpory služby cloud computingu, která se v čase mění a nemohou být specifikována předem, nebo | |||
| B) | státy, do jejichž území může poskytovatel předávat specifické provozní údaje za účelem poskytování volitelné doplňkové služby se zapojením třetích stran, která není sama o sobě cloud computingem, aktivované podle volby zákazníka, s tím, že poskytovatel jasně označí třetí stranu, jíž může předat specifické provozní údaje, a je-li to možné, blíže specifikuje, jaké specifické provozní údaje zpravidla předává a na jakou předpokládanou dobu specifické provozní údaje předává. | |||
| 1.6 | Poskytovatel | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky nebo část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku podle A), nebo B). | ||
| A) vyžaduje souhlas zákazníka pro případy zpracování zákaznických dat mimo území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu, který je vyjádřen v samostatném dokumentu, který obsahuje údaj o státech, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat; poskytovatel informuje zákazníka o předpokládané době trvání, předpokládaném rozsahu a předpokládaném účelu zpracování zákaznických dat na území příslušných států a o tom, zda jsou nebo nejsou zákaznická data pseudonymizována v případě tohoto zpracování, nebo | ||||
| B) v základním nastavení služby cloud computingu vyžaduje souhlas zákazníka pro případy zpracování zákaznických dat v každém jednotlivém případě zpracování zákaznických dat mimo území členských států Evropské unie nebo členských států Evropského sdružení volného obchodu. | ||||
| 2. Žádosti o zpřístupnění a předání dat | ||||
| 2.1 | Poskytovatel v případě, že obdrží právně závaznou žádost cizozemského orgánu o zpřístupnění nebo předání zákaznických dat nebo specifických provozních údajů, nevyhoví této žádosti a odkáže tohoto žadatele na zákazníka nebo, v případě, že této žádosti vyhoví, o takové žádosti zákazníka bezodkladně informuje. Pokud právní řád, jemuž poskytovatel podléhá, poskytovateli zakazuje informovat zákazníka, pak poskytovatel zákazníka informuje poté, co vyprší platnost právního zákazu, např. po vypršení období mlčenlivosti nařízeného zákonem nebo soudem. | Čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky, ze kterého vyplývá splnění požadavku, | ||
| Poskytovatel v případě, že obdrží žádost cizozemského orgánu o zpřístupnění nebo předání zákaznických dat nebo specifických provozních údajů, přezkoumá zákonnost takové žádosti, zejména provede právní posouzení, ze kterého bude vyplývat, zda žádost cizozemského orgánu má proveditelný a platný právní základ, je právně závazná a rozsah poskytovaných nebo zpřístupňovaných zákaznických dat a specifických provozních údajů je přiměřený účelu žádosti, a vyvine veškeré možné zákonné úsilí, aby zabránil zpřístupnění nebo předání zákaznických dat a specifických provozních údajů na základě žádosti cizozemského orgánu bez souhlasu zákazníka, zejména zohlední právní závazky a povinnosti vyplývající z právních předpisů Evropské unie a České republiky a bude usilovat o zrušení povinnosti zpřístupnění nebo předání zákaznických dat a specifických provozních údajů. | část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | |||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||||
| O podkladech sloužících k posouzení poskytovatel provede záznam, který uchová alespoň 10 let pro účely kontroly nebo ho prokazatelně předá zákazníkovi. | část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |||
| 2.2 | Poskytovatel jasně a srozumitelně uvádí své povinnosti vyplývající z právních řádů států odlišných od členských států Evropské unie nebo odlišných od členských států Evropského hospodářského prostoru nebo u těch států, u kterých Evropská komise nerozhodla o udělení rozhodnutí o odpovídající ochraně (adequacy decision) podle článku 45 obecného nařízení o ochraně osobních údajů1), na jejichž území se nalézá datové centrum nebo jiná infrastruktura, ve které dochází ke zpracování zákaznických dat nebo specifických provozních údajů podle řádků 1.4 a 1.5 přílohy č. 2 k této vyhlášce týkající se zpřístupnění a předávání zákaznických dat a specifických provozních údajů. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. | ||
| Tento popis musí být v takové kvalitě, aby z něj bylo možné zákazníkem posoudit vhodnost právního řádu s ohledem na zpracovávání zákaznických dat a specifických provozních údajů. Proto poskytovatel provede popis povinností obsahující informace o tom, který cizozemský orgán veřejné moci, jehož činnost spočívá v prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, zpravodajská služba, nebo jiný orgán s obdobným předmětem činnosti nebo obdobnými pravomocemi, může žádat o zpřístupnění a předání dat, za jakých podmínek může tento orgán žádat o zpřístupnění a předání dat a na jak dlouho, na jaká data se daná povinnost vztahuje a zda je možné žádost o zpřístupnění nebo předání dat přezkoumat nezávislým soudem. | ||||
| 3. Oprávnění k provedení kontroly | ||||
| 3.1 | Poskytovatel jednou ročně, nebo na základě opakujících se kybernetických bezpečnostních incidentů, nebo v případě rozporu s jím deklarovanými parametry, umožňuje Digitální a informační agentuře nebo Národnímu úřadu pro kybernetickou a informační bezpečnost zdarma ve vztahu k dané službě cloud computingu provedení kontroly splnění požadavků podle § 6i odst. 2 a 3 zákona a podle kontrolního řádu na všech místech a zařízeních, souvisejících s poskytováním služby cloud computingu, a zároveň poskytuje veškerou součinnost, kterou si tyto orgány vyžádají, vyjma zpřístupnění či předání zákaznických dat bez souhlasu dotčeného zákazníka. | Žádný doklad se nevyžaduje. | ||
| Splnění tohoto požadavku ověří Digitální a informační agentura nebo Národní úřad pro kybernetickou a informační bezpečnost z úřední činnosti. | ||||
| 4. Zajištění poskytování služby cloud computingu | ||||
| 4.1 | Poskytovatel má vyhotoven a udržuje plán zajištění kontinuity provozu a plán na obnovu po havárii týkající se poskytované služby cloud computingu. | Plán zajištění kontinuity provozu a | ||
| plán na obnovu po havárii, nebo | ||||
| auditní zpráva podle § 7 odst. 1 této vyhlášky. | ||||
| 4.2 | Poskytovatel vždy zajišťuje primární a alespoň jedno záložní datové centrum, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra, a uvádí úplný výčet datových center, ze kterých je služba cloud computingu poskytována, a jejich lokace po úroveň katastrálního území nebo obce a dále zajišťuje, že | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, nebo | ||
| A) tato datová centra jsou v dostatečné vzdálenosti od přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka vedoucích k narušení nebo omezení poskytování služby cloud computingu nebo bezpečnosti informací, nebo že je přijato adekvátní bezpečnostní opatření, nebo | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, nebo | |||
| B) se tato datová centra nacházejí ve vzájemné vzdálenosti nejméně 50 km a u obou datových center je navržena a aplikována fyzická ochrana proti přírodním katastrofám, úmyslnému útoku nebo haváriím. | část platné auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění obecného požadavku, a dále | |||
| zprávu nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka, který obsahuje náležitosti uvedené v příloze č. 7 k této vyhlášce, ze kterého vyplývá splnění požadavku podle A), nebo | ||||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku podle B). | ||||
| 4.3 | Poskytovatel umožňuje synchronní replikaci dat alespoň do jednoho záložního datového centra, které je kapacitně dostatečné k převzetí služby cloud computingu poskytované z primárního datového centra. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 4.4 | Poskytovatel uvádí úplný výčet datových center, ze kterých je služba cloud computingu poskytována, a jejich lokace po úroveň katastrálního území nebo obce a dále zajišťuje, že primární i všechna záložní datová centra, ve kterých jsou uložena zákaznická data ve stavu neaktivních dat, se nacházejí buďto všechna v České republice, nebo alespoň na území dvou různých členských států Evropské unie nebo Evropského sdružení volného obchodu. Tento požadavek se neuplatní na služby cloud computingu uplatňující výjimku z požadavků na řádku 1.2 této přílohy. | Část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 4.5 | Poskytovatel je schopen poskytovat nástroj nebo službu pro detekci a zmírnění útoků typu odepření služby (DoS/DDoS) jak na síťové, tak aplikační úrovni. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | ||
| část další dokumentace, například popis volitelné služby cloud computingu, podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 4.6 | Poskytovatel umožňuje obsluhu služby cloud computingu pomocí administrátorské konzole vzdáleně přístupné zákazníkovi v nepřetržitém režimu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 5. Nakládání s daty | ||||
| 5.1 | Poskytovatel vyhotovuje záznam o přístupu jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům, ke kterému došlo v daném případě bez přechozího svolení zákazníka. Tento záznam musí obsahovat alespoň důvod, čas, trvání, typ a rozsah přístupu a dostatek dalších údajů potřebných k tomu, aby mohl zákazník vyhodnotit rizikovost tohoto přístupu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | ||
| Poskytovatel umožňuje zákazníkovi přístup k tomuto záznamu, a za tím účelem jej uchovává alespoň po dobu 7 dní. Poskytovatel nemusí umožňovat přístup k záznamu v případě, že interní a externí pracovníci přistupují k nezašifrovanému zákaznickému obsahu na základě žádosti cizozemského orgánu o zpřístupnění nebo předání dat a vyrozumění zákazníka o této žádosti není možné v souladu s bodem 2.1 této přílohy. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |||
| Pokud poskytovatel nemá zaveden proces pro přístup jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům bez předchozího svolení zákazníka, tento požadavek se neuplatní. Každý přístup k nezašifrovaným zákaznickým datům, ke kterému dojde bez předchozího svolení zákazníka, se pak považuje za narušení bezpečnosti informací dle řádku 7.2 této přílohy a poskytovatel postupuje v souladu s tímto požadavkem. | část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |||
| 5.2 | Poskytovatel umožňuje ochranu zákaznického obsahu šifrováním při všech síťových přenosech a v úložištích ve službě cloud computingu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 5.3 | Poskytovatel zákazníkovi umožňuje ochranu zákaznického obsahu šifrováním při všech síťových přenosech a v úložištích ve službě cloud computingu pomocí některého ze schválených algoritmů uvedených v aktuálně platném doporučení v oblasti kryptografických prostředků vydaném v souladu s nejlepší praxí Národním úřadem pro kybernetickou a informační bezpečnost, které je zveřejněno na jeho internetových stránkách, v rámci celé šifrovací sady. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | ||
| V případě, že poskytovatel nabízí šifrovací sady, které obsahují takové algoritmy, které nejsou schválené v doporučení v oblasti kryptografických prostředků vydaného Národním úřadem pro kybernetickou a informační bezpečnost, poskytovatel umožní zákazníkovi výběr těch šifrovacích sad, které aplikují algoritmy schválené v doporučení v oblasti kryptografických prostředků vydaného Národním úřadem pro kybernetickou a informační bezpečnost. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 5.4 | Poskytovatel umožňuje zákazníkovi využití vlastních šifrovacích klíčů, a to buď jejich vygenerováním v certifikovaném hardware security modulu (HSM modulu) umístěném u poskytovatele pod vzdálenou správou zákazníka, nebo importem těchto klíčů z jiných prostředků pod správou zákazníka. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 5.5 | Poskytovatel umožňuje při ukončení služby cloud computingu bezpečnou likvidaci kryptografických klíčů, které šifrují zákaznický obsah v úložištích v souladu s přílohou č. 2 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.7) | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 6. Certifikace služby cloud computingu | ||||
| 6.1 | Poskytovatel je držitelem platné certifikace podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu náleží posuzovaná služba cloud computingu provozovaná v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a v souladu s postupy normy ČSN ISO/IEC 27018, ČSN EN ISO/IEC 27018 nebo ISO/IEC 27018. | Platný certifikát podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje posuzovanou službu cloud computingu, která je provozována v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a provozovanou v souladu s postupy normy ČSN ISO/IEC 27018, ČSN EN ISO/IEC 27018 nebo ISO/IEC 27018 a | ||
| v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu tohoto certifikátu, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu tohoto certifikátu, a dále příslušné prohlášení o aplikovatelnosti. | ||||
| 6.2 | Poskytovatel je držitelem auditní zprávy SOC 2® Type 2 nebo auditní zprávy o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, kdy tato auditní zpráva je vždy vydaná na poskytovateli nezávislým auditorem, není ke dni podání žádosti o zápis nabídky cloud computingu do katalogu cloud computingu starší než 24 měsíců a do jejíhož rozsahu jmenovitě náleží posuzovaná služba cloud computingu. | Auditní zpráva SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zpráva o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, ze které vyplývá splnění požadavku a | ||
| v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu této auditní zprávy, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu této auditní zprávy. | ||||
| 7. Kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty | ||||
| 7.1 | Poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí. Poskytovatel umožňuje zákazníkovi vzdálený přístup k informacím o všech událostech týkajících se daného zákazníka. Nové události zpřístupní poskytovatel zákazníkovi bez zbytečného odkladu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 7.2 | Poskytovatel informuje zákazníka v případě narušení bezpečnosti informací zákaznických dat nebo specifických provozních údajů bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o narušení bezpečnosti zákaznických dat nebo specifických provozních údajů dozvěděl. Jakmile je řešení incidentu uzavřeno, informuje poskytovatel zákazníka o přijatých opatřeních. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| 8. Testování služby cloud computingu | ||||
| 8.1 | Poskytovatel pravidelně provádí skeny zranitelností služby cloud computingu v intervalu alespoň jeden sken zranitelností každé 3 měsíce a v případě zjištění zranitelností zavádí nápravná opatření. | Tři záznamy o provedení skenů zranitelností v souladu s platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, ze kterých vyplývá splnění požadavku, přičemž tyto záznamy nejsou ke dni podání žádosti o zápis zapisované služby do katalogu cloud computingu starší více než 12 měsíců a zároveň alespoň jeden z těchto záznamů nebude ke dni podání žádosti o zápis služby do katalogu cloud computingu starší více než 3 měsíce, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||||
| Dojde-li k aktualizaci metodiky Národního úřadu pro kybernetickou a informační bezpečnost, poskytovatel předkládá podklady ke splnění požadavku v souladu s aktualizovanou metodikou po 24 měsících od data zveřejnění aktualizované metodiky. | ||||
| 8.2 | Poskytovatel zajišťuje provádění penetračních testů podle aktuálně platného standardu NIST 800-115, metodiky OSSTMM, standardu OWASP Top 10 nebo standardu OWASP ASVS Level 1 odpovídající charakteru zapisované služby cloud computingu a v souladu s aktuálně platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, nebo v souladu s metodikou FedRAMP. | Zpráva z provedení penetračního testu, ze které vyplývá splnění požadavku. | ||
| Dojde-li k aktualizaci metodiky Národního úřadu pro kybernetickou a informační bezpečnost, poskytovatel předkládá podklady ke splnění požadavku v souladu s aktualizovanou metodikou po 24 měsících od data zveřejnění aktualizované metodiky. | ||||
| 9. Připojení do výměnného uzlu internetu (IXP) | ||||
| 9.1 | Poskytovatel má zajištěno připojení do výměnného uzlu internetu (IXP) v České republice. | Výpis z veřejně dostupné databáze subjektů připojených do výměnného uzlu internetu, | ||
| platná smlouva s poskytovatelem služby výměnného uzlu internetu, nebo | ||||
| čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky, ze kterého vyplývá splnění požadavku. | ||||
Příloha č. 4
Annex No 4
| Řádek | Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem zařazeným v bezpečnostní úrovni kritická | Podklad, kterým poskytovatel doloží splnění požadavku |
|---|---|---|
| 1. Místo zpracování a uložení dat | ||
| 1.1 | Poskytovatel uvádí informace o všech státech, z jejichž území dochází k výkonu správy a dohledu nad službou cloud computingu. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| 1.2 | Zákaznická data a specifické provozní údaje jsou zpracovávány na území České republiky. Aniž je dotčen požadavek uvedený na řádku 4.4 této přílohy, mimo území České republiky mohou být zákaznická data a specifické provozní údaje zpracovávány pouze v odůvodněných případech, po nezbytně nutnou dobu a v nezbytném rozsahu, pokud poskytovatel popíše, jak budou zákaznická data chráněna před narušením bezpečnosti informací. | Část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění obecného požadavku, a dále |
| Poskytovatel vždy uvádí úplný výčet datových center a jejich lokace po úroveň katastrálního území nebo obce, ve kterých jsou zpracovávána zákaznická data a specifické provozní údaje, a dále v případě, že služba cloud computingu | část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky nebo část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku podle A), B), nebo C). | |
| A) umožňuje splnění požadavku na zpracovávání zákaznických dat a specifických provozních údajů pouze na území České republiky, jasně označuje takovou službu cloud computingu a deklaruje závazek zpracovávání zákaznických dat a specifických provozních údajů pouze na území České republiky, | ||
| B) neumožňuje splnění požadavku na zpracovávání zákaznických dat a specifických provozních údajů pouze na území České republiky, jasně označuje takovou službu cloud computingu a uvádí výčet států, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat a specifických provozních údajů, údaje o předpokládané době trvání, předpokládaném rozsahu a předpokládaném účelu zpracování zákaznických dat a specifických provozních údajů na území příslušných států, a dále údaj o tom, zda jsou nebo nejsou zákaznická data a specifické provozní údaje pseudonymizovány v případě tohoto zpracování; dále vyžaduje souhlas zákazníka pro případy zpracování zákaznických dat a specifických provozních údajů mimo území České republiky, který je vyjádřen v samostatném dokumentu, který obsahuje výčet států, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat a specifických provozních údajů, údaj o předpokládané době trvání, předpokládaném rozsahu a předpokládaném účelu zpracování zákaznických dat a specifických provozních údajů na území příslušných států, a dále údaj o tom, zda jsou nebo nejsou zákaznická data a specifické provozní údaje pseudonymizovány v případě tohoto zpracování, nebo | ||
| C) neumožňuje splnění požadavku na zpracovávání zákaznických dat a specifických provozních údajů pouze na území České republiky, jasně označuje takovou službu cloud computingu a uvádí výčet států, na jejichž území dochází nebo může docházet ke zpracování zákaznických dat a specifických provozních údajů, údaje o předpokládané době trvání, předpokládaném rozsahu a předpokládaném účelu zpracování zákaznických dat a specifických provozních údajů na území příslušných států, a dále údaj o tom, zda jsou nebo nejsou zákaznická data a specifické provozní údaje pseudonymizovány v případě tohoto zpracování; dále vyžaduje souhlas zákazníka v každém jednotlivém případě zpracování zákaznických dat a specifických provozních údajů mimo území České republiky. | ||
| 2. Žádosti o zpřístupnění a předání dat | ||
| 2.1 | Poskytovatel v případě, že obdrží žádost cizozemských orgánů o zpřístupnění nebo předání zákaznických dat nebo specifických provozních údajů, tuto žádost odmítne a data nevydá a nezpřístupní. | Čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky, ze kterého vyplývá splnění požadavku, |
| část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, | ||
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 2.2 | Poskytovatel jasně a srozumitelně uvádí své povinnosti vyplývající z právních řádů států odlišných od členských států Evropské unie nebo odlišných od členských států Evropského hospodářského prostoru nebo u těch států, u kterých Evropská komise nerozhodla o udělení rozhodnutí o odpovídající ochraně (adequacy decision) podle článku 45 obecného nařízení o ochraně osobních údajů1), na jejichž území se nalézá datové centrum nebo jiná infrastruktura, ve které dochází ke zpracování zákaznických dat nebo specifických provozních údajů podle řádku 1.2 této přílohy týkající se zpřístupnění a předávání zákaznických dat a specifických provozních údajů. | Písemný popis podle § 9 odst. 5 písm. a) této vyhlášky, ze kterého vyplývá splnění požadavku. |
| Tento popis musí být v takové kvalitě, aby z něj bylo možné zákazníkem posoudit vhodnost právního řádu s ohledem na zpracovávání zákaznických dat a specifických provozních údajů. Proto poskytovatel provede popis povinností obsahující informace o tom, který cizozemský orgán veřejné moci, jehož činnost spočívá v prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, zpravodajská služba, nebo jiný orgán s obdobným předmětem činnosti nebo obdobnými pravomocemi, může žádat o zpřístupnění a předání dat, za jakých podmínek může tento orgán žádat o zpřístupnění a předání dat a na jak dlouho, na jaká data se daná povinnost vztahuje a zda je možné žádost o zpřístupnění nebo předání dat přezkoumat nezávislým soudem. | ||
| 3. Oprávnění k provedení kontroly | ||
| 3.1 | Poskytovatel jednou ročně, nebo na základě opakujících se kybernetických bezpečnostních incidentů, nebo v případě rozporu s jím deklarovanými parametry, umožňuje Digitální a informační agentuře nebo Národnímu úřadu pro kybernetickou a informační bezpečnost zdarma ve vztahu k dané službě cloud computingu provedení kontroly splnění požadavků podle § 6i odst. 2 a 3 zákona a podle kontrolního řádu na všech místech a zařízeních, souvisejících s poskytováním služby cloud computingu, a zároveň poskytuje veškerou součinnost, kterou si tyto orgány vyžádají, vyjma zpřístupnění či předání zákaznických dat bez souhlasu dotčeného zákazníka. | Žádný doklad se nevyžaduje. |
| Splnění tohoto požadavku ověří Digitální a informační agentura nebo Národní úřad pro kybernetickou a informační bezpečnost z úřední činnosti. | ||
| 4. Zajištění poskytování služby cloud computingu | ||
| 4.1 | Poskytovatel má vyhotoven a udržuje plán zajištění kontinuity provozu a plán na obnovu po havárii týkající se poskytované služby cloud computingu. | Plán zajištění kontinuity provozu a |
| plán na obnovu po havárii, nebo | ||
| auditní zpráva podle § 7 odst. 1 této vyhlášky. | ||
| 4.2 | Poskytovatel vždy zajišťuje primární a alespoň jedno záložní datové centrum, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra, a uvádí úplný výčet datových center, ze kterých je služba cloud computingu poskytována, a jejich lokace po úroveň katastrálního území nebo obce a dále zajišťuje, že | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, nebo část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, nebo část platné auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění obecného požadavku, a dále |
| A) tato datová centra jsou v dostatečné vzdálenosti od přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka vedoucích k narušení nebo omezení poskytování služby cloud computingu nebo bezpečnosti informací, nebo že je přijato adekvátní bezpečnostní opatření, nebo | ||
| B) se tato datová centra nacházejí ve vzájemné vzdálenosti nejméně 50 km a u obou datových center je navržena a aplikována fyzická ochrana proti přírodním katastrofám, úmyslnému útoku nebo haváriím. | zprávu nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka, který obsahuje náležitosti uvedené v příloze č. 7 k této vyhlášce, ze kterého vyplývá splnění požadavku podle A), nebo | |
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku podle B). | ||
| 4.3 | Poskytovatel umožňuje synchronní replikaci dat alespoň do jednoho záložního datového centra, které je kapacitně dostatečné k převzetí služby cloud computingu poskytované z primárního datového centra. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 4.4 | Poskytovatel uvádí úplný výčet datových center, ze kterých je služba cloud computingu poskytována, a jejich lokace po úroveň katastrálního území nebo obce a dále zajišťuje, že primární i všechna záložní datová centra, ze kterých je poskytována služba cloud computingu, se nacházejí v České republice, vyjma případů výslovného písemného svolení zákazníka s ukládáním zákazníkem zašifrovaných zákaznických dat ve stavu neaktivních dat na území jiného členského státu Evropské unie a členského státu Evropského sdružení volného obchodu. | Část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. |
| 4.5 | Poskytovatel je schopen poskytovat nástroj nebo službu pro detekci a zmírnění útoků typu odepření služby (DoS/DDoS) jak na síťové, tak aplikační úrovni. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace, například popis volitelné služby cloud computingu, podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 4.6 | Poskytovatel umožňuje obsluhu služby cloud computingu pomocí administrátorské konzole vzdáleně přístupné zákazníkovi v nepřetržitém režimu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 5. Nakládání s daty | ||
| 5.1 | Poskytovatel vyhotovuje záznam o přístupu jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům, ke kterému došlo v daném případě bez přechozího svolení zákazníka. Tento záznam musí obsahovat alespoň důvod, čas, trvání, typ a rozsah přístupu a dostatek dalších údajů potřebných k tomu, aby mohl zákazník vyhodnotit rizikovost tohoto přístupu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| Poskytovatel umožňuje zákazníkovi přístup k tomuto záznamu, a za tím účelem jej uchovává alespoň po dobu 7 dní. Poskytovatel nemusí umožňovat přístup k záznamu v případě, že interní a externí pracovníci přistupují k nezašifrovanému zákaznickému obsahu na základě žádosti cizozemského orgánu o zpřístupnění nebo předání dat a vyrozumění zákazníka o této žádosti není možné v souladu s bodem 2.1 této přílohy. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |
| Pokud poskytovatel nemá zaveden proces pro přístup jeho interních a externích pracovníků k nezašifrovaným zákaznickým datům bez předchozího svolení zákazníka, tento požadavek se neuplatní. Každý přístup k nezašifrovaným zákaznickým datům, ke kterému dojde bez předchozího svolení zákazníka, se pak považuje za narušení bezpečnosti informací dle řádku 7.2 této přílohy a poskytovatel postupuje v souladu s tímto požadavkem. | část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |
| 5.2 | Poskytovatel vždy chrání zákaznický obsah šifrováním při všech síťových přenosech a v úložištích ve službě cloud computingu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 5.3 | Poskytovatel zákazníkovi umožňuje ochranu zákaznického obsahu šifrováním při všech síťových přenosech a v úložištích ve službě cloud computingu pomocí některého ze schválených algoritmů uvedených v aktuálně platném doporučení v oblasti kryptografických prostředků vydaném v souladu s nejlepší praxí Národním úřadem pro kybernetickou a informační bezpečnost, které je zveřejněno na jeho internetových stránkách, v rámci celé šifrovací sady. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| V případě, že poskytovatel nabízí šifrovací sady, které obsahují takové algoritmy, které nejsou schválené v doporučení v oblasti kryptografických prostředků vydaného Národním úřadem pro kybernetickou a informační bezpečnost, poskytovatel umožní zákazníkovi výběr těch šifrovacích sad, které aplikují algoritmy schválené v doporučení v oblasti kryptografických prostředků vydaného Národním úřadem pro kybernetickou a informační bezpečnost. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | |
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 5.4 | Poskytovatel umožňuje uložení šifrovacích klíčů v certifikovaném hardware security modulu (HSM modulu) úrovně ochrany FIPS 140-2 level 2 a vyšší, FIPS 140-3 level 2 a vyšší nebo certifikaci podle Common Criteria Protection Profile (PP) EN 419 221-5 minimálně na EAL4 a vyšší, který je pod vzdálenou správou zákazníka nebo instalaci HSM modulu zákazníka do infrastruktury poskytovatele. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo |
| Poskytovatel dále umožňuje bezpečnou likvidaci kryptografických klíčů uložených v certifikovaném hardware security modulu (HSM modulu) řízenou zákazníkem a, v případě, že umožňuje uložení šifrovacích klíčů v certifikovaném HSM modulu, který je pod vzdálenou správou zákazníka, zajišťuje likvidaci vrchního přístupového klíče při ukončení služby cloud computingu, nebo, v případě, že umožňuje instalaci HSM modulu zákazníka do infrastruktury poskytovatele, umožňuje likvidaci vrchního přístupového klíče při ukončení služby cloud computingu. | část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | |
| 6. Certifikace služby cloud computingu | ||
| 6.1 | Poskytovatel je držitelem platné certifikace podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu náleží posuzovaná služba cloud computingu provozovaná v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a v souladu s postupy normy ČSN ISO/IEC 27018, ČSN EN ISO/IEC 27018 nebo ISO/IEC 27018. | Platný certifikát podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje posuzovanou službu cloud computingu, která je provozována v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a provozovanou v souladu s postupy normy ČSN ISO/IEC 27018, ČSN EN ISO/IEC 27018 nebo ISO/IEC 27018 a |
| v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu tohoto certifikátu, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu tohoto certifikátu, a dále příslušné prohlášení o aplikovatelnosti. | ||
| 6.2 | Poskytovatel je držitelem auditní zprávy SOC 2® Type 2 nebo auditní zprávy o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, kdy tato auditní zpráva je vždy vydaná na poskytovateli nezávislým auditorem, není ke dni podání žádosti o zápis nabídky cloud computingu do katalogu cloud computingu starší než 24 měsíců a do jejíhož rozsahu jmenovitě náleží posuzovaná služba cloud computingu. | Auditní zpráva SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zpráva o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, ze které vyplývá splnění požadavku a |
| v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu této auditní zprávy, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu této auditní zprávy. | ||
| 7. Kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty | ||
| 7.1 | Poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí. Poskytovatel umožňuje zákazníkovi vzdálený přístup k informacím o všech událostech týkajících se daného zákazníka. Nové události zpřístupní poskytovatel zákazníkovi bez zbytečného odkladu. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku, nebo | ||
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 7.2 | Poskytovatel informuje zákazníka v případě narušení bezpečnosti informací zákaznických dat nebo specifických provozních údajů bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o narušení bezpečnosti zákaznických dat nebo specifických provozních údajů dozvěděl. Jakmile je řešení incidentu uzavřeno, informuje poskytovatel zákazníka o přijatých opatřeních. | Část smluvní dokumentace podle § 9 odst. 5 písm. c) této vyhlášky, ze které vyplývá splnění požadavku, nebo |
| část další dokumentace podle § 9 odst. 5 písm. d) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| 8. Testování služby cloud computingu | ||
| 8.1 | Poskytovatel pravidelně provádí skeny zranitelností služby cloud computingu v intervalu alespoň jeden sken zranitelností každé 3 měsíce a v případě zjištění zranitelností zavádí nápravná opatření. | Tři záznamy o provedení skenů zranitelností v souladu s platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, ze kterých vyplývá splnění požadavku, přičemž tyto záznamy nejsou ke dni podání žádosti o zápis zapisované služby do katalogu cloud computingu starší více než 12 měsíců a zároveň alespoň jeden z těchto záznamů nebude ke dni podání žádosti o zápis služby do katalogu cloud computingu starší více než 3 měsíce, nebo |
| část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | ||
| Dojde-li k aktualizaci metodiky Národního úřadu pro kybernetickou a informační bezpečnost, poskytovatel předkládá podklady ke splnění požadavku v souladu s aktualizovanou metodikou po 24 měsících od data zveřejnění aktualizované metodiky. | ||
| 8.2 | Poskytovatel zajišťuje provádění penetračních testů podle aktuálně platného standardu NIST 800-115, metodiky OSSTMM nebo standardu OWASP ASVS Level 1 odpovídající charakteru zapisované služby cloud computingu a v souladu s aktuálně platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, nebo v souladu s metodikou FedRAMP. | Zpráva z provedení penetračního testu, ze které vyplývá splnění požadavku. |
| Dojde-li k aktualizaci metodiky Národního úřadu pro kybernetickou a informační bezpečnost, poskytovatel předkládá podklady ke splnění požadavku v souladu s aktualizovanou metodikou po 24 měsících od data zveřejnění aktualizované metodiky. | ||
| 9. Připojení do výměnného uzlu internetu (IXP) | ||
| 9.1 | Poskytovatel má zajištěno připojení do výměnného uzlu internetu (IXP) v České republice. | Výpis z veřejně dostupné databáze subjektů připojených do výměnného uzlu internetu, nebo |
| platná smlouva s poskytovatelem služby výměnného uzlu internetu, nebo | ||
| čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky, ze kterého vyplývá splnění požadavku. | ||
Příloha č. 5
Annex No 5
| Seznam certifikací pro oblast ochrany důvěrnosti, integrity a dostupnosti informací | |
|---|---|
| Pro řádek 6.1 přílohy č. 2 k této vyhlášce | Platný certifikát podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF) s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje posuzovanou službu cloud computingu, která je provozována v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu tohoto certifikátu, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu tohoto certifikátu. |
| Pro řádek 6.1 přílohy č. 3 a 4 k této vyhlášce | Platný certifikát podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje posuzovanou službu cloud computingu, která je provozována v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a provozovanou v souladu s postupy normy ČSN ISO/IEC 27018, ČSN EN ISO/IEC 27018 nebo ISO/IEC 27018 a v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu tohoto certifikátu, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu tohoto certifikátu, a dále příslušné prohlášení o aplikovatelnosti. |
| Pro řádek 6.2 přílohy č. 3 a 4 k této vyhlášce | Auditní zpráva SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zpráva o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, kdy tato auditní zpráva je vždy vydaná na poskytovateli nezávislým auditorem, není ke dni podání žádosti o zápis nabídky cloud computingu do katalogu cloud computingu starší než 24 měsíců a do jejíhož rozsahu jmenovitě náleží posuzovaná služba cloud computingu a v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu této auditní zprávy, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu této auditní zprávy. |
| Poskytovatel po dobu evidence služby cloud computingu v katalogu cloud computingu vedeném Digitální a informační agenturou dodá do 2 měsíců od data konce platnosti předchozího doloženého certifikátu | |
| Pro řádek 6.1 přílohy č. 2 k této vyhlášce | Platný certifikát podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF) s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje posuzovanou službu cloud computingu, která je provozována v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu tohoto certifikátu, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu tohoto certifikátu. |
| Pro řádek 6.1 přílohy č. 3 a 4 k této vyhlášce | Platný certifikát podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje posuzovanou službu cloud computingu, která je provozována v souladu s postupy normy ČSN ISO/IEC 27017, ČSN EN ISO/IEC 27017 nebo ISO/IEC 27017 a provozovanou v souladu s postupy normy ČSN ISO/IEC 27018, ČSN EN ISO/IEC 27018 nebo ISO/IEC 27018 a v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu tohoto certifikátu, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu tohoto certifikátu, a dále příslušné prohlášení o aplikovatelnosti. |
| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu vedeném Digitální a informační agenturou | |
| Pro řádek 6.2 přílohy č. 3 a 4 k této vyhlášce | Auditní zprávu SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zprávu o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, kdy tato auditní zpráva je vždy vydaná na poskytovateli nezávislým auditorem, není ke dni podání starší než 24 měsíců a do jejíhož rozsahu jmenovitě náleží posuzovaná služba cloud computingu a v případě, že posuzovaná služba cloud computingu není jmenovitě zahrnuta v rozsahu této auditní zprávy, dále čestné prohlášení poskytovatele podle § 9 odst. 5 písm. b) této vyhlášky o rozsahu této auditní zprávy. |
Příloha č. 6
Annex No 6
| Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu | ||
|---|---|---|
| Pro řádek 8.1 přílohy č. 1, 2, 3 a 4 k této vyhlášce | Tři záznamy o provedení skenů zranitelností provedených v souladu s platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, ze kterých vyplývá splnění požadavku, přičemž tyto záznamy nejsou ke dni podání žádosti o zápis zapisované služby do katalogu cloud computingu starší více než 12 měsíců a zároveň alespoň jeden z těchto záznamů nebude ke dni podání žádosti o zápis služby do katalogu cloud computingu starší více než 3 měsíce, nebo část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |
| Pro řádek 8.2 přílohy č. 3 k této vyhlášce | Zprávu z provedení penetračního testu provedeného podle aktuálně platného standardu NIST 800-115, metodiky OSSTMM, standardu OWASP Top 10 nebo standardu OWASP ASVS Level 1 odpovídající charakteru zapisované služby cloud computingu a v souladu s aktuálně platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, nebo v souladu s metodikou FedRAMP. | |
| Pro řádek 8.2 přílohy č. 4 k této vyhlášce | Zprávu z provedení penetračního testu provedeného podle aktuálně platného standardu NIST 800-115, metodiky OSSTMM nebo standardu OWASP ASVS Level 1 odpovídající charakteru zapisované služby cloud computingu a v souladu s aktuálně platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, nebo v souladu s metodikou FedRAMP. | |
| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu Digitální a informační agenturou | ||
| Pro řádek 8.1 přílohy č. 1, 2, 3 a 4 k této vyhlášce | Záznamy o provedení skenů zranitelností služby cloud computingu provedených alespoň jednou za každé 3 měsíce, nebo část auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky, ze které vyplývá splnění požadavku. | |
| Pro řádek 8.2 přílohy č. 3 k této vyhlášce | Zprávu z provedení penetračního testu provedeného podle aktuálně platného standardu NIST 800-115, metodiky OSSTMM, standardu OWASP Top 10 nebo standardu OWASP ASVS Level 1 odpovídající charakteru zapisované služby cloud computingu a v souladu s aktuálně platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, nebo v souladu s metodikou FedRAMP. Zpráva z provedení penetračního testu nesmí být starší než 24 měsíců od data vyhotovení předchozí předložené zprávy o provedení penetračního testu. Z předložené zprávy o provedení penetračního testu nebo z auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky nebo prohlášení o aplikovatelnosti dokládaných podle přílohy č. 5 musí vyplývat, že poskytovatel zavádí nápravná opatření vzhledem k nálezům předchozích penetračních testů. | |
| Pro řádek 8.2 přílohy č. 4 k této vyhlášce | Zprávu z provedení penetračního testu provedeného podle aktuálně platného standardu NIST 800-115, metodiky OSSTMM nebo standardu OWASP ASVS Level 1 odpovídající charakteru zapisované služby cloud computingu a v souladu s aktuálně platnou metodikou vydanou Národním úřadem pro kybernetickou a informační bezpečnost, která je zveřejněna na jeho internetových stránkách, nebo v souladu s metodikou FedRAMP. Zpráva z provedení penetračního testu nesmí být starší než 24 měsíců od data vyhotovení předchozí předložené zprávy o provedení penetračního testu. Z předložené zprávy o provedení penetračního testu nebo z auditní zprávy podle § 9 odst. 5 písm. e) této vyhlášky nebo prohlášení o aplikovatelnosti dokládaných podle přílohy č. 5 musí vyplývat, že poskytovatel zavádí nápravná opatření vzhledem k nálezům předchozích penetračních testů. | |
Příloha č. 7
Annex No 7
| Pro řádek 4.2 přílohy č. 1, 2, 3 a 4 k této vyhlášce | Zpráva nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka musí obsahovat přehledně a srozumitelně: |
| • označení subjektu poskytovatele cloud computingu, | |
| • označení posuzovaných lokalit primárního/záložního datového centra, | |
| • označení zpracovatele zprávy, | |
| • datum zpracování zprávy. | |
| 1. Situační, dispoziční a konstrukční řešení objektu primárního/záložního datového centra – stručný popis stavby z hlediska dispozičního uspořádání a umístění stavby ve vztahu k okolní zástavbě a geolokaci, případně popis technologie provozu. | |
| 2. Analýzu ohrožení každého primárního/záložního datového centra, ze kterého je poskytována služba cloud computingu, zahrnující: | |
| a) identifikaci zdrojů rizik, | |
| b) pravděpodobnost aktivace zdroje rizik, | |
| c) míru dopadu, | |
| d) popis možné škody, | |
| e) označení rizika v matici rizik, | |
| f) vyjádření významnosti rizika, | |
| g) aplikovaná protiopatření. | |
| 3. Přílohou zprávy budou zvolené škály pravděpodobnosti aktivace zdroje rizik a míry dopadu, kritéria pro hodnocení významnosti rizik a zpracovaná matice rizik, která kombinuje pravděpodobnost aktivace zdroje rizik a míru dopadu a ukazuje, jaká rizika z toho vyplývají s jakou mírou přijatelnosti. | |
| Zpráva zohlední zejména tyto zdroje rizik: | |
| • požár, | |
| • vydatné srážky, | |
| • povodeň, | |
| • tsunami, | |
| • krupobití, | |
| • extrémně vysoké teploty, | |
| • dlouhodobé sucho, | |
| • extrémní vítr, | |
| • tornádo, | |
| • extrémně nízké teploty, | |
| • sněhová kalamita, | |
| • sněhová lavina, | |
| • náledí a ledovka, | |
| • geomagnetické anomálie, | |
| • zemětřesení, | |
| • propad zemských dutin, | |
| • svahová nestabilita, | |
| • sopečná erupce, | |
| • závažná nehoda – pád letadla, | |
| • epidemie – hromadné nákazy osob, | |
| • závažné narušení bezpečnosti komunikační sítě a ztráta integrity komunikační sítě, | |
| • narušení dodávek elektrické energie velkého rozsahu, | |
| • radiační havárie. |
1) Regulation (EU) 2016 / 679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and repealing Directive 95 / 46 / EC (General Data Protection Regulation).
2) § 74 of Act No. 90 / 2012 Coll., on Companies and Cooperatives (Act on Commercial Corporations).
3) Act No. 264 / 2025 Coll., on Cyber Security.
4) Act No. 255 / 2012 Coll., on Control (Control Regulations), as amended.
5) Decree No. 410 / 2025 Coll., on the security measures of the regulated service provider under the lower duty regime.
6) Paragraph 2 (2) (e) of Act No. 264 / 2025 Coll., on Cyber Security.
7) Decree No. 409 / 2025 Coll., on the security measures of the regulated service provider under the higher duty regime.
Sign in for notes, favorites and notifications
Regulation Information
| Citation | Decree No. 505 / 2025 Coll., on certain requirements for inclusion in the cloud computing catalogue |
|---|---|
| Regulation Type | Order |
| Author | - |
| Collection | Code of Laws |
| Date of Promulgation | 05.12.2025 |
|---|---|
| Effective from | 01.01.2026 |
| Effective until | - |
| Status | Valid |
Public Contracts 2
Dodávka Endpoint protection řešení
Psychiatrická nemocnice Marianny Oranžské
CYBOSEC s.r.o.
579 868 CZK
09.02.2026
SMLOUVA O DÍLO NA ZPŘÍSTUPNĚNÍ A IMPLEMENTACI INFORMAČNÍHO SYSTÉMU FORMOU SLUŽBY
Státní investiční a rozvojová společnost, a.s.
GORDIC spol. s r.o.
3 363 800 CZK
17.12.2025
Notifications
Source:
Hlídač státu
(CC BY 3.0 CZ)
The regulation text is for informational purposes only.
Comments 0