Указ No 409/2025 Сб.
Постановление о мерах безопасности регулируемого поставщика услуг по более высоким обязательствам
Действующий
Приказ
Действует с 01.11.2025
Версии текста:
01.11.2025
14.10.2025
Zobrazeno prvních 200 z celkem 678 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
409
Декларация
26 сентября 2025 года
о мерах безопасности регулируемого поставщика услуг по более высоким обязательствам
Национальное бюро кибербезопасности и информационной безопасности в соответствии с § 13 (3) Закона No 264 / 2025 Coll. о кибербезопасности, далее именуемый «Закон»:
ИНТРОДУКТУРНЫЕ ПРОВИДЕНЦИИ
Тема вопроса
Настоящий Указ реализует соответствующий Европейский Союз1 и для регулируемых поставщиков услуг по более высоким обязательствам («обязанное лицо») регулирует содержание мер безопасности и способы их реализации и реализации.
Определение терминов
Для целей настоящего Указа:
(a) пользователем, физическим или юридическим лицом или государственным органом, использующим активы;
(b) привилегированный пользователь или другое лицо, чья деятельность в отношении технического актива может оказать значительное влияние на безопасность регулируемой услуги;
(c) администратором, привилегированным пользователем или другим лицом, обеспечивающим управление, эксплуатацию, использование, обслуживание и безопасность технического актива;
(d) политика безопасности, набор принципов и правил, определяющих, каким образом обеспечивается защита активов;
e оценка рисков процесса выявления, анализа и оценки рисков;
f) процесс управления рисками, включающий оценку рисков, осуществление мер по управлению рисками и информированию о рисках;
(g) система управления информационной безопасностью является частью системы управления обязанного лица, основанной на доступе к рискам, в том числе на способе обеспечения, внедрения, эксплуатации, мониторинга, обзора, поддержания и улучшения информационной безопасности; и
(h) важный поставщик, который предоставляет обязательному лицу производительность, которая имеет отношение к обеспечению кибербезопасности регулируемой услуги.
Меры безопасности
Организационные меры
Система управления информационной безопасностью
Обязательное лицо в рамках системы управления информационной безопасностью
(a) излагать цели системы управления информационной безопасностью, направленные на обеспечение кибербезопасности регулируемой службы;
(b) управлять рисками, указанными в Статье 8;
(c) внедрять и внедрять адекватные меры безопасности для обеспечения кибербезопасности регулируемой службы на основе целей системы управления информационной безопасностью, потребностей безопасности и управления рисками;
(d) разработать политику безопасности и документацию по безопасности в отношении управления кибербезопасностью, которая содержит руководящие принципы, цели системы управления информационной безопасностью, потребности в области безопасности, права и обязанности в отношении управления информационной безопасностью, а также, на основе потребностей в области безопасности и результатов оценки риска, установить политику безопасности и документацию по безопасности в других областях, как указано в статье 6;
e обеспечить проведение аудита кибербезопасности в соответствии со статьей 16;
f не реже одного раза в год проводить оценку эффективности системы управления безопасностью содержащейся в ней информации;
1 оценка задач системы управления информационной безопасностью, направленных на обеспечение кибербезопасности регулируемой услуги;
2 оценка выполнения плана управления рисками, подготовленного в соответствии со статьей 8 1 g;
3 оценка состояния системы управления информационной безопасностью, включая пересмотр оценки рисков;
4. оценка результатов проверок кибербезопасности и контроля, проводимых в области кибербезопасности;
5 результаты предыдущей оценки эффективности системы управления информационной безопасностью, проведенной по данному пункту;
6. оценку влияния инцидентов кибербезопасности на кибербезопасность и услуги, предоставляемые в соответствии с § 15; и
7. оценка существенных изменений в соответствии с § 11;
g подготавливает доклад об обзоре системы управления информационной безопасностью на основе оценки эффективности системы управления информационной безопасностью, упомянутой в пункте f;
(h) обновить систему управления информационной безопасностью и соответствующую документацию на основе:
1. результаты аудитов кибербезопасности и контроля в области кибербезопасности;
2 результаты оценки эффективности системы управления информационной безопасностью;
3 влияние инцидентов кибербезопасности на предоставляемые услуги; и
4. внесены существенные изменения;
(i) управлять функционированием и ресурсами системы управления информационной безопасностью и регистрировать деятельность, связанную с системой управления информационной безопасностью и управлением рисками; и
(j) установить процесс управления исключениями из правил, изложенных в политике безопасности, упомянутой в пункте (d).
Высшие требования к управлению
(1) Уставный орган обязанного лица или иного лица или группы лиц, занимающих аналогичную руководящую должность с обязанным лицом (далее именуемый «старший менеджмент») в отношении системы управления информационной безопасностью
(a) он явно обучен в соответствии с разделом 10 (3) (а);
(b) обеспечить, чтобы политика безопасности и цели системы управления информационной безопасностью, упомянутые в статье 3, были установлены, совместимые со стратегическим направлением обязанного лица;
(c) обеспечить интеграцию системы управления информационной безопасностью в процессы обязанного лица;
d обеспечить наличие ресурсов, необходимых для системы управления информационной безопасностью;
(e) информировать работников и всех заинтересованных лиц о важности системы управления информационной безопасностью и важности достижения соответствия ее требованиям;
обеспечение поддержки для достижения целей системы управления информационной безопасностью;
g ведет и поддерживает сотрудников в целях повышения эффективности системы управления информационной безопасностью;
h участие в составлении анализа воздействия в соответствии со статьей 15;
(i) обеспечить тестирование планов непрерывности деятельности, планов восстановления и процессов, связанных с управлением инцидентами кибербезопасности;
содействие постоянному совершенствованию системы управления информационной безопасностью;
k) оказывать поддержку субъектам, занимающимся вопросами безопасности, в деле содействия обеспечению кибербезопасности в зонах их ответственности;
l обеспечить установление правил для идентификации администраторов и лиц, которые будут выполнять функции обеспечения безопасности;
m обеспечивать сохранение конфиденциальности всех соответствующих лиц, в частности администраторов, субъектов безопасности и поставщиков; и
n обеспечивают лицам, выполняющим функции по обеспечению безопасности, полномочия, необходимые для выполнения их функций и ресурсов, включая бюджетные средства для выполнения их функций и связанных с ними задач.
(2) Высшее руководство, как показано, знакомо
a) доклад об обзоре системы управления информационной безопасностью;
b) отчет об оценке рисков;
c) план управления рисками;
d результаты анализа воздействия; и
(e) с результатами аудитов кибербезопасности и средств контроля кибербезопасности.
(3) Высшее руководство создает комитет по управлению кибербезопасностью и назначает его членов.
a обеспечить, чтобы член комитета по управлению кибербезопасностью был членом высшего руководства или лицом, делегированным им, и руководителем по кибербезопасности;
(b) определить права и обязанности комитета по управлению кибербезопасностью и его членов, связанные с системой управления информационной безопасностью;
c обеспечивать проведение регулярных заседаний Комитета по управлению кибербезопасностью не реже одного раза в год;
(d) обеспечить оповещение о проведении обсуждений Комитета по управлению кибербезопасностью; и
e обеспечить, чтобы в состав Комитета по управлению кибербезопасностью входили лица, обладающие компетенцией и компетенцией для общего управления и развития системы управления информационной безопасностью, а также лица, в значительной степени участвующие в управлении и координации деятельности в области кибербезопасности.
(4) Высшее руководство определяет лиц, включая определение их прав и обязанностей, связанных с системой управления информационной безопасностью, которые будут выполнять функции обеспечения безопасности.
менеджер по кибербезопасности,
Архитектор кибербезопасности,
(c) гарантии активов; и
(d) аудитора по кибербезопасности.
(5) Высшее руководство обеспечивает замену функций обеспечения, упомянутых в пунктах 4 (а) и (b).
Определение ролей безопасности
(1) Менеджер по кибербезопасности
(a) на него возлагается управление системой управления информационной безопасностью, выполнение которой может быть возложено на лицо, прошедшее обучение по данной деятельности и продемонстрировавшее компетентность в области управления кибербезопасностью или информационной безопасностью не менее 3 лет;
b нести ответственность за регулярное информирование высшего руководства о:
1 деятельность, вытекающая из степени ее ответственности; и
2 состояние системы управления информационной безопасностью;
(c) не может быть поручено выполнение функций, ответственных за эксплуатацию технических активов регулируемой службы.
(2) Архитектор кибербезопасности несет ответственность за обеспечение реализации мер безопасности таким образом, чтобы обеспечить безопасную архитектуру регулируемой услуги, выполнение которой может быть поручено лицу, обученному для этой деятельности, и продемонстрировать компетентность практики проектирования реализации мер безопасности и обеспечения безопасной архитектуры не менее 3 лет.
(3) Гарант актива несет ответственность за обеспечение разработки, использования и безопасности актива.
(4) Аудитор кибербезопасности
(a) нести ответственность за проведение аудита кибербезопасности, выполнение которого может быть поручено лицу, которое обучено для этой деятельности и демонстрирует компетентность практики проведения аудитов кибербезопасности или аудитов системы управления информационной безопасностью на срок не менее 3 лет;
b обеспечивает беспристрастность аудита кибербезопасности; и
c не несет ответственности за выполнение других функций по обеспечению безопасности.
Управление политикой безопасности и документация по безопасности
(1) Обязательное лицо устанавливает политику безопасности в отношении управления кибербезопасностью и приводит политику безопасности и документацию по безопасности к соответствующим мерам безопасности, упомянутым в пунктах 3 - 27.
(2) Обязательное лицо соблюдает правила и процедуры, изложенные в политике безопасности и документации по безопасности, указанной в пункте 1.
(3) Обязательное лицо должно регулярно пересматривать политику безопасности и документацию по безопасности, обеспечивать их актуальность и включать соответствующие области в оперативную документацию, правила и процедуры.
(4) Обязательное лицо назначает лицо, ответственное за регулярное рассмотрение и обновление политики безопасности и документации по безопасности, упомянутой в пункте 3.
(5) Политика безопасности и документация по безопасности должны управляться таким образом, чтобы:
(a) доступны в электронной или бумажной форме;
b заинтересованные лица в рамках обязательства быть информированными о правах, обязанностях и процедурах, содержащихся в нем;
c разумно доступны для заинтересованных лиц;
d защищены от конфиденциальности, целостности и доступности; и
e содержащаяся в нем информация является полной, разборчивой, легко идентифицируемой и отслеживаемой.
Управление активами
Обязательное лицо после определения сферы управления кибербезопасностью в соответствии со статьей 12 Закона
а) разработать методологию определения активов;
(b) разработать методологию оценки активов, включая определение уровней активов, по крайней мере в объеме, указанном в Приложении 1 к настоящему Указу;
с регистрирует гарантии активов в соответствии со статьей 4 4 с;
(d) оценивать первичные активы с точки зрения конфиденциальности, целостности и доступности и включать их в различные уровни, указанные в пункте (b);
(e) оценивать при оценке первичных активов по крайней мере области, перечисленные в Приложении 1 к настоящему Указу;
(f) выявлять и регистрировать связи между активами, которые влияют на безопасность регулируемой услуги;
g оценивать вспомогательные активы и полагаться, в частности, на выявленные связи с первичными активами; и
(h) для различных уровней активов, указанных в пункте (b), установить и внедрить правила защиты, необходимые для обеспечения их конфиденциальности, целостности и доступности, которые должны включать, по меньшей мере:
1 разрешенные средства использования активов;
2 правила обращения с активами, включая правила безопасного электронного обмена и физической передачи активов;
3. правила классификации информации,
4. правила маркировки активов;
5. правила, регулирующие управление средствами обмена; и
6. Правила определения порядка распоряжения информацией и данными и их копий, а также распоряжения техническими активами, являющимися носителями информации и данных, в отношении уровня активов в соответствии с Приложением 2 к настоящему Указу.
Управление рисками
(1) Обязательное управление рисками после § 7
а разработать методологию выявления и оценки рисков, включая установление критериев приемлемости рисков;
(b) выявлять соответствующие угрозы и уязвимость при определении рисков в отношении активов; рассматривать по крайней мере категории угроз и уязвимостей, перечисленные в Приложении 3 к настоящему Указу;
(c) проводить оценку рисков через регулярные промежутки времени не реже одного раза в год и в случае значительных изменений, определенных в соответствии со Статьей 11 (1) (с), принимая во внимание:
1 соответствующие угрозы и уязвимости, упомянутые в пункте b, и оценка потенциального воздействия на активы на основе оценки активов, упомянутой в статье 7;
2. значительные изменения,
3. изменения в установленной сфере в соответствии со статьей 12 Закона,
4 контрмеры в соответствии со статьей 20 Закона;
5. инциденты кибербезопасности, в том числе ранее рассмотренные;
6. результаты проверок кибербезопасности и контроля за кибербезопасностью;
7. результаты тестирования на проникновение и сканирования уязвимостей; и
8. результаты оценки эффективности системы управления информационной безопасностью;
d оценка риска осуществляется, по крайней мере, в рамках приложения 4 к настоящему Указу;
(e) подготовить отчет об оценке риска на основе оценки риска, проведенной, как указано в пункте (с);
(f) на основе потребностей безопасности и результатов оценки риска составляет декларацию о применимости, содержащую обзор всех мер безопасности, требуемых настоящим Указом, которые:
1 не применялись, включая обоснование и указание любых альтернативных мер безопасности; и
2. применялся, в том числе способ его проведения;
(g) на основе оценки риска, проведенной в соответствии с пунктом (с) и в соответствии с критериями, установленными для приемлемости рисков, она должна подготовить план управления рисками, содержащий:
1. описание мер безопасности управления рисками;
2. цели и преимущества мер безопасности управления рисками;
3. идентификация лица, обеспечивающего введение мер безопасности управления рисками;
4. предусмотренных людских, финансовых и технических ресурсов для осуществления мер безопасности;
5. требуемая дата введения мер безопасности;
6 описание связей между рисками и соответствующими мерами безопасности; и
7. конкретный способ осуществления мер безопасности.
(2) Обязательным лицом в соответствии с планом управления рисками вводятся меры безопасности.
(3) Оценка риска может быть обеспечена способами, отличными от тех, которые предусмотрены в пункте 1 (с), при условии, что должник обеспечивает такой же или более высокий уровень процесса оценки риска и соответствует пункту 5 Приложения 4 к настоящему Указу.
(4) Обязательное лицо не обязано применять определенные меры безопасности, предусмотренные настоящим Указом, только на основании осуществляемого управления рисками.
Управление поставщиками
(1) Обязательное лицо при управлении поставщиками
а устанавливает правила для поставщиков, учитывающие требования системы менеджмента информационной безопасности;
b оно должно четко идентифицировать своих поставщиков с правилами, указанными в пункте а, и требовать соблюдения этих правил;
управлять рисками, связанными с поставщиками;
d идентифицировать и зарегистрировать своих значительных поставщиков в значении статьи 2 h;
(e) проверяемо информировать своих значительных поставщиков в письменной форме о своих записях, упомянутых в пункте (d);
(f) обеспечить в отношении управления рисками, связанными со значительными поставщиками, чтобы договоры, заключенные со значительными поставщиками, включали соответствующие положения, изложенные в Приложении 5 к настоящему Указу; и
g) регулярно проводить обзор выполнения контрактов со значительными поставщиками с точки зрения системы управления информационной безопасностью.
(2) Обязательное лицо для крупных поставщиков
(a) проводить в рамках процедуры отбора в соответствии с Законом о государственных закупках (2) или до заключения договора оценку рисков, связанных с исполнением, указанных в Приложении 4 к нему;
b устанавливает в рамках заключенных договорных отношений методы и уровни осуществления мер безопасности и, в соответствии с договором, содержание взаимной ответственности за установление и контроль мер безопасности;
c проводить регулярные оценки рисков и периодические проверки существующих мер безопасности для достижения результатов, предоставляемых за счет собственных ресурсов или через третью сторону; и
d обеспечивать в ответ на выявленные риски и недостатки принятие решений без неоправданной задержки.
3) Элементами проверяемой информации, упомянутой в пункте 1 е), являются:
(a) идентификационные данные обязанного лица, включая указание на то, что обязанное лицо является поставщиком регулируемой услуги по более высоким обязательствам;
(b) наименование регулируемой услуги обязанного лица;
(c) идентификации соответствующего поставщика; и
d заявление о том, что поставщик является важным поставщиком для должника.
Безопасность людских ресурсов
(1) Обязательным лицом в рамках обеспечения безопасности людских ресурсов, с учетом состояния и потребностей системы управления информационной безопасностью, в целях обеспечения надлежащего образования и повышения уровня осведомленности в области безопасности, включая форму, содержание и объем извлеченных уроков и профессиональной подготовки, упомянутых в пункте 2, должен быть разработан план повышения осведомленности в области безопасности.
(2) Обязательная организация должна включать в план информирования о безопасности:
а) уроки, извлеченные старшим руководством в отношении его обязанностей и политики в области безопасности, в частности в области информационной системы и системы управления рисками;
(b) уроки пользователей, администраторов и лиц, выполняющих функции безопасности по своим обязанностям и политике безопасности;
c необходимую теоретическую и практическую подготовку пользователей, администраторов и субъектов безопасности;
(d) правила создания безопасных паролей в соответствии с § 19; и
(e) соответствующих субъектов, перечисленных в Приложении 6 к настоящему Указу.
(3) Ответственное лицо в рамках обеспечения безопасности обеспечивает:
(a) руководство для высшего руководства по его обязанностям, по политике безопасности, в частности в области системы управления информационной безопасностью, управления рисками и управления непрерывностью деятельности в форме ввода и периодической подготовки для приобретения знаний и навыков, ведущих к идентификации и оценке пригодности выбранных процедур управления рисками и их влияния на регулируемую услугу;
(b) уроки для пользователей, администраторов и лиц, выполняющих функции безопасности, по их обязанностям и политике безопасности в форме поступления и регулярного обучения;
c регулярное обучение лиц, выполняющих функции безопасности, исходя из текущих потребностей обязательного лица в области кибербезопасности; и
d) регулярная подготовка и проверка осведомленности сотрудников о безопасности в соответствии с их рабочим потенциалом или назначением на службу.
4) Обязательное лицо в рамках обеспечения безопасности людских ресурсов
a назначать лиц, ответственных за осуществление отдельных видов деятельности, перечисленных в Плане развития осведомленности в области безопасности;
b обеспечивать в соответствии с Планом развития осведомленности в области безопасности осуществление уроков и профессиональной подготовки, упомянутых в пункте 3;
c) регулярно оценивать эффективность плана повышения уровня осведомленности о безопасности, извлеченных уроках, профессиональной подготовке и других мероприятиях, связанных с повышением уровня осведомленности о безопасности;
d обеспечивать соблюдение политики безопасности пользователями, администраторами и лицами, представляющими роли безопасности;
(e) определять правила и процедуры для борьбы с нарушениями со стороны пользователей, администраторов и лиц, представляющих функции безопасности; и
Войдите для заметок, избранного и уведомлений
Информация об акте
| Цитирование | Указ No 409/2025 Сб. о мерах безопасности регулируемого поставщика услуг в режиме повышенной пошлины |
|---|---|
| Тип акта | Приказ |
| Автор | - |
| Сборник | Сборник законов |
| Дата опубликования | 14.10.2025 |
|---|---|
| Действует с | 01.11.2025 |
| Действует до | - |
| Статус | Действующий |
Публичные контракты 5
SLU - audit kybernetické bezpečnosti dle vyhlášky č. 409/2025 Sb.
Jihomoravský kraj
Sotrit s.r.o.
193 600 крон
20.03.2026
Obecná objednávka
Ústav experimentální medicíny AV ČR, v. v. i.
Blue Partners s.r.o.
169 158 крон
15.01.2026
Dodatek č. 1 ke Smlouvě o poskytování služeb
Dopravní společnost Ústeckého kraje, příspěvková o...
Next Generation Security Solutions s.r.o.
1 350 965 крон
11.12.2025
Podpora a rozvoj Srovnávacího nástroje ČTÚ
Český telekomunikační úřad
CHAPS spol. s r.o.
7 245 480 крон
26.11.2025
Dodatek č. 1 ke Smlouvě o provedení auditu kybernetické bezpečnosti informačních a komunikačních sys...
Město Telč
ELAT s.r.o.
12.11.2025
Уведомления
Источник:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акта носит информационный характер.
Комментарии 0